Attaque par dictionnaire
Qu'est-ce que Attaque par dictionnaire ?
Attaque par dictionnaireAttaque ciblée de devinette de mots de passe qui essaie des entrées d'une liste précompilée de mots probables, de mots de passe fuités et de variantes générées par règles.
Une attaque par dictionnaire réduit l'espace de recherche en n'essayant que des candidats plausibles : mots courants, noms, dates, mots de passe fuités et mutations par règles ("Password" → "P@ssw0rd!2025"). Les outils modernes (Hashcat, John the Ripper) superposent dictionnaires, masques, règles hybrides et modèles de Markov pour casser des hashes des ordres de grandeur plus vite qu'une force brute pure.
Pourquoi les wordlists sont si efficaces
Les vrais mots de passe humains se concentrent sur une fraction infime de l'espace de clés. La wordlist canonique, rockyou.txt, provient de la fuite RockYou de décembre 2009, où une injection SQL a exposé environ 32 millions d'identifiants que l'entreprise stockait en clair. La liste dédupliquée de 14 344 392 mots de passe est toujours livrée par défaut avec Kali Linux et reste le premier réflexe du pentester face à un hash capturé. Les compilations ultérieures (RockYou2021, RockYou2024) agrègent des milliards de chaînes issues de nombreuses fuites, mais l'essentiel des cassages vient encore des premiers millions.
Le déroulé d'un crack moderne
On utilise rarement une liste brute. On applique des fichiers de règles (par exemple best64 ou dive de Hashcat) qui font substitution leet, bascule de casse et ajout d'années/suffixes, puis on bascule sur masques et Markov pour la longue traîne. Sur des GPU grand public, cela casse en quelques secondes les mots de passe faibles derrière des hashes rapides (MD5, SHA-1 sans sel, NTLM).
Défenses
La défense réside surtout au niveau du stockage : un hachage salé memory-hard avec Argon2id, bcrypt ou scrypt (ou PBKDF2 fortement itéré) rend chaque essai coûteux. Combinez-le avec un filtrage des mots de passe compromis (par ex. l'API k-anonymity de Have I Been Pwned), des passphrases longues, du rate limiting, le verrouillage de compte et la MFA, afin qu'un mot de passe retrouvé ne suffise pas à lui seul.
flowchart LR
A[Hash de mot de passe capturé] --> B[Charger la wordlist<br/>rockyou.txt]
B --> C[Appliquer les règles de mutation<br/>leet, suffixes, casse]
C --> D[Hasher chaque candidat<br/>avec le sel et l'algo de la cible]
D --> E{Le digest correspond ?}
E -->|Oui| F[Mot de passe retrouvé]
E -->|Non| G[Candidat suivant]
G --> C● Exemples
- 01
Casser une base fuitée avec rockyou.txt et les règles Hashcat.
- 02
Essayer toute une wordlist thématique d'entreprise contre un hash NTLM capturé.
● Questions fréquentes
Qu'est-ce que Attaque par dictionnaire ?
Attaque ciblée de devinette de mots de passe qui essaie des entrées d'une liste précompilée de mots probables, de mots de passe fuités et de variantes générées par règles. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Attaque par dictionnaire ?
Attaque ciblée de devinette de mots de passe qui essaie des entrées d'une liste précompilée de mots probables, de mots de passe fuités et de variantes générées par règles.
Comment se défendre contre Attaque par dictionnaire ?
Les défenses contre Attaque par dictionnaire combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque par dictionnaire ?
Noms alternatifs courants : Attaque par liste de mots.