« Se connecter »
Essai gratuit

Comment prévenir les attaques par force brute sur votre site web ?

captcha.eu

Les attaques par force brute constituent l'une des menaces les plus persistantes pour la sécurité des sites web. En 2026, elles combinent des listes d'identifiants volés, des botnets distribués et des devinettes optimisées par l'IA, ce qui rend les défenses à couche unique insuffisantes. Ce guide explique le fonctionnement de chaque couche de protection, les points faibles de chacune d'entre elles et la manière de les combiner efficacement.

Temps de lecture estimé : 12 minutes

Essayez CAPTCHA.eu gratuitement - sans carte de crédit
Voir toutes les intégrations

En bref

La menace en 2026

Des outils automatisés testent des millions de combinaisons par seconde sur des plages d'adresses IP distribuées ; le simple blocage des adresses IP ne suffit plus.

Mesure unique la plus forte

MFA. Les données de Microsoft montrent qu'il empêche 99,9% des compromissions de comptes, même lorsque les mots de passe sont déjà connus.

Pourquoi le CAPTCHA a-t-il sa place ici ?

Le CAPTCHA de preuve de travail agit comme un limiteur de taux de calcul intégré qui augmente le coût de chaque tentative de connexion pour les robots avant même qu'un mot de passe ne soit essayé.

La bonne approche

Défense en profondeur : aucune couche n'arrête tout. L'AMF, la limitation des taux et les CAPTCHA comblent ensemble les lacunes laissées par chacun d'entre eux.

Ce que couvre ce guide

La menace en 2026

La force brute n'est pas une nouvelle attaque. Ce qui a changé, c'est sa vitesse, son ampleur et sa sophistication. Les outils modernes ne fonctionnent plus à partir d'une seule machine avec une adresse IP évidente. Au lieu de cela, les attaquants répartissent les tentatives sur des milliers d'adresses IP simultanément, passent par des réseaux proxy et utilisent l'intelligence artificielle pour classer par ordre de priorité les candidats mots de passe les plus probables, en s'appuyant sur des milliards d'informations d'identification divulguées lors d'atteintes à la protection des données antérieures.

Selon le rapport Verizon Data Breach Investigations Report, les informations d'identification volées sont impliquées dans la majorité des violations d'applications web. La force brute et le bourrage d'identifiants sont les principales méthodes utilisées pour les obtenir. Pour les exploitants de sites web, cela signifie que l'ancien modèle mental (“mes utilisateurs ont des mots de passe forts, donc tout va bien”) ne tient plus. Les attaques visent les mots de passe faibles, certes. Mais elles ciblent également la réutilisation des mots de passe entre les services, et elles peuvent supporter des millions de tentatives par heure sans déclencher de simples limites de taux si le trafic est distribué.

L'ampleur de ce phénomène n'est pas théorique. En mai 2024, un acteur connu sous le nom de Menelik a enregistré des comptes partenaires sur un portail client Dell et a passé trois semaines à forcer brutalement les identifiants des balises de service à raison d'environ 5 000 requêtes par minute. Dell n'a pas détecté l'activité avant que l'attaquant n'envoie un courriel révélant la vulnérabilité. À ce moment-là, les dossiers d'environ 49 millions de clients avaient été récupérés. L'attaque n'a pas nécessité d'exploit sophistiqué, mais simplement un volume soutenu et automatisé contre un point d'accès sans limitation de débit adéquate ni détection de robots.

Conséquence pratique : la protection d'une page de connexion, d'un formulaire d'inscription, d'un flux de réinitialisation de mot de passe ou d'un point de terminaison d'API contre la force brute nécessite plusieurs couches fonctionnant ensemble. Les sections ci-dessous expliquent chaque couche, y compris où elle fonctionne, où elle s'effondre et ce qui comble l'écart.

Types d'attaques par force brute : ce qu'elles sont et ce qui arrête chacune d'entre elles

Toutes les attaques par force brute ne fonctionnent pas de la même manière. Comprendre la variante permet de déterminer les moyens de défense à privilégier.

TYPE D'ATTAQUE
COMMENT ÇA MARCHE
DÉFENSE PRIMAIRE
Simple force brute
Essaie toutes les combinaisons de caractères possibles dans l'ordre
Mots de passe longs et complexes ; verrouillage des comptes
Attaque du dictionnaire
Utilise des listes de mots courants et de mots de passe connus
Politique en matière de mots de passe ; blocage des mots de passe les plus courants
Bourrage d'informations d'identification
Reprise de paires nom d'utilisateur/mot de passe provenant d'atteintes à la protection des données sur d'autres sites
MFA ; CAPTCHA ; filtrage des mots de passe en cas d'infraction
Pulvérisation du mot de passe
Essai de quelques mots de passe communs à plusieurs comptes pour éviter le verrouillage
Limitation du débit par nom d'utilisateur ; détection des anomalies
Attaque hybride
Combine des mots du dictionnaire avec des chiffres et des symboles
Phrases de passe ; gestionnaires de mots de passe ; MFA
Attaque de la table arc-en-ciel
Utilise des tables de hachage précalculées pour inverser les hachages de mots de passe.
Hachage salé ; algorithmes de hachage modernes (bcrypt, Argon2)

Le "credential stuffing" et le "password spraying" méritent une attention particulière car ce sont les variantes qui permettent de déjouer le plus facilement les mesures conçues pour une simple force brute. Le credential stuffing n'a pas besoin de deviner les mots de passe, il les possède déjà. La pulvérisation de mots de passe évite la détection en restant en dessous des seuils de verrouillage des comptes. Dans les deux cas, les mesures de défense doivent aller au-delà de la seule politique des mots de passe.

Pour un examen plus approfondi du credential stuffing en particulier, voir notre guide sur le ce qu'est le bourrage de documents d'identité et comment il fonctionne.

Six couches de prévention qui fonctionnent ensemble

  • Authentification multifactorielle

    L'AMF est le moyen de défense le plus efficace contre les attaques par force brute, et les preuves sont sans équivoque. L'analyse par Microsoft des incidents de compromission de comptes a révélé que l'AMF aurait permis d'éviter 99,9% d'entre eux. La raison est structurelle : même lorsqu'un attaquant devine ou obtient correctement un mot de passe, l'AMF nécessite un deuxième facteur (un code TOTP, une clé matérielle ou une notification push) auquel l'attaquant n'a pas accès. Pour les exploitants de sites web, la priorité est d'appliquer l'AMF à chaque administrateur et à chaque compte à privilèges élevés, puis à tout compte donnant accès à des données sensibles ou à des flux financiers. L'application de l'AMF à tous les utilisateurs finaux dépend du public et du profil de risque, mais la prise en charge par les navigateurs modernes des clés d'authentification et des applications d'authentification rend cette solution réalisable dans la plupart des cas d'utilisation.

  • Limitation de la vitesse et retards progressifs

    La limitation du débit restreint le nombre de tentatives de connexion qu'un client peut effectuer dans un laps de temps donné. Il s'agit d'une première ligne de défense simple et efficace contre les attaques peu sophistiquées. Après un nombre défini de tentatives infructueuses à partir de la même adresse IP, le serveur introduit un délai, renvoie un bloc temporaire ou exige une étape de vérification supplémentaire. La limite d'une simple limitation de débit basée sur l'adresse IP réside dans le fait que les attaques distribuées modernes font transiter les demandes par des milliers d'adresses IP différentes. Chaque adresse IP individuelle reste en dessous du seuil alors que le volume total des attaques reste énorme. Une approche plus robuste combine la limitation du débit au niveau de l'IP avec des seuils par compte, en suivant les tentatives échouées par nom d'utilisateur, quelle que soit l'IP d'origine, et associe cette approche à la détection d'anomalies qui signale les schémas de trafic inhabituels au niveau mondial, et pas seulement par source.

  • Politiques de verrouillage des comptes

    Le verrouillage de compte bloque temporairement ou définitivement un compte après un certain nombre de tentatives de connexion infructueuses. L'OWASP Authentication Cheat Sheet recommande un seuil de cinq à dix tentatives infructueuses avant qu'un verrouillage basé sur la durée ne s'applique. Les verrouillages durs (où un compte est verrouillé jusqu'à ce qu'un administrateur le déverrouille manuellement) offrent la protection la plus forte mais créent un risque d'abus par déni de service. Un pirate peut délibérément déclencher des verrouillages sur de nombreux comptes, empêchant ainsi les utilisateurs légitimes de se connecter. Les délais progressifs sont généralement préférables : chaque tentative échouée augmente le temps d'attente avant que la tentative suivante ne soit autorisée, ce qui frustre les outils automatisés sans bloquer de manière permanente les utilisateurs réels.

  • Des politiques de mots de passe solides

    La longueur du mot de passe importe plus que sa complexité. Une phrase de passe de 16 caractères composée de mots aléatoires est plus difficile à déchiffrer qu'une chaîne de 8 caractères composée de lettres, de chiffres et de symboles. Les gestionnaires de mots de passe permettent d'utiliser des mots de passe longs et uniques pour tous les comptes. Pour les exploitants de sites web, la politique la plus efficace consiste à exiger des mots de passe d'au moins 12 caractères et à comparer les nouveaux mots de passe aux bases de données connues sur les violations, en rejetant tout mot de passe apparu dans des fuites antérieures. La politique en matière de mots de passe permet de lutter efficacement contre les attaques par force brute et par dictionnaire. Elle n'offre pratiquement aucune protection contre le "credential stuffing", où l'attaquant possède déjà le bon mot de passe. C'est pourquoi la politique en matière de mots de passe est insuffisante en tant que moyen de défense contre les attaques par force brute.

  • CAPTCHA comme barrière structurelle pour les robots

    Le CAPTCHA fonctionne différemment des autres couches de cette liste. Plutôt que de limiter ce qu'un attaquant peut faire après un échec, il augmente le coût de chaque tentative avant qu'elle n'atteigne votre logique d'authentification. Cette distinction est importante. La distinction essentielle se situe entre les CAPTCHA visuels traditionnels et les CAPTCHA modernes à preuve de travail. Les CAPTCHA traditionnels (grilles d'images, texte déformé) sont de plus en plus cassables. Les outils alimentés par l'IA résolvent automatiquement les défis liés aux images, et les fermes de résolution de CAPTCHA peuvent traiter des millions de défis par jour pour quelques dollars. Face à un attaquant déterminé et disposant de ressources suffisantes, un CAPTCHA visuel offre moins de protection qu'il n'y paraît. Le CAPTCHA de preuve de travail fonctionne différemment. Au lieu de demander à l'utilisateur d'identifier des objets dans une image, il demande au navigateur d'effectuer un petit calcul cryptographique avant que le formulaire puisse être soumis. Pour un utilisateur réel, cela se produit de manière invisible en arrière-plan, avant qu'il ne finisse de remplir le formulaire. Pour un robot tentant des milliers de connexions par minute, chaque tentative nécessite désormais la résolution d'un puzzle de calcul, ce qui augmente le coût de l'attaque, quel que soit le nombre d'IP ou d'appareils utilisés par l'auteur de l'attaque. L'OWASP's Authentication Cheat Sheet note que le CAPTCHA doit être considéré comme un contrôle de défense en profondeur qui rend les attaques par force brute “plus longues et plus coûteuses”. Avec la preuve de travail en particulier, ce coût est intégré dans l'architecture plutôt que de dépendre de la difficulté de l'énigme.

Pourquoi le CAPTCHA est-il structurellement différent de la limitation des taux ?

La limitation de la vitesse dit : “vous ne pouvez essayer que X fois par minute”. Le CAPTCHA dit : “chaque tentative nécessite un travail de calcul qui ne peut être automatisé à peu de frais”. Un attaquant dont le débit est limité se contente de répartir les demandes sur plusieurs IP. Un attaquant confronté à un CAPTCHA à preuve de travail doit résoudre une énigme cryptographique pour chaque tentative, sur chaque IP, chaque appareil et chaque robot du réseau. Le coût augmente linéairement avec le volume, ce qui rend les attaques à grande échelle économiquement impraticables plutôt que simplement gênantes.

CAPTCHA.eu utilise la preuve de travail : invisible, sans cuisson, hébergé par l'UE.

CAPTCHA.eu protège les flux de connexion, d'enregistrement et de réinitialisation de mot de passe grâce à une vérification invisible de la preuve de travail. Pas de puzzle d'images. Pas de cookies. Toutes les données sont traitées en Autriche conformément à la législation européenne. Certifié WACA Silver par TÜV Austria selon WCAG 2.2 AA.

Démarrer l'essai gratuit
Pourquoi les opérateurs européens abandonnent-ils reCAPTCHA ?

  • Surveillance et détection des anomalies

    Même si tous ces éléments sont en place, c'est la surveillance qui permet de savoir si quelque chose a changé. Une attaque par force brute en cours laisse des traces évidentes : un pic soudain de tentatives de connexion échouées, une distribution inhabituelle des adresses IP d'origine ou un volume élevé de requêtes vers un seul point d'accès à un moment anormal.

Les tendances suivantes observées dans vos journaux méritent d'être étudiées :

  • Plusieurs tentatives de connexion échouées sur un même compte à partir de différentes adresses IP (pulvérisation de mot de passe)
  • Nombre élevé de tentatives infructueuses à partir d'une seule adresse IP ou d'une seule plage d'adresses IP (simple force brute)
  • Augmentation soudaine des demandes d'authentification en dehors des heures normales de trafic
  • Augmentation de la charge sur les points finaux de connexion, de réinitialisation de mot de passe ou d'enregistrement sans augmentation correspondante du nombre de connexions réussies.
  • Tentatives répétées avec des noms d'utilisateur ou des formats de courrier électronique légèrement différents pour le même mot de passe.

Les services CAPTCHA modernes offrent une visibilité sur le tableau de bord des volumes de tentatives. Un pic inhabituel dans les vérifications CAPTCHA sur un point de connexion est un signal précoce fiable qu'une tentative de force brute est en cours.

Si une attaque est déjà en cours : mesures immédiates

La détection est une chose. La réaction en est une autre. Si vous identifiez une attaque par force brute en cours, la séquence suivante permet de limiter les dégâts.

  • Bloquer temporairement les IP ou les plages d'IP les plus actives.

    Il s'agit d'une mesure à court terme et non d'une solution complète. Les attaques distribuées la contourneront, mais elle permet de réduire la charge immédiate et de gagner du temps.

  • Activer le CAPTCHA sur le point de terminaison ciblé s'il n'est pas déjà actif.

    Même le fait de le déployer au milieu d'une attaque augmente le coût pour les bots qui continuent à essayer.

  • Renforcer immédiatement les seuils de limitation des taux.

    Réduire la fenêtre de tentative autorisée et augmenter les délais pendant la durée de l'attaque.

  • Forcer la réinitialisation du mot de passe de tout compte présentant une activité anormale.

    Si des comptes spécifiques ont enregistré un nombre anormalement élevé de tentatives infructueuses, exigez une réauthentification avant que la prochaine connexion réussie ne soit autorisée.

  • Vérifier si des connexions réussies ont précédé ou coïncidé avec le trafic de l'attaque.

    Un attaquant qui a déjà réussi peut rester à l'intérieur pendant que l'attaque se poursuit pour faire diversion.

  • Conservez vos journaux.

    Les journaux d'accès bruts de la fenêtre d'attaque sont essentiels pour l'analyse post-incident et, le cas échéant, pour les rapports réglementaires dans le cadre du RGPD ou du NIS2.

Pas encore protégé ? Ajoutez CAPTCHA.eu à votre flux de connexion dès aujourd'hui

CAPTCHA.eu s'intègre en quelques minutes à WordPress, TYPO3, Keycloak, Magento, et à des piles personnalisées. Hébergé en Autriche, pas de cookies, pas de casse-tête pour les vrais utilisateurs.

Démarrer l'essai gratuit
Voir toutes les intégrations

Pourquoi une seule couche n'est jamais suffisante

Chaque moyen de défense figurant sur cette liste s'attaque à un vecteur d'attaque spécifique. Aucun d'entre eux ne s'attaque à tous les vecteurs.

Le MFA empêche un attaquant qui possède déjà le bon mot de passe d'accéder au compte, mais il n'empêche pas le trafic de force brute d'atteindre votre serveur. Des milliers de tentatives infructueuses bloquées par le MFA continuent à générer de la charge, à consommer des ressources et à remplir vos journaux.

La limitation du débit contrôle le volume du trafic, mais les attaques distribuées modernes contournent les seuils au niveau de l'IP sans ralentir. Elle fonctionne bien contre les attaques non sophistiquées, mais pas contre les adversaires disposant de ressources suffisantes.

Les CAPTCHA augmentent le coût de chaque tentative sur le plan informatique, mais sans MFA, la résolution d'un CAPTCHA réussi permet toujours de poursuivre la tentative de connexion. Le CAPTCHA filtre les robots, le MFA bloque les informations d'identification compromises.

Le verrouillage des comptes empêche les tentatives illimitées, mais il crée un risque de déni de service et ne protège pas contre le "credential stuffing", où l'attaquant n'a besoin que d'une seule tentative par compte.

La conclusion des conseils de l'OWASP et de l'architecture pratique de tout système de connexion bien protégé est que ces couches sont conçues pour se compléter mutuellement. Un point de connexion qui combine CAPTCHA, MFA, limitation de débit et surveillance des anomalies est réellement difficile à forcer brutalement à grande échelle. Chacun de ces éléments pris isolément laisse des failles qu'un attaquant déterminé peut exploiter.

Questions fréquemment posées

Quel est le moyen le plus efficace de prévenir les attaques par force brute ?

Aucune mesure unique ne permet d'arrêter toutes les variantes. L'approche la plus efficace combine l'AMF (qui empêche la compromission des comptes même lorsque les mots de passe sont connus), le CAPTCHA (qui augmente le coût de calcul de chaque tentative automatisée) et la limitation du taux (qui limite le volume des tentatives). L'analyse de Microsoft a révélé que l'AMF seule aurait permis d'arrêter 99,9% des compromissions de comptes étudiées, ce qui en fait la mesure la plus prioritaire si vous ne pouvez en mettre qu'une seule en œuvre.

Les CAPTCHA empêchent-ils les attaques par force brute ?

Oui, mais le type de CAPTCHA a son importance. Les CAPTCHA visuels traditionnels (grilles d'images, texte déformé) sont de plus en plus souvent résolus par des outils automatisés et des services de résolution de CAPTCHA. Les CAPTCHA de preuve de travail sont plus efficaces parce qu'ils nécessitent un calcul cryptographique pour chaque tentative, ce qui augmente le coût quelle que soit la capacité de reconnaissance d'image de l'attaquant. Aucun des deux types de CAPTCHA ne remplace l'AMF, mais tous deux augmentent considérablement les efforts et le coût d'une campagne de force brute à grande échelle.

Quelle est la différence entre la force brute et le bourrage d'informations d'identification ?

Les attaques par force brute devinent les mots de passe sans connaissance préalable, en essayant des combinaisons jusqu'à ce que l'une d'entre elles fonctionne. Le credential stuffing utilise des paires nom d'utilisateur/mot de passe connues provenant d'atteintes à la protection des données antérieures et les teste sur d'autres services, en exploitant la réutilisation des mots de passe. Le bourrage d'identité est plus rapide et plus ciblé. Une politique de mots de passe forts protège bien contre la force brute, mais offre peu de protection contre le bourrage d'identité, puisque l'attaquant possède déjà le bon mot de passe. L'AMF et les CAPTCHA répondent à ces deux types d'attaques.

La limitation du débit est-elle suffisante pour empêcher les attaques par force brute ?

Pour les attaques simples, à source unique, la limitation de débit est efficace. Contre la force brute distribuée moderne, où les demandes proviennent simultanément de milliers d'adresses IP différentes, la limitation de débit basée sur l'IP est insuffisante en soi. Elle est complétée par des seuils par compte et la détection des anomalies. Combinée avec CAPTCHA et MFA, la limitation de débit fait partie d'une défense robuste à plusieurs niveaux.

Comment savoir si mon site web fait l'objet d'une attaque par force brute ?

Les signaux les plus clairs sont : un pic soudain de tentatives de connexion échouées dans les journaux de votre serveur, des volumes élevés de demandes aux points de terminaison d'authentification, des tentatives multiples contre différents comptes à partir de différentes IP (pulvérisation de mot de passe), ou un tableau de bord CAPTCHA montrant un pic de vérification inhabituel. De nombreuses attaques par force brute ne sont pas détectées pendant des heures ou des jours dans les sites qui ne font pas l'objet d'une surveillance active. La mise en place d'alertes sur les taux d'échec de l'authentification est l'une des améliorations les plus simples et les plus utiles qu'un opérateur de site puisse apporter en matière de surveillance.

Le CAPTCHA fonctionne-t-il sans cookies ni bannières de consentement de l'utilisateur ?

Les services CAPTCHA traditionnels utilisent généralement des cookies, ce qui entraîne des exigences de consentement en matière de protection de la vie privée. CAPTCHA.eu fonctionne sans cookies par architecture, il n'y a donc aucune question de conformité liée aux cookies à résoudre, et aucune mise à jour de la bannière de consentement n'est nécessaire pour la couche CAPTCHA. Il traite toutes les données de vérification en Autriche, conformément à la législation européenne. Pour les exploitants de sites web européens qui souhaitent protéger les robots sans alourdir leur gestion du consentement, l'architecture sans cookies constitue un avantage pratique significatif.

Quels flux dois-je privilégier pour une protection par force brute ?

Les formulaires de connexion sont la cible principale, mais les attaquants ciblent également les flux de réinitialisation de mot de passe (qui peuvent contourner un compte verrouillé), les formulaires d'enregistrement (fausse création de compte à grande échelle) et les points de terminaison d'authentification API. Tout point de terminaison qui accepte des informations d'identification ou accorde des jetons d'accès est une cible potentielle de force brute. Donnez la priorité à la protection dans cet ordre : connexion, réinitialisation du mot de passe, points de terminaison de l'API, enregistrement.

Lecture associée

Messages récents

fr_FRFrench
en_USEnglish de_DEGerman es_ESSpanish nl_NLDutch it_ITItalian fr_FRFrench