🍸 HAPPY HOURS – Édition piratage 3/5 : Force brute ou le hacker qui frappe à ta porte 1 000 fois par minute 🛠️ | S.T.A.G : Stop & Take A Gin 🍸

Description

Troisième épisode de cette capsule spéciale dédiée au piratage de sites WordPress !
Aujourd’hui, on parle de force brute : cette méthode simple et redoutable qui consiste à deviner ton mot de passe… en testant des milliers de combinaisons.

Dans cet épisode, tu vas découvrir : → Ce que signifie vraiment une attaque par force brute,
→ Pourquoi elle fonctionne encore (même en 2025 😅),
→ Et surtout, comment t’en protéger sans compétences techniques.

Un épisode indispensable pour verrouiller l’accès à ton site… comme tu verrouillerais la porte de chez toi 🔐

________________________________________

Retrouve moi sur Instagram, pour encore + de tips :

https://www.instagram.com/whitestagweb/

Et sinon, tu peux aussi télécharger mon workbook GRATUIT des 8 étapes avant de créer ton site web :

https://landing.mailerlite.com/webforms/landing/r6y3g6

Ou encore, mon template de cahier des charges :

https://landing.mailerlite.com/webforms/landing/l0v3l5

On se retrouve dans 15 jours pour un nouvel épisode !

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
T'as déjà essayé d'ouvrir une porte en testant toutes les clés que tu avais sous la main ? C'est ce que font les pirates sur ton site.
Speaker #1
Hello, moi c'est Émilie, développeuse web chez Waitstag, agence web. Après 5 années de e-commerce et 5 années dans le commerce, je suis devenue développeuse web avec pour mission de faciliter l'accès au web, tout en créant un outil puissant au service de ton business. Si tu cherches des conseils et des astuces sur mon thé web et entrepreneuriat, tu es au bon endroit. C'est pour l'épisode du jour. Je fais partie.
Speaker #0
Hello, on se retrouve aujourd'hui pour le troisième épisode de notre capsule spéciale piratage de sites. Et aujourd'hui, on se retrouve pour une nouvelle attaque, pour décrypter un nouveau type d'attaque. C'est la force brute. Alors, dit comme ça, ça ne te parle absolument pas. Quand on entend force brute. Tu t'imagines quelque chose d'ultra violent où on essaie de t'arracher ton sac à main dans la rue ? Absolument pas. Si on devait comparer la force brute à une maison, ça reviendrait à quelqu'un qui tente de taper plein de fois à la porte pour essayer d'entrer chez toi et toi tu réponds pas. Et on essaye de forcer la porte, c'est-à-dire qu'on essaye d'entrer par tous les moyens possibles. Les portes, les fenêtres, tout ce qu'on peut trouver. C'est exactement ça. En gros, c'est comme si c'était un cambrioleur. Pour ton site, c'est pareil. La seule chose, la seule différence, c'est que ce n'est pas un cambrioleur, ce n'est pas une personne physique, c'est vraiment un système qui est automatisé derrière. Ce sont des robots qui sont liés les uns aux autres ou pas, mais des robots qui tentent de rentrer sur le panneau de connexion de ton site. On le sait, tous les WordPress ont un même panneau de connexion qui se trouve à l'adresse du site slash WP Admin. Ce n'est pas nouveau. Si toi, tu ne le savais pas, crois-moi, les pirates, eux, le savent. Et donc, il lance comme ça des tentatives multiples en tentant des combinaisons de mots de passe et d'identifiant. Et puis, ça se fait des dizaines et des dizaines et des dizaines de fois par minute, voire même des centaines de fois par minute, jusqu'à temps que soit on trouve la faille, soit on fasse crasher le site. C'est-à-dire que ton hébergeur, à force de recevoir comme ça plein de demandes, au bout d'un moment, il sature et on crée une faille. C'est comme ça aussi que les pirates peuvent entrer sur ton site. Ce n'est pas forcément l'attaque la plus connue. On connaît plus le phishing dont on a parlé dans le précédent épisode. Mais la force brute, c'est l'attaque la plus utilisée. Pourquoi ? Parce que tout simplement, c'est ce qui fonctionne le mieux. C'est le plus simple à mettre en place. C'est-à-dire qu'on cible plein de sites en même temps, avec plein de combinaisons de mots de passe qui sont générés automatiquement, plein de combinaisons aussi d'identifiant qui sont générés automatiquement. Et même le plus souvent, il n'y a même pas... à générer un identifiant parce que la plupart des personnes utilisent comme identifiant le mot admin. Si c'est ton cas, j'ai envie de te dire, il est grand temps de changer. Il est grand temps de retirer tout ça pour passer sur quelque chose de plus élaboré. La deuxième chose aussi, c'est que des fois, il n'y a pas besoin de chercher très loin pour le mot de passe. C'est pour ça que maintenant, la plupart des sites demandent des mots de passe forts avec des combinaisons de majuscules, minuscules, chiffres, caractères spéciaux et avec un minimum de lettres requis, un minimum de caractères requis. Parce que justement, c'était beaucoup trop simple. À une époque, on avait des mots de passe type 1, 2, 3, 4, 5. Ou alors le fameux 4-0 que absolument tout le monde a eu sur sa carte SIM à un moment donné. C'était le même genre pour les sites internet. Et crois-moi, du coup, il n'y avait pas besoin de lancer beaucoup d'attaques de robots pour trouver les mots de passe. Et puis surtout, le problème encore qui est derrière, c'est qu'il n'y a pas de limite. C'est-à-dire que si le pirate veut tenter de faire ça 8000 fois dans la même minute, il va pouvoir le faire s'il le veut. Alors j'exagère peut-être un petit peu parce que mille fois ça fait vraiment beaucoup, beaucoup, beaucoup, beaucoup. Mais s'il a plusieurs robots qui s'en occupent, ça peut arriver. Pour résoudre ce problème-là, il n'y a pas besoin de faire grand-chose à part changer régulièrement son mot de passe. Ça, j'insiste là-dessus. Essaye de le changer. Si tu vois que tu as beaucoup d'attaques, au moins une fois par mois, voire éventuellement en période de forte attaque, une fois par semaine. Et puis sinon, une fois minimum par trimestre parce que malheureusement, si le mot de passe reste le même, il y a un moment donné où si cette combinaison n'a pas été testée, elle le sera peut-être un jour. Donc plus tu vas tenter de renouveler ton mot de passe et moins tu as de chances de tomber dans ce piège de l'attaque par force brute. Deuxième chose, on change son nom d'utilisateur. Même si on est l'admin du site, on le sait tous très bien. Il n'y a pas besoin de l'écrire pour se connecter. Donc change le nom d'utilisateur. Et puis, dernier petit point, déplace l'URL de connexion, ne la laisse plus à wp-admin. Ça évitera de gros problèmes. Si tu dois retenir quelque chose de cet épisode, c'est que cette fois-ci, on ne t'attaque pas toi directement. On attaque ton site en essayant de trouver les infos par tous les moyens dans les codes sources, etc. Et on essaye des tentatives de connexion avec un mot de passe qu'on génère automatiquement plusieurs fois par seconde pour pouvoir réussir à trouver quelque chose. Dans le prochain épisode, on va parler d'un autre risque. Cette fois-ci, on va parler des failles techniques. qu'on laisse bien souvent entrer par nous-mêmes sur nos sites. Je te dévoile tout ça dès demain dans l'épisode, qui sera le quatrième de cette capsule. Et en attendant, je te souhaite une très belle soirée, une très belle nuit, et je te dis à demain !
Speaker #2
Merci.

Description

Un épisode indispensable pour verrouiller l’accès à ton site… comme tu verrouillerais la porte de chez toi 🔐

________________________________________

Retrouve moi sur Instagram, pour encore + de tips :

https://www.instagram.com/whitestagweb/

Et sinon, tu peux aussi télécharger mon workbook GRATUIT des 8 étapes avant de créer ton site web :

https://landing.mailerlite.com/webforms/landing/r6y3g6

Ou encore, mon template de cahier des charges :

https://landing.mailerlite.com/webforms/landing/l0v3l5

On se retrouve dans 15 jours pour un nouvel épisode !

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
T'as déjà essayé d'ouvrir une porte en testant toutes les clés que tu avais sous la main ? C'est ce que font les pirates sur ton site.
Speaker #1
Hello, moi c'est Émilie, développeuse web chez Waitstag, agence web. Après 5 années de e-commerce et 5 années dans le commerce, je suis devenue développeuse web avec pour mission de faciliter l'accès au web, tout en créant un outil puissant au service de ton business. Si tu cherches des conseils et des astuces sur mon thé web et entrepreneuriat, tu es au bon endroit. C'est pour l'épisode du jour. Je fais partie.
Speaker #0
Hello, on se retrouve aujourd'hui pour le troisième épisode de notre capsule spéciale piratage de sites. Et aujourd'hui, on se retrouve pour une nouvelle attaque, pour décrypter un nouveau type d'attaque. C'est la force brute. Alors, dit comme ça, ça ne te parle absolument pas. Quand on entend force brute. Tu t'imagines quelque chose d'ultra violent où on essaie de t'arracher ton sac à main dans la rue ? Absolument pas. Si on devait comparer la force brute à une maison, ça reviendrait à quelqu'un qui tente de taper plein de fois à la porte pour essayer d'entrer chez toi et toi tu réponds pas. Et on essaye de forcer la porte, c'est-à-dire qu'on essaye d'entrer par tous les moyens possibles. Les portes, les fenêtres, tout ce qu'on peut trouver. C'est exactement ça. En gros, c'est comme si c'était un cambrioleur. Pour ton site, c'est pareil. La seule chose, la seule différence, c'est que ce n'est pas un cambrioleur, ce n'est pas une personne physique, c'est vraiment un système qui est automatisé derrière. Ce sont des robots qui sont liés les uns aux autres ou pas, mais des robots qui tentent de rentrer sur le panneau de connexion de ton site. On le sait, tous les WordPress ont un même panneau de connexion qui se trouve à l'adresse du site slash WP Admin. Ce n'est pas nouveau. Si toi, tu ne le savais pas, crois-moi, les pirates, eux, le savent. Et donc, il lance comme ça des tentatives multiples en tentant des combinaisons de mots de passe et d'identifiant. Et puis, ça se fait des dizaines et des dizaines et des dizaines de fois par minute, voire même des centaines de fois par minute, jusqu'à temps que soit on trouve la faille, soit on fasse crasher le site. C'est-à-dire que ton hébergeur, à force de recevoir comme ça plein de demandes, au bout d'un moment, il sature et on crée une faille. C'est comme ça aussi que les pirates peuvent entrer sur ton site. Ce n'est pas forcément l'attaque la plus connue. On connaît plus le phishing dont on a parlé dans le précédent épisode. Mais la force brute, c'est l'attaque la plus utilisée. Pourquoi ? Parce que tout simplement, c'est ce qui fonctionne le mieux. C'est le plus simple à mettre en place. C'est-à-dire qu'on cible plein de sites en même temps, avec plein de combinaisons de mots de passe qui sont générés automatiquement, plein de combinaisons aussi d'identifiant qui sont générés automatiquement. Et même le plus souvent, il n'y a même pas... à générer un identifiant parce que la plupart des personnes utilisent comme identifiant le mot admin. Si c'est ton cas, j'ai envie de te dire, il est grand temps de changer. Il est grand temps de retirer tout ça pour passer sur quelque chose de plus élaboré. La deuxième chose aussi, c'est que des fois, il n'y a pas besoin de chercher très loin pour le mot de passe. C'est pour ça que maintenant, la plupart des sites demandent des mots de passe forts avec des combinaisons de majuscules, minuscules, chiffres, caractères spéciaux et avec un minimum de lettres requis, un minimum de caractères requis. Parce que justement, c'était beaucoup trop simple. À une époque, on avait des mots de passe type 1, 2, 3, 4, 5. Ou alors le fameux 4-0 que absolument tout le monde a eu sur sa carte SIM à un moment donné. C'était le même genre pour les sites internet. Et crois-moi, du coup, il n'y avait pas besoin de lancer beaucoup d'attaques de robots pour trouver les mots de passe. Et puis surtout, le problème encore qui est derrière, c'est qu'il n'y a pas de limite. C'est-à-dire que si le pirate veut tenter de faire ça 8000 fois dans la même minute, il va pouvoir le faire s'il le veut. Alors j'exagère peut-être un petit peu parce que mille fois ça fait vraiment beaucoup, beaucoup, beaucoup, beaucoup. Mais s'il a plusieurs robots qui s'en occupent, ça peut arriver. Pour résoudre ce problème-là, il n'y a pas besoin de faire grand-chose à part changer régulièrement son mot de passe. Ça, j'insiste là-dessus. Essaye de le changer. Si tu vois que tu as beaucoup d'attaques, au moins une fois par mois, voire éventuellement en période de forte attaque, une fois par semaine. Et puis sinon, une fois minimum par trimestre parce que malheureusement, si le mot de passe reste le même, il y a un moment donné où si cette combinaison n'a pas été testée, elle le sera peut-être un jour. Donc plus tu vas tenter de renouveler ton mot de passe et moins tu as de chances de tomber dans ce piège de l'attaque par force brute. Deuxième chose, on change son nom d'utilisateur. Même si on est l'admin du site, on le sait tous très bien. Il n'y a pas besoin de l'écrire pour se connecter. Donc change le nom d'utilisateur. Et puis, dernier petit point, déplace l'URL de connexion, ne la laisse plus à wp-admin. Ça évitera de gros problèmes. Si tu dois retenir quelque chose de cet épisode, c'est que cette fois-ci, on ne t'attaque pas toi directement. On attaque ton site en essayant de trouver les infos par tous les moyens dans les codes sources, etc. Et on essaye des tentatives de connexion avec un mot de passe qu'on génère automatiquement plusieurs fois par seconde pour pouvoir réussir à trouver quelque chose. Dans le prochain épisode, on va parler d'un autre risque. Cette fois-ci, on va parler des failles techniques. qu'on laisse bien souvent entrer par nous-mêmes sur nos sites. Je te dévoile tout ça dès demain dans l'épisode, qui sera le quatrième de cette capsule. Et en attendant, je te souhaite une très belle soirée, une très belle nuit, et je te dis à demain !
Speaker #2
Merci.

Embed