Découvrez tout ce qu’il faut savoir sur l’attaque Brute Force avec Hydra, un outil puissant pour tester la sécurité des mots de passe. Apprenez son fonctionnement, ses utilisations, sa légalité et comment vous en protéger.
Qu’est-ce qu’une attaque Brute Force avec Hydra ?
L’attaque par force brute est l’une des méthodes d’intrusion les plus redoutables en cybersécurité : elle ne demande que peu d’expérience, est entièrement automatisée et exploite avant tout la faiblesse des mots de passe humains. Pour mener ce type d’attaque sur des protocoles réseau, les professionnels comme les attaquants malveillants s’appuient sur des outils spécialisés, dont le plus connu est Hydra. Comprendre à la fois le concept d’attaque par force brute et le fonctionnement d’Hydra est essentiel pour tout professionnel souhaitant tester et renforcer la sécurité de ses systèmes.
Définition d’une attaque Brute Force
Une attaque Brute Force est une méthode utilisée pour deviner des informations sensibles, comme des mots de passe ou des clés de chiffrement, en testant systématiquement toutes les combinaisons possibles jusqu’à trouver la bonne. L’attaquant — ou l’outil automatisé — soumet des essais successifs d’identifiants sur un service cible, en s’appuyant soit sur toutes les combinaisons de caractères envisageables, soit sur des listes de mots de passe courants appelées wordlists ou dictionnaires. Cette technique peut se révéler particulièrement efficace contre des systèmes mal protégés ou des mots de passe faibles. En revanche, face à un mot de passe long et complexe, le nombre de possibilités devient exponentiel : quelques caractères supplémentaires peuvent transformer une attaque de quelques secondes en une attaque de plusieurs années.
Qu’est-ce qu’Hydra ?
Hydra, également connu sous le nom de THC-Hydra (pour The Hacker’s Choice Hydra), est un outil open-source conçu pour effectuer des cyberattaques par force brute sur divers protocoles et services réseau. Développé et maintenu par la communauté de sécurité, il s’est imposé comme une référence incontournable dans l’arsenal des tests de pénétration. Son objectif principal est de tester les mécanismes d’authentification en devinant les identifiants de connexion via des combinaisons multiples.
Hydra se distingue par sa polyvalence : il prend en charge plus de 50 protocoles tels que HTTP, FTP, SSH, RDP, MySQL, Telnet, SMTP et bien d’autres. Il offre une interface en ligne de commande efficace et permet une exécution rapide grâce à sa capacité de parallélisation — il peut lancer plusieurs milliers de tentatives par seconde. C’est précisément cette rapidité et cette flexibilité qui en font un outil de référence pour les professionnels de la cybersécurité, mais aussi un outil dont l’usage malveillant peut entraîner de graves sanctions judiciaires.
Quels sont les types d’attaques par force brute ?
Toutes les attaques par force brute ne se ressemblent pas. Selon l’objectif visé, les ressources disponibles et les protections en place, un attaquant — ou un pentester — choisira une approche différente. Hydra est capable de mener plusieurs de ces stratégies : de l’attaque la plus exhaustive à des variantes modernes et ciblées.
Attaque exhaustive
L’attaque exhaustive, aussi appelée brute force pure, consiste à tester méthodiquement toutes les combinaisons de caractères possibles jusqu’à trouver le mot de passe correct. C’est la forme d’attaque la plus simple sur le plan conceptuel, mais aussi la plus gourmande en ressources. Le nombre de combinaisons à tester croît de façon exponentielle avec la longueur du mot de passe : un mot de passe de 6 caractères alphanumériques représente déjà plus de 2 milliards de possibilités, et l’ajout d’un seul caractère supplémentaire multiplie ce chiffre par 36. Face à des mots de passe longs et complexes, une attaque exhaustive peut théoriquement prendre des décennies, même avec une puissance de calcul élevée.
Attaque par dictionnaire
Plutôt que de tester toutes les combinaisons imaginables, l’attaque par dictionnaire s’appuie sur des listes prédéfinies de mots de passe probables. Ces wordlists contiennent des milliers voire des millions de mots de passe courants, de mots du dictionnaire, de prénoms et de combinaisons fréquemment utilisées. Hydra intègre nativement cette approche via le paramètre -P. Le fichier rockyou.txt, qui compile des millions de mots de passe issus de fuites de données réelles, est l’un des dictionnaires les plus utilisés lors des tests de pénétration.
Cette approche est bien plus rapide et efficace dans la pratique, car elle repose sur le constat que la majorité des utilisateurs choisissent des mots de passe prévisibles. Elle restera toutefois inefficace face à un mot de passe réellement unique et complexe qui ne figure dans aucune liste connue.
Password spraying et credential stuffing
Le password spraying et le credential stuffing sont deux variantes modernes particulièrement redoutables car elles contournent les mécanismes de protection classiques. Le password spraying consiste à tester un nombre très limité de mots de passe très courants — comme Password1! ou 123456 — sur un grand nombre de comptes différents, évitant ainsi le blocage automatique après plusieurs échecs sur un même compte. Le credential stuffing, quant à lui, exploite des listes d’identifiants volées lors de fuites de données, testées de manière automatisée sur d’autres services en misant sur la réutilisation des mots de passe.
Ces deux méthodes peuvent être orchestrées avec Hydra, notamment grâce à ses options de parallélisation et de gestion des listes de cibles — ce qui souligne l’importance de ne jamais réutiliser ses mots de passe et d’activer l’authentification à deux facteurs sur tous ses comptes.
Comment fonctionne BruteForce Hydra ?
Hydra fonctionne en testant systématiquement des combinaisons de noms d’utilisateur et de mots de passe jusqu’à trouver la bonne paire. Pour chaque tentative, l’outil envoie une requête d’authentification au service ciblé, analyse la réponse du serveur, puis passe à la combinaison suivante. Trois principes clés structurent son fonctionnement : la sélection d’un protocole cible (SSH, FTP, HTTP, RDP, etc.), l’utilisation de wordlists pour maximiser les chances de succès, et la parallélisation des attaques qui permet de lancer plusieurs tentatives simultanément.
Modules et protocoles pris en charge
L’un des principaux atouts d’Hydra réside dans sa couverture protocolaire. Chaque protocole est géré par un module dédié, ce qui permet d’adapter l’attaque à la nature du service ciblé. Voici les protocoles les plus couramment utilisés avec Hydra :
| Protocole | Port par défaut | Usage typique |
|---|---|---|
| SSH | 22 | Accès distant sécurisé aux serveurs Linux/Unix |
| FTP | 21 | Transfert de fichiers entre client et serveur |
| HTTP / HTTPS | 80 / 443 | Formulaires de connexion web (méthodes GET et POST) |
| POP3 | 110 | Récupération d’e-mails depuis un serveur de messagerie |
| MySQL | 3306 | Authentification sur une base de données MySQL |
| RDP | 3389 | Bureau à distance sur systèmes Windows |
| phpMyAdmin | 80 / 443 | Interface web d’administration de bases de données MySQL |
| SMB | 445 | Partages réseau et authentification Windows |
| SMTP | 25 / 587 | Serveurs d’envoi d’e-mails |
| IMAP | 143 | Accès et gestion des boîtes e-mail |
| Telnet | 23 | Connexion à distance non chiffrée (systèmes anciens) |
| VNC | 5900 | Prise en main de bureau à distance multiplateforme |
| LDAP | 389 | Annuaires et authentification d’entreprise |
| PostgreSQL | 5432 | Authentification sur une base de données PostgreSQL |
| SNMP | 161 | Supervision et gestion des équipements réseau |
Syntaxe et options clés
La syntaxe générale d’une commande Hydra suit le schéma suivant :
Les options sont le cœur de la personnalisation de chaque attaque. Le tableau ci-dessous détaille les paramètres essentiels à maîtriser :
| Option | Description | Exemple |
|---|---|---|
-l LOGIN | Spécifie un nom d’utilisateur unique et connu | -l admin |
-L FICHIER | Charge un fichier contenant une liste de noms d’utilisateur à tester | -L users.txt |
-p PASS | Spécifie un mot de passe unique à tester | -p password123 |
-P FICHIER | Charge un fichier dictionnaire de mots de passe (wordlist) | -P rockyou.txt |
-t N | Définit le nombre de connexions parallèles par cible (défaut : 16) | -t 4 |
-s PORT | Spécifie un port personnalisé si le service n’écoute pas sur le port par défaut | -s 2222 |
-f | Arrête l’attaque dès qu’un premier couple login/mot de passe valide est trouvé | -f |
-V | Mode verbeux : affiche chaque combinaison testée en temps réel | -V |
Flux d’exécution et interprétation des résultats
Processus d’exécution d’Hydra
Lorsqu’Hydra est lancé, il affiche un résumé de la configuration : nombre de tâches parallèles, serveur ciblé, protocole utilisé et nombre total de tentatives prévues. Il teste ensuite chaque combinaison login/mot de passe en envoyant des requêtes d’authentification successives. Si le mode verbeux (-V) est activé, chaque tentative est affichée en temps réel. Dès qu’un couple valide est identifié, Hydra l’isole et l’affiche clairement dans la sortie, avec le port, le protocole, l’hôte, le login et le mot de passe correspondants.
Exemple pratique d’exécution
Pour tester le mot de passe de l’utilisateur admin sur un service SSH :
Interprétation des résultats
Lorsqu’Hydra trouve un identifiant valide, il l’affiche sous cette forme :
La ligne de résultat indique le port utilisé, le protocole, l’adresse IP de la cible, le nom d’utilisateur valide et le mot de passe trouvé. Si aucun mot de passe de la liste ne correspond, Hydra indique que la cible n’a pas été compromise — signe encourageant, mais qui n’écarte pas l’utilisation d’un dictionnaire différent ou d’une attaque exhaustive.
Comment installer Hydra ?
Hydra est un outil open-source gratuit, disponible dans les dépôts officiels des principales distributions Linux. Sur Kali Linux, il est préinstallé par défaut. Sur les autres systèmes — Ubuntu, Debian, macOS ou Windows — l’installation reste simple et prend moins de cinq minutes.
Installation sur Linux (Kali, Debian, Ubuntu)
- Vérifier si Hydra est déjà présent (Kali Linux) : ouvrez un terminal et tapez
hydra --help. Si la liste des options s’affiche, Hydra est déjà opérationnel. - Mettre à jour la liste des paquets :
sudo apt update - Installer Hydra :
sudo apt install hydra -y - Installer les dépendances optionnelles (pour activer le support de protocoles supplémentaires) :
sudo apt install libssl-dev libssh-dev libidn11-dev libpcre3-dev libmysqlclient-dev libpq-dev libsvn-dev -y - Vérifier l’installation :
hydra --help
Installation sur macOS et Windows (WSL)
Sur macOS :
- Installer Homebrew (si ce n’est pas déjà fait) :
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" - Installer Hydra via Homebrew :
brew install hydra - Vérifier l’installation :
hydra --help
Sur Windows (via WSL) :
- Activer WSL et installer Ubuntu depuis le Microsoft Store.
- Ouvrir un terminal Ubuntu (WSL) et installer Hydra :
sudo apt update && sudo apt install hydra -y - Vérifier l’installation :
hydra --help
La solution WSL est recommandée sous Windows car elle offre une compatibilité complète avec l’environnement Linux, sans la complexité d’une installation via Cygwin. Une fois Hydra installé, vous pouvez passer à son utilisation concrète pour vos tests de pénétration.
Quels dictionnaires de mots de passe utiliser avec Hydra ?
Hydra repose en grande partie sur l’utilisation de wordlists : des fichiers texte contenant des milliers, voire des millions, de mots de passe à tester les uns après les autres. L’option -P permet de spécifier le chemin vers ce fichier. Le format attendu est simple : un mot de passe par ligne, en texte brut (.txt), sans en-tête ni formatage particulier. Plus la wordlist est pertinente et adaptée à la cible, plus l’attaque a de chances d’aboutir rapidement.
rockyou.txt et autres wordlists populaires
- rockyou.txt : l’un des fichiers les plus utilisés, contenant plus de 14 millions de mots de passe réels issus de fuites de données. Sur Kali Linux, il est préinstallé dans
/usr/share/wordlists/rockyou.txt.gz; décompressez-le avecgunzip /usr/share/wordlists/rockyou.txt.gz. Il est également téléchargeable depuis Weakpass, le dépôt GitHub zacheller/rockyou ou Hugging Face. - SecLists : collection de référence pour les testeurs d’intrusion, regroupant des listes variées — mots de passe, noms d’utilisateurs, URLs, payloads de fuzzing et bien plus encore.
- Listes spécialisées par protocole : selon le service ciblé (SSH, HTTP, FTP…), il est préférable d’utiliser une wordlist adaptée au contexte plutôt qu’une liste générique, car les schémas de mots de passe varient selon les environnements.
Créer un dictionnaire personnalisé
Les wordlists génériques ne suffisent pas toujours. Des listes personnalisées adaptées à une cible spécifique peuvent augmenter considérablement le taux de succès. Trois outils sont particulièrement utiles :
Crunch : génération paramétrique
Crunch génère une wordlist selon vos critères : longueur minimale et maximale, jeu de caractères spécifique. Préinstallé sur Kali Linux, la commande crunch 8 10 abcdefghijklmnopqrstuvwxyz0123456789 génère toutes les combinaisons alphanumériques de 8 à 10 caractères — particulièrement utile lorsque vous connaissez la politique de mots de passe de l’application testée.
CeWL : extraction à partir d’un site web
CeWL (Custom Word List generator) explore un site web cible jusqu’à une profondeur définie et génère automatiquement une wordlist à partir du contenu textuel trouvé. Exemple : cewl -d 2 -m 5 -w wordlist.txt https://cible.fr crawle le site à deux niveaux de profondeur et enregistre tous les mots d’au moins 5 caractères. CeWL est intégré par défaut à Kali Linux.
John the Ripper : génération de variantes
Les règles de John the Ripper permettent de générer automatiquement des variantes d’un mot de base — ajout de chiffres, de majuscules, de caractères spéciaux — via par exemple john --wordlist=pass --rules=Jum --stdout. Cette technique est particulièrement efficace lors d’un password spraying ciblé dans des contextes d’entreprise où les mots de passe suivent souvent un schéma prévisible.
Exemples pratiques d’attaques avec Hydra
Pour bien comprendre comment Hydra s’utilise concrètement, voici des exemples de commandes prêtes à l’emploi. Que vous cibliez un service SSH, FTP ou un formulaire de connexion web, la logique reste toujours la même : définir une cible, un nom d’utilisateur (ou une liste), une wordlist et le protocole à attaquer. Ces exemples sont destinés à être reproduits uniquement sur des environnements que vous possédez ou pour lesquels vous disposez d’une autorisation écrite explicite.
Bruteforce d’un service SSH
SSH est l’un des services les plus fréquemment ciblés lors d’un test d’intrusion, car il donne un accès direct en ligne de commande à la machine distante. Pour tester la robustesse du compte admin sur un serveur à l’adresse 192.168.1.1 :
- -l admin : nom d’utilisateur unique. Remplacez par
-L users.txtpour tester plusieurs comptes. - -P /usr/share/wordlists/rockyou.txt : chemin vers la wordlist (plus de 14 millions de mots de passe).
- -t 4 : limite le nombre de connexions parallèles pour éviter de saturer le service et de déclencher des mécanismes de défense.
- ssh://192.168.1.1 : protocole et adresse IP de la cible. Un port non standard peut être précisé avec
ssh://192.168.1.1:2222.
Lorsque Hydra trouve le bon mot de passe, il l’affiche sous la forme [22][ssh] host: 192.168.1.1 login: admin password: monmotdepasse.
Bruteforce d’un service FTP
Beaucoup de serveurs FTP sont encore configurés avec des identifiants par défaut ou des mots de passe trop simples. La commande est identique à celle pour SSH — seul le protocole change :
Pour tester plusieurs noms d’utilisateur simultanément, remplacez -l admin par -L users.txt. Pour enregistrer les résultats dans un fichier, ajoutez l’option -o resultats.txt à la fin de la commande.
Bruteforce d’un formulaire web (HTTP POST)
Principes et identification des paramètres
Les formulaires de connexion web représentent un cas plus complexe, car Hydra doit reproduire une requête HTTP POST telle qu’elle est envoyée par le navigateur. Il est nécessaire d’identifier au préalable les paramètres du formulaire via les outils de développement du navigateur ou un proxy d’interception comme Burp Suite : le chemin de la page de connexion, les noms des champs username et password, ainsi que le message d’erreur affiché en cas d’échec.
Exemple de commande
Pour un formulaire accessible à http://192.168.1.1/login.php, avec les champs username et password, affichant « Identifiants incorrects » en cas d’échec :
Détail des paramètres du module http-post-form
- http-post-form : module dédié aux formulaires HTML en méthode POST.
- « /login.php:username=^USER^&password=^PASS^:F=Identifiants incorrects » : chaîne en trois parties séparées par des deux-points. La première est le chemin de la page de login, la deuxième contient les paramètres POST avec
^USER^et^PASS^comme variables substituées automatiquement, la troisième (F=) précise le texte présent dans la réponse en cas d’échec. Il est également possible d’utiliserS=pour indiquer une chaîne présente uniquement en cas de succès.
Limitations et protections avancées
Les formulaires modernes intégrant des tokens CSRF dynamiques ou du chiffrement côté client en JavaScript peuvent mettre Hydra en difficulté, car l’outil ne dispose pas d’un moteur de rendu JavaScript. Dans ces situations, des outils complémentaires comme Burp Suite sont souvent nécessaires.
Qui utilise Hydra et dans quels contextes ?
Hydra est utilisé par des profils très variés, avec des intentions et des contextes radicalement différents. Si les pentesters et les équipes de sécurité en font un usage légal et encadré, des acteurs malveillants peuvent aussi l’exploiter à des fins illicites. La frontière repose entièrement sur l’autorisation préalable du propriétaire du système ciblé.
Profils et contextes d’utilisation d’Hydra
| Profil | Contexte d’utilisation | Objectif | Légalité |
|---|---|---|---|
| Pentester | Tests de pénétration autorisés sur les systèmes d’un client | Évaluer la robustesse des mécanismes d’authentification et identifier les mots de passe faibles | ✅ Légal avec autorisation écrite |
| Red Team | Simulation d’attaques réalistes contre une organisation | Reproduire le comportement d’un attaquant réel pour tester les défenses en conditions réelles | ✅ Légal dans le cadre d’une mission contractuelle |
| Administrateur système | Audit interne des propres réseaux et serveurs de l’organisation | Détecter les comptes protégés par des mots de passe trop faibles et appliquer des politiques de sécurité | ✅ Légal sur ses propres systèmes |
| Chercheur en sécurité | Environnements de laboratoire, machines virtuelles, plateformes d’entraînement | Étudier les vulnérabilités des protocoles d’authentification et développer de nouvelles contre-mesures | ✅ Légal en environnement contrôlé |
| Étudiant / apprenant | Plateformes CTF, labs pédagogiques | Apprendre les techniques de brute force dans un cadre pédagogique et sécurisé | ✅ Légal sur les environnements dédiés à la formation |
| Attaquant malveillant | Systèmes tiers sans autorisation | Accéder illégalement à des comptes, voler des données ou compromettre des infrastructures | ❌ Illégal — constitue une cybercriminalité passible de sanctions pénales |
Est-ce légal d’utiliser Hydra ?
Hydra est un outil à double tranchant : entre les mains d’un professionnel mandaté, il constitue un levier précieux pour évaluer la robustesse des systèmes d’authentification ; utilisé sans autorisation, il expose son utilisateur à de lourdes sanctions pénales. Utiliser Hydra pour accéder à des systèmes sans autorisation est considéré comme de la cybercriminalité, punissable par la loi. Il est donc essentiel de toujours obtenir une autorisation écrite avant de lancer le moindre test.
Cadre légal et autorisations
Infractions pénales en droit français
En France, les atteintes aux systèmes informatiques sont encadrées par le Code pénal. L’accès ou le maintien frauduleux dans un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende (article 323-1). Lorsqu’il en résulte la suppression ou la modification de données, la peine est portée à cinq ans et 150 000 €. Le fait d’importer, détenir ou mettre à disposition un programme conçu pour commettre de telles infractions est puni des mêmes peines (article 323-3-1). Une exception légale existe pour les professionnels de la sécurité grâce à la LCEN de 2004, à condition que l’intervention soit justifiée par un motif légitime. Enfin, dès lors que les tests portent sur des systèmes traitant des données personnelles, le RGPD s’applique également.
Obligations pratiques pour une utilisation légale
- Autorisation écrite préalable : la Cour d’Appel de Toulouse a précisé que « l’absence d’autorisation expresse du maître du système » caractérise l’accès frauduleux. Un contrat ou un ordre de mission signé est indispensable.
- Périmètre clairement défini : l’intervention doit être circonscrite à l’environnement convenu. Tout débordement hors du périmètre peut constituer une infraction.
- Justification du motif légitime : produire un contrat, un ordre de mission, un ticket ou un courriel d’habilitation, et vérifier la charte informatique et la PSSI.
- Respect du RGPD : si les systèmes testés traitent des données personnelles, l’audit doit être encadré contractuellement.
- Équivalents à l’international : le Computer Fraud and Abuse Act (CFAA) aux États-Unis, le Computer Misuse Act au Royaume-Uni, et la Convention de Budapest sur la cybercriminalité s’appliquent dans leurs juridictions respectives.
Usages éthiques et bonnes pratiques
Dans un cadre légal et éthique, Hydra est un outil de référence pour de nombreux scénarios professionnels et pédagogiques :
- Tests de pénétration mandatés : avec un contrat signé définissant le périmètre d’intervention et les responsabilités de chaque partie.
- Audit interne de sécurité : les administrateurs système peuvent tester la solidité des mots de passe sur leur propre infrastructure.
- Capture The Flag (CTF) : des environnements isolés légalement dédiés à l’exploitation de vulnérabilités, où Hydra est un outil courant pour les épreuves de brute force.
- Environnement de laboratoire : sur une machine virtuelle ou un réseau isolé créé spécialement pour l’apprentissage, sans aucun risque légal.
- Test de ses propres systèmes : tout propriétaire d’un serveur personnel peut légitimement vérifier si ses mots de passe résistent à une attaque par dictionnaire.
- Recherche en cybersécurité : dans un environnement contrôlé et dans le respect du cadre légal.
Quelles sont les limites d’Hydra ?
Aussi puissant qu’il soit, Hydra n’est pas un outil infaillible. Son efficacité se heurte à plusieurs mécanismes de protection modernes qui peuvent rendre une attaque par force brute totalement inopérante.
CAPTCHA, tokens CSRF et hachage côté client
Plusieurs mécanismes de protection des applications web mettent Hydra en échec de manière quasi systématique. Les CAPTCHA exigent une interaction manuelle qu’Hydra est incapable de reproduire. Les tokens CSRF imposent une valeur unique à chaque requête : Hydra ne supportant pas nativement la gestion de tokens JavaScript côté client, la seule solution consiste à passer par un proxy qui modifie ses requêtes à la volée. Enfin, le hachage côté client pose un problème structurel : Hydra ne fonctionnant pas dans un environnement navigateur, il ne peut pas reproduire les opérations de chiffrement effectuées par du JavaScript.
Verrouillage de compte et rate limiting
Le verrouillage de compte désactive temporairement un compte après un nombre défini d’échecs. Hydra ne détecte pas nativement ce mécanisme : l’outil continue d’envoyer des requêtes même lorsque le compte est bloqué, rendant l’attaque non seulement inefficace, mais aussi immédiatement visible pour les équipes de sécurité. Le rate limiting limite le nombre de requêtes autorisées par unité de temps depuis une même IP, transformant une attaque capable de tester des milliers de combinaisons par seconde en un processus si lent qu’il devient inexploitable. Combinés, ces mécanismes font d’Hydra un outil peu adapté aux services en ligne correctement sécurisés ; il reste pertinent pour les services internes peu protégés ou les protocoles réseau classiques (SSH, FTP).
Hydra vs autres outils de bruteforce
Hydra n’est pas le seul outil de bruteforce utilisé par les professionnels de la cybersécurité. Voici un tableau comparatif des principaux outils du domaine :
| Outil | Type d’attaque | Mode | Cible principale | Interface | Protocoles / Formats |
|---|---|---|---|---|---|
| Hydra | Bruteforce / dictionnaire | En ligne (réseau) | Services réseau distants | CLI | 50+ protocoles (SSH, FTP, HTTP, RDP…) |
| John the Ripper | Bruteforce / dictionnaire | Hors ligne (local) | Hashs de mots de passe | CLI | Nombreux formats de hash (MD5, SHA, NTLM…) |
| Burp Suite Intruder | Bruteforce / fuzzing | En ligne (web) | Applications web | GUI | HTTP / HTTPS uniquement |
| Medusa | Bruteforce / dictionnaire | En ligne (réseau) | Services réseau distants | CLI | ~20 protocoles (SSH, FTP, HTTP, MySQL…) |
Hydra vs John the Ripper
La distinction fondamentale réside dans leur mode d’attaque : en ligne pour Hydra, hors ligne pour John the Ripper. Hydra se connecte directement à des services distants pour y tester des combinaisons d’identifiants en temps réel. John the Ripper, en revanche, analyse des fichiers contenant des mots de passe sous forme de hashs (MD5, SHA, NTLM…), comme les fichiers /etc/shadow sur Linux. Ces deux outils sont complémentaires : Hydra évalue la robustesse de l’authentification en réseau, tandis que John the Ripper audite la solidité des mots de passe stockés localement.
Hydra vs Burp Suite Intruder et Medusa
Burp Suite Intruder est principalement utilisé pour l’audit des applications web : son interface graphique permet d’intercepter une requête HTTP, de définir les zones à substituer et de lancer une attaque par dictionnaire, avec des options avancées pour contourner les tokens anti-CSRF. Il se limite toutefois au protocole HTTP/HTTPS. Medusa est un outil en ligne de commande très proche d’Hydra dans son fonctionnement, conçu pour une concurrence maximale, ce qui le rend idéal pour les grands ensembles d’utilisateurs et de mots de passe. Hydra prend en charge la plus large gamme de protocoles, y compris les formulaires web et les services personnalisés, ce qui en fait le choix de référence lorsqu’il faut couvrir un spectre large au sein d’un même pentest.
Comment se protéger contre une attaque Brute Force ?
Se défendre contre une attaque par force brute requiert une approche en profondeur : aucune mesure isolée ne suffit. La bonne stratégie combine des mesures applicatives, des protections réseau, un monitoring continu et une politique rigoureuse de mots de passe, chaque couche renforçant les autres.
Mesures applicatives : MFA, CAPTCHA, verrouillage de compte
- Authentification multi-facteurs (MFA) : en exigeant un second facteur (code OTP, application d’authentification), la MFA bloque l’accès même si Hydra parvient à deviner le mot de passe correct.
- CAPTCHA : distinguent un humain d’un bot automatisé. Hydra ne peut pas résoudre ces défis côté client, bloquant net les tentatives sur les formulaires web.
- Verrouillage temporaire des comptes : bloque les comptes après un nombre défini d’échecs successifs. Le système doit réagir de manière identique que le compte existe ou non, afin de ne pas révéler la validité d’un identifiant.
- Délais progressifs : augmenter exponentiellement le délai après chaque échec ralentit considérablement une attaque parallélisée et rend le brute-forcing économiquement peu rentable.
Mesures réseau : rate limiting, WAF, blocage d’IP
Le rate limiting limite le nombre de tentatives d’authentification par unité de temps depuis chaque source, bridant directement la capacité de parallélisation d’Hydra. Il se configure au niveau du serveur web, du reverse proxy ou de l’API gateway. Le blocage d’IP bannit automatiquement l’adresse source après un seuil d’échecs, mais reste contournable via un botnet ou un pool d’adresses tournantes. C’est pourquoi il convient de le combiner avec un pare-feu applicatif web (WAF) qui inspecte le trafic HTTP en profondeur, détecte les patterns caractéristiques d’un brute-force et bloque le flux en temps réel. Les systèmes IDS/IPS complètent ce dispositif en analysant le trafic réseau pour détecter et stopper les attaques dès qu’elles se manifestent.
Détection et monitoring des tentatives
Même avec toutes les protections en place, une détection proactive reste indispensable. Les attaques par force brute ont un dénominateur commun : un nombre élevé d’échecs d’authentification. Les équipes sécurité s’appuient sur des outils SIEM pour corréler les événements suspects et alerter sur les volumes anormaux en temps réel.
