Simulateur de crack de mots de passe

Voyez à quelle vitesse les hachages faibles peuvent être testés dans votre navigateur. Tout s'exécute localement.

Algorithme

Pourquoi le hachage compte

Les mots de passe ne sont généralement pas stockés en clair : ils sont stockés comme hash, et la vérification compare hash à hash. Un hachage rapide et obsolète combiné à des mots de passe prévisibles est beaucoup plus facile à casser.

Les fonctions de hachage rapides comme MD5 et SHA-1 permettent des milliards de tentatives par seconde sur une seule machine : les mots de passe courts ou courants sont donc cassés rapidement. Les fonctions coûteuses en mémoire comme bcrypt et Argon2 sont conçues pour être lentes et gourmandes en mémoire, ce qui rend la force brute beaucoup plus difficile.


Qu'est-ce que le cassage de mot de passe ?

Le cassage consiste à essayer des propositions et à comparer leurs hash au hash cible. Si les hash correspondent, la proposition est le mot de passe.

  1. 1Commencer avec un hash cible (la valeur à cracker).
  2. 2Prendre une proposition (ex: password123).
  3. 3Hasher cette proposition avec le même algorithme que celui du hash cible.
  4. 4Comparer le résultat au hash cible.
  5. 5Si ça correspond, le mot de passe est trouvé.

Comment les attaquants devinent

Rapide

Attaques dictionnaire — Essai des mots de passe les plus courants en premier.

Courant

Attaques par règles — Variantes réalistes comme Password1! ou Summer2024.

Coûteux

Force brute — Essai de toutes les combinaisons dans une plage définie.


Pourquoi la taille explose vite

De petits changements de longueur ou de jeu de caractères multiplient les combinaisons.

Chaque caractère supplémentaire multiplie l'espace de recherche par la taille du jeu de caractères. Avec 89 symboles réalistes, chaque position en plus signifie ×89, pas +89.

4 chiffres10,000
8 car. a-z A-Z 0-9 + symboles6,016,120,510,000,000

Passer d'environ 10 000 à ~6 quadrillions de combinaisons explique pourquoi des mots de passe aléatoires d'au moins 8 caractères sont beaucoup plus difficiles à forcer brutalement qu'un court code PIN.

Croissance de l'espace de recherche par longueur (jeu réaliste : a-z, A-Z, 0-9, symboles courants (89 caractères))

L=189
L=27,921
L=3704,969
L=46.27e+7
L=55.58e+9
L=64.97e+11
L=74.42e+13
L=83.94e+15
L=93.50e+17
L=103.12e+19
L=112.78e+21
L=122.47e+23

Large values are shortened on mobile for readability.

Les estimations de temps ci-dessous supposent une attaque hors-ligne idéale où l'attaquant teste en continu. En réalité, la durée peut varier selon le matériel, l'implémentation de l'algorithme et le fait d'avoir une chance ou non tôt. Elles supposent aussi des mots de passe entièrement aléatoires, ce qui est rare dans les fuites réelles. Ces chiffres illustrent l'ordre de grandeur, pas une prédiction exacte.

Estimation grossière du temps de crack pour cette section (algorithme sélectionné : SHA256)

L189

CPU mobile (approx.)

<1 s

Grappe GPU puissante (approx.)

<1 s

L27,921

CPU mobile (approx.)

<1 s

Grappe GPU puissante (approx.)

<1 s

L3704,969

CPU mobile (approx.)

8 s

Grappe GPU puissante (approx.)

<1 s

L46.27e+7

CPU mobile (approx.)

12 min

Grappe GPU puissante (approx.)

<1 s

L55.58e+9

CPU mobile (approx.)

17 h

Grappe GPU puissante (approx.)

<1 s

L64.97e+11

CPU mobile (approx.)

64 d

Grappe GPU puissante (approx.)

8 s

L74.42e+13

CPU mobile (approx.)

15.6 y

Grappe GPU puissante (approx.)

12 min

L83.94e+15

CPU mobile (approx.)

1387 y

Grappe GPU puissante (approx.)

18 h

PC perso
L93.50e+17

CPU mobile (approx.)

123441 y

Grappe GPU puissante (approx.)

68 d

L103.12e+19

CPU mobile (approx.)

10986287 y

Grappe GPU puissante (approx.)

16.5 y

Gros cluster
L112.78e+21

CPU mobile (approx.)

977779565 y

Grappe GPU puissante (approx.)

1467 y

L122.47e+23

CPU mobile (approx.)

87022381323 y

Grappe GPU puissante (approx.)

130534 y

Repères : L=8 ≈ seuil PC grand public ; L=10 ≈ coûteux même en grappe GPU.


Cycle d'attaque : pourquoi les hash fuités comptent

Les attaquants ne devinent généralement pas les mots de passe sur une page de connexion en ligne. Ils ciblent des bases fuitées et cassent les hash hors connexion.

La fuite : La table utilisateurs est exfiltrée. Les mots de passe sont en général stockés sous forme de hash (pas en clair) ; les attaquants extraient donc ces hash du dump. Voici le lien vers notre test de fuite : Lancer le test de fuite

L'avantage du hors-ligne : Une fois les hash volés, le site n'est plus nécessaire. L'attaquant peut tester des candidats sur son matériel aussi vite que la puissance le permet, sans plafond de tentatives comme sur le web.

Défense par sel : Un sel unique par mot de passe oblige à craquer chaque compte séparément. Cela bloque les gains en une passe où un mot de passe courant aurait pu en déverrouiller plusieurs.

Pourquoi le crack échoue : Les mots de passe résistent quand ils sont longs, peu prévisibles, ou hors du jeu de caractères ou des règles supposés par l'attaquant, surtout avec un hachage de mot de passe volontairement lent. Voir aussi : Mots de passe forts et NIST SP 800-63B-4 (2025) Vous pouvez aussi essayer notre page Hashage de mot de passe — le hachage se fait entièrement dans votre navigateur (MD5 à Argon2id).


Utiliser ce simulateur

Le simulateur reproduit la logique réelle: proposer, hasher, comparer.

Aucune correspondance ?

  • Le mot de passe est plus long que la limite.
  • Le mot de passe utilise d'autres caractères.
  • Le hash ou l'algorithme ne correspond pas.

Besoin de produire un hash d'abord ?

Ouvrir l'outil de hashage de mot de passe

Boîte à outils de l'attaquant (édition 2026)

Aujourd'hui, deviner un mot de passe est un processus automatisé et très rapide : grappes GPU et modèles qui reproduisent les habitudes humaines.

1. Hashcat : la bête GPU

Hashcat Conçu pour une vitesse brute avec des charges GPU massives en parallèle. Les anciens algorithmes peuvent être testés à des cadences extrêmes sur du matériel récent.

Les attaquants utilisent aussi des attaques par masque — par ex. majuscule + 6 minuscules + 2 chiffres — pour viser les politiques de mot de passe connues plutôt que de tout tester au hasard.

2. John the Ripper : l'émulateur humain

John the Ripper Spécialisé dans le cracking par règles, il transforme des mots de base en milliers de variantes réalistes qui imitent la façon dont les utilisateurs modifient leurs mots de passe.

Les modes hybrides combinent dictionnaire et force brute, ce pourquoi beaucoup de mots de passe « complexes en apparence » tombent vite.

3. Cracking piloté par l'IA (style PassGAN)

Des approches plus récentes utilisent des réseaux de neurones entraînés sur des corpus de mots de passe fuités. Au lieu de règles de substitution fixes, les modèles apprennent les habitudes et génèrent des candidats très probables. L'approche PassGAN d'origine est décrite dans Hitaj et al., arXiv:1709.00440.

Réalité opérationnelle

Le cracking dans le cloud rend les attaques massives bon marché et automatisées. Les courts mots de passe peuvent être testés si vite que « ne pas être une cible importante » n'est plus une vraie protection.

Ces outils sont standards en audit de sécurité et aussi utilisés par des attaquants.