Table of Contents
ToggleTemps calcul brute force wks.fr : ce que la durée de crack révèle vraiment sur vos mots de passe
Mis à jour le 20/05/2026 par Adrien Vialatte
Le temps calcul brute force wks.fr est l'un des indicateurs les plus parlants pour évaluer concrètement la robustesse d'un mot de passe — et la plupart d'entre nous n'y pensent jamais. Selon le rapport Verizon Data Breach Investigations 2023, plus de 80 % des violations de données impliquent des mots de passe faibles ou compromis, ce qui fait de ce sujet une priorité absolue, même pour les non-techniciens.
Qu'est-ce que le temps de calcul brute force et comment fonctionne wks.fr ?
Le temps de calcul brute force désigne la durée théorique nécessaire pour qu'un attaquant teste toutes les combinaisons possibles de caractères jusqu'à trouver votre mot de passe. L'outil disponible sur wks.fr permet de simuler ce calcul en quelques secondes, directement depuis votre navigateur, sans envoyer votre mot de passe sur un serveur distant.
Le principe est simple : vous entrez un mot de passe (ou une chaîne de test), et l'outil calcule — à partir de la longueur, du jeu de caractères utilisé et d'une vitesse d'attaque de référence — le temps qu'il faudrait à une machine pour retrouver ce mot de passe par force brute.
La force brute (ou brute force en anglais) est l'une des méthodes d'attaque les plus anciennes et les plus directes en cybersécurité. Elle ne requiert aucune intelligence particulière de la part de l'attaquant : il s'agit d'essayer toutes les combinaisons possibles dans l'ordre, jusqu'à tomber sur la bonne. Comme le résume très bien Bruce Schneier, cryptographe et expert en sécurité informatique : « La sécurité d'un système ne vaut que ce que vaut son maillon le plus faible, et la plupart du temps, ce maillon, c'est le mot de passe. »
Côté calcul, voici la formule de base :
Nombre de combinaisons = N^L, où N = taille de l'alphabet utilisé, L = longueur du mot de passe.Un mot de passe de 8 caractères n'utilisant que des minuscules (26 lettres) génère 26⁸ = environ 200 milliards de combinaisons. Impressive, non ? Sauf qu'une carte graphique moderne peut tester plusieurs milliards de combinaisons par seconde pour certains algorithmes de hachage faibles.
---
Comment lire et interpréter les résultats de wks.fr ?
Les résultats affichés par wks.fr s'interprètent selon une échelle de temps allant de quelques millisecondes à des millions d'années. La première règle à retenir : si le résultat indique moins d'une heure, votre mot de passe est à changer immédiatement.
L'outil affiche généralement plusieurs colonnes selon la puissance de calcul supposée de l'attaquant :
- Attaque lente (serveur classique) : quelques milliers de tentatives par seconde
- Attaque standard (botnet ou GPU grand public) : quelques centaines de millions de tentatives par seconde
- Attaque optimisée (cluster de GPU haute performance) : plusieurs milliards à dizaines de milliards de tentatives par seconde
J'ai testé plusieurs scénarios sur wks.fr pour vous donner une idée concrète des résultats :
| Mot de passe | Longueur | Jeu de caractères | Temps (GPU standard) |
|---|---|---|---|
| `password` | 8 | Minuscules | < 1 seconde |
| `P@ssw0rd` | 8 | Mixte + chiffres + symboles | Quelques minutes |
| `Soleil2024` | 10 | Mixte + chiffres | Quelques heures |
| `kX7!mQpL9#` | 10 | Mixte + chiffres + symboles | Plusieurs années |
| `mV$3rTq@9Lw!` | 13 | Mixte + chiffres + symboles | Plusieurs millions d'années |
Pour aller plus loin sur la compréhension des mécanismes de hachage et de vérification de mots de passe, vous pouvez consulter notre guide complet sur la sécurité des comptes en ligne qui explique pourquoi le stockage sécurisé des mots de passe est tout aussi crucial que leur complexité.
---
Pourquoi le temps de crack brute force varie-t-il autant d'un mot de passe à l'autre ?
Le temps de crack varie exponentiellement parce qu'il dépend de deux facteurs combinés : la taille de l'espace de recherche (toutes les combinaisons possibles) et la vitesse de traitement de la machine attaquante.
La taille de l'espace de recherche
Voici comment se décompose l'alphabet disponible pour un mot de passe :
- Minuscules uniquement : 26 caractères
- Minuscules + majuscules : 52 caractères
- Lettres + chiffres : 62 caractères
- Lettres + chiffres + symboles courants : ~95 caractères
La puissance des machines a explosé
C'est le facteur souvent oublié dans les discussions sur la sécurité des mots de passe. Selon une étude publiée par Hive Systems en 2024, une configuration de 8 GPU RTX 4090 est capable de tester jusqu'à 164 milliards de hachages MD5 par seconde. À ce rythme, un mot de passe de 8 caractères uniquement en minuscules est cracké en moins de 2 secondes.
« La puissance de calcul disponible sur le marché grand public a été multipliée par 10 en moins de dix ans pour les attaques par force brute. Ce qui prenait des mois en 2015 prend aujourd'hui quelques heures. » — Kevin Mitnick, consultant en sécurité et ancien hacker (Mitnick Security, 2022)C'est là que le temps calcul brute force wks.fr prend tout son sens : il ne part pas d'une hypothèse naïve d'une seule machine lente, mais propose plusieurs scénarios réalistes selon le niveau de ressources de l'attaquant.
---
Quels sont les vrais chiffres : combien de temps pour cracker votre mot de passe ?
Voici les données les plus récentes issues de l'étude Hive Systems Password Table 2024, largement considérée comme la référence du secteur :
- Un mot de passe de 6 caractères, toutes catégories confondues : cracké instantanément avec un GPU moderne
- Un mot de passe de 8 caractères en minuscules + chiffres : cracké en moins de 1 heure
- Un mot de passe de 12 caractères mélangeant tout : résiste 226 ans en configuration GPU standard
- Un mot de passe de 16 caractères mélangeant tout : résiste théoriquement 92 milliards d'années
La source de référence sur le sujet est la page Wikipedia consacrée aux attaques par force brute, qui détaille les fondements mathématiques et les variantes de l'attaque (dictionnaire, hybride, rainbow tables).
Une statistique qui donne le vertige : selon le rapport NordPass 2023, le mot de passe le plus utilisé dans le monde reste "123456", cracké en moins d'une milliseconde. Il est suivi de "password" et "qwerty". Ces mots de passe ne nécessitent même pas une vraie attaque par force brute — ils figurent simplement dans les premières lignes des dictionnaires d'attaque.
---
Comment construire un mot de passe résistant aux attaques brute force ?
La réponse courte : longueur d'abord, complexité ensuite. Un mot de passe de 16 caractères aléatoires surpasse toujours un mot de passe de 8 caractères "complexes" mais court.
Les règles à appliquer dès maintenant
- Longueur minimale de 14 caractères pour tout compte important (banque, messagerie, réseaux sociaux)
- Mélanger impérativement : majuscules, minuscules, chiffres, et au moins un symbole
- Ne jamais utiliser de mots du dictionnaire, de prénoms, de dates de naissance
- Un mot de passe unique par service — si l'un est compromis, les autres restent protégés
- Utiliser un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) pour générer et stocker des mots de passe vraiment aléatoires
La technique de la phrase de passe
Une alternative efficace est la passphrase : une suite de 4 à 6 mots aléatoires séparés par des tirets ou des espaces. Par exemple : `Lampe-Girafe-Nuage-Piano-Soleil` représente 30 caractères faciles à retenir, mais extrêmement difficiles à craquer par force brute (l'espace de recherche est astronomique si les mots sont vraiment aléatoires).
Pour tester vos propres constructions, le temps calcul brute force wks.fr est un excellent point de départ. Vous pouvez également consulter nos recommandations sur les gestionnaires de mots de passe pour choisir l'outil adapté à votre situation.
---
Limites de l'outil wks.fr et précautions à prendre
Aucun outil de simulation n'est parfait, et wks.fr ne fait pas exception. En voici les limites principales à garder à l'esprit avant d'interpréter ses résultats.
Ce que wks.fr ne mesure pas
- Les attaques par dictionnaire : la force brute pure n'est plus la méthode principale. Les attaquants utilisent d'abord des listes de mots de passe connus, de variantes courantes, de mots du dictionnaire et de combinaisons prévisibles. Un mot de passe comme `P@ssw0rd!` est "complexe" selon la définition classique, mais apparaît dans toutes les listes d'attaque.
- Les rainbow tables : pour les anciens algorithmes de hachage, des bases de données précalculées permettent de retrouver instantanément le mot de passe correspondant à un hash, sans aucun calcul.
- Le contexte applicatif : si un service limite les tentatives de connexion ou impose un délai, la vitesse théorique d'attaque est sans objet. La force brute en ligne est quasi impossible sur des services bien configurés.
- L'évolution technologique : les chiffres affichés sont basés sur des configurations matérielles actuelles. L'arrivée de l'informatique quantique à grande échelle changerait radicalement ces estimations — même si cet horizon reste encore lointain pour les attaques grand public.
Mon avis après usage
Le test rapide — verdict honnête : wks.fr est un outil pédagogique excellent pour sensibiliser à la problématique des mots de passe faibles. Il est simple, rapide, et visuellement efficace pour montrer l'impact d'un caractère supplémentaire. En revanche, ne l'utilisez pas comme seul critère de sécurité : un mot de passe "résistant 200 ans" selon l'outil peut être dans une base de données de mots de passe compromis et être cracké en une fraction de seconde via une attaque par dictionnaire. La vraie sécurité combine temps de crack élevé + unicité + aléatoire + gestionnaire de mots de passe.(Verizon, 2023 ; Hive Systems, 2024)
---
Questions fréquentes
Q: Peut-on faire confiance à wks.fr pour tester son vrai mot de passe ? R: Techniquement, l'outil fonctionne côté client (dans votre navigateur) et n'envoie rien sur un serveur. Cela dit, il reste déconseillé de saisir un vrai mot de passe actif dans n'importe quel outil tiers. Préférez tester un mot de passe de structure similaire, mais différent.
Q: Qu'est-ce qu'une attaque brute force exactement ? R: C'est une méthode qui consiste à tester toutes les combinaisons possibles de caractères jusqu'à trouver le bon mot de passe. C'est la méthode la plus simple, mais elle devient inefficace face à des mots de passe longs et complexes.
Q: Le temps de crack affiché par wks.fr est-il réaliste ? R: Les chiffres sont basés sur des configurations matérielles réalistes (GPU grand public et haute performance). Ils sont indicatifs et conservateurs — un attaquant disposant de ressources importantes peut faire mieux. Ils constituent néanmoins une bonne base de référence.
Q: Un mot de passe de 12 caractères est-il suffisant aujourd'hui ? R: Oui, s'il mélange majuscules, minuscules, chiffres et symboles de façon aléatoire. Selon Hive Systems (2024), il faudrait environ 226 ans pour le craquer avec un GPU standard. Mais 16 caractères ou plus reste l'objectif recommandé.
Q: La double authentification (2FA) me protège-t-elle contre la brute force ? R: Oui, massivement. Même si un attaquant devine votre mot de passe par force brute, le second facteur (SMS, application d'authentification, clé physique) bloque l'accès. Activez le 2FA partout où c'est possible — c'est la protection la plus efficace disponible.
Q: Mes mots de passe anciens sont-ils en danger même s'ils semblaient solides en 2015 ? R: Probablement. La puissance des GPU a été multipliée par 10 en dix ans. Un mot de passe qui résistait 10 ans en 2015 peut ne résister que quelques mois aujourd'hui. Renouvelez régulièrement vos mots de passe critiques.
---
Adrien Vialatte — Rédacteur tech indépendant, ancien directeur de communication digitale en agence, il décrypte la tech pour ceux qui veulent comprendre sans avoir à devenir ingénieurs.
Sur le méme sujet