Le chercheur en sécurité Sam Croley a pris pour Twitter pour partager à quel point le nouveau RTX 4090 de Nvidia est vraiment incroyable… pour déchiffrer les mots de passe. Il s’avère qu’il est deux fois plus rapide que le leader précédent, le RTX 3090, pour casser l’un de vos mots de passe, même face au protocole d’authentification NTLM (New Technology LAN Manager) de Microsoft et à la fonction de piratage de mot de passe Bcrypt.
Essentiellement, cela signifie que tout joueur riche portant le RTX 4090 peut déchiffrer un mot de passe moyen en quelques jours – et c’est si vous suivez de bonnes pratiques de définition de mot de passe (et la plupart d’entre nous ne le font certainement pas).
La référence, HashCat V.6.2.6., est un outil de craquage de mot de passe renommé qui est mieux entre les mains des administrateurs système et des professionnels de la cybersécurité (dont Croley était un programmeur principal, soit dit en passant). Il permet aux chercheurs de tester ou de deviner les mots de passe des utilisateurs dans les quelques situations qui pourraient l’exiger.
Malheureusement, cela signifie que les cybercriminels peuvent aussi le faire. Et avec l’évolution des interfaces utilisateur graphiques (GUI) et la facilité d’utilisation de ces programmes dans les ordinateurs modernes équipés d’une carte graphique hautes performances, il est devenu plus facile que jamais de déployer ces outils.
Premiers benchmarks @hashcat sur la nouvelle @nvidia RTX 4090 ! Arrive à une augmentation insensée> 2x par rapport au 3090 pour presque tous les algorithmes. Facilement capable d’établir des records : 300 GH/s NTLM et 200 kh/s bcrypt avec OC ! Merci à blazer pour la course. Repères complets ici: https://t.co/Bftucib7P9 pic.twitter.com/KHV5yCUkV414 octobre 2022
Lors des tests, le RTX 4090 l’emporte sur le RTX 3090 dans presque tous les algorithmes avec des performances presque doublées – ce qui n’est pas si choquant, même si cela représente toujours une amélioration des performances plus élevée que celle que nous voyons dans les performances graphiques du RTX 4090. C’est probablement le résultat du fait que Nvidia investit toujours une grande partie de son développement de conception de puces graphiques pour augmenter ses performances du côté du centre de données. Le RTX 4090 a brillé à travers les différents types d’attaques fournis dans le logiciel HashCat : attaques par dictionnaire, attaques par combinateur, attaques par masque, attaques basées sur des règles et attaques par force brute.
Les chercheurs estiment qu’une plate-forme de hachage de mot de passe spécialement conçue (jumelant huit GPU RTX 4090) pourrait déchiffrer un mot de passe à huit caractères en 48 minutes. Selon Statista et à partir des données de 2017, les mots de passe à 8 caractères sont les plus courants parmi les mots de passe divulgués, avec une part de 32 % d’entre eux. Cela ne signifie pas qu’ils sont les moins sûrs ; cela signifie très probablement qu’il s’agit de la longueur de caractères de mot de passe la plus courante. Et ils peuvent maintenant être retirés en moins d’une heure par une plate-forme de hachage « spécialisée ».
Bien sûr, cela suppose que le mot de passe comporte au moins huit caractères et qu’il respecte les conventions requises (au moins un chiffre et un caractère spécial inclus). Cependant, lorsque HashCat est amené à tester les mots de passe les plus couramment utilisés, il peut entraîner une opération de craquage théorique de 48 minutes qui a tenté les 200 milliards de combinaisons possibles jusqu’à la milliseconde. Mais alors, il fallait s’y attendre : même un humain serait extrêmement rapide pour déchiffrer un mot de passe tel que « 123456 » – apparemment le mot de passe le plus courant de 2021 (s’ouvre dans un nouvel onglet).
Un autre élément intéressant à noter est que le craquage de mot de passe a naturellement un coût associé ; investir dans un RTX 4090 à 1 600 $ coûte cher, et chaque tentative de déchiffrage d’un mot de passe entraînera également des coûts d’alimentation. Ce n’est donc pas qu’une question de volonté. Ce que fait le RTX 4090, c’est réduire le coût du crack des mots de passe – quelque chose qui se produit tant que des GPU plus puissants sortent alors que les algorithmes de sécurité restent relativement statiques. Jacob Egner a une analyse extrêmement détaillée et intéressante sur son article de blog détaillant ses découvertes sur les ratios $/hash.
Bien sûr, une autre puce sur l’épaule de la cybersécurité est la quantité de données qui doit être chiffrée contre le développement inexorable de l’informatique quantique – des ordinateurs qui rendront presque tous les schémas de chiffrement actuellement utilisés piétons. Cependant, si l’on considère la baisse des coûts de craquage de mots de passe uniquement avec les GPU, il semble que la sécurité actuelle devrait être mise à niveau vers de nouveaux algorithmes post-quantiques plus tôt que tard.
Détendez-vous – tous les propriétaires de RTX 4090 ne transformeront pas leur carte graphique de haut niveau vers un passe-temps de craquage de mot de passe. De plus, la facilité de craquage des mots de passe d’outils tels que HashCat est généralement déployée sur des actifs hors ligne, et non sur des actifs en ligne. Cela signifie que les chances que votre PC soit la cible d’un propriétaire dérangé de RTX 4090 qui craque des mots de passe à volonté sont minces – si minces qu’elles sont presque inexistantes.
Pourtant, à la lumière de cela, il est peut-être toujours judicieux de revoir les meilleures pratiques de sécurité en ligne, en commençant par stocker des mots de passe plus longs dans l’un des meilleurs gestionnaires de mots de passe.