ChatGPT peut être l’IA dans l’esprit de tout le monde en ce moment, mais les chatbots ne sont pas le seul outil d’IA que nous ayons vu récemment. Il y a Générateurs d’images IA comme DALL•E 2, les générateurs vidéo AI tels que Piste Gen 2 et plus. Malheureusement, il existe également des craqueurs de mots de passe IA – comme PassGAN
Curieusement, PassGAN n’est pas si nouveau, du moins relativement. Il a fait ses débuts en 2017 (s’ouvre dans un nouvel onglet) et le plus récent GitHub (s’ouvre dans un nouvel onglet) mise à jour était il y a six ans. En bref, ce n’est pas un nouvel outil de piratage créé à la suite de la révolution ChatGPT. Cependant, le cabinet de recherche en cybersécurité Héros de la sécurité domestique (s’ouvre dans un nouvel onglet) l’a récemment mis à l’épreuve et les résultats ont été alarmants.
Selon l’étude Home Security Heroes, PassGAN peut déchiffrer n’importe quel mot de passe à sept caractères en environ six minutes ou moins. Peu importe s’il contient des symboles, des lettres majuscules ou des chiffres, s’il contient sept caractères ou moins, PassGAN peut le déchiffrer facilement.
Mais avant d’aborder la façon dont cela vous affecte et ce que vous devez faire, passons rapidement en revue le fonctionnement de PassGAN.
Comment fonctionne PassGAN ?
PassGAN est une combinaison de mot de passe et de réseau antagoniste génératif (GAN), un peu comme la façon dont ChatGPT est une combinaison de chat et de transformateur pré-formé génératif (GPT). GAN, comme GPT, est essentiellement le modèle d’apprentissage en profondeur sur lequel l’IA est formée.
Dans ce cas, l’objectif du modèle est de générer des suppositions de mot de passe basées sur les mots de passe du monde réel que le modèle a été alimentés. Pour son étude, Home Security Heroes a utilisé le Jeu de données RockYou qui a résulté de la violation de données RockYou en 2009 pour former PassGAN, qui est un outil largement utilisé pour des études comme celles-ci. La société a fourni à PassGAN l’ensemble de données, puis l’a fait générer des mots de passe dans le but de deviner correctement des exemples de mots de passe. En fin de compte, une grande variété de mots de passe ont pu être déchiffrés en quelques secondes.
Ainsi, après avoir formé PassGAN sur l’ensemble de données RockYou, Home Security Heroes avait un outil d’IA formé sur de vrais mots de passe qui pouvait désormais déchiffrer les mots de passe instantanément. Mais si c’est aussi simple, pourquoi tout le monde ne devrait-il pas paniquer ?
Dois-je paniquer à propos de PassGAN ?
La bonne nouvelle est que, non, vous n’avez pas vraiment besoin de paniquer à propos de PassGAN – du moins pas pour le moment. Dans une tribune, Ars Technica (s’ouvre dans un nouvel onglet) Le rédacteur en chef de la sécurité, Dan Goodin, a déclaré que PassGAN était « principalement à la mode ». En effet, bien que l’outil d’intelligence artificielle puisse déchiffrer les mots de passe avec une relative facilité, il ne les déchiffre pas plus rapidement que les autres craqueurs de mots de passe non IA.
En particulier, Goodin cite les commentaires de l’ingénieur principal principal de Yahoo Jeremi Gosney dans lesquels il a déclaré à Goodin que grâce à des outils conventionnels de craquage de mots de passe, ils pourraient facilement obtenir des résultats similaires, craquant 80 % des mots de passe similaires à ceux de la brèche RockYou en quelques heures. Pour sa part, Gosney a déclaré que les résultats de l’étude Home Security Heroes n’étaient « ni impressionnants ni excitants ».
Et en regardant de plus près les résultats, vous serez peut-être moins impressionné que l’affirmation initiale selon laquelle « 50 % des mots de passe courants peuvent être déchiffrés en moins d’une minute ». Ces mots de passe sont en grande partie composés uniquement de chiffres, sept caractères ou moins, et combinent rarement des lettres majuscules, des lettres minuscules, des chiffres et des symboles.
Cela signifie que pour bloquer PassGAN, tout ce que vous avez à faire est de créer un mot de passe de 11 caractères ou plus qui comprend une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Si vous y parvenez, vous pouvez créer un mot de passe qui prendra 365 ans à PassGAN pour se fissurer. Augmentez cela à 11 caractères et ce nombre devient 30 000 ans. Et vous pouvez facilement créer ces types de mots de passe avec les meilleurs gestionnaires de mots de passe.
Mais disons que vous ne voulez pas utiliser un gestionnaire de mots de passe parce que vous ne croyez pas qu’ils ne sont pas sensibles aux violations de données – comme le hack LastPass en août 2022. Ce n’est pas une peur déraisonnable. Heureusement, tout ce que vous avez à faire est d’utiliser une phrase de passe (plusieurs mots combinés pour créer un mot de passe) et vous pouvez probablement encore bloquer PassGAN. Selon Home Security Heros, un mot de passe de 15 caractères utilisant uniquement des lettres minuscules prendrait encore 890 ans en moyenne à PassGAN pour être résolu. Ajoutez une seule lettre majuscule, et cette chronologie pourrait atteindre 47 millions d’années, bien après que nos surcharges d’IA nous aient déjà conquis.
Certes, aucun mot de passe n’est jamais parfait. Les violations de données peuvent toujours vous rendre vulnérable malgré tous vos efforts et un cracker de mot de passe pourrait obtenir votre mot de passe plus tôt que prévu par pure chance. Mais tant que vous utilisez les meilleures pratiques en matière de sécurité des mots de passe, vous n’avez rien de plus à craindre de PassGAN que de tout autre mauvais acteur.