Le détournement de carte graphique : Craquage de mots de passe à grande vitesse

Partager

Un très grand nombre de systèmes de sécurité reposent sur le principe que le temps qu'il faut à un attaquant de deviner un secret est si grand qu'il est impraticable (de la dizaine d'année à plus).

C'est le cas des sommes de contrôle MD5, des clefs WPA et WPA2 du Wifi ou des mots de passe Windows : Mis à part les faiblesses de conception de certains protocoles (cf le WEP) des attaques basées sur les "tables arc-en-ciel" (rainbow tables) ont permises d'accélérer la découverte de ces sésames avec pour les plus complexes (et très obscures) méthodes des centres de renseignements/écoute étatiques. Si vous choisissiez des mots de passe et clefs très complexes, vous étiez a-peu-près protégé des attaques.

Un cap vient d'être franchi : Vous pouvez avoir à la maison, pour un coût modeste (environ 500€) un système de découverte des clefs WPA/WPA5, de hash codes MD5 ou de mots de passe Windows. Le truc fun ? C'est que cet investissement servira aussi à vos enfants : Il s'agit d'une des cartes video de dernière génération de Nvidia.

Ces cartes graphiques permettent, après avoir été couplées au logiciel d'Elcomsoft "Distributed Password Recovery", d'accélérer par des facteurs allant de 10, 15 voir 100 le temps requis pour "casser" ces secrets. Cerise sur le gâteau : Il est même possible de distribuer le travail dans une sorte de "cluster" de machines ou plus simplement en installant 2 cartes videos dans une même machine. Tiens une bonne idée de service "Security as a Service" en mode web : L'économie du crime organisé a un nouveau service à commercialiser...

Le prix du logiciel d'Elcomsoft (Moins de 600€) n'est pas prohibitif et sera tôt ou tard disponible sur les réseaux de téléchargement de logiciels piratés : Votre réseau Wifi flambant neuf avec WPA2 sera donc virtuellement à la portée du 1er "Gamer" en mal de sensations fortes...

Simplement pour tester : Tester la force de vos mots de passe via ophcrack, un outil (OpenSource) basé sur les "Rainbow Tables".

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)