Encore un cri d’alarme de plus sur un sujet devenu presque banal : la montée en puissance des cartes graphiques et de leurs processeurs dédiés, ainsi que la disponibilité des kits de développement destinés auxdits processeurs font en sorte que pratiquement n’importe qui ou presque, peut espérer « casser du mot de passe complexe » s’émeut une équipe de Georgia Tech. Le fait est loin d’être un scoop… il existe même, chez les spécialistes en sécurité, des habitués du cassage de code à la carte graphique. Ainsi Elcomsoft et son High-Performance Distributed Password Recovery tool.
Et les universitaires d’estimer que les sésames de 7 caractères appartiennent déjà au passé. Il faudrait au moins que chaque informatisé adopte des clefs de plus de 12 caractères combinant lettres, chiffres et signes de ponctuation déclare en substance le chef du laboratoire d’Atlanta, Richard Boyd.
Rien de nouveau sous le soleil. Il faut dire que la majorité des outils de cassage de mots de passe que l’on rencontre dans la nature –et plus particulièrement au sein des divers malwares- n’exploitent pas encore les jeux d’instruction des GPU, faute d’un nombre représentatif de victimes potentielles. Et l’on ne connaît pas encore de code d’attaque viral possédant ses propres « rainbow tables ». Les Crossfire et autres SLI, ça n’est pas franchement ce que l’on trouve au sein d’un réseau bancaire.
Cet écart constaté entre le discours purement scientifique et la réalité des menaces est une arme à double tranchant. Certes, les PoC, ou preuves de faisabilité, existent depuis longtemps. Sans le moindre doute, la résistance d’un mot de passe simple est illusoire face aux techniques contemporaines de cassage, à tel point que ce genre de concours opposant centres universitaires, administrateurs de grands centres de calcul et spécialistes du pentesting est en perte de vitesse, ou réservé à une élite qui seule comprend la beauté éthérée du «point de collision d’un algorithme de chiffrement elliptique ».
Tout ceci est trop éloigné de la « vraie vie » pour que le message porte ses fruits. L’équipe du professeur Boyd risque plus de passer pour un gentil club de hackers jouant les Cassandres que pour de sages visionnaires… ce qu’ils sont pourtant. Car les véritables pirates préfèrent, et de très loin, recourir aux bonnes vieilles ficelles du « social engineering » (phishing, password-gessing, googlehacking, recherches d’informations personnelles aidant à la découverte d’une « question secrète » etc) plutôt que de s’enquiquiner à pondre un code de cassage de mot de passe qui sera tôt ou tard identifié par un antivirus quelconque. La première méthode est moins coûteuse et a pu, au fil du temps, prouver son efficacité. Face à ces hordes noires, l’internaute se défend du mieux qu’il peut, avec sa propre perception de la sécurité : PSG, OM, Lucette, motdepasse, 12345, AZERTYUIOP (fait 10 caractères, celui-là), 0987TREZA (c’est bien mélangé ?), RobertRedford, toto… le tout généralement utilisé aussi bien pour accéder à un compte en banque que pour converser avec des inconnus sur un forum ésotérique.
