Une façon de découvrir des mots de passe sans recourir à l’ingénierie sociale est la force brute connue. La méthode effectue des millions (voire des milliards) de tentatives par seconde jusqu’à ce qu’elle trouve le mot de passe correspondant à un certain système auquel on accède. Et comment les pirates informatiques font-ils cela ? En utilisant un matériel spécifique avec une puissance de traitement incroyablement élevée. L’un d’entre eux a été démontré cette semaine par un chercheur en sécurité.
Le chercheur Jeremi Gosney a fait une démonstration lors de la conférence Passwords^12 en Norvège d’un matériel créé par lui-même. C’est celui ci-dessus, un cluster qui fait partie de quatre racks de serveurs 4U qui contiennent au total 25 cartes vidéo AMD Radeon. Ils communiquent à une vitesse de 10 gigabits par seconde et utilisent un cadre appelé OpenCL pour exécuter le programme HashCat, responsable de la découverte des mots de passe.
Selon le cryptage du mot de passe qui est cassé, les serveurs de Gosney peuvent découvrir un mot de passe en quelques minutes. C’est le cas pour un mot de passe qui utilise le cryptage LM, comme dans Windows XP, par exemple. Comme il peut comporter jusqu’à 14 caractères répartis en deux chaînes de 7 caractères, l’appareil peut découvrir le mot de passe en seulement 6 minutes. Le cryptage NTLM, un peu plus avancé et utilisé dans Windows 2000, prend environ 5 heures et 30 minutes pour être rompu.
Selon le Security Ledger, M. Gosney a déclaré qu’il prévoyait de tirer plus d’argent de son invention, soit en louant du temps de traitement, soit en offrant des services d’audit de domaine.
