Quelques heures seulement pour pirater un mot de passe par force brute : les RTX 4090 font des ravages

Par Nathan Le Gohlisse, Spécialiste Hardware.

Publié le 20 octobre 2022 à 15h15

La GeForce RTX 4090 est capable de merveilles pour craquer facilement des identifiants. C'est ce que révèle un analyste en sécurité. Il a testé la nouvelle carte graphique premium de NVIDIA sur un benchmark, ce qui lui a permis d'estimer son efficacité lorsqu'il s'agit de pirater un mot de passe par force brute.

Analyste en sécurité à Austin (Texas), Sam Croley est aussi le développeur à l'origine de Hashcat, un outil de récupération de mots de passe avancé. Il sert également de benchmark pour estimer l'efficacité de composants en piratage de mots de passe par force brute. Et en ce qui concerne la RTX 4090, le constat est sans appel : elle est en la matière deux fois plus efficace que la RTX 3090 avant elle. Une estimation logique, si l'on en croit d'autres benchmarks.

La RTX 4090 trop efficace pour faire le mal ?

Au travers d'un échange sur Twitter, Sam Croley en dit un peu plus sur ses expérimentations avec la RTX 4090 en matière de sécurité. D'après lui, la dernière carte de NVIDIA a besoin de seulement un peu plus de 6 heures pour casser en force brute un mot de passe de 8 caractères comprenant des chiffres, des majuscules, des minuscules et des symboles. Cette estimation peut même être largement réduite si l'on couple plusieurs RTX 4090.

Plus impressionnant encore, placée entre de mauvaises mains, la RTX 4090 est visiblement capable de se mesurer à des protocoles d'authentification tels que le NTLM (New Technology LAN Manager) de Microsoft ou la fonction de hachage de mots de passe Bcrypt, souligne WCCFTech. Une efficacité préoccupante. Heureusement, le prix de la RTX 4090 pourrait à lui seul dissuader plus d'un pirate de s'en payer les faveurs : comptez plus de 2 000 euros en France pour l'acquérir.

...

La double authentification plus pertinente que jamais

S'il est évident que seuls les groupes de hackers les mieux financés et les plus déterminés achèteront une ou plusieurs RTX 4090 pour craquer des identifiants en force brute, la montée en puissance progressive des GPU laisse entrevoir un futur où les mots de passe ne protègeront plus grand monde.

De quoi, entre autres, expliquer les efforts des géants de la tech pour accompagner le grand public vers des pratiques plus saines en matière de cybersécurité. Depuis plusieurs années, Apple, Google ou Microsoft (pour ne citer qu'eux) se sont en effet attelés à mettre en place des systèmes d'identification à deux facteurs et des outils pour générer des mot de passe toujours plus difficiles à craquer. Une aide tout ce qu'il y a de plus pertinente au regard des découvertes de Sam Croley.

Source : WCCFTech

Par Nathan Le Gohlisse

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse

Piratage

NVIDIA

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Emmanuel_Angulo

Après avoir subi les cryptos sur les séries 3000, on maintenant se taper la crise des mots de passe sur les 4000…

vbond007

OK, mais rajoutez un seul caractère et vous multipliez le temps par 95.
Donc pour un mot de passe de 9 caractères parmi les 95 caractères de l’alphabet utilisé, cela nécessite 24 jours.
Avec 10 caractères on est à plus de 6 ans etc…
Donc la double auth est top, mais avoir un mot de passe robuste de plus de 10 caractères est déjà un bon départ (surtout pour ruiner les hackers qui voudraient investir dans plein de cartes graphiques à 2000€)

Doss

A titre de comparaison c’était combien avec un RTX 3090 ?

MattS32

C’est dit dans l’article : « elle est en la matière deux fois plus efficace que la RTX 3090 avant elle ».

WCCFTech n’a rien compris. Certes, l’auteur de hashcat a testé la vitesse de la RTX 4090 pour casser du bcrypt. Mais avec une vitesse d’à peine 200 kh/s, on est loin d’avoir quelque chose de dangereux, et on peut difficilement dire que la carte peut se mesurer à cet algo de hash…

À 200 kH/s, un bête mot de passe de 8 caractères alpha-numériques avec majuscules (soit 62 caractères possibles) résiste en moyenne… 17 ans.

Alors oui, avec une 3090 il fallait 34 ans. Mais passer de 34 ans à 17 ans sur un bête alnum de 8 caractères, c’est vraiment pas dramatique… (rappel : chaque caractère supplémentaire multiplie cette durée par 62…)

À noter qu’en plus, de par sa conception même, bcrypt est pensé pour avoir une complexité variable, que ses utilisateurs peuvent faire augmenter au fil du temps pour s’adapter à la hausse des performances : bcrypt s’utilise avec un nombre variable d’itérations, de sorte qu’on peut augmenter le nombre d’itérations au fil du temps pour conserver des hash de plus en plus dur à casser. Aujourd’hui, la plupart des libs implémentant bcrypt ont une complexité par défaut de 10 à 12, ce qui implique 1024 à 4096 itérations. Or là, les 200 kH/s, c’est avec une complexité de 5, seulement 32 itérations… Avec toujours 8 caractères alnum et une complexité à 10, on passe à 544 ans, à 12 on atteint 2176 ans… Par exemple, la valeur de complexité par défaut est à 10 dans PHP, c’est donc sans doute la valeur qui est utilisée pour l’écrasante majorité des sites utilisant ce langage.

Bref, encore une information sensationnaliste alors qu’en réalité y a rien de bien nouveau ou de bien surprenant, juste l’évolution logique de la puissance de calcul disponible…

Jice06

2000€ c’est ridicule comme investissement pour les groupes mafieux ou des hacker pros. a ce prix là on peu coupler des dizaines de cartes si le jeux en vaut la chandelle.

kurasul

with your password, a brut force need
5 hundred quadrillion années

good luck boys :-))))))))))))))

flonc

Article très intéressant. Cela met en perspective la difficulté croissante pour les humains d’utiliser des mots de passe.

Ce qui est à retenir, c’est l’augmentation de la puissance. Le temps peut être très fortement diminué par l’utilisation de rainbow tables, la location de temps de calcul parallèle sur le cloud et d’un tas d’autres joyeusetés comme forcer l’utilisation d’ une majuscule, d’une minuscule et d’un caractère complexe qui diminue fortement l’entropie.
Si on ajoute à ça la réutilisation des meme mots de passe, les transformations basiques de mots courants (o->0 etc), l’utilisation de pass phrase et les patterns communs (terminer ou commencer le mot de passe par . , ; ou !) , l’utilité de MFA est évidente.

Loposo

Où après 3 tentative il faut attendre x temps etc, ça me rappelle les gens qui s amusait a bloquer les smartphones. Bref le brut force fait pas tout

pinkfloyd

14 caractères pour spectres ( https://spectre.app/ )

Comme dit précédément soit avec l’OTP sois avec un temps d’attente apres 3 tentatives, et le cassage par brut force est useless

TotO

Alors qu’il suffit d’imposer un délais (1s) entre chaque tentative…