Avec sa capacité à réaliser rapidement des calculs répétitifs, le GPU peut avoir d'autres fonctions que d'afficher des graphismes complexes...comme casser des mots de passe.
Et quand on peut disposer de la puissance d'une carte graphique gaming GeForce RTX 4090 de Nvidia, cela deviendrait même un jeu presque enfantin. C'est du moins ce qui ressort de l'étude de Hive Systems qui s'est intéressée cette année encore au temps mis pour craquer des mots de passe en fonction de leur complexité.
La firme s'intéresse plus particulièrement aux techniques de hachage des mots de passe et aux capacités d'utilisation de GPU puissants pour deviner les mots de passe à partir de bases de données dérobées.
Toujours moins de temps pour craquer les mots de passe
Dans son étude 2024, elle a comptabilisé dans une première étape le temps nécessaire pour trouver un mot de passe de 8 caractères protégé en hachage MD5. Si le mot de passe ne comporte que des chiffres ou des minuscules, il faut moins de 10 secondes pour trouver la solution, même avec une carte graphique d'ancienne génération RTX 2080.
Même en le complexifiant par des majuscules et de symboles, il ne faudra dans le pire des cas qu'une heure à un système doté de GPU RTX 4090 pour retrouver le mot de passe avec le hash MD5.
Mais parce que cette technique est moins utilisée car devenue fragile, Hive Systems a fait le même test avec des mots de passe utilisant le hachage bcrypt plus robuste. Dans ce cas, un mot de passe de 8 caractères comprenant seulement des chiffres ou des minuscules pourra demander de quelques minutes à deux semaines pour être craqué avec une RTX 4090.
En mixant minuscules et majuscules, le délai passe à 9 ans tandis qu'il faudra une petite centaine d'années pour trouver un mot de passe combinant chiffres, minuscules, majuscules et symboles.
Le hachage ne fait pas tout
Avec des configurations plus conséquentes utilisant des accélérateurs A100, voire un cluster de A100 via l'IA générative ChatGPT, le délai pour retrouver le mot de passe peut être ramené à 2 à 5 jours seulement.
Autant dire que pour qui en a les moyens, casser un mot de passe de 8 caractères n'est pas si contraignant, tandis que la RTX 4090 reste à portée de pirates en herbe. Toutefois, outre la possibilité d'allonger les mots de passe, il faut aussi en principe que le hackers disposent des tables de hachage issues de sites piratés.
Par ailleurs, l'activation de l'authenfication multifacteurs (MFA) peut constituer une barrière supplémentaire et une alerte pour l'utilisateur, à moins d'avoir été elle-même compromise en amont.
