le Cloud pour pirater les mots de passe

??Merci à Benoit Minvielle / Hirschmann France pour le lien vers cette actualité :

Quarante-neuf minutes et deux dollars pour trouver un mot de passe. Thomas Roth, un chercheur allemand, veut  prouver que le cloud computing est une vraie plateforme de travail pour les pirates informatiques. Qu’ils peuvent utiliser les machines virtuelles d’Amazon comme un supercalculateur et casser des mots de passe par force brute.

Jusqu’ici, le ticket d’entrée pour ce type d’attaques informatiques était trop élevé et donc rédhibitoire. Cela du fait de ressources matérielles trop importantes. Le seul moyen de contournement était le recours à l’informatique distribuée. Une méthode efficace, mais contraignante et surtout tributaire du nombre de volontaires acceptant de participer à l’opération. Aujourd’hui, « grâce » au cloud, tout est possible, seul, et pour une poignée de dollars.

Un million de mots de passe testés par seconde !

Le chercheur avait déjà démontré comment les machines virtuelles d’Amazon peuvent être utilisées comme noeuds de calcul. Avec vingt-deux gigas de mémoire, 2 processeurs Xeon dernière génération ainsi les deux fameux processeurs graphiques NVidia Tesla. Ces derniers, reconnus pour leur capacité de traitement simultanés sont utilisés, pour l’occasion comme calculateur. Ce sont essentiellement eux qui rendent possible le cassage des mots de passe. Au final, le chercheur est parvenu en 49 minutes à déchiffrer des mots de passe sur six caractères, pour un coût dérisoire : moins de deux dollars !

Depuis, Thomas Roth a perfectionné le processus. Lors de la prochaine conférence Black Hat, il prétend démontrer comment pirater une clé wifi WPA-PSK via un outil de force brute tournant sur Amazon EC2. Il prétend atteindre le chiffre record de un million de mots de passe testés par seconde !

Un supercalculateur grâce au cluster

Ce qui est nouveau surtout, c’est la possibilité de travailler en cluster chez Amazon. Cette nouvelle offre permet de répartir la tâche de cassage sur plusieurs machines. Cette fois, un attaquant aurait la possibilité d’avoir un supercalculateur à portée de main. Un mot de passe sur huit caractères ne devrait donc pas poser de difficulté. Une différence colossale avec les tests réalisés un an et demi plus tôt où une telle opération coûtait près de 9000 dollars et prenait 122 jours.

Même si tout est bien expliqué sur le blog du chercheur, ce type d’attaque reste reservée à une population d’initiés. Cependant elle démontre au moins une chose : la longueur des mots de passe reste importante. Et l’étaler sur 10 caractères ou plus est désormais n’est plus un luxe.

Lire l’article d’origine sur : 01net…

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.