En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Il détourne le cloud Amazon pour pirater des mots de passe

Un chercheur allemand va démontrer comment tester près d’un million de mots de passe à la seconde avec Amazon EC2.

laisser un avis
Quarante-neuf minutes et deux dollars pour trouver un mot de passe… Thomas Roth, un chercheur allemand, veut prouver que le cloud computing sert de plate-forme de travail pour les pirates informatiques. Qu’ils peuvent utiliser les machines virtuelles d’Amazon comme supercalculateur, et casser des mots de passe par force brute.
Jusqu’ici, le coût du ticket d’entrée pour ce type d'attaques informatiques était trop élevé et, donc, rédhibitoire. Et ce, du fait de ressources matérielles trop importantes. Le seul moyen de contournement était le recours à l’informatique distribuée. Une méthode efficace, mais contraignante, et surtout tributaire du nombre de volontaires acceptant de participer à l’opération. Aujourd’hui, « grâce » au cloud, tout est possible, seul, et pour une poignée de dollars.

Un million de mots de passe testés par seconde !

Le chercheur avait déjà démontré de quelle façon les machines virtuelles d’Amazon peuvent être utilisées comme des nœuds de calcul : avec 22 gigas de mémoire, deux processeurs Xeon dernière génération ainsi que les deux fameux processeurs graphiques Nvidia Tesla. Ces derniers, reconnus pour leur capacité de traitements simultanés, étant utilisés pour l’occasion comme calculateur.
Ce sont d'ailleurs essentiellement ces processeurs graphiques qui rendent possible le cassage des mots de passe. Au final, le chercheur est parvenu en quarante-neuf minutes à déchiffrer des mots de passe sur six caractères, pour un coût dérisoire : moins de deux dollars !
Depuis, Thomas Roth a perfectionné le processus. Lors de la prochaine conférence Black Hat, il prétend renouveler la performance (toujours sur Amazon EC2) et atteindre, cette fois, le chiffre record d'un million de mots de passe testés par seconde pour casser une clé Wi-Fi WPA-PSK !

Un supercalculateur grâce au cluster

Ce qui est nouveau, surtout, c’est la possibilité de travailler en cluster chez Amazon. Cette nouvelle offre permet de répartir la tâche de cassage sur plusieurs machines. Cette fois, un attaquant aurait la possibilité d’avoir un supercalculateur à portée de main. Un mot de passe sur huit caractères ne devrait donc pas poser de difficultés. Une différence colossale avec les tests réalisés un an et demi plus tôt, quand une telle opération coûtait près de 9 000 dollars et prenait… 122 jours.
Même si tout est bien expliqué sur le blog du chercheur, ce type d’attaque reste quand même réservé à une population d’initiés. Cependant, elle démontre au moins une chose : la longueur des mots de passe reste un critère de sécurité important. Et l'étaler sur dix caractères, voire davantage, n'est désormais plus un luxe.
envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
L’informatique de demain sera hybride ou ne sera pas !
"Les drones ne sont pas assez fiables" (vidéo du jour)
Numergy et Cloudwatt lancent leur cloud pour les professionnels de la santé
Oracle OpenWorld : cloud et engineered systems, les mots-clés de l’édition 2014
Du SaaS au IaaS : les acteurs du Cloud (re)positionnent leurs services
Amazon rachète la plateforme de jeux vidéos en ligne Twitch pour 1 milliard de dollars
Amazon concurrencerait Google dans la publicité en ligne
Econocom rachète l’hébergeur français ASP Serveur
Pannes en série pour Microsoft Azure
Amazon officialise son lecteur de carte bancaire pour mobiles
Quelles techniques pour choisir de nouveaux mots de passe ?
Bull attend son rachat par Atos avec sérénité
Les investissements d’Amazon pèsent lourdement sur ses résultats
Les bénéfices de Microsoft plombés par l'acquisition de Nokia
Résultats : IBM négocie bien le virage du cloud
Résultats : SAP accélère sa transition vers le cloud
Que font les hackers durant les matchs de foot ?
Une crise qui en cache une autre
Atos remporte le contrat d’infogérance globale de RTE
Amazon lance son programme développeurs en France