nos newsletters
Lisez 01Business pour 6,54 € / n°
Il détourne le cloud Amazon pour pirater des mots de passe
Un chercheur allemand va démontrer comment tester près d’un million de mots de passe à la seconde avec Amazon EC2.
Quarante-neuf minutes et deux dollars pour trouver un mot de passe… Thomas Roth, un chercheur allemand, veut prouver que le cloud computing sert de plate-forme de travail pour les pirates informatiques. Qu’ils peuvent utiliser les machines virtuelles d’Amazon comme supercalculateur, et casser des mots de passe par force brute.
Jusqu’ici, le coût du ticket d’entrée pour ce type d'attaques informatiques était trop élevé et, donc, rédhibitoire. Et ce, du fait de ressources matérielles trop importantes. Le seul moyen de contournement était le recours à l’informatique distribuée. Une méthode efficace, mais contraignante, et surtout tributaire du nombre de volontaires acceptant de participer à l’opération. Aujourd’hui, « grâce » au cloud, tout est possible, seul, et pour une poignée de dollars.
Un million de mots de passe testés par seconde !
Le chercheur avait déjà démontré de quelle façon les machines virtuelles d’Amazon peuvent être utilisées comme des nœuds de calcul : avec 22 gigas de mémoire, deux processeurs Xeon dernière génération ainsi que les deux fameux processeurs graphiques Nvidia Tesla. Ces derniers, reconnus pour leur capacité de traitements simultanés, étant utilisés pour l’occasion comme calculateur.
Ce sont d'ailleurs essentiellement ces processeurs graphiques qui rendent possible le cassage des mots de passe. Au final, le chercheur est parvenu en quarante-neuf minutes à déchiffrer des mots de passe sur six caractères, pour un coût dérisoire : moins de deux dollars !
Depuis, Thomas Roth a perfectionné le processus. Lors de la prochaine conférence Black Hat, il prétend renouveler la performance (toujours sur Amazon EC2) et atteindre, cette fois, le chiffre record d'un million de mots de passe testés par seconde pour casser une clé Wi-Fi WPA-PSK !
Un supercalculateur grâce au cluster
Ce qui est nouveau, surtout, c’est la possibilité de travailler en cluster chez Amazon. Cette nouvelle offre permet de répartir la tâche de cassage sur plusieurs machines. Cette fois, un attaquant aurait la possibilité d’avoir un supercalculateur à portée de main. Un mot de passe sur huit caractères ne devrait donc pas poser de difficultés. Une différence colossale avec les tests réalisés un an et demi plus tôt, quand une telle opération coûtait près de 9 000 dollars et prenait… 122 jours.
Même si tout est bien expliqué sur le blog du chercheur, ce type d’attaque reste quand même réservé à une population d’initiés. Cependant, elle démontre au moins une chose : la longueur des mots de passe reste un critère de sécurité important. Et l'étaler sur dix caractères, voire davantage, n'est désormais plus un luxe.
Actu précédente
Actu Suivante
à lire aussi
SUR LES MÊMES THÈMES 
