En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Il détourne le cloud Amazon pour pirater des mots de passe

Un chercheur allemand va démontrer comment tester près d’un million de mots de passe à la seconde avec Amazon EC2.

laisser un avis
Quarante-neuf minutes et deux dollars pour trouver un mot de passe… Thomas Roth, un chercheur allemand, veut prouver que le cloud computing sert de plate-forme de travail pour les pirates informatiques. Qu’ils peuvent utiliser les machines virtuelles d’Amazon comme supercalculateur, et casser des mots de passe par force brute.
Jusqu’ici, le coût du ticket d’entrée pour ce type d'attaques informatiques était trop élevé et, donc, rédhibitoire. Et ce, du fait de ressources matérielles trop importantes. Le seul moyen de contournement était le recours à l’informatique distribuée. Une méthode efficace, mais contraignante, et surtout tributaire du nombre de volontaires acceptant de participer à l’opération. Aujourd’hui, « grâce » au cloud, tout est possible, seul, et pour une poignée de dollars.

Un million de mots de passe testés par seconde !

Le chercheur avait déjà démontré de quelle façon les machines virtuelles d’Amazon peuvent être utilisées comme des nœuds de calcul : avec 22 gigas de mémoire, deux processeurs Xeon dernière génération ainsi que les deux fameux processeurs graphiques Nvidia Tesla. Ces derniers, reconnus pour leur capacité de traitements simultanés, étant utilisés pour l’occasion comme calculateur.
Ce sont d'ailleurs essentiellement ces processeurs graphiques qui rendent possible le cassage des mots de passe. Au final, le chercheur est parvenu en quarante-neuf minutes à déchiffrer des mots de passe sur six caractères, pour un coût dérisoire : moins de deux dollars !
Depuis, Thomas Roth a perfectionné le processus. Lors de la prochaine conférence Black Hat, il prétend renouveler la performance (toujours sur Amazon EC2) et atteindre, cette fois, le chiffre record d'un million de mots de passe testés par seconde pour casser une clé Wi-Fi WPA-PSK !

Un supercalculateur grâce au cluster

Ce qui est nouveau, surtout, c’est la possibilité de travailler en cluster chez Amazon. Cette nouvelle offre permet de répartir la tâche de cassage sur plusieurs machines. Cette fois, un attaquant aurait la possibilité d’avoir un supercalculateur à portée de main. Un mot de passe sur huit caractères ne devrait donc pas poser de difficultés. Une différence colossale avec les tests réalisés un an et demi plus tôt, quand une telle opération coûtait près de 9 000 dollars et prenait… 122 jours.
Même si tout est bien expliqué sur le blog du chercheur, ce type d’attaque reste quand même réservé à une population d’initiés. Cependant, elle démontre au moins une chose : la longueur des mots de passe reste un critère de sécurité important. Et l'étaler sur dix caractères, voire davantage, n'est désormais plus un luxe.
envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Heartbleed : que faire face à la faille de sécurité qui fait mal au coeur ? (vidéo)
Cloud : Apple est le bon élève vert, Twitter et Amazon portent le bonnet d’âne
Amazon obtient la meilleur note de satisfaction client en France
Cisco investira un milliard de dollars dans le cloud d’ici deux ans
Steria rachète Beamap, une société de conseil en cloud
PlayStation Now : Sony pourrait proposer la location de jeux dans le cloud
Popcorn Time, le nouveau cauchemar de Hollywood (Vidéo)
Cloudwatt cible les PME avec une offre de cloud hybride
Des résultats encourageants pour GFI Informatique
France IT lance un label cloud pour mieux identifier les offres pérennes
Dell lance un client léger de poche pour les travailleurs mobiles
Les logiciels Oracle disponibles et facturés sur Azure en mars 2014
Les 10 défis qui attendent le nouveau PDG de Microsoft
Completel associe avec IBM pour proposer des services Cloud
Piratage Orange: la DCRI saisie de l'enquête (MAJ)
Amazon a renoué avec les bénéfices en 2013
Le nouveau PDG de Microsoft serait Satya Nadella, responsable du cloud
Danone migre 25 000 boîtes e-mail dans le nuage d’IBM
Amazon prépare une console sous Android à moins de 300 dollars pour 2014
Oracle veut concurrencer Amazon et Microsoft dans le Cloud