Se connecter avec
S'enregistrer | Connectez-vous

Pirater un mot de passe Windows en 6 heures avec 25 GPU AMD

Par - Source: Ars Technica | B 27 commentaires

Cinq serveurs regroupant 25 GPU AMD permettent d’essayer 958 combinaisons en moins de six heures afin de pirater n’importe quel mot de passe Windows de 8 caractères (chiffres et symboles inclus) par force brute en moins de six heures. C’est un scénario qui demande que le système repose sur l’algorithme de chiffrement NTLM que Microsoft utilise sur toutes les versions de Windows depuis 2003. Néanmoins, si l’utilisateur fait appel à l’algorithme LM, comme c’est le cas de beaucoup d’entreprises pour des raisons de compatibilité avec les anciennes versions de Windows, il est possible de cracker le mot de passe en six minutes.

Les GPU sont une arme redoutable pour les pirates

Le cluster utilise Virtual OpenCL et chaque carte représente un ordinateur faisant tourner ocl-HashcatPlus, le système optimisé pour GPU permettant de cracker un mot de passe. Le serveur utilise 10 Radeon HD 7970, quatre Radeon HD 5970, trois Radeon HD 6990 et une Radeon HD 5870, selon le papier publié.

La méthode n’est pas nouvelle, mais c’est la première fois que l’on atteint ce genre de performance. Jeremi Gosney qui a présenté ce projet à la Passwords^12 Security Conference a expliqué à Ars Technica que ce système peut attaquer un hash quatre fois plus rapidement qu’auparavant.

L’idée d’utiliser des GPU pour le piratage de mot de passe est loin d’être nouvelle (cf. « Les GPU vont aider les pirates »), mais nous arrivons à des rendements et une rapidité impressionnante. Concrètement, un mot de passe mal choisi pose un risque sécuritaire de plus en plus important.

Réagir Afficher 27 commentaires.
  • turlupin en ptard , 11 décembre 2012 05:37
    Quand je pense à certains établissements (bancaires, entre autres) qui limitent à 8 caractères la longueur des mots de passe de leurs clients et n'autorisent que les lettres et les chiffres, je me dis qu'il serait temps pour ces établissements de se préparer à faire face à des problèmes de responsabilité civile en cas de piratage de comptes de leurs clients...
    Sans oublier le code de la CB à 4 chiffres !!!

    Globalement, on se trouve une fois de plus devant le vieux problème de la lance à laquelle nul bouclier ne résiste et du bouclier invulnérable que nulle lance au monde ne saurait percer (Récits du Royaume de Chu) qui ressemble fort au paradoxe du menteur (Épiménide de Knossos) qui dit que les Crétois mentent toujours.

    Problème qui se retrouve dans la question de la toute puissance d'un dieu : si un dieu est réellement tout puissant il doit être capable de créer un rocher si lourd qu'il lui soit impossible de le soulever. Il n'est donc pas tout puissant. Donc il n'est pas Dieu.

    C'est aussi la base de la "preuve ontologique" de l'existence de Dieu, pur jésuitisme inventé à toutes les époques de l'humanité et dans toutes les cultures du monde par des pontes de toutes les religions pour trouver un fondement rationnel à ce qui relève de la foi :

    "Dieu est forcément parfait, par nature. S'il n'existe pas il n'est pas parfait, donc Dieu existe."

    Si, si, je vous jure ! Des gens supposés être parmi les plus intelligents au monde ont soutenu cette thèse et la soutiennent encore !

    On retrouve cette idée très tôt chez tous les intégristes, voire chez certains philosophes (dont Descartes).
    De St Anselme, au XIème siècle de l'ère chrétienne, jusqu'à Kant et bien d'autres plus près de nous (mon Dieu !!! :D )

    C'est l'éternel problème des imbéciles qui veulent faire appel à la raison pure pour démontrer un article de foi, de ceux qui prétendent guérir la rougeole avec du fond de teint ou résoudre des problèmes de nature politique au moyen de solutions purement techniques (et dire qu'il y a des électeurs assez cons ou ignorants pour croire de tels politiciens !).

    Étonnament on retrouve un type de raisonnement proche dans les Théorèmes d'incomplétude de Kurt Gödel.

    Le lien entre toutes ces approches du problème étant qu'on ne peut prouver une théorie qu'en sortant du cadre rationnel de la théorie elle-même, donc qu'il faut adopter un point de vue extérieur (le point de vue de Sirius) pour arriver à une solution.
    À ce sujet, Micromegas (de Voltaire) constitue une lecture récréative sur le sujet tout en offrant matière à une réflexion plus profonde.

    OOoooh ! Put... ! Ça y est ! L'insomnie a encore frappé !

    M'enfin... j'ai essayé de rester dans un registre "léger", ne prenez rien de tout ceci trop au sérieux... juste un peu. :D 

    Bon... je vais me coucher. À la prochaine ;) 
  • -1 Masquer
    NyZos , 11 décembre 2012 06:11
    Bonne nuit mon gars et merci pour la leçon :) 
  • dark-sorrow , 11 décembre 2012 06:52
    Eh bien turlupin en ptard ? C'est bien la première fois que je te vois dériver de la sorte. En tout cas merci pour le pavé, c'était plaisant à lire :) 
  • chewbacka55 , 11 décembre 2012 06:57
    J'aurai bien envie de continuer ton passionnant débat qui m'a fait je l'admet un grand bien dès le réveil mais je préfère me recoucher direct...il est encore trop tôt pour mon petit cerveau lent et j'ai bien malgré moi l'inexorable conviction de ne pouvoir rivaliser de si bonne heure.

    En ce qui me concerne je suis passé à des mots de passe de plus de 8 caractères depuis pas mal de temps et ça ne me gène pas avec un clavier car cela reste assez rapide à saisir...mais le plus contraignant c'est quand il faut ressaisir tout ses mdp sur smartphone (en plus des identifiants et recherche de réseaux régulièrement demandés). J'avoue que ça me gonfle de perdre du temps à tout devoir saisir à chaque connexion...plus encore qd il y a une recherche de réseau à faire....des fois on perd 5 minutes juste pour se connecter et consulter 30 secondes...on a alors tendance à vouloir zapper la sécurité pour aller plus vite.

    Quand on voit comment windows est mal sécurisé et en plus mal maîtrisé par les utilisateurs il y a de quoi s'inquiéter pour toutes les technologies tactiles actuelles. Combien d'utilisateurs utilisent une solution antivirus sur leur smarphones? Quid donc de la sécurité des tablettes & smartphone?
  • phb1387 , 11 décembre 2012 08:25
    Que ce soit pour se logger à sa banque ou pour la carte bleu, on est limité à 3 tentatives. Pas assez à mon sens pour tenter la force brute ... Mais peut être que je suis trop terre à terre
  • bebRito , 11 décembre 2012 08:47
    Et quand allez vous arrêter de confondre puissance et indice ?
    95^8 si vous voulez ou les balises sup mais pas les balises sub ...
  • dener , 11 décembre 2012 08:53
    Le brut force serait plus là pour attaquer la partie administration de la structure de paiement avec toutes les vulnérabilités à gérer, sans oublier les systèmes fermés dont la seule sécurité est que l'ont ignore le fonctionnement (ce dont les "hacker" raffolent) et qui lorsque le système est cracker ne servent quasiment plus a rien :/ 
  • -1 Masquer
    turlupin en ptard , 11 décembre 2012 12:11
    Citation :
    Eh bien turlupin en ptard ? C'est bien la première fois que je te vois dériver de la sorte.
    Alors tu as dû en rater quelques uns :D 

    Citation :
    En tout cas merci pour le pavé, c'était plaisant à lire :) 
    C'est l'essentiel :) 

    Et, en plus, personne, moi non plus (les nuits blanches nuisent à la vigilance), n'a relevé qu'il manquait un élément dans mon message.
    En effet, le forum étant buggé à mort depuis un moment , quand on poste un lien il a tendance à disparaître, ce qui s'est produit et vous a privé du lien (je l'ai rétabli) vers la page Wikipedia consacrée aux Théorèmes d'incomplétude de Kurt Gödel.

    Comme je suis gentil je remets le lien dans ce message aussi pour vous éviter de scroller comme des malades ! :D 
  • -3 Masquer
    Wiiip , 11 décembre 2012 16:16
    Alors, 2 possibilités :
    les experts sécurités deviennent intelligents, et nous propose de laisser un texte libre tant qu'il est suffisamment long.
    Ou alors, ils choisissent la solution débile : un mot de passe de 25 caractères mêlant n'importe quel symboles :
    7gD:#8hs0l^K:!%¤Zj7~#J]js
    Hélas pour l'humanité, les experts sécurités ne sont pas malins.
  • magellan , 11 décembre 2012 16:30
    Citation :
    Alors, 2 possibilités :
    les experts sécurités deviennent intelligents, et nous propose de laisser un texte libre tant qu'il est suffisamment long.
    Ou alors, ils choisissent la solution débile : un mot de passe de 25 caractères mêlant n'importe quel symboles :
    7gD:#8hs0l^K:!%¤Zj7~#J]js
    Hélas pour l'humanité, les experts sécurités ne sont pas malins.


    Petite correction: ils sont malins, bien plus que nous, mais ils se heurtent aux utilisateurs, qui, eux, sont des plaies.
    Quiconque a administré un réseau un tant soit peu sécurisé sait de quoi je parle...
    - Le mot de passe "oublié" tous les quatre matins par le même foutu utilisateur
    - Celui qui s'acharne et se plaint de devoir le renouveler à période régulière
    - Celui qui le file à la terre entière parce qu'il se fout de la sécurité
    - Celui qui colle son mot de passe sur un postit collé... sur l'écran du PC
    - Celui qui utilise des dates de naissance de quelqu'un de sa famille
    - Celui qui se plante à chaque fois parce qu'il a mis des caractères à la con dedans... et qui finit par verrouiller son compte
    - Celui qui utilise des caractères pourris (une série d'espace... ça vous cause?)

    Et j'en passe.
    C'est déjà bien assez difficile de faire retenir tous les codes sans pour autant croire que la sécurité est mal foutue. La première source de faille vient de l'homme, parce qu'il ne va pas manquer de jouer les flemmards amnésiques qui se contentera donc d'un code à quatre chiffres (cas de la CB).

    PS: le coup des trois essais, ça n'est qu'une des hypothèses quand on attaque une cible (lecteur CB par exemple). Dans les faits, les attaques sont plus subtiles parce qu'elles font en sorte de tenter les connexions depuis des points distincts, sur des serveurs web distincts, mais actionnant les mêmes users. et je ne parle même pas des fichiers sécurisés où, là, un clone numérique permet de s'affranchir de toute sécurité embarquée.
  • -1 Masquer
    turlupin en ptard , 11 décembre 2012 17:36
    magellan- Le mot de passe "oublié" tous les quatre matins par le même foutu utilisateur
    - Celui qui s'acharne et se plaint de devoir le renouveler à période régulière
    - Celui qui le file à la terre entière parce qu'il se fout de la sécurité
    - Celui qui colle son mot de passe sur un postit collé... sur l'écran du PC
    - Celui qui utilise des dates de naissance de quelqu'un de sa famille
    - Celui qui se plante à chaque fois parce qu'il a mis des caractères à la con dedans... et qui finit par verrouiller son compte
    - Celui qui utilise des caractères pourris (une série d'espace... ça vous cause?)

    Certains de ces comportements relèvent de la faute professionnelle, il suffit de ne plus montrer d'indulgence pour ces comportements qui sont clairement nuisibles.
    Je ne vais sûrement pas prendre la défense des patrons (vieux réflexe de lutte de classe) mais je ne vais pas non plus prendre celle de connards qui refusent de faire leur boulot correctement alors que tant de chômeurs seraient ravis de prouver que c'est à la portée de tout le monde.

    Au pire on pourrait décider que ceux qui posent ce genre de problème n'aient plus accès aux ordinateurs de l'entreprise et, quant à leur reclassement, il y a des tas d'emplois qui ne nécessitent pas d'utiliser un ordinateur, voire même un cerveau.
    C'est sûr, ce sont des emplois moins intéressants et moins bien payés mais... il faut choisir !
  • -2 Masquer
    Wiiip , 11 décembre 2012 17:45
    Ah, oui, le dilemme de l'administrateur réseau incompris, tout seul face à des milliers d'utilisateurs récalcitrants.
    (mais l'administrateur, lui, est un petit malin : comme il est administrateur, lui, il a le droit de mettre le même mot de passe de façon quasi fixe partout, et de les noter quelque part, parce que malheureusement, il n'est pas non plus une machine :s)
    Quelqu'un a-t-il déjà estimé combien faisaient perdre à leurs entreprise ceux qui se moquent de la sécurité (lorsqu'ils n'ont pas les clés de la base des données utilisateurs) ?
    Et un autre a-t-il déjà estimé combien coûtait ces mots de passes débiles qui ne servent qu'à perdre du temps ?
    Est-ce qu'il est connu que les accès des bases de données de productions ont des mots de passe 3 fois moins complexes que les accès de session windows du moindre péquin venu ?
    Alors, juste pour l'emmerdeur du 3ieme qui a encore oublié son mot de passe, on va aussi leur imposer la présence d'au moins 1 caractère hors-clavier, comme "Ø" ou "¼", ca leur fera les pieds à ces tocards.
  • Squonk , 11 décembre 2012 18:08
    Le brute-force, on en entend beaucoup parler, ça fait rêver et tout, mais combien de "piratages" ont vraiment lieu par brute-force? Parce que bon, sans les hashs on va pas très loin, surtout si l'on rajoute le deuxième élément d'une authentification forte...

    Pour le mot de passe de la banque, une "attaque par keylogger avec captures d'écran autour des clics de souris" arrive assez fréquemment, mais une attaque par brute-force... Donc on peut très bien rester avec nos mots de passe de 6 ou 8 caractères.
  • magellan , 11 décembre 2012 18:13
    Je crois qu'on doit distingue plein de choses bien différentes dans le propos.
    1) On sait estimer le temps perdu
    Les grosses structures gèrent dorénavant les appels SAV à travers des jetons clients, de sorte à faire des statistiques pointues sur le temps passé par domaine d'appel. Le problème? Il est multiple!
    - Une société n'admettra pas que ses employés sont des quiches chroniques et qu'ils ont des soucis d'amnésie collective
    - Une société ne pourra pas reconnaître que nombre des appels concernent des choses lamentables comme "l'appel du crétin qui dit que l'imprimante déconne, alors que cet idiot n'a simplement pas mis de papier dans le bac"...
    Et ça, c'est du quotidien en IT, crois en mon expérience.
    Comme les appels sont statistiquement identifiables, on se gardera bien de présenter les dérives de temps perdu de la sorte. Cela va passer dans les pertes et profits... tout simplement.
    2) Les bonnes pratiques
    Faute d'avoir une culture informatique suffisante, et une formation à la sécurité cohérente pour tous les collaborateurs, on ne peut que constater les problèmes présentés: mots de passe perdus/facile à trouver, ou encore des admins qui, lassés de garer les mots de passe, les poussent en fournissant une liste arbitraire, elle même stockée dans un fichier excel. On a vu mieux question sécurité!
    Tant qu'on n'aura pas compris l'importance de cette activité, on aura des soucis en pagaille
    3) Les BDD...
    Là, bienvenu dans le monde des développeurs; Bien souvent, le schéma initial est construit avec un mot de passe facile à retenir pour que les devs puissent travailler dessus sans s'arracher les neurones; Le problème vient de la mise en production du dit schéma avec le script initiant une base de travail. Résultat: un mot de passe dba faible voire ridicule, et que personne ne pense à sécuriser un minimum. Et je ne parle même pas des pass en clair dans les fichiers de configuration sur les serveurs web! La protection de la donnée est là aussi insuffisamment enfoncée dans le crâne des développeurs qui pensent au monde idéal de la BDD jamais attaquée, ou de l'intranet où personne n'a la compétence pour pirater. Ils connaissent très mal les attaques "man in the middle" notamment, et les ignorent même totalement.

    Résultat des courses. N'idéalisons pas l'administrateur, ce n'est pas le propos. Ce que je disais, c'est que les vrais experts sécurité sont tout sauf idiots ou incompétents, ils se heurtent simplement au monde réel, qui, lui, engendre énormément d'incompétence, de méconnaissance, et surtout de fautes graves en terme de sécurité de la donnée.
  • magellan , 11 décembre 2012 18:17
    Citation :
    Le brute-force, on en entend beaucoup parler, ça fait rêver et tout, mais combien de "piratages" ont vraiment lieu par brute-force? Parce que bon, sans les hashs on va pas très loin, surtout si l'on rajoute le deuxième élément d'une authentification forte...

    Pour le mot de passe de la banque, une "attaque par keylogger avec captures d'écran autour des clics de souris" arrive assez fréquemment, mais une attaque par brute-force... Donc on peut très bien rester avec nos mots de passe de 6 ou 8 caractères.

    bien plus qu'on le croit. La brute force est associée à bien des choses très efficaces comme les annuaires de mots de passes classiques, l'usage du cloud pour décupler la puissance de calcul, ainsi que nombre d'équipements dont la puissance s'est décuplée elle-même en peu de temps (usage des GPU notamment).
    Bien entendu, c'est surtout associé à la casse de mots de passe sur des fichiers particuliers (zip protégés par exemple) plus qu'à l'attaque de sites. Mais ce n'est pas pour autant que ça n'existe pas.

    Notons également qu'il est tout à fait envisageable d'utiliser de plus en plus d'équipements domestiques pour le faire. Par exemple, les téléviseurs modernes embarquent de plus en plus de technologie, des distributions légères de linux; Rien n'empêche d'imaginer une répartition du décryptage à travers la télé connectée. Exemple: le flux vidéo transfère en trame de fond un fichier à décrypter, et l'on alloue une plage de codes à tester à chaque TV (par numéro de série par exemple). Ensuite, celle qui parvient à une réponse cohérente envoie une réponse via la connexion, et fournissant uniquement son numéro de série, l'initiateur aura alors tout loisir de décrypter le fichier initial sans difficulté.

  • Wiiip , 11 décembre 2012 19:07
    Bien que le sujet initial soit sur l'inéficacité d'un mot de passe "extra fort" de 8 caractères, mon message était de dire que plutôt que de faire :
    - perdre son temps à Mme Dujoux à sécuriser les heures d'ouvertures de la caféteria et les CRA de son équipe,
    - ou d'imposer un pass imbitable à Mr Martin pour verrouiller ses comptes rendu de réunion sur l'intégration d'un sharepoint sur les statistiques des parcmetres,
    (lesquels ne requierent à vrai dire AUCUN mot de passe)
    Mr "l'expert" en sécurité pourrait bouger ses neurones sur :
    - un audit de LA base, l'UNIQUE foutue base qui contient les n° de carte de crédit de la boite (la seule qu'on cherche à attaquer du reste, c'est marrant)
    - une communication et des outils a ses chers collègues pour leur dire que l'exceptionnelle fois où ils se trimbaleront avec un extrac de la base client, la recette de fabrication de la molécule, ou le schéma de fabrication du moteur, ils doivent le supprimer dès que possible, le verrouiller 5fois sur un disque dédié et se l'accrocher au slip pour ne pas le perdre dans le métro.
    Mais comme l'expert se contente d'emmerder les 15.000 employés de la boite, ces derniers n'ont que retenu que la sécurité était chiante, et leur prenait déjà trop de temps pour faire un quelconque effort.
    Et c'est ainsi que les bases clients sont piratées/perdues dans les taxis tous les 6 mois.
  • dextermat , 11 décembre 2012 19:45
    Bah, juste a utiliser la liste des 25 mot de passe les plus employés et bam!!, nous voila dans les courriel, compte bancaire et autre en moins de 10 min :p 
  • tatawin33 , 11 décembre 2012 21:46
    en même temps trop de sécurité tue la sécurité, elle doit être justement dosée et utilisée a bon escient. quand je vois certains commentaires plus haut, pourtant pondu par des gens censés s'y connaitre, qui s'émeuve que le code cb ou banque en ligne ne fait que 4 ou 8 caractère, cela démontre une méconnaissance totale du terme même de "sécurité", car croire qu'il suffit d'augmenter la taille ou de complexifier un mdp pour l'augmenter (la sécurité) est une stupidité sans nom.
    la sécurité doit être globale. par exemple: limiter le nombre d'essais (personne n'a jamais et ne pourra jamais brute forcer la cb ou la banque en ligne), limiter les accès aussi bien logiquement que physiquement, NE PAS exiger de mdp trop complexes impossibles a retenir, utiliser des hash et non des mdp en clair (ah! ces it qui se prennent pour des cadors et ne sont même pas capables de faire ça!), configurer correctement les postes clients (même remarque sur les it), encryptages systématiques des supports de stockages, etc.

    concernant l'article, on sait au moins depuis le début de l'informatique que la puissance de calcul ne cesse d'augmenter, et on s'étonne régulièrement qu'on arrive a faire plus de trucs en moins de temps (pas forcément piratage ou assimilé). ça c'est du journalisme!
  • mvm , 12 décembre 2012 11:53
    Juste pour mettre mon grain de sel, je ne suis pas d'accord avec la conclusion.
    Pourquoi nous dire de mettre des mots de passes compliqué si même dans ce cas 6h suffisent à le craquer ?
    Bon, j'avoue, j’ergote. Mais sachant qu'il ne faut pas utiliser le même mot de passe dans deux systèmes (banque , mail, forum, Windows, applications, network device, etc...) et qu'il faut les changer régulièrement, on est vite face à un dilemme entre complexité et mémoire.
    J'attend toujours la solution miracle.
  • ultrabill , 12 décembre 2012 17:44
    Citation :
    Juste pour mettre mon grain de sel, je ne suis pas d'accord avec la conclusion.
    Pourquoi nous dire de mettre des mots de passes compliqué si même dans ce cas 6h suffisent à le craquer ?
    Extrait du début :
    Citation :
    (...) pirater n’importe quel mot de passe Windows de 8 caractères (chiffres et symboles inclus) par force brute en moins de six heures. (...)


    Un mot de passe un peu plus long, donc plus compliqué, mettra forcément plus de temps à être craqué. ;) 

    Citation :
    J'attend toujours la solution miracle.
    Elle n'existe malheureusement pas :o 
Afficher plus de commentaires
Donnez votre avis