Windows : un mot de passe de huit caractères cassé en quelques heures

Une grappe de serveurs embarquant 25 GPU Radeon d’AMD a été capable de craquer un mot de passe Windows en quelques heures. Une opération qui soulève des questions sur l’efficacité de l’algorithme de chiffrement du protocole NTLM utilisé depuis Windows Server 2003.

ntlm securite mots de passe

Jeremi Gosney, PDG de la société Stricture Consulting Group (SCG), a présenté la semaine dernière lors de la conférence Passwords^12 une machine d’un genre particulier. Il s’agissait d’une grappe de serveurs embarquant 25 cartes graphiques basées sur des puces Radeon d’AMD. La machine était équipée en outre d’un système Linux et de la plateforme Virtual OpenCL, capable de créer une grappe logicielle depuis les cartes graphiques, afin qu’elles soient toutes traitées comme faisant partie d’une seule unité.

L’objectif et le point fort de ce serveur ? Trouver les mots de passe. Il le fait bien, et il le fait vite : il ne lui a fallu que 5,5 heures pour trouver un mot de passe Windows long de huit caractères. En termes de chiffres, cela représente 348 milliards d’essais à la seconde et près de 7 millions de milliards d’essais en 5h30. Assez pour deviner n’importe quelle combinaison de huit caractères exploitant aussi bien les majuscules que les minuscules, les chiffres et les caractères spéciaux.

ntlm securite mots de passe

Bien entendu, quelques précisions sont nécessaires. D’une part, si 5h30 sont un résultat impressionnant en force brute, il augmente brutalement avec des caractères supplémentaires : un de plus suffit à réclamer 500 heures de travail au serveur, tandis que deux lui demanderont cinq ans et quatre mois. En clair, aucun mot de passe ne devrait faire moins de 9 caractères au strict minimum pour décourager les éventuels pirates.

D’autre part, le temps de calcul dépend expressément de l’algorithme employé pour chiffrer le mot de passe. Selon Jeremi Gosney, le serveur peut ainsi s’attaquer à 44 autres algorithmes, mais les vitesses de calcul varient : 180 milliards d’essais à la seconde pour le MD5, 63 milliards pour le SHA1 et seulement 364 000 essais par seconde pour le SHA512crypt.

ntlm securite mots de passe

Enfin, il faut considérer que la méthode par force brute n’est pas le seul moyen employé par les pirates pour deviner les mots de passe. Elle peut notamment être couplée à la comparaison directe. Jeremi Gosney a ainsi indiqué que lors de la fuite des identifiants LinkedIn, il avait été capable de casser 90 % des empreintes résultant du chiffrement des données. Il avait notamment utilisé une liste de 500 millions de mots couramment utilisés dans les mots de passe. Il se servait toutefois d’une ancienne version du serveur, et la nouvelle lui aurait nécessité quatre fois moins de temps.

Comme d’habitude, nous recommandons à nos lecteurs la plus grande prudence dans le choix de leurs mots de passe. Même si ce type d’attaque n’est en général pas possible en ligne, à cause de la limitation des essais (trois le plus souvent), il est redoutable dans le cas d’une fuite d’identifiants avec récupération de fichiers. Un constat qui ne peut que s’aggraver avec la puissance toujours plus importante délivrée par les GPU.

Source: http://www.pcinpact.com/news/75920-windows-mot-passe-huit-caracteres-casse-en-quelques-heures.htm

3 jours pao, indesign,photoshop,illustrator.Belgique, France, Suisse

Centre de formation à Bruxelles

NOUS CONTACTER :

Avenue de l’indépendance Belge 58
1081 Bruxelles
Tel : +32 2 412 04 10
Fax : +32 2 412 04 19
Gsm : +32 485 212 722
Email : selossej@jlgestion.be

NOS AVANTAGES :

  • Type de formation : Inter-entreprise, Intra-entreprise et particuliers
  • Formation 100% flexible et personnalisée : Vous choisissez le lieu, la date et le programme de formation
  • Demande de devis : Réponse dans les 24 heures.
  • Remise de 50% pour les PME Bruxelloises
  • Parking, boisson et lunch gratuit
  • Accès à notre centre de compétences : Syllabus, note de cours, exercices,…

Faites une demande de devis gratuitement en remplissant notre formulaire en ligne

Advertisements

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

You are commenting using your WordPress.com account. Déconnexion / Changer )

Twitter picture

You are commenting using your Twitter account. Déconnexion / Changer )

Photo Facebook

You are commenting using your Facebook account. Déconnexion / Changer )

Photo Google+

You are commenting using your Google+ account. Déconnexion / Changer )

Connexion à %s