Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Windows : un mot de passe de huit caractères cassé en quelques heures

5h30 suffisantes pour tester toutes les combinaisons

Une grappe de serveurs embarquant 25 GPU Radeon d’AMD a été capable de craquer un mot de passe Windows en quelques heures. Une opération qui soulève des questions sur l’efficacité de l’algorithme de hachage du protocole NTLM utilisé depuis Windows Server 2003.

ntlm securite mots de passe

 

Jeremi Gosney, PDG de la société Stricture Consulting Group (SCG), a présenté la semaine dernière lors de la conférence Passwords^12 une machine d’un genre particulier. Il s’agissait d’une grappe de serveurs embarquant 25 cartes graphiques basées sur des puces Radeon d’AMD. La machine était équipée en outre d’un système Linux et de la plateforme Virtual OpenCL, capable de créer une grappe logicielle depuis les cartes graphiques, afin qu’elles soient toutes traitées comme faisant partie d’une seule unité.

 

L’objectif et le point fort de ce serveur ? Trouver les mots de passe. Il le fait bien, et il le fait vite : il ne lui a fallu que 5,5 heures pour trouver un mot de passe Windows long de huit caractères. En termes de chiffres, cela représente 348 milliards d’essais à la seconde et près de 7 millions de milliards d’essais en 5h30. Assez pour deviner n’importe quelle combinaison de huit caractères exploitant aussi bien les majuscules que les minuscules, les chiffres et les caractères spéciaux.

 

ntlm securite mots de passe

 

Bien entendu, quelques précisions sont nécessaires. D’une part, si 5h30 sont un résultat impressionnant en force brute, il augmente brutalement avec des caractères supplémentaires : un de plus suffit à réclamer 500 heures de travail au serveur, tandis que deux lui demanderont cinq ans et quatre mois. En clair, aucun mot de passe ne devrait faire moins de 9 caractères au strict minimum pour décourager les éventuels pirates.

 

D’autre part, le temps de calcul dépend expressément de l’algorithme employé pour hacher le mot de passe. Selon Jeremi Gosney, le serveur peut ainsi s’attaquer à 44 autres algorithmes, mais les vitesses de calcul varient : 180 milliards d’essais à la seconde pour le MD5, 63 milliards pour le SHA1 et seulement 364 000 essais par seconde pour le SHA512crypt. Toutes ces opérations ont été ralisées à partir de fichiers locaux donnés en pâture à la grappe de serveurs.

 

ntlm securite mots de passe

 

Enfin, il faut considérer que la méthode par force brute n’est pas le seul moyen employé par les pirates pour deviner les mots de passe. Elle peut notamment être couplée à la comparaison directe. Jeremi Gosney a ainsi indiqué que lors de la fuite des identifiants LinkedIn, il avait été capable de casser 90 % des empreintes résultant du chiffrement des données. Il avait notamment utilisé une liste de 500 million de mots couramment utilisés dans les mots de passe. Il se servait toutefois d’une ancienne version du serveur, et la nouvelle lui aurait nécessité quatre fois moins de temps.

 

Comme d’habitude, nous recommandons à nos lecteurs la plus grande prudence dans le choix de leurs mots de passe. Même si ce type d’attaque n’est en général pas possible en ligne, à cause de la limitation des essais (trois le plus souvent), il est redoutable dans le cas d’une fuite d’identifiants avec récupération de fichiers. Un constat qui ne peut que s'aggraver avec la puissance toujours plus importante délivrée par les GPU.

193 commentaires
Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 10/12/12 à 08:58:01

Signaler ce commentaire aux modérateurs :

INpressionnante la bécane !

Heureusement, ce n'est pas encore a la portée du premier piratin venu, mais ça fait réfléchir

(et heureusement mon MdP fait pile 10 caractère)

Édité par tot0che le 18/01/2013 à 18:33
Avatar de kiliking INpactien
Avatar de kilikingkiliking- 10/12/12 à 08:58:12

Signaler ce commentaire aux modérateurs :

L'accès admin de pcinpact.com fait combien de caractères ?

Avatar de snoopy1492 INpactien
Avatar de snoopy1492snoopy1492- 10/12/12 à 08:59:44

Signaler ce commentaire aux modérateurs :

Bon avec onze caractères, je me sens à peu près bien protégé
Mais vu les chiffres qu'ils avancent, MS ferait bien de réfléchir au renouveau du chiffrement des mdp...

Édité par snoopy1492 le 10/12/2012 à 09:01
Avatar de ulhgard Abonné
Avatar de ulhgardulhgard- 10/12/12 à 09:00:08

Signaler ce commentaire aux modérateurs :

Là ou cela pose problème c'est lors de la perte d'un disque ou d'une clé USB voir d'un laptop.
Dans ce genre de cas le chiffrement pourrai être "aisément" cassé.

Dans le cas d'une attaque distante il y à d'autres méthodes moins chiante je présume.

Avatar de UpByvM_jEBXe3b INpactien
Avatar de UpByvM_jEBXe3bUpByvM_jEBXe3b- 10/12/12 à 09:01:48

Signaler ce commentaire aux modérateurs :

Avec sa bécane, moi je ferai des Bitcoins

Avatar de L3 G33K INpactien
Avatar de L3 G33KL3 G33K- 10/12/12 à 09:04:01

Signaler ce commentaire aux modérateurs :

Avec les 109 caractères disponibles directement sur un clavier standard FR, un mot de passe de 8 caractères permet d'obtenir 19 925 626 416 901 921 combinaisons différentes.
Soit 57 258 heures pour toutes les tester au rythme indiqué, ce qui représente tout de même 6 ans et demi de calcul.

Ils n'ont donc pas dû utiliser tous les caractères du clavier, et encore moins tous les caractères alternatifs.

Avatar de Avygeil INpactien
Avatar de AvygeilAvygeil- 10/12/12 à 09:04:10

Signaler ce commentaire aux modérateurs :

Bah le mot de passe Windows c'est pas non plus super utile...

Au niveau hacking, forensic ou autre, c'est vraiment trop facile de soit passer outre soit d'écraser le hash NTLM par un hash vide.

Feraient mieux de faire leurs tests sur du 7zip AES 256 ou WinRAR, là c'est juste histoire de prendre un algo super facile pour montrer des gros chiffres.

Avatar de KenjI_S INpactien
Avatar de KenjI_SKenjI_S- 10/12/12 à 09:05:04

Signaler ce commentaire aux modérateurs :

28 caractères alphabétiques (maj/min) et numérique plus caractères spéciaux
Leur faudra beaucoup de temps

sinon vais changer celui pour pcinpact => 8 caractères pile-poil

Avatar de SFX-ZeuS INpactien
Avatar de SFX-ZeuSSFX-ZeuS- 10/12/12 à 09:05:04

Signaler ce commentaire aux modérateurs :

Alors c'est sur, la machine est rapide pour tester des combinaisons mais ça s'arrête là... Aucunement applicable à une réelle attaque ... et si t'as besoin de récupérer un mot de passe winwin y'a tout de même plus rapide (vu que là y'a un accès la machine physique)...

Édité par sfx-zeus le 10/12/2012 à 09:06
Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 10/12/12 à 09:05:05

Signaler ce commentaire aux modérateurs :

kiliking a écrit :

L'accès admin de pcinpact.com fait combien de caractères ?

13 caractères : Ch0uQu377eS§§

Édité par tot0che le 18/01/2013 à 18:33
Il n'est plus possible de commenter cette actualité.
Page 1 / 20