La nouvelle carte NVIDIA 4090 explose les mots de passe

Un chercheur en sécurité et expert en piratage de mots de passe a publié des tests de référence qui démontrent les capacités de piratage de mot de passe de la carte graphique RTX 4090.

Chaque nouvelle carte graphique a droit à son étude de « crack pass ». C’est au premier chercheur de diffuser son étude, et c’est Sam Croley, chercheur en sécurité et expert en piratage de mots de passe, à tirer la première carte. Il explique que les capacités de piratage de mot de passe de la carte graphique Nvidia RTX 4090 explose tous les chiffres.

Le nouveau GPU de NVIDIA a battu les précédents records de référence du RTX 3090 et a doublé les performances sur presque tous les algorithmes testés. Les mots de passe piratés suivaient les meilleures pratiques de sécurité et incluaient des lettres, des symboles et des chiffres aléatoires. Des pratiques dernièrement affichées par la Commission Informatique et des Libertés françaises, la CNIL [lire plus bas].

Hashcat

Sur la base des résultats des tests, une machine de hachage de mot de passe entièrement équipée avec huit RTX 4090 (soit 20 000€ au tarif du jour de l’écriture de ce papier) aurait la puissance de calcul nécessaire pour effectuer 200 milliards d’itérations d’un mot de passe à huit caractères et cela en 48 minutes.

Le résultat est 2,5 fois plus rapide que le précédent record RTX 3090. Les deux tests ont été effectués en utilisant uniquement du matériel GPU standard et le logiciel Hashcat connu pour permettre de retrouver un mot de passe perdu. Le crack permet des attaques par dictionnaire, par combinaison, les attaques par « masque », basées sur des règles et ou encore par force brute.

Les recommandations de la CNIL en matière de mots de passe: une solution aux cyberattaques ?

Devant la multiplication des fuites de données et des cyberattaques, la CNIL a publié le 17 octobre 2022 une directive sur la sécurisation des mots de passe à l’attention des entreprises. L’introduction frauduleuse dans les systèmes d’information trouve le plus souvent son origine dans l’accessibilité des mots de passe dont la robustesse constitue un enjeu majeur de cyber-sécurité.

Le Service Veille ZATAZ a vu passer pas moins de 22 milliards (oui, oui) identifiants de connexion depuis sa création.

Si les recommandations de la CNIL n’ont pas de caractère obligatoire, les entreprises piratée pourront désormais se voir reprocher de ne pas avoir mis en place en leur sein un protocole exigeant sur la composition du mot de passe.

Les entreprises sont dès lors fortement encouragées à revoir leur protocole à l’aune de cette délibération et à modifier leurs chartes informatiques afin d’élever leur seuil de sécurité.

Déjà le 28 décembre 2021, la CNIL avait sanctionner un opérateur télécom français à hauteur de 300 000 euros au motif que la transmission à ses clients d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès au message qui le contient, ce qui induit un certain nombre de risques pour la protection des données à caractère personnel et pour la vie privée des personnes.

Quelle politique de gestion des mots de passe est recommandée ?

L’organisme utilisant une authentification par mot de passe doit définir une politique de gestion de ceux-ci, dont les personnes concernées sont informées, ainsi qu’une revue régulière sur sa mise en œuvre.

Création et authentification du mot de passe

La CNIL identifie trois cas d’authentification par mot de passe associés à des différents niveaux d’entropies, c’est-à-dire à un degré de hasard dans la composition du mot de passe à respecter.

Mot de passe seul

*Minimum de 12 caractères (avec majuscule, minuscule, chiffre, caractère spécial)

*Minimum de 14 caractères (avec majuscule, minuscule, chiffre)

Mécanisme de restriction de l’accès au compte après plusieurs échecs d’authentification (ex : mesures de temporisation, blocage, limitation)

*Minimum de 8 caractères comportant 3 des 4 catégories de caractères (majuscule, minuscule, chiffre, caractère spécial)

*Minimum de 16 chiffres

Matériel détenu par la personne (cartes à puce, certificat électronique, etc.) avec dispositif de blocage après 3 échecs d’authentification

*Minimum de 4 chiffres décimaux

A noter que la CNIL ne recommande plus d’utiliser une information complémentaire (telles que le nom des parents, de l’animal de compagnie, etc.) pour sécuriser un mot de passe. Une évidence, mais ça va toujours mieux en l’écrivant (ce que fait zataz depuis 25 ans !)

Conservation et modification des mots de passe

Le mot de passe ne doit jamais être stocké en clair (il doit être préalablement transformé à l’aide d’une fonction cryptographique non réversible et sûre). Il est recommandé de ne plus exiger la modification périodique des mots de passe aux utilisateurs mais uniquement pour les comptes d’administration.

Que faire en cas d’atteinte à la sécurité sur les mots de passe ?

Le responsable de traitement doit informer sans délai la personne concernée et lui permettre de renouveler son mot de passe immédiatement. En cas de suspicion de violation de son mot de passe, le responsable de traitement doit imposer à la personne concernée de le modifier, et lui recommander de veiller à changer ses mots de passe sur les autres éventuels services où il aurait pu l’utiliser.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. dj Reply

    Bonjour

    je loue les capacités incroyables de cette carte graphique mais je ne connais pas de sites web sérieux qui permet à un user de se connecter 200 milliard de fois successivement afin de tester son mdp…

  2. L4ngel0t Reply

    C’est surtout pour casser du hash une fois la base de données exfiltrée…

  3. Pingback: Data Security Breach

Répondre à dj Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.