Quarante-neuf minutes et deux dollars pour trouver un mot de passe. Thomas Roth, un chercheur allemand, veut prouver que le cloud computing est une vraie plateforme de travail pour les pirates informatiques. Qu’ils peuvent utiliser les machines virtuelles d’Amazon comme un supercalculateur et casser des mots de passe par force brute.

Jusqu’ici, le ticket d’entrée pour ce type d'attaques informatiques était trop élevé et donc rédhibitoire. Cela du fait de ressources matérielles trop importantes. Le seul moyen de contournement était le recours à l’informatique distribuée. Une méthode efficace, mais contraignante et surtout tributaire du nombre de volontaires acceptant de participer à l’opération. Aujourd’hui, « grâce » au cloud, tout est possible, seul, et pour une poignée de dollars.

Un million de mots de passe testés par seconde !

Le chercheur avait déjà démontré comment les machines virtuelles d’Amazon peuvent être utilisées comme noeuds de calcul. Avec vingt-deux gigas de mémoire, 2 processeurs Xeon dernière génération ainsi que les deux fameux processeurs graphiques NVidia Tesla. Ces derniers, reconnus pour leur capacité de traitement simultanés sont utilisés, pour l’occasion comme calculateur. Ce sont essentiellement eux qui rendent possible le cassage des mots de passe. Au final, le chercheur est parvenu en 49 minutes à déchiffrer des mots de passe sur six caractères, pour un coût dérisoire : moins de deux dollars !

Depuis, Thomas Roth a perfectionné le processus. Lors de la prochaine conférence Black Hat, il prétend renouveler la performance (toujours sur Amazon EC2) et atteindre, cette fois, le chiffre record d'un million de mots de passe testés par seconde pour casser une clé wifi WPA-PSK !

Un supercalculateur grâce au cluster

Ce qui est nouveau surtout, c’est la possibilité de travailler en cluster chez Amazon. Cette nouvelle offre permet de répartir la tâche de cassage sur plusieurs machines. Cette fois, un attaquant aurait la possibilité d’avoir un supercalculateur à portée de main. Un mot de passe sur huit caractères ne devrait donc pas poser de difficultés. Une différence colossale avec les tests réalisés un an et demi plus tôt où une telle opération coûtait près de 9000 dollars et prenait 122 jours.

Même si tout est bien expliqué sur le blog du chercheur, ce type d’attaque reste reservée à une population d’initiés. Cependant elle démontre au moins une chose : la longueur des mots de passe reste importante. Et l'étaler sur 10 caractères ou plus n'est désormais plus un luxe.