Lors d’un test mené par la société Home Security Heroes, une IA a réussi à craquer la majorité des mots de passe en moins de 60 secondes. La base de données hackée contenait environ 15 millions de mots de passe. Hive Systems donne les durées nécessaires pour casser un mot de passe dans son tableau annuel.
Ces dernières années, la digitalisation a beaucoup progressé : banque numérique, partage de données, etc. Pour chacun de ces services, l’utilisateur utilise un compte qui nécessite un mot de passe. En 2023, la vulnérabilité des mots de passe reste une voie ouverte aux attaques cybercriminelles plus ou moins graves. Les experts cybersécurité qui élaborent les protocoles de sécurité font face à des hackers de plus en plus offensifs.
Les IA aussi ont évolué, et peuvent être utilisées soit pour détecter les menaces et les attaques, soit pour casser les codes. Les mots de passe complexes, comprenant des caractères spéciaux, des majuscules et minuscules, restent relativement difficiles à hacker.
Combien de temps pour déchiffrer des mots de passe ?
Dans un test réalisé par Home Security Heroes, la rapidité avec laquelle une IA a déchiffré la majorité des mots de passe a été démontrée : moins d’une minute. Il s’agissait d’une base de données réelle d’environ 15 millions de mots de passe.
Ce tour de force a été possible par l’utilisation du générateur de mots de passe PassGAN. Ce dernier fonctionne à partir d’un réseau antagoniste génératif appelé GAN, comprenant deux réseaux de neurones opposés :
- Un générateur capable d’identifier les vraies données parmi les fausses ;
- Un générateur pouvant créer de fausses données.
L’IA a d’abord décodé 51% des mots de passe, ceux qui étaient les moins complexes. Après s’être entraînée, elle a déchiffré un pourcentage plus élevé, atteignant les 71% des mots de passe plus compliqués. Un mois plus tard, l’IA a décodé 81% des mots de passe les plus difficiles.
Par ailleurs, nombreuses sont les entreprises qui ont développé des systèmes d’authentification basés sur le protocole Fast Identify Online (Fido) . Parmi ces grandes sociétés de la technologie, citons :
- Microsoft ;
- Google ;
- Apple, etc.
Ce protocole est également appliqué pour divers services en ligne comme Amazon ou encore Meta.
Le test permet de conclure qu’en ajoutant des caractères spéciaux et des lettres majuscules à un mot de passe, sa robustesse augmente significativement.
Une IA peut ainsi mettre 5 ans à déchiffrer un code de 10 caractères composé de lettres, de chiffres et de symboles. Avec la progression des systèmes des IA, il reste possible qu’elles puissent rapidement hacker des mots de passe plus compliqués.
Le tableau annuel de Hive Systems
Hive Systems, société experte dans les systèmes technologiques, a publié un tableau annuel concernant la protection des mots de passe. Ce document présente les durées nécessaires pour craquer un mot de passe suivant deux critères :
- Le nombre de caractères utilisés ;
- La nature des caractères utilisés.
Le tableau est établi en partant de l’hypothèse que le hacker dispose d’un budget limité. Il utiliserait ainsi une technique de force brute pour mener son attaque. Cette technique consiste à tester toutes les combinaisons possibles les unes après les autres.
Pour réaliser ces estimations, les empreintes de mots de passe sont stockées via une fonction de hachage MD5. De nombreux sites web utilisent toujours cet algorithme même s’il est considéré comme dépassé.
Ainsi, les mots de passe longs et composés de divers types de caractères sont les plus sûrs. Dans l’ensemble, le tableau annuel montre que 10 caractères pour un mot de passe nécessitent, au plus, 2 semaines pour le décryptage.
Le tableau s’applique aux mots de passe utilisés sur une seule plateforme, jamais décryptés et ne comportant pas de mots courants. Par ailleurs, le temps nécessaire pour déchiffrer un mot de passe peut varier en fonction de la puissance ainsi que du nombre des cartes graphiques utilisées par le hacker.
Pour une sécurité optimale, le mot de passe devrait contenir plus de 16 caractères. De même, il est préférable de créer des mots de passe complexes et différents pour les diverses plateformes utilisées.