Avec son GPU AD102 et son architecture Ada Lovelace associée à une gravure en 4 nm, la carte graphique GeForce RTX 4090 est un monstre de puissance graphique capable de faire tourner les jeux les plus gourmands en haute qualité.
Mais cette débauche de performances peut être utilisée à d’autres fins comme casser des mots de passe. A ce petit jeu, elle se montrerait deux fois plus performante qu’une RTX 3090, d’après les premiers benchmarks diffusés (notamment HashCat qui est aussi un outil admin) par l’expert en sécurité Sam Croley.
Deux fois mieux qu’une RTX 3090
Une seule carte graphique RTX 4090 n’aurait besoin que de quelques jours pour deviner un mot de passe, et encore s’il répond aux bonnes pratiques (caractères minuscules et majuscules, chiffres, caractères spéciaux), même face à des protocoles de protection et d’authentification comme Microsoft NTLM (New Technology LAN Manager) ou bcrypt, sans quoi cela peut aller beaucoup plus vite.
La puissance de la nouvelle carte graphique ayant solidement augmenté dans cette nouvelle génération, ce n’est pas vraiment une surprise mais cela suppose que les mots de passe, même bien protégés, sont de moins en moins à l’abri.
Les chercheurs suggèrent ainsi qu’un ensemble de 8 cartes vidéo RTX 4090 travaillant de concert peuvent deviner un mot de passe de 8 caractères (le nombre le plus courant pour un password) en 48 minutes seulement, soit le temps nécessaire pour tester les 200 milliards de combinaisons possibles. Voilà qui va intéresser le crime organisé mais sans doute aussi les services de renseignement et les forces de l’ordre.
Le hardware avance vite, le software un peu moins
Dans le cas des mots de passe les plus courants (« password », « 123456 »), la résolution ne dure pas plus d’une seconde. A la puissance de résolution des mots de passe, il faut associer le coût de l’équipement (2000 euros minimum la carte graphique) et celui de l’électricité nécessaire pour réaliser l’opération mais cela reste très accessible par rapport à l’utilisation de supercalculateurs.
L’expert en sécurité note que cette plus grande facilité est amenée par la progression rapide des performances des GPU quand les algorithmes de sécurité évoluent plus lentement, ce qui appelle à la réflexion pour améliorer la protection.
Evidemment, complexifier le mot de passe en ajoutant des caractères compliquera la tâche de déchiffrement, même pour la puissante RTX 4090. Par ailleurs, les outils de type HashCat ne fonctionnent que pour des mots de passe locaux et non en ligne, rappelle le site Tom’s Hardware.