Une intelligence artificielle intitulée PassGAN est capable de deviner plus de la moitié des mots de passe des internautes. Pour tester la résistance de votre code d’accès face à l’IA, on vous invite à utiliser la plate-forme dédiée mise à disposition des chercheurs d’Home Security Heroes.
En 2017, des chercheurs du Stevens Institute of Technology et du New York Institute of Technology ont mis au point une intelligence artificielle uniquement conçue pour « cracker » des mots de passe : PassGAN. Pour deviner un code d’accès, l’IA s’appuie sur deux réseaux neuronaux, dont l’architecture est inspirée du cerveau humain, pour deviner un mot de passe. Concrètement, le premier réseau neuronal va générer à la chaîne des mots de passe. Le second va automatiquement les tester pour vérifier s’ils correspondent.
Pour générer des combinaisons, PassGAN s’appuie sur une importante base de données de 15,6 millions de mots de passe compromis, récupérés sur le dark web. Celle-ci s’intitule RockYou, du nom de l’entreprise, piratée en 2009, qui a laissé fuiter les mots de passe de ses clients. La société développait un widget populaire sur MySpace.
À lire aussi : Voici les 20 mots de passe les plus utilisés en France… et c’est vraiment triste
L’IA peut-elle deviner votre mot de passe ?
Plus récemment, PassGAN est revenu sur le devant de la scène. Home Security Heroes, une société de cybersécurité, a décidé de tester l’efficacité de l’IA, dont le code source est intégralement disponible sur Github. Les experts ont testé l’outil avec une liste de 15,7 millions de mots de passe.
Après avoir mis PassGAN à l’épreuve, les chercheurs de la société Home Security Heroes ont découvert que l’IA était effectivement capable de cracker sans problème la plupart des mots de passe. En fait, il ne faut qu’une seule minute pour « cracker » 51 % des codes utilisés par les internautes. Deux tiers des mots de passe les plus fréquemment choisis sont devinés en l’espace d’une heure. Pour 81 % des codes, il ne faut qu’un mois.
Dans le détail, tous les types mots de passe ne contenant que six caractères sont « crackés » instantanément par l’IA. Plus vous mélangez différents caractères, comme des numéros, des lettres, des symboles, majuscules ou des minuscules, plus l’IA prendra du temps. En résumé, PassGAN est redoutablement efficace pour deviner les mots de passe faibles, peu ou pas du tout sécurisés. On pense notamment aux tristement célèbres « password » ou « 123456789 ».
Pour déterminer si un cybercriminel pourrait se servir de PassGAN pour « cracker » votre mot de passe, on vous invite à vous rendre sur le site de Home Security Heroes. Les chercheurs proposent de tester la complexité de votre code face aux algorithmes de l’IA. Vous découvrirez instantanément en combien de temps votre propre mot de passe peut être déchiffré par l’algorithme.
PassGAN, une IA surévaluée ?
Notez que certains experts en sécurité informatique ont tenu à nuancer les constatations de Home Security Heroes. Pour Jeremy Gosney, expert en déchiffrage et ingénieur chez Yahoo, PassGAN n’est pas plus efficace que n’importe laquelle des méthodes de déchiffrement déjà exploitées par les cybercriminels. Interrogé par le média Ars Technica, il estime même que les performances de l’IA sont inférieures à celles de certains logiciels utilisés par les pirates :
« malheureusement, ses performances sont bien en deçà des techniques existantes, […] y compris la simple force brute ».
Pour vous protéger de l’IA et de ce type d’outils, il faut simplement choisir de longs codes complexes, qui mélangent des caractères variés. Si votre mot de passe fait 18 caractères, PassGAN prendra d’ailleurs entre 10 mois… et des milliards de milliards d’années. Dans certains cas, l’IA risque même de ne jamais arriver à ses fins. Les chercheurs estiment que les codes très longs et très complexes peuvent parvenir à rester secrets.
Des codes plus courts, mixant des lettres minuscules et des majuscules, des symboles et des chiffres, peuvent également damer le pion de l’IA. Par exemple, un mot de passe de seulement 12 caractères, qui est assez complexe, peut tenir l’IA en échec pendant 30 000 ans… On vous recommandera donc de passer par un générateur de mots de passe, capable d’imaginer des codes aléatoires et complexes, pour vous protéger de PassGAN.