Un RIG composé de 8 GPU pourrait venir à bout d’un mot de passe de 8 caractères NTLM en 48 minutes, maximum.
Nous l’avons démontré dans notre test, la GeForce RTX 4090 propose des performances nettement supérieures à son ancêtre, la GeForce RTX 3090, dans les jeux. Et ce décuplement des capacités vaut aussi pour d’autres domaines ; le cassage de mots de passe par exemple. Sam Croley, expert en cybersécurité et l’un des développeurs de HashCat, rapporte à quel point le nouveau porte-étendard de NVIDIA excelle sur ce terrain.
HashCat, ici expérimenté dans sa version V.6.2.6., est un outil de cassage (ou de “récupération”) de mots de passe assez connu. Il est généralement utilisé par des administrateurs système ou autres experts en cybersécurité. Ce genre de programmes servant à récupérer des mots de passe peuvent casser les hachages en se servant du CPU ou du GPU, la deuxième méthode étant de plus en plus efficace à mesure que la puissance des cartes graphiques augmente. Dans la plupart des tests effectués par Sam Croley, la RTX 4090 offre des performances quasiment doublées par rapport à la RTX 3090 – l’écart est supérieur aux performances graphiques donc.
Pour info, Sam Croley mentionne des taux de hachage NTLM et Bcrypt dans son tweet. Le premier fait référence au protocole d’authentification NTLM (New Technology LAN Manager) de Microsoft tandis que bcrypt est une fonction de hachage basée sur l’algorithme de chiffrement Blowfish.
Un mot de passe de 8 caractères cassé en 48 minutes maximum
À la question de savoir combien de temps mettrait la RTX 4090 pour casser un mot de passe de huit caractères, la longueur la plus couramment utilisée, Sam Croley répond qu’un système constitué de huit cartes graphiques RTX 4090 y parviendrait au maximum en 48 minutes pour un mot de passe NTLM respectant bien les conventions préconisées (chiffres, caractères spéciaux, etc). Pour un basique mais courant “123456” ou mot de passe du même acabit, cela ne prendrait certainement qu’une fraction de seconde.
En revanche, pour un mot de passe de 15 caractères, l’expert répond : “S’il est généré aléatoirement avec quelque chose comme un gestionnaire de mots de passe, il est trop long. Il y a 95 caractères dans le “jeu de caractères complet” commun, et 9515 est une combinaison quasiment inattaquable [avec un système informatique classique] ; peu importe le nombre de RTX 4090″.
Bon, inutile de paniquer, la plupart des acquéreurs de GeForce RTX 4090 ne se lanceront probablement pas dans le cassage de mots de passe. En outre, un outil comme HashCat porte principalement sur des ressources hors ligne. De fait, orchestrer une opération de cassage de mots de passe à grande échelle nécessite d’investir de très importantes sommes d’argent : jusqu’à plusieurs millions de dollars. Vous pouvez vous référez au dossier proposé par Jacob Egner fin 2020 si vous souhaitez approfondir le sujet. Ce dernier a d’ailleurs répondu au tweet de Sam Croley pour préciser que le cassage de mots de passe en octobre 2022 coûte environ deux fois moins cher qu’en novembre 2020.