La puissance de calcul progresse rapidement, en particulier avec l’essor de l’IA. Cette tendance a engendré des investissements massifs dans les GPU et autres matériels spécialisés pour l’entraînement de modèles de langage volumineux.
Cela soulève une question pour les experts en cybersécurité : si la demande pour ces technologies diminue et que ce matériel devient sous-utilisé, pourrait-il être redirigé vers le craquage de mots de passe ? Cela signifierait-il que les mots de passe sont sur le point de devenir obsolètes ?
Pour explorer cette hypothèse, nous avons analysé deux des principaux accélérateurs IA, le Nvidia H200 et l’AMD MI300X, ainsi que le meilleur GPU grand public de Nvidia, le RTX 5090. L’objectif était de déterminer si un GPU d’IA coûtant 30 000 euros avorte un avantage en matière de craquage de mots de passe.
Configuration du test
L’équipe de recherche de Specops a précédemment étudié le temps nécessaire aux attaquants pour effectuer un brute-force sur des mots de passe hachés. Lors de tests distincts sur des algorithmes tels que MD5, bcrypt et SHA-256, nous avons mesuré la rapidité avec laquelle chaque algorithme pouvait être craqué avec le même matériel.
Pour évaluer l’impact des GPU sur ce processus, nous avons utilisé Hashcat, un outil largement employé pour la récupération de mots de passe, qui propose des fonctionnalités de benchmarking pour comparer la vitesse de calcul des hachages.
Cela est crucial puisque le craquage de mots de passe repose principalement sur la capacité de générer un grand nombre d’hachages. Plus un système peut générer d’hachages rapidement, plus il peut tester de combinaisons de mots de passe jusqu’à trouver la bonne.
Pour cette comparaison, nous avons examiné les résultats de benchmark de Hashcat pour cinq algorithmes de hachage courants :
- MD5
- NTLM
- bcrypt
- SHA-256
- SHA-512
Ces algorithmes couvrent ceux fréquemment rencontrés dans les Active Directory des organisations, allant des hachages anciens et rapides, faciles à brute-forcer, à ceux modernes qui présentent une cryptographie beaucoup plus robuste.
Cette base réaliste permet de comparer efficacement les performances des trois GPU haut de gamme, tous positionnés dans des segments de marché similaires.
Résultats du craquage de mots de passe avec GPU
| Algorithme | H200 Hashrate | MI300X Hashrate | RTX 5090 Hashrate |
| MD5 | 124.4 GH/s | 164.1 GH/s | 219.5 GH/s |
| NTLM | 218.2 GH/s | 268.5 GH/s | 340.1 GH/s |
| bcrypt | 375.3 kH/s | 142.3 kH/s | 304.8 kH/s |
| SHA-256 | 15092.3 MH/s | 24673.6 MH/s | 27681.6 MH/s |
| SHA-512 | 5173.6 MH/s | 8771.4 MH/s | 10014.2 MH/s |
Les résultats montrent clairement que, quels que soient les algorithmes testés, le RTX 5090 surpasse les autres accélérateurs d’IA en termes de vitesse brute de génération de hachages. Pour plusieurs fonctions, son taux d’hachage est presque deux fois plus élevé que celui du H200.
Comparé à son prix, la performance est surprenante. Un seul H200 coûte au moins dix fois plus qu’un RTX 5090, ce qui aurait dû entraîner une performance largement supérieure de l’accélérateur d’IA, mais ce n’est pas le cas.
Retour en 2017, IBM avait construit une configuration de craquage de mots de passe utilisant huit Nvidia GTX 1080, alors phare des GPU grand public. Ce système atteignait un taux de craquage de hachages NTLM de 334 GH/s, soit une performance comparable, voire supérieure, à celle des nouveaux accélérateurs d’IA.
La réponse à la question de savoir si un GPU à 30 000 euros est efficace pour le craquage de mots de passe est donc sans ambiguïté : non.
Les risques réels pour les organisations
Le craquage de mots de passe ne nécessite pas de matériel sophistiqué. Les attaquants ont déjà accès à la puissance de calcul requise pour brute-forcer de faibles mots de passe. Dans nos tests avec SHA-256, un mot de passe utilisant différentes catégories de caractères peut être craqué en à peine 21 heures.
D’où l’importance d’imposer des mots de passe plus robustes, où la longueur constitue la meilleure défense. Un mot de passe de 15 caractères, avec le même mélange de types de caractères, haché avec SHA-256, prendrait environ 167 milliards d’années à craquer, même avec du matériel puissant. À ce stade, le brute-force n’est plus une attaque réaliste.
Le risque majeur provient des mots de passe déjà exposés lors de violations de données. Ceci est souvent lié à la réutilisation de mots de passe. Même si des politiques strictes sont en place pour les mots de passe de l’Active Directory, leur efficacité est compromise si les mêmes mots de passe sont utilisés sur des appareils personnels ou des sites moins sécurisés.
Si un attaquant peut associer des identifiants exposés à un individu, il devient souvent facile d’identifier leur lieu de travail et d’essayer le même mot de passe sur leurs comptes professionnels. Un marché souterrain d’intermédiaires d’accès se spécialise précisément dans ce type d’intrusion.
Ceci souligne l’importance d’avoir des outils capables de détecter les mots de passe compromis au sein de votre organisation. Identifier rapidement les identifiants exposés permet aux équipes de sécurité de réinitialiser les comptes et de bloquer les attaquants avant qu’ils n’exploitent ces mots de passe.