Brute force cracking - attaque par exhaustivité

Qu'est-ce que c'est ?

Généralement les mots de passe de la plupart des logiciels sont stockés cryptés dans un fichier. Pour obtenir un mot de passe, il suffit de récupérer ce fichier et de lancer un logiciel de brute force cracking. Ce procédé consiste à tester de façon exhaustive toutes les combinaisons possibles de caractères (alphanumériques + symboles), de manière à trouver au moins un mot de passe valide.
Cette attaque se base sur le fait que n'importe quel mot de passe est crackable. Ce n'est qu'une histoire de temps. Mais la puissance des machines double tous les deux ans. Aujourd'hui les processeurs sont cadencés à plus de 3GHz ! De plus, les crackers n'hésitent pas à fabriquer des cartes électroniques de cracking, ce qui améliore en conséquence la rapidité de la machine, et donc les chances de trouver un mot de passe valide. Les cartes graphiques, avec leur puissances de calcul gigantesques sont aussi mises à contribution. Un GPU est, en moyenne, 10 fois plus rapide qu'un CPU !
En général, cette méthode est empruntée lorsque la méthode du dictionary cracking a échoué.

Qui peut provoquer cette attaque ?

N'importe qui, du moment qu'il a un logiciel permettant de le faire et qu'il a récupéré un mot de passe crypté.

Conséquences :

Les protections par mot de passe classique (de type login Unix) sont voués à disparaitre dans un futur proche...

Un exemple : distributed.net

Le RSA, organisme américain chargé entre autres de tester les systèmes de sécurité, a lancé un défi à la planète entière : L'organisation donnera 10000 dollars à quiconque décrypterait un message codé avec une clé RC5 de 64 bits. Le RC5 est un algorithme de cryptage. Le codage se faisant sur 64 bits, il y a donc au total 2⁶⁴ clés (1 bit=0 ou 1), ce qui représente 18,446,744,073,709,551,616 possibilités ! Une autre organisation, distributed.net, a décidé de relever le défi, en se basant sur une méthode de brute force cracking distribué. Cela veut dire que toutes les clés seront testées. Pour effectuer cela, le nombre total de clés est divisé en de multiples petits paquets, qui sont ensuite envoyés à des ordinateurs clients. Ces clients calculeront chacun les paquets de clés reçus, en utilisant un logiciel nommé DNETC fourni par distributed.net.

Crack distribué

Le cracking distribué.

Une fois qu'un client a fini de calculer un paquet, il renvoie son résultat et reprend un autre paquet à calculer. Et ceci jusqu'à ce que la clé unique qui permet de décrypter le message soit trouvée.

Le client qui calcule.

Vous pouvez, si vous le désirez, participer à ce défi. Pour plus d'informations, n'hésitez pas à consulter :

La page de notre équipe de calculs distribués.
Le site officiel de distributed.net dont une bonne partie est en français.

Comment s'en protéger ?

Utilisation de mots de passe robustes.
Utilisation d'autres techniques pour la protection par mots de passe : Les méthodes d'authentification forte.

Arnaud Jacques