dimanche 17 juin 2012
200 PlayStation décryptent votre mot de passe
Par coyote, dimanche 17 juin 2012 à 20:54 - Malwares / sécurité
Lorsqu’il explique que, quelques étages sous son bureau, il possède un réseau de 220 PlayStation, Arjen Lenstra est habitué à faire face à tous types de réactions. Il y a ceux qui pensent à un gag. Ceux qui sont intrigués ou incrédule. «D’autres estiment que ça ne fait pas très sérieux et que ce type de matériel n’est guère compatible avec la réputation d’une grande école comme l’EPFL», s’amuse le professeur.
Le sous-sol, pourtant, n’a rien d’une salle de jeux. Les consoles sont alignées dans d’immenses armoires. Un bruit sourd de ventilateurs remplit la pièce. Au centre, un seul et unique écran, austère, qui sert à programmer les machines. «Allez, choisissez un mot de passe de six caractères qui comprend à la fois des lettres et des chiffres, nous allons essayer de le décoder», invite l’assistant du professeur, Maxime Augier. Le sésame est ensuite encrypté. Ainsi «alis834» devient «9812 eb6d 77d5 818a 5cea a022 ada b975». C’est sous cette forme, appelée «hash», que les sites Web stockent généralement les mots de passe.
Les maths avant le jeu
C’est aussi ce type d’informations que récupèrent les hackers lorsqu’ils parviennent à s’introduire sur un serveur. Tout récemment, le réseau social professionnel LinkedIn s’est fait voler 6,5 millions de «hash». Pour les utiliser, les pirates doivent ensuite parvenir à les décoder. Et si le cryptage d’un mot de passe se fait en une fraction de seconde, le chemin inverse est nettement plus compliqué voire quasi impossible pour l’utilisateur lambda.
C’est là où la puissance combinée des 220 PlayStation devient utile. «Chacune contient 9 processeurs extrêmement puissants. Ils sont conçus pour gérer des graphismes complexes et peuvent effectuer 3,2 milliards d’opérations chaque seconde, explique Arjen Lenstra, dans un anglais qui trahit ses origines hollandaises. Notre installation fournit le travail d’environ 8000 ordinateurs de bureau.» Jolie performance, mais pas suffisante. Si les machines devaient tester systématiquement tous les mots de passes de 6 caractères possibles, cela prendrait, malgré leur puissance, plusieurs jours ou plusieurs semaines en fonction de la complexité de la méthode de cryptage. Il s’agit donc de minimiser, en amont, le nombre d’opérations. «C’est là que les mathématiques sont très utiles, explique le professeur. Nous tentons de comprendre au mieux l’algorithme qui a crypté les données pour mieux faire le chemin inverse.» Ainsi Arjen Lenstra et ses équipes parviennent à des résultats spectaculaires. Il n’aura fallu que 63 secondes aux PlayStation pour décoder le mot de passe que nous avions fourni. Nouveau test avec un sésame de sept caractères. Les consoles mettront 106 secondes pour le trouver.
Il existe des dizaines de méthodes de cryptage, certaines plus efficaces que d’autres. Le but ultime des recherches de l’Institut de cryptologie de l’EPFL est d’améliorer la sécurité en détectant les algorithmes les plus vulnérables. «La sécurité absolue n’existe pas, résume Arjen Lenstra. La vraie question est de savoir quels moyens des personnes malintentionnées devront engager pour casser une protection.» Pour ce spécialiste, qui a notamment été vice-président en charge de la sécurité de Citigroup, l’un des plus grands instituts financiers au monde, décoder les mots de passe cryptés de LinkedIn serait un jeu d’enfant. «Il n’y a pas vraiment de challenge.»
L’une de ses plus importantes découvertes, publiée au mois de février dernier, concerne les certificats de sécurité utilisés par certaines banques et magasins en ligne. Pour le consommateur, ils se matérialisent par un petit cadenas qui s’affiche à côté de l’adresse du site visité. Ce symbole, censé rassurer l’internaute, ne serait pas infaillible. «Même si, dans la plupart des cas, il l’est, nous avons pu démontrer qu’il est possible pour des pirates d’usurper ce certificat et donc d’intercepter des informations», explique le professeur. Les sites concernés ont été prévenus et vivement invités à choisir un cryptage plus complexe.
Et bientôt les smartphones?
Les défis à relever en matière de sécurité informatique sont nombreux et les PlayStation de l’EPFL n’ont pas fini de calculer. «Elles sont actuellement utilisées par des étudiants pour différents projets», indique Arjen Lenstra sans vouloir entrer dans les détails. En fait, les consoles ont presque travaillé sans interruption depuis leur installation il y a près de six ans dans le cadre d’un projet financé par le Fonds national de la recherche. «Seules une dizaine de machines sont tombées en pannes», constate Maxime Augier. L’installation, en revanche, craint les coupures de courant. «Il n’y a alors pas d’autres solutions que d’aller, manuellement, appuyer sur les 220 boutons pour les rallumer. Heureusement, cela ne s’est produit que deux fois!»
Pour Arjen Lenstra, l’utilisation d’objets du quotidien pour réaliser des opérations mathématiques est presque une tradition. «Dans les années 1990, nous avions utilisé des fax, se souvient-il. Parce qu’ils sont fabriqués en masse, les appareils électroniques destinés au grand public ont un rapport qualité-prix imbattable!» La prochaine étape? «Pourquoi pas les téléphones portables. Ils sont petits et possèdent une capacité de calcul impressionnante. Il faut juste que nous trouvions un modèle bon marché que l’on puisse acheter en quantité et sans abonnement…»
Source : Le Matin
lu 3397 fois