Rejoignez les
34736 abonnés

Un logiciel pour tester plus de 1 milliard de mots de passe à la seconde !

Publié le par Nikopik dans la catégorie Sécurité

Déjà qu’il est assez facile de retrouver les mots de passe enregistrés sur un ordinateur pour de nombreuses applications, l’utilisation de mots de passe comme seul rempart contre l’intrusion d’une personne indésirable semble devenir une sécurité de plus en plus fragile.

Avec le logiciel présenté ici, qui utilise le processeur de votre carte graphique pour tester très rapidement des millions de combinaisons chaque seconde, le moindre mot de passe a peu de chances de tenir bien longtemps…

Extreme GPU Bruteforcer est un programme utilisant la puissance de votre carte graphique pour retrouver des mots de passe à partir de hashes de différents types.

Je précise que ce n’est pas utilisable pour retrouver le mot de passe de quelqu’un sur un site Internet, mais plutôt pour décoder des identifiants à partir d’enregistrements d’une base de données par exemple.

Vous pouvez ainsi retrouver des identifiants sur les systèmes suivants : MySQL, DES, MD4, MD5, MD5 (Unix), MD5 (phpBB3), MD5 (WordPress), NTLM, Domain Cached Credentials, SHA-1, SHA-256, SHA-384, SHA-512 et encore bien d’autres…

La vitesse de ce logiciel est tout bonnement hallucinante ! En utilisant une carte graphique GeForce GTS250, il est possible de dépasser le milliard de combinaisons testées à la seconde pour des hashes de type MySQL oO

Son utilisation n’est en plus pas très compliquée, il vous suffit juste de posséder le logiciel et une carte graphique compatible CUDA.

Voici une démonstration en vidéo du logiciel Extreme GPU Bruteforcer :

L’application est disponible au tarif d’une quarantaine d’euros sur le site de son développeur.

Je me demande bien comment nous allons pouvoir faire pour protéger nos données avec de simples mots de passe dans un avenir proche…

Source



16 réponses à Un logiciel pour tester plus de 1 milliard de mots de passe à la seconde !

  1. beby

    A faire si vous avez les moyens et des cartes graphiques en réserve, en général ça grille vite ces choses là :)
    « Je me demande bien comment nous allons pouvoir faire pour protéger nos données avec de simples mots de passe dans un avenir proche… » => Ca me rappelle ça https://xkcd.com/936/ ;)

  2. Freddy Krueger
    • Nikopik

      Il est aussi possible de contourner des solutions biométriques :-(

  3. TeepH

    Ouaip, faut noter que le mec fait du brut force sur des minuscules + les chiffres.
    Soit : 36 symboles pour trouver un mot de passe de 7 caractères.
    Pour un mot de passe de 8 caractères contenant des majuscules (et éventuellement des caractères de ponctuations), ce serait une autre affaire.

    Reste à bien choisir ces mots de passes.

  4. Moha

    http://hashcat.net/hashcat/ avec oclhashcat fait de même mais en étant multi plateforme et utilisable avec des cartes non CUDA ;)

  5. Mytox

    Oui mais pour tester des mots de passes sur un site internet, il faut entre chaque tentatives recharger la page web et ça prend beaucoup de temps. Après je ne connait pas les techniques des hackers, peut-être qu’ils ont un moyen de contourner ce temps d’attente.

    • beby

      Non Mytox, dans ce cas là on parle de bruteforce en local, il n’est pas question de se connecter au serveur. Tu le surchargerais de requêtes (DOS) et ça irait aussi énormément moins vite.
      Pour te donner un scénario, ça peut être soit un hacker qui a réussi a entrer dans le serveur et a récupéré le mot de passe chiffré (de root en général) et donc le bruteforce en local, soit par exemple c’est un admin qui souhaite tester la solidité de ses mots de passe.

  6. Le Bon Plan

    Généralement au bout de 3 essais pour un mot de passe le compte est temporairement bloqué.

    Si ce n’est pas le cas, même en testant en 1 seconde plus d’1 milliard de combinaison je vois mal comment une machine pourrait traiter autant de tentative de connexion en une seconde…

    • beby

      Comme je l’ai dit juste au dessus, on ne se connecte pas au serveur pour faire ça. On récupère le mot de passe chiffré et on le bruteforce en local.
      C’est la même chose que d’autres outils comme JohnTheRipper par exemple.

  7. adlane

    certains (comme google) utilise la double identification qui consiste a entré le mot de passe puis d’entrer un deuxième mot de passe aléatoire envoyé par google sur son téléphone portable!

    • beby

      Oui. Mais ça n’a rien à voir ici.
      Nico quand je vois ces commentaires, + ce qui est dit sur google+, je pense qu’un petit éclaircissement dans l’article serait nécessaire ^^. Certains ne comprennent pas que c’est pour être fait en local, ils seraient capables d’essayer de bruteforcer les serveurs :D

      • Nikopik

        Tu as raison, je vais ajouter quelques précisions ;-)

  8. VonTenia

    Les hash c’est bien, mais avec du salt c’est mieux… Ajoutez toujours un salt aléatoire à vos mots de passe avant de les hasher et ça devient tout de suite plus compliqué d’utiliser ce genre d’outil ou les rainbow tables.
    Un outil pas mal pour calculer la résistance de votre mot de passe face aux standards en matière de cracking : http://dl.dropbox.com/u/209/zxcvbn/test/index.html

  9. AAA

    La méthode qui a été utilisée pur pirater notre site youtube a été évidemment de donner innocemment, à un soit disant Anonymous, le mdp : la seule vraie méthode en fait,
    1)piratage du skype d’un copain
    2)sous cette identité, après l’étude des relations, contact de la victime et mise en confiance
    3)Proposition d’un partenariat pour une chaîne de référencement V…
    4)Remplissage d’une fiche avec adresse email et lien du site de la victime
    5) blacklist 1/2h après total de la chaîne youtube
    Question : comment le hacker a-t-il pu trouver le mdp hyper compliqué (20 à 30 lettres et chiffres) via skype ?

    Pas de bol, lieu de vie repéré ; il a été chopé

    Autre curiosité :
    un gars des ses contacts a été aussi totalement blacklisté de sa chaîne youtube sans tout ce protocole !

    • beby

      C’est du social engineering là. Moins technique mais tout aussi intéressant à mener :)

  10. AAA

    Rebonjour, suite et explication du hack qui touche des centaines de personnes.
    Interruption d’activité au 7 avril du prétendu hacker de la région de Rambouillet qui n’est pas son lieu de vie précis.
    Reprise de son activité hier 13avril
    Repentance (vidéos contradictoires déposées ici de Hackers et Alliancechannel – mutilples alias de Iraskin) suite à des problèmes ?
    Ou attrape-nigauds ?
    http://www.youtube.com/user/RaSkinZ

Ajouter un commentaire