PassGAN, une IA capable de cracker les mots de passe en moins d’une minute, vraiment ?
Les chercheurs en sécurité de chez Home Security Heroes ont mis au point une intelligence artificielle baptisée PassGAN (Generative Adversarial Network) dans un but bien précis : cracker un mot de passe le plus rapidement possible. Ce qu'il faut savoir.
Pour tenter de deviner un mot de passe, cette intelligence artificielle s'appuie sur deux réseaux neuronaux : un premier pour générer les mots de passe et un deuxième pour tester les mots de passe.
Cette intelligence artificielle a été nourrie par une base de 15,6 millions de mots de passe récupérée sur le Dark Web (issue du piratage de RockYou en 2009). D'après les tests réalisés sur cette base de mots de passe, en conservant uniquement les mots de passe de 4 à 18 caractères, il lui faut moins d'une minute pour cracker 51% des mots de passe les plus communs. Pour le reste, il a fallu moins d'une heure pour découvrir les deux tiers (65 %) des mots de passe, moins d'un jour pour atteindre 71% et moins d'un mois pour atteindre 81%.
Prenons l'exemple d'un mot de passe de 7 caractères, l'IA PassGAN peut le cracker en moins de 6 minutes même s'il contient des chiffres, des minuscules, des majuscules et des caractères spéciaux ! Si le mot de passe est plus long, l'IA se montre beaucoup moins efficace (au même titre qu'une attaque brute force traditionnelle) puisque cela peut durer des mois.
D'ailleurs, Home Security Heroes explique qu'il faudrait 14 milliards d'années à PassGAN pour deviner un mot de passe composé d'au moins 15 caractères et qui aurait des minuscules, majuscules, chiffres et caractères spéciaux.
Ce n'est pas la peine de paniquer...
Depuis plusieurs mois, les intelligences artificielles, c'est LE sujet à la mode depuis que ChatGPT est devenu un véritable phénomène... Alors, forcément, évoquer une IA capable de cracker des mots de passe très rapidement peut effrayer les utilisateurs, et en même temps c'est intrigant.
Toutefois, si vous utilisez des mots de passe robustes, vous n'avez rien à craindre de l'IA PassGAN. Même si au final, c'est une menace de plus pour nos bons vieux mots de passe et une belle piqûre de rappel pour nous encourager à utiliser des mots de passe digne de ce nom.
C'est aussi l'occasion de rappeler que la notion d'entropie qui permet de calculer la force d'un mot de passe est la clé pour avoir des mots de passe robustes, comme je l'expliquais dans un précédent article. Plutôt que d'utiliser des mots de passe, il peut être intéressant d'utiliser des phrases de passe (passphrases) car elles sont naturellement plus longues.
Bonjour Florian,
« minuscules » à la place de « minutes » ligne 16.
Sinon super article !
Merci !