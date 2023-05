Des chercheurs de la société de cybersécurité Home Security Heroes ont entraîné une IA pour qu’elle puisse déchiffrer des millions de mots de passe. Il lui a fallu moins… d’une minute pour en trouver la majorité.

Le 4 mai 2023 a eu lieu la journée mondiale du mot de passe. Comme chaque année, cette journée a été occasion de rappeler la nécessité d’avoir des mots de passe compliqués et uniques pour chacun de ses comptes.

Pourquoi cette nécessité absolue ? Si un pirate ou une personne malveillante de votre entourage connaît l’un de vos mots de passe, il peut s’en servir pour commander en ligne en utilisant votre compte bancaire, usurper votre identité pour constituer un dossier de prêt, accéder à des données sensibles de votre entreprise…

Or, trop de personnes minimisent ce risque. La réalité montre pourtant que ce risque est élevé. Pour deux raisons principales. Premièrement, trop de mots de passe sont trop simples. Une récente étude de NordPass (éditeur de logiciels de sécurité) a constaté que les trois mots de passe les plus utilisés sont 123456, 123456789 et azerty. Autant dire, des mots de passe qui n’apportent aucune sécurité, car tout le monde peut les deviner et les tester…

Deuxième facteur à risque : ces mêmes mots de passe trop basiques sont utilisés pour différents comptes. Résultat, on peut facilement les tester pour accéder à vos différents comptes personnels ou professionnels.

ChatGPT

Mais la situation devient cauchemardesque lorsqu’on apprend que des logiciels basés sur l’intelligence artificielle peuvent en deviner des millions en une poignée de minutes ! Immédiatement, on pense à ChatGPT. L’intelligence artificielle dite générative est-elle capable de trouver des mots de passe ? Normalement, cet outil est utilisé pour créer du contenu, faire des résumés, écrire des e-mails…

Des experts en cybersécurité ont voulu en savoir plus et la réponse est surprenante.

Dans un premier temps, ChatPGT fournit une réponse standard du genre : « il ne serait pas éthique de fournir une liste de mots de passe couramment utilisés, car elle pourrait potentiellement être utilisée à des fins malveillantes telles que le piratage ou l’usurpation d’identité ».

Mais dès que vous lui demandez de jouer le rôle d’un chercheur en cybersécurité qui met en garde les utilisateurs contre l’utilisation de mots de passe courants et dangereux, il affiche une liste de termes courants.

Et cette situation devient encore plus catastrophique lorsqu’on utilise une solution basée sur l’apprentissage automatique fondé sur la théorie. Cette démarche est exploitée depuis 2019 par Home Security Heroes et son outil PassGAN.

Selon une étude de cette entreprise spécialisée dans la sécurité informatique, 51 % des mots de passe étaient craqués en moins d’une minute, 65 % en moins d’une heure, 71 % en moins d’un jour et 81 % en moins d’un mois.

« Nous avons pris une liste de 15 680 000 mots de passe courants de l’ensemble de données Rockyou et l’avons utilisée pour l’entraînement et les tests. Nous excluons tous les mots de passe de plus de 18 caractères ou de moins de 4 caractères du champ d’application de cette expérience. La liste finale est ensuite divisée en sous-catégories de longueurs et de types de caractères différents », explique Home Security Heroes sur son site.

Gestionnaires de mots de passe : la solution à tous les maux

Comment cet outil est-il plus efficace que des solutions qui existent déjà depuis des années comme HashCat et John the Ripper ?

À la différence de ces deux programmes qui testent des mots de passe en se référant à des dictionnaires et des règles de génération de mots de passe, PassGAN utilise un réseau adversarial génératif (Generative Adversarial Network-GAN) pour apprendre de manière autonome la distribution de vrais mots de passe à partir de fuites avérées de mots de passe, et pour générer des suppositions de mots de passe de haute qualité.

Si PassGAN peut deviner facilement des mots de passe trop simples, cette étude permet également de savoir quel type de mot de passe est le plus difficile à trouver. Comme le montre le tableau ci-dessus, les mots de passe qui comprennent plus de 18 caractères (symboles, chiffres, lettres minuscules et majuscules) sont généralement sûrs, car il faut à PassGAN au moins 10 mois pour le trouver.

En d’autres termes, plus votre mot de passe est dit « fort » (soit plus de 18 caractères), plus la probabilité que des personnes ou des systèmes d’intelligence artificielle puissent le déchiffrer est faible.

Pour de nombreuses personnes (les mêmes qui utilisent des mots de passe trop simples ou identiques pour différents comptes…), créer et mémoriser un mot de passe de 18 caractères s’apparente à un défi insurmontable. C’est oublier qu’il existe des logiciels dédiés à cette problématique.

Appelés gestionnaires de mots de passe, ils gèrent et sauvegardent eux-mêmes tous vos mots de passe. Vous n’en avez qu’un seul à connaître, celui qui permet d’ouvrir ce fameux logiciel.