juin 1st, 2011

Le site Tech Encounters s’est livré à un test comparatif sans prétention : le cassage d’un mot de passe NTLM de plus en plus long à l’aide de Cain et Abel d’une part (méthode quasi préhistorique s’il en fût), puis en faisant appel à ighashgpu associé à une carte graphique Radeon 5770. Résultat sans surprise : lorsque l’attaque en « brute force » utilisant la CPU demande des années de calcul, la GPU, de son côté, n’exige que quelques dizaines d’heures. Et encore ne s’agit-il là que de récupérer des Sésames complexes générés aléatoirement. Dans la « vraie vie », et partant du principe que même les mots de passe complexes comportent des segments intelligibles, les temps de récupération pourraient être raccourcis grâce à un dictionnaire. Ce petit exercice de vulgarisation mériterait d’être réédité par un Cert Français pour sa simple portée pédagogique.

Le malade serait sous traitement que l’on parlerait d’acharnement thérapeutique. Pour la énième fois, un des sites de Sony (celui de Sony Picture cette fois) s’est retrouvé P0wné et des dizaines de milliers d’adresses emails et mots de passe associés placés en « téléchargement libre et gratuit » sur les principaux réseaux d’échange P2P. L’annonce a tout d’abord été faite par LulzSec (auteur du hack) sur le fil Twitter, puis rapidement confirmé sur le site Lulzsecurity… lequel a rapidement été inaccessible et dont on ne trouve pour l’heure que quelques traces dans les caches de Google.

Sony, affirme la revendication de l’intrus, stockait ainsi près d’un million de mots de passe et seule la faiblesse relative des capacités d’upload du pirate ont limité la fuite à 50 000 crédences. Les motivations de Lulzsec ne sont pas d’une clarté absolue. Ce même groupe de pirates avait, fin mai dernier, hacké les serveurs de PBS, chaîne de télévision éducative d’Amérique du Nord sous le prétexte un peu léger qu’un reportage à charge portant sur les méthodes de Wikileaks avait été diffusé. Cette forme d’intolérance et de censure sous prétexte de défense de la liberté d’expression montre à quel point les revendications « hacktivistes » de tels mouvements ne sont que des façades soit à des coups de mains pilotés par un concurrent engagé dans une guerre économique, soit des actes de vandalisme gratuits et dénotant de personnalités immatures.