Fil info
Retour au menu
Retour au menu

Inscrivez-vous pour personnaliser votre expérience, vous inscrire à nos newsletters et ne rien louper de vos programmes favoris.

  1. Accueil
  2. Actu
  3. Tech
  4. Un mot de passe de 8 caractères est-il assez solide en 2024 ?
4 min de lecture

Un mot de passe de 8 caractères est-il assez solide en 2024 ?

D'après une étude récente, les dernières cartes graphiques permettraient de craquer des mots de passe de 8 caractères en moins d'une heure. Explications.

Une personne face à son clavier d'ordinateur (illustration)
Crédit : zan X JsI / Unsplash
LA RÈGLE D'OR NUMÉRIQUE - Comment choisir un bon mot de passe
00:05:19
LA RÈGLE D'OR NUMÉRIQUE - Les outils pour renforcer la sécurité de vos comptes
00:04:51
ON VOUS EN PARLE - Les mots de passe les plus utilisés par les français !
00:03:04
LA RÈGLE D'OR NUMÉRIQUE - Comment ne pas oublier ses mots de passe ?
00:03:20
Comment Apple, Google et Microsoft veulent mettre fin au calvaire des mots de passe
00:02:07
L'ÉCO & YOU - Qui est NVIDIA, l'entreprise qui fait grimper les bourses mondiales ?
00:04:22
Benjamin Hue
Je m'abonne à la newsletter « Infos »

Ces derniers jours, la presse spécialisée s'est faite l'écho d'un rapport de cybersécurité aux conclusions quelque peu alarmistes. D'après la société Hive Systems, un mot de passe de 8 caractères mêlant des lettres majuscules, minuscules, des chiffres et des symboles - conformes aux recommandations des autorités américaines - pourrait être craqué en 1 heure par la dernière carte graphique RTX 4090 de Nvidia vendue 1.800 euros dans le commerce. 

Autrement dit, la puissance de calcul des dernières puces des cartes graphiques, très prisée par les jeux vidéo et les modèles d'intelligence artificielle, peut aussi être mise à contribution pour déchiffrer les algorithmes utilisés par les sites Internet pour stocker en sécurité les mots de passe.

Les sites Internet ne conservent pas directement les mots de passe de leurs utilisateurs en texte brut sur leurs serveurs. Ils ont recours à des fonctions de hachage pour les encoder de façon à les rendre illisibles en cas de violation de leur système informatique. 

Conçues pour charger des images, elles s'avèrent excellentes pour calculer des hachages

Si quelqu'un accède à la base de données, les mots de passe s'afficheront seulement sous la forme d'une suite de chiffres et de lettres de type "5f4dcc3b5aa765d61d8327deb882cf99". Il existe plusieurs techniques de hachage, de sorte qu'un même mot de passe n'aura pas le même encodage selon la technologie utilisée par les sites.

À écouter aussi
- 01m20s

Les pirates ne peuvent pas déterminer un mot de passe directement à partir de son hachage. Mais ils peuvent comparer une liste de hachages de mots de passe avec d'autres bases de données volées, rechercher des correspondances, affiner le champ des possibles et déterminer des probabilités pour tenter de craquer les mots de passe. C'est là qu'interviennent les cartes graphiques. Car plus ils disposent de puissance de calcul, plus le processus est rapide

"Les cartes graphiques ont été conçues pour faire charger des images plus rapidement sur votre ordinateur. Il s’avère qu’elles sont également excellentes pour calculer des hachages. Des applications populaires comme hashcat peuvent casser ces hachages, avec divers résultats en fonction du matériel utilisé", indique le rapport de Hive Systems.

Un mot de passe de 8 caractères peut être assez solide mais mieux vaut utiliser 12 ou 16 signes

Il convient toutefois de tempérer les mises en garde du rapport de Hive Systems. Le délai d'une heure suffisant à faire tomber des mots de passe complexes de 8 caractères n'est pas valable pour tous les sites Internet, mais seulement pour ceux qui utilisent l'algorithme de hachage MD5 pour les encoder. Cette technologie a près de 30 ans et est toujours utilisée par certains services, mais les experts s'accordent à dire qu'elle est aujourd'hui délaissée par la plupart des entreprises qui sont passées à des fonctions de hachage plus robustes, comme bcrypt ou pbkdf2. Avec bcrypt, par exemple, la durée nécessaire aux pirates pour craquer un hachage de mot de passe complexe en 8 caractères grimpe en flèche, passant de 59 minutes à 99 ans pour la même carte graphique RTX 4090.

MD5
Crédit : Hive Systems
bcrypt
Crédit : Hive Systems

Comme le souligne le site spécialisé Toms Hardware, les conclusions de Hive Systems supposent aussi que les pirates ont accès à la fonction de hachage, à partir de bibliothèques de fuites de données comme HaveIBeenPwned ou LastPass, par exemple, ce qui n'est pas toujours le cas. Elles supposent également que les internautes n'ont pas activité l'authentification à double facteur, un système très répandu aujourd'hui qui permet d'ajouter une couche de sécurité supplémentaire au couple "identifiant-mot de passe" pour se connecter à ses comptes en ligne.

Cette étude met tout de même en lumière la responsabilité des entreprises. Il ne suffit pas aux internautes de définir des mots de passe forts, leur sécurité dépend aussi des mesures mises en œuvre pour protéger les bases de données. Un mot de passe aléatoire de 8 caractères peut être difficile à déchiffrer si le prestataire de services met en œuvre de bonnes pratiques de sécurité ou vulnérable s'il n'est pas à jour sur les dernières technologies de hachage. 

En France, les autorités recommandent de définir un mot de passe fort d'au moins 12 caractères, mêlant des suites de mots, de chiffres et de signes. Il est encore plus prudent d'opter pour un sésame de 16 caractères, comme le proposent par défaut les gestionnaires de mots de passe. La combinaison doit être aléatoire et ne pas comprendre de mots du dictionnaire afin d'être impossible à deviner. C'est pourquoi les experts recommandent désormais d'avoir une phrase de passe

Il est aussi essentiel d'employer des mots de passe uniques qui ne sont pas réutilisés sur plusieurs services afin d'éviter les piratages en cascade en cas de compromission d'une plateforme. D'après le rapport de Hive Systems, un mot de passe qui s'appuie sur une combinaison déjà volée par le passé, utilise des mots du dictionnaire ou est réutilisé sur plusieurs plateformes peut être trouvé instantanément par des pirates. Enfin, les autorités recommandent de recourir à un gestionnaire de mots de passe pour faciliter la gestion quotidienne des dizaines de combinaisons complexes qu'il est humainement impossible de retenir.

La rédaction vous recommande
À écouter aussi
- 01m20s
Connecté Cybersécurité Fil Futur

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter
S’abonner à la Newsletter RTL Info
Flash Actu
En Direct
/

Bienvenue sur RTL

Ne manquez rien de l'actualité en activant les notifications sur votre navigateur

Cliquez sur “Autoriser” pour poursuivre votre navigation en recevant des notifications. Vous recevrez ponctuellement sous forme de notifciation des actualités RTL. Pour vous désabonner, modifier vos préférences, rendez-vous à tout moment dans le centre de notification de votre équipement.

Bienvenue sur RTL

Rejoignez la communauté RTL, RTL2 et Fun Radio pour profiter du meilleur de la radio

Je crée mon compte