La puissance de calcul croît à un rythme extraordinaire. L'essor de l'IA a entraîné des investissements massifs dans les GPU et les « accélérateurs » spécialisés, les fournisseurs construisant du matériel de plus en plus puissant pour entraîner de grands modèles linguistiques. Pour les professionnels de la cybersécurité, cela soulève une question intéressante. Si la bulle de l'IA se dégonfle et que ce matériel se retrouve inactif, pourrait-il être réutilisé pour le cassage de mots de passe ? Et si oui, cela signifie-t-il que les mots de passe sont sur le point de devenir obsolètes ? Pour explorer ce scénario, nous avons comparé deux accélérateurs d'IA phares, le **Nvidia H200** et l'**AMD MI300X**, avec le GPU grand public haut de gamme de **Nvidia**, le **RTX 5090**. L'objectif était simple : déterminer si un GPU d'IA à 30 000 $ a réellement un avantage lors du cassage de mots de passe. ## Mise en place du test L'équipe de recherche **Specops** a déjà publié des travaux examinant le temps nécessaire aux attaquants pour forcer brutalement les mots de passe hachés. Dans des tests séparés de MD5, bcrypt et SHA-256, nous avons mesuré la rapidité avec laquelle chaque algorithme pouvait être cassé en utilisant le même matériel. Pour voir l'impact des GPU sur ce processus, nous nous sommes tournés vers **Hashcat**, l'un des outils de récupération de mots de passe les plus utilisés. **Hashcat** inclut des capacités de benchmarking qui montrent la rapidité avec laquelle différents matériels peuvent calculer les hachages de mots de passe. C'est important car le cassage de mots de passe est en fin de compte une question de chiffres. Plus un système peut générer rapidement des hachages, plus il peut tester rapidement les suppositions de mots de passe jusqu'à trouver le bon. Pour cette comparaison, nous avons examiné les résultats du benchmark **Hashcat** pour cinq algorithmes de hachage couramment rencontrés : * MD5 * NTLM * bcrypt * SHA-256 * SHA-512 Ces algorithmes couvrent les algorithmes courants trouvés dans **Active Directory** d'une organisation, des hachages plus anciens et rapides, relativement faciles à forcer brutalement, aux algorithmes modernes avec une cryptographie beaucoup plus forte. Cela fournit une base réaliste pour que nos trois GPU haut de gamme se mesurent. Ces produits occupent globalement un niveau de performance similaire sur leurs marchés respectifs, ce qui en fait des points de référence utiles pour comparer le matériel d'IA d'entreprise aux GPU grand public. ## Les résultats du cassage de mots de passe par GPU | Algorithme | Taux de hachage H200 | Taux de hachage MI300X | Taux de hachage RTX 5090 | | ---------- | ------------------- | --------------------- | ----------------------- | | MD5 | 124.4 GH/s | 164.1 GH/s | 219.5 GH/s | | NTLM | 218.2 GH/s | 268.5 GH/s | 340.1 GH/s | | bcrypt | 375.3 kH/s | 142.3 kH/s | 304.8 kH/s | | SHA-256 | 15092.3 MH/s | 24673.6 MH/s | 27681.6 MH/s | | SHA-512 | 5173.6 MH/s | 8771.4 MH/s | 10014.2 MH/s | Ce qui est immédiatement clair, c'est que pour chaque algorithme testé, le **RTX 5090** surpasse les deux accélérateurs d'IA en termes de vitesse brute de génération de hachages. Sur plusieurs fonctions, le **RTX 5090** hache les mots de passe à une vitesse presque double de celle du **H200**. La comparaison prix-performance est frappante. Un seul **H200** coûte au moins dix fois plus cher qu'un **RTX 5090**, vous pourriez donc raisonnablement vous attendre à des performances beaucoup plus élevées de la part de l'accélérateur d'IA dans une comparaison un contre un. Ce n'est tout simplement pas le cas. De plus, en 2017, **IBM** a construit une plateforme de cassage de mots de passe utilisant huit **Nvidia GTX 1080s**, le GPU grand public phare de l'époque. Ce système a atteint un taux de cassage de hachage NTLM de 334 GH/s. En d'autres termes, une plateforme de GPU grand public vieille de neuf ans offre des performances similaires, voire meilleures, en matière de cassage de mots de passe que les accélérateurs d'IA actuels. Alors, pour répondre à la question : « un GPU à 30 000 $ est-il bon pour casser des mots de passe ? », la réponse est claire : non. ## Le risque réel pour les organisations Le cassage de mots de passe ne nécessite pas de matériel exotique ou spécialisé. Les crackers professionnels et les attaquants ont déjà accès à toute la puissance de calcul dont ils ont besoin pour forcer brutalement les mots de passe faibles. Dans nos tests SHA-256, un mot de passe utilisant des chiffres, des lettres majuscules et minuscules, et des symboles pouvait être cassé en seulement 21 heures. C'est pourquoi l'application de mots de passe plus forts est essentielle, et la défense la plus efficace est la longueur. Un mot de passe de 15 caractères utilisant le même mélange de types de caractères, haché avec SHA-256, prendrait environ 167 milliards d'années à casser, même avec un matériel GPU puissant. À ce stade, le forçage brutal n'est tout simplement pas une attaque réaliste. Le plus grand risque concerne les mots de passe qui ont déjà été exposés lors de violations de données. Cela se produit souvent par réutilisation de mots de passe. Vous pouvez exiger des employés qu'ils créent des mots de passe **Active Directory** longs et complexes et qu'ils les stockent en toute sécurité. Mais cette protection disparaît si le même mot de passe est réutilisé sur des appareils personnels, des sites Web ou des applications avec des contrôles de sécurité plus faibles. Si les attaquants peuvent lier des identifiants exposés à un individu spécifique, il est souvent facile d'identifier où il travaille et de tenter le même mot de passe contre les comptes d'entreprise. Il existe tout un marché souterrain de courtiers en accès initial qui se spécialisent exactement dans ce type d'intrusion. Cela souligne l'importance de disposer d'outils capables de détecter les mots de passe compromis au sein de votre organisation. Identifier les identifiants exposés tôt permet aux équipes de sécurité de réinitialiser les comptes et de bloquer les attaquants avant que ces mots de passe ne soient utilisés pour obtenir un accès. ### Comment Specops aide Des outils comme **Specops Password Policy** aident ici de deux manières cruciales : * **Gestion granulaire des politiques de mots de passe :** Notre solution permet aux équipes de sécurité de mettre en œuvre des politiques de mots de passe fines, allant bien au-delà de celles incluses dans **Active Directory**. Cela inclut la prise en charge des phrases de passe, ainsi que des modèles de conformité prêts à l'emploi pour garantir que votre organisation respecte les normes nécessaires. Le retour d'information dynamique guide les utilisateurs pour créer des mots de passe forts qu'ils peuvent mémoriser mais qui sont difficiles à casser. * **Analyse continue des mots de passe compromis :** La fonctionnalité Breached Password Protection analyse en continu votre **Active Directory** par rapport à une base de données de plus de 5 milliards de mots de passe compromis uniques. Des messages personnalisables alertent les utilisateurs si leur mot de passe est compromis.  En fin de compte, les organisations ne devraient pas se fier uniquement aux mots de passe comme seule ligne de défense. L'authentification multi-facteurs (MFA) fournit une barrière supplémentaire qui protège les comptes même si un mot de passe est finalement récupéré. **Specops Secure Access** offre cette couche de sécurité supplémentaire aux connexions Windows Logon, RDP et VPN.  Si vous êtes dans