CUDA : Elcomsoft présente une arme de déprotection massive

Il y a bientôt deux mois se déroulait la nouvelle conférence organisée par Nvidia, la NVISION. Nous en avions notamment retenu que la firme au caméléon, en proie à une passe difficile, comptait miser sur CUDA, ses outils gratuits visant à permettre la programmation de ses GPU en C et ainsi leur utilisation par des logiciels conventionnels. Il y a deux semaines, nous apprenions que TMPGEnc, PowerDirector de CyberLink et la future suite Creative d'Adobe utiliseraient la technologie. Dans le cas de TMPGEnc, les gains annoncés dans certains cas étaient impressionnants : +446 % pour l'encodage d'une vidéo grâce à l'utilisation conjointe du GPU et du CPU.

C'est au tour de la société russe Elcomsoft de miser sur CUDA. L'entreprise vient en effet d'annoncer la nouvelle version de son produit de récupération de mot de passe : ElcomSoft Distributed Password Recovery. Déjà l'année dernière, Elcomsoft avait commencé à travailler avec la technologie de Nvidia et parlait d'une division par 25 du temps requis pour casser par force brute différents types de mots de passe. Le stade du développement est désormais plus avancé puisque le produit d'Elcomsoft profite dorénavant des GeForce série 8xxx et 9xxx. Ainsi, les mots de passe des documents Office 2007, des comptes Windows NT à Vista et des réseaux WiFi WPA résisteraient 10 à 100 fois moins bien grâce à CUDA.

Password Recovery est également capable de retrouver un mot de passe pour les autres suites Office (depuis la version 97), pour des documents au format OpenDocument - utilisé notamment par OpenOffice.org -, PDF, PGP, pour des comptes UNIX ... Ces casses ne profitent cependant pas encore de la technologie CUDA. Le produit d'Elcomsoft est commercialisé à partir 599 € pour une licence utilisable par 1 à 20 personnes. Pour plusieurs milliers de postes, il faudra compter jusqu'à 4 399 € et davantage.

Si la société dit viser les grandes entreprises ou les administrations qui aimeraient retrouver des mots de passe perdus ou oubliés, le logiciel peut paraître inquiétant.  L'attaque par force brute sur ce type de documents n'est pas une nouveauté mais la multiplication de son efficacité grâce CUDA pourrait dans certains cas s'avérer gênante. Pas de panique cependant, un mot de passe relativement complexe, composé d'un mot hors dictionnaire et utilisant des lettres majuscules, minuscules et des chiffres voire de la ponctuation, reste toujours très long à casser, CUDA compris. Il convient cela dit d'éviter des mots de passe inférieurs à une dizaine de caractères. Dans les autres cas, les dictionnaires de mots de passe suffisent bien souvent et ne nécessitent pas la puissance de calcul demandée par la force brute...

Mine de rien, le nombre de produits utilisant CUDA, bien qu'encore restreint, croît doucement. La plus-value ainsi opérée par Nvidia pourrait devenir problématique pour AMD, notamment dans le secteur professionnel. Cependant, entre le Stream SDK et  OpenCL, une alternative à CUDA devrait bientôt émerger. Gageons que les éditeurs de logiciels utiliseront conjointement plusieurs de ces technologies.