Le pirate a à sa disposition deux grandes sources de capacité de calcul à la demande : les botnets constitués par les ordinateurs des utilisateurs et l'Infrastructure-as-a-Service (IaaS) proposée par des prestataires de services. Chaque système peut offrir du calcul à la demande, adapté pour réaliser des attaques par force brute. Les réseaux de zombies ne sont pas fiables, ils sont hétérogènes et prennent plus de temps à démarrer. Mais ils ne coûtent rien, et comme ils sont composés par des centaines de milliers de PC, ils peuvent s'adapter à des besoins énormes. Comparativement, une offre commerciale de cloud sera plus rapide à mettre en oeuvre, ses performances sont prévisibles et les pirates peuvent se l'offrir avec une carte de crédit volée. Si l'on comprend qu'un attaquant peut avoir accès au calcul haute performance à un coût dérisoire, on peut constater que le rapport entre contrôle de sécurité et méthodes d'attaque est en train de changer de manière spectaculaire.

Prenons le cas des mots de passe, par exemple. La longueur et la complexité d'un mot de passe conditionne l'effort nécessaire pour élaborer une attaque en force brute. Supposons qu'un attaquant ait accès à la valeur « hashé » d'une base de données où sont stockées les mots de passe, et que celle-ci soit installée derrière un serveur web ou un serveur d'authentification mal protégés. L '« empreinte », généralement basée sur un algorithme de type Secure Hashing Algorithm, ne peut pas être contournée. Mais avec une attaque de type force brute, il devient possible de lancer un test sur toutes les valeurs d'un mot de passe. Cette attaque se produit loin du serveur d'authentification et n'est donc pas limité par le mécanisme qui bloque un log-in après trois tentatives. Il faudrait une éternité pour essayer toutes les combinaisons possibles d'un mot de passe de huit caractères sur un processeur simple core - sans doute des mois, voire des années, en fonction de la complexité de l'algorithme et du mot de passe. Mais ce calcul est hautement parallélisable : en fonction des besoins, la recherche peut être divisée en autant de «batchs» et répartie entre plusieurs processeurs qui effectuent les essais en parallèle. En utilisant un botnet ou un cloud IaaS, un attaquant peut désormais obtenir, en quelques minutes ou en quelques heures, le résultat de ce calcul qui aurait pris des années.

2,10 dollars et 49 minutes pour casser un mot de passe

Un chercheur allemand a fait la démonstration de la technique avec l'Elastic Compute Cloud d'Amazon et son nouveau service de cluster informatique conçu pour des applications graphiques très gourmandes en temps processeur. Le traitement graphique et le crack de mots de passe sont très similaires du point de vue algorithmique : ils mettent tous deux en oeuvre des mathématiques matricielles et vectorielles. Les résultats sont assez édifiants : en utilisant seulement 49 minutes d'une instance de cluster unique, le chercheur a été capable de cracker des mots de passe longs de six lettres. Coût de l'expérience : 2,10 dollars pour une heure de calcul (la base d'utilisation étant d'une heure minimum).

Avec l'avènement du cloud computing, comme c'est le cas avec tout autre type de technologie, les « bad guys » se retrouvent également avec un nouvel outil. Quand on compare le rapport risques/bénéfices à l'évaluation coûts/avantages en matière de contrôle de la sécurité, il faut désormais tenir compte du prix très bas de l'informatique pour tous - pirates inclus. Les mots de passe, les clés de chiffrement des systèmes sans fil, le chiffrement des données non opérationnelles et même le vieil algorithme SSL doivent être réévalués à la lumière de ces changements. Ce que l'on pensait être « impossible » hier est devenu accessible au pirate ordinaire.