Une approche deep learning pour deviner les mots de passe. Baptisé PassGAN - et dont le code source est dans un répertoire Github - cet outil disponible en ligne de commande et déjà pré-entrainé sur le jeu de données RockYou, aurait de quoi donner des sueurs froides aux responsables IT et sécurité des entreprises. Et pour cause car selon de nombreux articles, ce dernier pourrait craquer n'importe quel code d'accés comportant jusqu'à sept caractères - incluant aussi bien des symboles que des chiffres - en moins de six minutes. Une sacrée performance théorique qui relèguerait aux oubliettes les attaques par force brute utilisées pour les casser.

En fait, PassGAN n'a rien de nouveau puisque son approche a été décrite dans le cadre d'une recherche en février 2019. A l'époque, les 4 chercheurs en sécurité qui ont travaillé dessus se félicitaient : « Nous pensons que notre approche de divinition de mot de passe est révolutionnaire car PassGAN génère des mots de passe sans intervention de l'utilisateur, ce qui ne nécessite aucune connaissance sur les code d'accès, ni d'analyse manuelle des fuites de la base de données des mots de passe ». Alors comment se fait-il qu'un projet vieux de 4 ans soit remis sur le devant de la scène ? Une enquête de Home Security Heroes explique en fait la situation. Ce dernier a ainsi utilisé PassGAN pour parcourir une liste de 15 680 000 mots de passe et a expliqué être parvenu à casser 51 % des mots de passe commun en moins d'une minute, 65 % en moins d'une heure, 71 % en moins d'un jour et 81 % en moins d'un mois. 

La performance de PassGAN montée en épingle

« PassGAN représente une avancée majeure dans les techniques de craquage de mots de passe. Cette dernière approche utilise le Generative Adversarial Network (GAN) pour apprendre de manière autonome la distribution de mots de passe réels à partir de fuites de mots de passe réelles, éliminant ainsi la nécessité d'une analyse manuelle des mots de passe. Bien que cela rende le craquage de mots de passe plus rapide et plus efficace, cela constitue une menace sérieuse pour votre sécurité en ligne », alerte Home Security Heroes. « PassGAN peut générer de multiples propriétés de mots de passe et améliorer la qualité de ceux prédits, ce qui permet aux cybercriminels de casser plus facilement vos identifiants et d'accéder à vos données personnelles. Il est donc essentiel de mettre régulièrement à jour vos authentifiants pour vous protéger de cette technologie dangereuse ».

Alors vraie menace ou Home Security Heroes en fait-il un peu trop ? La réalité semble pencher vers le second scenario. « PassGAN était une expérience passionnante qui a contribué à l'utilisation de générateurs de mots de passe basés sur l'IA, mais son temps est révolu », a fait savoir Jeremi Gosney, expert sur le sujet et ingénieur principal chez Yahoo. Selon lui, une autre méthode de réseau neuronal pour deviner les code d'accès, introduite en 2016, donne des résultats légèrement supérieurs à ceux de PassGAN utilisant un modèle d'apprentissage automatique connu sous le nom de PCFG - abréviation de probabilistic context-free grammars. Ce dernier n'est malgré tout pas la panacée : « Même s'il s'agit du principal générateur de mots de passe à l'IA, son craqueur est à peu près au même niveau que les générateurs de Markov ce qui ne représente pas une amélioration significative ». En se référant aux résultats globaux de l'outil PassGAN mis en œuvre par Home Security Heroes, l'expert explique même que « malheureusement, ses performances sont bien en deçà des techniques existantes, y compris les générateurs statistiques comme Markov, les générateurs probabilistes comme les PCFG, les listes de mots avec des règles d'altération et, pour les entrées courtes, même la stupide force brute ». L'IA et la sécurité font aussi bon ménage à des fins de communication.