Nos ordinateurs deviennent de plus en plus fins, élégants et surtout puissants, avec des progrès notables effectués sur les vingt dernières années. Mais le fait que désormais chacun de nos PC soit aussi puissant qu’un supercalculateur de la décennie passée a aussi ses revers, explique Dan Goodin dans Ars Technica.

Comme il le démontre dans une longue enquête intitulée « Pourquoi les mots de passe n’ont jamais été aussi fragiles et les hackers aussi forts », les adeptes du « craquage » de mots de passe disposent eux aussi de machines très performantes pour effectuer de nombreuses opérations à la seconde. Un processeur multi-cœur couplé à une carte graphique récente peuvent, pour un millier d’euros, calculer jusque « 8,2 milliards de combinaisons à la seconde ».

> « Fuite dans notre base de données »

Outre ce gain en puissance pure, les « fuites d’informations » successives dans différentes bases de données à travers le monde, et qui font souvent l’actualité, ont été une vraie manne pour les hackers mal intentionnés. Une liste de plus de « 100 millions de mots de passe » donnerait ainsi des indications importantes pour guider les algorithmes chargés de craquer l’accès à un compte.

Et quand on sait que les internautes possèdent en moyenne 25 comptes sur la Toile, pour seulement 6,5 mots de passe, il suffit bien souvent qu’un de ces comptes soit compromis pour exposer à son tour les autres à ce danger.

« Entre il y a cinq ans et maintenant, c’est le jour et la nuit pour ceux qui craquent des mots de passe », confie Rick Redman, un consultant en sécurité informatique. « Grâce à ce flot de données, craquer un mot de passe de 16 caractères est devenu possible, et ce n’est pas parce que j’ai plus d’ordinateurs aujourd’hui. »

Résultat, le bilan est aujourd’hui sévère quant à la sécurité des données de chacun sur Internet, résume Matt Weir, doctorant à l’université de Floride sur les mots de passe :

« Toute la scène du 'password-cracking' a changé du tout au tout en l’espace de quelques années. Regardez sur Internet, vous y trouverez surement les mots de passe de chacun au bout d’un moment. J’ai moi-même trouvé mes identifiants sur différents sites. Si vous pensez que chaque endroit sur lesquels vous possédez un compte est sécurisé et n’a jamais été hacké, eh bien vous être une personne infiniment plus optimiste que je ne le suis. »

> Peut-on faire face ?

Heureusement, l’utilisateur n’est pas totalement démuni face à ces stratégies de plus en plus sophistiquées. Comme le rappelle Dan Goodin, choisir des mots de passe de plus de neuf caractères (signes et majuscules inclus) devraient vous protéger d’un craquage à l’aide de la « force brute » d’un ordinateur.

Par ailleurs, il faudrait dans l’idéal choisir un mot de passe unique pour chacun de nos comptes, afin d'éviter une réaction en chaîne dans le cas d’un acte de piratage sur l'un de ceux-ci. Une rigueur pas forcément facile à entretenir, mais qui pourrait bien prévenir certaines déconvenues.