L’un des derniers gros scandales de vol de données est celui d’Equifax, une société américaine d’analyse de crédit. Au compteur, environ 143 millions de données personnelles volées, mais en plus, des cadres qui revendent leurs actions. L’affaire Equifax aura au moins le bénéfice de (re)mettre au gout du jour la problématique de la cybersécurité, et plus spécifiquement : des mots de passe. Pour tenter de répondre à une partie de ce problème, des chercheurs américains ont combiné le pouvoir de l’intelligence artificielle à celui d’outils déjà existants avec une méthode appelée PassGAN. Les résultats sont plutôt prometteurs.

Les outils existants pour casser des mots de passe fonctionnent majoritairement en ‘force brute‘ : c’est le cas de John The Ripper ou Hashcat. Ces deux outils se basent sur le contenu d’un dictionnaire de mots ainsi que sur les règles d’altération des mots de passe, à l’exemple du chiffre en fin de mot. Afin d’améliorer la puissance de John The Ripper et Hashcat, des chercheurs des Instituts Technologique de Stevens et NY ont choisi d’ajouter les compétences d’une intelligence artificielle. La nouvelle méthode mise en place s’appelle PassGAN, GAN pour generative adversial network, soit qui utilise un double réseau neuronal. Grâce à ce dernier, le premier réseau neuronal est chargé de générer de nouveau mot de passe, qui sont analysés par le deuxième. Le deuxième sera chargé de l’analyse, mais aussi de ne retenir que les bons mots de passe et de les retransmettre au premier. Et ainsi de suite jusqu’à obtenir des messages de qualité.

Ensuite, les chercheurs ont testé leur méthode avec une liste de 23 millions de mots de passe du service RockYou, dont la base de donnée a fuité en 2010. Ils ont ensuite généré d’une part 528 millions de mots passe avec John The Ripper et 646 avec Hashcat, et d’autre part 528 millions avec les réseaux neuronaux. Enfin, ils ont comparé ces nouveaux mots de passe avec la base de données de LinkedIn, qui a elle aussi fuité (en 2016). Résultat pour LinkedIn, la méthode PassGAN a découvert 11,5% des mots de passe, 6,3% pour John The Ripper et 14,5% pour Hashcat. Combiné avec Hashcat, la méthode passe à 27% : un résultat qui s’annonce beaucoup plus prometteur pour la suite.

Source : Science Mag