L’IA s’est infiltrée dans un nombre croissant d’industries, et avec elle, dans notre vie quotidienne. Nous en entendons de plus en plus parler grâce à des projets tels que ChatGPT d’OpenAI, Google Bard, etc. Si vous ne l’avez pas fait exprès, vous avez peut-être interagi avec l’IA sans le savoir : elle est utilisée dans les chatbots des sites web et par des entreprises comme Google, Apple et Uber pour prendre des décisions concernant les données cartographiques.
Une startup spécialisée dans la sécurité a utilisé un outil d’IA pour déchiffrer les mots de passe, et ce à une vitesse fulgurante. Enfin, si votre mot de passe n’est pas trop compliqué. Voici ce que vous devez savoir.
Qu’est-ce que PassGAN AI ?
L’équipe de Home Security Heroes (HSH) a utilisé une sorte de réseau neuronal d’IA, appelé réseau accusatoire générateur de mots de passe (ou PassGAN), pour deviner les mots de passe. Pour entraîner leur IA, ils ont utilisé un ensemble de données comprenant des fuites de mots de passe du site de jeux RockYou.
Comment fonctionne l’IA PassGAN ? Un « réseau génératif » propose des mots de passe susceptibles d’être utilisés par des personnes ordinaires. Ensuite, un « réseau discriminant » compare le mot de passe généré aux mots de passe réels tirés des données divulguées.
Le réseau discriminant entraîne efficacement le réseau génératif à produire des mots de passe meilleurs et plus précis. Il s’agit d’une sorte de rétroaction négative qui tend vers des mots de passe que les gens, en général, pourraient utiliser – une sorte de généralité qui pourrait ne pas être très utile dans le monde réel.
A quelle vitesse l’IA PassGAN peut-elle craquer les mots de passe ?
L’équipe de Home Security Heroes a constaté que les mots de passe de quatre, cinq et six caractères pouvaient être devinés par l’IA presque instantanément, même s’ils étaient composés d’une combinaison de lettres (majuscules et minuscules), de chiffres et de symboles.
Même un mot de passe à sept chiffres composé de lettres majuscules et minuscules et de chiffres (mais pas de symboles) peut être déchiffré, selon ce modèle, en moins d’une minute, tandis que les mots de passe à huit et neuf chiffres les plus complexes sur le plan structurel peuvent être déchiffrés en sept heures et deux semaines, respectivement. Si vos mots de passe correspondent à ces critères indésirables, il est temps de les mettre à jour.
Ce tableau montre à quelle vitesse le test PassGAN de HSH peut craquer des mots de passe en fonction de leur longueur et de leur complexité.
Faut-il s’inquiéter de l’IA qui craque vos mots de passe ?
Bien que cela puisse paraître effrayant, des outils de ce type existent depuis un certain temps et nos mots de passe et identifiants restent toujours sécurisés. Cela est dû en partie au fait que les craqueurs de mots de passe, même ceux qui s’entraînent à l’IA, ne sont bons que dans la mesure où ils disposent d’un ensemble de données.
En fait, ce n’est pas la première fois que nous entendons parler de PassGAN. En 2017, Science.org, le site d’actualités de la revue Science, a publié un article sur la nouvelle façon de déchiffrer les mots de passe, c’est-à-dire en utilisant un réseau accusatoire génératif. PassGAN a ensuite été utilisé en conjonction avec un programme de devinettes de mots de passe, hashCat, et n’a réussi à deviner que 27 % des mots de passe d’un ensemble de fuites – ce qui n’est pas un petit chiffre, mais n’est pas non plus très alarmant.
La manière dont les gens de Home Security Heroes mesurent la vulnérabilité d’un mot de passe particulier n’est pas très bien expliquée. Il n’est pas certain qu’une IA comme PassGAN puisse repérer votre aiguille dans la botte de foin des mots de passe.
Étant donné que des outils comme PassGAN existent depuis un certain temps déjà et que nos mots de passe n’ont pas (encore) été devinés par l’IA, il semblerait que vous n’ayez pas à vous inquiéter de voir l’IA deviner votre mot de passe, du moins pas dans l’immédiat… si votre mot de passe est relativement complexe.
Quel est le niveau de sécurité de vos mots de passe ?
Vous pouvez tester la solidité de votre mot de passe via HSH. Bien qu’ils affirment que les mots de passe test que vous entrez sont totalement privés et ne sont jamais sauvegardés, nous vous conseillons néanmoins de ne pas donner vos vrais mots de passe. Il existe de nombreux autres outils pour tester vos mots de passe.
Vous pourriez peut-être essayer quelque chose de similaire, qui suit la même logique que votre mot de passe – une lettre majuscule ici, un symbole là – pour voir comment votre mot de passe résiste à une IA construite sur une architecture de type réseau génératif accusatoire.
Que peut-on faire face à une IA comme PassGAN ? Pas grand-chose. Ces modèles d’IA existent et continueront à s’affiner (mais pas nécessairement à devenir plus « intelligents ») à chaque fuite de mot de passe et à chaque compromission d’un ensemble de données. La principale défense dont vous disposez est un mot de passe très fort. Vous devez savoir comment créer un mot de passe fort que vous n’oublierez pas. Un autre moyen de se protéger contre de telles menaces est d’utiliser l’authentification multifactorielle sur le plus grand nombre possible de vos comptes.
Dans l’état actuel des choses, avec les modèles d’IA et les données dont ils disposent, tout mot de passe d’au moins 11 caractères et contenant des chiffres, des lettres majuscules et minuscules, ainsi que des symboles est considéré comme suffisamment robuste pour résister au piratage. Commencez donc par là. Créez un mot de passe suffisamment long pour que même les outils d’intelligence artificielle les plus raffinés restent dans l’expectative pendant des siècles.
Quelle est la prochaine étape pour l’IA en matière de piratage de mots de passe ?
Vraiment, qui sait ? L’intelligence artificielle avance toujours à pas de géant. Laissez les technologies de pointe à ceux qui s’y connaissent. Mais en même temps, ne fermez pas les yeux sur les développements. Et verrouillez vos portes d’entrée.
