apidement, pour vous faire patienter un peu avant quelque chose d'un peu plus consistant, et dans la lignée de mon précédent billet. Celui avec du contenu dedans s'entend. Pas l'autre. Bref... Donc cassage de mot de passe dans le Cloud, ou plutôt sur un tas d'unités de calcul...
J'apprenais hier le lancement d'un autre cracker de passphrase WPA/WPA2 en ligne chez Ph33rbot. Pour la modique somme de 100$, vous pourrez tester votre 4-Way-Handshake sur un dictionnaire de 540 millions d'entrées, le tout carburant non pas au Cloud, mais à la GPU.
À en croire le fil de discussion qui a suivi le message d'annonce sur les forums Aircrack-ng, ce service dispose de trois GPU type 295GTX, ce qui à mon sens le qualifie à peine ce service pour le titre de cluster de calcul... Ceci étant, ça nous donne a priori une puissance de cassage qui avoisinerait les 60000 passphrases par seconde si on se réfère aux performances annoncées par pyrit, lequel reste la référence dans le domaine. Ce qu'on peut essayer de vérifier avec les performances annoncées : 540 millions de passphrases parcourues en deux heures, ce qui nous donne une moyenne de 75000 entrées à la seconde.
J'ai comme l'impression qu'il s'agit d'un chiffre un poil exagéré. Si vous regardez le log de traitement des traces fournis, vous pourrez en effet constater que si pas mal de captures ont été traitées rapidement, les temps les plus longs sont de l'ordre d'un peu plus de deux heures et demie, ce qui nous ramène à nos 60000 PSKs par seconde, soit deux fois moins vite que le cracker proposé par Moxie Marlinspike quand il tourne sur l'intégralité de ses CPUs.
Est-ce que disposer d'un dictionnaire deux fois plus gros justifie un prix trois fois plus élevé ? Je ne sais pas. Toujours est-il que sur des durées de cet ordre, je ne pense pas qu'un facteur deux sur les performances soit le principal problème, le but étant tout de même de tester le maximum de passphrases dans un laps raisonnable. Et deux heures et demie me semble être plus que raisonnable. Mais bon... 100$ le run quand même...
Par contre, ça démontre bien ce que j'avançais précédemment. Avec relativement peu d'investissement matériel, on arrive à des performances tout à fait comparables avec ce qu'on appelle pudiquement l'état de l'art. Reste à savoir combien de clés on pense vouloir tester.
La seule chose qui soit sûr, c'est que ce n'est pas ça qui va changer la face du monde en terme de sécurité Wi-Fi...