phr36144J8lPfY. Bien choisi, ce mot de passe ? Il n’aura pourtant fallu que 12 secondes à l’ordinateur de l’Ecole Polytechnique Fédérale de Lausanne pour en venir à bout. YRQg3QwJ a eu moins de chance, lui : 11 secondes.Et tout cela à l’aide d’un vulgaire PC à base d’AMD Athlon 2500+ et, tout de même, 1.5GB de mémoire vive.Ces résultats sont l’oeuvre d’un projet du laboratoire LASEC (Laboratoire de Sécurité et de Cryptographie) de l’école Polytechnique de Lausanne, en Suisse. Celui-là même à qui l’on doit la bruyante (et très mal comprise) découverte d’une faille d’implémentation du protocole SSL, l’an dernier.Casseurs de mots de passeCette année, le projet de classe visait non plus SSL mais les mots de passe standards de Windows, au format LMHash/NTHash. Objectif : en casser le maximum, et le plus rapidement possible.Mission accomplie, puisque leur « Advanced Instant NT Password Cracker » casserait 99,9% des mots de passe Windows en 13.6 secondes de moyenne. Leur secret : pré-calculer de très nombreux mots de passe à l’avance, ce qui permet de diviser par deux le nombre de calculs nécessaires en temps réel. Et plus l’ordinateur dispose de mémoire vive (afin de manipuler ces données pré-calculées), plus le processus est rapide.Bien sûr, il s’agit de remettre la découverte dans son contexte : les mots de passe Windows n’ont jamais étés considérés comme fiables, et il était déjà courant de les briser en un peu plus d’une minute. La découverte du LASEC est donc une belle avancée mathématique, mais elle n’aura probablement qu’un impact limité sur la sécurité de Windows, souvent mise à mal de manière bien plus grave par ailleurs. En outre, il est nécessaire de déjà posséder les droits d’administrateur sur la machine visée afin d’exploiter cette technique.Il reste que tout cela sera fort utile aux administrateurs étourdis : le LASEC propose de casser vos mots de passe en direct sur leur site web !