MD5 vulnérable : piratage par GPU avec RTX 5090 L'étude de Kaspersky montre que MD5 reste vulnérable au piratage par GPU, et rappelle l'urgence de migrer vers des hachages plus sûrs.
Le piratage de mots de passe MD5 par GPU est au cœur d'une étude de Kaspersky: 60 % des mots de passe hachés en MD5 pourraient être piratés en moins d'une heure à l'aide d'une seule carte graphique Nvidia RTX 5090, et 48 % en moins d'une minute. Cette réalité résonne avec la longue histoire de MD5 comme méthode de hachage non sécurisée pour les mots de passe et pose des questions sur les pratiques de stockage utilisées par de nombreuses organisations.
Ce que révèle l'étude sur MD5 et les attaques par GPU
Les chercheurs ont évalué la vitesse de craquage sur des architectures GPU récentes et constatent que MD5, en l'absence de protections, peut être brute-forcé à une vitesse qui rend obsolètes les mécanismes de sécurité traditionnels. MD5 est extrêmement rapide et ne comporte pas de mécanismes d'itération forts par défaut, ce qui permet à des attaquants de tester des centaines de milliers, voire des milliards de combinaisons par seconde avec les ressources appropriées.
Concrètement, l'utilisation d'une carte graphique unique de niveau haut de gamme peut réduire drastiquement le temps nécessaire pour retrouver le mot de passe d'un utilisateur lorsque celui-ci est stocké sous MD5 sans sel. Le phénomène est amplifié lorsque les mots de passe sont simples, ou lorsque des dictionnaires et des variantes courantes sont utilisées dans les attaques.
- Vulnérabilité inhérente : MD5 est rapide et ne comprend pas de mécanismes de salage ou d'itération suffisants.
- Rôle des GPU : les architectures massivement parallèles accélèrent considérablement les tentatives de décryptage.
- Impact sur les bases de données : certaines bases encore stockent des mots de passe sous MD5 sans sel ni facteur d’itération.
Pourquoi MD5 ne suffit plus et quelles mesures adopter
Pour protéger durablement les mots de passe, l'industrie recommande des algorithmes de hachage adaptés qui intègrent salage et itération, et qui sont conçus pour résister à la puissance de calcul moderne. Des solutions comme Argon2id, bcrypt et scrypt offrent des tempiques d'exécution contrôlées et des sels uniques pour chaque mot de passe. L'ajout d'un pepper au niveau de l'application peut aussi limiter l'efficacité des attaques par fuite de données. Au minimum, il faut :
- Activer le salage unique : chaque mot de passe doit être haché avec un sel distinct stocké avec le hash.
- Choisir un algorithme résilient : privilégier Argon2id, bcrypt ou scrypt selon l'environnement.
- Mettre en place MFA et contrôles d’accès : limiter les essais et exiger une authentification multi-facteur.
- Auditer régulièrement : vérifier les politiques de mot de passe et migrer les bases qui utilisent MD5 sans protection.
Pour qui cela compte et ce qui reste incertain
Ce chiffre n'est pas une fatalité. Il illustre surtout la rapidité avec laquelle des méthodes obsolètes peuvent devenir dangereuses à l'ère des GPU puissants et des volumes de données croissants. L'inconnu demeure concernant les performances exactes sur différents matériels et dans divers scénarios d'attaque, mais le message est clair : MD5 ne doit plus être utilisé pour le stockage des mots de passe. Les organisations doivent évaluer leurs chaînes de protection et planifier une migration progressive vers des solutions plus solides.
Pour terminer
La vigilance est de mise : une simple mise à jour des algorithmes de hachage et des pratiques de salage peut éviter une partie significative des risques liés au piratage des mots de passe. Il faut désormais penser la sécurité des mots de passe comme une partie intégrante de la cybersécurité, et non comme une étape isolée.
