Ces dernières années, la capacité de calcul a augmenté à une vitesse rapide : l'explosion de l'intelligence artificielle a poussé d'énormes investissements dans les GPU et les accélérateurs spécifiques, et les fabricants sont en concurrence pour offrir des puces de plus en plus puissantes pour former des modèles de langage géant. Face à cette croissance, une question légitime se pose pour les équipes de sécurité : si cette vague d'IA se refroidit et que ces cartes sont sous-utilisées, les attaquants pourraient-ils les réorienter pour casser les mots de passe ? Et, si oui, cela signifie-t-il que les mots de passe sont condamnés à disparaître?
Pour répondre à cette hypothèse, nous avons fait une comparaison pratique entre deux accélérateurs de data center et une carte de consommation haut de gamme : le Nvidia H200 et le AMD MI300X contre un GPU de consommation maximum (mentionné dans les tests comme RTX 5090). Le test était simple : mesurer la vitesse avec laquelle chaque carte peut calculer les hachages de mot de passe en utilisant Hashcat, l'outil le plus répandu pour la récupération et l'audit de mot de passe ( hashcat.net) et utiliser ces données comme un indicateur de sa capacité à tester des millions ou des milliards de candidats par seconde.
Hashcat intègre un mode Benchmark qui permet de comparer les performances brutes de différents appareils dans différents algorithmes de hachage. Nous choisissons des algorithmes qui restent présents dans les environnements d'entreprise: MD5 et NTLM comme exemples de fonctions anciennes et rapides, bcrypt comme représentant de fonctions conçues pour être coûteuses, et SHA-256 et SHA-512 comme familles de hachage modernes qui sont encore dans de nombreux systèmes. Le raisonnement est simple : l'efficacité d'une attaque de force brute dépend du nombre de hachages que la machine peut générer et vérifier par seconde.
Les résultats étaient révélateurs. Dans tous les essais, la carte de consommation a dépassé les accélérateurs du centre de données en vitesse de génération de hachage. En pratique, la consommation de GPU a marqué des taux de hachage plus élevés - dans certains cas presque deux - par rapport à H200 et MI300X. Si le coût est également comparé, la différence devient encore plus frappante: les cartes de centre de données peuvent coûter une fraction très élevée plus qu'une GPU de consommation, sans que cela se traduise par un avantage proportionnel lors de la rupture des hachages.
Cette constatation n'est pas tout à fait surprenante si vous considérez comment ces familles de traitement sont conçues: Les accélérateurs IA sont optimisés pour les calculateurs flottants et les tailles de lots spécifiques et la formation de modèles de mémoire, tandis que les routines de hachage de masse utilisant des outils tels que Hashcat profitent de types d'opérations et d'architectures de mémoire qui sont souvent mieux utilisés par les GPU consommateurs. Cette différence architecturale se traduit par la performance observée.
Une donnée historique permet de la mettre en perspective : en 2017 IBM a monté une plateforme avec huit Nvidia GTX 1080 - le GPU de la consommation alors point - qui a atteint des taux de fissuration dans NTLM comparables à ceux qui atteignent aujourd'hui des accélérateurs beaucoup plus coûteux ( Article d'IBM). Cela montre que les puces exotiques ne sont pas nécessaires pour obtenir la capacité réelle de casser les mots de passe : le matériel de consommation bien assemblé reste très efficace pour cette tâche.
Qu'est-ce que cela signifie pour les défenses d'une organisation? Premièrement, la menace réelle n'est pas nécessairement l'arrivée d'un accélérateur d'IA aux mains des attaquants, mais l'existence de mots de passe faibles et la réutilisation des identifiants. Une attaque de force brute est, en fin de compte, un problème de volume : à une vitesse de hachage plus élevée par seconde, des combinaisons plus rapides sont explorées. Dans les tests pratiques, les mots de passe courts et prévisibles restent récupérables en des temps relativement courts avec le matériel disponible aujourd'hui.
Pour cette raison, plutôt que de craindre un redémarrage de masse hypothétique des accélérateurs de fissuration, il est nécessaire de se concentrer sur des mesures éprouvées : encourager la longueur au-dessus de la complexité apparente et adopter des mots de passe. Les guides de référence comme la norme NIST recommandent de hiérarchiser la longueur et d'autoriser les phrases de mot de passe qui sont mémorables pour les utilisateurs ( NIST SP 800-63B), parce qu'un mot de passe de 15 caractères bien choisi multiplie exponentiellement le temps nécessaire pour le briser à des échelles impraticables même avec un matériel puissant.
Un autre risque plus élevé que la force brute pure est celui des pouvoirs déjà exposés dans les lacunes précédentes et la réutilisation des mots de passe. Rapports tels que Rapport d'enquête sur la violation des données de Verizon montrer que les justificatifs volés sont impliqués dans une fraction importante des intrusions. Si un attaquant relie des références filtrées à une personne donnée, il est facile d'essayer ces mêmes combinaisons contre les systèmes d'entreprise; il y a des marchés et des acteurs spécialisés dans la vente et l'utilisation de cet accès initial.
Dans la pratique, cela rend la détection précoce et la prévention de l'utilisation de mots de passe compromis aussi importants que l'exigence de longitude. Les outils qui comparent les mots de passe en usage avec les bases de données d'identification filtrées et forcent les utilisateurs à changer si leur mot de passe apparaît sur ces listes finissent par bloquer des voies d'attaque très fréquentes et efficaces.
Bien sûr, les mots de passe ne devraient pas être la seule barrière. L'adoption généralisée de l'authentification multifacteurs (AMF) réduit considérablement l'impact d'un mot de passe compromis, car il ajoute un facteur supplémentaire que l'attaquant ne devra pas simplement connaître la clé. Mise en œuvre qui étend MFA au démarrage à distance, RDP et VPN proches vecteurs qui continuent d'être exploités régulièrement.
Pour les organisations qui cherchent des solutions concrètes, il existe des produits qui traitent à la fois de la politique de mot de passe et de la protection contre les lettres de créances et l'intégration avec les contrôles d'accès. Un exemple est Password Policy Spacups, qui vous permet d'imposer des règles plus granulaires que les règles Active Directory et de fournir des commentaires aux utilisateurs pour créer des mots de passe robustes; votre module de protection par mot de passe filtré compare continuellement les comptes avec de grands dépôts de mots de passe ( Discours Politique sur le mot de passe). Des compléments comme Spacups Secure Access ajoutent des couches protectrices pour l'accès à distance ( Accès sécurisé aux spacups).
En bref, la leçon pratique est double : d'une part, la crainte que les accélérateurs IA coûteux transforment les mots de passe en mots de passe obsolètes est, pour l'instant, exagérée ; le matériel de consommation offre déjà la capacité dont les attaquants ont besoin pour exploiter des mots de passe faibles. D'autre part, l'efficacité de la défense dépend moins de l'inquiétude de la raison pour laquelle GPU pourrait utiliser un attaquant et plus de politiques robustes : de longs mots de passe ou des mots de passe, la détection des lettres de créances engagées et le déploiement de MFA. Ces mesures sont celles qui poussent vraiment le coût d'une attaque à des niveaux où elle ne sera plus rentable.
Si votre organisation fait toujours confiance aux anciennes règles de complexité ou aux mots de passe courts, le temps de revoir la stratégie est maintenant : renforcer l'hygiène des références et ajouter des couches de vérification est ce qui rendra vraiment les comptes sécurisés par rapport aux ressources de calcul qui sont (et seront) disponibles aux attaquants.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...