Le slice shot de Lleyton Hewitt's

à Wimbledon

<= Regarder le video =>

Certainement l’annonce la plus attendue de l’E3, le salon événement du jeu vidéo, en ce moment à Los Angeles la nouvelle console de salon de Nintendo, un temps baptisée Project Café.
La grosse nouveauté de cette console vient de… sa manette. Finis les contrôleurs basiques avec seulement des sticks, croix directionnelles et boutons. Place à la tablette tactile (écran résistif) de 6,2 pouces. D’une dimension de 4,5 cm en hauteur, 17 cm en largeur et 26 cm de longueur, l’innovation faite par Nintendo réside dans son utilisation.

Voici une petite vidéo promotionnelle diffusée lors de la conférence, histoire de mieux se représenter la chose :

¤ Buffalo propose pour le moment au Japon  un des premiers (si ce n'est le premier) hub USB 3.0.

En effet, si vous avez plusieurs disques durs compatibles, les deux connecteurs gérés par le contrôleur NEC µPD720200A peuvent limiter les amateurs de stockage. Mesurant 94 x 19 x 62 mm pour 58 grammes, il propose quatre connecteurs et une alimentation externe de 20 W (suffisante, les ports USB 3.0 nécessitant au maximum 4,5 W).

Notons que le contrôleur utilisé est ici d'origine Via et que — comme avec tous les hubs USB — la bande passante est bien évidemment partagée entre les différents connecteurs.

Disponible en noir ou en blanc, le prix est de 4 680 ¥ (environ 36 €), ce qui reste raisonnable.

Le cloud à la demande est un service très apprécié des entreprises qui peuvent augmenter ainsi leur capacité de calcul sur de courtes périodes, sans avoir à investir dans un capital fixe à long terme. Pour les mêmes raisons, le cloud computing peut s'avérer très attractif pour les pirates dont l'activité est centrée sur le crack de mots de passe, de clés d'accès ou pour lancer des attaques par force brute, coûteuses en calcul, mais hautement parallélisables.

Le pirate a à sa disposition deux grandes sources de capacité de calcul à la demande : les botnets constitués par les ordinateurs des utilisateurs et l'Infrastructure-as-a-Service (IaaS) proposée par des prestataires de services. Chaque système peut offrir du calcul à la demande, adapté pour réaliser des attaques par force brute. Les réseaux de zombies ne sont pas fiables, ils sont hétérogènes et prennent plus de temps à démarrer. Mais ils ne coûtent rien, et comme ils sont composés par des centaines de milliers de PC, ils peuvent s'adapter à des besoins énormes. Comparativement, une offre commerciale de cloud sera plus rapide à mettre en oeuvre, ses performances sont prévisibles et les pirates peuvent se l'offrir avec une carte de crédit volée. Si l'on comprend qu'un attaquant peut avoir accès au calcul haute performance à un coût dérisoire, on peut constater que le rapport entre contrôle de sécurité et méthodes d'attaque est en train de changer de manière spectaculaire.

Prenons le cas des mots de passe, par exemple. La longueur et la complexité d'un mot de passe conditionne l'effort nécessaire pour élaborer une attaque en force brute. Supposons qu'un attaquant ait accès à la valeur « hashé » d'une base de données où sont stockées les mots de passe, et que celle-ci soit installée derrière un serveur web ou un serveur d'authentification mal protégés. L '« empreinte », généralement basée sur un algorithme de type Secure Hashing Algorithm, ne peut pas être contournée. Mais avec une attaque de type force brute, il devient possible de lancer un test sur toutes les valeurs d'un mot de passe. Cette attaque se produit loin du serveur d'authentification et n'est donc pas limité par le mécanisme qui bloque un log-in après trois tentatives. Il faudrait une éternité pour essayer toutes les combinaisons possibles d'un mot de passe de huit caractères sur un processeur simple core - sans doute des mois, voire des années, en fonction de la complexité de l'algorithme et du mot de passe. Mais ce calcul est hautement parallélisable : en fonction des besoins, la recherche peut être divisée en autant de «batchs» et répartie entre plusieurs processeurs qui effectuent les essais en parallèle. En utilisant un botnet ou un cloud IaaS, un attaquant peut désormais obtenir, en quelques minutes ou en quelques heures, le résultat de ce calcul qui aurait pris des années.

2,10 dollars et 49 minutes pour casser un mot de passe 

Un chercheur allemand a fait la démonstration de la technique avec l'Elastic Compute Cloud d'Amazon et son nouveau service de cluster informatique conçu pour des applications graphiques très gourmandes en temps processeur. Le traitement graphique et le crack de mots de passe sont très similaires du point de vue algorithmique : ils mettent tous deux en oeuvre des mathématiques matricielles et vectorielles. Les résultats sont assez édifiants : en utilisant seulement 49 minutes d'une instance de cluster unique, le chercheur a été capable de cracker des mots de passe longs de six lettres. Coût de l'expérience : 2,10 dollars pour une heure de calcul (la base d'utilisation étant d'une heure minimum).

Avec l'avènement du cloud computing, comme c'est le cas avec tout autre type de technologie, les « bad guys » se retrouvent également avec un nouvel outil. Quand on compare le rapport risques/bénéfices à l'évaluation coûts/avantages en matière de contrôle de la sécurité, il faut désormais tenir compte du prix très bas de l'informatique pour tous - pirates inclus. Les mots de passe, les clés de chiffrement des systèmes sans fil, le chiffrement des données non opérationnelles et même le vieil algorithme SSL doivent être réévalués à la lumière de ces changements. Ce que l'on pensait être « impossible » hier est devenu accessible au pirate ordinaire.

>> PAR JEAN ELYAN