Il y a quelques temps déjà, l’entreprise russe Elcomsoft, spécialisée dans la récupération de mots de passe par force brute, avait annoncé avoir mis au point un nouvel outil utilisant la puissance des processeurs de cartes graphiques GeForce 8800. A en croire cette société, l’outil permettrait de casser un mot de passe environ 25 fois plus rapidement qu’avec un processeur classique.

Aujourd’hui, une nouvelle idée a germé dans l’esprit de certains chercheurs : utiliser la puissance du processeur des consoles PlayStation 3 afin d’effectuer des calculs coûteux en temps. Celui-ci est un Cell, processeur intégrant beaucoup moins de mécanismes d’optimisation de code que ceux qui équipent traditionnellement nos ordinateurs, ce qui lui permet de réserver une plus grande partie de ses transistors pour effectuer les calculs à proprement parler.

L’idée de casser des mots de passe à l’aide d’un GPU a donc été adaptée à l’architecture Cell de la PlayStation 3, ce qui a permis, selon son auteur, une amélioration de la vitesse de traitement d’un facteur 100. Cette amélioration de vitesse permet de casser en un temps raisonnable de nombreux mots de passe dont l’algorithme de « hash » est simple, grâce à une seule PlayStation 3. Toutefois, un cluster d’un millier de PlayStations 3 pourrait bien, si l’on en croit le chercheur, retrouver un mot de passe Linux de 8 charactères (mais de quelle complexité ?) en quelques jours seulement, le temps nécessaire à une attaque de type brute-force étant bien sûr directement dépendant de la puissance de calcul disponible.

Une autre utilisation de la PlayStation 3 comme outil de calcul a été dévoilée récemment : celle-ci a été exploitée afin d’implémenter une nouvelle méthode de calcul de collisions dans l’algorithme de « hash » MD5, afin de générer des documents PDF ou des exécutables Windows différents, mais possédant le même condensat MD5. La création de tels fichiers ne prendrait que 2 jours à une Playstation 3, dont les performances sont ici comparables à un cluster d’une trentaine de PC. Contrairement aux anciens algorithmes connus, qui n’autorisaient que 128 octets de différences entre deux fichiers possédant le même condensat MD5, le nouvel algorithme permet d’avoir des fichiers radicalement différents auxquels sont concaténés des blocs d’octets permettant que les fichiers finaux aient le même condensat.
L’algorithme MD5 n’est donc définitivement plus sûr pour garantir l’intégrité d’un fichier, et ne devrait plus être utilisé. Il est conseillé d’utiliser un algorithme plus robuste, tel que SHA-256.

Au vu de l’utilisation détournée de la PlayStation 3 à des fins de cassage de mots de passe ou d’algorithmes de « hash », sa possession nous mettrait-elle dans l’illégalité face à la loi DADVSI interdisant la possession d’outils de crackage ? On en revient au débat sur l’outil et sur l’utilisation qui en est faite.