Un algorithme devine à 99,7% vos mots de passe en moins de 5,0 secondes

En juin 2018, 2394 personnes tests ont accepté que leurs données, en temps réel et jusque sur les 15 dernières années (mails, comptes en banque, téléphones, réseaux sociaux, historique de navigateur, iTunes, Amazon, plateformes de jeu etc.) soient traitées et analysées de manière confidentielle. L’objet d’étude du projet IA MeDiAI 2025 Program du PsyTecLab Institute de San Francisco, est resté très secret jusqu’il y a peu. Les participants à l’étude ont eu l’interdiction non seulement de communiquer au sujet de leur contrat avec l’institut privé californien mais encore de prendre connaissance du sujet de la recherche en cours. Jusqu’à la semaine dernière.

La phase de relevé des données a pris fin en décembre 2018 et une partie partie des résultats a pu être évaluée sur le champ et communiquée publiquement.

Accès à l’ensemble des données personnelles

Lundi 3 décembre, l’analyse en temps réel arrivée à son terme, les responsables de l’étude ont demandé aux participant·es du projet de réinitialiser tous leurs mots de passe. Ce que les personnes test ne savaient pas, c’est que l’étude portait essentiellement sur cette réinitialisation.

81,5% « inventent » leur mot de passe

Si 19,5% des personnes ont systématiquement opté pour l’attribution d’un mot de passe aléatoire, la majorité s’est contentée de choisir un nouveau mot de passe selon ses préférences. 30,4% d’entre eux ont utilisé un mot de passe aléatoire sur certains sites ou pour certains services seulement. En tout, 73,5% des 25576 accès ont été créés avec mots de passe individuellement choisis. L’algorithme a pu craquer 99,7% d’entre eux en moins de 5 secondes dès le moment de leur réinitialisation « sans que le programme puisse prendre en compte les mots de passe utilisés auparavant », systématiquement effacés avant l’opération de déchiffrage, selon Robert Lopez, directeur technique de l’étude au PsyTecLab Institute.

Un vocabulaire transparent

À partir de combinaisons de « mots privilégiés, de données clés, de noms » sélectionnés, de chaînes de caractères, déclinées à partir d' »idées et d’émotions » et d’un « profil socioculturel et linguistique dynamique » l’algorithme des ingénieurs informatiques californiens déduit sans exception ou presque le mot de passe choisi par l’utilisateur, en un temps record. Devant la presse spécialisée réunie dans le grand théâtre de l’Université de Standford le 15 décembre, Robert Lopez précise que « dans 75% des cas, la chaîne de caractère noyau se retrouve parmi les 250 propositions privilégiées par le programme« , de sorte que « le décodage est un jeu d’enfant pour la machine« . L’opération algorithmique consiste à « essayer des codes à la manière des humains et selon le profil de l’utilisateur« , à travers la mise en désordre et des modes de substitution logique ou visuelle, des abréviations, avec nombres et caractères spéciaux en suffixes ou préfixes etc. Dans 35% des cas la devinette est résolue en moins de 10 000 tentatives. Le laboratoire de San Francisco n’en dévoilera pas plus sinon que « dans 76 cas (issus de 17 personnes), soit 0,7% de l’ensemble des mots, les ordinateurs n’ont pas découvert le mot de passe utilisé dans les 5 secondes imparties« , selon Lopez. Un échec pris avec humour : « Ces 17 personnes sont vraiment fûtées, en ce qu’elles ont selon toute vraisemblance pianoté au hasard sur leur clavier« .

Plus nous sommes numériques, plus nous sommes probables

De premiers résultats ont été publiés le 18 janvier 2019 et font l’objet de débats animés. « Nous pouvons constater dans un premier temps que les humains sous-estiment les machines » déclare Aron Nadibuhl, président du comité scientifique du PsyTecLap Institute et responsable du programme MeDiAI 2025. « Nous nous croyons plus créatifs et imprévisibles que ce que nous sommes en réalité« , car « les mots de passe sont déterminés par des schémas dont le mytère est facilement percée par l’intelligence artificielle« . Plus une personne est active sur les réseaux sociaux, plus il est facile de deviner son mot de passe pour notre programme de déchiffrement, d’autant plus qu' »en quelques jours seulement, nous avons pu constater une amélioration de la performance du logiciel apprenant« . L’algorithme s’est affiné de manière autonome et a pu « privilégié certaines méthodes, en en marginalisant d’autres. Les résultats à tirer de cette amélioration sont très prometteurs« . Aux dires de Mandibuhl des accords de coopération sont en discussion avec de nombreuses firmes telles que Nowledge International (Startup du domaine de l’analyse de big-data, financée en grande partie par Huawei et Amazon) et Ntellgense (laboratoire d’IA sous-traitante pour Google et Facebook)1.