ghacks.net relève que des campagnes d'hameçonnage profitent de la nouvelle extension de noms de domaines en .zip, et que des sites tels que microsoft-office.zip, qui ont depuis été désactivés, proposaient des invites de connexion à Microsoft.

Google Registry, qui avait acquis le .zip en 2014, a en effet annoncé la semaine passée le lancement de 8 nouveaux noms de domaine de premier niveau : .dad, .phd, .prof, .esq, .foo, .zip, .mov et .nexus, ce que déplorent de nombreux professionnels de la cybersécurité, et ce qui avait entraîné @vx-underground, « la plus grande collection de code source de malwares » (mais bien intentionnée), à enregistrer officeupdate.zip.

D'après le SANS Internet Storm Center, environ 1 230 noms auraient d'ores et déjà été enregistrés. Il conseille de bloquer l'accès aux domaines en .zip, à mesure qu'il pourrait être utilisé pour de telles campagnes de phishing, ce que semblerait confirmer les noms de domaine enregistrés en .zip, voire ce que permettraient les documents mentionnant des fichiers .zip (ou .mov) accessibles depuis un navigateur web et qui, d’un click, pourraient dès lors renvoyer à un site web plutôt qu’à un fichier.

CheckNews, le service de fact-checking de Libération, revient sur une infographie partagée par France Numérique expliquant qu'un pirate peut, en 2023, pirater un mot de passe de 10 caractères en 2 semaines, alors qu'un tableau similaire parlait de 5 mois l'an passé, et de 5 ans en 2020, en utilisant une attaque par force brute.

Hive Systems, l'entreprise américaine de cybersécurité à l'origine de ces calculs, part du principe que mettre en regard des millions de hash avec ceux présents dans une base de données, afin d'identifier les mots de passe hashés, « ne nécessite qu’une quantité triviale de calculs et de temps supplémentaires ».

En 2022, Hive Systems avait calculé qu'« un pirate au budget modeste [utilisant] un ordinateur de bureau équipé d’une carte graphique haut de gamme », gagnerait 30 % de temps avec un GPU RTX 3090 plutôt qu'avec un RTX 2080 – moins coûteux, mais moins performant.

Un pirate un peu plus fortuné louant des ressources de calcul sur des plateformes telles que Microsoft Azure ou Amazon AWS, pour l’équivalent d’une trentaine d’euros de l’heure, pouvait cumuler la puissance de calculs de huit processeurs Nvidia A100 Tensor Core, « de quoi hacher un mot de passe quatorze fois plus vite qu’avec un PC sous RTX 2080 (523 milliards de hash par seconde, contre 37 milliards) ».

Or, en 2023, « le même hacker au budget modeste a désormais accès à des ressources plus performantes… et moins coûteuses », relève CheckNews, à mesure que « des sites proposant aux particuliers de la puissance de calcul d’ordinateurs domestiques quand leur propriétaire ne les utilise pas se sont démocratisés. De quoi concurrencer le cloud computing d’Amazon ou de Microsoft ».

Hive Systems note en effet qu'il est désormais possible de louer douze processeurs RTX 4090 pour moins de 6 euros de l’heure sur des sites comme vast.ai : « Sachant qu’un RTX 4090 calcule 164 milliards de hash par seconde (H/s), on va donc 3,7 fois plus vite qu’en 2022 pour 5,5 fois moins cher. Avec un même budget, un pirate "hache" donc 20 fois plus vite qu’il y a un an. »

CheckNews souligne cela dit que Hive Systems se base sur un clavier anglophone n'utilisant que les 8 symboles les plus utilisés par les générateurs de mots de passe, à savoir ^ * % $ ! & @ #, et que « si la fonction de hachage standard MD5 se calculait relativement rapidement, d’autres se résolvaient beaucoup plus lentement ».

Elon Musk l’a confirmé vendredi soir, Twitter a désormais une nouvelle « patronne » : Linda Yaccarino. Elle a occupé à plusieurs reprises des postes de direction, notamment dans les médias (dont NBCUniversal).

« Linda s’occupera principalement des affaires, pendant que je m’occuperai de la conception des produits et des nouvelles technologies », a indiqué Musk dans son tweet d’annonce. Il ajoute avoir hâte de travailler avec elle pour transformer « cette plateforme en X ».

La nouvelle dirigeante entrera en fonction dans six semaines. La portée réelle de ce poste reste à définir, car Musk occupera toujours plusieurs casquettes essentielles.

• Twitter accepte un audit « à blanc » pour s’adapter aux règles européennes
• Depuis son rachat par Elon Musk, Twitter a répondu favorablement à 83 % des demandes gouvernementales
• Rachat de Twitter par Elon Musk : quatre mois en eaux troubles