{"id":2951,"date":"2026-05-08T18:52:38","date_gmt":"2026-05-08T16:52:38","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/hash-md5-60-des-mots-de-passe-craques-en-moins-dune-heure\/"},"modified":"2026-05-08T18:52:38","modified_gmt":"2026-05-08T16:52:38","slug":"hash-md5-60-des-mots-de-passe-craques-en-moins-dune-heure","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/hash-md5-60-des-mots-de-passe-craques-en-moins-dune-heure\/","title":{"rendered":"Hash MD5 – 60% des mots de passe craqu\u00e9s en moins d’une heure"},"content":{"rendered":"

60% des mots de passe hash\u00e9s en MD5 peuvent \u00eatre cass\u00e9s en moins d’une heure… C’est ce que dit en tout cas
\nune \u00e9tude de Kaspersky<\/a>
\npubli\u00e9e cette semaine qui se base sur +231 millions de mots de passe qu’on peut trouver sur le dark web et tir\u00e9s de fuites ayant eu lieu entre 2023 et 2026. D’apr\u00e8s leurs tests, 48% sont craqu\u00e9s en moins d’une minute et 60% en moins d’une heure. C’est pas tr\u00e8s rassurant, surtout si votre base tourne encore au MD5.<\/p>\n

Ce qui a chang\u00e9 ces derni\u00e8res ann\u00e9es, c’est surtout la puissance des GPU modernes qui n’a cess\u00e9 d’augmenter. Par exemple, une RTX 5090 monte \u00e0 220 milliards de hash MD5 par seconde ce qui repr\u00e9sente une augmentation de +34% par rapport \u00e0 la RTX 4090 ! Du coup, louer un GPU cloud pour lancer une attaque par dictionnaire revient \u00e0 quelques dizaines de centimes \u00e0 quelques dollars de l’heure. C’est rentable hein ?<\/p>\n

L’\u00e9tude souligne aussi que 53% des mots de passe du corpus se terminent par des chiffres. Et l\u00e0, du point de vue des r\u00e8gles hashcat, c’est du pain b\u00e9nit car les crackers adorent la pr\u00e9visibilit\u00e9. Alors attention si vous administrez un service web avec une gestion de comptes utilisateur car les attaques modernes (dictionnaire + r\u00e8gles hashcat) r\u00e8glent aujourd’hui son compte \u00e0 une bonne partie du corpus et cela en moins d’une minute. Par contre, les mots de passe longs avec symboles vari\u00e9s r\u00e9sistent encore puisque c’est exponentiel ! Vaut mieux une phrase de passe avec plein de mots et facile \u00e0 retenir du genre running-douche-afford-laborer-art-amber-deftly-acetone-lego-reoccupy qu’un mot de passe court et complexe comme 3d2^vO$RZ1.<\/p>\n

Bref, MD5 pour les mots de passe c’est mort donc si vous avez encore \u00e7a dans vos bases, migrez moi tout ce bordel rapidement ! La migration maintenant, \u00e7a se fait vers Argon2id<\/strong> en priorit\u00e9… Je balance pas \u00e7a au pif, hein, c’est le standard recommand\u00e9 par OWASP et le NIST, et c’est memory-hard, donc les GPU ne peuvent pas juste brute-forcer des milliards de hashs par seconde comme avec MD5.<\/p>\n

Apr\u00e8s si votre stack est ancienne et qu’Argon2id n’est pas dispo, bcrypt<\/strong> reste une option solide. Dans tous les cas, \u00e9vitez SHA-1, SHA-256 ou SHA-512 sans algorithme adaptatif car ils sont rapides par conception, donc tout aussi crackables que MD5.<\/p>\n

\nSource<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"