Il existe de nombreuses façons de pirater un compte. Le craquage de mot de passe est l’une d’entre elles – consiste à utiliser diverses méthodes de calcul et autres pour franchir l’étape d’authentification du mot de passe. Nous allons aborder différentes techniques de craquage de mots de passe dans cet article. Aujourd’hui, vous pouvez même trouver des outils spécialisés dans le craquage de mots de passe, qui ne doivent pas être utilisés uniquement à des fins malveillantes. Mais avant d’entrer dans les détails, discutons de ce qu’est le craquage de mots de passe.
Qu’est-ce que le craquage de mots de passe et comment fonctionne-t-il ?
Le craquage de mots de passe consiste à récupérer les mots de passe d’un ordinateur ou des données qu’un ordinateur transmet. Il ne s’agit pas forcément d’une méthode sophistiquée. Une attaque par force brute où toutes les combinaisons possibles sont vérifiées est également du craquage de mots de passe.
Si le mot de passe est stocké en clair, le piratage de la base de données donne à l’attaquant toutes les informations du compte. Cependant, aujourd’hui, la plupart des mots de passe sont stockés en utilisant une fonction de dérivation de clé (KDF). Cette fonction prend un mot de passe et le soumet à un chiffrement à sens unique, créant ainsi ce que l’on appelle un « hash ». Le serveur stocke la version hachée du mot de passe.
Il est facile d’essayer différents mots de passe hachés à un rythme élevé lorsqu’on utilise un GPU ou un botnet. C’est pourquoi la plupart des fonctions de hachage de mot de passe utilisent des algorithmes d’étirement de clé, qui augmentent les ressources (et donc le temps) nécessaires à une attaque par force brute.
Certaines méthodes de craquage de mot de passe deviennent nettement plus difficiles si votre mot de passe utilise le salage ou l’étirement de clé. Malheureusement, il existe encore des services qui stockent des mots de passe non chiffrés ou faiblement chiffrés sur leurs serveurs.
Outils de craquage de mots de passe
Aucun craquage de mots de passe ne commence sans outils appropriés. Lorsque vous devez deviner parmi des milliards de combinaisons, une aide informatique est plus que bienvenue. Comme toujours, chaque outil a ses avantages et ses inconvénients.
Mais avant de pouvoir commencer à craquer, vous devez d’abord avoir le hachage du mot de passe. Voici quelques-uns des outils les plus populaires pour obtenir le hachage :
- Mimikatz. Connu comme une application d’audit et de récupération de mots de passe, Mimikatz peut également être utilisé pour récupérer des hashs malins. En effet, elle pourrait tout aussi bien extraire des mots de passe en clair ou des codes PIN.
- Wireshark. Wireshark vous permet de faire du reniflage de paquets, ce qui est le numéro dix de notre liste de techniques de craquage de mots de passe ci-dessus. Wireshark est un analyseur de paquets primé, utilisé non seulement par les hackers mais aussi par les entreprises et les institutions gouvernementales.
- Metasploit. Il s’agit d’un cadre de test de pénétration populaire. Conçu pour les professionnels de la sécurité, Metasploit peut également être utilisé par les pirates pour récupérer les hachages de mots de passe.
Et maintenant viennent les outils de craquage de mots de passe les plus populaires, sans ordre particulier.
John the Ripper
Paraissant dans de nombreuses listes d’outils de craquage de mots de passe populaires, John the Ripper est une application gratuite, open-source et basée sur des commandes. Il est disponible pour Linux et macOS, tandis que les utilisateurs de Windows et d’Android obtiennent Hash Suite, développé par un contributeur.
John the Ripper prend en charge une liste massive de différents types de chiffrement et de hachage. En voici quelques-uns :
- Unix, macOS, et les mots de passe utilisateur Windows
- Applications web
- Serveurs de bases de données
- Captures de trafic réseau
- Clés privées cryptées
- Disques et systèmes de fichiers
- Archives
- Documents
Il existe également une version Pro avec des fonctionnalités supplémentaires et des paquets natifs pour les OS pris en charge. Les listes de mots utilisées dans le craquage de mots de passe sont en vente, mais des options gratuites sont également disponibles.
Cain & Abel
Téléchargé près de 2 millions de fois depuis sa source officielle, Cain & Abel est un autre outil populaire pour le craquage de mots de passe. Mais contrairement à John the Ripper, il utilise une interface graphique, ce qui le rend instantanément plus convivial. Cela et le fait qu’il soit disponible sur Windows ne font de Cain & Abel un outil de choix pour les amateurs, également connus sous le nom de script kiddies.
C’est un outil polyvalent, capable de nombreuses fonctions différentes. Cain & Abel peut faire office d’analyseur de paquets, enregistrer la VoIP, analyser les protocoles de route, ou encore rechercher les réseaux sans fil et récupérer leurs adresses MAC. Si vous avez déjà le hash, cet outil offrira une option d’attaque par dictionnaire ou par force brute. Cain & Abel peut également afficher les mots de passe qui se cachent sous les astérisques.
Ophcrack
Ophcrack est un outil de craquage de mots de passe gratuit et open-source spécialisé dans les attaques de type rainbow table. Pour être plus précis, il craque les hachages LM et NTLM où le premier s’adresse à Windows XP et aux OS antérieurs et le second s’associe à Windows Vista et 7. NTLM est également disponible, dans une certaine mesure, sur Linux et freeBSD. Ces deux types de hachage ne sont pas sûrs – il est possible de craquer un hachage NTLM en moins de 3 heures avec un ordinateur rapide.
Comme vous pouvez le voir dans la capture d’écran ci-dessus, il a fallu à Ophcrack à peine six secondes pour craquer un mot de passe à 8 symboles tout en utilisant une table arc-en-ciel qui comprend des lettres, des chiffres et des majuscules. C’est même plus de variables qu’un mot de passe grand public n’en possède habituellement.
Cet outil est livré avec des tables arc-en-ciel Windows XP/Vista/7 gratuites et une fonction d’attaque par force brute pour les mots de passe simples. Ophcrack est disponible sur Windows, macOS et Linux.
THC Hydra
Le point fort de THC Hydra n’est sans doute pas le nombre possible de têtes qu’il peut faire pousser, mais le nombre de protocoles qu’il prend en charge qui semble lui aussi augmenter ! Il s’agit d’un outil de craquage de mots de passe de connexion réseau open-source qui fonctionne avec Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH et Telnet, pour n’en citer que quelques-uns.
Les méthodes disponibles avec THC Hydra incluent les attaques par force brute et par dictionnaire tout en utilisant également des listes de mots générées par d’autres outils. Ce craqueur de mots de passe est connu pour sa rapidité grâce aux tests de combinaison multithreads. Il peut même exécuter des vérifications sur différents protocoles simultanément. THC Hydra est disponible sur Windows, macOS et Linux.
Hashcat
Se positionnant comme le craqueur de mots de passe le plus rapide au monde, Hashcat est un outil gratuit et open-source disponible sur Windows, macOS et Linux. Il propose plusieurs techniques, de la simple attaque par force brute au masque hybride avec liste de mots.
Hashcat peut utiliser à la fois votre processeur et votre GPU, même en même temps. Cela rend le craquage de plusieurs hachages simultanément beaucoup plus rapide. Mais ce qui rend cet outil vraiment universel est le nombre de types de hachage pris en charge. Hashcat peut déchiffrer MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass, et beaucoup plus. En fait, il prend en charge plus de 300 types de hachage.
Les techniques de craquage de mots de passe utilisées par les pirates
Naturellement, les pirates veulent utiliser la méthode disponible la plus facile pour craquer les mots de passe. Le plus souvent, cette méthode est le phishing, décrit en détail ci-dessous. Tant que l’humain est le maillon faible de tout système de sécurité, le cibler est le meilleur pari. Si cela échoue, il existe de nombreuses autres techniques de craquage de mots de passe à essayer.
Bien que les mots de passe soient un outil de sécurité de compte très populaire, ils ne sont pas nécessairement l’option la plus sûre. C’est notamment le cas si un utilisateur crée un mot de passe faible, le réutilise et stocke sa copie en clair quelque part en ligne. C’est pourquoi l’utilisation de données biométriques (qui a aussi ses inconvénients) ou l’ajout d’un deuxième facteur rendront inutiles la plupart des méthodes de craquage ci-dessous.
Une attaque typique de craquage de mot de passe ressemble à ceci :
- Obtenir les hachages de mots de passe
- Préparer les hachages pour l’outil de craquage que vous avez choisi
- Choisir une méthodologie de craquage
- Exécuter l’outil de craquage
- Évaluer les résultats
- Si nécessaire, affinez votre attaque
- Passez à l’étape 2
Maintenant, abordons les techniques de craquage de mots de passe les plus populaires. Dans de nombreux cas, celles-ci sont combinées entre elles pour plus d’effet.
Hameçonnage
Le hameçonnage est la technique la plus populaire qui consiste à inciter l’utilisateur à cliquer sur une pièce jointe ou un lien contenant un logiciel malveillant. Les méthodes utilisées pour ce faire consistent généralement à envoyer des courriels importants et d’apparence officielle qui avertissent de prendre des mesures avant qu’il ne soit trop tard. Au final, un logiciel d’extraction de mot de passe est installé automatiquement ou l’utilisateur saisit les détails de son compte sur un site web ressemblant à un site web.
Il existe différents types de phishing adaptés à une situation particulière, nous allons donc examiner les quelques types courants :
- Le spear phishing cible une personne en particulier et tente de recueillir le plus d’informations personnelles possible avant l’attaque.
- Le whaling cible les cadres supérieurs et utilise un contenu spécifique à l’entreprise, qui peut être une plainte d’un client ou une lettre d’un actionnaire.
- Le voice phishing implique un faux message d’une banque ou d’une autre institution, demandant à un utilisateur d’appeler la ligne d’assistance et de saisir ses données de compte.
Malware
Comme vous l’avez vu, les malwares font souvent partie de la technique de phishing également. Cependant, elle peut fonctionner sans le facteur « ingénierie sociale » si l’utilisateur est suffisamment naïf (il l’est généralement). Deux des types de logiciels malveillants les plus courants pour voler des mots de passe sont les enregistreurs de frappe et les grattoirs d’écran. Comme leur nom l’indique, le premier envoie toutes vos frappes au pirate, et le second télécharge les captures d’écran.
D’autres types de logiciels malveillants peuvent également être utilisés pour voler des mots de passe. Un cheval de Troie à porte dérobée peut accorder un accès complet à l’ordinateur de l’utilisateur, et cela peut se produire même lors de l’installation de ce que l’on appelle un grayware. Également connus sous le nom d’applications potentiellement indésirables, ces programmes s’installent généralement après avoir cliqué sur le mauvais bouton « Télécharger » d’un site Web. Si la plupart affichent des publicités ou vendent vos données d’utilisation du web, certains peuvent installer des logiciels bien plus dangereux.
Ingénierie sociale
Cette technique de craquage de mots de passe repose sur la crédulité et peut ou non utiliser des logiciels ou du matériel sophistiqués – le phishing est un type de schéma d’ingénierie sociale.
La technologie a révolutionné l’ingénierie sociale. En 2019, des pirates ont utilisé l’IA et la technologie vocale pour se faire passer pour un propriétaire d’entreprise et ont trompé le PDG pour qu’il transfère 243 000 dollars. Cette attaque a démontré que simuler la voix n’est plus l’avenir, et que l’imitation vidéo deviendra monnaie courante plus tôt que vous ne le pensez.
En général, l’attaquant contacte la victime déguisé en représentant d’une institution quelconque, en essayant d’obtenir le plus d’informations personnelles possible. Il y a aussi une chance qu’en se faisant passer pour un agent de la banque ou de Google, il obtienne tout de suite le mot de passe ou les infos de la carte de crédit. Contrairement aux autres techniques, l’ingénierie sociale peut se produire hors ligne en appelant ou même en rencontrant personnellement la victime.
Ataque par force brute
Si tout échoue, les craqueurs de mots de passe ont l’attaque par force brute comme dernier recours. Elle consiste essentiellement à essayer toutes les combinaisons possibles jusqu’à toucher le jackpot. Cependant, les outils de craquage de mots de passe permettent de modifier l’attaque et de réduire considérablement le temps nécessaire pour vérifier toutes les variations. L’utilisateur et ses habitudes sont ici encore les maillons faibles.
Si l’attaquant a pu forcer brutalement un mot de passe, il supposera que celui-ci a été réutilisé et essaiera la même combinaison d’identifiants de connexion sur d’autres services en ligne. C’est ce qu’on appelle le credential stuffing, très populaire à l’ère des violations de données.
L’attaque par dictionnaire
Une attaque par dictionnaire est un type d’attaque par force brute et elle est souvent utilisée avec d’autres types d’attaques par force brute. Elle vérifie automatiquement si le mot de passe n’est pas une phrase souvent utilisée comme « iloveyou » en consultant le dictionnaire. L’attaquant peut également ajouter des mots de passe provenant d’autres comptes ayant fait l’objet d’une fuite. Dans un tel scénario, les chances de réussite d’une attaque par dictionnaire augmentent considérablement.
Si les utilisateurs choisissaient des mots de passe forts qui ne contiennent pas qu’un seul mot, ces attaques seraient rapidement déclassées en une simple attaque par force brute. Dans le cas où vous utilisez un gestionnaire de mots de passe, alors générer un ensemble aléatoire de symboles est le meilleur choix. Si vous n’en avez pas, une longue phrase composée d’au moins cinq mots est également idéale. N’oubliez simplement pas de la réutiliser pour chaque compte.
Spidering
Le spidering est une technique supplémentaire de craquage de mot de passe qui aide aux attaques par force brute et par dictionnaire mentionnées ci-dessus. Elle consiste à recueillir des informations sur la victime, généralement une entreprise, en supposant qu’elle utilise certaines de ces informations pour créer des mots de passe. L’objectif est de créer une liste de mots qui aiderait à deviner le mot de passe plus rapidement.
Après avoir vérifié le site web de l’entreprise, les médias sociaux et d’autres sources, on peut aboutir à quelque chose comme ceci :
- Nom du fondateur – Mark Zuckerberg
- Naissance du fondateur – 1984 05 14
- Sœur du fondateur – Randi
- Autre sœur du fondateur – Donna
- Nom de la société – Facebook
- Sièges sociaux – Menlo Park
- Mission de l’entreprise – Donner aux gens le pouvoir de créer une communauté et de rapprocher le monde
Maintenant, tout ce que vous avez à faire est de le télécharger vers un outil de craquage de mot de passe approprié et d’en récolter les fruits.
La devinette
Bien que la devinette soit loin d’être la technique de craquage de mots de passe la plus populaire, elle est liée au spidering orienté business ci-dessus. Parfois, l’attaquant n’a même pas besoin de recueillir des informations sur la victime, car il suffit d’essayer certaines des phrases de passe les plus populaires. Si vous vous souvenez avoir utilisé un ou plusieurs des mots de passe pathétiques de la liste ci-dessous, nous vous recommandons vivement de les changer dès maintenant.
Certains des mots de passe les plus courants en 2019
- 123456
- qwerty
- password
- iloveyou
- admin
- lovely
- 7777777
- 888888
- princesse
- dragon
.
Même si le nombre de personnes qui utilisent des mots de passe simples ou par défaut comme » admin, », » qwerty » ou » 123456 » diminue, beaucoup aiment encore les phrases faciles et mémorisables. Celles-ci incluent souvent des noms d’animaux de compagnie, d’amoureux, d’ex-animaux de compagnie, ou quelque chose en rapport avec le service réel, comme son nom (en minuscules).
Attaque par table arc-en-ciel
Comme mentionné ci-dessus, l’une des premières choses à faire lors du craquage de mots de passe est d’obtenir le mot de passe sous la forme d’un hachage. Ensuite, vous créez une table des mots de passe courants et de leurs versions hachées et vous vérifiez si celui que vous voulez craquer correspond à l’une des entrées. Les hackers expérimentés disposent généralement d’une table arc-en-ciel qui implique également des mots de passe ayant fait l’objet de fuites et des mots de passe précédemment craqués, ce qui la rend plus efficace.
Le plus souvent, les tables arc-en-ciel comportent tous les mots de passe possibles qui les rendent extrêmement énormes, occupant des centaines de Go. D’un autre côté, elles rendent l’attaque proprement dite plus rapide, car la plupart des données sont déjà présentes et il suffit de les comparer avec le mot de passe de hachage ciblé. Heureusement, la plupart des utilisateurs peuvent se protéger de telles attaques avec des sels de grande taille et l’étirement des clés, surtout lorsqu’ils utilisent les deux.
Si le sel est suffisamment grand, disons 128 bits, deux utilisateurs ayant le même mot de passe auront des hachages uniques. Cela signifie que la génération de tables pour tous les sels prendra un temps astronomique. Quant à l’étirement de la clé, il augmente le temps de hachage et limite le nombre de tentatives que l’attaquant peut faire dans un temps donné.
Comment créer un mot de passe fort?
Qu’importe la qualité de votre mémoire ou de votre gestionnaire de mots de passe, ne pas créer un bon mot de passe entraînera des conséquences indésirables. Comme nous l’avons évoqué dans cet article, les outils de craquage de mots de passe peuvent déchiffrer des mots de passe faibles en quelques jours, voire en quelques heures. C’est pourquoi nous nous sentons obligés de rappeler certains des conseils clés pour trouver une phrase de passe forte :
- La longueur. Comme souvent, la longueur est le facteur le plus important.
- Combinaison de lettres, de chiffres et de caractères spéciaux. Cela augmente considérablement le nombre de combinaisons possibles.
- Ne pas réutiliser. Même si votre mot de passe est fort en théorie, le réutiliser vous rendra vulnérable.
- Évitez les phrases faciles à deviner. Un mot qui se trouve dans le dictionnaire, sur le collier de votre animal de compagnie ou sur votre plaque d’immatriculation est un grand NON.
Si vous souhaitez en savoir plus sur la création de bons mots de passe, pensez à consulter notre article Comment créer un mot de passe fort. Vous pouvez également essayer notre générateur de mots de passe qui vous aidera à trouver des mots de passe sûrs.
Créer des mots de passe uniques
Générer des mots de passe sécurisés qui sont complètement aléatoires et impossibles à deviner.
Le craquage de mots de passe est-il illégal ?
Il n’y a pas de réponse tranchée à cette question. Pour commencer, tous les outils de craquage de mots de passe décrits ci-dessus sont parfaitement légaux. C’est parce qu’ils jouent un rôle clé dans la vérification des vulnérabilités et peuvent également aider à récupérer un mot de passe perdu. Qui plus est, ces outils aident les forces de l’ordre à lutter contre la criminalité. Donc, comme souvent, le craquage de mots de passe peut aider la bonne et la mauvaise cause.
Pour ce qui est du craquage de mots de passe en tant qu’activité, cela dépend de deux facteurs. Un, le pirate n’a pas l’autorité pour accéder à ces données particulières. Deux, l’objectif est de voler, d’endommager ou d’utiliser les données à mauvais escient. Même si un seul de ces facteurs est présent, un pirate recevra très probablement une sanction, allant d’une amende à un emprisonnement de plusieurs années.
En résumé, s’il n’y a pas de prime de bug, pas d’accord pour effectuer un test de pénétration et pas de demande d’aide pour récupérer un mot de passe perdu, le craquage est illégal.
Bottom line
Le craquage de mots de passe est plus facile que la plupart des utilisateurs ne le pensent. Il existe de nombreux outils gratuits et certains d’entre eux sont assez faciles même pour les craqueurs novices. Il y a également plus d’une technique de craquage de mots de passe à essayer. En commençant par une simple attaque par force brute et en passant à des méthodes sophistiquées qui combinent différentes techniques, le craquage de mots de passe évolue chaque jour.
La meilleure défense contre le craquage de mots de passe consiste à utiliser un mot de passe fort. L’utilisation de suffisamment de symboles et de caractères différents garantit que même l’ordinateur le plus rapide ne pourra pas craquer votre compte au cours de cette vie. Et comme il est peu probable de se souvenir de plusieurs mots de passe forts, le meilleur pari est d’utiliser un gestionnaire de mots de passe fiable. L’authentification à deux facteurs est toujours un casse-tête pour les pirates. L’ajout d’une identification par le doigt ou le visage permettra de protéger vos données, du moins dans un avenir proche.