
Qu’est-ce que cracker un mot de passe ?
Cracker un mot de passe : définition
Le crackage de mots de passe est le processus qui consiste à obtenir un accès non autorisé à des systèmes restreints en utilisant des mots de passe communs ou des algorithmes qui devinent les mots de passe.
Cracker un mot de passe, c’est l’art d’obtenir le mot de passe correct qui donne accès à un système protégé par une méthode d’authentification.
Cracker un mot de passe nécessite un certain nombre de techniques pour atteindre ses objectifs. Le processus de crackage peut consister à comparer les mots de passe stockés sur une liste de mots, ou à utiliser des algorithmes pour générer des mots de passe susceptibles de correspondre.
Comment évaluer la force d’un mot de passe ?
La force d’un mot de passe est la mesure de l’efficacité du mot de passe à résister aux attaques de piratage.
La force d’un mot de passe est déterminée par:
- Sa longueur : le nombre de caractères que contient le mot de passe
- Sa complexité : utilise-t-il une combinaison de lettres, de chiffres et de symboles ?
- Son imprévisibilité : un attaquant peut-il le deviner facilement ?
Voyons un exemple pratique. Nous utiliserons trois mots de passe, à savoir
- 1. cybersecu
- 2. cybersecu1
- 3. #cybersecu1$
Pour cet exemple, nous utiliserons l’indicateur de force du mot de passe de Cpanel lors de la création des mots de passe.
- Pour cybersecu la force est de 1, et il est très faible.
- Pour cybersecu1, la force est de 28, elle est encore faible.
- Pour #cybersecu1$, la force est de 60 et il est fort.
Plus le chiffre de la force est élevé, meilleur est le mot de passe.

Comment empêcher le crackage de mots de passe
Une organisation peut utiliser les méthodes suivantes pour réduire les risques de fissure des mots de passe:
- Éviter les mots de passe courts
- Évitez d’utiliser des mots de passe dont le modèle est prévisible, comme 11552266
- Les mots de passe stockés dans la base de données doivent toujours être chiffrés
- Pour l’algorithme MD5, il est préférable de saler les hachages de mots de passe avant de les stocker. Le salage consiste à ajouter un mot au mot de passe fourni avant de créer le hachage
- La plupart des systèmes d’enregistrement ont des indicateurs de force des mots de passe, adoptez des politiques qui favorisent des forces élevées pour vos mots de passe
Les différentes techniques pour craker un mot de passe
Attaques par force brute
Une des techniques de crackage les plus populaires pour les mots de passe jusqu’à 8 caractères est l’attaque par force brute.
Il s’agit essentiellement d’une méthode de type « hit-and-miss », car le pirate vérifie systématiquement tous les caractères possibles, calcule le hachage de la combinaison de chaînes et le compare ensuite avec le hachage du mot de passe obtenu.
Le succès des attaques par force brute dépend de la longueur du mot de passe. Dans une attaque par force brute, le pirate essaie chaque combinaison de lettres, de chiffres et de ponctuation pour générer un mot de passe.
Si le mot de passe est long, cette technique prend plus de temps : de quelques minutes à plusieurs années, selon le système utilisé et la longueur du mot de passe.
Attaques par dictionnaire
Bien que similaire à une attaque par force brute, il existe une différence majeure avec l’attaque par dictionnaire.
Le hacker utilise une liste de correspondances probables (basée sur des mots de la langue française, par exemple) au lieu d’essayer tous les caractères potentiels un par un.
Les outils d’attaque par dictionnaire comprennent souvent des mots de passe connus, des mots de la langue française, des phrases tirées de livres, etc.
Attaques combinées de dictionnaires
En poussant l’attaque du dictionnaire encore plus loin et en ajoutant encore plus de complexité, les pirates informatiques peuvent combiner une liste de mots existants avec des chiffres de la même manière que les humains le feraient lors de la création de nouveaux mots de passe, par exemple en échangeant la lettre « e » avec « 3 ».
Cette technique est appelée « attaque par dictionnaire combiné », la base de données utilisée pouvant contenir des mots provenant d’un ou de plusieurs dictionnaires.
Attaques par dictionnaires hybrides à base de règles
L’attaque par dictionnaire hybride est la méthode qui consiste à prendre les mots figurant dans un dictionnaire et à les combiner avec une attaque par force brute en ajoutant trois chiffres à chaque entrée.
Vous obtiendrez des résultats tels que 111cybersecu jusqu’à 999cybersecu.
Cela peut prendre un certain temps pour obtenir des résultats. Du coup, en ajoutant quelques règles à la devinette du mot de passe, vous pouvez réduire le temps nécessaire pour le déchiffrer.
Cette méthode laisse une grande place à la créativité des pirates informatiques pour définir les règles que le logiciel de crackage de mots de passe appliquera.
Attaques de la table arc-en-ciel (Rainbow)
Une table arc-en-ciel est une table pré-compilée utilisée pour la récupération des hashs.
Chaque table arc-en-ciel est destinée à une longueur spécifique de mot de passe contenant un ensemble de caractères bien définis.
Cette technique vise à réduire le temps de devinette mais est limitée aux mots de passe ne dépassant pas 9 caractères et aux hashs sans sel de mot de passe.

Attaques de chaînes de Markov
Pour utiliser la technique des chaînes de Markov, les pirates informatiques doivent :
- assembler une base de données de mots de passe
- diviser chaque mot de passe en syllabes de 2 et 3 caractères
- développer un nouvel alphabet où ces différents éléments agissent comme des lettres
- le faire correspondre à la base de données de mots de passe existante
- fixer un seuil d’occurrences et sélectionner uniquement les lettres du nouvel alphabet qui apparaissent un nombre minimum de fois
- combiner ces lettres en mots d’une longueur maximale de huit caractères et les utiliser comme dans une attaque par dictionnaire
Outils pour cracker des mots de passe
Il s’agit de logiciels qui sont utilisés pour cracker les mots de passe des utilisateurs.
Le site www.onlinehashcrack.com
Le site web https://www.onlinehashcrack.com/ utilise une table arc-en-ciel pour cracker les mots de passe.
Son but est de pouvoir cracker votre hash. Quelques techniques telles que Rainbow, Hybrid, Wordlists et Bruteforce sont utilisées pour cracker un hash.
Tout hash cracké contenant 8 caractères ou plus nécessitera un paiement de 15€ pour révéler le mot de passe alors que tout ce qui contient moins de 8 caractères reste gratuit.
Vous devrez entrer une adresse électronique valide pour recevoir une notification lorsque le processus de crackage sera terminé et pour accéder à une URL privée contenant le résultat.
En plus du crackage des hashs MD5, le site peut aussi cracker les fichiers WPA/WPA2 avec l’extension *.cap ou *.pcap. Un service d’identification des hachages est utile pour déterminer le type de hachage utilisé.
Alternatives gratuites

John The Ripper
John The Ripper utilise l’invite de commande pour cracker les mots de passe.
Il convient donc aux utilisateurs avancés qui sont à l’aise avec les commandes. Il utilise une liste de mots pour cracker les mots de passe. Le programme est gratuit, mais la liste de mots doit être achetée.
Il dispose de listes de mots alternatives gratuites que vous pouvez tenter d’utiliser.
Cain & Abel
Cain & Abel ne fonctionne que sur Windows.
- Il est utilisé pour récupérer les mots de passe des comptes utilisateurs
- récupérer des mots de passe Microsoft Access
- le reniflage de réseau
- etc.
Contrairement à John the Ripper, Cain & Abel utilise une interface utilisateur graphique. Il est très répandu parmi les débutants en scripts en raison de sa simplicité d’utilisation.
Ophcrack
Ophcrack est un cracker de mots de passe multiplateforme qui utilise les tables arc-en-ciel pour cracker les mots de passe.
- Il fonctionne sous Windows
- Linux
- et Mac OS
Il dispose également d’un module pour les attaques par force brute, entre autres fonctionnalités.
Aircrack-NG
Aircrack-NG est un outil de crackage de mots de passe WiFi qui peut craquer les mots de passe WEP ou WPA.
Il analyse les paquets chiffrés du réseau sans fil et tente ensuite de cracker les mots de passe grâce à son algorithme de crackage.
Il est disponible pour les systèmes Linux et Windows. Un CD live de Aircrack est également disponible.
→ Ici les tutoriels pour utiliser AirCrack NG
Hoverwatch
Dédié uniquement aux téléphones Android, Hoverwatch est un keylogger silencieux. Une fois installé dans un téléphone, il vous envoie sur votre serveur dédié ce qui se tape au clavier, dont les mots de passe tapés par l’utilisateur.
Au passage, il vous envoie également la géolocalisation du téléphone en temps réel ainsi que les discussions sur les principaux réseaux sociaux.
Alternative pour iPhone, elle aussi en mode « furtif »
→ Voir ici notre liste d’applications de hackers uniquement disponibles sur Android
Crackez votre premier mot de passe
Dans ce scénario pratique, nous allons pirater un compte Windows avec un simple mot de passe.
Windows utilise des hachages NTLM pour chiffrer ses mots de passe. Pour ce faire, nous utiliserons l’outil de crackage NTLM de Cain et Abel.
Le cracker de Cain et Abel peut être utilisé pour cracker les mots de passe à l’aide de:
- Attaque par dictionnaire
- Force brute
- Cryptanalyse
Nous utiliserons l’attaque par dictionnaire dans cet exemple. Vous devrez télécharger la liste de mots d’attaque par dictionnaire suivant: 10k-Most-Common.zip.
Pour cette démonstration, nous avons créé un compte appelé Accounts avec le mot de passe qwerty sur le système d’exploitation Windows.
Comment cracker le mot de passe d’une application
Étapes de crackage du mot de passe avec Cain et Abel
- Ouvrez Cain et Abel, vous obtiendrez l’écran principal suivant
- Assurez-vous que l’onglet « cracker » est sélectionné comme indiqué ci-dessus
- Cliquez sur le bouton Ajouter de la barre d’outils
- La fenêtre de dialogue apparaîtra
- Les comptes des utilisateurs locaux seront affichés comme suit
- Notez que les résultats affichés seront ceux des comptes d’utilisateurs sur votre machine locale.
- Faites un clic droit sur le compte que vous voulez cracker. Pour ce tutoriel, nous utiliserons Accounts comme compte d’utilisateur.
- Cliquez avec le bouton droit de la souris sur la section du dictionnaire et sélectionnez Ajouter à la liste
- Naviguez jusqu’au fichier .txt (10k) que vous venez de télécharger
- Cliquez sur le bouton de démarrage
- Si l’utilisateur a utilisé un mot de passe simple comme qwerty, vous devriez obtenir les résultats suivants:




Piraté
Bonjour,
Qu’est-ce qui est piraté ? Vous n’avez pas fini votre phrase.
J’ai oublié mon mot de passe
➡️ Vous connaissez l’adresse électronique qui se trouve sur votre compte:
➡️ Cliquez sur le bouton « Login » sur la page d’accueil, puis choisissez le lien « Mot de passe oublié » dans la fenêtre contextuelle, située juste en dessous du bouton « Login »
➡️ Vous devrez alors saisir l’adresse électronique valide associée à votre compte actif.
➡️ Une fois que vous aurez saisi votre adresse électronique et cliqué sur « Réinitialiser votre mot de passe », un courriel contenant un lien pour réinitialiser votre mot de passe vous sera envoyé.
➡️ Veuillez vérifier votre adresse électronique immédiatement, car le lien expire après 48 heures.
➡️ Vous ne connaissez pas l’adresse électronique associée à votre compte:
➡️ Contactez l’équipe d’assistance