Un Téléphone

L'usage du téléphone par les hommes et les femmes

Comment cracker un mot de passe ?

Publié le par

Qu’est-ce que cracker un mot de passe ?

Cracker un mot de passe : définition

Le crackage de mots de passe est le processus qui consiste à obtenir un accès non autorisé à des systèmes restreints en utilisant des mots de passe communs ou des algorithmes qui devinent les mots de passe.

Cracker un mot de passe, c’est l’art d’obtenir le mot de passe correct qui donne accès à un système protégé par une méthode d’authentification.

Cracker un mot de passe nécessite un certain nombre de techniques pour atteindre ses objectifs. Le processus de crackage peut consister à comparer les mots de passe stockés sur une liste de mots, ou à utiliser des algorithmes pour générer des mots de passe susceptibles de correspondre.

Comment évaluer la force d’un mot de passe ?

La force d’un mot de passe est la mesure de l’efficacité du mot de passe à résister aux attaques de piratage.

La force d’un mot de passe est déterminée par:

  • Sa longueur : le nombre de caractères que contient le mot de passe
  • Sa complexité : utilise-t-il une combinaison de lettres, de chiffres et de symboles ?
  • Son imprévisibilité : un attaquant peut-il le deviner facilement ?

Voyons un exemple pratique. Nous utiliserons trois mots de passe, à savoir

  • 1. cybersecu
  • 2. cybersecu1
  • 3. #cybersecu1$

Pour cet exemple, nous utiliserons l’indicateur de force du mot de passe de Cpanel lors de la création des mots de passe.

  • Pour cybersecu la force est de 1, et il est très faible.
  • Pour cybersecu1, la force est de 28, elle est encore faible.
  • Pour #cybersecu1$, la force est de 60 et il est fort.

Plus le chiffre de la force est élevé, meilleur est le mot de passe.

Force d'un mot de passe
Force d’un mot de passe

Comment empêcher le crackage de mots de passe

Une organisation peut utiliser les méthodes suivantes pour réduire les risques de fissure des mots de passe:

  • Éviter les mots de passe courts
  • Évitez d’utiliser des mots de passe dont le modèle est prévisible, comme 11552266
  • Les mots de passe stockés dans la base de données doivent toujours être chiffrés
  • Pour l’algorithme MD5, il est préférable de saler les hachages de mots de passe avant de les stocker. Le salage consiste à ajouter un mot au mot de passe fourni avant de créer le hachage
  • La plupart des systèmes d’enregistrement ont des indicateurs de force des mots de passe, adoptez des politiques qui favorisent des forces élevées pour vos mots de passe

Les différentes techniques pour craker un mot de passe

Attaques par force brute

Une des techniques de crackage les plus populaires pour les mots de passe jusqu’à 8 caractères est l’attaque par force brute.

Il s’agit essentiellement d’une méthode de type « hit-and-miss », car le pirate vérifie systématiquement tous les caractères possibles, calcule le hachage de la combinaison de chaînes et le compare ensuite avec le hachage du mot de passe obtenu.

Le succès des attaques par force brute dépend de la longueur du mot de passe. Dans une attaque par force brute, le pirate essaie chaque combinaison de lettres, de chiffres et de ponctuation pour générer un mot de passe.

Si le mot de passe est long, cette technique prend plus de temps : de quelques minutes à plusieurs années, selon le système utilisé et la longueur du mot de passe.

Attaques par dictionnaire

Bien que similaire à une attaque par force brute, il existe une différence majeure avec l’attaque par dictionnaire.

Le hacker utilise une liste de correspondances probables (basée sur des mots de la langue française, par exemple) au lieu d’essayer tous les caractères potentiels un par un.

Les outils d’attaque par dictionnaire comprennent souvent des mots de passe connus, des mots de la langue française, des phrases tirées de livres, etc.

Attaques combinées de dictionnaires

En poussant l’attaque du dictionnaire encore plus loin et en ajoutant encore plus de complexité, les pirates informatiques peuvent combiner une liste de mots existants avec des chiffres de la même manière que les humains le feraient lors de la création de nouveaux mots de passe, par exemple en échangeant la lettre « e » avec « 3 ».

Cette technique est appelée « attaque par dictionnaire combiné », la base de données utilisée pouvant contenir des mots provenant d’un ou de plusieurs dictionnaires.

Attaques par dictionnaires hybrides à base de règles

L’attaque par dictionnaire hybride est la méthode qui consiste à prendre les mots figurant dans un dictionnaire et à les combiner avec une attaque par force brute en ajoutant trois chiffres à chaque entrée.

Vous obtiendrez des résultats tels que 111cybersecu jusqu’à 999cybersecu.

Cela peut prendre un certain temps pour obtenir des résultats. Du coup, en ajoutant quelques règles à la devinette du mot de passe, vous pouvez réduire le temps nécessaire pour le déchiffrer.

Cette méthode laisse une grande place à la créativité des pirates informatiques pour définir les règles que le logiciel de crackage de mots de passe appliquera.

Attaques de la table arc-en-ciel (Rainbow)

Une table arc-en-ciel est une table pré-compilée utilisée pour la récupération des hashs.

Chaque table arc-en-ciel est destinée à une longueur spécifique de mot de passe contenant un ensemble de caractères bien définis.

Cette technique vise à réduire le temps de devinette mais est limitée aux mots de passe ne dépassant pas 9 caractères et aux hashs sans sel de mot de passe.

Attaque Rainbow (arc-en-ciel)
Attaque Rainbow (arc-en-ciel)

Attaques de chaînes de Markov

Pour utiliser la technique des chaînes de Markov, les pirates informatiques doivent :

  • assembler une  base de données de mots de passe
  • diviser chaque mot de passe en syllabes de 2 et 3 caractères
  • développer un nouvel alphabet où ces différents éléments agissent comme des lettres
  • le faire correspondre à la base de données de mots de passe existante
  • fixer un seuil d’occurrences et sélectionner uniquement les lettres du nouvel alphabet qui apparaissent un nombre minimum de fois
  • combiner ces lettres en mots d’une longueur maximale de huit caractères et les utiliser comme dans une attaque par dictionnaire

Comment retrouver un mot de passe Wifi sur Android

Outils pour cracker des mots de passe

Il s’agit de logiciels qui sont utilisés pour cracker les mots de passe des utilisateurs.

Le site www.onlinehashcrack.com

Le site web https://www.onlinehashcrack.com/ utilise une table arc-en-ciel pour cracker les mots de passe.

Son but est de pouvoir cracker votre hash. Quelques techniques telles que Rainbow, Hybrid, Wordlists et Bruteforce sont utilisées pour cracker un hash.

Attention :
Tout hash cracké contenant 8 caractères ou plus nécessitera un paiement de 15€ pour révéler le mot de passe alors que tout ce qui contient moins de 8 caractères reste gratuit.

Vous devrez entrer une adresse électronique valide pour recevoir une notification lorsque le processus de crackage sera terminé et pour accéder à une URL privée contenant le résultat.

En plus du crackage des hashs MD5, le site peut aussi cracker les fichiers WPA/WPA2 avec l’extension *.cap ou *.pcap. Un service d’identification des hachages est utile pour déterminer le type de hachage utilisé.

Alternatives gratuites

Saisie du mot de passe sur Android
Saisie du mot de passe sur Android

John The Ripper

John The Ripper utilise l’invite de commande pour cracker les mots de passe.

Il convient donc aux utilisateurs avancés qui sont à l’aise avec les commandes. Il utilise une liste de mots pour cracker les mots de passe. Le programme est gratuit, mais la liste de mots doit être achetée.

Il dispose de listes de mots alternatives gratuites que vous pouvez tenter d’utiliser.

Cain & Abel

Cain & Abel ne fonctionne que sur Windows.

  • Il est utilisé pour récupérer les mots de passe des comptes utilisateurs
  • récupérer des mots de passe Microsoft Access
  • le reniflage de réseau
  • etc.

Contrairement à John the Ripper, Cain & Abel utilise une interface utilisateur graphique. Il est très répandu parmi les débutants en scripts en raison de sa simplicité d’utilisation.

Ophcrack

Ophcrack est un cracker de mots de passe multiplateforme qui utilise les tables arc-en-ciel pour cracker les mots de passe.

  • Il fonctionne sous Windows
  • Linux
  • et Mac OS

Il dispose également d’un module pour les attaques par force brute, entre autres fonctionnalités.

Aircrack-NG

Aircrack-NG est un outil de crackage de mots de passe WiFi qui peut craquer les mots de passe WEP ou WPA.

Il analyse les paquets chiffrés du réseau sans fil et tente ensuite de cracker les mots de passe grâce à son algorithme de crackage.

Il est disponible pour les systèmes Linux et Windows. Un CD live de Aircrack est également disponible.

Ici les tutoriels pour utiliser AirCrack NG

Hoverwatch

Dédié uniquement aux téléphones Android, Hoverwatch est un keylogger silencieux. Une fois installé dans un téléphone, il vous envoie sur votre serveur dédié ce qui se tape au clavier, dont les mots de passe tapés par l’utilisateur.

Au passage, il vous envoie également la géolocalisation du téléphone en temps réel ainsi que les discussions sur les principaux réseaux sociaux.

Alternative pour iPhone, elle aussi en mode « furtif »

mSpy

Voir ici notre liste d’applications de hackers uniquement disponibles sur Android

Crackez votre premier mot de passe

Dans ce scénario pratique, nous allons pirater un compte Windows avec un simple mot de passe.

Windows utilise des hachages NTLM pour chiffrer ses mots de passe. Pour ce faire, nous utiliserons l’outil de crackage NTLM de Cain et Abel.

Le cracker de Cain et Abel peut être utilisé pour cracker les mots de passe à l’aide de:

  • Attaque par dictionnaire
  • Force brute
  • Cryptanalyse

Nous utiliserons l’attaque par dictionnaire dans cet exemple. Vous devrez télécharger la liste de mots d’attaque par dictionnaire suivant: 10k-Most-Common.zip.

Pour cette démonstration, nous avons créé un compte appelé Accounts avec le mot de passe qwerty sur le système d’exploitation Windows.

Comment cracker le mot de passe d’une application

Étapes de crackage du mot de passe avec Cain et Abel

  • Ouvrez Cain et Abel, vous obtiendrez l’écran principal suivant
  • Assurez-vous que l’onglet « cracker » est sélectionné comme indiqué ci-dessus
  • Cliquez sur le bouton Ajouter de la barre d’outils
  • La fenêtre de dialogue apparaîtra
  • Les comptes des utilisateurs locaux seront affichés comme suit
  • Notez que les résultats affichés seront ceux des comptes d’utilisateurs sur votre machine locale.
  • Faites un clic droit sur le compte que vous voulez cracker. Pour ce tutoriel, nous utiliserons Accounts comme compte d’utilisateur.
  • Cliquez avec le bouton droit de la souris sur la section du dictionnaire et sélectionnez Ajouter à la liste
  • Naviguez jusqu’au fichier .txt (10k) que vous venez de télécharger
  • Cliquez sur le bouton de démarrage
  • Si l’utilisateur a utilisé un mot de passe simple comme qwerty, vous devriez obtenir les résultats suivants:
Comment cracker le mot de passe d'une application
1ère étape
l'outil de crackage NTLM de Cain et Abel
2ème étape
Cain et Abel crackage mot de passe.png
3ème étape
Cain et Abel crackage de mot de passe 2
4ème étape
Remarque:

Le temps nécessaire pour cracker le mot de passe dépend de la force, de la complexité et de la puissance de traitement de votre machine.

Si le mot de passe n’est pas cracké par une attaque par dictionnaire, vous pouvez essayer une attaque par force brute ou par cryptanalyse.

Voir aussi

Comment pirater le mot de passe d’Instagram aujourd’hui ?

Logiciels pour cracker un mot de passe
Sending
Pour nous encourager merci de noter l'article !
3.33 (3 votes)

Cet article fait partie de la rubrique: Guides - Espionnage

Logiciel espion n° 1

MSpy espionne les réseaux sociaux et les conversations

Offre CyberDeal 2020 pour la fin d'année

Mspy offre Blackfriday 2020 fin d'année

Rapide biographie de l’auteur

Diplômée d'un Bachelor Bac+3 Communication à l'Université de Strasbourg, Agnès Michaud a créé Untelephone.com en 2010. Elle y publiait des guides d'information sur les moyens d'utiliser nos téléphones portables dans le but d'améliorer nos relations amoureuses et familiales.

Au fur et à mesure, l'équipe d'unTelephone a décidé de montrer comment tirer le meilleur parti de la vie en utilisant pleinement les produits Apple, Android, leurs applications et les appareils qui leur sont connectés. Avec des guides d'achat détaillés, des guides d'aide, des recommandations de produits par des experts et des conseils opportuns, unTelephone.com s'assure que vous ayez tout ce dont vous avez besoin !

Agnès est une femme qui se serait épanouie au temps des Lumières : elle écrit des nouvelles, des critiques et des guides pratiques en tant que rédactrice en chef d'UnTelephone. Elle a commencé à travailler sur ce blog en 2010 avec la passion de résoudre les problèmes techniques et d'aider les autres à mieux comprendre leurs appareils. Son amour des gadgets et des bidules et son affinité pour expliquer les choses d'une manière que votre mère pourrait comprendre sont ce qui lui donne un sentiment d'accomplissement chaque jour.

Elle discute régulièrement avec les développeurs du secteur et passe trop de temps à jouer à des jeux vidéo sur Nintendo Switch. Si elle n'est pas en train d'écrire un article sur le dernier logiciel espion du moment, vous pouvez probablement la trouver à Disneyland Paris ou en train de regarder Star Wars (ou les deux en même temps).

2 Comments

  1. King kadyyy 16 août 2020

    J’ai oublié mon mot de passe

    Répondre
    • Agnès Michaud 17 août 2020

      ➡️ Vous connaissez l’adresse électronique qui se trouve sur votre compte:

      ➡️ Cliquez sur le bouton « Login » sur la page d’accueil, puis choisissez le lien « Mot de passe oublié » dans la fenêtre contextuelle, située juste en dessous du bouton « Login »

      ➡️ Vous devrez alors saisir l’adresse électronique valide associée à votre compte actif.

      ➡️ Une fois que vous aurez saisi votre adresse électronique et cliqué sur « Réinitialiser votre mot de passe », un courriel contenant un lien pour réinitialiser votre mot de passe vous sera envoyé.

      ➡️ Veuillez vérifier votre adresse électronique immédiatement, car le lien expire après 48 heures.

      ➡️ Vous ne connaissez pas l’adresse électronique associée à votre compte:

      ➡️ Contactez l’équipe d’assistance

Leave a Reply

© UNTELEPHONE.COM blog français depuis 2010 » Pinterest » Facebook » Twitter » Newsletter