Article de référence | Réf : TE7725 v1

Audit des mots de passe en pratique avec hashcat
Audit Sécurité - Casser du « hash » avec intelligence

Auteur(s) : Laurent LEVIER

Relu et validé le 29 sept. 2021

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

RÉSUMÉ

L’omniprésence des mots de passe dans le monde de l’Information et leur fréquente pauvreté permettant le piratage des droits d’accès rendent nécessaire l'audit de ceux-ci. Mais un mot de passe est souvent stocké sous une forme cryptographique (un «hash») qui ne se décode pas. La seule approche consiste alors à tester chaque possibilité, on parle d’attaque par force brute (Brute Force Attack=BFA).Cet article présente comment monter une telle solution évolutive à base de processeurs graphiques performants bon marché et optimiser son attaque pour en augmenter l’efficacité, mais également comment améliorer la qualité des mots de passe.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Laurent LEVIER : Officier de Sécurité - Opérateur de Télécommunications international

INTRODUCTION

Notre histoire commence dans les années 1970. Le mot de passe était alors un petit rien, considéré comme une contrainte inutile que chacun devait subir et traitait avec négligence, voire dédain. En ces temps lointains, il était le plus souvent vide ou identique au login ou prénom de l’utilisateur et rarement plus élaboré. Avec la digitalisation galopante et la progression des techniques et tentatives de piratage, il est à présent de plus en plus convoité, omniprésent qu’il est devenu, et ne pouvant plus rester simpliste par le pouvoir qu’il véhicule. D’un mot de passe pour tout, nous sommes arrivés à l’ère d’un pour chaque utilisation, avec un minimum obligatoire de qualité.

Dans les premières années des réseaux locaux puis d’Internet, le mot de passe était encodé dans les unités de stockage avec des algorithmes qui, de nos jours, feraient sourire. Mais, à l’époque, les techniques d’attaques cryptographiques réclamaient une puissance de calcul indisponible au grand public. De plus, ces mots de passe étaient si simples, personne ne comprenant encore l’importance de ceux-ci, que souvent une simple attaque de dictionnaire, même faite manuellement, suffisait. De nos jours, les processeurs graphiques (GPU) spécialisés permettent, pour un coût restant modeste, de disposer d’une puissance de calcul largement suffisante pour attaquer la plupart des algorithmes cryptographiques dans des délais raisonnables. La technologie logicielle suit également, permettant de pouvoir fabriquer sa propre machine « à casser du mot de passe » ou, plus généralement, des hash.

Par ailleurs, et au-delà de ces aspects purement techniques, ce mot de passe est défini le plus souvent par des individus régis par des comportements psychologiques stéréotypés découlant de leur parcours personnel, qu’il soit éducatif, culturel ou émotionnel. Ces facteurs d’influence vont considérablement modeler les mots choisis au départ ainsi que les transformations éventuelles qui pourraient être imposées par une politique de sécurité, selon les termes mêmes de cette politique et sa présentation dans le formulaire de saisie. Une étude sur des milliers d’utilisateurs internationaux a permis d’établir des hypothèses, dont la validation progresse rapidement, quant à la forme finale qu’aura le mot de passe, permettant ainsi de grandement améliorer les performances de l’attaque par force brute.

De nos jours, le mot de passe est toujours le mal-aimé du monde informatique et il n’existe pas pléthores de moyens de garantir sa qualité et donc la protection des accès à l’information.

En amont, au moment de la saisie, il est possible d’indiquer des contraintes de qualité et de contrôler les mots de passe proposés, les propositions inacceptables étant alors purement et simplement bloquées.

Une autre solution, consiste en aval à s’assurer de la qualité du mot de passe choisi. Malheureusement cette solution pose problème car l’algorithme cryptographique utilisé pour le stockage du mot de passe n’est pas réversible. En effet l’algorithme ne permet pas de décoder le hash pour retrouver le texte clair. Il faut alors utiliser des techniques dites de « cassage ».

Cet article s’adresse au lecteur désireux de connaître la version en texte clair d’un mot de passe (particulièrement) sans avoir les moyens de le décoder. Il a pour objectif de fournir les éléments théoriques et pratiques permettant au lecteur de construire sa propre solution de « cassage » de mots de passe, selon les moyens dont il dispose, et de la mettre en œuvre pour auditer (en aval) la qualité des mots utilisés pour sécuriser ses accès ou ses données. Le premier chapitre présente simplement le fonctionnement de la technique de cassage cryptographique et les schémas psychologiques mis en œuvre par l’individu lors du choix d’un mot de passe, ce qui a pour avantage d’optimiser la méthode. Le second chapitre présente une solution matérielle à base de cartes graphiques du marché avec l’utilisation de logiciel pour retrouver les mots de passe définis au départ par les individus, et évaluer leur qualité a posteriori. À partir de là, il est possible de placer des contraintes de qualité bloquantes pour augmenter cette qualité et ainsi réduire le risque de piratage.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7725


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais English

3. Audit des mots de passe en pratique avec hashcat

Nous avons à présent tout le nécessaire pour passer à l’action. Nous avons des outils informatiques matériels et logiciels avec une ou plusieurs cartes graphiques et le logiciel hashcat. Nous avons également des dictionnaires prêts à l’emploi, parfois regroupés dans un fichier unique au besoin et nous connaissons les points d’influence pour optimiser notre technique et nous avons bien sûr une base de données de hash à casser.

Familiarisons-nous en premier lieu avec le logiciel, en le lançant en mode assistance pour découvrir les innombrables options :

# hashcat -h

L’affiche produit se découpe alors en chapitres principaux :

  1. Les arguments et leur fonction qu’accepte la commande pour exécuter sa mission ;

  2. Les formats cryptographiques reconnus (dits « hash modes ») et leur catégorie ;

  3. Les formats des fichiers de résultat produits ;

  4. Le format des affichages destinés au débogage ;

  5. Les différentes attaques possibles ;

  6. Les jeux de caractères possibles dans l’attaque (chiffre, signe, lettre…) ;

  7. Le type de processeur à utiliser (CPU, GPU…) ;

  8. La puissance qui sera mise en œuvre ;

  9. Enfin, quelques exemples.

Nous allons commencer par une attaque par force brute (aucun dictionnaire n’est donc nécessaire). Le point de départ le plus complexe est d’identifier le format du hash. À ce sujet, le lecteur est livré à lui-même : il sait d’où provient son hash et dispose d’une liste très complète dans la Wiki de Hashcat, partie « example hashes ». Idéalement, il dispose pour valider d’une paire hash/texte_clair, c’est-à-dire d’un hash dont le mot en clair est connu qu’il pourra casser instantanément pour valider le bon format, en créant un dictionnaire d’une ligne unique correspondant au texte_clair.

3.1 Attaque par force brute

La recette de cuisine minimaliste exige :

  1. Un fichier de hash(es) à casser dont l’algorithme cryptographique a été identifié ;

  2. Un spectre de cassage (taille du mot en clair et variété des caractères).

Dans le cas par exemple d’une attaque vers un fichier contenant des hash...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

TEST DE VALIDATION ET CERTIFICATION CerT.I. :

Cet article vous permet de préparer une certification CerT.I.

Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.

Obtenez CerT.I., la certification
de Techniques de l’Ingénieur !
Acheter le module

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Audit des mots de passe en pratique avec hashcat
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - MUJTABA (H.) -   NVIDIA Pascal GP100 GPU Benchmarks Unveiled – Tesla P100 Is The Fastest Graphics Card Ever Created For Hyperscale Computing.  -  Wccftech (2016). http://wccftech.com/nvidia-gp100-gpu-tesla-p100-benchmarks/

DANS NOS BASES DOCUMENTAIRES

1 Outils logiciels

Passmark – Videocard Benchmarks- Over 800,000 Video Cards Benchmarked

http://www.videocardbenchmark.net

Hashcat – Advanced password recovery

https://hashcat.net/hashcat/

bcrypt

https://www.bcrypt.fr/

HAUT DE PAGE

2 Sites Internet

NVIDIA – Carte graphique GTX 1080

http://www.nvidia.fr/graphics-cards/geforce/pascal/gtx-1080/

UBUNTU

https://www.ubuntu.com/

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Sommaire

QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE

1/ Quiz d'entraînement

Entraînez vous autant que vous le voulez avec les quiz d'entraînement.

2/ Test de validation

Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.

Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS