Le cracking de mots de passe est incontournable après une brèche sur une base de données afin de rendre ces derniers exploitables pour les cybercriminels. Une étude révèle les outils les plus utilisés pour cracker les mots de passe piratés.

Infosec Institute a révélé quels sont les 10 outils les plus populaires chez les pirates informatiques pour cracker un mot de passe. Découvrez ci-dessous la liste complète de ces outils, fruit du travail du chercheur Pavitra Shankdhar, et utilisez-la pour mieux vous protéger contre ce type d’attaque.

Cracker un mot de passe est simple

C’est un fait réel, qui s’avère se vérifie dans la plupart des cas. Beaucoup d’algorithmes utilisés pour protéger les mots de passe en base de données sont faibles (MD5, SHA1, SHA2, etc) ou mal implémentés, même si la tendance va en s’améliorant, avec l’utilisation de “salt” ou “grain de sel” et de techniques de hashing plus complexes. En cas de fuite de données via une injections SQL par exemple, un cybercriminel aura alors recours à ce type d’outil.

Connaître les outils de cracking permet de mieux cerner l’ennemi et ainsi, préparer sa défense plus efficacement. Pourquoi ne pas tester la force de vos précieux mots de passe en conditions réelles d’attaque ? Cet article n’a bien entendu pas pour but d’inciter au piratage mais bien à la protection des données personnelles et à l’utilisation de mots de passe forts. Ces outils sont disponibles publiquement sur le Web et doivent sensibiliser sur la nécessité d’utiliser un mot de passe fort, même si cela implique d’utiliser un gestionnaire de mot de passe sécurisé.

Avec l’avènement de cartes graphiques (GPU) toujours plus puissantes, le cracking de mot de passe va de plus en plus vite, comme l’a démontré récemment un chercheur avec la dernière bombe de NVIDIA, la 1080 GTX !

1. Brutus

Il s’agit probablement de l’outil de plus populaire. Il fonctionne sous Windows, est rapide et flexible. Il n’a pas été mis à jour depuis des années mais peut néanmoins être utile.

2. RainbowCrack

Cet outil qui tourne sur Windows et Linux est connu pour être plus rapide que les outils qui utilisent la traditionnelle méthode de cracking dite force brute. Certaines ressources sont gratuites mais pour aller plus loin, des tables payantes sont également disponibles.

3. HashCat

HashCat est aujourd’hui l’un des principaux et plus puissant programme de cracking de mots de passe au monde. Il s’est encore amélioré récemment et est maintenant capable de craquer des mots de passe d’un maximum de 55 caractères, y compris via les algorithmes utilisés par TrueCrypt, LastPass, Samsung et Android. Il gère parfaitement les attaques exploitant la puissance phénoménales des GPU actuels.

4. Wfuzz

Wfuss est une application web qui utilise la méthode force brute. L’outil permet aussi de trouver des ressources cachées telles que des répertoires ou des scripts.

5. Cain et Abel

Cain and Abel est également un outil connu. Il tourne sous Windows et a été développé pour les administrateurs de réseaux, les professionnels de la sécurité et les testeurs.

6. John the Ripper

John the Ripper est un outil open source disponible sous Linux, Unix et Mac OS X. L’outil permet de détecter les mots de passe qui sont faibles. Une version pro de l’outil est également disponible.

7. THC Hydra

THC Hydra est un outil de cracking connu pour être rapide et performant. Il est disponible sur Windows, Linux, Free BSD, Solaris et OS X. Les développeurs peuvent également participer au développement de l’outil.

8. Medusa

Medusa est assez similaire à l’outil THC Hydra. Pour l’utiliser, il faut connaître le principe des lignes de commande. En local, l’outil peut tester 2 000 mots de passe par minute ou plus selon le processeur.

9. OphCrack

OphCrackest un outil de cracking disponible sous Windows, Linux et Mac. L’outil est gratuit et sa spécialité est le mots de passe Windows. L0phtCrack est quant à lui une alternative à OphCrack. Il permet également de réaliser des audits via des routines de scan à paramétrer quotidiennement, de manière hebdomadaire ou encore mensuelle.

10. Aircrack-NG

Aircrack-NG permet de cracker les mots de passe WiFi. L’outil est disponible sous Linux et Windows.

Pensez à générer des mots de passe forts à l’aide de cet outil et utilisez si possible l’authentification forte à double facteur pour les sites et services les plus sensibles.