Tweet
Le « CRACKAGE » DE MOTS DE PASSE :
Les mots de passe sont très important parce qu’ils sont la première ligne de défense contre les
attaques sur un système.
Ceci peut être établit simplement : si un hacker ne peut pas interagir sur un système distant et qu’'il ne peut pas ni lire ni écrire dans le fichier des mots de passe alors il n’a quasiment aucune chance de développer une attaque couronnée de succès sur ce système.
C’est également pourquoi, si un hacker peut au moins lire le fichier des mots de passe sur un ordinateur distant, il aura aussi la possibilité de cracker un des mots de passe contenu dans ce fichier. Si il en parvient, alors on peut penser qu’il pourra se connecter sur ce système et qu’il pourra s’introduire en tant qu’'administrateur en passant par un trou de sécurité dans le système d’'exploitation.
La manière la plus classique qu’un hacker va essayer d’obtenir un mot de passe est
par l’intermédiaire d’une attaque avec un dictionnaire.
Dans ce genre d’'attaque, le hacker utilise un dictionnaire de mots et de noms propres, et il les essaie un à un pour vérifier si le mot de passe est valide. Bien évidemment, ces attaques ne se font pas « à la main », mais avec des programmes qui peuvent deviner des centaines voire des centaines (voire plus) de mots de passe à la seconde.
Ce procédé est d’autant plus facile, qu’il lui permet de tester des variations sur ces mots : mots écrits à l'’envers, majuscules et minuscules dans le mot, ajout de chiffres à la fin du mot, etc ...
De plus la communauté des hackers a construit de gros dictionnaires spécialement conçus pour cracker les mots de passe. En utilisant des mots de langues étrangères, ou des noms de choses, de personnes ou encore de villes, n’est d’aucun effet contre ces dictionnaires. Le plus connu des programmes utilisé pour cracker les mots de passe est « Crack4.1 » avec son dictionnaire de 50 000 mots.
La réponse est toute simple et s'’appelle “Brutus. ”
C’est un freeware surpuissant et très pratique qui intègre toutes les fonctionnalités nécessaires à un bon hack :
- Possibilité de définir une adresse web HTTP, FTP, mail, Netbios (serveur réseaux), Telnet etc….
- Choix du port en fonction du type d’attaque
- Choix du nombre de connections simultanées
- Choix de la durée d’un “timeout” (durée d’inactivité) entre plusieurs attaques afin d’éviter de se faire repérer
- Pour encore plus brouiller les piste, vous pouvez définir un serveur proxy (cliquez ici pour en trouver)
- Attaque par brute force (toutes les combinaisons possibles), par dictionnaires d’users et de mots de passe, ou mots de passe sur un user défini…
- Et le must du must, on peut mettre pause pendant une attaque
Enfin, afin d’optimiser la vitesse pour trouver le mot de passe , il est préconisé d’avoir de bonne listes que l’on appelle dictionnaire. Les listes pertinentes ne sont pas évidentes à trouver mais il y en a.
Voici, quelques sources pour vous aiguiller :
-Oxford Uni Wordlists : ftp://ftp.ox.ac.uk/pub/wordlists/
-The Argon Wordlists : http://theargon.com/achilles/wordlists/
-Totse Word Lists : http://www.totse.com/en/hack/word_lists/index.html
-Wordlists for bruteforce crackers :
http://www.securinfos.info/wordlists_dictionnaires.php
-Openwall Wordlists Collection : http://www.outpost9.com/files/WordLists.html
-Outpost9 Word lists : http://packetstormsecurity.org/Crackers/wordlists/
Les mots de passe sont très important parce qu’ils sont la première ligne de défense contre les
attaques sur un système.
Ceci peut être établit simplement : si un hacker ne peut pas interagir sur un système distant et qu’'il ne peut pas ni lire ni écrire dans le fichier des mots de passe alors il n’a quasiment aucune chance de développer une attaque couronnée de succès sur ce système.
C’est également pourquoi, si un hacker peut au moins lire le fichier des mots de passe sur un ordinateur distant, il aura aussi la possibilité de cracker un des mots de passe contenu dans ce fichier. Si il en parvient, alors on peut penser qu’il pourra se connecter sur ce système et qu’il pourra s’introduire en tant qu’'administrateur en passant par un trou de sécurité dans le système d’'exploitation.
La manière la plus classique qu’un hacker va essayer d’obtenir un mot de passe est
par l’intermédiaire d’une attaque avec un dictionnaire.
Dans ce genre d’'attaque, le hacker utilise un dictionnaire de mots et de noms propres, et il les essaie un à un pour vérifier si le mot de passe est valide. Bien évidemment, ces attaques ne se font pas « à la main », mais avec des programmes qui peuvent deviner des centaines voire des centaines (voire plus) de mots de passe à la seconde.
Ce procédé est d’autant plus facile, qu’il lui permet de tester des variations sur ces mots : mots écrits à l'’envers, majuscules et minuscules dans le mot, ajout de chiffres à la fin du mot, etc ...
De plus la communauté des hackers a construit de gros dictionnaires spécialement conçus pour cracker les mots de passe. En utilisant des mots de langues étrangères, ou des noms de choses, de personnes ou encore de villes, n’est d’aucun effet contre ces dictionnaires. Le plus connu des programmes utilisé pour cracker les mots de passe est « Crack4.1 » avec son dictionnaire de 50 000 mots.
La réponse est toute simple et s'’appelle “Brutus. ”
C’est un freeware surpuissant et très pratique qui intègre toutes les fonctionnalités nécessaires à un bon hack :
- Possibilité de définir une adresse web HTTP, FTP, mail, Netbios (serveur réseaux), Telnet etc….
- Choix du port en fonction du type d’attaque
- Choix du nombre de connections simultanées
- Choix de la durée d’un “timeout” (durée d’inactivité) entre plusieurs attaques afin d’éviter de se faire repérer
- Pour encore plus brouiller les piste, vous pouvez définir un serveur proxy (cliquez ici pour en trouver)
- Attaque par brute force (toutes les combinaisons possibles), par dictionnaires d’users et de mots de passe, ou mots de passe sur un user défini…
- Et le must du must, on peut mettre pause pendant une attaque
Enfin, afin d’optimiser la vitesse pour trouver le mot de passe , il est préconisé d’avoir de bonne listes que l’on appelle dictionnaire. Les listes pertinentes ne sont pas évidentes à trouver mais il y en a.
Voici, quelques sources pour vous aiguiller :
-Oxford Uni Wordlists : ftp://ftp.ox.ac.uk/pub/wordlists/
-The Argon Wordlists : http://theargon.com/achilles/wordlists/
-Totse Word Lists : http://www.totse.com/en/hack/word_lists/index.html
-Wordlists for bruteforce crackers :
http://www.securinfos.info/wordlists_dictionnaires.php
-Openwall Wordlists Collection : http://www.outpost9.com/files/WordLists.html
-Outpost9 Word lists : http://packetstormsecurity.org/Crackers/wordlists/
Commentaire