Quand j’étais jeune responsable informatique, dans les années 1990, il existait une « tradition » chez les administrateurs réseaux de l’époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l’on gérait.
C’est ainsi que j’ai découvert le logiciel « crack« , librement distribué et partagé sur internet par les administrateurs réseaux.
C’est aussi à cette époque que j’ai compris l’intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.
Voici donc un billet sur les outils que j’utilise aujourd’hui dans les analyses que j’ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n’a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J’espère qu’il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.
Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de
ce type d’outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l’approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s’en servir à leur insu est réprimandée par la loi.
Bref, ce qui est mal est mal, ce qui est illégal est illégal…
S’il n’était mort il serait encore en vie.
Note à mes lecteurs issus ou nageant déjà dans l’univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs « mékeskidis » (© Maître Eolas) ou les simples curieux.
—————————————
0) L’outil magique, celui qui impressionne les amis : Ophcrack
Rendez-vous sur le site de téléchargement d’Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c’est plug and play.
Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande « dd » et transformées en VM par liveView.
Pour les plus motivés d’entre vous, il existe des « tables arc en ciel » en téléchargement plus ou moins libre sur internet, permettant d’améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs…
Ophcrack est un outil précieux lors des perquisitions, où l’on rencontre souvent du matériel sous Windows XP ou Windows 7.
Conseil aux administrateurs réseaux débutants: bloquez très vite le mode « boot sur CD » de tous les postes que vous administrez…
—————————————
1) L’ancêtre, celui qui fera de vous un barbu : crack
Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de « dictionnaires », le mot étant à prendre ici au sens de « liste de mots » (sans définition). J’ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J’ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d’utilisateurs…
Comme indiqué en préambule, c’est le premier programme que j’ai
utilisé dans le contexte d’analyse de la sécurité de mon réseau, pour
tester la validité des mots de passe choisis par les étudiants. Je
précise que je suis barbu avec modération. 20% des mots de passe
utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en
moins d’une heure. J’ai affiché dans le couloir du laboratoire
informatique la liste des mots de passe par ordre de découverte (sans le
nom du compte associé), avec obligation pour chaque étudiant de changer
leur mot de passe… Toute une époque 😉
Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique « Troll » de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.
C’est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m’en être servi depuis longtemps.
—————————————
2) La référence : John l’éventreur
John The Ripper, ou JTR, est l’une des références dans l’univers des briseurs de mots de passe. Bien qu’un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d’approche.
Il a surtout l’avantage de fonctionner dans beaucoup d’environnements: Windows, Linux, Mac OS, etc. C’est encore un logiciel basé sur des dictionnaires.
Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d’un salarié avec le mot de passe du patron dans un fichier texte…
—————————————
3) L’attaque à distance multi-protocoles : Hydra
Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d’analyse, voici le produit qu’il vous faut: THC-Hydra.
Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.
Le logiciel possède deux modes de fonctionnement: l’attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d’attaque par force brute.
—————————————
4) Le mot de passe BIOS oublié : PC CMOS Cleaner
Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.
Sinon, la vieille méthode dite de « la pile BIOS à enlever » marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d’un scellé.
—————————————
5) Efficace mais long : les emails
La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n’utilisent qu’un ou deux mots de passe, pour tous les systèmes d’authentification qu’ils rencontrent.
Il est donc très probable que l’utilisateur de l’ordinateur analysé ait choisi son mot de passe « habituel » pour s’enregistrer sur un site quelconque de téléchargement de démos, d’achats en ligne ou de webmail. Parmi tous les sites en question, il n’est pas rare que le mot de passe utilisé lors de la procédure d’inscription soit envoyé EN CLAIR dans l’email de confirmation de création du compte.
Il suffit donc d’analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d’emails du type « votre mot de passe est bien ZorroDu69, merci de conserver cet email » (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu’à les tester sur le compte ciblé pour trouver le bon.
C’est l’application d’une des bases de l’ingénierie sociale…
—————————————
Conclusion
L’amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu’ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu’ils résistent à une attaque par force brute. Je donne souvent l’exemple des premières lettres des mots d’une chanson ou d’un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C’est beau, c’est long, c’est bon, c’est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).
Mais attention, ce n’est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).
Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l’ANSSI, c’est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.
Du coup, vous n’avez à retenir vraiment qu’un seul mot de passe, jamais mis par écrit: celui de l’accès à KeePass. De plus, ce logiciel est à double authentification (présence d’un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !
Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l’esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu’il en soit: sit vis vobiscum !