Menu Fermer

Les attaques par brute-force : cracker un mot de passe

Les attaques par brute-force viser à tenter de cracker les mots de passe.
En général, ces derniers sont sous la forme d’un hash ou empreinte numérique.
On peut alors tenter de casser celle-ci.
Il s’agit souvent de tenter successivement un mot de passe jusqu’à trouver le bon.
Cela peut se faire à partir d’un dictionnaire ou des combinaisons de lettres, chiffres et caractères successives.

Voici un guide complet concernant ce type de cyberattaque, qu’est-ce que les attaques par brute-force et comment s’en protéger.

Les attaques par brute-force : cracker un mot de passe

Les attaques par brute-force : comment ça marche ?

Les attaques par brute-force consistent à trouver un mot de passe ou une clé à travers des tentatives successives.
Il s’agit donc de casser le mot de passe en tentant des combinaisons successives jusqu’à trouver la bonne.
Cela peut aller de tentatives alphanumériques : a, aa aaa, ab, abb, abbb etc.
ou partir d’un dictionnaire de mot de passe les plus souvent utilisés.

Les services des serveurs sur internet sont particulièrement visés à travers des ordinateurs qui envoient des requêtes successives sur internet.
Dans ce cas précis, des noms d’utilisateurs courants sont tentés : root, admin, administrator, demo, john etc.
Et des mots de passe courant : 1234, admin, fuck etc
Des ordinateurs infectés envoient des requêtes en continuent pour tenter de trouver des comptes en ligne “faciles”.

On distingue donc les attaques online qui s’attaquent à des services internet (WEB, FTP, SSH, Mail).
Les attaques dit offline, pour casser un mot de passe d’un zip, d’un utilisateur d’un OS ou autres.
Ces attaques locales peuvent aussi viser des comptes en ligne récupérés.. ou un hash d’un compte administrateur récupéré par une injection SQL.

Les mots de passe hachés

Mais aussi des mots de passes hachés ou chiffrés qui peuvent avoir été récupérés depuis des Piratage/Hack : massif de comptes en ligne.
Le but étant de trouver le mot de passe à partir de son hash/version chiffrée.
Une fois la base récupérée, l’attaquant peut attaquer les comptes en local puisqu’il possède la base de données et donc tous les hashs.
Il existe même des bases de données de conversion version chiffrées (MD5, SHA1 etc) <> mot de passe.

Bruteforce pour trouver un mot de passe à partir de son hash md5, etc

Certains protocoles peuvent être plus faciles à cracker, à cause de faiblesse.
En clair donc, des faiblesses peuvent aider à cracker plus facilement des mots de passe.
Notamment le protocole WEP (Wired Equivalent Privacy) pour les réseaux Wifi, le point d’accès répondait systématiquement à tout paquet sans limite de quantité, permettant ainsi une meilleure efficacité avec l’augmentation des vitesses des points d’accès.

Dans le premier lien donné, en introduction, le système bancaire VISA, ne possède aucune protection contre les tentatives.
Ainsi, vous pouvez envoyer un nombre illimité de requêtes sans que le système ne vous bloque.
Vous pouvez donc plus facilement trouver la clé CVV.

Pour les attaques par brute-force en offline, cela peut concerner des mots de passe de fichiers archives (zip, rar etc).
Mot de passe de compte Windows etc.

Bref, les attaques par brute-force peuvent être effectuées sur tout ce qui contient un mot de passe ou une clé d’accès.

Enfin, il existe aussi des attaques plus complexes contre des algorithmes de chiffrement, notamment une avait été utilisé permettant la récupération de fichiers du ransomware TeslaCrypt : Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Quelques exemples d’attaque sur les mots de passe

Plusieurs intérêts, récupérer l’accès à une machine pour effectuer des opérations malicieuses, comme héberger du contenu malicieux.
Récupérer des données ou encore d’autres accès par rebond sur un réseau.

Cracker mot de passe Windows par Brute-Force

Il existe bien entendu des outils pour cracker un mot de passe Windows.
S’il s’agit d’une perte de mot de passe, il est beaucoup plus rapide de changer ce dernier, au lieu de tenter de le trouver : Réinitialiser le mot de passe perdu ou oublié sur Windows 10.

Ophcrack est par exemple un programme qui permet de cracker les mots de passe Windows.
Le principe est simple, on extrait les NTLM Hash depuis le Security Account Manager (SAM).
Ophcrack se base sur les tables arc-en-ciel pour cracker ces hash et ainsi trouver le mot de passe de l’utilisateur Windows.

Cracker mot de passe Windows avec Ophcrack

Vous trouverez plus bas dans ce tutoriel un exemple de tentative de cracks pour illustrer l’importance des mots de passe complexes.

Cracker le mot de passe d’un fichier PDF ou ZIP, RAR ou 7z par BruteForce

On peut protéger l’accès aux fichiers PDF, ZIP, RAR et 7z en ajoutant un mot de passe.
Cela chiffre le fichier (souvent en AES) et le mot de passe sert de clé de déchiffrement.
J’en parle dans ces articles :

Les attaques par Bruteforce peuvent aider à trouver le mot de passe faible.
Il existe des outils gratuits comme John The Ripper, Hashcat, Kraken.
Mais aussi des payants.

Ici on trouve le mot de passe d’un PDF facilement car à 4 lettres.

Récupérer le mot de passe perdu ou oublié d'un PDF avec John the Ripper

Plus de détails :

Même chose ci-dessous avec le mot de passe d’un fichier compressé 7z.

Comment retrouver le mot de passe d'un fichier RAR, ZIP ou 7z oublié ou perdu avec Kraken

Brute-force WordPress

Le Brute-force WordPress consiste à envoyer des requêtes sur des sites WordPress afin de trouver des comptes utilisateurs.
En général, l’utilisateur par défaut est admin.
L’utilisateur peut aussi être trouvé facilement, puisqu’il apparaît en auteur des posts.

Des malwares Windows ont aussi été utilisés pour effectuer ces attaques bruteforce sur WordPress.
Vous trouvez des informations sur la page : Les attaques brute force contre WordPress

BruteForce contre WordPress

Sathurbot en vidéo avec le mode de propagation avec les attaques par brute force contre WordPress et l’injection de DLL :

Brute-force SSH

Tout serveur reçoit des tentatives de bruteforce SSH, c’est le protocole le plus visé.
Les utilisateurs visés sont souvent des utilisateurs par défaut comme root ou admin ou des prénoms américains.

Ci-dessous, un exemple d’attaque bruteforce sur le service SSH :

BruteForce SSH
BruteForce SSH

Des Trojan.PsyBNC qui avaient été installés suite à des attaques Bruteforce SSH.
Ce tweet et celui-là montrent que le but était de les louer ou de les vendre.

Les chinois raffolent des attaques Bruteforce SSH, FTP etc. Lorsqu’ils arrivent à pénétrer, ils installent des backdoors Linux pour se constituer un botnet afin d’effectuer différents types d’attaques DoS / DDoS. L’Operation Distributed Dragon en est un bel exemple.

Bref, cela permet d’installer des malwares/virus pour Linux.

Pour s’en protéger :

Brute-force compte mail

Les comptes mails sont très intéressant pour les cybercriminels puisqu’ils peuvent être utilisés pour spammer depuis un serveur “sain”, c’est à dire n’étant pas blacklisté.
Sachant que les comptes postmaster ou webmaster sont très courants, ils peuvent faire l’objet d’attaque par brute-force sur le SMTP.
Si l’attaquant parvient à casser le mot de passe, il est alors possible d’envoyer des mails de SPAM depuis cette adresse.

Brute-force RDP / VNC

Il s’agit ici de récupérer des accès à des machines, soit pour effectuer des opérations de vols, soit de rebonds selon si on tombe sur un réseau.
Dernièrement les terminal serveur avec des comptes ayant des mots de passe faibles ont été visés.
Si l’attaquant obtient un accès administrateur, il installe un ransomware, Les ransomwares .XTBL ont été particulièrement actifs de ce côté là.

Le filtrage de ces services et une bonne gestion pour ce type de service est donc de mise.

Des logiciels pour cracker des hashs et attaque par brute force

Dans cet article, nous avons vu OpCrack.
Mais il existe aussi d’autres logiciels.
Il existe par exemple John the ripper.

Mais on peut aussi utiliser hashcat qui est capable d’utiliser le GPU de la carte graphique pour accélérer le burteforce.
Il existe d’ailleurs un article sur ce dernier sur le site :

Se protéger des attaques par brute force

Voici un article et guide complet pour se protéger de ces attaques par internet.