Pour sécuriser les documents, on peut protéger les documents et fichiers par un mot de passe.
Notamment Adobe Reader PDF et d’autres lecteurs PDF permettent de protéger un fichier PDF en AES-128 bit AES-256 bit.
Cela empêche l’accès à ce dernier lorsque l’on ne connaît pas le mot de passe.
Mais on peut oublier ou perdre le mot de passe de son fichier PDF.
Impossible alors d’ouvrir et accéder au contenu du document PDF.
Cet article vous donne une solution pour récupérer le mot de passe perdu ou oublié d’un PDF.
Il s’agit ici de cracker le mot de passe d’un PDF.
Table des matières
Les logiciels payants pour récupérer ou supprimer un mot de passe perdu ou oublié d’un PDF
En parcourant le net, on trouve toutes sortes de logiciels pour retrouver le mot de passe perdu ou oublié d’un fichier PDF.
Deux types de logiciels :
- Les logiciels pour cracker le mot de passe du PDF
- Et les outils pour retirer et supprimer le mot de passe PDF. Mais pour ce faire, vous devez le connaître …
Par exemple Wondershare PDF Password Remover sans intérêt en cas de perte du mot de passe PDF.
ou encore PDF Passowrd Recovery qui permet lui d’effectuer un bruteforce mais il est payant.
Enfin on trouve des services en ligne.
Un site gratuit comme Online2PDF pour supprimer le PDF en ligne mais il faut le mot de passe.
Smallpdf propose de déverrouiller le PDF mais cela ne fonctionne pas, car il faut aussi connaître le mot de passe.
Je n’ai pas trouvé non plus de service fiable pour cracker le mot de passe d’un PDF.
Au final, la plupart ne fonctionnent pas ou vous devez payer pour avoir accès à toutes les fonctions.
Mais il existe aussi des solutions gratuits mais pas forcément simple à mettre en place.
Récupérer le mot de passe d’un PDF perdu ou oublié
La méthode consiste à effectuer une attaque par bruteforce.
Il existe pour cela, deux logiciels : John The Ripper et Hashcat.
Enfin il y a aussi des outils dédiés aux mots de passe PDF présentés plus bas.
On parle alors de cracker le mot de passe.
Les étapes pour trouver le mot de passe d’un fichier PDF
- Récupérer le hash du mot de passe PDF
- Utiliser John the Ripper ou hashcat
- Puis tenter de casser le hash afin de retrouver le mot de passe PDF
Il existe plusieurs niveaux de chiffrement selon la version d’Adobe Reader.
Le hachage du mot de passe diffèrent alors selon le niveau.
Version d’Adobe Reader et PDF | Chiffrement | Début du hash |
Acrobat 2 à 4 (PDF 1.1, 1.3) | 40-bit | $pdf$1240* |
Acrobat 5 (PDF 1.4) | 128-bit | |
Acrobat 5, 7, 8 (PDF 1.4 – 1.6) | 128-bit AES encryption | $pdf$23128* |
Acrobat 9 (PDF 1.7) | 256-bit AES encryption | $pdf$55256* |
Acrobat 10 – 11 (PDF 2.0) | 256-bit AES encryption | $pdf$56256* |
Plus la longueur de la clé est importante et le mot de passe complexe, plus la récupération du mot de passe du PDF sera longue et compliquée.
A l’inverse, pour les vieux PDF, c’est facile de trouver son mot de passe.
Je vous conseille de suivre les températures de votre PC : Connaître les températures CPU, GPU, SSD et disque dur de votre PC
Retrouver le mot de passe PDF avec John The Ripper
Le premier outil consiste à cracker e mot de passe PDF par une attaque bruteforce avec John The Ripper.
Ce dernier étant un outil en ligne de commandes pour Windows et Linux qui permet de cracker beaucoup de mot de passe.
Le succès de la récupération du mot de passe dépend de sa complexité.
Plus il est fort, plus cela prendra du temps.
Ici j’ai tenté de simplifier au maximum à travers des outils graphiques.
Temps nécessaire : 10 minutes
Récupérer le mot de passe perdu ou oublié d’un PDF
- Télécharger et installer John The Ripper
Télécharger et installer John The Ripper depuis ce lien.
C’est un fichier ZIP que vous pouvez décompresser avec 7-zip dans un emplacement spécifique. - Télécharger et installer Johnny
Puis on installe Johnny qui est un GUI (interface graphique) pour John the Ripper.
Vous pouvez le télécharger depuis ce lien. - Paramétrer Johnny
Lancez l’utilitaire Johnny
Puis cliquez sur Paramètres
Indiquez le chemin de l’exécutable de John The Ripper soit john.exe
Il se trouve dans DossierJohnRipper\run\john.exe - Récupérer le hash du mot de passe PDF
Rendez-vous sur OnlineHashCrack puis uploadez votre fichier PDF à partir du bouton Parcourir
- Récupérer le hash du mot de passe PDF
Le hash du mot de passe PDF apparaît dans Output : $pdf$XXXX
Gardez le sous la main afin de le copiez/collez - Enregistrer le hash du mot de passe PDF dans un fichier
Ensuite ouvrez le bloc-note de Windows
Puis copiez/collez le hash
Enregistrez le fichier, par exemple sous le nom pdf-hash.txt.
Si vous devez récupérer plusieurs mots de passe de PDF, répétez l’opération pour mettre les hashs dans chaque ligne du fichier. - Charge les hashs dans Johnny
Puis on charge le fichier de hash des mots de passe PDF dans Johnny.
Pour cela, cliquez sur le menu Fichier puis Open Password
Enfin sélectionnez le fichier pdf-hash.txt
Les hashs s’affichent alors en liste. - Lancer l’attaque bruteforce pour récupérer le mot de passe PDF
Puis il suffit de lancer l’attaque en cliquant sur débuter nouvelle attaque.
Laissez-tourner afin que l’utilitaire devine le mot de passe PDF.
Ci-dessous, un mot de passe en 4 caractères est trouvé au bout de 30 secondes.
Le succès et la durée de l’attaque dépend de la complexité du mot de passe du fichier PDF.
John the ripper en ligne de commandes
L’exemple précédent utilise Johnny une interface graphique pour piloter John The rippter.
Mais ce dernier fonctionne en ligne de commandes, on peut donc très bien l’utiliser de cette manière pour les utilisateurs avertis.
Voici comment récupérer le hash du mot de passe PDF avec JohnTheRipper mais on peut très bien utiliser le site OnlineHashCrack.
- Télécharger et installer John The Ripper depuis ce lien
- Décompresser avec 7-zip sur le bureau de Windows
- Installez Strawberry Perl
- Ouvrez une invite de commandes
Puis on utilise le script PERL pdf2john.pl pour extraire le hash du mot de passe du fichier PDF %USERPROFILE%\Downloads\PDF-verrouille.pdf.
On redirige ici vers un fichier pdf.hash.
cd %USERPROFILE%\Desktop
cd cd john*jumbo*\run
C:\Strawberry\perl\bin\perl pdf2john.pl %USERPROFILE%\Downloads\PDF-verrouille.pdf > %USERPROFILE%\Desktop\pdf.hash
- Editer le fichier contenant le hash pour retirer le nom du fichier au début
- Ainsi il commence par $pdf
- Puis pour lancer l’attaque BruteForce sur le hash du mot de passe PDF :
john %USERPROFILE%\Desktop\pdf.hash
Ensuite on laisse tourner le temps de l’attaque.
Au besoin pour afficher le mot de passe cracké par John :
john --show --format=PDF %USERPROFILE%\Desktop\pdf.hash
hashcat
hashcat est un autre utilitaire qui permet d’effectuer des attaques bruteforce pour casser des hashs.
On utilise l’option -m suivi d’un chiffre selon l’algorithme de chiffrement du mot de passe lié à la version du PDF.
Ce tableau récapitule les versions et options -m à utiliser :
Option -m | Version d’Adobe Reader et PDF | Début du hash |
10400 | PDF 1.1 – 1.3 (Acrobat 2 – 4) | $pdf$1240* |
10410 | PDF 1.1 – 1.3 (Acrobat 2 – 4) | collider #1 – $pdf$1240* |
10420 | PDF 1.1 – 1.3 (Acrobat 2 – 4) | collider #2 – $pdf$1240* |
10500 | PDF 1.4 – 1.6 (Acrobat 5 – 8) | $pdf$23128* et $pdf$4 |
10600 | PDF 1.7 Level 3 (Acrobat 9) | $pdf$55256* |
10700 | PDF 1.7 Level 8 (Acrobat 10 – 11) | $pdf$56256* |
Dans notre exemple, le hash du mot de passe PDF débute par $pdf$4.
On peut utiliser l’option -m 10500.
En cas de mauvaise option -m, vous obtenez l’erreur suivante :
Hashfile 'C:\Users\spamh\Desktop\pdf.hash' on line 1 ($pdf$4…d878d100a827e6e9a1b55a2e50420a32): Token length exception
Sinon hashcat effectue l’attaque Bruteforce sur le mot de passe du fichier PDF.
Si elle réussie, on parvient à casser et trouver le mot de passe.
L’outil hashcat, j’en parle dans cet article :
GuaPDF
GuaPDF est un outil gratuit mais limité, en effet, il n’est pas capable de casser des mots de passe avec des algorithmes AES 128-bit et supérieur.
Il peut quand même dépanner pour trouver le mot de passe de vieux fichier PDF.
Accent PDF Password Recovery
Accent PDF Password Recovery est un logiciel payant qui propose une version de démo.
Celle-ci donne le début du mot de passe, ce qui peut aider quand on l’a oublié.
- Télécharger Accent PDF Password Recovery
- Exécutez le puis cliquez sur l’icône pour ouvrir
- Charge le fichier zip pour obtenir des informations sur ce dernier
- Puis choisissez le type d’attaque, vous pouvez laisser par défaut
- Enfin cliquez sur l’icône lecture pour lancer l’attaque
- Le début du mot de passe s’affiche alors
Liens
Dans le même style, on peut aussi récupérer le mot de passe d’un fichier ZIP, 7z ou RAR.
Si le sujet sur les attaques sur les mots de passe vous intéresse, lire :
Ainsi l’utilisation d’un mot de passe fort permet de limiter ce type d’attaque :
Enfin d’autres liens autour de la perte de mot de passe :