Passer au contenu

10 outils utilisés par les hackers pour cracker les mot de passe, ou comment mieux sécuriser les vôtres

Cracker un mot de passe est malheureusement plus simple que ce que vous pensez. Pour s’en prémunir, mieux vaut vaut connaitre les outils utilisées par les hackers.

Infosec Institute a révélé début 2015 quels sont les 10 outils les plus populaires pour cracker un mot de passe.  Découvrez ci-dessous la liste complète de ces outils, fruit du travail du chercheur Pavitra Shankdhar.

Bien sûr il n’est pas question ici de promouvoir une quelconque incitation à utiliser ces outils à des fins malveillantes. Tous ces outils sont de toute façon disponibles pour le public, et doivent justement nous sensibiliser sur la nécessité de créer un mot de passe fort, et les outils mentionnés ci-après peuvent vous aider à tester la sécurité de vos mots de passe. Si vous cherchez des astuces pour ne pas que l’on découvre votre mot de passe, voici quelques bonnes pratiques et mots de passe à éviter. Entre autre : utilisez de longs mots de passe, avec des chiffres, des caractères spéciaux, n’utilisez pas toujours le même mot de passe, n’utilisez pas le nom de votre chat, etc.

[Exclu Presse-citron] F-Secure dresse un état des lieux de la cybersécurité

1. Brutus

Il s’agit probablement de l’outil de plus populaire. Il fonctionne sous Windows, est rapide et flexible. Il n’a pas été mis à jour depuis des années mais peut néanmoins être utile.

2. RainbowCrack

Cet outil qui tourne sur Windows et Linux est connu pour être plus rapide que les outils qui utilisent la traditionnelle méthode de cracking dite force brute. Certaines ressources sont gratuites mais pour aller plus loin, des tables payantes sont également disponibles.

3. Wfuzz

Wfuss est une application web qui utilise la méthode force brute. L’outil permet aussi de trouver des ressources cachées telles que des répertoires ou des scripts.

4. Cain and Abel

Cain and Abel est également un outil connu. Il tourne sous Windows et a été développé pour les administrateurs de réseaux, les professionnels de la sécurité et les testeurs.

5. John the Ripper

John the Ripper est un outil open source disponible sous Linux, Unix et Mac OS X. L’outil permet de détecter les mots de passe qui sont faibles. Une version pro de l’outil est également disponible.

6. THC Hydra

THC Hydra est un outil de cracking connu pour être rapide. L’outil est disponible sur Windows, Linux, Free BSD, Solaris et OS X. Les développeurs peuvent également participer au développement de l’outil.

7. Medusa

Medusa est assez similaire à l’outil THC Hydra. Pour l’utiliser, il faut connaître le principe des lignes de commande. En local, l’outil peut tester 2000 mots de passe par minute.

8. OphCrack

OphCrackest un outil de cracking disponible sous Windows, Linux et Mac. L’outil est gratuit et sa spécialité est le mots de passe Windows.

9. L0phtCrack

L0phtCrack est une alternative à OphCrack. Il permet également de réaliser des audits via des routines de scan à paramétrer quotidiennement, de manière hebdomadaire ou encore mensuelle.

10. Aircrack-NG

Aircrack-NG permet de cracker les mots de passe WiFi. L’outil est disponible sous Linux et Windows.

Si le sujet de l’ethical hacking vous intéresse, sachez qu’il existe des formations qui vous permettront d’en apprendre plus sur la manière dont on peut cracker un mot de passe. En effet, de bonnes connaissances dans le domaine permettent aux chercheurs ou aux Chief Security Officers dans une entreprise d’auditer des applications et d’améliorer la sécurité. Les cyber criminels utilisent également ces outils mais le font pour de mauvaises raisons telles qu’accéder aux données de certains utilisateurs. Cet article doit donc être pour vous une prise de conscience : protégez-vous et utilisez des mots de passe forts. Utiliser ces outils à des fins malveillantes relève de votre propre responsabilité : voyez donc plutôt par là une opportunité d’apprendre plutôt qu’une possibilité de nuire à autrui.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
27 commentaires
27 commentaires
  1. Rien ne vaut la double identification pour les sites sensibles, comme les sites de banques ou compte de trading, avec par exemple l’envoi d’un sms ou mail avec un code pour vérification.

  2. Il est tout de même préférable d’utiliser un gestionnaire de mots de passe comme lastpass ou abpasswordpower.C’est bien plus facile.

  3. Il est vrai que c’est intéressant de connaitre un peu les outils utilisés par les hackers pour savoir comment ils font pour craquer nos mots de passe. Mais j’avoue qu’en parler aussi de ces outils, certains pourraient avoir l’idée de les essayer pour voir comment ça marche et s’ils sont capables de le faire comme les pros. Quoi qu’il en soit, ce qu’il faut retenir c’est que pour plus de sécurité, il faut avoir un mot de passe différent pour chacun de ses comptes et il faut penser à les changer régulièrement.

  4. Et si vous mettiez votre grain de sel ?

    Ben justement, le grain de sel est la technique d’encryption des mots de passe membre/utilisateur en base de données de site internet. En plus de SHA1 ou 2.

    Aussi, dites vous bien que si vous n’avez rien d’intéressant pour un hacker, inutile de vous prendre la tête avec des mots de passe complexe. Un hacker est intéressé par l’argent et donc des données dites sensibles. Il n’a donc aucun intérêt a hacker un particulier lambda.

    Je pense que la technique la plus utilisée pour dérober les mots de passe a grande échelle est aujourd’hui l’hameçonnage.

    1. Oui et non. Une grande partie des internautes utilise le même login / adresse mail et mot de passe partout. Cracker un petit site non protégé c’est potentiellement avoir accès à sa boîte mail puis de là à des informations sensibles ou la possibilité d’utiliser les fonctions “mot de passe oublié” d’autres sites, idéalement de eCommerce qui mémorise les coordonnées bancaires ou bien paypal.

    2. Même avec un salt, SHA1 et 2 restent très faciles à cracker. Avec les GPU actuels (et des outils non mentionnés dans l’article), on peut tester quelques centaines de millions de hashes à la seconde.

    3. Oui et non, comme dit précédemment. Même si un site est totalement inintéressant car ne contenant pas de données personnelles (genre le blog de ma life), cela n’empêche pas de le hacker pour en faire une base d’envoi de spams par exemple. Ou d’affichage de pubs intempestives pour un certain comprimé bleu. Mais en tous cas, cela aura pour effet 1/ de mettre le site en l’air, 2/ de se faire mal voir de son hébergeur et 3/ d’être déclassé par Google voire totalement banni par une grosse alarme “Ce site est très très très dangereux, êtes-vous sûr de vraiment vouloir y accéder ?” lorsqu’on tape l’URL. De plus, quand on a le mot de passe du blog de ma life, on peut tout essayer car il est probable que le même couple id / pw sera réutilisé ailleurs…

    4. Faux! l’usurpation d’identité est très interessante; ça permet de se faire délivrer des documents officiels.Essayez voir de vous justifier auprès de l’administration si ça vous arrive! Vous serez considéré comme responsable de tous délits et infractions commises en votre nom.Pour les outils cités il ne faut pas rêver non plus: windows a des capacités réseau limitées au dela de 24 threads ça plante et n’esperez pas ouvrir plus de 120-130 sockets. Aircrack-ng par ex. marche bien mais exige une carte supportant le montoring et l’injection et des connaissances qui ne sont pas à la portée du premier venu, tout cela ne fonctionne correctement que sous certaines distributions linux, des trucs dispos sous windows comme havij pour les bases de données ou loic pour les attaques DDos sont de la fumisterie.le hash des mot de passe c’est bien, il faut juste savoir que le MD5 est cassé et le SHA 1 considéré sur le point de l’être, cracker la SAM (gestionnaire de mots de passe) de windows est enfantin en plus toutes vos données sont transmises à microsoft:
      http://forums.cnetfrance.fr/topic/1283317-windows-10–une-analyse-de-trafic-reseau-devoile-l-incroyable-etendue-de-l-espionnage-mis-en-place-par-microsoft/
      enfin l’équation hacker=pirate est stupide; un hacker est quelqun qui modifie la technologie pour ses besoin c’esttout .Si vous trafiquez votre grille pain pour qu’il chauffe votre café vous êtes un hacker

  5. @NEWSOFTPCLAB : Tout à fait ! Lastpass est vraiment très utile pour enregistrer les différents mots de passe !

    @TÉLÉPROSPECTION : En effet il est essentiel de suivre les bonnes pratiques que vous indiquez.

    @2FR3 : Oui, les entreprises sont effet plus intéressantes que les particuliers en terme de données.

  6. Très informatif et complet. Ca donne une bonne idée des procédés des “hackers” pour venir nous pourrir nos sites avec des injections SQL qui redirigent vers des pubs… Pour pour ces informations.

  7. Merci pour toutes ces infos Eric. J’ai une question évidente dont la réponse doit donc être évidente bon le seul pb c’est que je ne la connais pas… Avec certains digicodes d’immeubles, impossible de retenter un mot de passe sans attendre 10 secondes. Pourquoi les sites n’exigent pas 10 ou 20 secondes avant d’essayer un nouveau mot de passe ? ça casserait complètement la logique “force brute” ? Alors… Qqch doit m’échapper

  8. Bonjour ou Bonsoir à l’heure ou vous me lisez j’aimerais savoir comment craker le mot de passe d’un compte mail surtout webmail qui m’appartient pas ou base

  9. You could see comparable musicians to the one you’re hearing, and check out a bio of the existing musician a background of tunes are maintained so you could scroll via them after they have actually played.

  10. ces bien de connaître tout mais y’a d’autres logiciels ou appli qui son payant et qu’il faut souvent faire des mises a jour

  11. Lorsque j’ai soupçonné que trois de mes employés me volaient, ce hacker de génie, Albert Vadim, qui avait aidé mon ami à effacer certains enregistrements en ligne, était la seule personne de confiance vers laquelle je pouvais m’adresser. Il m’a aidé à pirater 3 téléphones (un iPhone, deux androïdes) en 5 heures et m’a donné accès à tous les messages et a même récupéré les messages supprimés. Sur leur WhatsApp, j’ai lu que le montant qu’ils ont tous accepté de voler s’élevait à plus de 65 000 euros. Si vous avez besoin d’aide, contactez Albert EMAIL : Vadimwebhack@ gmail. com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *