Fondamentaux de la sécurité des mots de passe

La base de toute évaluation de sécurité

Ce que vous allez découvrir

🎯 Pourquoi c'est important

Le cassage de mots de passe ne se résume pas à pénétrer dans des systèmes — il s'agit de comprendre les faiblesses fondamentales qui affectent des milliards d'utilisateurs dans le monde. Le rapport d'enquête sur les violations de données de Verizon montre systématiquement que les identifiants compromis restent l'un des principaux vecteurs d'attaque dans les violations de données. Les professionnels de la sécurité utilisent les techniques de cassage de mots de passe pour identifier ces vulnérabilités avant les attaquants, ce qui en fait l'une des compétences les plus critiques dans l'évaluation de la cybersécurité.

🔍 Ce que vous allez apprendre

Vous comprendrez comment les mots de passe sont stockés, pourquoi certains algorithmes de hachage sont vulnérables, et comment les experts en sécurité utilisent des outils comme hashcat et John the Ripper pour évaluer la force des mots de passe. Ces connaissances forment le fondement de chaque test d'intrusion et audit de sécurité que vous effectuerez.

🚀 Votre première victoire

Dans les 10 prochaines minutes, vous casserez votre premier hachage de mot de passe en utilisant des outils professionnels, comprendrez pourquoi cela a fonctionné, et saurez exactement ce qui rend les mots de passe vulnérables aux attaques.

🔧 Essayez maintenant

Cassons un simple hachage MD5 en utilisant un outil en ligne pour voir à quelle vitesse les mots de passe faibles tombent :

Hachage : 5d41402abc4b2a76b9719d911017c592
Mot de passe : ?

# Visitez https://hackerdna.com/tools/md5
# Collez le hachage ci-dessus
# Cliquez sur "Reverse MD5 Hash"

Vous verrez : Le mot de passe "hello" apparaît instantanément, montrant comment les tables arc-en-ciel rendent les mots de passe courants vulnérables en quelques secondes.

Compétences que vous maîtriserez

Comprendre la sécurité des mots de passe

La sécurité des mots de passe repose sur un principe simple : rendre coûteux en calcul pour les attaquants de deviner les mots de passe tout en le gardant pratique pour les utilisateurs légitimes. Lorsque vous entrez un mot de passe, les systèmes ne le stockent pas directement — ils stockent une empreinte mathématique appelée hachage.

Les mathématiques derrière le cassage de mots de passe sont simples mais puissantes. Un mot de passe typique de 8 caractères utilisant des lettres minuscules a 26^8 combinaisons possibles — environ 208 milliards de possibilités. Bien que cela semble sécurisé, les cartes graphiques modernes peuvent tester des milliards de combinaisons par seconde, rendant ces mots de passe vulnérables en quelques heures.

Les experts en sécurité comprennent que la force d'un mot de passe ne dépend pas seulement de la longueur — c'est une question d'entropie, d'imprévisibilité et du coût computationnel de la devinette. Cette connaissance leur permet d'évaluer si les politiques de mots de passe d'une organisation protègent réellement contre les attaques du monde réel.

Outils et techniques

🔨 Hashcat : la référence de l'industrie

Hashcat est l'outil de récupération de mots de passe le plus rapide au monde, utilisé par les professionnels de la sécurité du monde entier. Il prend en charge plus de 300 algorithmes de hachage et peut utiliser à la fois la puissance de traitement CPU et GPU.

# Installer hashcat (Ubuntu/Debian)
sudo apt update && sudo apt install hashcat

# Attaque par dictionnaire basique
hashcat -m 0 -a 0 hashes.txt rockyou.txt

# Vérifier les types de hachage pris en charge
hashcat --help | grep -i md5

Le paramètre -m spécifie le type de hachage (0 pour MD5), -a définit le mode d'attaque (0 pour dictionnaire), et les fichiers contiennent vos hachages cibles et la liste de mots de passe.

⚡ John the Ripper : le couteau suisse

John the Ripper excelle dans la détection automatique des types de hachage et l'application de stratégies d'attaque intelligentes. Il est particulièrement efficace pour les formats de hachage mixtes et les attaques basées sur des règles personnalisées.

# Détection automatique et cassage
john --wordlist=rockyou.txt hashes.txt

# Afficher les mots de passe cassés
john --show hashes.txt

# Utiliser des règles personnalisées pour les mutations
john --rules --wordlist=rockyou.txt hashes.txt

🎯 Analyse manuelle des hachages

Comprendre les formats de hachage vous permet de choisir les bons outils et méthodes d'attaque. Chaque algorithme a des caractéristiques distinctes :

# Identification des hachages par longueur et format
MD5:    32 caractères hex  (5d41402abc4b2a76b9719d911017c592)
SHA-1:  40 caractères hex  (aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d)
SHA-256: 64 caractères hex (8c6976e5b5410415bde908bd4dee15dfb167a9c8...)
NTLM:   32 caractères hex  (8846f7eaee8fb117ad06bdd830b7586c)

# Générer des hachages de test
echo -n "password" | md5sum
echo -n "password" | sha256sum

Les évaluateurs de sécurité professionnels maintiennent des compétences d'identification de hachage car les outils automatisés identifient parfois mal les formats, conduisant à des attaques échouées ou du temps perdu.

📚 Listes de mots essentielles

Un cassage de mots de passe efficace repose sur des listes de mots de qualité. Le projet SecLists fournit des collections complètes, tandis que RockYou reste la référence pour les mots de passe courants.

• RockYou.txt : 14 millions de vrais mots de passe de la violation de 2009
• SecLists : Listes organisées pour des scénarios d'attaque spécifiques
• Listes personnalisées : Listes de mots spécifiques à la cible basées sur la reconnaissance
• Mutations basées sur des règles : Variations de mots de passe programmatiques

Scénarios d'attaque réels

🎯 Analyse de la violation LinkedIn 2012

En 2012, LinkedIn a subi une violation massive exposant 6,5 millions de hachages de mots de passe. Les chercheurs en sécurité ont analysé l'incident et découvert que LinkedIn utilisait des hachages SHA-1 non salés, les rendant vulnérables aux attaques par tables arc-en-ciel. La violation a été élargie en 2016 lorsqu'il a été révélé que 117 millions de comptes avaient en fait été compromis. L' analyse de KoreLogic en 2016 des mots de passe LinkedIn a révélé des faiblesses critiques dans leur implémentation de stockage de mots de passe.

# Format de hachage LinkedIn (SHA-1, non salé)
# Original : "password123"
# Hachage : 482c811da5d5b4bc6d497ffa98491e38

# Méthode d'attaque utilisée par les chercheurs
hashcat -m 100 -a 0 linkedin_hashes.txt rockyou.txt

# Résultat : Des millions de mots de passe cassés en quelques heures

Insight d'expert : L'absence de sel signifiait que des mots de passe identiques produisaient des hachages identiques, permettant aux attaquants de casser plusieurs comptes simultanément lorsque les utilisateurs partageaient des mots de passe courants.

⚡ Analyse des mots de passe Ashley Madison 2015

La violation d'Ashley Madison en 2015 a exposé 36 millions de comptes utilisateurs et a fourni aux chercheurs en sécurité un ensemble de données unique pour l'analyse des mots de passe. Le site utilisait à la fois le hachage bcrypt et MD5, les attaquants ayant réussi à casser environ 11 millions de mots de passe à partir des hachages MD5 plus faibles, comme documenté dans plusieurs analyses de sécurité .

# Approche de double hachage d'Ashley Madison
# Hachages Bcrypt (plus forts) : $2a$12$...
# Hachages MD5 (plus faibles) : 5d41402abc4b2a76b9719d911017c592

# Les attaquants se sont concentrés sur les hachages MD5
hashcat -m 0 -a 0 ashley_madison_md5.txt rockyou.txt

# Résultat : 11 millions de mots de passe MD5 cassés
# Les hachages Bcrypt sont restés largement intacts

Insight d'expert : Cette violation a démontré l'importance critique d'utiliser des algorithmes de hachage forts et cohérents pour tout le stockage de mots de passe, car les attaquants cibleront toujours l'implémentation la plus faible.

🔍 RockYou 2009 : le désastre du texte en clair

La violation RockYou en décembre 2009 a exposé 32 millions de mots de passe utilisateurs stockés en texte clair, fournissant aux chercheurs en sécurité un ensemble de données sans précédent de choix de mots de passe réels. Cette violation est devenue la base de la célèbre liste de mots RockYou.txt utilisée aujourd'hui dans le cassage de mots de passe, comme analysé dans de nombreux rapports de sécurité .

# L'analyse des mots de passe RockYou a révélé :
# Mots de passe les plus courants : 123456, 12345, 123456789, password
# 290 731 utilisateurs ont choisi "123456" comme mot de passe
# 79 078 utilisateurs ont choisi "password"

# La violation a créé la célèbre liste de mots
# rockyou.txt - 14,3 millions de mots de passe uniques
# Toujours la référence pour les attaques par dictionnaire
hashcat -m 0 -a 0 target_hashes.txt rockyou.txt

Insight d'expert : RockYou a révélé que les utilisateurs choisissent systématiquement des mots de passe prévisibles, les 5 000 premiers mots de passe représentant plus de 20% de tous les utilisateurs. Ces données ont révolutionné les stratégies d'attaque par dictionnaire.

Contre-mesures défensives

🛡️ Algorithmes de hachage forts

Les applications modernes devraient utiliser des fonctions de hachage adaptatives comme bcrypt, scrypt ou Argon2. Ces algorithmes incluent un salage intégré et des facteurs de travail configurables qui rendent les attaques par force brute coûteuses en calcul.

• Bcrypt : Standard de l'industrie avec paramètre de coût ajustable
• Scrypt : Fonction à mémoire intensive résistante aux attaques ASIC
• Argon2 : Gagnant du Password Hashing Competition, recommandé par l'OWASP
• PBKDF2 : Acceptable lorsque correctement configuré avec un nombre élevé d'itérations

🔐 Politiques de mots de passe complètes

Des politiques de mots de passe efficaces équilibrent la sécurité avec l'utilisabilité. La recherche de la Publication spéciale NIST 800-63B fournit des directives basées sur des preuves pour les exigences de mots de passe.

• Longueur minimale : 8 caractères pour les mots de passe choisis par l'utilisateur, 6 pour ceux générés par le système
• Longueur maximale : Au moins 64 caractères pour supporter les phrases de passe
• Composition de caractères : Pas d'exigences complexes qui réduisent l'entropie
• Vérification de liste noire : Empêcher les mots de passe couramment compromis

⚡ Authentification multi-facteurs

L'authentification multi-facteurs (MFA) fournit une défense en profondeur en exigeant des facteurs d'authentification supplémentaires au-delà des mots de passe. Même si les mots de passe sont compromis, les attaquants ne peuvent pas accéder aux comptes sans le second facteur.

• Jetons temporels : Applications TOTP comme Google Authenticator
• Clés matérielles : Clés de sécurité FIDO2/WebAuthn pour la résistance au phishing
• Facteurs biométriques : Empreinte digitale ou reconnaissance faciale sur les appareils de confiance
• SMS/Voix : Acceptable pour les applications à faible risque malgré les risques de SIM swapping

🔍 Surveillance continue

Les organisations devraient mettre en place des systèmes de surveillance pour détecter les attaques de bourrage d'identifiants, les schémas de connexion inhabituels et les comptes compromis. Des services comme Have I Been Pwned fournissent des API pour vérifier l'exposition des mots de passe dans les violations connues.

🎯 Vous maîtrisez les fondamentaux de la sécurité des mots de passe !

Vous comprenez maintenant les principes mathématiques derrière les attaques de mots de passe, pouvez identifier les formats de hachage vulnérables, et savez quels outils les experts en sécurité utilisent pour l'évaluation. Cette base vous prépare aux techniques de cassage avancées et aux tests de sécurité réels.

Prêt à maîtriser les attaques par dictionnaire et l'optimisation des listes de mots