Windows Password Cracker

Le craquage de mots de passe Windows est une compétence critique en test d'intrusion et en criminalistique numérique. Les systèmes d'exploitation Windows stockent les hachages de mots de passe dans la base de données Security Account Manager (SAM), et quand ces hachages sont extraits lors d'une évaluation de sécurité, les techniques de craquage hors ligne peuvent récupérer les mots de passe en clair originaux. Comprendre le craquage de hachages NTLM aide les professionnels de la sécurité à évaluer les politiques de mots de passe et à démontrer les risques des identifiants faibles dans les environnements d'entreprise.

Comment Windows stocke les mots de passe

Les systèmes Windows modernes utilisent le hachage NTLM (NT LAN Manager) pour stocker les mots de passe. Le hachage NTLM est calculé comme le digest MD4 de l'encodage UTF-16LE du mot de passe - notamment, il n'utilise pas de sel, ce qui signifie que des mots de passe identiques produisent toujours des hachages identiques sur tous les systèmes. Cette faiblesse de conception rend les hachages NTLM vulnérables aux attaques précalculées comme les tables arc-en-ciel et aux attaques par dictionnaire très efficaces. La base de données SAM, située à C:\Windows\System32\config\SAM, stocke ces hachages et est normalement verrouillée par le système d'exploitation pendant que Windows est en fonctionnement.

Lors des tests d'intrusion, les hachages NTLM peuvent être extraits par diverses méthodes : démarrage depuis un média externe pour accéder au fichier SAM hors ligne, utilisation d'outils comme mimikatz pour extraire les hachages de la mémoire, exploitation d'attaques DCSync contre les contrôleurs de domaine, ou extraction de hachages depuis les Volume Shadow Copies. Le format de dump standard est username:RID:LM_hash:NTLM_hash:::, où le hachage NTLM dans le quatrième champ est la cible du craquage.

Craquer les hachages NTLM avec Hashcat

Deux outils principaux dominent le paysage du craquage de mots de passe. Un tutoriel hashcat approprié couvre le craquage accéléré par GPU qui atteint des vitesses extraordinaires - les GPU modernes peuvent tester des milliards de candidats NTLM par seconde. John the Ripper fournit une alternative polyvalente basée sur le CPU avec des règles intelligentes de manipulation de listes de mots. Les deux outils supportent les attaques par dictionnaire avec des règles de mutation, les attaques par force brute contre les mots de passe courts, les attaques par masque pour les modèles de mots de passe connus, et les approches hybrides combinant des listes de mots avec l'ajout de caractères.

Se défendre contre le craquage de mots de passe

Les organisations peuvent se défendre contre le craquage NTLM en imposant des politiques de mots de passe forts (minimum 12 caractères, exigences de complexité), en implémentant des politiques de verrouillage de compte, en utilisant l'authentification multi-facteur et en migrant vers des protocoles modernes comme Kerberos avec chiffrement AES. Des audits réguliers de mots de passe utilisant les mêmes outils de craquage aident à identifier les mots de passe faibles avant que les attaquants ne le fassent. La leçon fondamentale est qu'aucun algorithme de hachage ne peut protéger un mot de passe faible face à un attaquant déterminé disposant de matériel moderne.