Ophcrack : le live cd pour récupérer les mots de passe Windows perdus...

Posté par  . Édité par Benoît Sibaud et palm123. Modéré par patrick_g. Licence CC By‑SA.
27
20
août
2013
Distribution

C'est l'été, il faut chaud (encore) vous ou vos clients êtes partis en vacances, vous venez de virer un employé qui avait détourné de l'argent du compte de votre entreprise, votre voisin de palier est devenu amnésique, etc.

Il existe de nombreuses raisons avouables (même si ce n'est pas le cas de toutes) pour avoir besoin de récupérer les comptes et mots de passe d'un système d'exploitation. C'est là que Ophcrack (sous GPLv2) peut intervenir.

NdM : dans de nombreux cas, une solution type SystemRescueCd (qui existe aussi en clé USB) suffit pour remplacer le mot de passe (sans avoir à le connaître). Par ailleurs l'une et l'autre solution ne marchent pas si les disques durs sont entièrement chiffrés par exemple.

Où l'on apprend à récupérer les mots de passe du système d'exploitation en question

Une chance, sous les différents systèmes de Microsoft (pour qui la sécurité absolue n'est pas une priorité), et avec la complicité de ses utilisateurs (qui ne font en général pas trop d'efforts pour complexifier leur mot de passe)

Avant il fallait se créer des scripts perl, qui faisaient appel à des tables de hashages, cela prenait du temps et ce n'était pas à la portée de tous.

Maintenant une solution simple, à la portée du script kiddy est disponible :

Ophcrack est un CD amorçable qui intègre déjà des tables de hashages (largement suffisantes pour la plupart des cas) et qui une fois lancé, va vous permettre en quelques secondes (ou minutes selon la puissance de la machine et de la version du système) de récupérer le nom des utilisateurs (administrateurs compris) et leur mot de passe.

Selon la complexité des mots de passe (caractères spéciaux par exemple) Ophcrack nécessitera des tables de hashages supplémentaires, téléchargeables pour la plupart sur le site du projet.

Où l'on en découvre un peu plus sur les tables de hashage utilisées

je ne vous ferais pas l'affront de vous expliquer quelque chose quand d'autres l'ont fait mieux que moi, je me permets donc de reprendre la citation disponible sur Wikipedia :

Une rainbow table (littéralement table arc-en-ciel) est, en cryptanalyse, une structure de données créée en 2003 par Philippe Oechslin de l'EPFL1 pour retrouver un mot de passe à partir de son empreinte. Il s'agit d'une amélioration des compromis temps-mémoire proposés par Martin Hellman dans les années 1980.

Aller plus loin

  • # Le modérateur a toujours raison

    Posté par  . Évalué à 3.

    c'est effectivement un oubli de ma part, il est en effet possible de modifier le mot de passe avec SRCD, et impossible sur un disque dur chiffré.

    Mais je n'ai jamais rencontré d'utilisateurs de Windows qui chiffraient leurs HD…
    J'dis ça…

    http://lsm2013.out.airtime.pro:8000/lsm2013.ogg Ecoutez Radio RMLL !

    • [^] # Re: Le modérateur a toujours raison

      Posté par  (site web personnel) . Évalué à 9.

      Chez les particuliers sous Windows, ça doit probablement être rare effectivement (un peu comme chez les particuliers sous un système libre d'ailleurs, toute proportion gardée) ; par contre sur les ordinateurs portables d'entreprise, c'est un peu plus fréquent.

  • # réinitialisation vs récupération

    Posté par  . Évalué à 8.

    une remarque concernant les utilisations (légitimes) des deux logiciels cités.

    Les utilisateurs ayant la fâcheuse tendance à utiliser les même mots de passe partout, je préfère la réinitialisation d'un mot de passe à sa récupération.

    Un utilisateur absent préfèrera vraisemblablement voir son mot de passe réinitialisé plutôt que découvert.

    • [^] # Re: réinitialisation vs récupération

      Posté par  . Évalué à 2.

      Comme disait un animateur télé, "ça se discute" ;-)
      il est parfois plus simple ou souhaitable de récupérer son ancien mot de passe que de l'écraser.
      Quand ce sont des clients qui te le demande, ils préfèrent les récupérés.
      L'avantage du livecd est que tu ne touches pas aux données présentes sur le disque.

      http://lsm2013.out.airtime.pro:8000/lsm2013.ogg Ecoutez Radio RMLL !

  • # Une petite faute

    Posté par  . Évalué à 2.

    Bonjour, une petite faute dans les liens …
    Commentaire effaçable après correction :-)

  • # securité selon microsoft...

    Posté par  . Évalué à 3.

    • toujours pas de grain de sel (les rainbow table ne marche que dans les cas ou il n'y a pas de grain de sel).
    • Jusqu'a XP, les mots de passe stocké avec maximum de 7 char (mot de passe découpé en 2 si > 7 char), donc un mot de passe de 14 char a seulement le double de force qu'un mots de passe de 7 char!
    • [^] # Re: securité selon microsoft...

      Posté par  (site web personnel) . Évalué à 2.

      Jusqu'a XP, les mots de passe stocké avec maximum de 7 char (mot de passe découpé en 2 si > 7 char), donc un mot de passe de 14 char a seulement le double de force qu'un mots de passe de 7 char!

      Tu parles bien de l'OS qui est sorti en 2001, c'est cela ? Tu es au courant qu'il y a eu trois nouvelles générations de Windows publiés depuis ? Et que Microsoft a fait pas mal de progrès du point de vue de la sécurité depuis ?

      Les Windows ont sûrement encore des soucis de sécurité, la lecture du magazine MISC est d'ailleurs généralement très intéressante sur ce sujet. Mais prendre pour exemple un OS qui a plus de 10 ans d'âge, je trouve cela assez déplacé…

      • [^] # Re: securité selon microsoft...

        Posté par  . Évalué à 6.

        XP a encore ~35% de part de marché, et est encore supporté jusqu'en avril 2014.

        "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

        • [^] # Re: securité selon microsoft...

          Posté par  (site web personnel) . Évalué à 2.

          Je sais bien que XP est encore malheureusement très présent. Mais ce n'est pas du fait de Microsoft : ils sont les premiers à demander aux utilisateurs de migrer. Ils ont d'ailleurs recommuniqué dessus récemment, rappelant que avril 2014 marquera la fin complète du support.
          Je prédis une augmentation massive des SPAM et virus en circulation dès mai 2014 ;-)

          V'là que je me fais l'avocat de Microsoft maintenant, on aura tout vu !

          • [^] # Re: securité selon microsoft...

            Posté par  (site web personnel) . Évalué à 8.

            ils sont les premiers à demander aux utilisateurs de migrer

            Normal, au vu du nombre de licence de XP qu'il reste à migrer, ça en fait pas mal d'argent qu'il reste à récolter.

          • [^] # Re: securité selon microsoft...

            Posté par  . Évalué à 1.

            Je n'ai pas compris ce que tu veux dire à propos des SPAM…

            • [^] # Re: securité selon microsoft...

              Posté par  (site web personnel) . Évalué à 7.

              C'est pourtant simple
              La plupart des machines qui envoient du spam sont des machines dites zombies, à savoir des machines lambda comme celui qu'on a à la maison mais infecté et contrôlé par une personne tierce.

              Si après avril 2014 des machines sous XP sont encore utilisées, la moindre failles ne sera pas corrigé et pourra être exploité ce qui favorisera l’apparition de nouvelles machines zombies et donc de spam.

              • [^] # Re: securité selon microsoft...

                Posté par  . Évalué à 2.

                D'accord d'accord, j'avais en tête une migration vers seven et donc une réduction du spam.

                Désolé, j'avais encore oublié de rester dans la réalité…

          • [^] # Re: securité selon microsoft...

            Posté par  (site web personnel) . Évalué à 6.

            ils sont les premiers à demander aux utilisateurs de migrer.

            Si ils étaient vraiment les premiers, ils fileraient une licence Windows vista, 7 ou 8 aux personnes ayant XP, pour faire comprendre que le but recherché n'est pas le fric.
            Mais non, ils ne font pas ça alors que ça…

            Ce sont surtout les premier à vouloir récupérer les sous.
            bon, après, 12 ans de service, c'est plus que n'importe quelle distro Linux, on en a eu pour son argent (ne pas avoir eu à migrer avant est rentable).

            • [^] # Re: securité selon microsoft...

              Posté par  . Évalué à 1.

              bon, après, 12 ans de service

              *12 ans, 5 mois, et 14 jours. Ou 392 947 200 secondes.

              "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

        • [^] # Re:securitéselon microsoft...

          Posté par  (site web personnel) . Évalué à 2.

          XP a encore ~35% de part de marché, et est encore supporté jusqu'en avril

          Les voitures sans ABS aussi, faisons nous des procès d'intention aux constructeurs ?

      • [^] # Re: securité selon microsoft...

        Posté par  . Évalué à 4.

        Ophcrack sait casser les mots de passe administrateurs et utilisateurs jusqu'à Windows 7.
        Mais aujourd'hui encore on trouve beaucoup de Windows XP installés dans de nombreuses administrations, entreprises, et chez de nombreux particuliers.

        http://lsm2013.out.airtime.pro:8000/lsm2013.ogg Ecoutez Radio RMLL !

      • [^] # Re: securité selon microsoft...

        Posté par  (site web personnel) . Évalué à 10.

        Mais prendre pour exemple un OS qui a plus de 10 ans d'âge, je trouve cela assez déplacé…

        Faut pas exagérer ! Bcrypt est sorti en 1999 (bien avant Win XP donc). Si Microsoft avait utilisé ça ils n'auraient pas eu le moindre problème. Mais non il a fallu qu'ils inventent un schéma pourri bien à eux.

    • [^] # Re: securité selon microsoft...

      Posté par  (site web personnel) . Évalué à 3.

      C'est inhérent à l'utilisation de LMHash. Mais c'est désactivable il me semble, même sur XP.

      PS : Tu a oublié de noter que le manque de salage permet aussi de voir à l’œil si le mot de passe a une taille inférieur à 8 caractères.

      • [^] # Re: securité selon microsoft...

        Posté par  . Évalué à 6.

        Pour compléter,
        le LM-Hash est accompagné d'un second haché le NT-Hash (un haché md4 du mot de passe encodé en UTF16LE). Ce dernier est un peu plus résistant car il n'y a pas le découpage au 7ème caractère ni de conversion en majuscule.

        Pour palier les faiblesses du LM-Hash on peut le désactiver à l'aide de la clé de registre suivante :

        [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
        "NoLMHash"=dword:00000001
        

        ou utiliser un mot de passe de 15 caractères ou plus,

        ou encore intégrer un caractère non pris en charge comme le symbole euro : € (ceci suffit pour empêcher l'enregistrement du haché LM).

        Ceci étant, les Rainbow Tables ne sont pas les seules attaques possibles. Il faut dorénavant prendre en compte la puissance des GPU (combinée aux générateurs à base de chaine de Markov) pour casser du mot de passe…

  • # faut voir...

    Posté par  . Évalué à 2. Dernière modification le 20 août 2013 à 13:30.

    Faut voir, dans l'éducation nationale (mais ça doit être vrai ailleurs dans l'administration FR) c'est toujours XP qu'on nous demande d'installer sur les machines, même si ces dernières sont livrées avec un 7 ou un 8 …..La joie des politiques en retard….donc ophcrack, c'est un super outil pour nous !

    [EDIT] mouarf,ce commentaire était en réponse à Xavier Teyssier, mais j'ai cliqué sur envoyer un commentaire au lieu de répondre…oui je sais, pas bien les fêtes le lundi soir, ça fait des mardis au radar !

    • [^] # Re: faut voir...

      Posté par  . Évalué à 2.

      Ça n'a rien à voir avec les politiques en retard comme tu le dis mais cela vient du problème des marchés publiques qui prédisent les achats pour une durée et une nomenclature de matos définie et arrêtée.

      • [^] # Re: faut voir...

        Posté par  . Évalué à 1.

        cela vient du problème des marchés publiques

        … donc c'est bien les politiques en retard (politique le concept [policy], pas la personne) Ces politiques devraient inclure des clauses pour permettre au moins une évolution des nomenclatures lorsque de nombreuses années sont passées.

      • [^] # Re: faut voir...

        Posté par  . Évalué à 8.

        Cela vient peut être aussi des applications métier merdiques vendues à prix d'or par des éditeurs peu scrupuleux qui savent qu'ils sont les seuls dans un domaine très spécialisé. J'en ai vu plein comme ça, qui vous soutirent presque 1000€ par an et qui vous disent "pour que notre logiciel marche, utilisez XP et donnez les droits administrateur à votre utilisateur, c'est comme ça, toutes les entreprises fonctionnent comme ça monsieur".

        • [^] # Re: faut voir...

          Posté par  . Évalué à 1.

          Oui, mais ça n'a rien à voir comme dit plus haut avec le mode d'achat des collectivités publiques.

          • [^] # Re: faut voir...

            Posté par  . Évalué à 3.

            Ben ça fait une raison valable de maintenir un parc en XP.

    • [^] # Re: faut voir...

      Posté par  . Évalué à 0.

      Quel est le lien de cause à effet entre « XP qu'on nous demande d'installer » et « ophcrack, c'est un super outil pour nous » ? Apparemment, ophcrack marche aussi pour les versions plus récentes (seul 8 n'est pas mentionné).

      • [^] # Re: faut voir...

        Posté par  . Évalué à 1. Dernière modification le 20 août 2013 à 15:43.

        Non il ne "fonctionne pas", il faut des lustres pour trouver un password à partir de Vista.

        cf. http://sourceforge.net/p/ophcrack/wiki/Frequently%20Asked%20Questions/#why-is-ophcrack-much-powerful-on-windows-xp-than-windows-vista

        • [^] # Re: faut voir...

          Posté par  . Évalué à 2. Dernière modification le 20 août 2013 à 16:25.

          voir mon message plus haut

          P.S. : j'avais oublié sous windows 7 aussi
          mais pour l'instant je n'ai pu tester que sur une seule machine (1/2) 8 caractères (6 lettres - 2 chiffres)

          en moins de 20 minutes

          testez le avant de dire que ça ne fonctionne pas ;-)

          http://lsm2013.out.airtime.pro:8000/lsm2013.ogg Ecoutez Radio RMLL !

          • [^] # Re: faut voir...

            Posté par  . Évalué à 4. Dernière modification le 20 août 2013 à 17:08.

            Concernant windows 8 : les développeurs n'ont pas encore eu accès à une telle machine pour ajuster leur programme mais en principe ça devrait marcher, ou bien le stockage des mots de passe est enfin sûr et ça ne marchera jamais ?

            • [^] # Re: faut voir...

              Posté par  . Évalué à 1.

              pour l'instant pas d'infos.
              il faut dire que le système est assez nouveau
              donc wait & see…

              http://lsm2013.out.airtime.pro:8000/lsm2013.ogg Ecoutez Radio RMLL !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.