Temps d'estimation pour cracker Password et login
Télécharger un logiciel qui va tester tous les logins et tous les mots de passe possible, automatiquement.
Remarque, le délai peut être plus court si je connais le login.
Pour les caractères cités, nous obtenons un temps maximum pour l’exécution d’un test, en une seconde :
Un essai sur une des combinaisons possibles du login et du mot de passe.
Caractères : abcdefghijklmnopqrstuvwxyz.
Pour un mot de passe de 4 lettres : environ 4 Heures au maximum
Pour un mot de passe de 8 lettres : environ 2416979 Jours au maximum
caractères : abcdefghijklmnopqrstuvwxyz et ABCDEFGHIJKLMNOPQRSTUVWXYZ
Pour un mot de passe de 4 lettres : environ 85 Heures au maximum
Pour un mot de passe de 8 lettres : environ 1695197 Ans au maximum
caractères : abcdefghijklmnopqrstuvwxyz et ABCDEFGHIJKLMNOPQRSTUVWXYZ
Pour un mot de passe de 4 lettres : environ 172 Jours au maximum
Pour un mot de passe de 8 lettres : environ 429258199 Ans au maximum
caractères : abcdefghijklmnopqrstuvwxyz et 0123456789
ou
caractères : ABCDEFGHIJKLMNOPQRSTUVWXYZ et 0123456789
Pour un mot de passe de 4 lettres : 20 Jours au maximum
Pour un mot de passe de 8 lettres : environ 89457 Ans au maximum
caractères : 0123456789
Pour un mot de passe de 4 lettres : 28 Heures maximum
Pour un mot de passe de 8 lettres : environ 3 Ans au maximum
Dans ces estimations, nous imposons le fait que chaque test prend une seconde.
Dans la réalité, ces délais sont bien moindres.
De plus, une simple optimisation de l’algorithme peut réduire de délais.
Je vous propose quelques idées, commencez par une liste de mots communs ou de prénom.
Et a priori, vous avez une chance sur deux de trouver le mot de passe dans la première moitié de votre durée totale de test.
La méthode courte
La méthode courte : Utiliser le back-office de l’application, ce qui se nomme le panneau de contrôle, ou pour les informaticiens l’admin !
La méthode qui consiste à accéder au back-office de ce logiciel, changer l’identifiant et le mot de passe, avec un bon identifiant et mot de passe, prendra environ 30 secondes tout au plus !
En fait, cet exemple vous fait découvrir que des solutions de Hacking peuvent prendre du temps même si elles sont imparables.
Et en pratique
Nous parlions d’hacker un site.
Une simple étude des archives, des traces d’accès, les logs : Nous prouve que des petits malins utilisent une méthode bien différente pour exploiter les faiblesses d’un site.
Voici les traces suspectes, que je trouve :
/connexion/
/_vti_bin/owssvr.dll
/MSOffice/cltreq.asp
/fonctions/
/author/administrator/
/*/*
/admin
/forum/index.php
/wap
/index.rdf
/index.xml
//Forum/phpBB2//language/lang_english/lang_main_album.php
/modules/Forums/admin/admin_db_utilities.php
/fonctions//Forum/phpBB2//language/lang_english/lang_main_album.php
/index.rss
//administrator/includes/admin.php
/author/administrator//administrator/includes/admin.php
/connexion
/index.atom
/atom.xml
/feed:
Ces traces sont visibles, car un petit malin à essayer de trouver des fichiers inclut dans le panel d’administration, dans mon site.
Il espère trouver un fichier qui sera une piste pour obtenir petit à petit un accès à votre site.
Si je prends le contrôle d’un site?
À quoi sert de prendre le contrôle d’un site?
À rien !
Sauf, si ce site vous permet de prendre le contrôle d’autres sites et de rester ainsi camouflé, légalement, derrière le propriétaire du site .
Il vous permet aussi d’utiliser la responsabilité juridique de son propriétaire pour envoyer des quantités astronomiques de pourriels , par exemple .
Un autre privilège est de pouvoir signer son passage en défaçant le site.
En claire, il pausera, sur votre page d’accueil, une nouvelle page qui vantera ses mérites tout en vous ridiculisant.Si j’ai
Je Hacké un site, Suis je trouvable?
Les logs d’accès au site, s’ils sont correctement configurés, vous fournirions tout ce qu’il vous faut pour chasser votre nouvel ennemi.
X.X.X.X – - [29/Jan/2008:18:11:55 +0100] « GET //Forum/phpBB2//language/lang_english/lang_main_album.php HTTP/1.1″ 404 1682 « - » « Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) »
Y.Y.Y.Y – - [29/Jan/2008:18:11:55 +0100] « GET /author/administrator//administrator/includes/admin.php HTTP/1.1″ 404 1682 « - » « Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) »
[...]
Les adresses IP X.X.X.X et Y.Y.Y.Y sont les sources de l’attaque.
Ils sont donc trouvables.
Loin de commencer à se plaindre, il suffirait simplement de fermer l’accès à cette adresse IP ou sa plage d’adresse IP.
Ce n’est pas toujours possible.
Mais ils sont trouvables.
Si vous avez bien lu, mon article, vous avez sûrement compris que l’adresse IP peut-être une autre machine ou un autre site déjà capturé.
À partir d’ici, tout devient plus compliqué.Mais, si l’on se servait sur votre machine ?
Il existe une source méconnue ou rarement envisagée.
En effet, pourquoi utiliser des méthodes si compliquées. Il y a beaucoup plus simple et beaucoup plus rapide.
Les informations qui sont nécessaires sont sur votre machine.
Dans vos mails, dans un document excel, dans un fichier texte, dans les recoins de votre machine, …
Cette solution consiste à installer un logiciel sur votre machine.
Mais mieux, c’est vous qui allez l’installer pour votre plus grand malheur.
En effet la très grande majorité d’outils qui servent à prendre le contrôle de votre machine nécessite une intervention manuelle.
Vers 1995, jusqu’en 2003 une génération entière de gens connectés à internet ont dû supporter des spywares, des trojans, des dialer et toute sorte de barres de navigation pour nos navigateurs.
Ces logiciels ont exploité des failles du système, ou les fonctionnalités fournies pour les développeurs, via les logiciels qui les exécutaient.
Les pages Web, et les e-mails entre autres sont des points d’entrée connus .
À cette époque, la grande majorité des machines de particulier étaient visibles et on pouvait s’y connecter à l’aide de simple protocole réseau installé par défaut.
2003 à 2005 : Les parades sont prêtes, il devient difficile d’installer automatiquement des logiciels, les firewalls personnels sont une nouvelle sécurité connue, les dialers sont chassés par l’ADSL.
Depuis 2005 : seuls les experts savent vous fournir un mauvais logiciel où vous n’êtes pas à jour avec vos licences Windows.
Si vous possédez un modem, faites bien attention à qui vous connecte sur internet !
En effet la mise à jour obligatoire de Windows a largement contribué à la vaccination des machines, tout en étant bénéfique pour l’entreprise.
Mais il faut savoir que si quelqu’un installe un logiciel sur votre machine sous votre identité ( votre identifiant ).
Il aura accès aux mêmes ressources que vous :
Accès banque, identifiants , mot de passe, historique des visites, compte email, document Word, images… TOUT !
Et donc, il pourra hacker votre site avec votre compte et le mot de passe.
On trouve effectivement tout sur votre machine.