Les logiciels crackeurs de mots de passe

*Ecrit avec la participation de Coyotus*

Si vous cherchez le mot « hacking » dans un  moteur de recherche – au hasard Google – les résultats vous proposeront des vidéos vantant le fonctionnement de logiciels crackant tous les mots de passe possible, Facebook en tête mais on peut également citer PayPal, Yahoo, Gmail, Twitter, Steam, Dofus, les générateurs de codes Allopass, etc.

Ces logiciels vous promettent généralement de récupérer les informations d’un tiers mais pour cela, vous devez entrer vos propres informations personnelles (identifiant et mot de passe), payer ou encore procéder à l’installation d’une application tiers quelconque.

Naïvement, l’utilisateur va entrer les informations demandées et attendre qu’on lui envoie les informations qu’il a demandé, ce qui n’arrivera jamais. Il aura, par contre, donné toutes les informations nécessaires à l’assaillant, pour se faire voler ses propres informations. S’il a payé, s’il ne se fait escroquer que de quelques sous, il pourra s’estimer chanceux. Enfin, dans la plupart des cas de demandes d’installation d’application tiers, ce sont généralement des malwares.

Ce type de faux logiciels est très facile à créer, au point qu’on peut en être surpris. Il suffit d’avoir un logiciel (légitime cette fois) de type Visual Basic, d’inclure les boutons, espaces de textes et CSS nécessaires pour faire en quelques minutes un faux logiciel plus vrai que nature.

En voici une démonstration :

Temps de conception : 10 minutes. Il ne semblait pas utile de pousser plus loin la conception de ce fake.

Et voici ce que l'on trouve si on s'amuse à disséquer le logiciel : 

Comment les propage-t-on ? Plusieurs options s’offrent au script-kiddies : faire une vidéo sur Youtube en indiquant le lien pour le télécharger mais également envoyer directement le lien à certaines personnes ciblées. Pourquoi spécifiquement Youtube ? Le site de vidéo appartient à Google et l’indexation se fait très rapidement. Les faux logiciels de ce type sont pourvus d’une fonction d’envoi, celui qui utilisera le soft enverra donc les informations au concepteur.

Cela peut être des faux logiciels prétendant être des softs miracles pour récupérer des identifiants et mots de passe d’une victime comme cela peut être des logiciels ludiques, semblant être destinés à customiser MSN, Facebook et autres. L'exemple en image ci-dessus en est un exemple. C’est généralement à ce stade que le danger de vol d’identifiants est le plus présent. La victime n’a pas d’intentions malicieuses, elle cherche simplement à embellir, personnaliser un outil qu’elle utilise.

Auquel cas, comment faire pour s’assurer que le logiciel est légitime et non un fake logiciel ? Le plus simple réside encore dans le fait de se renseigner sur le logiciel. Pour les bricoleurs et les curieux, il est possible de regarder le code du logiciel mais cela demande une sacré connaissance en programmation et ce type de pratique – le reverse engineering – peut être illicite dans certaines hypothèses.

Il est bien entendu que regarder l’intérieur de ce type de logiciel est à portée purement préventive et éducative et ne doit pas servir à reproduire ce type d’attaque, qui finira par avoir comme effet, de vous faire arrêter. En effet, pour récupérer des identifiants et mots de passe, il faut que le soft envoie les informations, il faut donc donner une adresse email et nul n’est totalement anonyme sur la Toile. C’est d’autant plus vrai que Google ne rechigne pas à donner des informations sur les utilisateurs dans le cadre de procédures judiciaires, ainsi que le montre le Google Transparency Report.

Quoiqu’il en soit, à vouloir absolument voler les identifiants et mots de passe d’autrui, on finit bien souvent par se faire voler soi-même.