"Hacker" un mot de passe

S'il est un classique dans les recherches, c'est celui du hack/crack/piratage de mot de passe, souvent pour MSN, Hotmail, Facebook et plus récemment Twitter. 
 
Ce texte n'aura pas pour but de vous expliquer comment voler - car pour une fois, le terme qui s'applique est bien celui de vol - un mot de passe. C'est illégal, c'est sans intérêt et c'est une violation de la vie privée. Par ailleurs, si vous cherchez à apprendre le hacking pour vous livrer à ce genre d'activités de script-kiddies, non seulement vous vous êtes trompé de site mais vous feriez mieux de vous remettre en question. 
 
Voilà pour la leçon de morale. Passons aux choses sérieuses. En vous promenant sur les forums, qu'ils soient purement techniques ou complétement extérieurs au monde l'informatique, vous tombez sur des personnes demandant comment voler des mots de passe. Certaines personnes malintentionnées ne s'y sont pas trompées et on a vu fleurir ici et là divers sites vous proposant de voler - à votre place - divers mots de passe et souvent pour de l'argent. 
 
Non seulement, vous dépensez votre argent pour rien mais vous compromettez très souvent vos propres données personnelles, notamment vos données bancaires. Quant aux logiciels qui théoriquement procèdent à ce genre de choses, ce sont des malwares qui vont s'infiltrer dans votre machine, la véroler et y piocher toutes les informations possibles. 
 
Par ailleurs, la plupart de ces malwares sont compatibles avec Windows. Cette compatibilité doit vous mettre la puce à l'oreille. 
 
En effet, certains d'entre vous ont probablement entendu parler de John The Ripper - JTR pour les intimes - de Medusa ou encore d'HyDrac. Ces softs sont utilisés sur Back Track et qui dit Back Track dit Linux. Concernant JTR, il convient de souligner que ce n'est pas un outil de crackage de mot de passe en ligne. Il est inutile d'essayer de l'utiliser pour obtenir un mot de passe d'un site Web de type Facebook. Ce que JTR va chercher, ce sont les mots de passe en local. 
 
La conclusion, vous pouvez la faire vous-même : cracker un mot de passe avec un logiciel ou un service en ligne est une escroquerie et utiliser certains softs de type JTR est inutile. A ce stade, vous vous demandez certainement comment font certaines personnes pour s'introduire dans des boîtes mails et "leaker" leurs contenus. Très simplement : en utilisant certaines failles de sécurité. Par exemple, certains sites affichent les mots de passe en clair, dans le code source notamment ou parfois, dans les URL. D'autres ont des procédures de récupération de mot de passe peu sérieuses. Par ailleurs, les personnes ont tendance à utiliser les mêmes mots de passe sur l'ensemble des sites qu'ils utilisent quotidiennement, mots de passe dont la résistance est très faible. Avec un peu de social engineering, on récupère facilement les identifiants des victimes. 
 
Un dernier mot sur les "logiciels miracles" que vous pouvez voir fleurir sur la toile qui vont soit-disant vous permettre d'"hacker" les mots de passe Facebook/MSN/Skype/Twitter : il s'agit la plupart du temps de malwares, destinés aux naïfs et la seule personne dont les identifiants et mots de passe vont être effectivement découverts, ce sont ceux des personnes qui auraient eu la mauvaise idée d'utiliser ce type de soft. Je ne rentre pas plus dans le détail pour le moment car cela fera l'objet d'un article à part, dans lequel un soft sera décortiqué.
 
Maintenant, vous êtes prévenus des dangers potentiels du "hacking" de mot de passe.