Il m’est arrivé plusieurs fois de récupérer des ordinateurs portables de filiales étrangères qui n’avaient pas été installés par mes soins et dont je ne connaissais pas le mot de passe administrateur. Plutôt que de réinstaller complètement la machine je préfère passer cinq minutes à joyeusement pirater le compte administrateur au moyen d’un Live CD Ophcrack.
Le principe d’Ophcrack est simple : l’algorithme de hash des mots de passe utilisé par Windows XP étant connu, il suffit de calculer l’ensemble des hashs possibles pour des combinaisons de lettres et de chiffres et de comparer la valeur du hash du mot de passe de l’utilisateur à la base ainsi calculée pour finalement aboutir au mot de passe en clair. Simple et efficace. La table de hashs (rainbow table) utilisée dans le Live CD contient toutes les combinaisons de lettres en minuscules et majuscules ainsi que les chiffres jusqu’à 14 caractères avec un taux de décryptage de 99.9% pour une taille de 380 Mo. Il est également possible d’acheter une table de 7.5 Go contenant en plus les caractères ! »#$%&'()*+,-./:;<=>?@[\]^_`{|}~ et l’espace.
Une fois le Live CD téléchargé et gravé, il suffit de booter sur le CD et de laisser le système se charger. L’ensemble de l’opération est en fait automatique : au lancement de l’interface graphique la fenêtre d’Ophcrack se lance, énumère les comptes locaux visibles sur la machine et lance une attaque de type brute force tout en commençant à charger la fameuse rainbow table. Notez que le mot de passe Windows crypté est séparé en deux blocs de 7 caractères. La grande majorité des mots de passe faisant 8 caractères, l’attaque de type brute force permet de rapidement décrypter le deuxième bloc qui ne contient qu’un seul caractère. Dans la capture suivante on voit que Ophcrack a déjà trouvé le caractère du deuxième bloc alors qu’il n’a pas encore fini de charger la table de décryptage.
Une fois l’attaque brute force terminée (comptez 2-3 minutes), la table de décryptage devrait pratiquement être chargée. Une fois ce chargement effectué, le décryptage peut aller très vite : mon mot de passe administrateur a été décrypté en à peu près 4 minutes à partir du lancement d’Ophcrack.
Dans mon cas je n’avais qu’un seul utilisateur (Administrateur) sur la machine de test, mais Ophcrack décryptera les mots de passe de tous les utilisateurs locaux de la machine. Notez qu’après avoir parcouru l’ensemble de la table de décryptage Ophcrack n’a pas trouvé les mots de passe des utilisateurs système (ASPNET, etc), sans doute parce que ces mots de passe utilisent des caractères spéciaux.