On ne présente plus Ultimate Boot CD, un Live CD contenant une myriade de logiciels permettant de réaliser différents tests sur vos machines (CPU, RAM, disques, etc), gérer des partitions, effacer des disques ou réinitialiser des mots de passe. C’est un élément indispensable à votre trousse de secours en tant qu’administrateur ou technicien réseau.

Un autre célèbre LiveCD est BackTrack, une distribution Linux spécialisée en sécurité et en récupération d’informations.

BackTrack 4

Ces deux distributions peuvent chacunes être exécutées depuis une clé USB mais plutôt que de se déplacer en permanence avec deux clés nous allons voir comment intégrer BackTrack 4 à Ultimate Boot CD 5 (en version RC1 au moment où j’écris ces lignes) sur une clé USB d’au moins 2 Go.

Continuer à lire "Intégrer BackTrack 4 à Ultimate Boot CD 5 sur une clé USB"

Il m’est arrivé plusieurs fois de récupérer des ordinateurs portables de filiales étrangères qui n’avaient pas été installés par mes soins et dont je ne connaissais pas le mot de passe administrateur. Plutôt que de réinstaller complètement la machine je préfère passer cinq minutes à joyeusement pirater le compte administrateur au moyen d’un Live CD Ophcrack.

Le principe d’Ophcrack est simple : l’algorithme de hash des mots de passe utilisé par Windows XP étant connu, il suffit de calculer l’ensemble des hashs possibles pour des combinaisons de lettres et de chiffres et de comparer la valeur du hash du mot de passe de l’utilisateur à la base ainsi calculée pour finalement aboutir au mot de passe en clair. Simple et efficace. La table de hashs (rainbow table) utilisée dans le Live CD contient toutes les combinaisons de lettres en minuscules et majuscules ainsi que les chiffres jusqu’à 14 caractères avec un taux de décryptage de 99.9% pour une taille de 380 Mo. Il est également possible d’acheter une table de 7.5 Go contenant en plus les caractères ! »#$%&’()*+,-./:;<=>?@[\]^_`{|}~ et l’espace.

Boot Ophcrack

Continuer à lire "Cracker les mots de passe d’utilisateurs locaux de Windows XP"

Depuis l’époque des disquettes une rumeur persistante indique que pour détruire des données confidentielles il faut non seulement supprimer le fichier mais aussi réécrire des données aléatoires sur son emplacement physique, et ce plusieurs fois. Certains programmes de suppression de données proposent ainsi d’écrire des données aléatoires 3, 10 ou même 35 fois et ce selon différents algorithmes (DOD 5220.22-M, Peter Gutmann, etc).

Il est cependant intéressant de noter qu’à de nombreuses reprises des spécialistes de la récupération de données ont déclaré qu’une simple écriture de 0 à l’emplacement du fichier suffisait à rendre toute récupération significative impossible¹. Après une simple réécriture il devient impossible de récupérer des données par moyen logiciel mais il est théoriquement possible de le faire grâce à des moyens matériels lourds comme par l’utilisation de micoscope à force magnétique. Cette possibilité suffisait à conforter les tenants des passes multiples d’écritures aléatoires.

Une étude scientifique de cette méthode a été rendue publique aujourd’hui à l’ICISS2008². L’étude porte sur les probabilités de récupération de 1 ko de données sur des disques neufs ou ayant été utilisés. Il en résulte qu’il y a une probablilité de 92% de récupérer un simple bit sur un disque neuf et de 56% sur un usagé, soit à peine plus qu’un simple pile ou face. Récupérer un octet complet fait passer ces probabilités à 51% et 1% tandis que la récupération complète du kilo-octet de données est de 8,3.10^-38 pour un disque neuf et de 1,4.10^-258 pour un disque usagé, ce qui garantit virtuellement l’impossibilité de récupérer des données de manière significative.

Pour prendre un exemple concret, imaginons que vous stockiez dans un fichier texte votre clé WiFi WPA. Le fichier fera environ 64 octets. Une fois le fichier supprimé du disque et une série de 0 écrite par dessus, la probabilité de récupérer votre clé par l’utilisation d’un microscope à force magnétique serait de 0,00000000000000766%.

Un point important à noter dans cette expérience est que les chercheurs savaient exactement à quel emplacement les données avaient été écrites, ce qui n’est pas le cas en situation normale et ferait donc chuter de manière exponentielle les chances de récupération.

Il ressort donc de tout cela que pour effacer des données confidentielles de manière sécurisée il suffit de réécrire une seule fois par dessus, ce qui d’une part fait gagner un temps considérable par rapport aux méthodes à 3, 10 ou 35 passes mais en plus permet de préserver la mécanique des disques durs. Il est par contre fondamental de penser à détruire toutes les versions du fichier qui peuvent se trouver dans un fichier temporaire, dans une Shadow Copy ou dans une sauvegarde.

1. http://en.wikipedia.org/wiki/Gutmann_method#cite_note-Gutman-0 [↩]
2. http://sansforensics.wordpress.com/2009/01/15/overwriting-hard-drive-data/ [↩]