Examinons à présent l'autre dimension de la sécurité, les outils d'intrusion. L0phtCrack 2.0 ne peut percer que des authentifications saisies contenant la combinaison standard de la réponse LM et NT. Le renifleur d'authentification SMB (Server Message Block) de L0phtCrack, READSMB, met l'authentification dans un fichier texte qu'il donne à percer
L0phtCrack menace l’authentification NTLM

à L0phtCrack. (Lm-fix désactive l’authentification LM, mais READSMB
peut tout de même copier la réponse NT).
L0phtCrack traite le fichier de READSMB contentant le résultat des réponses LM
et NT et ignore la réponse NT. Pour percer la réponse LM, plus faible, il pratique
des attaques de dictionnaire, capables de deviner les mots de passe de mauvaise
qualité en quelques secondes. Si la réponse LM résiste au dictionnaire, il applique
une méthode par la force, un algorithme qui met plusieurs jours pour en venir
à bout.
Dans L0phtCrack 2.5 les méthodes de percement sont plus souples. L’écran 3 montre
un nouveau type de percement hybride qui combine la force à un dictionnaire et
calcule comment un utilisateur aurait pu utiliser un mot commun (avec un certain
nombre de chiffres et de symboles supplémentaires) pour satisfaire aux stratégies
de mots de passe définies par l’utilitaire PassProp du Kit de ressources de Windows
NT Server 4.0. Bien que plus lentes que la méthode du dictionnaire, les attaques
de ce type déchiffrent des mots de passe tels que Apple1 ou 2Bleu3 beaucoup plus
rapidement que la méthode par la force.
De plus, les pirates peuvent facilement modifier le jeu de caractères pour permettre
aux attaques par la force de contrôler la durée de l’attaque ou de trouver des
mots de passe de meilleure qualité.
Mais l’amélioration la plus importante de L0phtCrack permet à un pirate d’exécuter
des attaques de dictionnaire uniquement sur la réponse NT. Bien que plus longues
que les percements de réponse LM, celles-ci ne prennent malgré tout que quelques
heures.Certes lm-fix n’a pas résisté à toutes les attaques possibles, mais il
a mis en déroute les attaques classiques de pirates utilisant les outils existants.
Microsoft a d’ores et déjà amélioré le protocole NTLM et L0phtCrack Heavy Industries,
de son côté, a amélioré L0phtCrack. Je vais donc à présent expliquer comment ces
ennemis mutuels s’acharnent l’un contre l’autre.
Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
- Gestion du cycle de vie des outils de cyberdéfense : un levier de performance pour les entreprises
