> Tech > L0phtCrack menace l’authentification NTLM

L0phtCrack menace l’authentification NTLM

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Examinons à  présent l'autre dimension de la sécurité, les outils d'intrusion. L0phtCrack 2.0 ne peut percer que des authentifications saisies contenant la combinaison standard de la réponse LM et NT. Le renifleur d'authentification SMB (Server Message Block) de L0phtCrack, READSMB, met l'authentification dans un fichier texte qu'il donne à  percer

L0phtCrack menace l’authentification NTLM

à  L0phtCrack. (Lm-fix désactive l’authentification LM, mais READSMB
peut tout de même copier la réponse NT).
L0phtCrack traite le fichier de READSMB contentant le résultat des réponses LM
et NT et ignore la réponse NT. Pour percer la réponse LM, plus faible, il pratique
des attaques de dictionnaire, capables de deviner les mots de passe de mauvaise
qualité en quelques secondes. Si la réponse LM résiste au dictionnaire, il applique
une méthode par la force, un algorithme qui met plusieurs jours pour en venir
à  bout.

Dans L0phtCrack 2.5 les méthodes de percement sont plus souples. L’écran 3 montre
un nouveau type de percement hybride qui combine la force à  un dictionnaire et
calcule comment un utilisateur aurait pu utiliser un mot commun (avec un certain
nombre de chiffres et de symboles supplémentaires) pour satisfaire aux stratégies
de mots de passe définies par l’utilitaire PassProp du Kit de ressources de Windows
NT Server 4.0. Bien que plus lentes que la méthode du dictionnaire, les attaques
de ce type déchiffrent des mots de passe tels que Apple1 ou 2Bleu3 beaucoup plus
rapidement que la méthode par la force.

De plus, les pirates peuvent facilement modifier le jeu de caractères pour permettre
aux attaques par la force de contrôler la durée de l’attaque ou de trouver des
mots de passe de meilleure qualité.

Mais l’amélioration la plus importante de L0phtCrack permet à  un pirate d’exécuter
des attaques de dictionnaire uniquement sur la réponse NT. Bien que plus longues
que les percements de réponse LM, celles-ci ne prennent malgré tout que quelques
heures.Certes lm-fix n’a pas résisté à  toutes les attaques possibles, mais il
a mis en déroute les attaques classiques de pirates utilisant les outils existants.
Microsoft a d’ores et déjà  amélioré le protocole NTLM et L0phtCrack Heavy Industries,
de son côté, a amélioré L0phtCrack. Je vais donc à  présent expliquer comment ces
ennemis mutuels s’acharnent l’un contre l’autre.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010