lundi 28 janvier 2008

[PENTEST] [MAIL] Can we rely on hidden password?

Alors qu'il y a quelques jours seulement je vous racontais comment récupérer simplement des mots de passe pour des comptes mails, un collègue de l'ESEC - que l'on nommera Agent HR - me montre un outil qui ne paye pas de mine mais qui entre dans la continuité du dernier post. Alors la mission du jour : combien de temps vous faut-il pour casser un mot de passe constitué de dizaines de caractères ? Bien sûr, par "caractères", j'entends symboles, lettres, chiffres et tout ce qui va bien. Allez, UNE seconde ! Mission impossible ? A nous de jouer !


Contexte :

Ce post sera intéressant dans le cadre d'un pentest interne ou externe si vous êtes entré sur le PC d'un utilisateur. Comme la plupart des postes de ce type, nous rencontrons une machine sous windows professionnel et avec Internet Explorer et Outlook installés. Vous n'avez pas réussi à trouver les mots de passe par les moyens fournis précédemment (via un webmail par exemple) et les attaques par brute force pataugent. Alors une fois sur l'ordinateur de la personne, vous pensez à regarder si celle-ci les enregistre automatiquement via son navigateur. Bien joué mais non, elle entre à chaque fois son mot de passe ou alors, elle n'utilise jamais le webmail.

L'acharnement est de mise car nous savons que les mots de passe sont la clé de voute d'un tel test d'intrusion. Alors rien dans les cookies, il vous vient une dernière idée simple : le client de messagerie ...

En effet, vous vous rendez compte que le mot de passe est bien enregistré dans le client de messagerie mais bien sûr, caché par des étoiles :

Nous ne sommes pas très avancés à part savoir que cela va nous prendre du temps de casser un mot de passe si long (34 caractères !) ... à moins que !


Notre arme du jour s'appelle, spy, winspy !

Alors pour réussir à trouver le mot de passe en une seconde, commençons par télécharger winspy++ [download].

(NB : Cet outil n'est pas à confondre avec winspy qui lui est un utilitaire contre les spywares).

Aucune installation n'est nécessaire, il suffit de décompresser le package téléchargé.

Vous trouvez alors un executable nommé WinSpy.exe (logique ;) que vous lancez.
Une petite fenêtre apparaît avec à sa gauche, une cible. Il suffit alors de faire du drag&drop sur cette cible et visez la champ avec le mot de passe (formé d'étoiles).


Et, dès que vous relachez la souris ...

... la magie opère !

Comme quoi, nous nous rendons compte encore une fois qu'un mot de passe, aussi fort soit-il, n'est pas forcément une garantie de sécurité.

Ce qu'il est important de retenir surtout, c'est qu'il ne faut laisser aucune trace ! Que ce soit dans les cookies, à travers une question secrète, sur un post-it, en clair dans un document TXT, dans le cache, etc ... un mot de passe est tant prisé qu'il faut vraiment y faire attention !
Malheureusement, les utilisateurs ne pensent souvent qu'au contenu (le mot de passe) mais bien trop rarement au contenant (la manière dont est chiffré, géré ou sauvegardé un mot de passe) ...

Pour terminer, si nous avons réussi notre défi, cela nous permettra certainement d'aller bien plus loin dans notre test. En effet, avoir un tel mot de passe, c'est bien mais en avoir deux, nous n'y croyons plus. Cela signifie que les autres mots de passe de l'utilisateur seront très certainement le même mot de passe ou un extrait de celui-ci ... l'aventure continue :)
Publié par à
Libellés :

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)
Locations of visitors to this page