Hashcat : l’outil gratuit et puissant pour tester la sécurité des mots de passe

Qu'est-ce que l'outil d’ethical hacking Hashcat ?

Hashcat est l’un des outils de récupération de mots de passe les plus puissants du marché. Il permet de tester différentes combinaisons pour reconstituer un mot de passe à partir de son empreinte cryptographique (appelée « hash »). Utilisé à bon escient, il s’agit d’un formidable outil d’ethical hacking, qui permet de tester la robustesse des mots de passe, d’améliorer la sécurité des systèmes et d’identifier des vulnérabilités liés à des mots de passe faibles.

Son énorme avantage par rapport à ses concurrents ? Il exploite la puissance des cartes graphiques (GPU) pour accélérer le processus, ce qui lui permet de retrouver les mots de passe bien plus rapidement qu’avec un simple processeur.

Qu’est-ce qu’un Hash ?

Un hash est le résultat d’une transformation mathématique appliquée à une donnée, comme un mot de passe. Imaginez un hachoir de cuisine : une fois qu’un aliment est réduit en petits morceaux, il est impossible de le reconstituer dans son état initial. C’est exactement ce qui se passe avec un hash : une fois un mot de passe converti, on ne peut pas directement retrouver sa version originale.

Les systèmes de sécurité utilisent des algorithmes de hashage comme MD5, SHA-256 ou bcrypt pour transformer les mots de passe en une suite de caractères unique. Par exemple, avec l’algorithme MD5, le mot de passe « azerty » devient :

« ab4f63f9ac65152575886860dde480a1 »

Le problème ? Certains mots de passe sont trop simples et leurs hashes peuvent être retrouvés en les comparant à des bases de données existantes. C’est exactement ce que fait Hashcat : il teste des milliards de combinaisons jusqu’à retrouver une correspondance.

Qui utilise Hashcat ?

Hashcat est un outil de pentest principalement utilisé par les professionnels de la cybersécurité, mais qui peut être détourné à des fins malveillantes. Plusieurs types de profils l’utilisent :

• Pentesters et hackers éthiques, qui utilisent Hashcat pour tester la sécurité des systèmes d’une entreprise et renforcer la protection des comptes.
• Administrateurs système, qui doivent s'assurer que les utilisateurs adoptent des mots de passe robustes. En testant leurs propres systèmes avec Hashcat, ils peuvent ainsi détecter les mots de passe trop simples et forcer leur renouvellement.
• Chercheurs en cybersécurité, qui analysent la résistance des algorithmes de hashage et participent à l’amélioration des méthodes de chiffrement pour renforcer la protection des données.
• Hackers malveillants (black hat), qui détournent Hashcat et l’utilisent à des fins malveillantes pour tenter de déchiffrer les mots de passe contenus dans les bases de données volées.

Est-ce légal d’utiliser l’outil de Pentest Hashcat ?

Hashcat est une arme à double tranchant. Outil puissant entre de bonnes mains, elle peut représenter un véritable danger lorsqu’elle est utilisée à des fins malveillantes. À ce titre, son utilisation est strictement encadrée :

• Dans un cadre éthique et autorisé, utiliser Hashcat est parfaitement légal. Les Pentesters certifiés et les Administrateurs système l’emploient ainsi régulièrement pour tester leurs propres infrastructures ou celles de leurs clients, avec leur consentement.
• Mais utiliser Hashcat pour casser des mots de passe sans l’autorisation du propriétaire du système est illégal. En France (et dans la plupart des pays), c'est une infraction grave, passible de 5 ans de prison et 150 000 € d’amende selon l’article 323-1 du Code pénal (la peine pouvant monter à 7 ans et 300 000 € d’amende si ce sont des infrastructure étatiques qui sont attaquées).

Hashcat est-il gratuit ?

Oui, Hashcat est un logiciel open source et totalement gratuit ! Tout le monde peut ainsi l’utiliser sans frais, et même le modifier ou l’améliorer. Il est régulièrement mis à jour par la communauté et est accessible directement sur son site officiel ou via GitHub.

Comment fonctionne l'outil de craquage de mot de passe Hashcat ?

Pour pouvoir tester la robustesse des mots de passe via Hashcat, il faut procéder en 3 étapes :

1. Récupérer les hashes à cracker : ils peuvent être extraits d’une base de données volées ou extraits lors d’une cyberattaque.
2. Choisir la méthode d’attaque : Hashcat peut permettre de lancer plusieurs types d’attaques par force brute, donc vous devrez d’abord choisir laquelle est la plus adaptée à votre situation.
3. Lancer le cracking : une fois l’attaque configurée, Hashcat compare les hashs trouvés avec ceux générés par ses essais. Dès qu’une correspondance est détectée… Bingo ! Le mot de passe est récupéré. Notez également que comme Hashcat exploite la puissance des GPU, le processus est grandement accéléré, et avec certaines cartes graphiques particulièrement performantes, il peut ainsi tester jusqu’à plusieurs milliards de hashages par seconde.

À quoi sert Hashcat ?

Hashcat est un outil polyvalent, utilisé à des fins légitimes en cybersécurité pour :

• Tester la robustesse des mots de passe : les Administrateurs système et Pentesters l’utilisent pour voir si certains mots de passe utilisés peuvent être facilement cassés et, si c’est le cas, renforcer les politiques de sécurité.
• Auditer la sécurité des systèmes : Hashcat aide les experts en cybersécurité à simuler des attaques par force brute pour repérer les failles de sécurité liées aux mots de passe et les corriger avant qu’un pirate ne les exploite.
• Analyser des bases de données compromises : en cas de fuite de données, Hashcat peut être utilisé afin de déterminer si les mots de passe dérobés pourraient être crackés, et prévenir les utilisateurs des dangers potentiels.
• Récupérer des mots de passe oubliés : imaginez, vous perdez un mot de passe, et vous n’avez aucun moyen de le récupérer… Hashcat peut représenter une solution de dernier recours, mais ne l’utilisez que si vous êtes explicitement autorisé à le faire, sinon, vous tomberez dans l’illégalité.

Quels types d’attaques peut-on faire avec Hashcat ?

Pour tester la robustesse des mots de passe utilisés, les White Hat Hacker peuvent utiliser Hashcat afin de simuler plusieurs types de cyberattaques par force brute :

• Attaque par force brute « simple » : très efficace mais très lente, même en utilisant la puissance des GPU, et pour cause : Hashcat va tester toutes les combinaisons de caractères possibles, jusqu’à trouver la bonne.
• Attaque par dictionnaire : certainement la méthode la plus rapide ; Hashcat teste les mots de passes issus d’une liste connue (comme la célèbre RockYou.txt), et voit si les hashes de l’un d’entre eux permet correspondent à ceux du mot de passe à déchiffrer ; cette méthode peut être redoutablement efficace face aux mots de passe les plus utilisés.
• Attaque par masque : idéale si vous connaissez une partie du mot de passe à cracker, par exemple, si vous savez qu’il commence par « Passw » et finit par un chiffre ; Hashcat testera alors uniquement les possibilités prenant en compte ces caractéristiques, accélérant le processus.
• Attaque hybride : mix entre l’attaque par dictionnaire et l’attaque par force brute simple, Hashcat décline les mots de passe d’une liste pour tester leurs variantes, en ajoutant par exemple des chiffres, des majuscules ou des symboles (à partir de « motdepasse », le logiciel testera par exemple « MotDePasse » ou encore « motdepasse123456 »).
• Attaque combinatoire : 2 dictionnaires différents sont combinés pour tester une grande variété de mots de passe ; imaginons que vous ayez un dictionnaire avec les mots de passe les plus utilisés, et un avec une liste de prénoms ; Hashcat va alors les associer pour par exemple tester « azertylucie » plutôt que simplement « azerty » ou « lucie ».

Quels sont les algorithmes supportés par Hashcat ?

Hashcat supporte actuellement plus de 300 algorithmes de hashage, et en prend régulièrement en charge de nouveaux lors de ses mises à jour. Parmi les plus connus, vous trouverez notamment :

• LM hashes  
• MD4  
• MD5  
• SHA-family  
• Unix Crypt

Comment installer Hashcat sur votre ordinateur ? -

Installer Hashcat sous Windows

1. Rendez-vous sur le répertoire GitHub officiel de Hashcat pour télécharger la dernière version disponible.
2. Décompressez l’archive dans un dossier de votre choix.
3. Assurez-vous que toutes les dépendances et tous les pilotes de carte graphique nécessaires au bon fonctionnement d’Hashcat sont installés sur votre ordinateur, et si besoin, installez ceux qu’il vous manque.
4. Ouvrez l’invite de commande et naviguez jusqu’au dossier où se trouve Hashcat.
5. Lancez Hashcat en tapant hashcat.exe.

Installer Hashcat sous MacOS

1. Commencez par installer un gestionnaire de paquets libres comme Homebrew.
2. Une fois Homebrew installé, ouvrez le Terminal Mac et lancez la commande « brew install hashcat ».
3. Une fois l’installation terminée, vérifiez qu’Hashcat est bien installé en tapant « hashcat --help ».

Installer Hashcat sous Linux

La commande à envoyer pour installer Hashcat sous Linux dépendra de votre version de Linux. Par exemple :

• Sur Debian ou Ubuntu, tapez : « sudo apt install hashcat »
• Sur Arch Linux, tapez : « sudo pacman -S hashcat »

Vous pouvez aussi compiler puis installer la dernière version de Hashcat depuis GitHub. Pour cela, entrez la commande suivante :

git clone https://github.com/hashcat/hashcat.git

cd hashcat  

make  

Vérifiez ensuite l’installation en entrant « ./hashcat --help »

Comment se reconvertir pour travailler dans la cybersécurité ?

Comme les Pentesters et les professionnels de la cybersécurité, vous aimeriez apprendre à utiliser Hashcat pour tester et renforcer la sécurité des systèmes d’information ? Bonne nouvelle, la cybersécurité recrute, et cherche même des profils en reconversion ! Mais pour accéder aux opportunités que vous offre ce secteur, vous devrez commencer par vous former. Le mieux pour cela, c’est de suivre un cursus reconnu comme ceux que nous vous proposons, qui sont éligibles au CPF et ont été élus meilleurs bootcamps en sécurité informatique par Course Report en 2024 :

• Commencez par suivre notre formation en cybersécurité pour débutant d’une durée de 75 heures si vous avez besoin d’acquérir les bases.  
• Continuez avec notre formation en sécurité informatique de 450 heures, à l’issue de laquelle vous serez en mesure d’auditer et de sécuriser une infrastructure informatique de A à Z, ce qui vous permettra de trouver votre premier job dans la cyberdéfense.  
• Développez des compétences de pointe et très recherchées grâce à notre formation pour devenir expert en cybersécurité, qui fera de vous un pilier essentiel de votre équipe cyber.

Envie de commencer à préparer votre reconversion dès aujourd’hui ? Pour cela, rien de plus simple :

1. Consultez notre syllabus pour découvrir nos formations et leurs débouchés en détail.  
2. Venez nous poser toutes vos questions lors de notre prochaine Soirée Portes Ouvertes en ligne.  
3. Prenez rendez-vous avec notre équipe admission pour élaborer votre parcours pédagogique et discuter des possibilités de financement auxquelles vous pourriez être éligible.

Questions fréquentes à propos de l’outil Hashcat

Quelle est la différence entre Hashcat et John the Ripper ?

Grâce à l’utilisation des GPU, Hashcat permet un craquage très rapide des mots de passe, notamment en brute-force. Il vous permet également d’effectuer des attaques avancées comme des attaques combinatoires, que vous ne pourrez pas effectuer avec John the Ripper.

Cependant, John the Ripper est plus flexible pour des attaques avancées sur CPU, notamment pour les attaques hybrides ou basées sur des hashages uniques.

Le choix entre ces 2 outils dépend donc de vos besoins : Hashcat est idéal pour des attaques massives et rapides sur GPU, tandis que John the Ripper est plus adapté aux tests spécifiques sur CPU.

Combien de temps faut-il pour casser un mot de passe avec Hashcat ?

Tout dépend de la complexité du mot de passe et de la puissance de votre machine. Un GPU puissant peut tester des milliards de combinaisons par seconde, mais avec si le mot de passe à déchiffrer est particulièrement long et complexe (comme « L!m0n_@d3#2025djf3Fzj2’9kqsNV!?CXGsq9ç » par exemple) cela pourrait tout de même prendre des mois (voire des années) pour le casser.

Peut-on utiliser Hashcat pour cracker un mot de passe Wi-Fi ?

Oui, Hashcat peut être utilisé pour cracker un mot de passe Wi-Fi, mais uniquement dans un cadre légal et avec l’accord explicite du propriétaire du réseau concerné.

À noter : grâce à Hashcat, vous pourrez tester la robustesse des mots de passe WPA/WPA2, mais pas capturer directement des données issues d’un réseau Wi-Fi (pour cela, il faudrait utiliser un sniffer de paquets).