John the Ripper : l’outil gratuit et incontournable pour tester la sécurité des mots de passe

Qu’est-ce que John the Ripper ?

John the Ripper, ou JtR pour les intimes, est un outil de cybersécurité open source spécialisé dans le bruteforce et le déchiffrage des mots de passe. Sa mission est donc simple : identifier les mots de passe faibles, et par là, les failles dans les politiques de sécurité, pour aider les professionnels à sécuriser leurs environnements numériques.

Pour accomplir sa mission, John the Ripper peut casser des mots de passe chiffrés grâce à différents types de cyberattaques par force brute. Et ce n’est pas tout, puisque cet outil de pentest est également capable de reconnaître certains des algorithmes de chiffrement utilisés et de s’adapter en conséquence. Pratique, non ?

Qui utilise l’outil John the Ripper ?

Si les métiers de la cybersécurité sont nombreux à utiliser John the Ripper, ce ne sont pas les seuls :

• Les Pentesters l’utilisent pour identifier les faiblesses des mots de passe utilisés dans une organisation.  
• Les Administrateurs systèmes et les RSSI s’en servent pour auditer les comptes et s’assurer qu’aucun mot de passe trop faible ne traîne sur leurs serveurs.  
• Les Chercheurs en cybersécurité l'emploient pour étudier les comportements d’authentification, les nouvelles techniques de hash ou simuler des attaques.  
• Les forces de l’ordre et les agences gouvernementales peuvent l’utiliser lors d’enquêtes forensiques pour récupérer des données chiffrées dans un cadre légal.  
• Les hackers malveillants le détournent pour obtenir des accès non autorisés à des systèmes souvent insuffisamment protégés.

Quelles sont les différences entre John the Ripper et Hashcat ?

La principale différence entre John the Ripper et Hashcat, c’est que le premier fonctionne grâce à un processeur (CPU), tandis que le second exploite la puissance d’une carte graphique (GPU) pour gagner en rapidité et faire du bruteforce à grande échelle.

• John the Ripper est idéal pour débuter, comprendre les types de hachages ou faire des tests ciblés.  
• Hashcat prend le relais quand vous devez traiter des volumes massifs de hachage.

Loin d’être exclusifs, ces outils sont donc complémentaires et peuvent tous les deux trouver leur utilité lors d’un audit de sécurité.

Est-ce légal d’utiliser l’outil de mots de passe John the Ripper ?

Utiliser John the Ripper est légal, mais seulement dans un cadre encadré. Vous pouvez ainsi l’utiliser pour tester la robustesse des mots de passe de votre propre système, ou si vous disposez d’une autorisation explicite et écrite du propriétaire du système testé.

À l’inverse, vous basculez dans l'illégalité si vous vous servez de JtR pour vous introduire dans un système sans autorisation, pour tester des failles de sécurité sans qu’un accord vous ait été donné, ou encore pour cracker les mots de passe de comptes tiers. Selon l’article 323-1 du Code pénal, vous risquez alors jusqu’à 150 000 € d’amende et 5 ans d’emprisonnement (votre peine pouvant être portée à 300 000 € et 7 ans d’emprisonnement si vous vous en prenez à un système appartenant à l’État).

John the Ripper est-il gratuit ?

Oui, John the Ripper est un outil de pentest open source et totalement gratuit. Vous n’aurez ainsi aucunement besoin de sortir votre carte pour l’installer et l’utiliser.

Comment fonctionne John the Ripper ?

Pour réussir à casser un mot de passe, John the Ripper suit 3 grandes étapes :

1. Récupération du hash du mot de passe à cracker. La force de JtR, c’est qu’il peut déchiffrer les mots de passe protégés, mais pour cela, il a besoin de leur version chiffrée que l’on appelle un « hash ». Ce hash peut être extrait d’une base de données compromise, de fichiers serveurs mal sécurisés, ou encore être dérobés grâce à des attaques par sniffing de paquets.  
2. Analyse et identification du type de hash. De nombreux algorithmes de hachage peuvent être utilisés pour protéger un mot de passe. Avant de le casser, John doit identifier lequel a été employé (MD5, SHA1, NTLM, bcrypt…).  
3. Lancement de l’attaque pour casser le mot de passe. Une fois l’analyse faite, John the Ripper passe aux choses sérieuses et lance le déchiffrement. Il teste des milliers (voire des millions) de mots de passe potentiels pour tenter de retrouver celui qui produit le même hash que celui qu’il cherche à déchiffrer.

Quels types d’attaques John the Ripper utilise-t-il pour casser les mots de passe ?

Loin de se limiter à un seul type d’attaque par force brute, John the Ripper vous propose plusieurs modes de déchiffrement :

• Le mode simple, qui consiste à apporter quelques transformations au nom d’utilisateur pour déchiffrer les mots de passe les plus faibles. Si l’utilisateur est « Admin », JtR pourra ainsi tester « admin », « aDmin » ou encore « admin1234 ».  
• L’attaque incrémentale, ou attaque par force brute « classique », qui peut tester toutes les combinaisons de caractères possibles jusqu’à trouver la bonne. Le principal inconvénient de cette méthode est qu’elle peut être extrêmement longue.  
• L’attaque par dictionnaire, qui consiste à comparer le hash à décrypter à ceux des mots de passe présents sur une liste prédéterminée.  
• L’attaque par force brute hybride, qui consiste à établir des variantes à partir d’une liste de mots de passe (par exemple « 123azerty » à la place de « azerty »).  
• Le mode Markov, qui se base sur des statistiques pour tester en priorité les mots de passe les plus probables.

À quoi sert John the Ripper dans le Pentesting ?

Si John the Ripper est si prisé des hackers éthiques, c’est parce qu’il peut avoir de nombreuses applications en pentesting, et est très utile pour repérer certaines faiblesses des systèmes. Il est ainsi notamment utilisé pour :

• Tester la robustesse des mots de passe utilisés ou stockés sur des serveurs.  
• Évaluer la sécurité des comptes d’utilisateurs, et repérer ceux qui utilisent des mots de passe faibles, communs ou déjà utilisés sur d’autres comptes.  
• Identifier les hachages facilement cassables et non salés, qui reposent souvent sur l’utilisation d’algorithmes un peu datés comme LM hash ou SHA1 et qu’il faudrait penser à changer.  
• Simuler une cyberattaque dans un cadre éthique pour évaluer l’exposition d’un système et identifier ses failles liées à la politique de mots de passe avant qu’un cybercriminel ne les exploite.

Comment installer John the Ripper sur votre ordinateur ?

La procédure pour installer John the Ripper sur votre ordinateur est globalement la même sous macOS, Windows et Linux :

1. Avant toute chose, vous devrez installer OpenSSL sur votre machine.  
2. Ensuite, il vous suffira de cloner le dépôt GitHub officiel de la version JtR Jumbo (la plus complète) et de la compiler en suivant les instructions fournies par Openwall.

Bon à savoir : si vous utilisez Kali Linux, vous n’aurez pas besoin de vous embêter puisque JtR fait partie des plus de 600 outils de cybersécurité déjà pré-installés.

Comment travailler dans la Cybersécurité ?

Vous vous intéressez à la cybersécurité et pensez à en faire votre métier ? Bonne nouvelle, ce secteur est en recherche constante de nouveaux talents et est ouvert aux profils en reconversion ! Mais pour y faire carrière, vous devrez d’abord vous former. Chez Jedha, nous vous proposons justement des formations qui s’adaptent à votre niveau de départ :

• Notre formation en cybersécurité pour débutant (75 h) est idéale si vous partez de zéro et que vous avez besoin d’acquérir des bases solides.  
• Notre formation en sécurité informatique (450 h) vous aidera à développer l’expertise nécessaire pour sécuriser des systèmes d’information et décrocher votre premier poste en cybersécurité.  
• Notre formation pour devenir expert en cybersécurité (150 h) vous permettra d’acquérir des compétences de pointe très recherchées sur le marché du travail.

Pour en savoir plus sur nos bootcamps élus meilleurs bootcamps en cybersécurité par la plateforme Course Report en 2024, rien de plus simple :

1. Découvrez nos formations dans leurs moindres détails dans notre syllabus.  
2. Participez à notre prochaine Soirée Portes Ouvertes en ligne, ou vous pourrez découvrir notre fonctionnement et poser toutes vos questions à notre équipe.  
3. Prenez rendez-vous avec l’un de nos conseillers pour élaborer votre projet de formation, et discuter des financements auxquels vous pourriez être éligible.

Questions fréquentes à propos de John the Ripper

Quelles sont les différences entre John the Ripper et Hydra ?

À première vue, John the Ripper et Hydra semblent faire la même chose : cracker des mots de passe. Mais en réalité, ils fonctionnent de deux manières différentes :

• John the Ripper est un outil de cassage de mots de passe offline. Il fonctionne à partir de hashs, souvent extraits de base de données compromises, et cherche à les déchiffrer.  
• Hydra est spécialisé dans les attaques en ligne, qui teste plusieurs mots de passe pour tenter de retrouver celui associé à un identifiant, directement depuis une interface de connexion.

Ces outils ne permettent donc pas la même chose, mais sont complémentaires en pentesting.