.webp)
Qu’est-ce que Hashcat ?
Hashcat est un outil informatique utilisé pour retrouver des mots de passe à partir de leur version chiffrée, appelée "hachage". Il s'agit d'un programme de craquage de mots de passe très performant, utilisé dans les domaines de la cybersécurité.
Il permet de tester de nombreuses combinaisons de mots de passe en un temps court. Hashcat peut travailler avec plusieurs types d’algorithmes de hachage, comme MD5, SHA-1, bcrypt ou NTLM.
Ce logiciel est souvent utilisé en phase de test de sécurité pour vérifier la robustesse des mots de passe.
À quoi sert Hashcat ?
Hashcat est principalement destiné aux professionnels de la cybersécurité. Il est utilisé pour réaliser des audits de sécurité sur les systèmes d’authentification.
En entreprise, il peut servir à tester la résistance des mots de passe internes. Si un mot de passe est craqué rapidement par Hashcat, cela indique qu'il est trop faible.
Les chercheurs en sécurité utilisent aussi Hashcat pour identifier des failles et proposer des politiques de mot de passe plus sûres. Enfin, certains administrateurs systèmes l’utilisent après des fuites de données pour estimer les risques liés aux mots de passe exposés.
Comment fonctionne Hashcat ?
Hashcat compare des milliers (ou millions) de mots de passe candidats à un hachage donné. Il essaie ainsi de retrouver le mot de passe d’origine utilisé pour produire ce hachage.
Le logiciel utilise différentes méthodes, appelées "attaques". Les plus courantes sont :
- L’attaque par dictionnaire : Hashcat teste une liste connue de mots de passe probables.
- L’attaque combinée : il associe plusieurs mots ou caractères à partir d’un dictionnaire.
- L’attaque par force brute : il génère toutes les possibilités de manière systématique.
Hashcat exploite la puissance des processeurs graphiques (GPU), ce qui le rend bien plus rapide que des outils classiques utilisant uniquement le processeur (CPU).
Il est compatible avec plusieurs systèmes d’exploitation et peut tourner sur Linux, Windows ou macOS.
Différences avec des notions proches
Hashcat n’est pas un générateur de mots de passe. Il ne crée pas de mots de passe, il tente de les retrouver à partir de leur empreinte.
Il se distingue aussi des outils de hachage. Un outil de hachage transforme un mot en hachage. Hashcat fait le chemin inverse, ce qui est normalement complexe, sauf si le mot de passe est faible.
Enfin, il ne faut pas confondre Hashcat avec des outils de piratage. Son usage légal est lié au test de la sécurité interne, avec l’accord explicite de l’entreprise ou du client.
Exemples ou cas d’usage concrets
Un cabinet de cybersécurité est mandaté pour auditer les mots de passe d’une PME. Il extrait les hachages de l’annuaire LDAP de l’entreprise et utilise Hashcat pour vérifier s’ils peuvent être retrouvés facilement. Résultat : 40 % des mots de passe sont découverts en 2 heures. Le rapport recommande un changement des politiques de mot de passe.
Un service informatique soupçonne une fuite de données dans son organisation. Il compare les hachages présents dans un fichier diffusé sur Internet avec sa base interne. Grâce à Hashcat, il identifie plusieurs comptes compromis et force leur réinitialisation.
Un étudiant en cybersécurité utilise Hashcat dans un cadre pédagogique pour comprendre les méthodes d’attaque et les faiblesses des algorithmes de hachage.