Craquer un PDF protégé par mot de passe en quelques secondes – PZU et leur protection illusoire. NN Investment Partners répète également ces mauvaises pratiques.

L’illusion de la sécurité est pire que la conscience de son absence car elle conduit à des décisions prises sur des prémisses fausses. Les informations transmises par des institutions de confiance publique telles que « Nous protégeons vos données personnelles » créent souvent cette illusion de sécurité. Étudions deux exemples de cela en utilisant des fichiers PDF protégés par mot de passe.

  1. J’ai reçu un e-mail de PZU avec une proposition d’assurance, en soulignant « Nous protégeons les données personnelles » :
pdf avec mot de passe pzu

2. La pièce jointe était un fichier PDF protégé par un mot de passe :

pdf avec mot de passe

3. Supposons que je ne connais pas le mot de passe. Cependant, je sais par le contenu de l’e-mail que le mot de passe se compose de 4 chiffres. Voyons combien de temps il faut pour le craquer en utilisant un ordinateur domestique moderne.

4. En ouvrant le PDF en mode texte, nous pouvons lire l’en-tête du fichier (par exemple, en utilisant le Bloc-notes). Cela nous permettra d’identifier la version du standard dans laquelle il a été créé :

pdf 1.4
Comme nous pouvons le voir à partir de la chaîne « %PDF-1.4 », un format de plus de 20 ans a été utilisé ici sous la forme du PDF 1.4.

5. L’étape suivante consiste à extraire le hachage du mot de passe que nous voulons craquer. Pour cela, l’outil pdf2john.py nous est utile.

hachage pdf

6. Pour craquer le hachage obtenu, nous utiliserons hashcat en mode force brute. 10500 indique le mode de craquage des hachages pour les fichiers PDF versions 1.4-1.6 :

Le fichier hash.txt contient le hachage du mot de passe précédemment extrait. a3 indique un mode de force brute avec le masque ?d?d?d?d où chaque ?d représente un chiffre de 0 à 9.
hashcat pdf

Comme on le voit ci-dessous, le craquage d’un mot de passe composé de quatre chiffres a pris 10 secondes :

pdf hashcat

Il est donc évident qu’un mot de passe à 4 chiffres est une forme de protection illusoire et ne protège pas les données personnelles.

Examinons maintenant le PDF « sécurisé » de NN Investment Partners.

  1. Ici, il a été « protégé » avec une chaîne de caractères légèrement plus longue – le numéro PESEL.
nn investment partners pdf

2. L’en-tête du fichier joint – « %PDF-1.2 » indique que le fichier a été créé en utilisant le standard de 1996 :

pdf 1.2

3. Le hachage du mot de passe extrait indique la même chose :

hachage pdf

4. Nous lançons une attaque brute-force avec hashcat. Brute-force, car nous ne prenons en compte aucune autre hypothèse qui réduirait le nombre de combinaisons possibles, à part le fait que le PESEL est un nombre de 11 chiffres :

hashcat pesel
Cette fois, le craquage du mot de passe a pris 64 secondes. Une fois de plus, nous démontrons qu’un mot de passe de 11 chiffres n’est pas une protection et constitue un exemple d’illusion de sécurité.
pdf hashcat

Que faire, comment vivre ?

Pour chiffrer les données, il faut utiliser des mots de passe longs – de plus de 12 caractères, avec un large espace de caractères , c’est-à-dire contenant des lettres majuscules/minuscules, des chiffres et des caractères spéciaux. Un tel mot de passe doit être envoyé au client par un deuxième canal de communication, par exemple par SMS. De plus, les institutions doivent utiliser des algorithmes de chiffrement forts qui ralentissent considérablement les tentatives de brute-force. Un exemple pourrait être l’utilisation d’une archive 7zip avec l’algorithme AES-256.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Taggé , , , , , , , .Mettre en favori le Permaliens.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *