68 % des violations de données impliquent un identifiant compromis (Verizon DBIR 2024). Derrière ce chiffre, il y a souvent un mot de passe mal choisi, un hash mal stocké ou une politique de rotation inexistante. Hashcat est l'outil de craquage de hashes de référence utilisé par les pentesters pour évaluer la robustesse réelle de votre gestion des accès.
Concrètement, hashcat teste des milliards de candidats par seconde en exploitant la puissance du GPU là où d'autres outils comme John the Ripper restent bridés par le CPU. Lors d'un test d'intrusion sur votre système d'information, récupérer un hash n'est que la première étape. C'est le craquage avec hashcat qui fait souvent la différence entre un vecteur bloqué et une compromission totale du domaine.
Cet article détaille comment hashcat fonctionne, comment les auditeurs PIIRATES l'utilisent, et ce que ses résultats révèlent concrètement sur votre niveau de sécurité.
Hashcat : installation et prise en main rapide
Pourquoi ajouter cette section ? Elle capte les requêtes pratiques ("hashcat installation", "hashcat commandes", "hashcat tutorial") — actuellement absentes de l'article.Hashcat est open source, disponible sur Windows, Linux et macOS. Son installation est rapide :
# Linux (Debian/Ubuntu)
sudo apt install hashcat
# Vérifier la version et les GPU détectés
hashcat -IPour tirer pleinement parti de hashcat, un GPU dédié est recommandé. Un RTX 4090 atteint environ 300 milliards de tentatives par seconde sur MD5. En environnement cloud (AWS p3, Lambda Labs), hashcat peut être déployé sur des instances GPU à la demande pour des sessions de craquage intensives.
Commande hashcat de base :
# Attaque dictionnaire sur un hash NTLM
hashcat -m 1000 -a 0 hashes.txt rockyou.txt
# Avec règles de transformation
hashcat -m 1000 -a 0 hashes.txt rockyou.txt -r rules/best64.rule
# Attaque masque (force brute structurée)
hashcat -m 1000 -a 3 hashes.txt ?u?l?l?l?d?d?d?dLes principaux paramètres hashcat à connaître :
-m: type de hash (1000 = NTLM, 0 = MD5, 1800 = SHA-512, 13100 = Kerberos TGS)-a: mode d'attaque (0 = dictionnaire, 3 = masque/brute force, 6 = hybride)-r: fichier de règles (transformations appliquées à la wordlist)--show: affiche les hashes déjà craqués--status: affiche la progression en temps réel
Pourquoi Hashcat est incontournable dans un test d'intrusion ?
Hashcat est le moteur de craquage de hashes le plus performant disponible. Sa puissance repose sur l'exploitation massive du GPU pour paralléliser les calculs, là où le CPU atteint rapidement ses limites physiques.
Pour un RSSI ou un DSI, la question n'est pas de savoir si Hashcat peut casser vos mots de passe. La vraie question est : combien de temps ça prend ?
Si vos mots de passe ne sont protégés que par NTLM ou MD5, un attaquant avec du matériel grand public peut compromettre des milliers de comptes en quelques heures.
D'un point de vue réglementaire, la situation se durcit. La directive NIS2 impose aux entités essentielles de démontrer la robustesse de leurs mécanismes d'authentification. Un craquage massif lors d'un audit est un signal d'alarme qui expose directement la responsabilité des dirigeants. C'est exactement le type de défaillance que PIIRATES documente et priorise dans ses rapports de test d'intrusion.
Un dernier point souvent sous-estimé : le craquage de hashes est une attaque offline. Une fois les hashes exfiltrés, l'attaquant travaille hors de votre réseau sans déclencher aucune alerte, sans risque de détection. C'est ce qui le rend particulièrement insidieux.
Évaluez votre exposition réelle
Un hash est une empreinte cryptographique non réversible d'un mot de passe. Hashcat ne "déchiffre" pas, il teste des candidats jusqu'à trouver une correspondance. La méthodologie utilisée reprend les 7 phases du standard PTES, dont la collecte d'informations et l'exploitation font partie intégrante.
Les cinq modes d'attaque principaux
| Mode | Flag | Description | Usage typique |
|---|---|---|---|
| Dictionnaire | -a 0 | Teste chaque entrée d'une wordlist contre le hash | Mots de passe courants, leaks publics |
| Règles | -a 0 -r | Applique des transformations à une wordlist (leetspeak, majuscules, suffixes) | Variantes : P@ssw0rd1! |
| Hybride dict+masque | -a 6 | Combine un mot de dictionnaire avec un masque | Admin2024, Entreprise! |
| Masque / force brute | -a 3 | Teste toutes les combinaisons selon un motif défini | Structure de mot de passe connue |
| Combinaison | -a 1 | Fusionne deux wordlists entre elles | Passphrases composées |
Algorithmes : tout ne se craque pas à la même vitesse
- MD5 / SHA-1 : jusqu'à 300 milliards de tentatives/s sur GPU — inutilisables en 2025
- NTLM : aussi rapide que MD5, encore massivement présent dans les SI Windows
- SHA-256 / SHA-512 : meilleurs, mais vulnérables sans sel avec des mots de passe communs
- bcrypt, scrypt, Argon2 : conçus pour être lents — quelques milliers de tentatives/s maximum
- Kerberos AS-REP / TGS : craquables hors ligne via Kerberoasting ou AS-REP Roasting sur Active Directory
Toutes nos missions sont spécifiques
Parce que vos enjeux le sont !
Le pentest est avant tout une philosophie qui, couplé avec nos compétences techniques multiples peut s’adapter aux diffférentes cibles.
Indépendance totale
Expertise
Professionnalisme
Méthodologie : comment Hashcat s'intègre dans un pentest complet
Hashcat s'intègre dans une chaîne d'exploitation structurée qui commence bien avant le craquage et se prolonge bien après.
-
Collecte des hashes : Dump SAM local (secretsdump, mimikatz), attaque DCSync sur AD compromis, interception LLMNR/NBT-NS avec Responder, extraction depuis une base de données applicative, ou fichiers de configuration exposés (.env, web.config, backups). Chaque vecteur nécessite un niveau d'accès différent et révèle une surface d'attaque différente. Pour les applications web, cette extraction peut passer par des techniques d'exploitation applicative si l'injection SQL est disponible.
-
Identification du type de hash : Avant de lancer Hashcat, l'auditeur identifie le format : NTLM, NetNTLMv2, bcrypt, SHA-256, MD5, Kerberos AS-REP, TGS, etc. L'outil hashid ou le mode --identify de Hashcat lui-même permet cette détection automatique.
-
Priorisation de la stratégie d'attaque : L'ordre logique : (1) dictionnaire brut sur RockYou + SecLists, (2) dictionnaire + règles Best64 ou OneRuleToRuleThemAll, (3) hybride masque + dictionnaire avec contexte OSINT, (4) force brute ciblée si la structure est connue. L'OSINT préalable via des outils comme Shodan ou les Google Dorks enrichit considérablement les wordlists contextuelles.
-
Contextualisation par OSINT : Les pentesters PIIRATES enrichissent les wordlists avec des données contextuelles : nom de l'entreprise, filiales, produits, noms de villes, dates de fondation. Un mot de passe comme Grenoble2023! ne figure dans aucune liste générique — mais dans une liste contextuelle construite par OSINT, oui.
-
Exploitation des mots de passe récupérés : Les credentials craqués alimentent le password spraying, l'élévation de privilèges, et le mouvement latéral. Un seul compte IT compromis peut mener au contrôleur de domaine si les droits ne sont pas cloisonnés.
La stratégie hashcat la plus efficace en pentest consiste à enchaîner les modes dans un ordre précis : dictionnaire brut sur RockYou2021 (8,4 milliards d'entrées), puis hashcat avec les règles OneRuleToRuleThemAll — qui transforment automatiquement les mots en variantes leetspeak, ajoute des suffixes numériques et des caractères spéciaux. Vient ensuite le mode hybride, qui combine une wordlist avec un masque de type
?d?d?d?dpour couvrir les patternsMotdepasse2024. Enfin, la force brute ciblée par masque si la structure du mot de passe est connue (longueur fixe, format d'entreprise).
Outils complémentaires et écosystème offensif
Pour la phase de reconnaissance, PIIRATES utilise également Nmap en pentest pour cartographier les services exposés, et Shodan pour identifier les systèmes accessibles depuis Internet — deux étapes qui précèdent systématiquement le craquage de hashes dans un audit complet. L'outil PingCastle complète ce dispositif pour auditer spécifiquement la sécurité de votre Active Directory et révéler les comptes de service à risque avant même la phase de craquage.
Hashcat et wordlists : quelles listes utiliser en pentest ?
Le taux de craquage de hashcat dépend autant de la wordlist que de la puissance GPU. Les pentesters PIIRATES utilisent plusieurs sources combinées :
- RockYou2021 : 8,4 milliards de mots de passe issus de leaks publics — la référence absolue pour hashcat
- SecLists (Daniel Miessler) : collections spécialisées par usage, langue et complexité
- Wordlists contextuelles OSINT : construites sur mesure avec le nom de l'entreprise, ses filiales, ses villes, ses dates clés — indispensables pour des mots de passe comme
Grenoble2023!qui n'apparaissent dans aucune liste générique - CrackStation : 1,5 milliard d'entrées avec lookup tables précalculées pour les hashes sans sel
Les règles hashcat (fichiers .rule) démultiplient l'efficacité de ces wordlists. OneRuleToRuleThemAll est la règle la plus utilisée en pentest : elle applique des centaines de transformations en un seul passage et augmente significativement le taux de craquage sans exploser le temps de calcul.
Les erreurs qui facilitent le craquage de vos hashes
- ✕ Utiliser NTLM sans restrictions : NTLM est présent par défaut dans la majorité des SI Windows. Sans désactivation explicite par GPO, il expose des hashes craquables en quelques heures. Le monitoring Active Directory permet de détecter les authentifications NTLM résiduelles.
- ✕ Politique de mots de passe trop permissive : longueur minimale à 8 caractères, absence de vérification contre les listes compromis connus, aucune exigence de complexité réelle.
- ✕ Stocker des hashes MD5 ou SHA-1 en base applicative : ces algorithmes sont trop rapides. Un GPU les écrase en millisecondes. Pour les applications web, les vulnérabilités du Top 10 OWASP incluent explicitement les défauts de configuration cryptographique.
- ✕ Ne pas saler les hashes : sans sel unique par utilisateur, deux comptes avec le même mot de passe produisent le même hash — un seul craquage expose tous les comptes identiques.
- ✕ Réutilisation des mots de passe : un seul hash cracké peut ouvrir des dizaines de comptes. Les vulnérabilités cachées d'infrastructure sont souvent liées à cette réutilisation sur des systèmes secondaires.
- ✕ Comptes de service avec mots de passe statiques : cibles prioritaires en Kerberoasting, souvent avec des privilèges élevés et des credentials qui n'ont pas changé depuis des années.
- ✕ Pas de MFA sur les comptes à privilèges : même un mot de passe fort cracké devient inutilisable si le MFA est en place. C'est le filet de sécurité essentiel.
- ✕ Développement sans prise en compte de la sécurité dès la conception : un hash MD5 en base n'est pas un bug — c'est un choix d'architecture. Notre article sur le développement logiciel et cybersécurité couvre les pratiques de stockage sécurisé à intégrer dès le code.
Cas pratique : compromission de domaine en 48h via hashes NTLM
Mission pentest interne ETI industrielle (~800 salariés)
Point de départ : accès réseau utilisateur standard. Boîte grise. Durée : 5 jours.
Déploiement de Responder pour empoisonner les requêtes LLMNR. En moins de 20 minutes : capture de 47 hashes NetNTLMv2, dont 3 comptes du service informatique. Aucune alerte déclenchée.
Attaque dictionnaire + règles OneRuleToRuleThemAll. En 4 heures : 31 mots de passe récupérés sur 47 (taux : 66 %). Dont 2 comptes IT avec des patterns de type NomEntreprise2023!, absents des wordlists génériques mais présents dans la liste contextuelle OSINT.
CrackMapExec pour identifier les droits. L'un des comptes disposait d'administration locale sur 60 % du parc. En moins de 48h : accès au contrôleur de domaine et DCSync complet, la totalité des hashes du domaine exfiltrée. Ce scénario est similaire à ce que PIIRATES a documenté dans son retour d'expérience sur le pentest interne.
Ce qui aurait suffi à bloquer la chaîne :
Ce type de mission entre directement dans le cadre de notre offre de pentest système d'information et réseaux. Pour les ETI dont le parc Windows représente le cœur de l'infrastructure, c'est le scénario d'attaque le plus probable et le plus dévastateur en cas de compromission réelle.
Pour les environnements plus complexes impliquant des scénarios d'attaque combinés (réseau + humain + applicatif), les scénarios de Red Team adaptés aux PME/ETI offrent une couverture plus complète et des exercices de simulation réalistes.
Faites tester votre infrastructure avant que quelqu'un d'autre ne le fasse
Échange confidentiel, périmètre défini avec vous, lettre de mission systématique. PIIRATES intervient avec une approche 100 % offensive et indépendante.
Ce que nous ne faisons pas
(Liste non exhaustive)
Piratage de boite mail
Piratage comptes réseaux sociaux
Espionnage
Exfiltration de sms
Récupération de Cryptomonnaies
Prise en main à distance de véhicules
Suivi GPS de véhicule
Envoyez nous un ping
Hashcat est un outil open source de craquage de hashes utilisé en test d'intrusion pour récupérer des mots de passe à partir de leurs empreintes cryptographiques. Il exploite la puissance du GPU pour tester des milliards de combinaisons par seconde. C'est un outil légal dans un cadre contractualisé, illégal hors de ce cadre. En cybersécurité offensive, il permet d'évaluer concrètement la robustesse des politiques de mots de passe et des mécanismes de stockage des credentials dans un système d'information.
En pentest interne, Hashcat intervient après la collecte de hashes via Responder, mimikatz ou un dump Active Directory. Les auditeurs combinent wordlists professionnelles et règles de transformation pour maximiser le taux de craquage. Les mots de passe récupérés sont ensuite utilisés pour simuler une élévation de privilèges ou un mouvement latéral. Le taux de craquage observé en mission PIIRATES oscille entre 50 et 75 % selon la maturité de la politique de mots de passe.
MD5 et NTLM permettent des centaines de milliards de tentatives par seconde sur GPU. bcrypt, scrypt ou Argon2 sont intentionnellement lents quelques milliers de tentatives/s au maximum. Ce choix est souvent le facteur décisif entre un craquage en heures et un craquage impossible. Les défauts de configuration cryptographique figurent explicitement dans le Top 10 OWASP pour les applications web.
Les mots de passe longs (16 caractères minimum), aléatoires, sans lien avec le contexte de l'entreprise, stockés avec un algorithme lent et salé. Le MFA sur les comptes critiques reste la défense la plus efficace en complément même un mot de passe cracké devient inutilisable. Un gestionnaire de mots de passe d'entreprise garantit l'unicité et la complexité sans friction pour les utilisateurs.
Découvrez comment Hashcat est utilisé lors d’un pentest pour craquer vos hashes et évaluer votre sécurité. Méthodes, outils, cas concret et remédiation.
