Avant de voir les différentes méthodes de chiffrement, nous allons nous attarder sur les méthodes de cassage utilisées, celles-ci étant découpées en trois catégories : ingénierie sociale, dictionnaires et force brute.
L'ingénierie sociale est l'utilisation de données personnelles en relation avec le propriétaire du compte. Pour commencer, la première donnée est tout simplement le login : sur plusieurs dizaines de comptes, il est rare qu'il n'y en ait pas au moins un qui ait son login comme mot de passe.
Les données suivantes sont simplement le nom et le prénom de l'utilisateur. Cette information est généralement enregistrée dans la base des utilisateurs et donc librement accessible.
Ensuite, il s'agit d'utiliser des informations qui ne sont pas dans la base des utilisateurs, ce qui demande d'obtenir d'une autre façon ces données personnelles. Celles-ci sont d'abord les noms des proches de l'utilisateur. De bons exemples sont pour une femme les prénoms de ses enfants alors que pour un homme, ce sont les prénoms de sa femme, de sa secrétaire, de sa maîtresse (ho!). Les passions et le métier de l'utilisateur sont également une bonne source de mots de passe possibles.
Enfin, comme aujourd'hui chacun doit se rappeler d'un grand nombre de données, certaines sont souvent réutilisées dans d'autres cadres. Ainsi, numéro de sécurité sociale, immatriculation, téléphone, adresse, date de naissance, etc. sont régulièrement choisis comme mot de passe. Des personnes utilisent même leur code de carte bleue comme mot de passe... Bien sûr, personne ne connait le code de quelqu'un d'autre, mais le pirate peut essayer les dix mille combinaisons possibles pour obtenir les quatre chiffres magiques, qui risquent de ne correspondre qu'au digicode de l'immeuble de l'utilisateur.
Nous ne parlerons pas ici du cas où le pirate se fait passer pour un administrateur système ou un supérieur et demande le mot de passe et le compte de l'utilisateur pour soi-disant effectuer des réparations. Il va sans dire que non seulement d'un point de vue technique, cela ne demande aucune compétence, mais qu'en plus, aucun administrateur n'a besoin de vous demander votre mot de passe, quel que soit le problème auquel il a affaire.
La source suivante de mots de passe possibles est constituée des dictionnaires. Il existe de nombreux types de dictionnaires et il est donc important de les utiliser dans un ordre optimal. En général, les mots courants de la langue natale de l'utilisateur sont la meilleure source, surtout dans le cas de personnes expatriées. Ensuite, les prénoms et noms de même origine fonctionnent bien.
Les dictionnaires spécialisés dans les passions et le métier de l'utilisateur sont d'une aide précieuse. Par exemple, un chimiste peut utiliser le nom d'une molécule, en pensant qu'ils sont peu nombreux à le connaître, mais celui-ci est forcément référencé dans un dictionnaire.
D'autres dictionnaires avec des noms de personnages et d'acteurs sont de bonnes sources. Imaginez-vous un jeudi matin alors que vous souhaitez vous connecter à votre serveur et celui-ci vous force à changer de mot de passe... comme la veille, vous êtes allé voir le dernier James Bond qui vient de sortir, il y a de fortes chances que vous utilisiez bond007 comme mot de passe.
Usuellement, les derniers dictionnaires sont ceux contenant des vocabulaires propres à des livres, films, séries, jeux, etc. Plusieurs sites sur Internet regroupent de nombreuses listes de mots de toutes origines comme <ftp://ftp.ox.ac.uk/pub/wordlists/> et <ftp://ftp.cerias.purdue.edu/pub/dict/wordlists/>
Finalement il est possible de générer un dictionnaire à partir de la liste des mots de passe déjà cassés.
Il est ensuite utile de réessayer tous les mots testés, après les avoir modifiés afin de découvrir des mots de passe plus complexes. Tout d'abord, il s'agit de mettre zéro, une ou toutes les lettres en majuscules, puis de les renverser ou de les dupliquer.
Une transformation souvent utilisée est de suffixer ou préfixer le mot avec un chiffre ou un caractère de ponctuation, le chiffre 1 ajouté après un mot étant la transformation la plus usuelle. Enfin, il arrive aussi régulièrement que l'utilisateur utilise la transformation "h4x0r" c'est-à-dire qu'il substitue une ou plusieurs lettres par un chiffre ou un caractère qui y ressemble, comme i et l par 1 ou |, e par 3, a par 4 ou @, s et z par 5, t par 7, o par 0, etc.
Dans le cas où la méthode de chiffrement qui est attaquée n'utilise pas de graine, les dictionnaires pré-calculés sont exploitables. Puisque chaque mot de passe ne peut être chiffré que d'une seule façon, alors l'attaquant chiffre tous ses dictionnaires qu'il enregistre dans une base de données. L'avantage de cette technique est qu'il suffit alors de rechercher le mot de passe haché pour voir immédiatement s'il est cassé.
Les deux contraintes sont d'une part une phase de préparation qui est longue comparée au temps gagné ultérieurement lors du cassage à proprement parler et d'autre part, une utilisation importante de mémoire de masse puisque les dictionnaires pré-calculés sont incompressibles contrairement aux dictionnaires standards.
Une méthode pour concilier gain de temps et économie d'espace disque, est de n'enregistrer qu'une image du mot de passe haché dans la base. La recherche dans la base donne alors de nombreux mots de passe potentiels qu'il faut alors chiffrer pour savoir si le mot de passe est cassé. La phase de préparation prend autant de temps et la phase de cassage est bien plus longue, mais le temps gagné par rapport à la méthode classique vaut la dépense réduite en espace disque.
La force brute, également appelée attaque exhaustive, est la dernière méthode générale à utiliser lorsque toutes les autres ont échoué. Il s'agit de tester les unes après les autres toutes les combinaisons possibles d'un ensemble de caractères. Cela peut être les lettres minuscules, puis les minuscules et les majuscules, puis les minuscules et les chiffres, etc. Il est facilement compréhensible que suivant les algorithmes de chiffrement, cette méthode n'est pas réalisable dans un temps raisonnable si le mot de passe est suffisamment solide.
Une variante de cette technique est la force brute intelligente. Cet adjectif est contraire au principe de la méthode mais parfaitement compréhensible : il s'agit de générer des mots de passe potentiels qui ressemblent aux mots de passe qui ont déjà été cassés. Pour cela, des statistiques sont récoltées : longueurs, suites de caractères, etc. et utilisées lors de la génération "aléatoire" des mots de passe.
Une utilisation possible de cette méthode est d'effectuer des statistiques sur un dictionnaire afin de générer des mots qui ressemblent aux mots de la langue vivante correspondante.