brute force generator: créez vos dictionnaires à la volée

Hydra est un script open source permettant de générer des attaques de type dictionnaire/bruteforce sur un grand nombre de protocoles. Comme souvent dans ce type de tentative, c’est la qualité de la base de login/password qui fait la différence.

Il est toujours possible de trouver des dictionnaires sur Internet, mais il faut reconnaître qu’ils ne sont que rarement dans la bonne langue, adaptés aux entreprises ciblés ou encore au format de l’application ciblée.

Si je prends un environnement qui m’est familier, soit les communications sur ip, et que je souhaite tester une application utilisateur ou le password est souvent le même que le PIN code, il sera nécessaire que je génère mon dictionnaire par mes propres moyens. Ce type de test ne faisant pas parti des plus courant et donc des dictionnaires facilement disponibles. Vive le python ou le perl dans ces conditions, ce qui n’est pas forcément enthousiasmant lorsqu’il faut mettre en place ses premières moulinettes.

C’est donc avec une certaine satisfaction que j’ai découvert qu’un courageux avait modifié Hydra pour ajouter un module de génération de dictionnaire à la volée. Nouveau nom de baptême pour cette version modifiée : BFG, tout simplement pour Brute Force Generator. 

Le principe de base est simple mais permet de couvrir les situations les plus courantes : il faut définir les longueurs minimales, maximales et les caractères à utiliser. Seul petit bémol, il faut revenir à la bonne vieille ligne de commande pour profiter de cette sympathique option. Cerise sur le gâteau, l’auteur est apolitique. Il propose une version Windows, Macos et les sources. Tout le monde pourra en profiter quelque soit sa religion.

cedric

image © Alexander Novikov - Fotolia.com

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.