La premiere fois que j'ai lance John the Ripper sur un fichier de hachage en TP, le resultat m'a bluffé. En quelques secondes, des mots de passe apparaissaient en clair dans le terminal. J'avais l'impression de faire quelque chose de tres technique, presque de l'ordre du hacking tel qu'on le voit dans les films.
J'ai ensuite continue a l'utiliser sur ma VM Kali, en testant differentes options, differents formats de hash, des wordlists plus grandes. Et progressivement, j'ai commence a comprendre ce que l'outil fait reellement : il essaie des mots de passe en les hachant et en comparant le resultat au hash cible. C'est tout.
John the Ripper ne casse pas le chiffrement. Il ne trouve pas une faille mathematique dans l'algorithme de hachage. Il fait de la force brute ou de l'attaque par dictionnaire, deux techniques dont le principe tient en une phrase. La sophistication de l'outil, c'est sa vitesse d'execution et la richesse de ses options. Pas sa magie.
Ce qui rend l'outil impressionnant pour un debutant, c'est precisement qu'il automatise et accelere quelque chose qu'on aurait du mal a faire a la main. Mais un developpeur senior regarderait ca et dirait : c'est logique. Si le mot de passe est dans une wordlist commune et que le hash n'est pas sale, il va tomber.
La vraie lecon, c'est celle sur les mots de passe et le hachage. MD5 et SHA1 sans sel sont indefendables aujourd'hui. bcrypt, Argon2, scrypt : ces algorithmes sont lents par conception, pour rendre exactement ce genre d'attaque impraticable a l'echelle. Ce n'est pas John the Ripper qui est dangereux, c'est une base de donnees qui stocke des mots de passe mal proteges.
John the Ripper m'a appris la securite par la demonstration. Pas en lisant que les mots de passe faibles sont un probleme, mais en voyant combien de temps il faut pour en casser un selon sa complexite. C'est un outil pedagogique tres efficace, a condition de ne pas s'arreter a l'effet waouh.