Cracking Protected Files

L’utilisation du chiffrement de fichiers reste souvent négligée, aussi bien dans un contexte privé que professionnel. Aujourd’hui encore, il est courant de voir circuler des emails contenant des candidatures, relevés de compte ou contrats sans chiffrement, parfois en violation des réglementations (par exemple, le RGPD en Union Européenne exige que les données personnelles soient chiffrées en transit et au repos).

Malgré l’adoption croissante de mesures de sécurité, les fichiers chiffrés peuvent être attaqués et déchiffrés avec les bons outils et listes de mots de passe. En pratique :

• Le chiffrement symétrique (ex. AES-256) est souvent utilisé pour protéger un fichier ou un dossier. La même clé sert au chiffrement et au déchiffrement.

• Pour la transmission, on utilise plutôt le chiffrement asymétrique : la clé publique chiffre, la clé privée déchiffre.

Jusqu’ici, l’accent était mis sur le craquage de hachages de mots de passe. Cette section aborde désormais les attaques contre les fichiers et archives protégés par mot de passe.

---

🔍 Recherche de fichiers chiffrés

De nombreux formats correspondent à des fichiers chiffrés. Pour les identifier, on peut rechercher par extension.

Exemple sur un système Linux :

for ext in $(echo ".xls .xls* .xltx .od* .doc .doc* .pdf .pot .pot* .pp*");do
  echo -e "\nFile extension: " $ext
  find / -name *$ext 2>/dev/null | grep -v "lib\|fonts\|share\|core"
done

🔎 Si une extension est inconnue, une recherche rapide permet de savoir à quelle technologie elle est liée.

---

🔑 Recherche de clés SSH

Certaines données sensibles, comme les clés SSH privées, ne possèdent pas d’extension particulière. On peut les détecter grâce à leurs en-têtes spécifiques :

• Exemple : les clés privées commencent par -----BEGIN ... PRIVATE KEY-----

Commande de recherche :

grep -rnE '^\-{5}BEGIN [A-Z0-9]+ PRIVATE KEY\-{5}$' /* 2>/dev/null

📌 Les clés SSH peuvent être protégées par une passphrase. Avec l’ancien format PEM, le chiffrement était visible dans l’en-tête (Proc-Type: 4,ENCRYPTED). Les clés modernes ne laissent plus cette indication.

Pour tester si une clé est protégée :

ssh-keygen -yf ~/.ssh/id_ed25519   # clé sans passphrase
ssh-keygen -yf ~/.ssh/id_rsa       # clé protégée → demande un mot de passe

---

🛠️ Extraction et craquage de hachages

L’outil John the Ripper (JtR) fournit plusieurs scripts « 2john » permettant de convertir des fichiers chiffrés en hachages exploitables.

Exemple de recherche :

locate *2john*

Parmi les plus utilisés : ssh2john.py, office2john.py, pdf2john.py, rar2john, zip2john, etc.

🔓 Exemple : clé SSH chiffrée

ssh2john.py SSH.private > ssh.hash
john --wordlist=rockyou.txt ssh.hash
john ssh.hash --show

Résultat :

SSH.private:1234

---

📄 Documents protégés (Office / PDF)

Les documents Microsoft Office ou PDF protégés par mot de passe peuvent être attaqués via les scripts correspondants.

Microsoft Office

office2john.py Protected.docx > protected-docx.hash
john --wordlist=rockyou.txt protected-docx.hash
john protected-docx.hash --show

Résultat :

Protected.docx:1234

PDF

pdf2john.py PDF.pdf > pdf.hash
john --wordlist=rockyou.txt pdf.hash
john pdf.hash --show

Résultat :

PDF.pdf:1234

---

⚠️ Défis et limites

• Les listes de mots de passe standards (ex. rockyou.txt) sont parfois insuffisantes ou détectées par des mécanismes de sécurité.

• Les utilisateurs sont de plus en plus contraints à choisir des mots de passe longs et complexes, rendant le craquage plus difficile voire impossible dans un délai raisonnable.

• Néanmoins, l’effort peut être payant, car ces fichiers contiennent souvent des informations sensibles permettant d’avancer dans un scénario d’attaque.

---

📚 Ressources utiles

• FileInfo – Extensions de fichiers

• John the Ripper

• Hashcat – Advanced Password Recovery

---

Download the attached ZIP archive (cracking-protected-files.zip), and crack the file within. What is the password?

Dans un premier temps, nous téléchargons le fichier zip fourni :

wget https://academy.hackthebox.com/storage/modules/147/cracking-protected-files.zip

Une fois l'archive téléchargée, nous pouvons en extraire son contenu :

$ unzip cracking-protected-files.zip 
Archive:  cracking-protected-files.zip
  inflating: Confidential.xlsx 

Un fichier Confidential.xlsx est alors extrait, nous allons maintenant utiliser la commande office2john afin de récupérer le hash du fichier pour le craquer :

office2john Confidential.xlsx > Confidential.hash

Le fichier Confidential.hash créé, nous pouvons maintenant craquer le mot de passe associé :

$ john --wordlist=/usr/share/wordlists/rockyou.txt Confidential.hash 

Using default input encoding: UTF-8
Loaded 1 password hash (Office, 2007/2010/2013 [SHA1 256/256 AVX2 8x / SHA512 256/256 AVX2 4x AES])
Cost 1 (MS Office version) is 2013 for all loaded hashes
Cost 2 (iteration count) is 100000 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
beethoven        (Confidential.xlsx)     
1g 0:00:00:20 DONE (2025-08-28 04:32) 0.04975g/s 332.7p/s 332.7c/s 332.7C/s 98765432..beethoven
Use the "--show" option to display all of the cracked passwords reliably
Session completed. 

Nous pouvons donc observer que le mot de passe associé au fichier Confidential.xlsx est beethoven.

---