Accès physique à un ordinateur

1. Accès physique direct à l’ordinateur

Deux cas de figure sont possibles lors d’un accès physique à une machine :

  • L’ordinateur est éteint.

  • L’ordinateur est allumé.

2. Accès à un ordinateur éteint dont le BIOS est protégé

Nous devrions toujours nous retrouver dans ce cas de figure car il demande des actions physiques sur l’ordinateur pour pouvoir réinitialiser le BIOS. Cela exige d’avoir du temps devant soi, d’être seul et attire toujours l’attention d’une éventuelle personne circulant dans les environs.

Pour pouvoir démarrer il va falloir remettre le mot de passe du BIOS à zéro. Pour cela, il faut nécessairement ouvrir l’ordinateur pour accéder à la carte mère.

ATTENTION : ETEINDRE L’ORDINATEUR AVANT DE FAIRE CES MANIPULATIONs :

Il faut rechercher le composant appelé CMOS. Il contient dans sa mémoire la date, l’heure et divers paramètres, dont le mot de passe. Pour enlever ce dernier, il va falloir vider le contenu de cette mémoire.

Il existe deux possibilités, selon la carte mère :

  • Si celle-ci dispose d’un connecteur CMOS doté d’un cavalier, il faut déplacer ce cavalier quelques instants sur les autres broches de ce même connecteur (repéré souvent CMOS CLAIR – CLR – CLRPWD – PASSWD – MOT DE PASSE – PWD), puis le replacer dans sa position initiale. Cette manipulation a pour effet de créer un léger court-circuit qui vide le CMOS.

  • Si la carte mère ne possède pas de cavalier de ce type, il faut ôter pendant quelques minutes voire plusieurs heures la pile plate de la carte mère.

Dans certains cas l’ordinateur est équipé d’une mémoire EEPROM et le mot de passe est sauvegardé dans celle-ci, débrancher la pile n’effacera donc pas le mot de passe.

Il existe des possibilités de générer des password en ligne à partir de numéros de série de machine

(http://dogber1.blogspot.fr/2009/05/table-of-reverse-engineered-bios.html).

Un site dérivé du site Dogbert est le site bios-pw. Certain bios vous envoient un code après plusieurs essais infructueux. Il suffit de rentrer ce code dans le champ du formulaire « Get Password » qui vous génère un autre code à entrer dans l’invite de mot de passe du BIOS.

https://bios-pw.org/

En fait, les constructeurs d’ordinateurs préfèrent trouver des solutions obligeant l’utilisateur à passer par leurs services aussi bien pour s’assurer que vous êtes le propriétaire de la machine que pour vous facturer la prestation.

Il existe également d’autre manières de bypasser un mot de passe BIOS, ainsi des logiciels comme CmosPwd, killCmos, !BIOS peuvent le faire mais ces outils sont à utiliser sur PC allumé ou via un liveCD si le démarrage de la machine n’est pas protégé par un mot de passe.

3. Accès à un ordinateur éteint dont le BIOS n’est pas protégé

3.1 WINDOWS

Un ordinateur éteint ne semble pas poser de problèmes de sécurité dès l’instant où, pour ouvrir une session sur le système, il faut disposer d’un identifiant et d’un mot de passe. C’est sans compter sur les liveCD et les clés USB bootables. Ils permettent de résoudre des problèmes d’oubli ou de perte de mot de passe.

a. Utilisation de Offline NT Password et Registry Editor v110511

(http://pogostick.net/~pnh/ntpasswd/)

Ce logiciel très léger (il ne pèse que 17 Mo), disponible sur liveCD et maintenant sur clé USB, permet de réinitialiser le mot de passe des utilisateurs locaux sous différents systèmes Windows, allant de la version Windows NT à Windows 10 (comptes locaux uniquement pour Windows 8 et 10) en passant par 2000, XP, 2003, 2008, Vista et Windows 7. Nous pouvons ainsi mettre à blanc le mot de passe de l’administrateur et même ajouter un utilisateur dans le groupe des administrateurs locaux, lui donnant ainsi des droits d’administration. La version 14021 a corrigé certains bugs en mode édition de registre. Un petit bémol, à partir de Windows XP attention à ne pas mettre à blanc un mot de passe administrateur si nous possédons des fichiers encryptés par EFS (Encrypting File System) car celui ci sert à l’encryption des clés nécessaires à EFS.

Pour l’utiliser, rien de bien compliqué, nous devons donc booter sur le liveCD ou la clé USB bootable. Sur la majeure partie des ordinateurs actuels, une pression sur [F12] au démarrage nous permet de choisir notre média de boot, nous choisissons en l’occurence le CD. Le système se lance et nous invite au boot. Tapez juste [Entrée] puis suivez les instructions.

b. Utilisation de Trinity Rescue Kit

Dans le même genre, mais fonctionnant sur Windows 8, Windows 7, Vista, XP, 2003 et 2008, il existe un liveCD nommé Trinity Rescue Kit qui fonctionne à peu près de la même manière

(http://trinityhome.org/Home/index.php?content=TRINITY_RESCUE_KIT_DOWNLOAD). Une version beta est également disponible sur le site http://trinityhome.org/beta/.

On boot ensuite ce logiciel sur la machine victime.

c. Récupérer la base SAM avec Kali Linux

Pour un pirate, il est plus intéressant de récupérer le mot de passe de l’administrateur ou d’un utilisateur pour pouvoir se connecter plusieurs fois et paramétrer la machine pour un accès à distance plus discret (backdoor).

Sous Windows, il existe une méthode qui permet de récupérer (dumper) rapidement la base SAM où sont stockés et cryptés les logins et mots de passe des utilisateurs. On utilisera un boot Kali-Linux.

La récupération de la base SAM est très rapide et permet ensuite de travailler chez soi au décryptage des mots de passe ; plusieurs méthodes sont possibles. On boot l’image de Kali et hop.

Nous devons maintenant monter la partition Windows (Windows 7 pour l’exemple). Nous aurons pris soin de visualiser le numéro de celle-ci car nous allons la monter dans le répertoire /mnt du système.

Pour ce faire on tape :

fdisk -l 
mount  -t ntfs-3g /dev/<partition> /mnt -o force 
ls /mnt/

La partition étant maintenant montée, on va utiliser SamDump2 pour récupérer les hashs de la base SAM.

Pour décrypter la base SAM, il faut la clé de cryptage qui se situe sur un poste Windows classique à cet endroit : c:\Windows\system32\config\SYSTEM ; nous la récupérons à l’aide de l’utilitaire bkhive et nous la stockons dans un fichier key.txt.

d. Windows Password Recovery Bootdisk

Windows Password Recovery Bootdisk (http://www.rixler.com/windows-password-recovery-bootdisk.htm) est un utilitaire de récupération de hashs provenant de Rixler Software. Nous pouvons le télécharger très simplement et l’installer sur notre version de Windows. Il suffit ensuite de le lancer pour créer un disque de boot qui récupérera les hashs et les affichera ou les rangera dans un fichier en fonction de notre choix.

3.2 LINUX

Le GRUB2 sous Linux est ce que l’on appelle un bootloader, c’est-à-dire qu’il permet de choisir entre le démarrage de plusieurs systèmes installés sur la machine, il nous permettra par exemple de choisir entre le démarrage de Linux ou de Windows.

En fait, il est facile d’éditer le GRUB en tapant tout simplement la lettre e (éditer) au démarrage de celui-ci, nous choisissons la deuxième ligne et nous modifions celle-ci en changeant ro (read only) en rw (read-write) et en ajoutant init=/bin/bash, nous appuyons sur la touche [F10] pour continuer le démarrage de l’ordinateur. Nous nous retrouvons en face d’une console en invite root (super utilisateur).

PreviousMatérielsNextOutils de Forensic

Last updated