Comment identifier un hash inconnu : guide pratique
Un hash mystérieux entre les mains ? Découvrez les indices qui révèlent son type — longueur, jeu de caractères, préfixes comme $2y$ ou $6$ — et identifiez-le dans votre navigateur.
Un hash, en lui-même, n'est qu'une chaîne de caractères. Avant de pouvoir l'auditer, le documenter ou tenter de retrouver le mot de passe qui se cache derrière, il faut savoir de quel type de hash il s'agit. L'identification consiste à lire une empreinte et à déterminer quel algorithme l'a produite. Réussissez cette étape et tout le reste devient simple ; ratez-la et votre outil de cassage s'acharnera indéfiniment sur le mauvais format.
Les indices qui révèlent le type d'un hash
Trois propriétés font l'essentiel du travail.
La longueur. Une empreinte brute possède une largeur fixe une fois encodée en hexadécimal. Une chaîne hexadécimale de 32 caractères est presque toujours un MD5 ; 40 caractères pointent vers SHA-1 ; 64 vers SHA-256 ; 128 vers SHA-512. NTLM, utilisé par Windows, fait lui aussi 32 caractères hexadécimaux, ce qui explique pourquoi la longueur ne suffit jamais à conclure.
Le jeu de caractères. De l'hexadécimal pur (0–9, a–f) suggère une empreinte brute. Un mélange de majuscules, de minuscules, de chiffres et de + ou / évoque un encodage Base64. Des points, des signes dollar et des deux-points trahissent généralement un format structuré et salé plutôt qu'une simple empreinte.
Les préfixes et la structure. Les formats de mots de passe modernes s'annoncent eux-mêmes. Une chaîne commençant par $2y$, $2a$ ou $2b$ est un bcrypt. Un $6$ initial marque un sha512crypt ; $1$ marque un md5crypt. Trois segments Base64 séparés par des points sont presque à coup sûr un jeton web JSON. Ces chaînes structurées intègrent le sel, le facteur de coût et l'empreinte sur une seule ligne auto-descriptive.
$2y$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy
L'exemple ci-dessus est un bcrypt : l'identifiant $2y$, le facteur de coût 10 et le sel de 22 caractères suivi de l'empreinte sont tous visibles d'un coup d'œil.
Identifier un hash sans le divulguer
Coller le hash d'un identifiant dans un site quelconque est un vrai risque : beaucoup de sites de « recherche de hash » enregistrent tout ce qu'ils reçoivent. Ce site évite complètement ce piège. L'identificateur de la page d'accueil s'exécute en WebAssembly directement dans votre navigateur : le hash est analysé localement et ne quitte jamais votre machine. Vous obtenez une correspondance instantanée parmi des dizaines de formats, sans aucune exposition.
Si vous préférez travailler hors ligne, la même logique sous-tend les outils en ligne de commande. John the Ripper devine automatiquement un format, et l'identificateur proposé ici reproduit ce comportement pour que le résultat corresponde à l'outil que vous utiliserez réellement.
Que faire une fois le type connu
L'identification n'est que la première étape. Une fois la correspondance établie avec certitude, ouvrez la page correspondante dans l'index des types de hash pour obtenir les commandes prêtes à l'emploi. Chaque page indique le bon mode -m de hashcat et le nom de format de John the Ripper, vous permettant de passer directement à la récupération.
Ensuite, le choix de l'outil compte. Lisez hashcat contre John the Ripper pour décider quel moteur convient à votre matériel, et révisez la notion de dictionnaire avant de lancer votre première attaque. Comprendre la structure que vous venez d'identifier — en particulier si le hash porte un sel — en dit déjà long sur la difficulté de la récupération.