Dans ce tutoriel, je montre pas à pas comment installer John the Ripper sur Ubuntu 22.04. Bien sûr, on peut utiliser Kali Linux — il inclut John par défaut et sert de « couteau suisse » en infosecurité. Cependant, je présente l’installation sur Ubuntu pour les cas où Kali n’est pas approprié (politiques d’entreprise, environnements pédagogiques, restrictions d’accès ou compatibilité des paquets).
John the Ripper est un outil d’audit de mots de passe : il prend des hachages et tente de les retrouver par différentes méthodes (listes de mots, règles, recherche incrémentale) pour évaluer la solidité des mots de passe et repérer les comptes faibles. Je vais installer John, créer deux comptes de test (un avec un mot de passe faible et l’autre avec un mot de passe fort), générer le fichier monpass.l contenant les hachages et lancer une attaque par dictionnaire simple avec analyse des résultats. Pour exploiter des fonctions plus avancées (masques, GPU/OpenCL, formats supplémentaires), il faut du matériel plus puissant.
Prérequis : pour le test, j’ai utilisé Ubuntu 22.04 sur Proxmox (4 vCPU, 8 Go de RAM). Je travaillerai avec l’utilisateur oleks, qui fait partie du groupe sudo. Après le test, si la VM n’est pas dédiée uniquement à ces essais comme dans mon cas, supprimez ou effacez de façon sécurisée le fichier monpass.l, car il contient des hachages de mots de passe.