Comment décrypter un fichier PWL ?

Réponses rédigées par Antoine
Dernière mise à jour : 2017-12-17 14:37:02
Thèmes : windows - fichier - securite - mot-de-passe
Question

J'ai un fichier PWL, issu d'un Windows 9x, comment puis-je décrypter ce fichier PWL ?

Réponse

La liste de mots de passe cryptés de Windows 9x, ou fichier PWL, se trouve dans le répertoire système racine (généralement C:\Windows). Ce fichier est distinct pour chaque profil utilisateur du système et un simple fichier batch peut vous aider à identifier le majorité d'entre eux :

copy C:\Windows\*.pwl f:

Un fichier PWL n'est en réalité rien d'autre qu'une liste de mots de passe masqués utilisés pour accéder aux ressources suivantes :

  • Ressources protégées.
  • Application qui ont été développées pour tirer profit de l'interface API de masquage de mot de passe, comme par exemple Dial-Up Networking.
  • Ordinateurs Windows NT qui ne font pas partie d'un domaine.
  • Mots de passe de connexion Windows NT qui ne permettent pas une connexion primaire au réseau.
  • Serveurs NetWare.

Avant OSR2, Windows 95 utilisait un algorithme de cryptage peu puissant pour les fichiers PWL que l'on pouvait facilement décrypter au moyen d'outils largement diffusés. OSR2 ou OEM System Release 2, était une version provisoire de Windows 95 accessible uniquement par le biais de systèmes neufs achetés auprès de fabricants d'équipements d'origine (OEM), c'est à dire auprès de l'entreprise qui a conçu le système.

L'algorithme PWL était plus puissant mais était toujours fondé sur les identifiants de connexion Windows de l'utilisateur. Ceci rendait la recherche de mot de passe plus longue mais elle restait réalisable.

L'un de ces outils de décryptage PWL s'appelle PWLTOOL et ses auteurs sont Vitas Ramanchauskas et Eugene Korolev.

Ce logiciel est capable de lancer des attaques de type dictionnaire ou brute force contre un fichier PWL donné.

Encore une fois, cet outil est plus utile aux utilisateurs Windows négligents qu'aux pirates car il existe bien d'autres moyens pour décrypter des fichiers PWL d'un Windows 9x.

Les administrateurs qui se soucient réellement de ce problème devraient utiliser le programme System Policy Editor de Windows 9x pour désactiver le masquage de mot de passe. Ils peuvent aussi créer/définir la clé de registre DWORD suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\

Network\DisablePwdCachning = 1