Skip to content
Learni
View all tutorials
Outils de sécurité

Comment utiliser John the Ripper en 2026

14 minINTERMEDIATE
SécuritéJohn the Ripper

Introduction

John the Ripper reste l'outil de référence pour tester la force des mots de passe en 2026. Que vous soyez pentester ou administrateur système, comprendre son fonctionnement permet d'identifier rapidement les mots de passe faibles au sein d'une infrastructure. Ce tutoriel intermédiaire vous guide à travers les commandes essentielles, l'utilisation de dictionnaires optimisés et les modes avancés comme les règles de transformation. Vous apprendrez à analyser différents formats de hash tout en respectant les bonnes pratiques éthiques. L'objectif est de rendre vos audits de sécurité plus efficaces et reproductibles.

Prérequis

  • Système Linux (Ubuntu/Debian recommandé)
  • Connaissances de base en ligne de commande
  • Fichier de hashs à tester (format compatible)
  • Accès root ou sudo pour l'installation
  • Wordlist comme rockyou.txt

Installation de John the Ripper

terminal
sudo apt update
sudo apt install john -y
john --version

Cette commande met à jour les paquets et installe la version communautaire de John the Ripper. Vérifiez toujours la version installée pour vous assurer d'avoir les derniers formats supportés.

Lister les formats supportés

terminal
john --list=formats | head -20

Cette commande affiche les formats de hash disponibles. Choisissez le bon format pour éviter les erreurs de détection automatique lors du craquage.

Préparer un fichier de hash

hashes.txt
echo 'admin:$6$rounds=5000$saltsalt$hashedvaluehere' > hashes.txt

Créez un fichier texte contenant les hashs au format standard. Utilisez toujours des hashs réels obtenus légalement pour vos tests.

Lancement du craquage basique

terminal
john --format=sha512crypt hashes.txt

Lance le craquage avec le format spécifié. John utilise par défaut le mode single et incrémental pour trouver les mots de passe.

Utiliser une wordlist personnalisée

terminal
john --wordlist=/usr/share/wordlists/rockyou.txt --rules hashes.txt

Applique une wordlist connue avec des règles de transformation pour augmenter les chances de succès sur des mots de passe légèrement modifiés.

Bonnes pratiques

  • Toujours utiliser des wordlists à jour et spécifiques au contexte
  • Activer les règles (--rules) pour multiplier les variantes
  • Sauvegarder régulièrement l'état avec --restore
  • Respecter la législation et n'utiliser l'outil que sur des systèmes autorisés
  • Analyser les résultats avec --show pour exporter les mots de passe trouvés

Erreurs courantes à éviter

  • Oublier de spécifier le format correct (--format)
  • Lancer John sans wordlist adaptée sur des hashs complexes
  • Ignorer les messages d'erreur liés aux permissions de fichiers
  • Ne pas utiliser --restore après une interruption

Pour aller plus loin

Découvrez nos formations avancées sur les tests d'intrusion et la cryptanalyse sur Learni Group.