Mimikatz est l'outil d'extraction de credentials Windows le plus emblématique de l'histoire de la cybersécurité offensive, créé en 2007 par le chercheur français Benjamin Delpy alias gentilkiwi. Distribué en open source sous licence CC BY 4.0 sur GitHub, ce logiciel écrit en C exploite les mécanismes internes du sous-système d'authentification Windows (LSASS, SAM, LSA Secrets, Credential Manager) pour extraire mots de passe en clair, hashes NTLM, tickets Kerberos et clés cryptographiques directement depuis la mémoire vive ou les bases de données système. Initialement conçu comme un proof-of-concept pédagogique pour démontrer les faiblesses du stockage des credentials sous Windows, Mimikatz est devenu en quinze ans la pierre angulaire de la quasi-totalité des compromissions Active Directory documentées : attaques APT (APT28, APT29, Lazarus), ransomwares (Conti, LockBit, BlackCat, Ryuk), opérations red team et exercices de pentest interne. Ses techniques signature — Pass-the-Hash, Pass-the-Ticket, Golden Ticket, Silver Ticket, DCSync, Overpass-the-Hash — ont durablement transformé la doctrine de défense des environnements Windows et imposé l'adoption de contre-mesures spécifiques (Credential Guard, LSA Protection, modèle Tier 0/1/2, Protected Users group). Cette page entity-first synthétise l'architecture modulaire de Mimikatz, ses modules emblématiques (sekurlsa, lsadump, kerberos), ses dérivés modernes (PyKatz, Lsassy, NanoDump, SharpKatz) et les stratégies de détection EDR/AV applicables en 2026. Que vous soyez analyste SOC, pentester certifié OSCP/OSEP, architecte AD ou RSSI, comprendre Mimikatz reste un prérequis incontournable pour défendre efficacement votre infrastructure Microsoft.

L'essentiel à retenir sur Mimikatz

  • Auteur : Benjamin Delpy (gentilkiwi), chercheur français, premier release interne 2007, publication GitHub 2011.
  • Langage : C natif, compilation Visual Studio, binaire 32/64 bits, license CC BY 4.0.
  • Modules clés : sekurlsa (LSASS), lsadump (SAM/LSA/DCSync), kerberos (tickets, golden/silver), vault, crypto.
  • Techniques signature : Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash, Golden Ticket, Silver Ticket, DCSync.
  • Détection : signatures AV/EDR (haute), ETW Microsoft-Windows-Threat-Intelligence, Sysmon Event ID 10, AMSI.
  • Mitigation : Credential Guard (VBS), LSA Protection (RunAsPPL), modèle Tier, Protected Users, MFA, gMSA.
  • Forks notables : PyKatz (Python), Lsassy, NanoDump, SharpKatz (.NET), Pypykatz (rétro-engineering).
  • Statut légal : utilisation strictement encadrée par autorisation écrite (pentest, red team, audit interne).

Définition de Mimikatz

Mimikatz est un outil de post-exploitation open source dédié à l'extraction de secrets d'authentification sur les systèmes Microsoft Windows. Développé en langage C par Benjamin Delpy, ingénieur français en sécurité connu sous le pseudonyme gentilkiwi, le projet a vu sa première version interne livrée en 2007 avant d'être rendu public progressivement à partir de 2011. Le nom "mimikatz" combine "mimi" (référence au surnom personnel de l'auteur) et "katz" (chat en allemand/yiddish), et coexiste avec le module DLL "kiwi" intégré dans des frameworks tiers comme Cobalt Strike, Metasploit et Empire.

Techniquement, Mimikatz opère en interagissant directement avec les composants de bas niveau du sous-système de sécurité Windows : LSASS (Local Security Authority Subsystem Service), SAM (Security Account Manager), LSA Secrets, Credential Manager et la base NTDS.dit sur les contrôleurs de domaine. Il exploite les API officielles Microsoft (LsaCallAuthenticationPackage, MiniDumpWriteDump) et des techniques de lecture mémoire avec privilèges SeDebugPrivilege pour extraire mots de passe en clair (héritage de WDigest), hashes NTLM/LM, tickets Kerberos TGT/TGS, clés DPAPI master keys et secrets stockés.

Histoire et chronologie de Mimikatz

L'histoire de Mimikatz commence en 2007 lorsque Benjamin Delpy, alors administrateur Windows, découvre que le module d'authentification WDigest conserve les mots de passe en clair dans la mémoire de LSASS pour permettre l'authentification HTTP Digest. Frustré par la lenteur de réaction de Microsoft face à ce signalement, il développe un proof-of-concept démontrant l'extraction des credentials. La première version publique apparaît en mai 2011 sous forme de binaire compilé, avant que le code source complet ne soit publié sur Google Code, puis migré vers GitHub en 2014.

Les jalons historiques majeurs incluent :

  • 2007 : conception initiale, version interne, démonstration WDigest.
  • Mai 2011 : première publication binaire, conférence PHDays Russie.
  • 2012 : module sekurlsa stable, popularisation Pass-the-Hash.
  • 2014 : Microsoft publie KB2871997 et désactive WDigest par défaut sur Windows 8.1+.
  • Août 2014 : Skip Duckwall et Benjamin Delpy publient Golden Ticket à BlackHat USA.
  • 2015 : intégration kiwi.dll dans Cobalt Strike (Raphael Mudge) et Empire framework.
  • 2016 : ajout du module DCSync, exploitation du protocole Directory Replication Service (MS-DRSR).
  • 2017 : NotPetya et BadRabbit incorporent du code dérivé de Mimikatz pour propagation latérale.
  • 2018-2020 : émergence des forks Python (Pypykatz par Tamas Jos/SkelSec) et .NET (SharpKatz par b4rtik).
  • 2021-2024 : adoption massive par groupes ransomware (Conti, REvil, LockBit, BlackCat, Royal).
  • 2025-2026 : intégration des techniques Mimikatz dans frameworks C2 modernes (Sliver, Havoc, Mythic).

Architecture modulaire de Mimikatz

Mimikatz est conçu comme un shell interactif structuré en modules fonctionnels invoqués via la syntaxe module::commande. Cette architecture modulaire facilite l'extension du logiciel et permet de cibler chaque composant Windows par un module dédié. Le binaire principal mimikatz.exe charge dynamiquement les modules en mémoire et expose un interpréteur compatible avec l'exécution scriptée et les frameworks de post-exploitation.

Les principaux modules disponibles sont :

  • sekurlsa : extraction depuis la mémoire de LSASS (logonpasswords, msv, wdigest, kerberos, ssp, livessp, tspkg, credman).
  • lsadump : extraction des secrets persistés (sam, secrets, cache, dcsync, lsa, trust, backupkeys).
  • kerberos : manipulation des tickets Kerberos (list, ptt, golden, purge, tgt).
  • vault : extraction du Windows Vault et des credentials stockés dans Credential Manager.
  • crypto : interaction avec les CryptoAPI et CNG (certificats, clés privées, exportation).
  • dpapi : déchiffrement des blobs DPAPI utilisateur et machine (MasterKey, credentials, vault).
  • misc : outils divers (memssp, skeleton key, addsid, detours).
  • ts : interaction avec Terminal Services et Remote Desktop sessions.
  • token : manipulation des tokens d'accès (whoami, list, elevate, run).
  • privilege : élévation de privilèges (debug pour SeDebugPrivilege).
  • process : énumération et interaction avec les processus système.
  • service : manipulation des services Windows.
  • event : interaction avec les journaux d'événements (clear).

Modules et commandes principales

Les commandes les plus utilisées dans les opérations offensives sont concentrées sur quelques verbes essentiels qui couvrent la majorité des scénarios d'extraction et de réutilisation de credentials. Voici un panorama des commandes signature :

  • privilege::debug — active SeDebugPrivilege, prérequis pour la plupart des extractions LSASS.
  • sekurlsa::logonpasswords — affiche tous les credentials des sessions actives (NTLM, SHA1, password en clair si WDigest actif).
  • sekurlsa::pth /user:Administrator /domain:CORP /ntlm:<hash> /run:cmd — exécute Pass-the-Hash.
  • sekurlsa::tickets /export — exporte tous les tickets Kerberos en mémoire vers fichiers .kirbi.
  • lsadump::sam — extrait les hashes du SAM local (nécessite SYSTEM).
  • lsadump::secrets — extrait les LSA Secrets (mots de passe de comptes de service, cached domain credentials).
  • lsadump::cache — extrait les MSCache v2 (cached domain logon credentials).
  • lsadump::dcsync /domain:corp.local /user:krbtgt — réplique les credentials d'un compte via MS-DRSR.
  • lsadump::lsa /patch — patche LSASS pour extraire les hashes depuis un DC.
  • kerberos::list /export — liste les tickets Kerberos de la session courante.
  • kerberos::ptt <ticket.kirbi> — injecte un ticket Kerberos en mémoire (Pass-the-Ticket).
  • kerberos::golden /user:Admin /domain:corp.local /sid:S-1-5-21-... /krbtgt:<hash> /id:500 /ptt — forge et injecte un Golden Ticket.
  • kerberos::purge — purge tous les tickets de la session.
  • misc::skeleton — installe une skeleton key sur un DC permettant authentification universelle avec mot de passe "mimikatz".

Pass-the-Hash, Pass-the-Ticket et Overpass-the-Hash

Trois techniques de réutilisation de credentials popularisées par Mimikatz dominent la phase de mouvement latéral en environnement Active Directory. Toutes exploitent le fait que les protocoles Windows acceptent comme preuve d'identité non pas le mot de passe en clair mais ses dérivés cryptographiques.

Pass-the-Hash (PtH) consiste à s'authentifier via NTLM en présentant directement le hash NTLM d'un utilisateur sans connaître le mot de passe en clair. La commande sekurlsa::pth manipule la structure interne du token et substitue le hash dans la mémoire de LSASS, permettant ensuite à cmd.exe ou powershell.exe d'authentifier toute connexion réseau (SMB, WMI, WinRM) avec les privilèges de l'utilisateur ciblé. PtH reste exploitable contre tout service acceptant NTLM.

Pass-the-Ticket (PtT) consiste à injecter un ticket Kerberos (TGT ou TGS) volé dans la session courante via kerberos::ptt. L'attaquant peut ainsi se présenter comme un autre utilisateur sur tout service supportant Kerberos. Cette technique est particulièrement furtive car elle ne génère pas de trafic NTLM et s'inscrit dans le flux Kerberos normal.

Overpass-the-Hash (OPtH) combine les deux approches : à partir d'un hash NTLM, l'attaquant demande légitimement un TGT Kerberos au KDC en utilisant ce hash comme clé secrète RC4 (puisque c'est ainsi que le hash est dérivé). Le résultat est un TGT valide utilisable pour des accès Kerberos, permettant de contourner les détections NTLM tout en partant d'un hash. Pour aller plus loin, consultez notre guide sur le relais NTLM moderne.

Golden Ticket et Silver Ticket

Les Golden Tickets et Silver Tickets représentent les attaques de persistance les plus dévastatrices contre Active Directory, toutes deux théorisées et opérationnalisées par Benjamin Delpy.

Un Golden Ticket est un TGT (Ticket Granting Ticket) Kerberos forgé entièrement par l'attaquant à partir du hash NTLM du compte krbtgt du domaine. Comme krbtgt signe tous les TGT du domaine, sa connaissance permet de forger des tickets pour n'importe quel utilisateur, y compris des comptes inexistants ou désactivés, avec n'importe quel groupe d'appartenance (Domain Admins, Enterprise Admins). Le ticket conserve sa validité même après changement du mot de passe utilisateur ou désactivation du compte. La mitigation impose une double rotation du mot de passe krbtgt et nécessite que celui-ci soit propagé sur l'ensemble des DCs.

Un Silver Ticket est un TGS (Ticket Granting Service) forgé à partir du hash NTLM du compte de service ciblé (typiquement le compte machine d'un serveur). Plus discret qu'un Golden Ticket car il ne nécessite aucune interaction avec le KDC, il accorde l'accès à un service spécifique (CIFS, HOST, MSSQL, HTTP) sur une machine spécifique. La détection est complexe puisque aucun trafic vers le DC n'est généré.

DCSync : abus du protocole de réplication

L'attaque DCSync, introduite dans Mimikatz en 2015 par Benjamin Delpy et Vincent Le Toux, exploite le protocole légitime MS-DRSR (Directory Replication Service Remote Protocol) utilisé par les contrôleurs de domaine pour répliquer leur base entre eux. En appelant l'API DRSGetNCChanges, un attaquant disposant des permissions Replicating Directory Changes, Replicating Directory Changes All et Replicating Directory Changes In Filtered Set peut demander à un DC de lui transmettre les hashes NTLM de n'importe quel compte du domaine, y compris krbtgt.

La commande lsadump::dcsync /domain:corp.local /user:krbtgt ne nécessite pas l'exécution de code sur le contrôleur de domaine — elle s'effectue à distance depuis n'importe quelle machine du domaine où l'attaquant possède les bonnes permissions ACL. Cette technique est privilégiée car elle évite le contact direct avec LSASS et contourne de nombreux EDR. Elle constitue le vecteur principal d'extraction du hash krbtgt nécessaire au Golden Ticket. Pour comprendre le contexte complet, lisez notre article sur l'extraction de NTDS.dit.

LSASS memory dump : techniques d'extraction

L'extraction directe de credentials sur la machine cible passe presque toujours par un dump mémoire du processus LSASS. Plusieurs techniques permettent de réaliser ce dump, avec des degrés variés de furtivité :

  • Mimikatz natif : sekurlsa::minidump lsass.dmp charge un dump précédemment généré et en extrait les credentials hors-ligne.
  • ProcDump (outil Sysinternals officiel Microsoft) : procdump.exe -accepteula -ma lsass.exe lsass.dmp — paradoxalement signé Microsoft mais détecté par EDR depuis 2020.
  • comsvcs.dll : technique LOLBin utilisant rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump <PID> lsass.dmp full, exploitant une fonction d'export native.
  • Task Manager : clic droit sur lsass.exe, "Créer un fichier de vidage", génère un .dmp dans %TEMP%.
  • NanoDump : fork moderne minimaliste générant des dumps invalides puis réparés hors-ligne pour évasion EDR.
  • Lsassy : framework Python automatisant le dump LSASS à distance via plusieurs méthodes (procdump, comsvcs, dllinject, mirrordump).
  • HandleKatz, MalSeclogon : techniques de duplication de handle pour éviter OpenProcess sur lsass.
  • PPLBlade, PPLDump : outils dédiés au contournement de LSA Protection (RunAsPPL).

Une fois le dump récupéré, il peut être analysé hors-ligne sur la machine de l'attaquant avec Mimikatz (sekurlsa::minidump) ou Pypykatz, évitant ainsi l'exécution de mimikatz.exe sur la cible.

Kerberoasting et AS-REP Roasting via Mimikatz

Mimikatz facilite également les attaques de Kerberoasting et AS-REP Roasting qui ciblent la cryptographie Kerberos pour extraire des hashes crackables hors-ligne.

Le Kerberoasting exploite le fait que tout utilisateur authentifié peut demander un TGS pour n'importe quel compte de service (avec SPN défini), et que ce TGS est chiffré avec le hash NTLM du compte de service. La commande kerberos::ask /target:MSSQLSvc/sql01.corp.local demande un TGS, qui peut ensuite être extrait via kerberos::list /export et soumis à hashcat (mode 13100) pour craquer le mot de passe. Notre guide dédié au Kerberoasting détaille la procédure complète.

L'AS-REP Roasting cible les comptes ayant l'attribut DONT_REQ_PREAUTH activé : sans pré-authentification Kerberos, un attaquant peut demander un AS-REP contenant des données chiffrées avec le hash de l'utilisateur, crackable hors-ligne (hashcat mode 18200).

Versions et compatibilité Windows

Mimikatz a maintenu une compatibilité remarquable depuis sa création, suivant l'évolution des architectures internes de Windows. Les versions binaires officielles sur GitHub couvrent :

  • Windows 7 / Server 2008 R2 : support complet, WDigest activé par défaut (mots de passe en clair extractibles).
  • Windows 8/8.1 / Server 2012/R2 : KB2871997 désactive WDigest, hashes NTLM toujours extractibles.
  • Windows 10 / Server 2016 : introduction de Credential Guard (édition Enterprise/Education), LSA Protection.
  • Windows 11 / Server 2019/2022 : Credential Guard activé par défaut sur Windows 11 22H2+, contournements limités.
  • Server 2025 : nouvelles protections (LSA isolation renforcée), Mimikatz nécessite des versions à jour.

Les versions x64 sont privilégiées sur les systèmes modernes, les versions x86 restant utiles pour processus 32 bits ou systèmes legacy. La maintenance par Benjamin Delpy se poursuit sur GitHub avec des mises à jour ciblant les nouvelles structures internes Windows.

Détection de Mimikatz par les solutions de sécurité

Mimikatz est l'un des outils les plus surveillés au monde. Toutes les solutions EDR/XDR/AV majeures incluent des signatures dédiées : Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne, Carbon Black, Cortex XDR, Sophos Intercept X.

Les principaux mécanismes de détection incluent :

  • Signatures statiques : YARA rules ciblant chaînes caractéristiques (KiwiAndRegistryTools, OpenProcessToken, gentilkiwi).
  • ETW Microsoft-Windows-Threat-Intelligence : événements générés lors d'accès suspect à LSASS.
  • Sysmon Event ID 10 : ProcessAccess avec GrantedAccess 0x1010 ou 0x1410 sur lsass.exe.
  • Sysmon Event ID 7 : chargement de DLL sensibles (samlib.dll, vaultcli.dll).
  • SACL audit : audit des accès objets sensibles dans NTDS.dit.
  • AMSI (Antimalware Scan Interface) : inspection des scripts PowerShell Invoke-Mimikatz.
  • Detection comportementale : appels API anormaux (LsaCallAuthenticationPackage avec KerbRetrieveEncodedTicketMessage).
  • Honey credentials / Honey tokens : comptes pièges dont l'usage déclenche alerte.

Mitigation : protections Microsoft natives

Microsoft a déployé un arsenal défensif progressif depuis 2014 pour contrer Mimikatz et ses dérivés :

  • Credential Guard : isolation de LSASS dans une enclave virtualisée (VBS/Hyper-V), empêchant la lecture mémoire même par SYSTEM. Activé par défaut sur Windows 11 22H2+ Enterprise.
  • LSA Protection (RunAsPPL) : exécute LSASS en tant que Protected Process Light, bloquant OpenProcess depuis processus non-PPL. Activable via registre HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL=1.
  • WDigest désactivé : depuis KB2871997 et activé par défaut Windows 8.1+, supprime le stockage des mots de passe en clair.
  • Protected Users group : membres ne peuvent utiliser RC4, NTLM, délégation non contrainte, cache offline.
  • Modèle Tier 0/1/2 : segmentation administrative empêchant l'usage des comptes Tier 0 sur stations Tier 2.
  • gMSA (Group Managed Service Accounts) : remplace les comptes de service vulnérables au Kerberoasting.
  • MFA / FIDO2 / Passwordless : suppression des facteurs de connaissance crackables.
  • AES-only Kerberos : désactivation de RC4 contre Kerberoasting et OPtH.
  • Restricted Admin Mode RDP : pas de mise en cache des credentials lors de RDP.
  • Windows Defender Application Control (WDAC) : whitelist applicative bloquant binaires non signés.

Variants et forks de Mimikatz

L'écosystème Mimikatz s'est considérablement diversifié avec des forks répondant à des besoins spécifiques d'évasion ou de portabilité :

  • Pypykatz (Tamas Jos / SkelSec) : réimplémentation Python pure, parse les dumps LSASS hors-ligne sans exécution sur cible. Référence absolue pour analyse forensique offline.
  • PyKatz : variante Python plus ancienne, moins maintenue.
  • Lsassy (Hackndo) : framework Python de dump LSASS multi-méthodes à distance via SMB.
  • NanoDump (Helpsystems/CoreSecurity) : génération de dumps LSASS minimalistes en BOF (Beacon Object File) pour Cobalt Strike.
  • SharpKatz (b4rtik) : portage .NET partiel des fonctionnalités sekurlsa, exécutable via Cobalt Strike execute-assembly.
  • Rubeus (HarmJ0y) : focus exclusif sur Kerberos (TGT/TGS, ticket forging, S4U), .NET.
  • Invoke-Mimikatz (PowerSploit) : wrapper PowerShell permettant exécution en mémoire reflective.
  • ProcDump.exe : outil Microsoft légitime détourné pour dump LSASS.
  • HandleKatz : duplication de handle pour éviter OpenProcess direct.
  • Dumpert (Outflank) : utilise des syscalls directs pour bypasser hooks userland EDR.

Outils alternatifs et concurrence

Au-delà des forks directs, plusieurs outils couvrent des fonctionnalités similaires ou complémentaires :

  • Impacket secretsdump.py : équivalent DCSync en Python, extraction NTDS.dit, SAM, LSA à distance via SMB/RPC. Standard de facto pour pentest Linux.
  • CrackMapExec / NetExec : framework offensif intégrant Mimikatz, Lsassy, secretsdump, Kerberoast.
  • BloodHound : cartographie des chemins d'attaque AD, complément essentiel de Mimikatz. Voir notre guide BloodHound et chemins d'attaque.
  • Rubeus : couteau suisse Kerberos en C#, supérieur à Mimikatz pour S4U2Self/Proxy.
  • Certify / Certipy : exploitation ADCS (ESC1-ESC15), complément moderne.
  • Responder + ntlmrelayx : capture et relais NTLM, alternative à PtH.
  • Invoke-DCSync (PowerShell) : DCSync en PowerShell pur.
  • SharpHound + AzureHound : collecteurs BloodHound on-premise et cloud.

Aspects légaux et éthiques

L'utilisation de Mimikatz est strictement encadrée par le droit français et européen. En dehors d'un cadre légal explicite, son emploi tombe sous le coup des articles 323-1 à 323-7 du Code pénal (atteinte aux systèmes de traitement automatisé de données), passibles de peines pouvant atteindre 7 ans d'emprisonnement et 300 000 euros d'amende en cas de circonstances aggravantes.

Les usages légitimes incluent strictement :

  • Pentests autorisés par contrat écrit (lettre de mission, scope défini, autorisation signée par dirigeant habilité).
  • Red team engagements dans le cadre de TIBER-EU, TLPT (DORA) ou exercices internes documentés.
  • Audits de sécurité menés par CESTI agréés ANSSI ou prestataires PASSI.
  • Recherche académique en environnement de laboratoire isolé.
  • Formation en cyber range ou environnement contrôlé (HackTheBox, TryHackMe, OffSec labs).
  • Réponse à incident par équipes CSIRT/CERT sur leur propre infrastructure.

L'auteur Benjamin Delpy a constamment réaffirmé son positionnement de chercheur en sécurité défensive : Mimikatz reste publié pour démontrer les faiblesses Windows et accélérer leur correction par Microsoft. Son blog officiel blog.gentilkiwi.com documente cette philosophie.

FAQ — Questions fréquentes sur Mimikatz

Mimikatz est-il détecté par Windows Defender en 2026 ?

Oui, Microsoft Defender détecte le binaire mimikatz.exe officiel comme HackTool:Win32/Mimikatz depuis 2014. Defender for Endpoint (MDE) ajoute des détections comportementales sur les accès LSASS, le chargement de DLL sensibles et l'exécution de commandes Mimikatz signature. Sans évasion (recompilation, obfuscation, chiffrement), tout déploiement échoue immédiatement. Les variantes obfusquées et les forks récompilés peuvent passer initialement mais sont rapidement signalés via télémétrie cloud.

Quelle est la version Mimikatz disponible en 2026 ?

La branche stable maintenue par Benjamin Delpy sur GitHub poursuit ses incréments mineurs. La version 2.2.0 sert de base depuis 2020, avec des builds périodiques intégrant le support des nouvelles structures internes Windows 11 et Server 2025. Le dépôt officiel reste github.com/gentilkiwi/mimikatz, attention aux forks malveillants distribuant des versions trojanisées.

Existe-t-il une alternative furtive à Mimikatz ?

Plusieurs alternatives plus discrètes existent : NanoDump pour dump LSASS minimaliste, Pypykatz pour analyse offline (zéro empreinte sur cible), Rubeus pour opérations Kerberos pures, Impacket secretsdump pour DCSync sans agent local, HandleKatz et Dumpert pour évasion EDR via syscalls directs. Aucune ne reproduit l'intégralité fonctionnelle de Mimikatz, mais leur combinaison couvre la majorité des usages opérationnels.

Comment se protéger efficacement contre Mimikatz ?

La défense en profondeur impose plusieurs couches : (1) activer Credential Guard sur tous les postes Windows 11 Enterprise, (2) déployer LSA Protection RunAsPPL sur tous les serveurs, (3) appliquer le modèle Tier Microsoft strictement, (4) ajouter les administrateurs au groupe Protected Users, (5) effectuer une double rotation krbtgt tous les 6-12 mois, (6) déployer un EDR à signatures comportementales, (7) activer Sysmon avec configuration durcie (SwiftOnSecurity, Olaf Hartong), (8) basculer vers FIDO2/passwordless.

Pourquoi utiliser PyKatz ou Pypykatz plutôt que Mimikatz ?

Pypykatz présente trois avantages décisifs : (1) analyse hors-ligne de dumps LSASS sans exécution sur la cible, donc zéro détection runtime, (2) portabilité Linux, idéal pour pentesters opérant depuis Kali ou Parrot, (3) indépendance vis-à-vis des signatures Mimikatz, le code Python pur n'embarque aucune chaîne caractéristique. Pypykatz est ainsi devenu le standard de facto pour l'extraction post-incident en analyse forensique.

Mimikatz fonctionne-t-il sur Linux ou macOS ?

Le binaire Mimikatz natif est exclusivement Windows (compilé en C avec API Win32). Cependant, ses techniques s'appliquent en cross-platform via les forks Python : Pypykatz parse des dumps LSASS depuis Linux/macOS, et Impacket reproduit DCSync, secretsdump et les attaques Kerberos depuis tout système supportant Python. Pour environnement Linux/macOS, ces alternatives sont la voie standard.

Pour aller plus loin : ressources et articles approfondis

Pour approfondir la maîtrise des attaques Active Directory et de l'extraction de credentials, consultez nos guides spécialisés :

Ressources externes officielles :