Pass-the-Hash
adDéfinition
L'attaque Pass-the-Hash (PtH) exploite le protocole d'authentification NTLM de Windows, qui accepte le hachage du mot de passe directement comme preuve d'identité, sans nécessiter le mot de passe en clair. Un attaquant ayant compromis une machine peut extraire les hachages NTLM des comptes connectés depuis la mémoire du processus LSASS (Local Security Authority Subsystem Service) via des outils comme Mimikatz (commande sekurlsa::logonpasswords) ou secretsdump d'Impacket. Ces hachages peuvent ensuite être directement réutilisés pour s'authentifier sur d'autres systèmes du réseau partageant les mêmes credentials — typiquement dans les environnements où les administrateurs locaux utilisent le même mot de passe sur plusieurs machines. Microsoft a répondu avec Protected Users Security Group, Credential Guard (basé sur la virtualisation), et les restrictions de comptes locaux via LAPS (Local Administrator Password Solution). La segmentation réseau et le principe du moindre privilège limitent également l'impact de cette attaque.
Fonctionnement
Windows stocke les hashs NTLM en mémoire (lsass.exe). Un attaquant avec des privilèges administrateur peut extraire ces hashs avec Mimikatz puis les injecter dans une nouvelle session d'authentification.
Contremesures
- Credential Guard (isolation hardware via VBS)
- LAPS (Local Administrator Password Solution)
- Tiering model : ne pas exposer les credentials Tier 0 sur les postes Tier 2
- Désactivation de WDigest
- Remote Credential Guard
Besoin d'un expert sur ce sujet ?
Audit, pentest, conformité ISO 27001, développement IA sécurisé — demandez un devis gratuit.
Demander un devis