Blog Sécurité des données

Qu’est-ce que Mimikatz : guide du débutant

Au départ, Benjamin Delpy a créé Mimikatz pour établir une preuve de concept et montrer à Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Sans le vouloir, il a...
Michael Buckbee
4 minute de lecture
Dernière mise à jour 27 juin 2023

Contents

    Au départ, Benjamin Delpy a créé Mimikatz pour établir une preuve de concept et montrer à Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Sans le vouloir, il a créé un des outils de piratage les plus largement utilisés et téléchargés au cours des 20 dernières années.

    Jake Williams, spécialiste de la sécurité des informations chez Rendition a déclaré : « Mimikatz a fait davantage progresser la sécurité que tout autre outil me venant à l’esprit ». Si vous êtes chargé de protéger des réseaux sous Windows, vous devez impérativement vous tenir informé des derniers développements concernant Mimikatz afin de comprendre les techniques utilisées par les hackers pour s’infiltrer dans vos réseaux, et garder ainsi une longueur d’avance.

    Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

    Qu’est-ce que Mimikatz ?

    Mimikatz est une application en accès libre qui permet aux utilisateurs de voir et enregistrer des informations d’authentification comme les tickets Kerberos. Étant donné que Benjamin Delpy dirige toujours les développements de Mimikatz, l’ensemble d’outils fonctionne avec la version actuelle de Windows et intègre les attaques les plus récentes.

    Les hackers utilisent couramment Mimikatz pour voler des données d’identification et augmenter les droits : dans la plupart des cas, un logiciel de protection des terminaux et des systèmes antivirus le détecteront et le supprimeront. À l’inverse, les testeurs d’intrusion utilisent Mimikatz pour détecter et exploiter les vulnérabilités de vos réseaux afin que vous puissiez leur trouver une parade.

    mimikatz definition

    Que peut faire Mimikatz ?

    Au départ, Mimikatz montrait comment exploiter une simple vulnérabilité du système d’authentification de Windows. Aujourd’hui, l’outil permet de procéder à la démonstration de plusieurs types de vulnérabilités. Mimikatz peut utiliser des techniques de rassemblement de données d’identification telles que :

    • Pass-the-Hash : Windows avait pour habitude de conserver les données de mot de passe dans un hachage NTLM. Les hackers utilisent Mimikatz pour transmettre la chaîne de hachage exacte à l’ordinateur cible pour se connecter. Ils n’ont même pas besoin de craquer le mot de passe, il leur suffit d’utiliser la chaîne de hachage. C’est comme si l’on trouvait par terre le passe-partout d’un bâtiment. Une clé suffit pour ouvrir toutes les portes.
    • Pass-the-Ticket : les versions plus récentes de Windows conservent les données de mot de passe dans un élément appelé « ticket ».  Mimikatz donne la possibilité à un utilisateur de transmettre un ticket kerberos à un autre ordinateur et de l’utiliser pour se connecter. Fondamentalement, c’est l’équivalent de pass-the-hash.
    • Over-Pass the Hash (Pass the Key) : encore une autre variante de « pass-the-hash », mais cette technique transmet une clé unique obtenue auprès d’un contrôleur de domaine pour se faire passer pour un utilisateur.
    • Kerberos Golden Ticket : il s’agit d’une attaque pass-the-ticket, à la différence près que ce ticket correspond à un compte masqué nommé KRBTGT, qui n’est autre que le compte qui chiffre tous les autres tickets. Un golden ticket vous accorde, pour tout ordinateur du réseau, des droits d’administrateur de domaine qui n’expirent pas.
    • Kerberos Silver Ticket : une autre attaque pass-the-ticket, sauf qu’un silver ticket exploite une caractéristique de Windows qui vous permet d’utiliser facilement des services sur le réseau. Kerberos accorde un ticket TGS à un utilisateur et celui-ci peut l’utiliser pour se connecter à n’importe quel service du réseau. Microsoft ne contrôle pas toujours le TGS une fois qu’il a été émis, et il peut donc facilement passer entre les mailles de n’importe quelle protection.
    • Pass-the-Cache : enfin une attaque qui n’exploite pas Windows ! Une attaque pass-the-cache est généralement équivalente à une attaque pass-the-ticket, à la différence près qu’elle utilise les données de connexion enregistrées et chiffrées d’un système Mac/UNIX/Linux.

    what can mimikatz do

    Où télécharger Mimikatz

    Vous pouvez télécharger Mimikatz sur le GitHub de Benjamin Delpy. Il propose plusieurs options de téléchargement, de l’exécutable jusqu’au code source. Pour la compilation, vous devez utiliser Visual Studio 2010 ou supérieur.

    Comment utiliser Mimikatz

    Lorsque vous lancez Mimikatz avec l’exécutable, vous obtenez une console interactive depuis laquelle vous pouvez exécuter des commandes en temps réel.

    Exécutez Mimikatz en tant qu’Administrateur : pour être totalement fonctionnel, Mimikatz doit être « Exécuté en tant qu’administrateur », même si vous utilisez un compte Administrateur.

    Contrôle de la version de Mimikatz

    Il existe 2 versions de Mimikatz : 32 bits et 64 bits. Assurez-vous d’exécuter la version adaptée à votre installation Windows. Depuis l’invite Mimikatz, exécutez la commande ‘version’ pour obtenir des informations sur l’exécutable Mimikatz, connaître la version de Windows et savoir si des paramètres Windows empêcheront le bon fonctionnement de Mimikatz.

    Extrayez les mots de passe en texte clair de la mémoire

    Le module sekurlsa de Mimikatz vous permet de supprimer les mots de passe de la mémoire. Pour utiliser les commandes du module sekurlsa, vous devez disposer de droits Admin ou SYSTEME.

    Commencez par exécuter la commande suivante :

    mimikatz # privilege::debug

    La sortie vous indique si vous disposez des droits requis pour continuer.

    Ensuite, lancez les fonctions de journalisation afin de pouvoir vous référer par la suite à ce que vous avez fait.

    mimikatz # log nameoflog.log

    Enfin, sortez tous les mots de passe en texte clair conservés sur cet ordinateur.

    mimikatz # sekurlsa::logonpasswords

    Utilisation d’autres modules Mimikatz

    Le module de chiffrement vous permet d’accéder à l’interface CryptoAPI de Windows grâce à laquelle vous pouvez lister et exporter les certificats et leurs clés privées, même s’ils sont marqués comme étant non-exportables.

    Le module kerberos accède à l’API Kerberos afin que vous puissiez jouer avec cette fonctionnalité en extrayant et en manipulant des tickets Kerberos.

    Le module de service vous permet de démarrer, arrêter, désactiver etc. des services Windows.

    Pour terminer, la commande coffee retourne le dessin ascii d’une tasse de café. Car tout le monde a besoin de café.

    Mais Mimikatz fait tellement plus. Si vous êtes intéressé par les tests de pénétration ou souhaitez vous familiariser un peu avec les systèmes d’authentification de Windows, consultez les références et liens ci-dessous :

    Vous voulez voir Mimikatz en action et savoir comment Varonis vous protège des hackers ?  Participez gratuitement à notre Atelier cyberattaque en direct et regardez nos techniciens lancer une cyberattaque en direct dans notre laboratoire de sécurité.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    attaque-kerberos-:-comment-lutter-contre-un-golden-ticket-?
    Attaque Kerberos : comment lutter contre un Golden Ticket ?
    attaque-kerberos-:-comment-lutter-contre-un-golden-ticket-?
    Michael Buckbee
    17 août 2018
    L’attaque Golden Ticket, découverte par le chercheur en sécurité Benjamin Delpy, donne au hacker un accès total et complet à l’intégralité de votre domaine. Il s’agit d’un Golden Ticket (« ticket d’or »,...
    explication-de-l’authentification-kerberos
    Explication de l’authentification Kerberos
    explication-de-l’authentification-kerberos
    Michael Buckbee
    14 septembre 2018
    En mythologie, Kerberos (que vous connaissez peut-être plutôt sous le nom de Cerbère) garde l’entrée des Enfers. Il s’agit d’un gros chien à trois têtes et à queue en serpent...
    attaque-kerberos-:-édition-silver-ticket
    Attaque Kerberos : édition Silver Ticket
    attaque-kerberos-:-édition-silver-ticket
    Michael Buckbee
    12 septembre 2018
    Si vous pensez que, de par son nom, l’attaque Silver Ticket est moins dangereuse que sa cousine Golden Ticket, vous faites gravement erreur. Une attaque Silver Ticket est tout aussi...
    dcom-:-qu’est-ce-que-la-technologie-distributed-component-object-model-?
    DCOM : Qu’est-ce que la technologie Distributed Component Object Model ?
    dcom-:-qu’est-ce-que-la-technologie-distributed-component-object-model-?
    Michael Buckbee
    7 septembre 2018
    DCOM est une technologie de programmation qui permet à un ordinateur d’exécuter des programmes sur le réseau, sur un ordinateur différent, comme si le programme était exécuté en local. DCOM...