Blog Sécurité des données

Qu’est-ce que Mimikatz : guide du débutant

Au départ, Benjamin Delpy a créé Mimikatz pour établir une preuve de concept et montrer à Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Sans le vouloir, il a...
Michael Buckbee
4 minute de lecture
Dernière mise à jour 27 juin 2023

Contents

    Au départ, Benjamin Delpy a créé Mimikatz pour établir une preuve de concept et montrer à Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Sans le vouloir, il a créé un des outils de piratage les plus largement utilisés et téléchargés au cours des 20 dernières années.

    Jake Williams, spécialiste de la sécurité des informations chez Rendition a déclaré : « Mimikatz a fait davantage progresser la sécurité que tout autre outil me venant à l’esprit ». Si vous êtes chargé de protéger des réseaux sous Windows, vous devez impérativement vous tenir informé des derniers développements concernant Mimikatz afin de comprendre les techniques utilisées par les hackers pour s’infiltrer dans vos réseaux, et garder ainsi une longueur d’avance.

    Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

    Qu’est-ce que Mimikatz ?

    Mimikatz est une application en accès libre qui permet aux utilisateurs de voir et enregistrer des informations d’authentification comme les tickets Kerberos. Étant donné que Benjamin Delpy dirige toujours les développements de Mimikatz, l’ensemble d’outils fonctionne avec la version actuelle de Windows et intègre les attaques les plus récentes.

    Les hackers utilisent couramment Mimikatz pour voler des données d’identification et augmenter les droits : dans la plupart des cas, un logiciel de protection des terminaux et des systèmes antivirus le détecteront et le supprimeront. À l’inverse, les testeurs d’intrusion utilisent Mimikatz pour détecter et exploiter les vulnérabilités de vos réseaux afin que vous puissiez leur trouver une parade.

    mimikatz definition

    Que peut faire Mimikatz ?

    Au départ, Mimikatz montrait comment exploiter une simple vulnérabilité du système d’authentification de Windows. Aujourd’hui, l’outil permet de procéder à la démonstration de plusieurs types de vulnérabilités. Mimikatz peut utiliser des techniques de rassemblement de données d’identification telles que :

    • Pass-the-Hash : Windows avait pour habitude de conserver les données de mot de passe dans un hachage NTLM. Les hackers utilisent Mimikatz pour transmettre la chaîne de hachage exacte à l’ordinateur cible pour se connecter. Ils n’ont même pas besoin de craquer le mot de passe, il leur suffit d’utiliser la chaîne de hachage. C’est comme si l’on trouvait par terre le passe-partout d’un bâtiment. Une clé suffit pour ouvrir toutes les portes.
    • Pass-the-Ticket : les versions plus récentes de Windows conservent les données de mot de passe dans un élément appelé « ticket ».  Mimikatz donne la possibilité à un utilisateur de transmettre un ticket kerberos à un autre ordinateur et de l’utiliser pour se connecter. Fondamentalement, c’est l’équivalent de pass-the-hash.
    • Over-Pass the Hash (Pass the Key) : encore une autre variante de « pass-the-hash », mais cette technique transmet une clé unique obtenue auprès d’un contrôleur de domaine pour se faire passer pour un utilisateur.
    • Kerberos Golden Ticket : il s’agit d’une attaque pass-the-ticket, à la différence près que ce ticket correspond à un compte masqué nommé KRBTGT, qui n’est autre que le compte qui chiffre tous les autres tickets. Un golden ticket vous accorde, pour tout ordinateur du réseau, des droits d’administrateur de domaine qui n’expirent pas.
    • Kerberos Silver Ticket : une autre attaque pass-the-ticket, sauf qu’un silver ticket exploite une caractéristique de Windows qui vous permet d’utiliser facilement des services sur le réseau. Kerberos accorde un ticket TGS à un utilisateur et celui-ci peut l’utiliser pour se connecter à n’importe quel service du réseau. Microsoft ne contrôle pas toujours le TGS une fois qu’il a été émis, et il peut donc facilement passer entre les mailles de n’importe quelle protection.
    • Pass-the-Cache : enfin une attaque qui n’exploite pas Windows ! Une attaque pass-the-cache est généralement équivalente à une attaque pass-the-ticket, à la différence près qu’elle utilise les données de connexion enregistrées et chiffrées d’un système Mac/UNIX/Linux.

    what can mimikatz do

    Où télécharger Mimikatz

    Vous pouvez télécharger Mimikatz sur le GitHub de Benjamin Delpy. Il propose plusieurs options de téléchargement, de l’exécutable jusqu’au code source. Pour la compilation, vous devez utiliser Visual Studio 2010 ou supérieur.

    Comment utiliser Mimikatz

    Lorsque vous lancez Mimikatz avec l’exécutable, vous obtenez une console interactive depuis laquelle vous pouvez exécuter des commandes en temps réel.

    Exécutez Mimikatz en tant qu’Administrateur : pour être totalement fonctionnel, Mimikatz doit être « Exécuté en tant qu’administrateur », même si vous utilisez un compte Administrateur.

    Contrôle de la version de Mimikatz

    Il existe 2 versions de Mimikatz : 32 bits et 64 bits. Assurez-vous d’exécuter la version adaptée à votre installation Windows. Depuis l’invite Mimikatz, exécutez la commande ‘version’ pour obtenir des informations sur l’exécutable Mimikatz, connaître la version de Windows et savoir si des paramètres Windows empêcheront le bon fonctionnement de Mimikatz.

    Extrayez les mots de passe en texte clair de la mémoire

    Le module sekurlsa de Mimikatz vous permet de supprimer les mots de passe de la mémoire. Pour utiliser les commandes du module sekurlsa, vous devez disposer de droits Admin ou SYSTEME.

    Commencez par exécuter la commande suivante :

    mimikatz # privilege::debug

    La sortie vous indique si vous disposez des droits requis pour continuer.

    Ensuite, lancez les fonctions de journalisation afin de pouvoir vous référer par la suite à ce que vous avez fait.

    mimikatz # log nameoflog.log

    Enfin, sortez tous les mots de passe en texte clair conservés sur cet ordinateur.

    mimikatz # sekurlsa::logonpasswords

    Utilisation d’autres modules Mimikatz

    Le module de chiffrement vous permet d’accéder à l’interface CryptoAPI de Windows grâce à laquelle vous pouvez lister et exporter les certificats et leurs clés privées, même s’ils sont marqués comme étant non-exportables.

    Le module kerberos accède à l’API Kerberos afin que vous puissiez jouer avec cette fonctionnalité en extrayant et en manipulant des tickets Kerberos.

    Le module de service vous permet de démarrer, arrêter, désactiver etc. des services Windows.

    Pour terminer, la commande coffee retourne le dessin ascii d’une tasse de café. Car tout le monde a besoin de café.

    Mais Mimikatz fait tellement plus. Si vous êtes intéressé par les tests de pénétration ou souhaitez vous familiariser un peu avec les systèmes d’authentification de Windows, consultez les références et liens ci-dessous :

    Vous voulez voir Mimikatz en action et savoir comment Varonis vous protège des hackers ?  Participez gratuitement à notre Atelier cyberattaque en direct et regardez nos techniciens lancer une cyberattaque en direct dans notre laboratoire de sécurité.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    gdpr-:-faites-vos-devoirs-et-limitez-les-risques-d’amende
    GDPR : faites vos devoirs et limitez les risques d’amende
    gdpr-:-faites-vos-devoirs-et-limitez-les-risques-d’amende
    Michael Buckbee
    19 décembre 2017
    Ce conseil, qui était valable lorsque vous étiez à l’école, l’est aussi pour le Règlement général sur la protection des données (GDPR) : faites vos devoirs, cela compte dans votre note !...
    qu’est-ce-qu’un-plan-de-réponse-aux-incidents-et-comment-le-créer-?
    Qu’est-ce qu’un plan de réponse aux incidents et comment le créer ?
    qu’est-ce-qu’un-plan-de-réponse-aux-incidents-et-comment-le-créer-?
    Neil Fox
    25 janvier 2021
    Qu'est-ce qu'un plan de réponse aux incidents exactement, pourquoi devez-vous en avoir un, comment le créer, qui doit l'exécuter et les 6 étapes à effectuer.
    votre-organisation-est-elle-prête-à-déployer-microsoft-copilot ?
    Votre organisation est-elle prête à déployer Microsoft Copilot ?
    votre-organisation-est-elle-prête-à-déployer-microsoft-copilot ?
    Brian Vecci
    3 janvier 2024
    Découvrez ce guide étape par étape pour déployer des outils d’IA générative en toute sécurité avec Varonis.
    qu’est-ce-que-la-conformité-sox-?
    Qu’est-ce que la conformité SOX ?
    qu’est-ce-que-la-conformité-sox-?
    Michael Buckbee
    1 mars 2021
    En 2002, le Congrès des États-Unis a adopté la loi Sarbanes-Oxley et mis en place des règles pour protéger le public contre les pratiques frauduleuses ou trompeuses des entreprises ou...