Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Qu’est-ce que Mimikatz : guide du débutant

Au départ, Benjamin Delpy a créé Mimikatz pour établir une preuve de concept et montrer à Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Sans le vouloir, il a...
Michael Buckbee
4 minute de lecture
Publié 22 février 2019
Dernière mise à jour 27 juin 2023

Au départ, Benjamin Delpy a créé Mimikatz pour établir une preuve de concept et montrer à Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Sans le vouloir, il a créé un des outils de piratage les plus largement utilisés et téléchargés au cours des 20 dernières années.

Jake Williams, spécialiste de la sécurité des informations chez Rendition a déclaré : « Mimikatz a fait davantage progresser la sécurité que tout autre outil me venant à l’esprit ». Si vous êtes chargé de protéger des réseaux sous Windows, vous devez impérativement vous tenir informé des derniers développements concernant Mimikatz afin de comprendre les techniques utilisées par les hackers pour s’infiltrer dans vos réseaux, et garder ainsi une longueur d’avance.

Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

Qu’est-ce que Mimikatz ?

Mimikatz est une application en accès libre qui permet aux utilisateurs de voir et enregistrer des informations d’authentification comme les tickets Kerberos. Étant donné que Benjamin Delpy dirige toujours les développements de Mimikatz, l’ensemble d’outils fonctionne avec la version actuelle de Windows et intègre les attaques les plus récentes.

Les hackers utilisent couramment Mimikatz pour voler des données d’identification et augmenter les droits : dans la plupart des cas, un logiciel de protection des terminaux et des systèmes antivirus le détecteront et le supprimeront. À l’inverse, les testeurs d’intrusion utilisent Mimikatz pour détecter et exploiter les vulnérabilités de vos réseaux afin que vous puissiez leur trouver une parade.

mimikatz definition

Que peut faire Mimikatz ?

Au départ, Mimikatz montrait comment exploiter une simple vulnérabilité du système d’authentification de Windows. Aujourd’hui, l’outil permet de procéder à la démonstration de plusieurs types de vulnérabilités. Mimikatz peut utiliser des techniques de rassemblement de données d’identification telles que :

  • Pass-the-Hash : Windows avait pour habitude de conserver les données de mot de passe dans un hachage NTLM. Les hackers utilisent Mimikatz pour transmettre la chaîne de hachage exacte à l’ordinateur cible pour se connecter. Ils n’ont même pas besoin de craquer le mot de passe, il leur suffit d’utiliser la chaîne de hachage. C’est comme si l’on trouvait par terre le passe-partout d’un bâtiment. Une clé suffit pour ouvrir toutes les portes.
  • Pass-the-Ticket : les versions plus récentes de Windows conservent les données de mot de passe dans un élément appelé « ticket ».  Mimikatz donne la possibilité à un utilisateur de transmettre un ticket kerberos à un autre ordinateur et de l’utiliser pour se connecter. Fondamentalement, c’est l’équivalent de pass-the-hash.
  • Over-Pass the Hash (Pass the Key) : encore une autre variante de « pass-the-hash », mais cette technique transmet une clé unique obtenue auprès d’un contrôleur de domaine pour se faire passer pour un utilisateur.
  • Kerberos Golden Ticket : il s’agit d’une attaque pass-the-ticket, à la différence près que ce ticket correspond à un compte masqué nommé KRBTGT, qui n’est autre que le compte qui chiffre tous les autres tickets. Un golden ticket vous accorde, pour tout ordinateur du réseau, des droits d’administrateur de domaine qui n’expirent pas.
  • Kerberos Silver Ticket : une autre attaque pass-the-ticket, sauf qu’un silver ticket exploite une caractéristique de Windows qui vous permet d’utiliser facilement des services sur le réseau. Kerberos accorde un ticket TGS à un utilisateur et celui-ci peut l’utiliser pour se connecter à n’importe quel service du réseau. Microsoft ne contrôle pas toujours le TGS une fois qu’il a été émis, et il peut donc facilement passer entre les mailles de n’importe quelle protection.
  • Pass-the-Cache : enfin une attaque qui n’exploite pas Windows ! Une attaque pass-the-cache est généralement équivalente à une attaque pass-the-ticket, à la différence près qu’elle utilise les données de connexion enregistrées et chiffrées d’un système Mac/UNIX/Linux.

what can mimikatz do

Où télécharger Mimikatz

Vous pouvez télécharger Mimikatz sur le GitHub de Benjamin Delpy. Il propose plusieurs options de téléchargement, de l’exécutable jusqu’au code source. Pour la compilation, vous devez utiliser Visual Studio 2010 ou supérieur.

Comment utiliser Mimikatz

Lorsque vous lancez Mimikatz avec l’exécutable, vous obtenez une console interactive depuis laquelle vous pouvez exécuter des commandes en temps réel.

Exécutez Mimikatz en tant qu’Administrateur : pour être totalement fonctionnel, Mimikatz doit être « Exécuté en tant qu’administrateur », même si vous utilisez un compte Administrateur.

Contrôle de la version de Mimikatz

Il existe 2 versions de Mimikatz : 32 bits et 64 bits. Assurez-vous d’exécuter la version adaptée à votre installation Windows. Depuis l’invite Mimikatz, exécutez la commande ‘version’ pour obtenir des informations sur l’exécutable Mimikatz, connaître la version de Windows et savoir si des paramètres Windows empêcheront le bon fonctionnement de Mimikatz.

Extrayez les mots de passe en texte clair de la mémoire

Le module sekurlsa de Mimikatz vous permet de supprimer les mots de passe de la mémoire. Pour utiliser les commandes du module sekurlsa, vous devez disposer de droits Admin ou SYSTEME.

Commencez par exécuter la commande suivante :

mimikatz # privilege::debug

La sortie vous indique si vous disposez des droits requis pour continuer.

Ensuite, lancez les fonctions de journalisation afin de pouvoir vous référer par la suite à ce que vous avez fait.

mimikatz # log nameoflog.log

Enfin, sortez tous les mots de passe en texte clair conservés sur cet ordinateur.

mimikatz # sekurlsa::logonpasswords

Utilisation d’autres modules Mimikatz

Le module de chiffrement vous permet d’accéder à l’interface CryptoAPI de Windows grâce à laquelle vous pouvez lister et exporter les certificats et leurs clés privées, même s’ils sont marqués comme étant non-exportables.

Le module kerberos accède à l’API Kerberos afin que vous puissiez jouer avec cette fonctionnalité en extrayant et en manipulant des tickets Kerberos.

Le module de service vous permet de démarrer, arrêter, désactiver etc. des services Windows.

Pour terminer, la commande coffee retourne le dessin ascii d’une tasse de café. Car tout le monde a besoin de café.

Mais Mimikatz fait tellement plus. Si vous êtes intéressé par les tests de pénétration ou souhaitez vous familiariser un peu avec les systèmes d’authentification de Windows, consultez les références et liens ci-dessous :

Vous voulez voir Mimikatz en action et savoir comment Varonis vous protège des hackers ?  Participez gratuitement à notre Atelier cyberattaque en direct et regardez nos techniciens lancer une cyberattaque en direct dans notre laboratoire de sécurité.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).