Hack In Paris 2019 – Mimikatz le programme instoppable

Mimikatz est une application open-source qui permet aux utilisateurs de voir et enregistrer des informations d’authentification. C’est un programme qui donne du fil à retordre aux vendeurs d’anti-virus par son aspect « instoppable ».

Lors d’Hack In Paris 2019, nous avons eu l’occasion d’assister à la conférence « You « try » to detect mimikatz » de Vincent LE TOUX (Responsable SSI pour une entreprise d’énergie française), suite à cette dernière, nous avons pu échanger avec lui. Mais alors en quoi consiste réellement cet outil ?

 

Un outil de prédilection pour les cyberattaques

Créé à l’origine par Benjamin Delpy, Mimikatz était à la base une façon de démontrer à l’entreprise Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Cependant, rapidement des pirates en ont fait leur outil de prédilection.

Les hackers se servent principalement de Mimikatz pour voler des données d’identification, une thématique particulièrement sensible en entreprise. C’est une des raisons pour lesquels les Pentester utilisent fréquemment l’outil Mimikatz pour détecter et exploiter les vulnérabilités des réseaux et si besoin trouver une parade.

 

Mimikatz, une veille permanente ?

Pour se protéger de Mimikatz il faut avant tout comprendre l’outil.

Il est important d‘assimiler que Mimikatz n’est pas un virus, ce qui rend sa détection par un anti-virus classique très difficile. « On ne peut pas remporter le Tour de France si on ne sait pas faire de vélo, c’est exactement le même principe pour parer Mimikatz : il faut apprendre et procéder pas à pas pour comprendre l’outil » souligne Vincent LE TOUX.

Mimikatz n’est pas un outil d’attaque, cependant certains l’incorporent dans leur projet d’attaque afin de rendre celui-ci plus virulent. Bloquer totalement Mimikatz n’est à ce jour pas tout à fait réaliste. Un anti-virus compétent peut effectivement repérer et bloquer une version de l’outil, mais un hacker expérimenté parvient toujours à contourner ce blocage.
« C’est un « chat et la souris permanent », on ne peut pas garantir qu’un programme n’a pas de vulnérabilité, ni qu’un antivirus bloquera et/ou détectera Mimikatz, cela va dans les deux sens » rappelle Vincent LE TOUX.

 

Comment se protéger de Mimikatz ?

Il existe cependant des mesures pour limiter la portée de Mimikatz, l’efficacité de ces mesures dépendra en revanche de la quantité d’efforts mis en place pour stopper l’outil.

En univers professionnels, deux axes d’actions sont à privilégier :

  • Les stations de travail : s’assurer d’appliquer et respecter les recommandations de Microsoft prévues spécifiquement pour prévenir ce genre d’attaques.
  • L’active Directory : insister sur les notions d’hygiène informatique (changements réguliers des mots de passe etc.) pour lequel Vincent LE TOUX a conçu le programme PingCastle.

Il faut cependant garder en tête que ce ne sont pas des procédés miracles, le moyen le plus efficace pour limiter les risques inhérents à Mimikatz est de respecter les protocoles informatiques en entreprise, faire régulièrement des audits et tests d’intrusions afin de cibler les vulnérabilités et s’équiper de bons anti-virus.
Ces moyens permettront de limiter les risques sans pour autant les éliminer. Reste à déterminer s’il sera possible dans un jour futur de venir à bout de Mimikatz…

Pour garder une longueur d'avance, abonnez-vous

Besoin de plus d'informations