Hack In Paris 2019 – Mimikatz le programme instoppable

25 juin 2019

Evénement

Mimikatz est une application open-source qui permet aux utilisateurs de voir et enregistrer des informations d’authentification. C’est un programme qui donne du fil à retordre aux vendeurs d’anti-virus par son aspect « instoppable ».

Lors d’Hack In Paris 2019, nous avons eu l’occasion d’assister à la conférence « You « try » to detect mimikatz » de Vincent LE TOUX (Responsable SSI pour une entreprise d’énergie française), suite à cette dernière, nous avons pu échanger avec lui. Mais alors en quoi consiste réellement cet outil ?

 

Un outil de prédilection pour les cyberattaques

Créé à l’origine par Benjamin Delpy, Mimikatz était à la base une façon de démontrer à l’entreprise Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Cependant, rapidement des pirates en ont fait leur outil de prédilection.

Les hackers se servent principalement de Mimikatz pour voler des données d’identification, une thématique particulièrement sensible en entreprise. C’est une des raisons pour lesquels les Pentester utilisent fréquemment l’outil Mimikatz pour détecter et exploiter les vulnérabilités des réseaux et si besoin trouver une parade.

 

Mimikatz, une veille permanente ?

Pour se protéger de Mimikatz il faut avant tout comprendre l’outil.

Il est important d‘assimiler que Mimikatz n’est pas un virus, ce qui rend sa détection par un anti-virus classique très difficile. « On ne peut pas remporter le Tour de France si on ne sait pas faire de vélo, c’est exactement le même principe pour parer Mimikatz : il faut apprendre et procéder pas à pas pour comprendre l’outil » souligne Vincent LE TOUX.

Mimikatz n’est pas un outil d’attaque, cependant certains l’incorporent dans leur projet d’attaque afin de rendre celui-ci plus virulent. Bloquer totalement Mimikatz n’est à ce jour pas tout à fait réaliste. Un anti-virus compétent peut effectivement repérer et bloquer une version de l’outil, mais un hacker expérimenté parvient toujours à contourner ce blocage.
« C’est un « chat et la souris permanent », on ne peut pas garantir qu’un programme n’a pas de vulnérabilité, ni qu’un antivirus bloquera et/ou détectera Mimikatz, cela va dans les deux sens » rappelle Vincent LE TOUX.

 

Comment se protéger de Mimikatz ?

Il existe cependant des mesures pour limiter la portée de Mimikatz, l’efficacité de ces mesures dépendra en revanche de la quantité d’efforts mis en place pour stopper l’outil.

En univers professionnels, deux axes d’actions sont à privilégier :

  • Les stations de travail : s’assurer d’appliquer et respecter les recommandations de Microsoft prévues spécifiquement pour prévenir ce genre d’attaques.
  • L’active Directory : insister sur les notions d’hygiène informatique (changements réguliers des mots de passe etc.) pour lequel Vincent LE TOUX a conçu le programme PingCastle.

Il faut cependant garder en tête que ce ne sont pas des procédés miracles, le moyen le plus efficace pour limiter les risques inhérents à Mimikatz est de respecter les protocoles informatiques en entreprise, faire régulièrement des audits et tests d’intrusions afin de cibler les vulnérabilités et s’équiper de bons anti-virus.
Ces moyens permettront de limiter les risques sans pour autant les éliminer. Reste à déterminer s’il sera possible dans un jour futur de venir à bout de Mimikatz…

Besoin de plus d'informations


Pour aller plus loin

Pour recevoir la documentation Hub One adaptée à vos besoins

Le présent site stocke des cookies et autres traceurs sur votre équipement (ci-après dénommés « cookies »). Ces cookies sont utilisés par Hub One pour collecter des informations sur la manière dont vous interagissez avec le site et établir des statistiques et des volumes de fréquentation et d’utilisation afin d’améliorer votre parcours en tant qu’utilisateur.
Vous pouvez choisir de ne pas autoriser certains types de cookies, à l’exception de ceux permettant la fourniture du présent site web et qui sont strictement nécessaires au fonctionnement de ce dernier. Pour accepter ou refuser l’utilisation des différentes catégories de cookies (à l’exception de la catégorie des cookies strictement nécessaires), rendez-vous dans les Préférences cookies.
Vous pouvez à tout moment revenir sur votre autorisation d’utilisation des cookies (Préférences cookies).
Le refus de l’utilisation de certains cookies peut avoir un impact sur votre utilisation du site.
En savoir plus : Politique cookies
Préférences cookies
Refuser tous les cookies
Accepter tous les cookies