Outils / logiciels et technologies Pass-the-hash

Selon une étude de One Identity, expert en sécurité réseau, 11 % des entreprises françaises ont été victimes d’attaques Pass-the-Hash (PtH) en 2019. Pourtant, la menace n’est pas nouvelle. La première publication sur le PtH remonte à 1998. Mais, les cybercriminels profitent de l’environnement Windows : fonctionnement en réseau et à distance de systèmes obligatoirement compatibles.

L’attaquant Pass-the-Hash vise à usurper un compte utilisateur pour pénétrer un système informatique. Il progresse ensuite en son sein pour obtenir d’autres accès utilisateurs. Enfin, il peut accéder au compte administrateur réseau. Les conséquences peuvent donc être lourdes pour la sécurité des données d’une entreprise. Il devient donc indispensable de se protéger contre cette menace.

Qu’est-ce que le Pass-the-Hash ?

Le PtH puise son ingéniosité dans la création du système d’authentification de Windows.

Hachage NTLM des mots de passe et ticket Kerberos : le protocole d’identification Windows

Pour faciliter et sécuriser les échanges au sein d’un réseau, Windows a créé un protocole d’authentification client. Par sécurité, les mots de passe en clair des utilisateurs ne sont pas stockés dans la mémoire d’un serveur. Ils sont transformés en chaîne de symboles (hash) grâce à une fonction mathématique. C’est la technique du hachage. 

Pour accéder à une base de données de votre entreprise, vous devez être authentifié. Le protocole d’authentification Windows s’appuie historiquement sur la technologie NTLM (New Technology Lan Manager). Renforcé par le protocole Kerberos, il s’agit aujourd’hui d’obtenir un ticket d’accès pour accéder aux ressources sensibles d’un réseau. Le processus fonctionne en échange challenge/response. Il permet au serveur de vérifier la validité de votre hash sans échange de mot de passe en clair.

  1. Vous demandez à ouvrir une session via votre compte utilisateur. Une requête est envoyée au serveur d’authentification (le contrôleur de domaine) ;
  2. Ce dernier envoie une question codée (challenge) à votre machine pour vérifier votre identité client ;
  3. Votre machine envoie le hash de votre mot de passe d’authentification (response) ;
  4. Le serveur vérifie dans sa base Sam (Security Account Manager). Puis, il valide votre ticket d’accès. Vous pouvez démarrer votre session.

Les attaques Pass-the-Hash : un processus élaboré pour pénétrer un système informatique

Les attaques PtH consistent à utiliser le hash des utilisateurs pour pénétrer dans un système en réseau. L’attaquant n’a pas besoin de craquer ou de voler leurs identifiants. Il n’a pas non plus besoin de déchiffrer le hash NTLM. Il doit néanmoins l’obtenir pour le transmettre au serveur d’authentification tel quel. Il possède trois possibilités pour y parvenir :

La vulnérabilité de Windows face aux attaques Pass-the-Hash

Les attaques Pass-the-Hash ciblent tout type de systèmes d’exploitation. Mais, Windows présente une vulnérabilité : le processus NTLM repose sur une authentification unique SSO (Single Sign-On). Celle-ci permet aux utilisateurs d’entrer leurs identifiants une seule fois pour accéder aux ressources du réseau.

Avec le hash NTLM, l’attaquant dispose ainsi de deux avantages. D’une part, il n’a pas besoin de le déchiffrer. D’autre part, il bénéficie d’un ticket d’accès réutilisable pour se déplacer dans le réseau. Il peut ainsi contourner les contrôles d’accès normaux au système informatique local et à distance.

Quels sont les risques du Pass-the-Hash ?

Les risques de la menace PtH pour la sécurité informatique sont multiples. Ils concernent le vol de données utilisateurs et l’utilisation frauduleuse d’informations sensibles d’une entreprise.

Exemple d’attaque Pass-the-Hash

Voici le déroulement type d’une attaque PtH. 

  1. L’attaquant obtient le hash NTLM d’un utilisateur suite à un piratage (phishing ou Mimikaz).
  2. Il utilise le compte utilisateur piraté pour obtenir un ticket d’accès dans le système informatique et ses ressources. 
  3. Il se déplace dans le réseau et ses comptes utilisateurs pour collecter les informations qu’il recherche (données sensibles ou identifiants).
  4. Il obtient le hasch NTLM d’utilisateurs bénéficiant de privilèges dans le domaine.
  5. Il poursuit sa progression par élévation de privilèges jusqu’au contrôle de l’administration du système. 

Pass-the-Hash : une progression en mouvement latéral dans un réseau de systèmes distants

Pour Microsoft, la progression de l’attaquant PtH suit un mouvement latéral. Le cybercriminel propage son attaque à partir d’un point d’accès local. Puis, il se déplace à distance dans tout le réseau à la recherche de sa cible. Le mouvement latéral s’initie avec l’attaque d’un compte utilisateur non sensible vers des comptes utilisateurs très sensibles de type contrôleur de domaine ou vers l’Active Directory (AD). Le travail à distance et l’authentification unique renforcent cette opportunité.

Piratage Pass-the-Hash : une passerelle pour d’autres attaques

Le piratage des comptes utilisateurs et administrateurs permet à un cybercriminel de préparer d’autres attaques. Il peut ainsi introduire un logiciel malveillant ou malware. Il peut alors voler des données pour les utiliser en vue d’une escroquerie. Il peut aussi revendre celles-ci sur le darknet. Enfin, il peut exiger une rançon contre leur restitution. C’est le cas du ransomware. Les attaques PtH représentent donc de graves menaces pour la sécurité et la confidentialité des informations d’une entreprise.

Comment détecter une attaque Pass-the-Hash ?

La détection des attaques PtH exige une expertise en sécurité informatique. Une formation en cybersécurité apporte en effet les méthodes et les outils spécifiques à cette menace.

Les méthodes pour détecter des attaques Pass-the-Hash

Pour les experts en sécurité informatique, l’une des méthodes de détection d’une attaque Pass-the-Hash s’appuie sur l’analyse des évènements (event properties / Microsoft Windows). Pour repérer des tentatives de connexion indésirables, analysez ainsi les journaux :

  • de la machine (poste de travail en local) ;
  • du serveur cible ;
  • du contrôleur de domaine.

Il s’agit alors de repérer les anomalies de connexions entre celles réalisées avec une authentification normale et celles réalisées avec l’utilisation du hash. Un type de connexion devient suspect quand il révèle le comportement anormal d’un compte utilisateur. 

Les outils de détection d’un attaquant Pass-the-Hash

Pour pallier la vulnérabilité d’un système informatique, la mise en place d’une démarche proactive devient nécessaire. Le threat hunting (traque de la menace) permet de détecter par avance des menaces qui échappent aux contrôles de sécurité standards. Pour mener cette chasse aux menaces, les experts sécurité peuvent utiliser les outils de détection et d’analyse suivants :

  • un SIEM (Security Information and Event Management) ou système de gestion des informations et des évènements de sécurité ;
  • un EDR (Endpoint Detection and response), outil de détection et d’intervention sur les points de terminaison ;
  • des outils d’analyse de paquets de données comme SolarWinds Network Perfomance Monitor destinés à l’administrateur système et aux analystes sécurité.

Comment éviter l’attaque Pass-The-Hash ?

La prévention représente le maître mot de la sécurité informatique. Il s’agit d’intervenir en amont sur les utilisateurs et sur les systèmes.

Les bonnes pratiques pour renforcer la sécurité des systèmes informatiques

La sécurité informatique exige des comportements de vigilance. La gouvernance en cybersécurité représente ainsi une stratégie globale de gestion des risques cybercriminels. Elle permet de diffuser des pratiques et un état d’esprit de vigilance chez chaque utilisateur. Elle favorise la mise en place d’outils adaptés à la détection et à la gestion de la menace.

Limiter l’accès réseau et les privilèges de comptes

Pour limiter l’impact des attaques Pass-the-Hash, les experts en sécurité informatique conseillent de renforcer le contrôle de l’accès au réseau pour les utilisateurs. De plus, il devient indispensable de revoir la gestion des privilèges. Celle-ci permet de mieux cloisonner le réseau pour freiner le mouvement latéral de l’attaque.

Selon une étude de Microsoft, 75 % des utilisateurs sont sur-privilégiés. Ils ont accès à des informations qui ne sont pas indispensables à leur mission. Et environ 50 % d’entre eux partagent leurs identifiants ! Pour réduire cette vulnérabilité, il s’agit d’appliquer le principe du moindre privilège. L’administrateur doit limiter les utilisateurs, les services ou les applications aux données et aux systèmes nécessaires à leurs champs d’activité.

Authentification utilisateur et gestion des mots de passe

La technique du Pass-the-Hash repose sur la vulnérabilité des accès. C’est donc sur ce champ de la sécurité que doit se concentrer la prévention.

L’importance d’un système de gestion des mots de passe et des privilèges utilisateurs

Pour réduire la menace PtH, un système de gestion des mots de passe et des privilèges devient indispensable. La mise en place d’un tel processus permet l’administration fine des comptes utilisateurs. Des mesures simples peuvent alors renforcer la sécurité du réseau.

  • Pour chaque machine en local, il s’agit de choisir un mot de passe administrateur différent.
  • Les identifiants de connexion de chaque utilisateur doivent être régulièrement modifiés.
  • La mise en place d’une gestion des accès privilégiés (PAM) par groupe d’utilisateurs permet de sécuriser l’authentification.

L’authentification multi facteurs : un outil efficace pour protéger votre réseau

L’authentification multi facteurs (MFA) oblige l’utilisateur à fournir a minima deux facteurs de vérification. Le mot de passe habituel représente le premier facteur. Un second peut être l’insertion d’une clé USB ou d’un badge dans la machine. Il peut également s’agir d’entrer un code confidentiel reçu par SMS ou généré par une application.

Les attaques Pass-the-Hash représentent une menace sérieuse pour les informations sensibles des entreprises. La mise en place d’un protocole de sécurité élaboré permet leur détection et leur prévention. La cybersécurité exige un savoir-faire et des compétences avancées pour protéger les systèmes informatiques.