Connexion
Face à la persistance de NTLMv1, Mandiant publie ses rainbow tables
Les années passent… et il y a encore du NTLMv1 qui traîne.
Mandiant a récemment émis un rappel à ce sujet… et l’a accompagné de rainbow tables. Il y en a pour environ 100 Go de données, sous licence CC BY 4.0, téléchargeables via la console Google Cloud ou l’outil gsutil (elles sont dans des buckets GCP).
Promesse : grâce à ces tables, récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Une méthode alternative aux attaques par force brute avec hashcat et Cie. Lesquelles sont moins efficaces à mesure que la longueur des secrets augmente.
Pour quelques rainbow tables de plus
Les rainbow tables de Mandiant semblent cibler les mots de passe de 7 caractères de longueur.
Le projet RainbowCrack – une référence dans le domaine, intégré à notamment à Kali Linux – va jusqu’à 10 avec ses propres tables. Il annonce des taux de réussite entre 96,8 % et 99,9 %.
| Plage de caractères | Nombre de caractères | Taux de réussite | Poids |
| Ascii 32 à 95 | 7 | 99,9 % | 52 Go |
| Ascii 32 à 95 | 8 | 96,8 % | 460 Go |
| Majuscules, minuscules, chiffres | 8 | 99,9 % | 127 Go |
| Majuscules, minuscules, chiffres | 9 | 96,8 % | 690 Go |
| Minuscules, chiffres | 9 | 99,9 % | 65 Go |
| Minuscules, chiffres | 10 | 96,8 % | 316 Go |
NTLM, un grand chantier pour Microsoft
De longue date, la v1 du protocole NTLM est considérée comme insuffisamment sécurisé. Le guide de l’ANSSI sur l’administration des environnements Active Directory résume sa faiblesse : il permet d’obtenir des condensats (hashs) par simple capture du trafic réseau. Dans la pratique, les attaques forceront typiquement l’authentification depuis un objet AD à haut niveau de privilèges, comme un contrôleur de domaine.
NTLMv1 a officiellement été supprimé des OS Microsoft avec Windows 11 24H2 et Windows Server 2025. Mais il y a des restes dans certains scénarios. Entre autres lors de l’utilisation de MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) dans un environnement joint à un domaine. Solution recommandée : déployer Credential Guard… et exploiter les fonctionnalités d’audit, renforcées pour l’occasion.
L’objectif de Microsoft est de désactiver complètement le protocole à terme, pour aller vers Kerberos. Il a fallu adapter ce dernier afin de lui apporter certaines caractéristiques spécifiques de NTLM – qui ont d’ailleurs favorisé son intégration « en dur » par certaines applications. Par exemple, l’absence d’exigence de connexion réseau locale à un contrôleur de domaine. La fonctionnalité dite IAKerb a été introduite à ces fins. Elle permet l’authentification sur un contrôleur de domaine via un serveur mandataire.
Illustration générée par IA
The post Face à la persistance de NTLMv1, Mandiant publie ses rainbow tables appeared first on Silicon.fr.
