Mimikatz
Mimikatz est à la fois un exploit sur Microsoft Windows qui extrait les mots de passe stockés en mémoire et un logiciel qui exécute cet exploit[1]. Il a été créé par le programmeur français Benjamin Delpy. Il s'est enrichi depuis de d'autres attaques que le seul exploit original et est désormais un outil largement utilisé pour analyser la sécurité et attaquer des systèmes Windows.
Histoire[modifier | modifier le code]
En 2011, Benjamin Delpy découvre une faille dans Microsoft Windows : une copie d'un mot de passe chiffré et la clé permettant de le déchiffrer étaient présent en même temps dans la mémoire[2],[1]. Il signale la faille à Microsoft, qui répond que seule une machine déjà compromise est vulnérable[1]. Benjamin Delpy montre cependant que cette faille permet d'accéder à des machines non compromises sur un réseau à partir d'une machine compromise[1].
Face aux dénégations de Microsoft et afin de les forcer à agir, en mai 2011, il publie une première version propriétaire de mimikatz, qui est donc un logiciel réalisant cette attaque et prouvant ainsi sa viabilité[1].
En septembre 2011, la faille est utilisée dans le piratage de DigiNotar[1].
Conférence en Russie[modifier | modifier le code]
En 2012, il participe à une conférence en Russie à propos de son logociel[1]. Au cours de la conférence, alors qu'il retourne à l'improviste dans sa chambre, il surprend un inconnu sur son ordinateur portable, qui prétend s'être simplement trompé de chambre et prend la fuite. Il est aussi abordé par un autre homme lui demandant sa présentation et le code source de minikatz sur une clé USB, il obtempère[1].
Secoué par ces divers événemetns en Russie, il décide avant son départ de rendre minikatz opensource en publiant le code sur GitHub[1]. Il considère qu'il est préférable que ceux se protégeant des cyberattaques puisse apprendre à partir de son code comment cette attaque fonctionne[1].
Mises à jour de Windows[modifier | modifier le code]
En 2013, Microsoft ajoute à Windows 8.1 la possibilité de désactiver la fonctionnalité vulnérable à l'attaque[1]. Dans Windows 10, la fonctionnalité est désactivée par défaut, mais Jake Williams de Rendition Infosec affirme que l'attaque reste efficace : soit car des systèmes exécutent une version obsolète de Windows, soit en utilisant de l'élévation de privilèges pour obtenir suffisamment de contrôle sur la cible pour activer la faille[1].
Benjamin Delpy a ensuite ajouté d'autres fonctionnalités à minikatz, l'enrichissant de d'autres exploits que l'original, et en faisant un des outils de référence pour analyser la sécurité - et donc également attaquer des systèmes Windows[3]
Utilisation dans les logiciels malveillants[modifier | modifier le code]
L’attaque de Carbanak et la cyberattaque contre le Bundestag ont utilisé mimikatz[1]. Les logiciels malveillants NotPetya et BadRabbit ont utilisé des versions de l'attaque combinées aux exploits EternalBlue et EternalRomance[1].
Dans la culture populaire[modifier | modifier le code]
Dans la saison 2, épisode 9 de Mr Robot, Angela Moss utilise mimikatz pour obtenir le mot de passe Windows de son patron[4].
Notes et références[modifier | modifier le code]
- (en-US) Andy Greenberg, « He Perfected a Password-Hacking Tool—Then the Russians Came Calling », Wired, (ISSN 1059-1028, lire en ligne, consulté le )
- (en-US) « 06-2022-mimikatz », sur James Francis Flynn (consulté le )
- Petters, « What is Mimikatz: The Beginner's Guide », Varonis Systems, (consulté le )
- Koecher, « Mr. Robot, Mimikatz and Lateral Movement »,
