L’Apocalypse des mots de passe à 600 $: la table arc-en-ciel de Mandiant brise l’illusion de sécurité de NTLMv1

On dirait le scénario d’un cyber-thriller : une société de sécurité publie un outil si puissant qu’il peut craquer les mots de passe de systèmes critiques en seulement douze heures - avec un ordinateur à la portée de tous. Mais ce n’est pas de la fiction. Mandiant, un leader de la cybersécurité, vient de faire l’effet d’une bombe dans le monde de la sécurité réseau en rendant publique une gigantesque table arc-en-ciel hébergée dans le cloud. Leur cible ? L’authentification Net-NTLMv1 de Microsoft, vieille de plusieurs décennies, qui rôde encore dans l’ombre de certains des réseaux les plus sensibles au monde.

Les tables arc-en-ciel ne sont pas nouvelles dans l’arsenal des hackers, mais l’initiative de Mandiant abaisse considérablement la barre. Leur base de données pré-calculée - hébergée sur Google Cloud - permet à n’importe qui, des chercheurs en sécurité aux cybercriminels, de rétroconcevoir les empreintes de mots de passe NTLMv1 avec une rapidité et une accessibilité sans précédent. Il suffit d’un hash (facilement récupérable dans le trafic réseau) et de quelques centaines de dollars de matériel pour révéler, même au niveau administrateur, un mot de passe en moins d’une demi-journée.

Pourquoi est-ce important ? Parce que NTLMv1, bien que déclaré obsolète depuis des années, reste obstinément ancré dans l’infrastructure des centrales électriques, des hôpitaux et des grandes entreprises. Les raisons vont des applications héritées incapables de gérer de nouveaux protocoles, au coût et au risque de mettre hors ligne des systèmes critiques pour une mise à niveau. Parfois, c’est simplement l’inertie organisationnelle ou des budgets serrés qui maintiennent l’ancien code en fonctionnement.

Jusqu’à présent, exploiter NTLMv1 nécessitait généralement soit de télécharger des données sensibles sur des services tiers douteux, soit d’investir dans du matériel spécialisé coûteux. La table arc-en-ciel de Mandiant change la donne : elle est librement accessible et démocratise une technique auparavant réservée à ceux disposant de ressources importantes ou d’une éthique discutable. L’entreprise affirme que son objectif est d’armer les défenseurs - en donnant aux professionnels de la sécurité les preuves concrètes nécessaires pour faire honte, effrayer ou convaincre leur organisation d’abandonner enfin NTLMv1. Mais le même outil, bien sûr, est désormais à la portée de quiconque dispose d’une connexion Internet et d’une rancune.

Pour les secteurs qui s’accrochent encore à NTLMv1, le message est clair : votre mot de passe équivaut désormais à du texte en clair. La publication de Mandiant est à la fois un avertissement et un défi - les organisations vont-elles enfin agir, ou l’inertie l’emportera-t-elle jusqu’à ce que la prochaine faille fasse la une ?

WIKICROOK

• Table arc-en-ciel : Une table arc-en-ciel est une base de données pré-calculée qui associe des empreintes de mots de passe à leurs mots de passe d’origine, permettant aux attaquants de casser plus efficacement les mots de passe chiffrés.
• NTLMv1 : NTLMv1 est un ancien protocole d’authentification Microsoft vulnérable aux attaques de cassage de mots de passe. Il est peu sûr et devrait être remplacé par des alternatives modernes.
• Algorithme de hachage : Un algorithme de hachage convertit des données en une chaîne unique de taille fixe, aidant à sécuriser les mots de passe et à vérifier l’intégrité des données dans les applications de cybersécurité.
• Réseau : Réseau désigne les réseaux informatiques. En cybersécurité, il s’agit de protéger ces réseaux contre les accès non autorisés, les attaques et les fuites de données.
• Système hérité : Un système hérité est un logiciel ou un matériel obsolète encore utilisé parce que le remplacer ou le mettre à jour est difficile, coûteux ou perturbateur.