La campagne Tough Love est la dernière tentative visant à tuer un protocole Microsoft zombie qui ne mourra pas.
La division de sécurité Mandiant de Google a mis au point une tactique inhabituelle pour persuader les organisations de cesser d’utiliser le protocole d’authentification NTLMv1, obsolète et extrêmement peu sécurisé : publier une recherche de données qui rend le piratage des informations d’identification NTLMv1 trivial pour les attaquants.
L’intention, explique Mandiant, est d’attirer l’attention sur le fait que, malgré des décennies de preuves démontrant que NTLMv1 (NT LAN Manager version 1) n’est pas sécurisé, les organisations continuent de l’utiliser. Tout le monde peut utiliser la recherche de table arc-en-ciel précalculée Net-NTLMv1 de Mandiant, téléchargeable à partir du portail Google Cloud Research Dataset, pour cartographier une réponse de serveur donnée afin de reconstruire un véritable hachage NT.
Les hachages, bien sûr, sont des représentations mathématiques de mots de passe réels, mais sont tout aussi utiles aux criminels lorsqu’ils sont exploités à l’aide de techniques telles que . L’avantage est un gain de temps et d’argent : Mandiant estime que sa table arc-en-ciel permet la récupération d’une clé NTLMv1 en 12 heures à l’aide d’un ordinateur coûtant 600 $, plutôt que de compter sur des services tiers ou du matériel coûteux pour forcer brutalement les clés.
Rien de tout cela ne rend NTLMv1 moins sécurisé ou plus facile à cibler qu’il ne l’est déjà. Mandiant espère que la publication de la table servira à rappeler que le problème existe, incitant les organisations à finalement supprimer NTLMv1 de leurs réseaux.
« Cet ancien protocole rend les organisations vulnérables au vol trivial d’identifiants, mais il reste répandu en raison de l’inertie et de l’absence de risque immédiat démontré », a déclaré la société dans son communiqué. « En publiant ces tableaux, Mandiant vise à abaisser la barrière permettant aux professionnels de la sécurité de démontrer l’insécurité de Net-NTLMv1. »
Longue repli
NTLMv1 est un protocole défi-réponse des années 1990 utilisé pour authentifier les utilisateurs de Windows NT auprès d’Active Directory (AD). Basé sur le chiffrement DES (Data Encryption Standard) des années 1980, il a été mis à jour vers le NTLMv2, plus sécurisé, en 1996 avant d’être complètement remplacé par Kerberos. Malheureusement, les protocoles existants comme NTLMv1 ne disparaissent pas et sont conservés comme solution de secours au cas où des applications plus anciennes en auraient besoin. Ce repli s’est avéré au cours des dernières décennies.
De quelles preuves Mandiant dispose-t-il démontrant que les organisations utilisent toujours NTLMv1 ? La première est anecdotique : « Les consultants Mandiant continuent d’identifier son utilisation dans des environnements actifs », notait la société dans l’annonce de la semaine dernière.
Deuxièmement, les cyberattaquants le ciblent régulièrement. Par exemple, une campagne menée en 2024 par le groupe de menace TA577 a ciblé les hachages NTLM en utilisant des e-mails piégés pour envoyer des demandes d’authentification par défi-réponse aux ressources internes des PME telles que les imprimantes existantes.
Un incident plus récent impliquait une attaque par relais d’authentification visant une vulnérabilité NTLM spécifique, CVE-2025-54918, survenue quelques semaines seulement après que Microsoft a annoncé qu’il supprimait finalement la prise en charge de NTLMv1 de Windows Server 2025 et Windows 11.
Obstacle principal : savoir qu’il est toujours là
Selon Rob Finn, vice-président international de la société de sécurité de la chaîne d’approvisionnement Chainguard, même les organisations soucieuses de la sécurité pourraient être surprises par NTLMv1.
« Les protocoles hérités tels que NTLMv1 sont profondément enfouis dans des micrologiciels tiers. Une équipe de sécurité pourrait déprécier NTLMv1 au niveau du système d’exploitation, pour ensuite qu’un pilote d’imprimante ou un capteur industriel existant le réintroduise via une bibliothèque non corrigée vieille de plusieurs décennies », a-t-il déclaré. « Pour la plupart des entreprises, le principal obstacle n’est pas seulement de savoir que NTLMv1 n’est pas sécurisé, mais aussi de savoir qu’il est toujours là. »
Étant donné que les ressources telles que les imprimantes ne sont pas exposées de l’extérieur, il est tentant de supposer qu’elles sont hors de portée des attaquants. Malgré cela, NTLMv1 peut toujours être ciblé depuis l’extérieur du réseau en utilisant des techniques de relais ou de coercition, en déclenchant par exemple une authentification via une attaque de phishing.
« Les attaquants n’ont pas besoin de savoir que vous l’utilisez. Il leur suffit de fouiller le système pour le savoir. Fondamentalement, les organisations maintiennent actifs les protocoles existants non pas parce qu’elles le souhaitent, mais parce qu’elles craignent de briser une application héritée critique », a déclaré Finn.
Bien que Microsoft recommande aux organisations de passer à NTLMv2 et Kerberos depuis plus de deux décennies, il semble que tout le monde n’ait pas reçu cette note. « En termes de cryptographie, NTLMv1 n’est pas seulement ancien, il est archéologique », a déclaré Rob Anderson, responsable des services de conseil réactifs chez Reliance Cyber. « NTLMv1 est toujours activé, non pas parce qu’il est nécessaire aujourd’hui, mais parce qu’il était nécessaire autrefois, et personne n’est assez courageux pour l’éteindre et voir ce qui se passe en panne. »
Malgré ces craintes, les organisations doivent agir. « Recherchez son utilisation, découvrez pourquoi il est utilisé, enregistrez-le comme à haut risque et mettez-vous au travail pour le supprimer, dans des délais raisonnables », a-t-il conseillé.
