Mimikatz
Mimikatz est à la fois un exploit sur Microsoft Windows qui extrait les mots de passe stockés en mémoire et un logiciel qui exécute cet exploit[1]. Il est créé par le programmeur français Benjamin Delpy. Mimikatz s'est enrichi d'autres fonctionnalités issues d'exploits autres que le seul exploit original et est désormais un outil largement utilisé pour analyser la sécurité et attaquer des systèmes Windows.
Histoire
modifierEn 2011, Benjamin Delpy découvre une faille dans Microsoft Windows : une copie d'un mot de passe chiffré et la clé permettant de le déchiffrer étaient présents en même temps dans la mémoire[2],[1]. Il signale la faille à Microsoft, qui répond que seule une machine déjà compromise est vulnérable[1]. Benjamin Delpy montre cependant que cette faille permet d'accéder à des machines non compromises sur un réseau à partir d'une machine compromise[1].
Face aux dénégations de Microsoft et afin de les forcer à agir, en mai 2011, il publie une première version propriétaire de Mimikatz, qui est donc un logiciel réalisant cette attaque et prouvant ainsi sa viabilité[1].
En septembre 2011, la faille est utilisée dans le piratage de DigiNotar[1].
Conférence en Russie
modifierEn 2012, il participe à une conférence en Russie à propos de son logiciel[1]. Au cours de la conférence, alors qu'il retourne à l'improviste dans sa chambre, il surprend un inconnu sur son ordinateur portable, qui prétend s'être simplement trompé de chambre et prend la fuite. Il est aussi abordé par un autre homme lui demandant sa présentation et le code source de Mimikatz sur une clé USB, il obtempère[1].
Secoué par ces divers événements en Russie, Benjamin Delpy décide avant son départ de rendre Mimikatz opensource en publiant le code sur GitHub[1]. Il considère qu'il est préférable que ceux se protégeant des cyberattaques puissent apprendre à partir de son code comment cette attaque fonctionne[1].
Mises à jour de Windows
modifierEn 2013, Microsoft ajoute à Windows 8.1 la possibilité de désactiver la fonctionnalité vulnérable à l'attaque[1]. Dans Windows 10, la fonctionnalité est désactivée par défaut, mais Jake Williams de Rendition Infosec affirme que l'attaque reste efficace : soit car des systèmes exécutent une version obsolète de Windows, soit en utilisant de l'élévation de privilèges pour obtenir suffisamment de contrôle sur la cible pour réactiver la fonctionnalité et donc a fortiori la faille[1].
Benjamin Delpy a ensuite ajouté d'autres fonctionnalités à Mimikatz, issues d'autres exploits que l'original, faisant du logiciel un des outils de référence pour analyser la sécurité - et donc également attaquer des systèmes Windows[3].
Utilisation dans les logiciels malveillants
modifierL’attaque de Carbanak et la cyberattaque contre le Bundestag ont utilisé Mimikatz[1]. Les logiciels malveillants NotPetya et BadRabbit ont utilisé des versions de l'attaque combinées aux exploits EternalBlue et EternalRomance[1].
Dans la culture populaire
modifierDans la saison 2, épisode 9 de Mr Robot, Angela Moss utilise Mimikatz pour obtenir le mot de passe Windows de son patron[4].
Notes et références
modifier- (en-US) Andy Greenberg, « He Perfected a Password-Hacking Tool—Then the Russians Came Calling », Wired, (ISSN 1059-1028, lire en ligne, consulté le )
- (en-US) « 06-2022-mimikatz », sur James Francis Flynn (consulté le )
- Petters, « What is Mimikatz: The Beginner's Guide », Varonis Systems, (consulté le )
- Koecher, « Mr. Robot, Mimikatz and Lateral Movement »,