🔓 NTLMv1, Rainbow Tables et Active Directory : quand l’authentification reste coincĂ©e en 1998

Si vous pensiez que NTLMv1 avait disparu avec les modems 56k et Windows NT 4.0, mauvaise nouvelle : il est encore bien vivant dans de nombreuses infrastructures Active Directory.
Et avec lui, un vieil ami tout aussi poussiĂ©reux mais redoutablement efficace : les rainbow tables.

Cet article revient sur une rĂ©alitĂ© dĂ©rangeante mais trĂšs actuelle : le crack quasi instantanĂ© de mots de passe administrateur via NetNTLMv1, dĂ©montrĂ© Ă  l’aide d’outils publics et de tables prĂ©-calculĂ©es. Le tout, sans exploit zero-day, sans malware sophistiquĂ©, et souvent
 sans alerte.

🧠 Petit rappel : NTLMv1, c’est quoi dĂ©jĂ  ?

NTLMv1 est un protocole d’authentification hĂ©ritĂ©, encore tolĂ©rĂ© (parfois volontairement, parfois par oubli) dans certains environnements Active Directory.

ProblĂšmes majeurs :

  • ❌ Algorithmes cryptographiques faibles
  • ❌ Challenge trop court
  • ❌ Hash rĂ©utilisable en attaque offline
  • ❌ Aucune rĂ©sistance face aux rainbow tables modernes

En clair : si NTLMv1 est activĂ©, le mot de passe n’est plus un secret, c’est juste une formalitĂ©.

đŸ§Ș DĂ©monstration technique : quand le hash tombe avant la pause cafĂ©

La capture ci-dessous montre un cas rĂ©el de rĂ©cupĂ©ration de hash NetNTLMv1, suivi d’un crack via rainbow tables.
Figure 1 – Crack d’un hash NetNTLMv1 via rainbow tables : 100 % de succùs, sans brute force.

Crack d’un hash NetNTLMv1 via rainbow tables : 100 % de succùs, sans brute force.

Le rapport est sans appel :

  • 2 hashes chargĂ©s
  • 2 hashes crackĂ©s
  • 100 % de rĂ©ussite
  • Temps effectif de recherche : quelques minutes
  • Mot de passe rĂ©cupĂ©rĂ© en clair

Aucun mot de passe faible ici. Juste un protocole faible.

⏱ Rainbow tables : pourquoi c’est aussi rapide ?

Les rainbow tables ne “cassent” pas un hash en temps rĂ©el.
Elles cherchent dans une base de calculs dĂ©jĂ  faits, parfois plusieurs centaines de gigaoctets, optimisĂ©s pour un type prĂ©cis de hash.
Figure 2 – Recherche dans plus de 95 milliards de chaĂźnes prĂ©-calculĂ©es.

Recherche dans plus de 95 milliards de chaßnes pré-calculées.

RĂ©sultat :

  • Pas de brute force
  • Pas de dictionnaire
  • Peu de ressources CPU
  • Le facteur limitant devient l’I/O disque, pas la crypto

Autrement dit : plus vous avez de stockage, plus vous ĂȘtes dangereux.

🔑 Du hash au privilùge : l’escalade silencieuse

Une fois le mot de passe rĂ©cupĂ©rĂ©, l’attaquant peut :

  • Se connecter en SMB
  • Lancer des appels RPC
  • AccĂ©der Ă  des partages administratifs
  • PrĂ©parer un mouvement latĂ©ral

La capture suivante illustre une tentative d’exploitation RPC post-authentification :
Figure 3 – AccĂšs RPC refusé  mais l’authentification a dĂ©jĂ  rĂ©ussi.

AccĂšs RPC refusé  mais l’authentification a dĂ©jĂ  rĂ©ussi.

MĂȘme un Ă©chec ici n’est pas une protection :

  • Le mot de passe est valide
  • Il pourra ĂȘtre rĂ©utilisĂ© ailleurs
  • Ou plus tard
  • Ou sur un autre service

đŸ’„ Impact rĂ©el en entreprise (spoiler : c’est moche)

Les conséquences concrÚtes sont bien connues :

  • 🔓 Compromission de comptes Ă  privilĂšges
  • 🧭 Mouvement latĂ©ral invisible
  • 🧹 PrĂ©paration de ransomware
  • đŸ—‚ïž AccĂšs aux sauvegardes
  • đŸ§‘â€đŸ’» Usurpation d’identitĂ© d’administrateur

Et surtout : aucune alerte SOC si personne ne regarde NTLMv1.

đŸ§Ÿâ€â™‚ïž Pourquoi NTLMv1 est encore activĂ© ?

Quelques excuses classiques, entendues trop souvent :

  • “On a une vieille application”
  • “Un copieur multifonction”
  • “Un ERP historique”
  • “Ça a toujours marchĂ©â€
  • “On verra plus tard”

Traduction SSI :
👉 â€œOn accepte un risque critique sans le documenter.”

đŸ›Ąïž Contre-mesures efficaces (et pas dĂ©coratives)

✅ 1. DĂ©sactiver NTLMv1 (vraiment)

Dans les GPO :

  • Forcer NTLMv2 only
  • Refuser LM & NTLMv1
  • Auditer avant, bloquer ensuite

✅ 2. Activer l’audit NTLM

Sur les contrĂŽleurs de domaine :

  • Identifier qui parle encore NTLMv1
  • Cartographier les dĂ©pendances
  • Traiter les exceptions une par une

✅ 3. Renforcer Kerberos

  • Chiffrement fort
  • Tickets courts
  • Rotation rĂ©guliĂšre des mots de passe de service

✅ 4. ProtĂ©ger les comptes Ă  privilĂšges

  • MFA obligatoire
  • Tiering AD
  • Bastion d’administration
  • Comptes admin sans messagerie

✅ 5. Sensibiliser (oui, encore)

Parce que :

“Ce n’est pas une attaque avancĂ©e.
C’est une nĂ©gligence ancienne.”

đŸ§Ÿ Conclusion : NTLMv1 n’est pas une dette technique, c’est une faille active

NTLMv1 n’est ni exotique, ni thĂ©orique.
C’est une porte grande ouverte, documentĂ©e, industrialisĂ©e, et exploitĂ©e depuis des annĂ©es.

Les rainbow tables ne sont pas une nouveauté.
Ce qui est nouveau, c’est le nombre d’environnements qui continuent de leur tendre les clĂ©s.

🔐 La bonne nouvelle ?
La solution est connue, maßtrisée, et accessible.

⛔ La mauvaise ?
Elle demande du courage, de l’audit, et parfois
 de dire non à la legacy.

🔓 NTLMv1, Rainbow Tables et Active Directory : quand l’authentification reste coincĂ©e en 1998
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut