La société de sécurité Mandiant a publié une base de données permettant de déchiffrer les mots de passe administratifs protégés par l'algorithme de hachage NTLMv1 de Microsoft, une initiative visant à encourager les utilisateurs à abandonner cette fonction obsolète et vulnérable. La base de données se présente sous la forme d'une table arc-en-ciel, une table précalculée de valeurs de hachage liées à leurs mots de passe en texte clair correspondants.

Les tables arc-en-ciel exploitent les faiblesses des algorithmes de hachage, permettant aux attaquants de faire correspondre rapidement les hachages de mots de passe volés à leur forme originale en texte clair. NTLMv1 est particulièrement vulnérable en raison de son espace de clés limité, ce qui signifie que le nombre de mots de passe possibles que la fonction de hachage autorise est relativement faible. Bien que les tables arc-en-ciel NTLMv1 existent depuis deux décennies, leur utilisation pratique nécessitait souvent d'importantes ressources de calcul.

Mandiant a déclaré jeudi que sa table arc-en-ciel NTLMv1 nouvellement publiée permet aux défenseurs et aux chercheurs de récupérer les mots de passe en moins de 12 heures, fournissant ainsi de nouveaux outils pour évaluer et améliorer la sécurité. Cependant, la société a reconnu que des acteurs malveillants pourraient également exploiter la table pour obtenir un accès non autorisé.

Les algorithmes de hachage sont fondamentaux pour la cybersécurité, transformant les mots de passe en chaînes de caractères apparemment aléatoires. Ce processus est conçu pour protéger les mots de passe même si une base de données est compromise. Cependant, les algorithmes faibles ou obsolètes comme NTLMv1 peuvent être vulnérables aux attaques qui inversent ce processus. Les tables arc-en-ciel représentent une telle attaque, en précalculant les valeurs de hachage pour les mots de passe courants et en les stockant dans une base de données pour une recherche rapide.

Cette publication souligne le défi permanent que représentent les systèmes hérités et l'importance de migrer vers des méthodes d'authentification plus sûres. Malgré les vulnérabilités connues, de nombreuses organisations continuent d'utiliser NTLMv1, souvent en raison de problèmes de compatibilité avec des logiciels ou du matériel plus anciens. La publication de Mandiant sert de rappel brutal des risques associés au fait de s'accrocher à une technologie dépassée.

Les experts en sécurité recommandent aux organisations de désactiver NTLMv1 et de passer à des protocoles d'authentification plus robustes tels que Kerberos ou NTLMv2. L'authentification multi-facteurs (MFA) ajoute également une couche de sécurité supplémentaire, ce qui rend beaucoup plus difficile pour les attaquants d'obtenir un accès, même s'ils ont déchiffré un hachage de mot de passe. L'incident souligne la nécessité d'évaluations de sécurité continues et de stratégies d'atténuation proactives pour se protéger contre les menaces en constante évolution.