Attaque Pass-the-hash expliquée : Comment les attaquants contournent les connexions

Glossaire de la cybersécurité Catalogue d'attaques

Comprendre les attaques pass-the-hash (PtH)

Pass-the-hash (PtH) est une technique de vol d’identifiants où un attaquant capture les hachages de mots de passe NTLM depuis la mémoire ou le disque et les rejoue pour s’authentifier auprès des services réseau sans connaître le mot de passe en clair. L’attaque exploite le modèle d’authentification basé sur les hachages de NTLM, permettant des déplacements latéraux, une élévation de privilèges et une compromission du domaine. Des outils comme Mimikatz automatisent l’extraction et la réutilisation des hachages. Une défense efficace combine la désactivation de NTLM, l’isolation des magasins d’identifiants, le déploiement de Privileged Access Management et la surveillance des schémas d’authentification anormaux.

Pass-the-hash est une attaque où un adversaire vole le mot de passe haché d'un utilisateur (hachage NTLM/LM) depuis une machine et l'utilise pour s'authentifier sur d'autres systèmes.

Attribute	Details
Attack type	Credential theft and lateral movement
Impact level	High / Critical
Target	Windows/NTLM environments, domain controllers, privileged accounts
Primary attack vector	Credential dumping (LSASS, SAM, NTDS.dit, challenge–response sniffing)
Motivation	Financial gain, espionage, persistence
Common prevention methods	MFA, PAM, Credential Guard, disable NTLM, LSASS protection, EDR/XDR

Risk factor	Level
Potential damage	Critical
Ease of execution	Moderate
Likelihood	High

Risk factor

Level

Potential damage

Critical

Ease of execution

Moderate

Likelihood

High

Inquiet d’attaques pass-the-hash dans votre environnement ?

Parlez à nos experts pour apprendre à détecter le vol d’identifiants, arrêter les mouvements latéraux et protéger les comptes privilégiés.

Qu'est-ce qu'une attaque pass-the-hash ?

Une attaque pass-the-hash se produit lorsqu’un attaquant vole le mot de passe haché d’un utilisateur (par exemple, un hash NTLM) sur une machine compromise et réutilise ce hash pour s’authentifier sur d’autres systèmes, sans jamais avoir besoin du mot de passe en clair. De nombreux processus d’authentification Windows acceptent un hash à la place d’un mot de passe, permettant ainsi à l’attaquant d’usurper l’identité de l’utilisateur jusqu’à ce que les identifiants du compte soient modifiés ou que le hash soit invalidé.

Cette attaque exploite les faiblesses des protocoles d'authentification Windows, en particulier NTLM. NTLM et l'ancien protocole LM utilisent des méthodes d'authentification basées sur des hachages qui acceptent un hachage valide à la place d'un mot de passe en clair. LM est cryptographiquement faible (facile à craquer) et NTLM permet de réutiliser le même hachage sur plusieurs services réseau.

Le pass-the-hash est courant dans les environnements Windows. Cependant, les machines Linux jointes à Active Directory, les serveurs de fichiers Samba ou les services qui prennent en charge NTLM/Kerberos peuvent tous accepter des hachages volés et des identifiants rejoués. Les configurations de cloud hybride et de synchronisation AD-Entra ID sont également vulnérables, en particulier lorsque l’authentification NTLM ou la compatibilité héritée est activée. Une fois qu’un attaquant accède à un système et extrait des informations d’identification de la mémoire ou du disque, il peut « passer » le hash pour se déplacer latéralement, escalader les privilèges et même compromettre les contrôleurs de domaine.

Comment fonctionne une attaque pass-the-hash ?

Une attaque pass-the-hash suit une chaîne simple, depuis le moment où un attaquant prend pied jusqu’à atteindre finalement des cibles de grande valeur. Voici les étapes courantes et ce qui se passe à chacune.

Accès initial

L'attaquant obtient un point d'entrée dans le réseau par phishing, dépôt de malware, exploitation d'un service vulnérable ou utilisation de credentials volés. Cette prise de pied sur une machine utilisateur ou un serveur lui permet d'exécuter du code ou de lire la mémoire sur un hôte cible.

Collecte de hachages

Une fois sur un hôte, l’attaquant extrait le matériel d’identification (hashs ou autres artefacts d’authentification) de l’hôte compromis ou du domaine. Ils ciblent les magasins système (la base de données SAM locale ou un NTDS.dit exporté), les processus en mémoire qui mettent en cache les identifiants (captures mémoire LSASS en direct), ou utilisent la réplication/abus d’AD (comme DCSync) pour récupérer les données des comptes. Ils peuvent également intercepter le trafic réseau où des protocoles hérités de challenge–response sont utilisés.

Authentification avec le hash volé

L'attaquant réutilise le hash capturé pour s'authentifier auprès de SMB, RPC ou d'autres services qui acceptent l'authentification NTLM (ou similaire), impersonnant ainsi le compte sans casser le hash. Les outils courants utilisés pour effectuer cette répétition incluent Mimikatz, Invoke-TheHash, Sharp-SMBExec et des frameworks offensifs comme Cobalt Strike.

Mouvement latéral

En utilisant le hash volé, l'attaquant passe de l'hôte initial à d'autres machines. Ils utilisent des mécanismes de gestion à distance (partages SMB, exécution à distance de type PsExec, WMIC, tâches planifiées ou outils d'administration intégrés) pour atteindre d'autres machines et récolter plus d'identifiants. Ils utilisent également le vol de jetons et l'usurpation d'identité pour agir en tant qu'autres utilisateurs. Ainsi, ils étendent leur contrôle sur le réseau tout en se fondant dans l'activité administrative légitime.

Escalade de privilèges

Avec l'accès latéral, les attaquants ciblent des comptes à privilèges élevés (service accounts, domain admins et SIDs intégrés à haut privilège tels que RID-500), abusent des mauvaises configurations (service accounts sur-privilégiés, magasins de credentials exposés) et exploitent des services vulnérables pour obtenir des hachages au niveau administrateur. Cela leur confère un contrôle plus large et réduit la nécessité de voler les credentials à plusieurs reprises.

Persistance et objectifs

Après avoir obtenu des positions privilégiées, les attaquants établissent une persistance (portes dérobées, tâches planifiées, comptes de service modifiés) pour rester en place, même après des redémarrages et des changements de mot de passe. Ils sont désormais en position de poursuivre des objectifs tels que le vol de données, le déploiement de ransomware et l’espionnage à long terme.

Support Netwrix

Des outils comme Netwrix Auditor et Netwrix Threat Manager peuvent aider à détecter l'activité pass-the-hash en surveillant en continu les modèles d'authentification et d'accès. Ils identifient des anomalies telles que des connexions NTLM inattendues, des escalades de privilèges et des accès inhabituels à des processus sensibles comme LSASS. En corrélant ces événements et en alertant en temps réel, les organisations peuvent rapidement enquêter et contenir les mouvements latéraux potentiels.

Diagramme du flux d'attaque

Examinons un flux visuel simple de l’attaque pass-the-hash et un exemple d’histoire du point de vue d’une organisation qui montre comment l’attaque commence par une violation du réseau menant à une escalade des privilèges et à la persistance.

Chez Archie Corp, un employé ouvre une pièce jointe malveillante d'une facture, donnant à l'attaquant un point d'appui initial dans le réseau. L'attaquant exécute un chargeur et vide la mémoire LSASS pour capturer les hachages NTLM. En utilisant ces hachages, il s'authentifie sur un serveur de fichiers interne via SMB et exécute PsExec pour atteindre d'autres hôtes. Depuis un hôte de saut, il trouve un compte de service avec des privilèges élevés et réutilise son hachage pour accéder à un contrôleur de domaine. L'attaquant dépose une tâche planifiée pour la persistance et exfiltre des fichiers sensibles, puis déploie un ransomware.

Exemples d’attaques pass-the-hash

Les attaques pass-the-hash apparaissent à plusieurs reprises dans les intrusions réelles. Voici quelques exemples concrets illustrant comment cette technique se manifeste dans les campagnes de ransomware et ciblées.

Case	Impact
Hive ransomware (2022)	In 2022, Hive ransomware operators carried out a wave of attacks that exploited the ProxyShell vulnerabilities in Microsoft Exchange servers (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). These flaws allowed remote code execution, giving attackers an initial foothold inside corporate networks. Once inside, the attackers deployed web shells and Cobalt Strike beacons for persistence and control. They then ran Mimikatz to dump credentials from LSASS memory and extract NTLM hashes, which were reused in a pass-the-hash technique to authenticate laterally across systems, including domain controllers. With elevated privileges, Hive actors spread through the environment, disabled defenses, exfiltrated sensitive data, and finally deployed their ransomware payload. A joint advisory by CISA, FBI, and HHS stated that as of November 2022, Hive had victimized over 1,300 companies worldwide and extracted some $100 million in ransom payments. It also listed the sectors targeted by Hive: “Government Facilities, Communications, Critical Manufacturing, Information Technology, and especially Healthcare and Public Health (HPH).”
HSE Conti ransomware attack (2021)	On 14 May 2021, Ireland’s Health Service Executive (HSE) was hit by a major ransomware attack by the Conti gang, forcing the shutdown of all its IT systems nationwide. After gaining unauthorized access to HSE's IT environment on March 18, the attacker operated undetected for some eight weeks before deploying the Conti ransomware on May 14. During that time, they moved laterally through the network, compromised high-privilege accounts, and exfiltrated data from multiple sites. Conti operators used Mimikatz and Cobalt Strike to steal credentials and perform PtH attacks. They used dumped NTLM hashes to authenticate and move laterally via SMB, PsExec, and RDP. Although HSE's antivirus detected the malicious tools on March 31, 2021, it was set to monitor-only mode and failed to block the attack.
NotPetya (June 2017)	On 27 June 2017, the NotPetya wave began in Ukraine (80% of infections) and rapidly spread worldwide. It affected organizations in France, Germany, Italy, Poland, Russia, UK, US, and Australia. After initial execution, the attackers used credential-theft techniques and then leveraged remote-execution channels such as PsExec, WMIC and SMB to move laterally across networks, causing billions of dollars in damages. Vendor analyses and government writeups describe this as a “credential theft + remote exec” propagation model and note Mimikatz-style harvesting behavior, which is similar to pass-the-hash patterns seen in many ransomware campaigns.

Case

Impact

Hive ransomware (2022)

In 2022, Hive ransomware operators carried out a wave of attacks that exploited the ProxyShell vulnerabilities in Microsoft Exchange servers (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). These flaws allowed remote code execution, giving attackers an initial foothold inside corporate networks.

Once inside, the attackers deployed web shells and Cobalt Strike beacons for persistence and control. They then ran Mimikatz to dump credentials from LSASS memory and extract NTLM hashes, which were reused in a pass-the-hash technique to authenticate laterally across systems, including domain controllers. With elevated privileges, Hive actors spread through the environment, disabled defenses, exfiltrated sensitive data, and finally deployed their ransomware payload.

A joint advisory by CISA, FBI, and HHS stated that as of November 2022, Hive had victimized over 1,300 companies worldwide and extracted some $100 million in ransom payments. It also listed the sectors targeted by Hive: “Government Facilities, Communications, Critical Manufacturing, Information Technology, and especially Healthcare and Public Health (HPH).”

HSE Conti ransomware attack (2021)

On 14 May 2021, Ireland’s Health Service Executive (HSE) was hit by a major ransomware attack by the Conti gang, forcing the shutdown of all its IT systems nationwide.

After gaining unauthorized access to HSE's IT environment on March 18, the attacker operated undetected for some eight weeks before deploying the Conti ransomware on May 14. During that time, they moved laterally through the network, compromised high-privilege accounts, and exfiltrated data from multiple sites.

Conti operators used Mimikatz and Cobalt Strike to steal credentials and perform PtH attacks. They used dumped NTLM hashes to authenticate and move laterally via SMB, PsExec, and RDP. Although HSE's antivirus detected the malicious tools on March 31, 2021, it was set to monitor-only mode and failed to block the attack.

NotPetya (June 2017)

On 27 June 2017, the NotPetya wave began in Ukraine (80% of infections) and rapidly spread worldwide. It affected organizations in France, Germany, Italy, Poland, Russia, UK, US, and Australia. After initial execution, the attackers used credential-theft techniques and then leveraged remote-execution channels such as PsExec, WMIC and SMB to move laterally across networks, causing billions of dollars in damages. Vendor analyses and government writeups describe this as a “credential theft + remote exec” propagation model and note Mimikatz-style harvesting behavior, which is similar to pass-the-hash patterns seen in many ransomware campaigns.

Conséquences des attaques pass-the-hash

Les attaques pass-the-hash peuvent avoir des conséquences considérables car elles accordent un accès de niveau administrateur aux attaquants. Les dommages ne se limitent pas à l'impact technique. Ils affectent les finances, la continuité des activités, la confiance des clients et même la conformité réglementaire.

Impact area	Description
Financial	Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.
Operational	By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.
Reputational	Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.
Legal/regulatory	Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Impact area

Description

Financial

Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.

Operational

By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.

Reputational

Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.

Legal/regulatory

Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Cibles courantes d'une attaque pass-the-hash : Qui est à risque ?

Les attaques pass-the-hash sont les plus efficaces contre les systèmes qui stockent, traitent ou acceptent des hachages d'authentification réutilisables. Certains cibles courantes sont discutées ci-dessous.

Environnements Active Directory

De nombreux environnements Active Directory prennent encore en charge l'authentification héritée comme NTLM et possèdent un grand nombre de comptes et services privilégiés. Les anciennes méthodes d'authentification ainsi que de nombreuses relations de confiance interconnectées font des forêts AD des cibles de grande valeur, car un seul hôte compromis peut exposer de nombreux comptes.

Contrôleurs de domaine et serveurs Windows

Les contrôleurs de domaine et autres serveurs Windows stockent et traitent les hachages NTLM, les identifiants mis en cache par LSASS et d'autres données d'annuaire, ce qui en fait des cibles de choix. Si un attaquant compromet l'une de ces machines, il peut récolter ces secrets et escalader rapidement.

Comptes privilégiés

Les administrateurs de domaine, les comptes de service et les SID intégrés à haut privilège (par exemple, RID-500/admin local) offrent une portée latérale et un contrôle. En capturant les identifiants de ces comptes, les attaquants peuvent les usurper et effectuer des actions à l'échelle du domaine.

Systèmes mal configurés

Les systèmes avec mots de passe administrateurs partagés, mauvaise application des GPO et identifiants mis en cache/enregistrés (y compris les comptes de service intégrés dans les scripts et fichiers de configuration) abaissent considérablement la barrière aux attaques pass-the-hash. Des politiques faibles et la réutilisation des identifiants aggravent l'impact d'une violation.

Environnements hybrides/cloud

Dans les environnements mixtes sur site et cloud, les attaquants peuvent combiner pass-the-hash avec pass-the-ticket ou Kerberoasting pour cibler les hôtes Linux joints à AD, les serveurs Samba et les identités synchronisées avec Entra ID. Ces configurations hybrides élargissent la surface d'attaque et rendent la protection de l'identité plus complexe.

Évaluation des risques

Pass-the-hash est une attaque à haut risque car elle permet aux attaquants d'usurper l'identité des utilisateurs et de prendre le contrôle total d'un domaine Active Directory avec des identifiants privilégiés.

Risk factor	Level
Potential damage	Critical A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.
Ease of execution	Moderate Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.
Likelihood	High Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Risk factor

Level

Potential damage

Critical
A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.

Ease of execution

Moderate
Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.

Likelihood

High
Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Comment prévenir les attaques pass-the-hash

Les attaques pass-the-hash exploitent des pratiques d’authentification faibles et des privilèges excessifs. Pour les prévenir, les organisations doivent réduire l’exposition des identifiants, verrouiller les droits administratifs et surveiller de près les signes d’utilisation abusive. Les meilleures pratiques suivantes peuvent aider.

Renforcement des identifiants et de l'authentification

Désactivez ou supprimez progressivement NTLM partout où c'est possible et appliquez l'authentification basée sur Kerberos. NTLM est obsolète et beaucoup plus sujet aux abus.
Si NTLM est toujours nécessaire, limitez-le à NTLMv2 pour une protection cryptographique renforcée.
Activez Windows Defender Credential Guard pour isoler LSASS et protéger le matériel d’identification contre le vol.
Activez la protection LSA (RunAsPPL) pour empêcher les processus non fiables de lire la mémoire LSASS.
Désactivez WDigest afin que les mots de passe en clair ne soient pas mis en cache en mémoire.

Contrôles d'accès privilégiés

Appliquez le principe du moindre privilège (PoLP). Les utilisateurs ne doivent avoir que les accès dont ils ont réellement besoin et aucun droit d’administrateur inutile.
Utilisez just-in-time (JIT) et Just Enough Administration (JEA) pour accorder des droits d’administrateur temporaires pour des tâches spécifiques.
Générez aléatoirement les mots de passe des administrateurs locaux avec Microsoft LAPS ou LAPS2 pour éviter la réutilisation des identifiants.
Ne réutilisez jamais les mots de passe administrateur locaux sur plusieurs machines.
Ajoutez des comptes sensibles et à haute valeur au groupe Protected Users.

Sécurité de l'identité et des comptes

Mettez en œuvre Privileged Access Management (PAM) ou un coffre-fort de mots de passe pour contrôler et auditer les identifiants privilégiés.
Remplacez les comptes de service statiques par des comptes de service gérés de groupe (gMSA).
Appliquez une rotation régulière et automatique des mots de passe pour tous les comptes à haute valeur.
Exiger une authentification multi-facteurs (MFA) pour l'accès à distance et privilégié.
Auditez en continu les comptes privilégiés pour supprimer ceux qui sont inactifs et obsolètes.

Défenses réseau et protocole

Bloquez le trafic SMB/RPC de poste de travail à poste de travail pour empêcher les déplacements latéraux. Vous pouvez le faire en appliquant une segmentation est-ouest, comme des règles de pare-feu ou des politiques de pare-feu hôte qui refusent SMB/RPC entre les endpoints.
Activez la signature et le chiffrement SMB pour une meilleure intégrité de session.
Utilisez Remote Credential Guard pour protéger les informations d'identification pendant les sessions RDP.
Segmentez les comptes administrateurs par niveaux (par exemple, Niveau 0 pour les contrôleurs de domaine, Niveau 1 pour les serveurs) afin de contenir les potentielles violations.
Appliquez des restrictions de connexion afin que les comptes privilégiés ne puissent accéder qu’aux systèmes approuvés.

Hygiène informatique et opérationnelle

Appliquez des correctifs régulièrement, en particulier pour les vulnérabilités liées à l'authentification et à NTLM.
Effectuez régulièrement des tests de pénétration et des exercices de red team pour valider vos défenses.
Formez les employés à reconnaître les tentatives de phishing et les risques de vol d'identifiants.
Maintenez des images golden et des sauvegardes immuables ou hors ligne pour une récupération rapide après les incidents.
Passez à un modèle Zero Trust où vous vérifiez continuellement chaque utilisateur, appareil et demande.

Comment Netwrix peut aider

Les attaques pass-the-hash sont difficiles à arrêter avec les seules défenses traditionnelles car elles exploitent des identifiants valides. Les solutions Netwrix renforcent la sécurité des identités en détectant les comportements d'authentification suspects, en contrôlant l'accès privilégié et en offrant une visibilité complète de l'activité des comptes.

Netwrix Threat Manager

Netwrix Threat Manager aide à détecter l’activité PtH en combinant tromperie et analyse comportementale pour repérer le vol d’identifiants et les mouvements latéraux.

Leurre (honeytokens) : Threat Manager vous permet de déployer des honeytokens comme identifiants « appâts » dans l’environnement. Si un attaquant tente de les utiliser ou de s’authentifier avec, c’est un fort indicateur de collecte et de réutilisation malveillantes des identifiants. Le système générera une alerte pour enquête.
Analyse comportementale et détection d'anomalies : Le produit établit une base de référence du comportement normal des utilisateurs et des services, puis signale les anomalies correspondant à des schémas de vol d'identifiants ou de mouvement latéral, par exemple des comptes s'authentifiant depuis des hôtes jamais utilisés auparavant, des pics soudains du nombre d'hôtes auxquels un compte accède, ou une utilisation inhabituelle des outils d'administration. Ces détections basées sur l'identité sont corrélées avec les événements AD, Entra ID et du système de fichiers pour réduire les faux positifs et générer des alertes en temps réel.

Netwrix Privilege Secure

Privilege Secure réduit le risque de vol et de réutilisation des identifiants en protégeant les comptes privilégiés. Il supprime les privilèges permanents, applique un accès juste-à-temps, offre un coffre-fort pour les identifiants et surveille l’activité privilégiée. Cela empêche les attaquants d’abuser des mots de passe et des hachages stockés, rendant les attaques pass-the-hash plus difficiles à réussir.

Aucun privilège permanent avec accès JIT : Privilege Secure délivre des privilèges élevés uniquement lorsqu’une tâche est approuvée et les révoque automatiquement ensuite. Cela élimine les comptes administrateurs à long terme que les attaquants pourraient exploiter.
Gestion des coffres de mots de passe : Le produit s'intègre aux vaults ou peut gérer les secrets lui-même. Il centralise les identifiants privilégiés et réduit la réutilisation des mots de passe sur les endpoints. Le stockage centralisé associé à la rotation automatique empêche les attaquants de trouver des identifiants stables à extraire et réutiliser.
Surveillance et audit des sessions : Privilege Secure enregistre et surveille les sessions et actions privilégiées (qui a accédé à quoi, quand et comment) pour l’audit et la préparation médico-légale.
Contrôle granulaire des privilèges et suppression des droits d’administrateur local : Le produit vous permet de supprimer les droits d’administrateur local des utilisateurs, d’accorder uniquement les autorisations spécifiques aux tâches et de gérer centralement les accès élevés.
Découverte des comptes privilégiés cachés : Privilege Secure peut analyser les endpoints et identifier les comptes privilégiés cachés et non gérés.

Netwrix Auditor

Auditor vous offre une visibilité complète sur l’activité des utilisateurs et les modifications système. Il suit les connexions, les changements de comptes et de privilèges, ainsi que les modifications de configuration dans tout votre environnement. Toutes les actions sont enregistrées avec les détails qui, quoi, quand et où. Cela facilite les enquêtes sur les comportements inhabituels, la réponse aux incidents et la conformité aux réglementations.

Détecte les connexions suspectes et l'activité NTLM : Auditor suit toutes les connexions réussies et échouées (y compris l'authentification NTLM). Il fournit des pistes d'audit détaillées montrant les heures de connexion, les hôtes et l'utilisation des comptes, ce qui aide les équipes à identifier les connexions inhabituelles pouvant indiquer un vol d'identité ou un compte compromis.
Surveille l'utilisation des comptes privilégiés : Le produit enregistre quand les comptes privilégiés (comme Domain Admins et les comptes de service) sont utilisés en dehors des systèmes et horaires prévus, et déclenche des alertes pour avertir les équipes.
Audit des modifications des comptes et groupes sensibles : Les attaquants ajoutent souvent des comptes compromis aux groupes d’administration après avoir utilisé PtH. Auditor envoie des alertes lorsque des groupes critiques d’Active Directory sont modifiés.
Fournit des pistes d’audit médico-légales : Des journaux détaillés indiquant qui a accédé à quoi et quand permettent aux enquêteurs de retracer comment les hachages volés ont été utilisés.

Détectez et répondez aux attaques pass-the-hash avec Netwrix Threat Manager. Téléchargez l’essai gratuit.

Stratégies de détection, d'atténuation et de réponse

Les attaques pass-the-hash peuvent se dérouler discrètement. Pour cette raison, la détection précoce et une réponse rapide sont cruciales. Vos tactiques de défense doivent combiner visibilité, gestion stricte des identifiants et réponse disciplinée pour réduire les dégâts causés par de telles attaques.

Détection

La détection précoce dépend de la détection d'anomalies subtiles d'authentification et de schémas d'abus de justificatifs.

Surveiller les ID d'événements Windows

Les équipes de sécurité doivent surveiller les ID d’événements Windows 4624, 4625, 4648, 4672 et 4688 pour détecter les connexions inhabituelles, les tentatives échouées et l’utilisation des privilèges.

4624: Déclenché lorsqu'un utilisateur ou un service se connecte avec succès. Utile pour repérer des connexions inhabituelles ou inattendues (comme les connexions réseau NTLM).
4625: Enregistré lorsqu'une tentative de connexion échoue.
4648: Se produit lorsqu’un utilisateur ou un processus tente de se connecter en utilisant des identifiants explicites (par exemple, runas, lecteurs mappés, connexions à distance). Courant dans les tentatives de PtH et de mouvement latéral.
4672 : Indique qu'une session de connexion a reçu des privilèges élevés.
4688 : Enregistré lorsqu’un processus démarre. Essentiel pour détecter des outils ou scripts suspects (comme Mimikatz, PsExec et les payloads PowerShell).

Tentatives d'accès inhabituelles à LSASS.exe

Les attaquants ciblent le processus LSASS pour extraire des informations d'identification depuis la mémoire. L'ID d'événement 10 de Sysmon enregistre les tentatives d'accès direct à LSASS, par exemple lorsque des outils de vol d'identifiants comme Mimikatz ou Cobalt Strike tentent de lire la mémoire du processus. Un tel accès est rare en fonctionnement normal, donc des tentatives répétées ou inhabituelles d'accès à LSASS doivent déclencher des alertes.

Pics dans les authentifications NTLM à distance

Surveillez les pics inhabituels d’authentification NTLM. Les connexions NTLM de type 3 (réseau) ou type 10 (interactif à distance) montrent des authentifications via SMB, RPC et RDP. Une augmentation soudaine de ces événements provenant d’un seul compte ou hôte peut indiquer une réutilisation de hash pour un mouvement latéral.

Activité NTLM ou authentification depuis des points d’accès inhabituels

Une augmentation des connexions ou authentifications NTLM provenant de machines auparavant inconnues peut suggérer qu’un attaquant rejoue des hachages entre les systèmes.

Activité SMB ou RPC de poste de travail à poste de travail

Les flux de travail commerciaux normaux impliquent rarement qu’un poste de travail d’employé initie des sessions SMB et RPC avec un autre poste de travail. Pour cette raison, surveillez le trafic est-ouest inhabituel (par exemple, entre deux ordinateurs portables d’utilisateurs) car cela peut signaler un mouvement latéral.

Complétez la surveillance des journaux avec des solutions EDR, XDR et Identity Threat Detection & Response

Les solutions Endpoint detection and response (EDR), extended detection and response (XDR) et identity threat detection and response (ITDR) peuvent identifier en temps réel les menaces basées sur l'identité. Ces outils analysent le comportement du système et de l'identité sur plusieurs hôtes. Ils établissent une base des schémas normaux de connexion et alertent lorsqu'un compte se connecte depuis de nouvelles machines, utilise des méthodes d'authentification obsolètes comme NTLM ou présente des mouvements latéraux cohérents avec les tactiques PtH.

Déployer des comptes et jetons honeypot

Les comptes honeypot (également appelés honeytokens) sont de faux comptes utilisateur ou des identifiants placés dans des systèmes ou des emplacements mémoire que les attaquants sondent généralement. Si ces comptes sont utilisés ou authentifiés, les défenseurs savent immédiatement que quelqu’un collecte ou rejoue des identifiants.

Atténuation

La mitigation du pass-the-hash nécessite de renforcer les identifiants, de restreindre les privilèges et de segmenter les frontières de confiance.

Protection des identifiants

Une protection forte des identifiants est au cœur de la mitigation des attaques PtH. Les attaquants s’appuient sur des données d’authentification stockées ou mises en cache, donc les isoler et les sécuriser limite leur succès.

Désactivez NTLM ou appliquez uniquement NTLMv2 : NTLM est un protocole d'authentification souvent abusé. Le désactiver complètement oblige les systèmes à utiliser une authentification Kerberos plus forte. Si le désactiver n'est pas possible en raison de dépendances héritées, appliquez NTLMv2 car il offre une meilleure robustesse cryptographique et aide à réduire l'exposition aux attaques par rejeu.
Activez Credential Guard et LSA Protection : Windows Defender Credential Guard utilise une sécurité basée sur la virtualisation pour isoler les secrets tels que les hachages NTLM et les tickets Kerberos du reste du système d’exploitation. Cela aide à prévenir le vol via des dumps mémoire. De même, LSA Protection (RunAsPPL) garantit que seuls les processus fiables et signés peuvent accéder au processus LSASS, bloquant des outils comme Mimikatz d’extraire les identifiants.
Désactivez WDigest pour arrêter la mise en cache des mots de passe en clair : Les anciens systèmes Windows et certaines configurations stockent les mots de passe en clair en mémoire via le package d'authentification WDigest. Désactivez WDigest pour empêcher la mise en cache de ces mots de passe en clair. Cela garantit que même si les attaquants extraient la mémoire LSASS, ils ne récupèrent que des identifiants chiffrés ou hachés.

Contrôles réseau et protocole

Les défenses au niveau réseau peuvent empêcher les attaquants d’utiliser des hachages volés pour se déplacer latéralement entre les systèmes. Segmenter, chiffrer et valider le trafic garantit que seules des communications légitimes ont lieu.

Bloquer le trafic SMB/RPC de poste de travail à poste de travail : Les attaquants se propagent latéralement en réutilisant des hachages via des connexions SMB ou RPC entre postes de travail des utilisateurs. Ces connexions ne sont pas utilisées pour les opérations commerciales normales. Bloquez la communication directe de poste de travail à poste de travail pour limiter la capacité d’un attaquant à pivoter à travers le réseau après une compromission initiale.
Exiger la signature/le chiffrement SMB : La signature SMB vérifie l'intégrité des paquets SMB et empêche toute falsification tandis que le chiffrement SMB garantit que les identifiants et les données sensibles ne sont pas exposés en transit. Appliquez ces fonctionnalités pour empêcher les attaquants d'intercepter ou de rejouer le trafic d'authentification.
Activer Remote Credential Guard pour RDP : Remote Credential Guard empêche l'envoi des identifiants aux systèmes distants lors des sessions RDP. L'authentification est gérée côté client, ce qui réduit le risque que des hachages et des tickets Kerberos soient récupérés depuis la machine distante.

Hygiène opérationnelle

Une bonne hygiène de sécurité maintient les identifiants, les systèmes et les configurations résistants à l'exploitation.

Faites pivoter les mots de passe des comptes de service ou remplacez-les par gMSA : Les identifiants statiques ou partagés des comptes de service sont une cible d’attaque courante. Les Group Managed Service Accounts automatisent la rotation des mots de passe, et une rotation fréquente rend rapidement inutilisables les hachages volés pour les attaquants.
Appliquez régulièrement des correctifs aux systèmes pour éliminer les vulnérabilités exploitables : De nombreuses attaques de vol d’identifiants, y compris PtH, commencent par des exploits d’élévation de privilèges qui accordent un accès SYSTEM ou administrateur local. Maintenez les systèmes à jour afin que les attaquants ne puissent pas utiliser des vulnérabilités connues pour atteindre LSASS ou extraire des données d’identifiants.
Effectuez régulièrement des tests d’intrusion et des exercices de red teaming : Les tests d’intrusion périodiques et les exercices de red team simulent des chaînes d’attaque réelles, y compris les techniques PtH. Ces évaluations aident à identifier les configurations faibles, les angles morts dans la détection et les lacunes dans les défenses contre les mouvements latéraux.
Formez le personnel à la sensibilisation au phishing et au vol d’identifiants : De nombreuses campagnes PtH commencent par de l’ingénierie sociale où une pièce jointe ou un lien malveillant dans un email fournit la première prise. Une formation régulière aide les employés à reconnaître les tentatives de phishing, à comprendre pourquoi les identifiants ne doivent jamais être réutilisés, et à signaler rapidement les emails suspects.

Réponse

Lorsque des indicateurs d'activité PtH apparaissent, une containment rapide et une enquête médico-légale sont essentielles pour minimiser l'impact.

Actions immédiates

Lorsqu'une attaque pass-the-hash est détectée, contenir rapidement. L'objectif est de limiter les dégâts, d'arrêter les déplacements de l'attaquant et de préserver les preuves pour l'enquête.

Réinitialisez les comptes compromis pour invalider les hachages volés : Puisque les attaques PtH reposent sur la réutilisation des hachages de mot de passe, vous devez réinitialiser immédiatement les comptes affectés pour invalider ces identifiants.
Mettre en quarantaine les endpoints affectés pour une enquête médico-légale : Isolez les systèmes compromis du réseau pour empêcher les attaquants de les utiliser comme points d’appui pour des déplacements latéraux. Analysez les appareils mis en quarantaine pour déterminer comment les identifiants ont été volés et si d’autres systèmes sont à risque.
Contenez le mouvement latéral en segmentant les systèmes infectés : La segmentation du réseau peut bloquer la capacité de l’attaquant à se déplacer latéralement dans l’environnement. Placez les systèmes infectés dans des zones réseau restreintes, limitez les partages administratifs et désactivez les protocoles distants inutiles (SMB/RDP) pour contenir la violation.

Enquête judiciaire

Après la confinement, l'analyse médico-légale aide les équipes à comprendre l'étendue de la violation.

Analysez les dumps LSASS, SAM, NTDS.dit pour détecter des indicateurs de compromission : Examinez les dumps mémoire LSASS, la base de données Security Account Manager (SAM) et la base de données NTDS.dit d'Active Directory pour révéler si des identifiants ont été extraits et quels comptes sont affectés.
Review authentication logs to map attacker movement: Event logs provide a timeline of logons and privilege escalations. By correlating these events, analysts can reconstruct how the attacker authenticated across systems, identify lateral movement paths, and locate the initial access point.
Identifier les mécanismes de persistance (nouveaux utilisateurs, tâches planifiées, modifications de GPO) : Les attaquants créent des portes dérobées pour regagner l'accès après des réinitialisations de mot de passe ou des reconstructions système. Recherchez des comptes utilisateurs non autorisés, des tâches planifiées malveillantes, des éléments de démarrage et des objets de stratégie de groupe modifiés afin de vous assurer que les méthodes de persistance sont supprimées avant la récupération.

Récupération et renforcement

Once the investigation concludes, focus shifts to restoring operations and strengthening defenses to prevent recurrence.

Reconstruisez les hôtes compromis avec des images golden : Les systèmes ayant fait partie de l’attaque doivent être effacés et reconstruits à l’aide d’images golden fiables. Cela supprime complètement les malwares cachés, rootkits et modifications du registre laissés par les attaquants.
Restaurer à partir de sauvegardes hors ligne/inmutables : Les sauvegardes déconnectées du réseau ou stockées dans un stockage immuable sont cruciales pour une récupération propre. Restaurez à partir de sauvegardes vérifiées et non altérées pour remettre rapidement les systèmes en ligne sans réintroduire de données ou configurations compromises.
Faites tourner les identifiants de grande valeur (Domain Admin, comptes de service, KRBTGT) : Les identifiants à privilèges élevés sont une cible principale dans les campagnes PtH. Faites tourner ces mots de passe, en particulier le compte KRBTGT qui délivre les tickets Kerberos, pour invalider les mots de passe et jetons volés.
Déployez des défenses d'identité renforcées (Privileged Access Management, MFA, EDR/Identity Threat Detection & Response) : Introduisez Privileged Access Management pour des sessions administratives contrôlées, MFA pour prévenir les usages abusifs à facteur unique, et des solutions EDR/Identity Threat Detection & Response pour détecter les comportements d'authentification anormaux et les tentatives d'utilisation abusive des identifiants.

Impact spécifique à l'industrie

Les attaques pass-the-hash affectent presque tous les secteurs, mais leurs conséquences varient en fonction du type de données, des systèmes et des réglementations impliqués. Voici comment différents secteurs sont impactés.

Industry	Impact
Healthcare	PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.
Finance	In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.
Government	When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.
Retail	PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Industry

Impact

Healthcare

PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.

Finance

In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.

Government

When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.

Retail

PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Évolution des attaques et tendances futures

Lancer des attaques pass-the-hash nécessitait autrefois des compétences techniques avancées. Aujourd'hui, des kits d'outils automatisés facilement disponibles permettent aux attaquants d'utiliser cette technique dans le cadre de chaînes d'attaque plus larges.

PtH utilisé dans les opérations de ransomware-as-a-service (RaaS)

Les groupes de ransomware utilisent de plus en plus PtH lors des phases d'infiltration du réseau. Les affiliés des opérations RaaS, comme LockBit et BlackCat, utilisent des hachages volés pour se déplacer latéralement, obtenir des privilèges d'administrateur de domaine et déployer des ransomwares à grande échelle. Cette tactique de propagation rapide dans une organisation puis de déploiement de ransomware maximise les dégâts et le potentiel de rançon.

De nouveaux outils élargissent les capacités des attaquants

Les attaquants disposent désormais de divers outils qui simplifient l'exécution de PtH. Des outils comme SharpKatz, Invoke-TheHash et Sharp-SMBExec fournissent des cadres faciles à utiliser pour collecter et réutiliser les hachages NTLM. Ces utilitaires peuvent également échapper aux outils antivirus traditionnels et fonctionner en mémoire, rendant la détection plus difficile. Ils permettent aussi aux attaquants moins expérimentés de lancer efficacement des attaques basées sur les identifiants.

Combinaison avec pass-the-ticket et Kerberoasting dans les environnements hybrides

Dans les configurations hybrides qui connectent Active Directory à Entra ID, les attaquants combinent plusieurs techniques basées sur l'identité. Ils mélangent pass-the-hash avec pass-the-ticket et Kerberoasting pour compromettre à la fois l'infrastructure locale et cloud. Cette chaîne d'attaques permet aux acteurs malveillants de se déplacer fluidement entre les systèmes et de persister même si une partie de l'environnement est corrigée.

Logiciels malveillants pilotés par l'IA et automatisation

Les attaquants exploitent l'IA et l'automatisation pour accélérer le vol d'identifiants et les déplacements latéraux. Les malwares pilotés par l'IA peuvent identifier dynamiquement des cibles précieuses, extraire les hachages plus efficacement et exécuter des déplacements latéraux plus furtifs. Cela réduit les fenêtres de détection et augmente les chances de compromission totale du réseau. Les futures attaques PtH s'appuieront sur des malwares adaptatifs et auto-apprenants capables de contourner les protections d'identité traditionnelles.

Statistiques clés et infographies

Cette section présente quelques statistiques et données montrant comment les attaques pass-the-hash impactent et prévalent dans la vie réelle. Des résultats d'enquêtes mondiales aux investigations sur les violations, le vol et la réutilisation des identifiants jouent un rôle central dans les incidents cybernétiques.

Selon le 2026 Verizon Data Breach Investigations Report (DBIR), l'utilisation de données d'identification volées a été impliquée dans 36 % des violations, tandis que 62 % de toutes les violations comprenaient un élément humain tel que l'ingénierie sociale, l'abus de privilèges et le vol de données d'identification. Ces résultats soulignent que la compromission des données d'identification reste un facteur persistant et important dans les cyberattaques.
Les identifiants compromis étaient la cause principale de 23 % des attaques par ransomware, selon le rapport The State of Ransomware 2025 de Sophos. Les techniques d’attaque basées sur les identifiants, y compris le pass-the-hash, font partie des méthodes qui contribuent à ce vecteur. Lorsqu’elles sont combinées à d’autres vecteurs d’attaque basés sur les identifiants, les identifiants volés ou mal utilisés restent l’un des facteurs les plus importants facilitant les déploiements de ransomware.
Selon le Sophos Active Adversary Report 2025, les identifiants compromis étaient la principale cause dans 41 % des cas de réponse aux incidents examinés en 2024. Microsoft et d'autres fournisseurs de sécurité continuent d'alerter sur le fait que le dumping des identifiants LSASS, une étape clé des attaques PtH, reste l'un des moyens les plus courants pour les attaquants d'obtenir les identifiants nécessaires pour se déplacer latéralement dans les environnements d'entreprise.

Répartition du vecteur d'accès initial (2025)

Les données suivantes, tirées du rapport M-Trends 2026 de Mandiant, montrent que les identifiants volés représentaient 9 % des vecteurs d'accès initial identifiés en 2025, soulignant leur rôle continu en tant que point d'entrée utilisé par les attaquants pour se déplacer latéralement et escalader les privilèges une fois à l'intérieur.

D'après les données de Mandiant de 2025 :

Exploitation des vulnérabilités : 32 %
Hameçonnage vocal : 11 %
Compromis antérieur : 10 %
Identifiants volés : 9 %
Autres méthodes : 38 %

Réflexions finales

Les attaques pass-the-hash existent depuis des décennies et fonctionnent toujours car elles exploitent un aspect fondamental du fonctionnement de l'authentification Windows. Vous ne pouvez pas simplement corriger cela ou espérer que cela ne vous arrivera pas. Les défenses contre PtH sont bien comprises et efficaces. Les postes de travail de Privileged Access, la hiérarchisation des identifiants et la surveillance des mouvements latéraux sont des contrôles qui tiennent la route en pratique.

Les identifiants mis en cache sont une cible réelle et accessible. Verrouillez les chemins qui y mènent. N’attendez pas d’être en réponse à un incident pour découvrir où se trouvent les failles.

FAQ

Qu'est-ce qu'une attaque pass-the-hash ?

En quoi PtH diffère-t-il de PtT ?

Pourquoi NTLM est-il peu sécurisé ?

Quels outils sont utilisés pour PtH ?

Comment les entreprises peuvent-elles prévenir PtH ?

Quels secteurs sont les plus à risque ?

Quel est le rôle de la MFA dans l'arrêt du PtH ?

Comment les attaquants volent-ils les hachages de mots de passe ?

Partager sur

Published: Jun 12, 2026

Darryl Baker

Chercheur principal en sécurité

Darryl G. Baker est un chercheur principal en sécurité chez Netwrix et une autorité reconnue en sécurité de l’Identity et d’Active Directory. Avec plus d’une décennie d’expérience dans les systèmes d’identité, il a dirigé des évaluations de sécurité d’entreprise, des formations en sécurité de l’identité et des émulations de menaces axées sur Active Directory, Entra ID et les environnements Azure. Darryl a donné des formations et des démonstrations très appréciées lors de BlueTeamCon, BSidesCT, The Experts Conference et Wild Wild West Hackin’ Fest. Il est l’architecte de nombreux laboratoires pratiques d’émulation d’attaques, utilisant les outils actuels des red teams et blue teams pour aider les défenseurs à maîtriser tout, de l’analyse des chemins d’attaque à la chasse aux menaces. Lors de ses sessions, Darryl allie une profonde expertise technique à des études de cas réels, permettant aux professionnels du blue team de renforcer leur posture de sécurité de l’identité et de se défendre contre les techniques adverses en évolution.

Voir les attaques de cybersécurité associées

Abus des autorisations d'application Entra ID – Fonctionnement et stratégies de défense

Modification de AdminSDHolder – Fonctionnement et stratégies de défense

Attaque AS-REP Roasting - Fonctionnement et stratégies de défense

Attaque Hafnium - Fonctionnement et stratégies de défense

Attaques DCSync expliquées : Menace pour la sécurité d'Active Directory

Guide ultime des attaques Golden SAML

Comprendre les attaques Golden Ticket

Attaques d'exploitation gMSA et attaques Golden gMSA expliquées

Attaque DCShadow – Fonctionnement, exemples concrets et stratégies de défense

Injection de prompt ChatGPT : Comprendre les risques, exemples et prévention

Explication des attaques d'extraction NTDS.dit

Attaque Kerberoasting – Fonctionnement et stratégies de défense

Explication de l'attaque Pass-the-Ticket : Risques, Exemples et Stratégies de Défense

Comprendre les attaques par password spraying

Comprendre l'extraction des mots de passe en texte clair

Vulnérabilité Zerologon expliquée : Risques, Exploits et Atténuation

Un guide complet des attaques par ransomware

Attaque Skeleton Key : comment ça fonctionne et comment la détecter

Mouvement latéral : Qu'est-ce que c'est, comment ça fonctionne et préventions

Attaques de l'homme du milieu (MITM) : ce qu'elles sont et comment les prévenir

Pourquoi PowerShell est-il si populaire auprès des attaquants ?

4 attaques de compte de service et comment s'en protéger

Comment prévenir les attaques de logiciels malveillants d'affecter votre entreprise

Qu'est-ce que le Credential Stuffing ?

Compromettre SQL Server avec PowerUpSQL

Qu'est-ce que les attaques de Mousejacking et comment se défendre contre elles

Vol de credentials avec un fournisseur de support de sécurité (SSP)

Attaques par tables arc-en-ciel : leur fonctionnement et comment se défendre

Un regard approfondi sur les attaques par mot de passe et comment les arrêter

Reconnaissance LDAP

Contournement de l'authentification multifacteur avec l'attaque Pass-the-Cookie

Attaque Silver Ticket