Comprendre l’extraction des mots de passe en clair : comment cela fonctionne et comment l’arrêter

Glossaire de la cybersécurité Catalogue d'attaques

Comprendre l'extraction des mots de passe en texte clair

L'extraction de mots de passe en clair est la récupération de credentials sous forme lisible à partir de systèmes mal configurés, de la mémoire ou d'un stockage non sécurisé. Un vecteur clé est Group Policy Preferences, où les fichiers XML dans SYSVOL stockaient historiquement des mots de passe chiffrés décryptables avec une clé AES connue publiquement. Des outils comme Get-GPPPassword de PowerSploit automatisent l'extraction. Les attaquants utilisent les credentials récupérés pour des mouvements latéraux et une élévation de privilèges. La défense nécessite de supprimer les mots de passe GPP, de déployer LAPS, d'appliquer MFA et d'auditer SYSVOL pour détecter les artefacts résiduels de credentials.

Attribute	Details
Attack type	Plaintext password extraction
Impact level	High / Critical (domain compromise possible)
Target	Active Directory environments (via Group Policy Preferences)
Primary attack vector	Insecure credential storage in Group Policy XML files (SYSVOL), LSASS dumping
Motivation	Credential theft, lateral movement, persistence, privilege escalation
Common prevention methods	Remove embedded GPP passwords, use Microsoft LAPS, patch Windows Server, apply PAM, enforce MFA

Risk factor	Level
Potential damage	Critical
Ease of execution	Medium–High
Likelihood	High

Risk factor

Level

Potential damage

Critical

Ease of execution

Medium–High

Likelihood

High

Les fichiers GPP hérités pourraient-ils exposer discrètement des identifiants dans votre environnement ?

Parlez à nos experts pour supprimer les mots de passe en clair de SYSVOL, renforcer les configurations AD et détecter la collecte d’identifiants avant qu’elle ne s’aggrave.

Qu'est-ce que l'extraction de mots de passe en texte clair ?

L’extraction de mots de passe en clair est le processus par lequel un attaquant obtient les identifiants de compte dans leur forme originale et lisible, c’est-à-dire le texte réel du nom d’utilisateur/mot de passe plutôt qu’un hash ou un jeton. Contrairement aux techniques de collecte de données d’identification qui capturent des blobs chiffrés ou des jetons à usage unique, l’extraction en clair fournit des mots de passe directs qui ne nécessitent pas de déchiffrement ; ils offrent donc un accès immédiat. Cela réduit le temps entre la compromission et l’impact, car les mots de passe en clair peuvent être rapidement utilisés pour :

Authentifiez-vous en tant que propriétaire du compte et connectez-vous aux services et systèmes.
Contournez l'authentification à facteur unique et de nombreux contrôles hérités.
Passer d'un hôte initialement compromis à des systèmes plus sensibles.
Récupérez des informations d'identification supplémentaires à partir des boîtes aux lettres, des fichiers de configuration et des magasins de sauvegarde une fois connecté.
Utilisez des identifiants récoltés (tels que les comptes administrateur local et les comptes de service à privilèges élevés) pour obtenir un meilleur contrôle sur les hôtes, les services et les ressources du domaine.

Sources courantes d’identifiants en texte clair

Les mots de passe en texte clair se trouvent là où les systèmes et les administrateurs les stockent pour plus de commodité ou là où les logiciels les divulguent involontairement. Les sources incluent :

Mémoire LSASS : Certains services et applications Windows chargent des identifiants dans la mémoire du processus LSASS pendant leur exécution, où les secrets en clair peuvent rester lisibles en RAM.
Registre : Les applications et les installateurs écrivent parfois des identifiants dans les clés de registre Windows.
Fichiers de configuration de l'application : Les fichiers de configuration (par exemple, appsettings.json, config.xml, .env) contiennent souvent des clés API codées en dur, des mots de passe de base de données et des identifiants de service en texte clair afin que les services puissent démarrer automatiquement.
Bases de données d'application : Les bases de données stockent parfois des chaînes de connexion et des identifiants de service en clair dans les tables de configuration, en particulier dans les applications héritées et personnalisées.
Pipelines CI/CD : Les pipelines de build et de déploiement peuvent exposer des identifiants via des variables codées en dur, des logs de pipeline et des dépôts d’artefacts non sécurisés lorsque les secrets ne sont pas correctement gérés.
Stockage du navigateur : Les mots de passe enregistrés dans les navigateurs ou dans des gestionnaires de mots de passe faiblement protégés peuvent être extraits si un système est compromis.
Secrets cloud et clés API : Les services cloud et les environnements de développement fuient parfois des identifiants stockés en clair dans des variables d’environnement, des modèles IaC et des magasins de secrets non protégés.
Fichiers texte non sécurisés : Les administrateurs et autres utilisateurs conservent parfois des mots de passe dans des notes en clair, des feuilles de calcul ou des fichiers .txt sur des lecteurs partagés ou un stockage cloud.
Sauvegardes et snapshots : Les sauvegardes de systèmes contenant des identifiants en clair deviennent une autre source si elles ne sont pas correctement chiffrées.
Journaux : Une journalisation mal configurée peut capturer les noms d'utilisateur et mots de passe en clair.

Le cas des Préférences de stratégie de groupe

GPP est un exemple largement cité dans le monde réel de données d’identification exposées en clair. GPP permettait aux administrateurs de configurer des comptes locaux, des tâches planifiées, des mappages de lecteurs et d’autres paramètres de manière centralisée via des fichiers XML stockés dans le partage SYSVOL. GPP supportait également l’intégration des identifiants dans ces fichiers XML. Ces mots de passe intégrés étaient chiffrés avec une clé AES statique publiée dans la documentation MSDN de Microsoft. Cette clé est devenue largement connue en 2012, rendant le déchiffrement trivial avec des outils comme PowerSploit’s Get-GPPPassword. Cela signifiait que :

Tout utilisateur de domaine authentifié pouvait lire les fichiers XML dans SYSVOL.
La clé de chiffrement statique et documentée publiquement rendait ces mots de passe stockés récupérables par n’importe qui.
En conséquence, de nombreux environnements avaient des mots de passe de comptes locaux à privilèges élevés exposés à tout utilisateur du domaine, ce qui posait un risque de mouvement latéral.

En 2014, Microsoft a publié le bulletin de sécurité MS14-025 pour empêcher la création de nouvelles politiques GPP avec des mots de passe intégrés, mais il ne supprime pas les existantes. Celles-ci doivent être supprimées manuellement par les administrateurs. En conséquence, tout utilisateur de domaine avec un accès de base peut exploiter cette vulnérabilité si d’anciens fichiers GPP restent présents.

Comment fonctionne l'extraction des mots de passe en texte brut ?

L'extraction des mots de passe en clair suit un cycle de vie standard : obtenir une base, découvrir où résident les secrets, extraire des identifiants utilisables, réutiliser ces identifiants pour étendre l'accès, puis escalader vers des privilèges plus élevés et un contrôle persistant. Le cas GPP est un exemple clair de la façon dont une fonctionnalité de commodité (stockage centralisé des identifiants déployables) peut créer une faiblesse à l'échelle de l'entreprise que les attaquants peuvent exploiter.

Accès initial

Les attaquants commencent par un point d’ancrage initial sur le réseau via des vecteurs courants tels que le phishing, l’accès à des comptes compromis, des pièces jointes malveillantes et des services publics vulnérables.

Découverte

Avec un accès à un hôte dans l'environnement cible, les attaquants effectuent une découverte pour trouver où les identifiants sont stockés ou provisionnés. Dans les environnements Active Directory (AD), SYSVOL et d'autres magasins de configuration répliqués centralement sont des cibles attrayantes car ils contiennent des fichiers XML et autres utilisés pour déployer des paramètres sur de nombreuses machines. Les fichiers XML de GPP contenaient historiquement des identifiants intégrés destinés au déploiement automatisé ; ces fichiers étaient lisibles par tout utilisateur authentifié dans de nombreuses configurations par défaut, ce qui a conduit à une exposition.

Extraction

L’extraction fait référence à l’activité de récupération de secrets stockés en clair ou faiblement protégés à partir de fichiers de configuration, de registres, de mémoire et de sauvegardes, et de leur transformation en identifiants utilisables. Dans l’exemple GPP, les attaquants pouvaient rapidement récupérer les mots de passe réels car ils étaient chiffrés avec une clé statique que Microsoft avait rendue publique. De manière générale, l’extraction peut impliquer la lecture de fichiers, l’analyse de formats de configuration (tels que les fichiers XML, JSON et INI) et l’analyse des artefacts mémoire où une application a laissé des secrets en clair.

Les attaquants utilisent couramment des outils automatisés pour extraire et déchiffrer les mots de passe GPP :

Le cmdlet Get-GPPPassword de PowerSploit : un outil basé sur PowerShell qui recherche dans SYSVOL des fichiers XML contenant l'attribut cpassword et les décrypte automatiquement en utilisant la clé AES connue.
- Import-Module PowerSploit Get-GPPPassword
Module Metasploit (post/windows/gather/credentials/gpp): Effectue la même fonction dans le framework Metasploit, facilitant aux attaquants l'énumération et le déchiffrement de tous les mots de passe GPP stockés en une seule commande.

Ces outils réduisent toute l'attaque à une commande d'une seule ligne, mettant en lumière comment une faille de conception combinée à des outils peut transformer une vulnérabilité en un risque généralisé.

Réutiliser

Une fois que les attaquants obtiennent des identifiants en clair (par exemple, un mot de passe d’administrateur local ou un secret de compte de service), ils tentent de les réutiliser sur plusieurs hôtes et services. La réutilisation des identifiants permet un mouvement latéral, où l’attaquant s’authentifie sur des machines supplémentaires, accède aux consoles d’administration et déverrouille les magasins de données.

Escalade

Avec l'accès latéral, les attaquants cherchent à augmenter leurs privilèges. Par exemple, passer d'un administrateur local à des privilèges au niveau du domaine ou d'un compte d'application à un compte de service pouvant accéder à des données sensibles. Les attaquants peuvent également vider la mémoire LSASS pour collecter des identifiants supplémentaires à partir des processus en cours d'exécution et des caches dans le cadre de l'escalade des privilèges et de la persistance.

Diagramme du flux d'attaque

Examinons un flux visuel d’extraction de mots de passe en texte clair et un exemple d’histoire du point de vue d’une organisation qui montre comment l’attaque commence par un compte utilisateur compromis et s’étend à une menace à l’échelle du domaine.

Flux d'attaque (général)

Flux d’attaque (perspective GPP)

Un acteur malveillant qui compromet l'ordinateur portable d'un employé du help desk exécute Get-GPPPassword en quelques minutes après avoir obtenu l'accès. SYSVOL fournit un fichier groups.xml de 2013, toujours actif, contenant un mot de passe administrateur local partagé sur tous les serveurs de l'organisation. Le lendemain matin, l'attaquant a atteint le serveur de fichiers, accédé à l'infrastructure de sauvegarde et établi une présence sur un contrôleur de domaine.

Exemples d'extraction de mots de passe en texte clair

L'extraction de mots de passe en clair a été exploitée dans plusieurs violations. Ces cas réels montrent comment des identifiants non sécurisés peuvent entraîner une compromission étendue.

Case	Impact
BlackCat / ALPHV (2023)	In 2023, BlackCat/ALPHV operators were observed using a utility (Munchkin) that included a `Get-GPPPassword.py` script to enumerate SYSVOL, recover GPP XML files, and extract embedded passwords in plaintext. This shows how stored, weakly protected credentials can be harvested and used for lateral movement (even years after Microsoft patched the vulnerability in 2014).
Marriott international breach (2018)	Attackers maintained long-term persistence in Marriott's Starwood guest reservation system for approximately four years (2014-2018) before discovery. The breach, attributed to a sophisticated APT group, exposed personal and passport details of approximately 339 million guests. Investigations revealed that attackers used Mimikatz to harvest credentials from memory and gain administrator privileges. Weak password hygiene and the absence of MFA on critical accounts made it easier for the attackers to escalate privileges and remain undetected for years.
SolarWinds Orion supply chain attack (2020)	Although the initial breach vector was the insertion of malicious code into Orion software updates, forensic investigations revealed that the attackers also exploited plaintext credentials stored in scripts, configuration files, and automation systems within affected networks. These exposed credentials enabled lateral movement, privilege escalation, and further compromise of sensitive systems, affecting approximately 18,000 customers, including multiple US government agencies.

Conséquences de l'extraction de mots de passe en clair

Lorsque les attaquants parviennent à extraire des mots de passe en clair, les conséquences peuvent être considérables. Parce que les identifiants en clair révèlent les mots de passe exacts des utilisateurs, ils accordent un accès immédiat et illimité aux comptes et systèmes. Les dommages affectent la stabilité financière, les opérations, la réputation et la situation juridique.

Impact area	Description
Financial	Attackers can use stolen credentials to commit fraud, initiate unauthorized transactions, and even deploy ransomware within the network. Recovery costs, ransom payments, forensic investigations, and compensation for affected customers can lead to significant financial losses.
Operational	Plaintext credentials can enable lateral movement across servers and critical infrastructure, resulting in domain-wide disruptions, system lockouts, and halted business operations. Attackers can escalate privileges to gain control over core IT systems.
Reputational	Public disclosure of leaked passwords can erode customer and partner trust, especially when the breach exposes sensitive accounts and executive credentials. Organizations can face long-term brand damage and customer churn.
Legal/regulatory	Data exposure involving compromised accounts can violate privacy laws such as GDPR, HIPAA, and PCI DSS. Organizations may face regulatory fines, lawsuits, and increased scrutiny for failing to protect authentication data.

Cibles courantes d'une extraction de mot de passe en clair : qui est à risque ?

Les attaques d'extraction de mots de passe en texte clair ciblent les systèmes et comptes qui stockent, traitent ou gèrent des données d'authentification sous une forme claire ou récupérable. Les grandes entreprises comme les petites organisations sont vulnérables lorsque l'hygiène de sécurité de base est négligée. Quelques cibles courantes sont :

Environnements Active Directory

Active Directory est une cible de choix car il gère l'authentification dans les réseaux d'entreprise. Les attaquants peuvent extraire des identifiants en clair à partir de plusieurs sources (y compris la mémoire système, les magasins d'identifiants mis en cache, les fichiers de configuration et les ruche du registre) pour compromettre plusieurs comptes au sein du domaine.

Contrôleurs de domaine et serveurs Windows

Ces systèmes stockent des identifiants mis en cache et des jetons d'authentification. S'ils sont compromis, ils peuvent exposer des mots de passe en clair et des hachages permettant aux attaquants de se déplacer latéralement dans le réseau.

Comptes privilégiés

Les comptes administrateurs, les comptes de service et les comptes administrateurs de domaine sont des cibles de grande valeur. Une fois que les attaquants obtiennent des mots de passe en clair, ils peuvent accéder sans restriction à l'infrastructure critique et aux données sensibles.

Systèmes et applications mal configurés

Les services mal sécurisés, les applications héritées et les systèmes avec un chiffrement faible stockent souvent les identifiants en clair dans les fichiers de configuration, les bases de données et les fichiers journaux. Ces emplacements de stockage permettent aux attaquants de trouver et d'extraire facilement les mots de passe sans déclencher d'alertes.

Petites et moyennes entreprises (PME)

Les PME sont des victimes courantes car elles disposent de budgets de sécurité limités et de pratiques de gestion des identifiants plus faibles. Les attaquants exploitent des systèmes obsolètes et des vulnérabilités non corrigées pour récolter des mots de passe en clair.

Évaluation des risques

En évaluant le niveau de risque lié à l'extraction de mots de passe en clair, les organisations peuvent comprendre sa gravité et gérer les défenses en conséquence.

Risk factor	Level
Potential damage	Critical Exposed plaintext passwords give attackers immediate, unrestricted access to systems, accounts, and data. This can lead to full domain compromise, ransomware deployment, and large-scale breaches.
Ease of execution	Medium-High The difficulty depends on system defenses. Tools like Mimikatz and LaZagne make plaintext password extraction relatively straightforward once attackers gain local or administrative access. However, reaching that point requires initial compromise, so it is not trivial.
Likelihood	High Many organizations still have systems that cache or store credentials insecurely (in memory, config files, and databases). Combined with privilege escalation and credential-dumping tactics in modern attacks, the likelihood remains high.

Risk factor

Level

Potential damage

Critical
Exposed plaintext passwords give attackers immediate, unrestricted access to systems, accounts, and data. This can lead to full domain compromise, ransomware deployment, and large-scale breaches.

Ease of execution

Medium-High
The difficulty depends on system defenses. Tools like Mimikatz and LaZagne make plaintext password extraction relatively straightforward once attackers gain local or administrative access. However, reaching that point requires initial compromise, so it is not trivial.

Likelihood

High
Many organizations still have systems that cache or store credentials insecurely (in memory, config files, and databases). Combined with privilege escalation and credential-dumping tactics in modern attacks, the likelihood remains high.

Comment empêcher l’extraction de mots de passe en clair

Pour empêcher l’extraction de mots de passe en clair, les organisations doivent supprimer les sources faciles de données d’identification, renforcer les configurations des comptes et des hôtes, et mettre en place des contrôles compensatoires pour limiter la capacité d’un attaquant à réutiliser les données d’identification qu’il trouve.

Supprimer les mots de passe GPP intégrés de SYSVOL

Historiquement, Group Policy Preferences permettait aux administrateurs de déployer des identifiants de comptes locaux, qui étaient stockés dans SYSVOL au sein de fichiers de politique XML en tant que valeurs de l'attribut cpassword. Ces entrées cpassword sont facilement réversibles, ce qui signifie que toute personne ayant accès au fichier XML peut déchiffrer la valeur et récupérer le mot de passe en clair. Pour cette raison, tous les mots de passe stockés dans GPP doivent être supprimés immédiatement.

Identifiez tous les fichiers GPP XML dans \\<domain>\SYSVOL\ contenant cpassword.
Supprimez ou remplacez entièrement le déploiement des comptes locaux basé sur GPP et migrez la gestion des comptes vers des mécanismes plus sûrs, tels que Local Administrator Password Solution (LAPS) de Microsoft.
Après la suppression, documentez la modification et vérifiez la réplication sur tous les contrôleurs de domaine.

Astuce de détection rapide (PowerShell) :

Get-ChildItem -Recurse '\\<domain>\SYSVOL' -Include *.xml |

Select-String -Pattern 'cpassword' -SimpleMatch

Utilisez LAPS de Microsoft pour gérer le compte administrateur local

LAPS gère de manière centralisée des mots de passe uniques et aléatoires pour les administrateurs locaux par machine et les stocke en toute sécurité dans les attributs d’Active Directory avec une protection ACL. En utilisant LAPS, vous supprimez le besoin de stocker les mots de passe d’administrateurs locaux partagés en texte clair. Les organisations devraient :

Déployez les agents/politiques LAPS afin que chaque hôte ait un mot de passe administrateur local unique et renouvelé.
Restreignez qui peut lire les attributs de mot de passe gérés par LAPS en utilisant les AD ACLs et surveillez l'accès à ces attributs.
Intégrez LAPS dans les processus d’intégration/désintégration et de documentation afin que les employés l’utilisent au lieu de mots de passe codés en dur.

Maintenez Windows Server corrigé et à jour

Maintenez tous les contrôleurs de domaine, serveurs et endpoints à jour avec les derniers correctifs de sécurité. L'application de ces mises à jour aide à empêcher l'intégration de nouveaux mots de passe dans des emplacements non sécurisés et atténue les vulnérabilités héritées qui pourraient exposer des identifiants.

Testez et appliquez régulièrement les mises à jour de sécurité et des fonctionnalités.
Priorisez les correctifs qui traitent les vulnérabilités d’authentification, Active Directory et de gestion de la mémoire.
Maintenez un inventaire des versions de système d’exploitation prises en charge et mettez hors service les systèmes obsolètes qui ne reçoivent plus de mises à jour de sécurité.

Ne stockez pas les mots de passe en clair dans les scripts et configurations

Les identifiants en clair stockés dans les scripts, fichiers de configuration et pipelines d'automatisation sont une cible facile pour les attaquants. Supprimez-les et remplacez-les par des alternatives sécurisées.

Utilisez des gestionnaires de secrets (coffres) ou des magasins de secrets natifs de la plateforme (par exemple, Azure Key Vault, AWS Secrets Manager).
Lorsque le code doit s’authentifier, utilisez managed identities, des service principals avec des jetons à courte durée de vie ou une authentification basée sur certificat au lieu de mots de passe intégrés.
Faites tourner régulièrement les secrets et analysez les dépôts source (y compris les journaux CI/CD et les magasins d’artefacts) pour détecter toute exposition accidentelle.

Appliquer les solutions MFA et Privileged Access Management

L'authentification multifactorielle (MFA) et Privileged Access Management (PAM) réduisent l'impact des identifiants volés et limitent les sessions privilégiées.

Exiger la MFA pour les connexions interactives, l'accès à distance et les tâches administratives sensibles.
Déployez Privileged Access Management/gestion des accès élevés pour fournir une élévation just-in-time et limitée dans le temps pour les administrateurs et les tiers.
Enregistrez et surveillez les échecs MFA, les demandes d'élévation et l'activité des sessions privilégiées.

Effectuer des audits de domaine pour les valeurs cpassword dans SYSVOL

Un audit régulier peut aider à détecter les mauvaises configurations, alors intégrez-le à l'hygiène de sécurité standard.

Planifiez des analyses automatiques de SYSVOL et d'autres emplacements courants pour cpassword et d'autres artefacts d'identifiants.
Incluez des vérifications pour les identifiants en clair dans les fichiers de configuration, scripts et bases de données d'applications.
Enregistrez toute découverte liée aux identifiants dans votre système de ticketing ou de gestion des correctifs, suivez les découvertes corrigées et maintenez une piste d’audit de toutes les recherches et corrections. Cela aide à vérifier que les vulnérabilités sont traitées. Cela fournit également une documentation pour les futures revues de sécurité.

Comment Netwrix peut aider

Dans le contexte du risque d'extraction de mots de passe en clair, les organisations peuvent mettre en œuvre des solutions spécialisées pour réduire l'exposition, détecter rapidement les tentatives d'attaque et corriger les faiblesses de l'environnement. Netwrix propose une suite d'outils qui correspondent à ces objectifs.

Netwrix Privilege Secure

Privilege Secure supprime les comptes privilégiés permanents et applique des privilèges just-in-time, réduisant ainsi la surface d’attaque résultant des identifiants administratifs statiques. Il fournit une surveillance et un enregistrement complets des sessions, et prend en charge l’accès au moindre privilège sur les serveurs et les endpoints.

Grâce à l'intégration avec LAPS et au support du coffre-fort de mots de passe, Privilege Secure aide à remplacer les identifiants d'administrateur local partagés, qui sont une source courante de risque de mots de passe en clair. La solution automatise également la création/suppression de comptes privilégiés pour chaque session et applique la MFA pour renforcer davantage les contrôles d'accès privilégié.

Netwrix Threat Manager

Threat Manager est conçu pour la détection et la réponse en temps réel aux menaces basées sur l’identité, les privilèges et le système de fichiers dans des environnements tels qu’Active Directory et le cloud hybride. Il suit les schémas d’authentification anormaux, l’abus de justificatifs et les activités suspectes, telles que les tentatives de lecture de SYSVOL et l’utilisation de Get-GPPPassword. Il peut également déclencher des alertes et des réponses automatisées lorsqu’un attaquant tente d’exploiter des justificatifs en clair ou de se déplacer latéralement dans le réseau.

Netwrix Access Analyzer

Avec Access Analyzer, les organisations peuvent obtenir une visibilité sur les autorisations, les droits d'accès, les mauvaises configurations héritées (comme les identifiants GPP restants) et l'accès risqué aux données sur les actifs sur site et dans le cloud. Cela aide à découvrir des mauvaises configurations risquées d'Active Directory et de Group Policy Object (GPO), y compris les Group Policy Preferences héritées avec des mots de passe intégrés. En détectant et en priorisant ces problèmes, Access Analyzer permet une remédiation proactive des conditions dans lesquelles des identifiants en clair peuvent exister.

Éliminez les identifiants permanents qui permettent l'extraction des mots de passe en clair avec Netwrix Privilege Secure. Téléchargez l'essai gratuit.

Stratégies de détection, d'atténuation et de réponse

Pour une protection efficace contre l’extraction de mots de passe en clair, les organisations doivent élaborer une stratégie axée sur la détection précoce, la mitigation proactive et la réponse rapide.

Détection

La détection précoce dépend de l'identification de schémas d'authentification inhabituels et de comportements d'accès aux fichiers qui signalent une activité de collecte d'identifiants. Les équipes de sécurité devraient :

Surveillez l'énumération des partages SYSVOL. Les attaquants parcourent souvent ces dossiers partagés pour localiser des fichiers XML contenant des identifiants intégrés (cpassword entrées) et des données de configuration.
Détectez l'utilisation suspecte de commandes PowerShell telles que Get-GPPPassword. Ces commandes sont utilisées pour extraire les mots de passe stockés à partir des Group Policy Preferences.
Enquêtez sur les accès en lecture inhabituels à plusieurs fichiers XML de Group Policy et scripts de configuration. Un accès répété ou à grande échelle peut indiquer des scripts automatisés ou une activité de reconnaissance.
Enquêtez sur l'utilisation d'outils de vidage de credentials suivie de tentatives d'authentification suspectes et d'escalade de privilèges. Cette séquence révèle souvent que les attaquants ont obtenu des credentials en clair ou hachés et tentent un mouvement latéral.

Atténuation

L’atténuation vise à supprimer les points d’exposition et à réduire la capacité de l’attaquant à exploiter les identifiants en clair.

Isolez immédiatement les comptes et hôtes compromis du réseau pour arrêter tout mouvement latéral supplémentaire.
Auditez SYSVOL et d'autres répertoires partagés à la recherche de mots de passe intégrés et de fichiers GPP mal configurés. Réinitialisez ensuite toutes les informations d'identification découvertes dans les GPP et les fichiers de configuration pour éviter leur réutilisation.
Révoquez les mécanismes de persistance de l’attaquant, tels que les modifications non autorisées des ACL d’AdminSDHolder, les tâches planifiées et les comptes de service qui pourraient permettre un accès continu.
Appliquez régulièrement les correctifs et limitez les privilèges administratifs pour réduire l'exposition et prévenir les attaques futures.

Réponse

Lorsque les mots de passe en clair sont exposés, la phase de réponse doit se concentrer sur l'élimination de toutes les sources de fuite d'identifiants et le renforcement de l'environnement.

Supprimez les identifiants intégrés à GPP dans tout l'environnement pour éliminer les mots de passe hérités en texte clair stockés dans Group Policy Preferences.
Déployez LAPS de Microsoft pour gérer en toute sécurité les comptes administrateurs locaux avec des mots de passe uniques et rotatifs.
Renforcez les autorisations Active Directory pour restreindre l'accès aux GPO, aux politiques système, aux groupes administratifs et aux objets de configuration sensibles.
Activez la détection et la réponse sur endpoint (EDR) ainsi que la surveillance des informations et événements de sécurité (SIEM) pour détecter en temps réel les activités de dumping d’identifiants et les comportements d’authentification anormaux.
Formez les administrateurs à éviter de stocker les mots de passe dans les Group Policy Objects, scripts et fichiers de configuration, renforçant ainsi les pratiques opérationnelles sécurisées.

Impact spécifique à l'industrie

L'impact de l'extraction de mots de passe en texte clair varie selon les secteurs, en fonction du type de données traitées et des systèmes affectés. Dans tous les secteurs, cependant, des identifiants compromis peuvent entraîner des dommages opérationnels, financiers et réputationnels.

Industry	Impact
Healthcare	Attackers who obtain plaintext credentials can escalate privileges to compromise domain administrator accounts. This leads to unauthorized access to electronic health records (EHRs), medical devices, and internal systems. The result could be large-scale patient data exposure, service downtime, and costly regulatory penalties under HIPAA or similar privacy laws.
Finance	Stolen credentials can enable unauthorized access, empowering attackers to perform fraudulent wire transfers, alter financial records, and manipulate payment systems. Credential exposure can also lead to ransomware attacks or insider-style fraud, triggering service disruptions, compliance violations, reputational harm, and significant monetary losses.
Government	Compromised accounts within government networks can grant persistent access for espionage, data theft, and disruption of essential public services. Attackers can exploit privileged access to manipulate systems, steal classified data, and spread disinformation. This can undermine public trust and pose both operational and national security risks.

Industry

Impact

Healthcare

Attackers who obtain plaintext credentials can escalate privileges to compromise domain administrator accounts. This leads to unauthorized access to electronic health records (EHRs), medical devices, and internal systems. The result could be large-scale patient data exposure, service downtime, and costly regulatory penalties under HIPAA or similar privacy laws.

Finance

Stolen credentials can enable unauthorized access, empowering attackers to perform fraudulent wire transfers, alter financial records, and manipulate payment systems. Credential exposure can also lead to ransomware attacks or insider-style fraud, triggering service disruptions, compliance violations, reputational harm, and significant monetary losses.

Government

Compromised accounts within government networks can grant persistent access for espionage, data theft, and disruption of essential public services. Attackers can exploit privileged access to manipulate systems, steal classified data, and spread disinformation. This can undermine public trust and pose both operational and national security risks.

Évolution des attaques et tendances futures

Les techniques d’extraction de mots de passe en texte clair ont évolué en réponse à des défenses renforcées et à une transition vers des environnements informatiques hybrides. Bien que le principe de base du vol de données d’identification lisibles reste le même, les méthodes et les cibles s’élargissent pour exploiter les erreurs humaines, les configurations héritées et les identifiants cloud mal gérés.

Les mauvaises configurations héritées de GPP restent des points d'entrée faciles

De nombreuses organisations disposent encore de Group Policy Preferences obsolètes qui stockent les identifiants dans des formats réversibles. Les attaquants scannent régulièrement SYSVOL et les répertoires partagés à la recherche de ces fichiers XML après un accès initial. Une fois obtenues, les identifiants accordent un accès administratif ou au niveau du service, permettant des déplacements latéraux et une persistance. Ces négligences existent en raison de la gestion manuelle des configurations, d'une visibilité limitée dans de grands environnements Active Directory et de pratiques insuffisantes de durcissement d'AD.

Intégration de modules d'extraction en clair dans les chargeurs de malware et kits de ransomware

Le vol d'identifiants est devenu une fonctionnalité standard dans les kits d'attaque modernes. Les familles de malware comme Emotet, QakBot et TrickBot incluent des modules capables de vider la mémoire, de voler les mots de passe des navigateurs et d'extraire des identifiants à partir de fichiers de configuration. Les groupes de ransomware utilisent ces identifiants volés pour obtenir un accès au niveau du domaine avant le chiffrement. Cela leur permet d'escalader les privilèges et de désactiver les défenses plus efficacement.

Expansion dans les environnements cloud

Les attaquants ciblent de plus en plus les charges de travail cloud mal configurées, les clés API et les comptes de service qui stockent les identifiants en clair ou dans des emplacements non sécurisés. Le vol d'identifiants cloud présente des risques similaires aux violations sur site, souvent à partir de modèles non sécurisés et de variables d'environnement exposées. Les identifiants volés peuvent permettre aux attaquants de se déplacer entre les environnements cloud et sur site dans un seul chemin d'attaque.

Utilisation croissante des techniques living-off-the-land (LotL)

Au lieu de se fier uniquement aux malwares, les acteurs de menace utilisent désormais des outils intégrés comme PowerShell, WMI et certutil pour extraire ou accéder aux identifiants de manière furtive. Cette tendance permet aux attaquants de se fondre dans l'activité normale, de réduire leur empreinte, d'éviter les alertes antivirus, de contourner la détection des endpoints et de conserver l'accès sur de plus longues périodes.

Statistiques clés et infographies

Les données suivantes peuvent vous aider à comprendre l'étendue et la prévalence des attaques liées aux identifiants.

Le 2025 Verizon Data Breach Investigations Report (DBIR) révèle que 22 % des violations ont commencé par un abus d'identifiants, faisant des identifiants volés ou mal utilisés le point d'entrée le plus courant dans les systèmes.
Le rapport a également révélé qu'environ 88 % des attaques basiques aux applications web impliquaient des identifiants volés.
Le script PowerShell Get‑GPPPassword est largement utilisé par les équipes rouges et les acteurs malveillants. Les outils et la documentation le citent fréquemment comme une méthode standard pour récupérer les mots de passe en clair intégrés dans les fichiers XML de Group Policy Preferences (GPP) sous le partage SYSVOL. Parce que de nombreuses organisations ont encore d’anciens fichiers GPP et des politiques mal configurées, cet outil offre aux attaquants une voie facile pour accéder aux identifiants locaux et de domaine.

Vecteurs d'attaque initiaux des violations de données

Le graphique circulaire suivant est basé sur les données du Verizon DBIR 2025. Il montre les vecteurs d'attaque initiaux qui ont conduit à une violation de données.

Principales conclusions :

Les identifiants volés restent le principal vecteur d’attaque initial dans 22 % de toutes les violations.
L'exploitation des vulnérabilités a augmenté de 34 % d'une année sur l'autre, représentant désormais 20 % des violations.
Le phishing représente 16 % des vecteurs initiaux de violation.

Réflexions finales

L’extraction de mots de passe en clair reste l’un des moyens les plus simples pour les attaquants de prendre pied sur un réseau. La bonne nouvelle est que la plupart des expositions sont évitables. Les organisations devraient considérer l’identité comme la principale frontière. Sécurisez les comptes et vous stoppez la majorité des chaînes d’attaque courantes. Commencez par les gains rapides (audit SYSVOL, déploiement de LAPS, activation de MFA), puis intégrez la détection continue et les contrôles d’accès privilégié dans vos opérations pour rester en avance sur les menaces.

FAQ

Qu'est-ce que l'extraction du mot de passe en texte clair de Group Policy Preferences ?

Comment fonctionne Get-GPPPassword de PowerSploit ?

Quel est l'ID de la technique MITRE ATT&CK pour l'extraction de mots de passe en texte clair dans Group Policy Preferences ?

Comment les organisations peuvent-elles détecter les mots de passe GPP dans leur environnement ?

Quelle atténuation Microsoft recommande-t-elle ?

Partager sur

Published: Jun 19, 2026

Darryl Baker

Chercheur principal en sécurité

Darryl G. Baker est un chercheur principal en sécurité chez Netwrix et une autorité reconnue en sécurité de l’Identity et d’Active Directory. Avec plus d’une décennie d’expérience dans les systèmes d’identité, il a dirigé des évaluations de sécurité d’entreprise, des formations en sécurité de l’identité et des émulations de menaces axées sur Active Directory, Entra ID et les environnements Azure. Darryl a donné des formations et des démonstrations très appréciées lors de BlueTeamCon, BSidesCT, The Experts Conference et Wild Wild West Hackin’ Fest. Il est l’architecte de nombreux laboratoires pratiques d’émulation d’attaques, utilisant les outils actuels des red teams et blue teams pour aider les défenseurs à maîtriser tout, de l’analyse des chemins d’attaque à la chasse aux menaces. Lors de ses sessions, Darryl allie une profonde expertise technique à des études de cas réels, permettant aux professionnels du blue team de renforcer leur posture de sécurité de l’identité et de se défendre contre les techniques adverses en évolution.

Voir les attaques de cybersécurité associées

Abus des autorisations d'application Entra ID – Fonctionnement et stratégies de défense

Modification de AdminSDHolder – Fonctionnement et stratégies de défense

Attaque AS-REP Roasting - Fonctionnement et stratégies de défense

Attaque Hafnium - Fonctionnement et stratégies de défense

Attaques DCSync expliquées : Menace pour la sécurité d'Active Directory

Attaques d'exploitation gMSA et attaques Golden gMSA expliquées

Guide ultime des attaques Golden SAML

Comprendre les attaques Golden Ticket

Attaque DCShadow – Fonctionnement, exemples concrets et stratégies de défense

Injection de prompt ChatGPT : Comprendre les risques, exemples et prévention

Explication des attaques d'extraction NTDS.dit

Attaque Kerberoasting – Fonctionnement et stratégies de défense

Comprendre les attaques pass-the-hash (PtH)

Explication de l'attaque Pass-the-Ticket : Risques, Exemples et Stratégies de Défense

Comprendre les attaques par password spraying

Vulnérabilité Zerologon expliquée : Risques, Exploits et Atténuation

Un guide complet des attaques par ransomware

Attaque Skeleton Key : comment ça fonctionne et comment la détecter

Mouvement latéral : Qu'est-ce que c'est, comment ça fonctionne et préventions

Attaques de l'homme du milieu (MITM) : ce qu'elles sont et comment les prévenir

Pourquoi PowerShell est-il si populaire auprès des attaquants ?

4 attaques de compte de service et comment s'en protéger

Comment prévenir les attaques de logiciels malveillants d'affecter votre entreprise

Qu'est-ce que le Credential Stuffing ?

Compromettre SQL Server avec PowerUpSQL

Qu'est-ce que les attaques de Mousejacking et comment se défendre contre elles

Vol de credentials avec un fournisseur de support de sécurité (SSP)

Attaques par tables arc-en-ciel : leur fonctionnement et comment se défendre

Un regard approfondi sur les attaques par mot de passe et comment les arrêter

Reconnaissance LDAP

Contournement de l'authentification multifacteur avec l'attaque Pass-the-Cookie

Attaque Silver Ticket