découvrez les vulnérabilités liées à l'authentification ntlm, leurs risques et comment protéger vos systèmes contre les attaques exploitant ces failles de sécurité.
AccueilWindowsLes pirates exploitent les failles d’authentification NTLM pour cibler les systèmes Windows
Windows

Les pirates exploitent les failles d’authentification NTLM pour cibler les systèmes Windows

Par Valentin , le 26 novembre 2025 - 5 minutes de lecture

Malgré les années qui passent, le protocole NTLM ne lâche rien. Même en 2025, ses vieilles failles continuent d’ouvrir grand la porte aux pirates. L’authentification Windows est dans la ligne de mire, et ça secoue sacrément la cybersécurité des entreprises.

Les administrateurs savent que NTLM, ce vieux bougre, a toujours été un point noir. Microsoft a beau annoncer la fin de ce protocole, il reste ancré dans des millions de systèmes. Une vraie plaie quand on voit comment les hackers exploitent ça aujourd’hui.

Alors, comment ces failles NTLM se transforment-elles en porte dérobée pour entrer dans vos réseaux ?

Des attaques NTLM qui n’ont pas vieilli d’un poil

Le protocole New Technology LAN Manager, ou NTLM, a été conçu pour authentifier clients et serveurs via un échange en trois étapes. Simple, mais tellement fragile qu’à peine 20 ans plus tard, c’est encore une passoire. Les pirates s’en donnent à cœur joie avec plusieurs techniques, toutes basées sur la faiblesse de ce handshake.

L’une des plus sournoises : le vol de hash NTLM. Au lieu d’essayer de récupérer le mot de passe en clair, ils réussissent à soutirer ces empreintes chiffrées. Un fichier malicieux, lancé n’importe comment, et hop, le système balance ce qu’il faut à un serveur contrôlé par les hackers.

Cette méthode, appelée hash leakage, ne demande même pas d’interaction compliquée. Un simple clic ou même un déplacement de fichier suffit à activer la fuite. Autant dire que ça rend la protection bien plus complexe !

Des campagnes de hacking qui frappent fort et loin

Plusieurs opérations malveillantes récentes montrent que ces failles sont exploitées à grande échelle. Prenez le CVE-2024-43451, qui cible Windows via des fichiers .url piégés. Des groupes comme BlindEagle et Head Mare l’ont utilisé pour diffuser des chevaux de Troie dans des pays comme la Colombie, la Russie ou encore la Biélorussie.

Et ce n’est pas tout. Des bogues récents, CVE-2025-24054 et CVE-2025-24071, se jouent des archives .zip avec leurs fichiers .library-ms. Automatiquement, Windows envoie ses justificatifs NTLM vers des serveurs contrôlés, ouvrant la voie à des maliciels comme AveMaria – un vrai cauchemar pour les réseaux sensibles.

À cela s’ajoute le CVE-2025-33073. Là, on est sur un coup particulièrement vicieux : le pirate manipule le DNS pour présenter des requêtes externes comme internes. Résultat ? Une échelle rapide au niveau SYSTEM, le saint Graal pour tout intrus. Un tour de passe-passe DNS qui fait sauter toutes les protections habituelles.

Pourquoi NTLM reste présent malgré tout ?

Microsoft planifie de couper le cordon avec NTLM dès Windows 11 version 24H2 et Windows Server 2025. Mais on ne change pas une infra en un claquement de doigts, surtout en entreprise. Des applications legacy, des services réseaux anciens, ça traîne encore partout.

La transition est un casse-tête que beaucoup préfèrent repousser. Ce qui, mécaniquement, alimente la fenêtre d’attaque pour les cybercriminels. Chaque machine non mise à jour devient une cible potentielle.

Le fait est simple : tant que NTLM grattera sa place dans les réseaux, les trous dans la sécurité seront exploités. Et les nouvelles générations d’admins doivent comprendre que ce n’est pas en installant un patch qu’on règle le problème. C’est un vrai changement de paradigme qui attend.

Les attaques man-in-the-middle sur NTLM, un classique qui perdure

Depuis des années, les relais NTLM restent la technique la plus efficace pour intercepter les identifiants. Un pirate se place entre la machine cliente et le serveur, capturant la session d’authentification à la volée. Ni vu ni connu, il récupère un accès privilégié.

Et ça marche toujours aussi bien. La sophistication des attaques a augmenté, mais le même principe reste : profiter d’un protocole daté et mal protégé. L’histoire nous enseigne que cette faille est loin d’être close.

Comment limiter la casse ?

Pas de miracle : il faut urgemment planifier la migration vers Kerberos ou d’autres mécanismes modernes. Mettre à jour les systèmes, restreindre au maximum l’usage des fichiers .url ou des archives suspectes, ce sont des premiers pas indispensables.

Rien ne sert de courir, mais il faut avancer. Ignorer la vulnérabilité NTLM, c’est jouer avec le feu. Les entreprises doivent aussi surveiller de près les connexions WebDAV, souvent utilisées pour les attaques par hash leakage.

En résumé, le vieux NTLM n’est pas mort ! Et c’est une mauvaise nouvelle pour tous ceux qui croyaient pouvoir dormir tranquilles avec un antivirus classique et un firewall basique. La vigilance reste de mise.

Source: cyberpress.org

Donner votre avis
Partager cet article :
Avatar photo

Valentin

Salut ! Je m'appelle Valentin, j'ai 27 ans et je suis Administrateur système et réseaux. J'adore faire la fête, jouer au foot et passer du temps sur les jeux vidéos.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.