L’entreprise Mandiant, filiale de Google, vient de lâcher une bombe : des rainbow tables de 8 To permettant de casser n’importe quel hash de mots de passe NTLMv1. Ce protocole obsolète est pourtant encore très utilisé dans les environnements Windows.
Jeudi 15 janvier 2026, la société Mandiant a publié sur Google Cloud une rainbow table spécifiquement conçue pour s’attaquer au hash Net-NTLMv1. Concrètement, cette base permet à n’importe qui, autant aux défenseurs qu’aux attaquants, de retrouver un mot de passe en clair à partir de son empreinte en moins de 12 heures.
Pour cela, il n’est pas nécessaire de disposer d’un supercalculateur : du matériel grand public, facile à se procurer et abordable (moins de 600 dollars) suffit amplement. Mandiant n’a pas donné d’exemple de matériel.
Mandiant précise : “En publiant ces tables, Mandiant vise à abaisser la barrière pour que les professionnels de la sécurité puissent démontrer l’insécurité de Net-NTLMv1. Bien que des outils pour exploiter ce protocole existent depuis des années, ils nécessitaient souvent le téléchargement de données sensibles vers des services tiers ou du matériel coûteux pour forcer les clés par brute-force.”
Mais, au fait, c’est quoi une rainbow table ?
Une rainbow table (table arc-en-ciel en français) est une base de données de correspondances précalculées qui permet de retrouver quasi instantanément un mot de passe en clair à partir de son empreinte (hash). Ainsi, il n’y a pas tous les calculs à effectuer pour réaliser une attaque brute force classique sur un hash.
Pourquoi NTLMv1 est-il vulnérable ?
Tout d’abord, il faut savoir que Windows utilise principalement deux protocoles pour l’authentification en environnement Active Directory : NTLM et Kerberos. Le premier est un protocole historique et vulnérable : ce n’est pas un secret, il y a de nombreuses attaques et de nombreux outils capables d’exploiter les faiblesses de ce protocole.
“Net-NTLMv1 est largement reconnu comme étant peu sûr depuis au moins 2012, à la suite de présentations faites lors de la conférence DEFCON 20.”, précise Mandiant. Sur un réseau, si un attaquant parvient à capturer un hash Net-NTLMv1 (avec l’outil Responder, par exemple), c’est du pain béni.
Lors de l’authentification réseau, Windows utilise un mécanisme de “défi-réponse” pour protéger le mot de passe, mais la version NTLMv1 repose sur l’algorithme DES, qui date des années 70 ! Il est aujourd’hui totalement obsolète. Dans le cas où un attaquant peut manipuler le défi envoyé (challenge), il peut casser le chiffrement instantanément en s’appuyant sur des tables précalculées (à savoir celle de Mandiant).
Il existe d’ailleurs diverses techniques d’attaques par relais NTLM permettant d’exploiter les faiblesses de NTLMv1. On peut citer PetitPotam et DFSCoerce, par exemple. De quoi devenir administrateur du domaine rapidement…
Pourquoi NTLMv1 résiste-t-il encore ?
Nous sommes en 2026, et pourtant, NTLMv1 continue d’être utilisé en production dans les environnements Windows. Cela s’explique déjà parce qu’il est activé par défaut sur Windows (sur les versions antérieures à Windows 11 24H2 et Windows Server 2025).
Cette résistance s’explique notamment pour des raisons de compatibilité entre Windows, d’autres périphériques et les applications. J’ai presque envie de dire qu’un “écosystème” a été bâti autour de ce protocole, et il est parfois difficile de s’en défaire malgré la présence de Kerberos.
Même si l’on sait que ce protocole est obsolète depuis longtemps, Microsoft l’a déprécié que récemment (août 2025), ce qui montre que la situation est plus compliquée qu’elle n’en a l’air.
Pourtant, comme le souligne Mandiant : “Ce protocole hérité laisse les organisations vulnérables au vol trivial d’identifiants, pourtant il reste prévalent en raison de l’inertie et d’un manque de risque immédiat démontré.”
Il est fortement recommandé de désactiver NTLMv1, en particulier dans un environnement Active Directory, en refusant les réponses avec cette version (ce qui force la v2). De son côté, NTLMv2, peut être conservé pour des raisons de compatibilité si nécessaire (bien que ce ne soit pas l’idéal).
Note : NTLMv2 apporte plusieurs améliorations, notamment avec DES qui est remplacé par RC4, et l’ajout d’un second défi aléatoire pour améliorer la sécurité globale.
Le Net-NTLMv1 peut être désactivé en local sur une machine Windows ou sur un ensemble de machines à l’aide d’une stratégie de groupe. Les paramètres se situent à cet emplacement : Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
Je vous invite à consulter mon article sur la désactivation de NTLM (en vous arrêtant à la désactivation de NTLMv1).
Désormais, il n’y a plus le choix, il faut se bouger et désactiver ce bon vieux Net-NTLMv1.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.