Accès aux identifiants
Qu'est-ce que Accès aux identifiants ?
Accès aux identifiantsTactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets.
L'accès aux identifiants (tactique MITRE ATT&CK TA0006) regroupe les techniques par lesquelles un adversaire obtient des identifiants réutilisables pour se faire passer pour un utilisateur légitime. Exemples : dump de la mémoire LSASS via Mimikatz, extraction de NTDS.dit sur un contrôleur de domaine, lecture des ruches SAM/SECURITY du registre Windows, récolte des mots de passe enregistrés dans le navigateur, kerberoasting, AS-REP roasting, capture de hashes NTLM via responder, lecture de jetons cloud sur disque, phishing de codes MFA, abus de consentement OAuth. Les identifiants volés permettent mouvement latéral, persistance et escalade sans déclencher de détections malware. Les défenseurs s'appuient sur Credential Guard, la protection LSA, une MFA forte, des modèles d'administration en tiers, des coffres-forts, la détection de connexions anormales et la révocation immédiate en cas de doute.
● Exemples
- 01
Exécuter Mimikatz pour extraire des identifiants en clair du processus LSASS d'un serveur Windows.
- 02
Réaliser un kerberoasting pour cracker hors ligne le TGS d'un compte de service.
● Questions fréquentes
Qu'est-ce que Accès aux identifiants ?
Tactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Accès aux identifiants ?
Tactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets.
Comment fonctionne Accès aux identifiants ?
L'accès aux identifiants (tactique MITRE ATT&CK TA0006) regroupe les techniques par lesquelles un adversaire obtient des identifiants réutilisables pour se faire passer pour un utilisateur légitime. Exemples : dump de la mémoire LSASS via Mimikatz, extraction de NTDS.dit sur un contrôleur de domaine, lecture des ruches SAM/SECURITY du registre Windows, récolte des mots de passe enregistrés dans le navigateur, kerberoasting, AS-REP roasting, capture de hashes NTLM via responder, lecture de jetons cloud sur disque, phishing de codes MFA, abus de consentement OAuth. Les identifiants volés permettent mouvement latéral, persistance et escalade sans déclencher de détections malware. Les défenseurs s'appuient sur Credential Guard, la protection LSA, une MFA forte, des modèles d'administration en tiers, des coffres-forts, la détection de connexions anormales et la révocation immédiate en cas de doute.
Comment se défendre contre Accès aux identifiants ?
Les défenses contre Accès aux identifiants combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Accès aux identifiants ?
Noms alternatifs courants : Vol d'identifiants, TA0006.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 682
Mimikatz
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
- malware№ 231
Voleur de credentials
Logiciel malveillant axé sur l'extraction de mots de passe, de hash et de jetons d'authentification depuis un système infecté ou sa mémoire.
- defense-ops№ 606
Mouvement latéral
Tactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- identity-access№ 076
Authentification
Processus consistant à vérifier qu'une entité — utilisateur, appareil ou service — est bien celle qu'elle prétend être avant de lui accorder un accès.
● Voir aussi
- № 790Pass-the-Hash
- № 583Kerberoasting