Le credential dumping est l'un des mouvements les plus précieux dans le manuel d'un attaquant, car il transforme une seule machine compromise en passe-partout. Plutôt que de franchir d'autres défenses, l'attaquant vole simplement les clés que les utilisateurs légitimes possèdent déjà, puis franchit la porte d'entrée en tant que compte de confiance. C'est pourquoi l'accès aux identifiants se trouve au cœur de presque toute intrusion sérieuse, comblant l'écart entre un premier point d'appui et le contrôle complet d'un environnement.
Où les identifiants sont volés
Sur un système compromis, les éléments d'authentification résident dans plusieurs emplacements prévisibles, et chacun est une cible :
- Mémoire de LSASS : le processus Windows qui met en cache les identifiants des utilisateurs connectés, y compris les empreintes et parfois le texte en clair.
- Base de données SAM : le magasin local des empreintes de mots de passe des comptes sur un hôte Windows.
- Connexions de domaine en cache et gestionnaires d'identifiants : des secrets conservés pour éviter aux utilisateurs de les retaper.
- Fichiers de configuration et scripts : des mots de passe et des jetons codés en dur laissés par les administrateurs.
Une fois extraits, l'attaquant peut casser les empreintes hors ligne ou, de manière plus efficace, les réutiliser directement via des techniques comme le pass-the-hash. MITRE catalogue ce comportement sous OS Credential Dumping (T1003), l'une des techniques les plus utilisées au sein de la tactique Credential Access.
Sa place dans la chaîne d'attaque
Le credential dumping survient rarement de façon isolée. Il suit généralement l'accès initial et l'élévation de privilèges, car lire LSASS ou la base SAM exige normalement des droits administrateur ou SYSTEM. Avec les identifiants récoltés, l'attaquant effectue ensuite un mouvement latéral, sautant d'hôte en hôte en tant qu'utilisateur légitime jusqu'à atteindre les contrôleurs de domaine ou les données sensibles.
Parce que la technique est si répandue, elle est cartographiée en détail dans le cadre MITRE ATT&CK, que les équipes de sécurité utilisent pour planifier leurs détections et mesurer leur couverture.
Détection et prévention
En défense, l'objectif est de rendre un dump à la fois difficile à réaliser et sans valeur une fois volé :
- Restreignez et surveillez l'accès à LSASS, à la base SAM et aux magasins d'identifiants.
- Appliquez le moindre privilège afin que peu de comptes puissent lire des identifiants.
- Déployez une détection sur les terminaux qui signale les outils de dumping connus et les lectures de mémoire.
- Exigez une authentification multifacteur pour qu'une empreinte volée seule ne suffise pas à accorder un accès.
Un centre des opérations de sécurité mature traite tout signe d'accès aux identifiants comme une piste prioritaire, car attraper un dump à temps peut stopper une intrusion avant qu'elle ne se propage. Dans le credential dumping, tout l'avantage de l'attaquant repose sur l'invisibilité, donc le défenseur qui surveille les magasins d'identifiants de plus près est celui qui l'emporte.
Comment nous enseignons Credential Dumping
Dans notre programme de cybersécurité, vous n'apprendrez pas seulement Credential Dumping en théorie, vous pratiquerez avec de vrais outils dans des travaux pratiques, guidé par des professionnels du secteur qui utilisent ces concepts quotidiennement.
Couvert dans :
Module 10: Tests d'Intrusion et Hacking Éthique
360+ heures de formation experte • CompTIA Security+ inclus