La société de sécurité Mandiant a dévoilé une table arc-en-ciel permettant de casser les mots de passe administratifs protégés par l'algorithme de hachage obsolète NTLMv1 en moins de 12 heures avec du matériel abordable. L'outil cible l'utilisation persistante de ce protocole vulnérable dans des réseaux sensibles. Mandiant espère qu'il incitera les organisations à abandonner cette fonction dépréciée.
Les chercheurs en sécurité de Mandiant ont introduit une nouvelle ressource pour mettre en lumière les dangers de l'algorithme de hachage NTLMv1, déprécié depuis longtemps. Publiée le 16 janvier 2026, la table arc-en-ciel est une base de données précalculée de valeurs de hachage associées à des mots de passe en clair. Elle permet de récupérer les identifiants protégés par Net-NTLMv1 — utilisés dans l'authentification réseau pour des services comme le partage de fichiers SMB — en moins de 12 heures sur du matériel grand public coûtant moins de 600 dollars. La table est hébergée sur Google Cloud et fonctionne contre les mots de passe générés avec le défi en clair connu 1122334455667788. NTLMv1 remonte aux années 1980, introduit avec le système d'exploitation OS/2 de Microsoft. Ses faiblesses ont été révélées pour la première fois en 1999 par le cryptanalyste Bruce Schneier et le chercheur Mudge. Microsoft a corrigé ces failles avec NTLMv2 en 1998 via Windows NT SP4. Malgré cela, et une annonce récente en août 2025 pour déprécier NTLMv1, le protocole persiste dans certains secteurs critiques. Des industries comme la santé et les systèmes de contrôle industriel s'accrochent souvent à des applications legacy incompatibles avec les algorithmes plus récents, aggravées par les coûts de migration et l'inertie opérationnelle. «En publiant ces tables, Mandiant vise à abaisser la barrière pour les professionnels de la sécurité afin de démontrer l'insécurité de Net-NTLMv1», a déclaré la société. Les outils d'exploitation existants, tels que Responder, PetitPotam et DFSCoerce, peuvent forcer des hachages Net-NTLMv1, mais leur cassage nécessitait auparavant des ressources importantes ou des services tiers. Les consultants de Mandiant rencontrent encore NTLMv1 dans des environnements actifs, exposant les organisations à un vol facile de credentials. Les retours de la communauté de sécurité sont positifs. Un professionnel de l'infosec a partagé sur Mastodon : «J'ai eu plus d'une fois dans ma (brièvement courte) carrière en infosec où j'ai dû prouver la faiblesse d'un système et cela impliquait généralement de poser une feuille de papier sur leur bureau avec leur mot de passe le lendemain matin. Ces tables arc-en-ciel ne signifieront pas grand-chose pour les attaquants car ils les ont probablement déjà ou ont de bien meilleures méthodes, mais cela aidera à argumenter que NTLMv1 est dangereux.» Mandiant exhorte à la désactivation immédiate de Net-NTLMv1 et fournit des conseils sur les étapes de migration. Cette publication sert de signal d'alarme pour les retardataires, soulignant que l'utilisation continue invite des risques évitables.»
