Technologies expliquées simplement

Comment protéger vos identifiants NTLM Windows contre les menaces de jour zéro

Identifiant Ntlm Windows en vedette

Les appareils Windows utilisent une méthode de connexion plus ancienne appelée NTLM, qui est activée par défaut. En cas d’attaque de logiciels malveillants, cela peut exposer votre mot de passe système aux hackers. Ils peuvent utiliser différents types d’attaques de l’homme du milieu pour voler vos détails de connexion Windows. Heureusement, vous pouvez protéger vos identifiants NTLM Windows contre les menaces de jour zéro en utilisant quelques ajustements simples dans les paramètres NTLM.

Comment les menaces NTLM de Windows volent vos mots de passe

NTLM (NT LAN Manager) est une méthode d’authentification plus ancienne encore utilisée sur de nombreux appareils Windows. Elle fonctionne en convertissant votre mot de passe en un code (hash) pour vous vérifier sans envoyer le mot de passe sur le réseau. Ce n’est pas sécurisé car si votre PC est compromis, votre mot de passe de connexion sera visible pour les attaquants.

Récemment, en avril 2025, le chercheur en sécurité Check Point a fait un billet sur la divulgation des hash NTLM par le biais d’une vulnérabilité appelée « CVE-2025-24054. » Selon eux, il s’agit d’une cyberattaque en cours ciblant les utilisateurs gouvernementaux et d’entreprise en Pologne et en Roumanie. Les attaquants utilisent différents types d’attaques de l’homme du milieu, y compris pass-the-hash (PtH), les tables arc-en-ciel et les attaques de relais. Leur principal objectif est les utilisateurs privilégiés ou les administrateurs.

Bien que les attaques NTLM ciblent souvent les entreprises et les gouvernements, les utilisateurs domestiques sont également vulnérables. Il suffit d’interagir avec un fichier malveillant pour divulguer votre mot de passe système.

Microsoft a publié un correctif de sécurité pour CVE-2025-24054. Il est donc toujours bon de garder votre système Windows à jour pour prévenir ces attaques. En dehors de cela, il y a quelques autres choses que vous pouvez faire.

1. Désactiver l’authentification NTLM via PowerShell

Ouvrez PowerShell en mode administrateur, et entrez ce qui suit. Vous trouverez une autre question quant à savoir si vous souhaitez modifier la configuration SMB Client ciblée. Pour cela, cliquez sur A. 

Set-SMBClientConfiguration -BlockNTLM $true

Modification de la configuration SMB client ciblée dans PowerShell pour protéger contre les attaques NTLM.

Le blocage de NTLM via SMB n’affecte pas vos appareils Windows récents. Cependant, en cas de problèmes avec des imprimantes anciennes, des serveurs NAS ou d’autres dispositifs obsolètes, vous pouvez toujours revenir en arrière pour autoriser NTLM via SMB. 

Set-SMBClientConfiguration -BlockNTLM $false

Le Server Message Block (SMB) est utilisé pour le partage de fichiers et les connexions réseau. C’est l’une des connexions les plus courantes utilisées par PtH, les attaques par relais et d’autres attaques de l’homme du milieu. En bloquant NTLM via SMB, vous éliminez une passerelle importante pour les attaquants.

2. Désactiver l’ancien protocole NTLM dans l’Éditeur du Registre

De nombreuses sessions Windows sont aujourd’hui hébergées dans « Kerberos », qui est un protocole très sécurisé car il utilise une authentification chiffrée basée sur des tickets. Cependant, il n’est pas nécessaire de désactiver complètement NTLM qui a de nombreuses utilisations. Au lieu de cela, nous allons passer au protocole NTLMv2 plus sécurisé au lieu de NTLMv1.

Cela peut être fait à partir de l’Éditeur du Registre. Tout d’abord, faites une sauvegarde de votre registre. Ensuite, ouvrez l’Éditeur du Registre en mode administrateur et allez à : 

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Clé de registre Lsa (Autorité de sécurité locale) et

Sous la clé de registre pour « Autorité de sécurité locale » (Lsa), allez à la valeur du niveau d’authentification du gestionnaire de réseau LAN, « LmCompatibilityLevel. » Si elle n’est pas présente, créez un D-WORD (32 bits) sous Lsa comme indiqué ci-dessus.

Double-cliquez sur « LmCompatibilityLevel » pour l’ouvrir. Vous trouverez « 0 » comme valeur par défaut. Réglez-le sur « 3 », « 4 » ou « 5 » qui configurera votre appareil Windows pour n’envoyer que des réponses NTLMv2 et bloquer toutes les réponses héritées NTLMv1.

Réglage de LmCompatibilityLevel à la valeur 3, bloquant ainsi tous les NTLMv1.

Après avoir effectué le changement ci-dessus, allez au chemin ci-dessous : 

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Ici, vous trouverez une valeur D-WORD appelée « RequireSecuritySignature », ou « EnableSecuritySignature ». Sa valeur par défaut devrait être « 1 ». Si ce n’est pas le cas, modifiez-la à « 1. » Une fois que vous l’avez fait, toutes les futures connexions SMB nécessiteront une signature de sécurité SMB. Cela empêche le vol des identifiants de votre appareil.

3. Garder la protection cloud activée dans Windows Security

Les changements de registre ci-dessus sont inoffensifs. Cependant, si vous ne souhaitez pas les faire, vous pouvez protéger votre appareil grâce à une nouvelle fonctionnalité de Windows Security qui prévient toutes les menaces telles que les attaques de phishing émergentes en ligne. Cela peut être accessible depuis Virus & protection contre les menaces -> Gérer les paramètres -> Protection livrée par le cloud.

Activation de la protection livrée par le cloud dans Windows Security.

Connexe : avoir accès à une suite de protection des points de terminaison, comme Microsoft Defender, vous donne une protection supplémentaire contre les menaces de zéro heure.

4. Autres mesures de sécurité

Microsoft a recommandé les mécanismes de sécurité supplémentaires suivants pour éviter de tomber victime du vol des identifiants NTLM :

  • Activer l’authentification multi-facteurs : vous pouvez améliorer votre sécurité de connexion basée sur des mots de passe et des codes PIN grâce à des mécanismes d’authentification multi-facteurs. Allez dans Paramètres -> Comptes -> Options de connexion. Ici, vous trouverez de nombreuses options telles que Windows Hello et la création d’une clé de sécurité physique à l’aide de dispositifs USB.
  • Éviter de cliquer sur des liens suspects : les malwares NTLM se propagent généralement par des liens malveillants. Bien qu’ils puissent être bloqués par Windows Security, pourquoi prendre le risque face à ces exploits à distance ? Consultez notre guide détaillé sur la façon de détecter et d’éviter les messages malveillants.

Contenu

  1. Comment les menaces NTLM de Windows volent vos mots de passe
  2. 1. Désactiver l'authentification NTLM via PowerShell
  3. 2. Désactiver l'ancien protocole NTLM dans l'Éditeur du Registre
  4. 3. Garder la protection cloud activée dans Windows Security
  5. 4. Autres mesures de sécurité
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11