Mimikatz expliqué : l'outil de vol d'identifiants que les responsables de la sécurité doivent connaître

Aperçu de la situation

Mimikatz reste l'une des principales menaces en 2026. Il occupe la quatrième place du rapport 2026 de Red Canary sur la détection des menaces, touchant 3,1 % des clients surveillés, et est activement utilisé par les groupes de ransomware Play et Akira.
La détection basée sur les signatures ne suffit plus à elle seule. En 2026, 82 % des détections de CrowdStrike concernaient malware, ce qui signifie que les attaquants contournent systématiquement les signatures basées sur les fichiers en utilisant des variantes de PowerShell, des binaires renommés et l'exécution en mémoire.
Une défense multicouche est la seule stratégie fiable. Credential Guard, la protection LSA, le renforcement de WDigest et la détection comportementale doivent fonctionner de concert : aucun contrôle pris isolément ne permet de bloquer toutes les voies d'attaque de Mimikatz.
Mimikatz correspond à 17 MITRE ATT&CK réparties dans quatre tactiques. Cela en fait un outil essentiel à prendre en compte dans le cadre des programmes de conformité au NIST CSF et aux contrôles CIS.
La détection comportementale et l'ITDR sont l'avenir. Les organisations qui vont au-delà des règles statiques pour adopter une approche de détection et de réponse aux menaces réduisent considérablement le délai moyen de détection des vols d'identifiants.

Chaque identifiant de votre environnement est une clé passe-partout potentielle. Mimikatz — l'outil open source qui alimente le vol d'identifiants depuis plus d'une décennie — reste l'un des outils de post-exploitation les plus dangereux actuellement en circulation. Plus de 50 groupes de menaces persistantes avancées l'utilisent, selon l'entréeMITRE ATT&CK (S0002) du MITRE ATT&CK . Le rapport DBIR 2025 de Verizon a révélé que les identifiants volés constituaient le vecteur d'accès initial dans 22 % des violations. Pour les défenseurs, comprendre Mimikatz n'est pas facultatif : c'est essentiel.

Qu'est-ce que Mimikatz ?

Mimikatz est un outil open source d'extraction d'identifiants Windows créé en 2011 par le chercheur en sécurité français Benjamin Delpy (gentilkiwi) afin de mettre en évidence les failles dans la manière dont Windows stocke les identifiants d'authentification en mémoire. À l'origine conçu comme une démonstration de faisabilité, il est rapidement devenu l'un des outils de post-exploitation les plus utilisés tant par les testeurs d'intrusion que par les pirates informatiques à travers le monde.

Le nom « Mimikatz » associe le terme d'argot français « mimi » (mignon) à « katz » (chats) — un nom d'apparence ludique pour un outil qui a causé des milliards de dollars de dommages. Mimikatz n'est ni un virus ni malware sens traditionnel du terme. Il s'agit d'un outil de sécurité à double usage, classé par les éditeurs d'antivirus sous le nom de HackTool:Win32/Mimikatz en raison de la fréquence à laquelle cybercriminels en cybercriminels . La possession et l'utilisation de Mimikatz à des fins de tests de sécurité autorisés sont légales. Son utilisation contre des systèmes sans autorisation enfreint les lois sur la fraude informatique telles que la CFAA aux États-Unis et le Computer Misuse Act au Royaume-Uni.

Ce qui rend Mimikatz si préoccupant, c'est son ampleur. MITRE ATT&CK plus de 50 groupes malveillants qui utilisent Mimikatz dans le cadre de leurs opérations. Le rapport 2026 de Red Canary sur la détection des menaces le classe en quatrième position parmi les menaces, touchant 3,1 % des clients surveillés, même après exclusion des activités de test menées par les équipes rouges.

Pourquoi Mimikatz reste d'actualité en 2026

Bien qu’il ait plus de 15 ans, Mimikatz est plus d’actualité que jamais. Les avis de la CISA mis à jour en juin 2025 (ransomware Play) et en novembre 2025 (ransomware Akira) confirment son utilisation active dans des campagnes en cours. Le rapport DBIR 2025 de Verizon indique que 54 % des victimes de ransomware avaient des identifiants précédemment exposés dans les journaux d'infostealers — exactement le type d'informations d'identification que Mimikatz collecte. Benjamin Delpy met continuellement à jour l'outil pour s'adapter aux nouvelles fonctionnalités de sécurité de Windows, ce qui lui permet de rester efficace contre les systèmes d'exploitation modernes, notamment Windows 10 et Windows 11, lorsque les défenses ne sont pas correctement configurées.

Comment fonctionne Mimikatz

Mimikatz cible le service LSASS (Local Security Authority Subsystem Service) de Windows, le processus chargé de faire respecter les politiques de sécurité et de gérer l'authentification des utilisateurs. Le LSASS stocke les identifiants en mémoire afin que les utilisateurs puissent accéder aux ressources réseau sans avoir à saisir à nouveau leur mot de passe. Mimikatz exploite cette conception en lisant les données d'identification directement dans l'espace mémoire du processus LSASS.

Pour accéder à la mémoire LSASS, Mimikatz nécessite une élévation de privilèges au niveau administrateur ou SYSTEM, et plus précisément le jeton SeDebugPrivilege. Une fois ces privilèges obtenus, l'outil utilise trois modules principaux :

sekurlsa — Extrait les informations d'identification directement de la mémoire du processus LSASS, notamment les hachages NTLM, les tickets Kerberos et les mots de passe en clair WDigest
lsadump — Lit les identifiants de la base de données SAM, les secrets LSA et les données de réplication Active Directory (utilisées dans les attaques DCSync)
kerberos — Permet de manipuler les tickets Kerberos pour mener des attaques de type « golden ticket » et « silver ticket »

Une variante particulièrement dangereuse est Invoke-Mimikatz, un script PowerShell issu du framework PowerSploit qui exécute Mimikatz entièrement en mémoire sans rien enregistrer sur le disque. Le rapport 2026 de Red Canary identifie Invoke-Mimikatz, avec le paramètre -dumpcreds, comme la méthode d'exécution la plus couramment observée. Cette approche sans fichier contourne totalement la détection par signature basée sur les fichiers, ce qui explique pourquoi les défenseurs qui s'appuient uniquement sur un antivirus se trouvent dans une situation très désavantageuse.

Types d'identifiants que Mimikatz peut extraire

Schéma : Déroulement de l'extraction de données mémoire LSASS — Mimikatz obtient le privilège SeDebugPrivilege, accède au processus LSASS, puis extrait les hachages NTLM, les tickets Kerberos, les mots de passe en clair WDigest et les clés DPAPI.

‍

Type de justificatif	Lieu de stockage	Attaque activée	Indicateur de détection
Hachages NTLM	Mémoire LSASS	Pass-the-hash (`T1550.002`)	ID d'événement Sysmon 10 sur lsass.exe
TGT/TGS Kerberos	Mémoire LSASS	« Passe le ticket » (`T1550.003`), billet doré/argenté	Demandes de ticket anormales (ID d'événement 4769)
WDigest en clair	Mémoire LSASS (si activée)	Réutilisation directe des identifiants	Valeur du registre UseLogonCredential = 1
Base de données SAM	branche du registre	Compromission d'un compte local	Accès au registre pour la ruche SAM
Les secrets de LSA	Registre/mémoire	Compromission d'un compte de service	Accès non autorisé au secret LSA
Clés DPAPI	Mémoire LSASS	Déchiffrement des données protégées	Modèles d'accès aux blobs DPAPI

Tableau : Types d'identifiants que Mimikatz peut extraire de la mémoire Windows.

Techniques d'attaque Mimikatz

Mimikatz permet six techniques d'attaque principales, allant du vol d'identifiants à la falsification de tickets, en passant par la réplication de domaine. Chacune correspond à des identifiants MITRE ATT&CK spécifiques, accompagnés d'indicateurs de détection distincts.

Technique	Identifiant MITRE	Ce qu'il fait	Indicateur de détection
Pass-the-hash	`T1550.002`	Utilise des hachages NTLM volés pour s'authentifier sans connaître le mot de passe en clair	Authentification NTLM provenant d'hôtes inattendus (ID d'événement 4624, type de connexion 9)
Le ticket d'or	`T1558.001`	Fabrique des TGT Kerberos en utilisant le hachage KRBTGT pour un accès illimité au domaine	TGT dont la durée de vie est anormale ou émise par un utilisateur non-DC (ID d'événement 4769)
Billet Argent	`T1558.002`	Génère des tickets TGS pour des services spécifiques sans contacter le contrôleur de domaine	Tiket de service sans demande de TGT préalable
DCSync	`T1003.006`	Réplique à distance les identifiants Active Directory via le protocole de réplication d'annuaire	Demandes DS-Replication-Get-Changes anormales provenant d'un serveur autre qu'un contrôleur de domaine (ID d'événement 4662)
Contourner le hachage	`T1550.002`	Convertit les hachages NTLM en tickets Kerberos afin de contourner les restrictions NTLM	Demande AS-REQ Kerberos avec chiffrement RC4 provenant d'une source inattendue
Passe-le-billet	`T1550.003`	Réutilise des tickets Kerberos volés pour usurper l'identité des utilisateurs	Le ticket a été utilisé à partir d'une adresse IP différente de celle utilisée lors de l'authentification initiale

Tableau : Techniques d'attaque Mimikatz mises en correspondance avec le modèle MITRE ATT&CK indicateurs de détection.

Pass-the-hash et pass-the-ticket

Une attaque de type « pass-the-hash » utilise des hachages NTLM extraits pour s'authentifier auprès de services distants sans avoir à déchiffrer le mot de passe. L'attaquant se contente de présenter directement le hachage au protocole d'authentification. La technique « pass-the-ticket » fonctionne de manière similaire, mais utilise des tickets Kerberos volés à la place des hachages NTLM. Ces deux techniques permettent un déplacement latéral au sein du réseau et sont particulièrement dangereuses car elles laissent très peu de traces numériques par rapport aux attaques par force brute.

Attaques de type « golden ticket » et « silver ticket »

Une attaque par « golden ticket » figure parmi les fonctionnalités les plus dévastatrices de Mimikatz. En extrayant le hachage du compte KRBTGT — la clé qui chiffre tous les tickets d'octroi de tickets Kerberos dans Active Directory —, un attaquant peut falsifier des TGT accordant un accès illimité au domaine à n'importe quel utilisateur, y compris à des utilisateurs inexistants. Les « golden tickets » persistent jusqu’à ce que le mot de passe KRBTGT soit réinitialisé deux fois. Les attaques par « silver ticket » sont plus ciblées, car elles consistent à créer des tickets spécifiques à un service à l’aide du hachage d’un compte de service. Bien que les « silver tickets » aient une portée plus limitée, ils sont plus difficiles à détecter car ils contournent entièrement le contrôleur de domaine.

Attaques DCSync

DCSync est une technique Mimikatz particulièrement dangereuse (T1003.006) qui se fait passer pour un contrôleur de domaine afin de récupérer des identifiants via le protocole de réplication Active Directory. Contrairement à l'extraction de mémoire LSASS, DCSync fonctionne à distance : l'attaquant n'a pas besoin d'accéder physiquement au contrôleur de domaine cible. Cette technique nécessite des privilèges DS-Replication-Get-Changes, dont disposent par défaut les administrateurs de domaine et les comptes de contrôleur de domaine. La détection repose sur la surveillance ID d'événement 4662 pour les demandes de réplication provenant de sources autres que des contrôleurs de domaine. Les organisations qui utilisent Kerberoasting Les analyses considèrent souvent DCSync comme une étape logique dans la chaîne d'attaque.

Mimikatz en pratique : des attaques réelles

Mimikatz a joué un rôle central dans certaines des cyberattaques les plus destructrices de l'histoire. Selon le rapport DBIR 2025 de Verizon, 54 % des victimes de ransomware avaient des identifiants qui avaient déjà été exposés dans les journaux d'outils de vol d'informations, ce qui souligne l'impact concret des outils de vol d'identifiants.

NotPetya (2017) — La cyberattaque la plus dévastatrice de l'histoire sur le plan financier intégrait une version modifiée de Mimikatz pour l'extraction d'identifiants et la propagation latérale via WMIC et PsExec, causant plus de 10 milliards de dollars de dommages à l'échelle mondiale.
Ransomware Play (2023-2025) — Environ 900 organisations touchées. Les pirates ont utilisé la technique de « LSASS dumping » pour générer des fichiers de mini-dump, puis ont procédé à l'extraction hors ligne des identifiants. Avis de la CISA mis à jour en juin 2025.
Ransomware Akira (2025) — Combinaison Kerberoasting dumping LSASS etKerberoasting extraction d'identifiantsKerberoasting Mimikatz dans une séquence d'attaques en chaîne. Avis de la CISA mis à jour en novembre 2025.
SLOW#TEMPEST (2024-2025) — Combinaison Cobalt Strike Mimikatz (pass-the-hash) via le mode « restrictedadmin » de RDP, visant des organisations d'Asie de l'Est.
APT34/OilRig — Ce groupe cybercriminel iranien a utilisé Mimikatz en association avec LaZagne dans le cadre de campagnes visant à récupérer des identifiants au sein des infrastructures du secteur énergétique au Moyen-Orient.

Chacun de ces cas met en évidence un schéma récurrent. Les pirates obtiennent un accès initial, étendent leurs privilèges, déploient Mimikatz ou une variante de cet outil pour récupérer des identifiants, puis se déplacent latéralement dans l'environnement. Intervenir à n'importe quelle étape de cette chaîne permet de limiter l'ampleur des dégâts.

Détecter et prévenir Mimikatz

Une défense efficace contre Mimikatz nécessite des contrôles à plusieurs niveaux combinant la surveillance des accès LSASS, la détection comportementale des menaces, Credential Guard et la réduction des privilèges. Aucune solution ne permet à elle seule de bloquer toutes les voies d'attaque. Le rapport 2026 de Red Canary indique que « l'époque où l'on détectait les outils exploitant LSASS, tels que Mimikatz, à l'aide de méthodes traditionnelles... est révolue depuis longtemps ». La détection des menaces doit évoluer en conséquence.

Techniques de détection pour Mimikatz

Les équipes SOC doivent privilégier les signaux comportementaux plutôt que les signatures statiques. Voici une liste de contrôle pour la détection, classée par couche de surveillance :

Méthode de détection	Éléments à surveiller	Source de l'événement	Remarques
Surveillance des accès à LSASS	Processus accédant à lsass.exe avec un droit d'accès de 0x1010 ou 0x1410	ID d'événement Sysmon 10	Signal de haute fidélité ; optimisé pour les outils de sécurité fiables
Journalisation PowerShell	Bloc de script contenant « Invoke-Mimikatz » ou « sekurlsa »	Journalisation des ScriptBlocks PowerShell (ID d'événement 4104)	Détecte les variantes d'exécution sans fichier
Anomalies Kerberos	TGT présentant des durées de vie inhabituelles ou un chiffrement RC4	ID d'événement de sécurité Windows 4769	Indique un « golden ticket » ou une commande « overpass-the-hash »
Détection DCSync	Demandes de réplication provenant d'adresses IP n'appartenant pas à un contrôleur de domaine	ID d'événement de sécurité Windows 4662	Essentiel pour la visibilité des attaques DCSync
Extraction des identifiants	Création d'un fichier de vidage mémoire LSASS	ID d'événement Sysmon 11 (création de fichier)	Le ransomware Play utilise cette technique
L'escalade des privilèges	Attribution du jeton SeDebugPrivilege	ID d'événement de sécurité Windows 4672	Condition préalable à l'exécution standard de Mimikatz
Mouvement latéral	Authentification NTLM provenant de sources inattendues	ID d'événement de sécurité Windows 4624 (type 9)	Signaux indiquant une activité de transmission de hachages
Analyse comportementale	Modèles SMB anormaux, lignée de processus inhabituelle	Plateformes NDR et UEBA	Détecte les variantes qui échappent à la détection par signature

Tableau : Liste de contrôle pour la détection de Mimikatz destinée aux équipes SOC.

La recherche proactive des menaces à partir de ces indicateurs — plutôt que d'attendre les alertes automatisées — réduit considérablement le délai moyen de détection. Le guide de recherche LSASS de Splunk et l'analyse technique de la mémoire LSASS de Red Canary apportent des informations supplémentaires sur les techniques de détection.

Renforcer la sécurité de Windows contre le vol d'identifiants

Les mesures de prévention réduisent la surface d'attaque avant que Mimikatz ne puisse s'exécuter :

Activer Credential Guard — Utilise la sécurité basée sur la virtualisation (VBS) pour isoler les informations d'identification de LSASS. Microsoft recommande d'activer Credential Guard avec HVCI sur tous les systèmes pris en charge. Notez qu'il existe des techniques de contournement connues (notamment NativeBypassCredGuard), c'est pourquoi une défense multicouche reste nécessaire.
Activer la protection LSA (PPL) — Le mode « Protected Process Light » limite les processus autorisés à accéder à la mémoire LSASS, bloquant ainsi l'extraction standard via Mimikatz.
Désactiver l'authentification WDigest — Définir la clé de registre HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential à 0 pour empêcher le stockage des mots de passe en clair.
Appliquez le principe du « privilège minimal » — Réduisez le nombre de comptes disposant de privilèges d'administrateur ou d'administrateur de domaine.
Gérer les mots de passe KRBTGT — En cas de suspicion de compromission du « golden ticket », procédez à une double réinitialisation du mot de passe du compte KRBTGT dans le cadre de la réponse à l'incident.
Déployez endpoint — Bien que Windows Defender détecte les binaires Mimikatz connus (HackTool:Win32/Mimikatz), les pirates contournent régulièrement la détection basée sur les signatures en modifiant les binaires, en procédant à des compilations personnalisées et en utilisant des variantes de PowerShell.

Mimikatz, MITRE ATT&CK et la conformité

Mimikatz correspond à 17 techniques réparties sur quatre MITRE ATT&CK , ce qui en fait l'un des outils les plus polyvalents du référentiel (S0002). Les organisations utilisant des référentiels de conformité peuvent associer directement ces techniques aux exigences de contrôle.

Tactique	ID de la technique	Nom de la technique	Approche de la détection
Accès aux identifiants	`T1003.001`	Mémoire LSASS	ID d'événement Sysmon 10, surveillance des accès LSASS
Accès aux identifiants	`T1003.006`	DCSync	ID d'événement 4662, analyse du trafic de réplication
Mouvement latéral	`T1550.002`	Pass-the-Hash	ID d'événement 4624, type 9, authentification NTLM inattendue
Accès aux identifiants	`T1558.001`	Le billet d'or	ID d'événement 4769, durée de vie anormale de la cible

Tableau : MITRE ATT&CK cadre de cybersécurité du NIST : correspondance des techniques Mimikatz.

Ces correspondances s'alignent sur les contrôles PR.AC-1 (gestion des identifiants), DE.CM-1 (surveillance du réseau) et RS.AN-1 (enquêtes) du NIST CSF. La version 8 des contrôles CIS traite les risques liés à Mimikatz par le biais des contrôles 5 (gestion des comptes), 6 (contrôle d'accès), 8 (journaux d'audit) et 16 (sécurité des logiciels d'application).

Approches modernes de la lutte contre le vol d'identifiants

Le secteur s'éloigne de la détection de Mimikatz basée sur les signatures pour s'orienter vers des approches centrées sur le comportement et l'identité. Le rapport mondial sur les menaces 2026 de CrowdStrike confirme que 82 % des détections malware concernaient malware, et que les opérations menées par des attaquants à l'aide de l'IA ont augmenté de 89 % par rapport à l'année précédente. Les règles statiques ne peuvent tout simplement pas suivre le rythme.

détection et réponse aux incidents (NDR) offre une visibilité sur les schémas de déplacement latéral rendus possibles par le vol d'identifiants. La détection et la réponse aux menaces d'identité (ITDR) surveille les comportements d'authentification sur Active Directory et les fournisseurs cloud afin de détecter les attaques de type « pass-the-hash », « golden ticket » et « DCSync » en se basant sur des anomalies comportementales plutôt que sur des signatures.

Comment Vectra AI la détection du vol d'identifiants

La solution « Attack Signal Intelligence Vectra AI Attack Signal Intelligence les signaux d'attaques ciblant les identités sur l'ensemble du réseau moderne, détectant ainsi les comportements de vol d'identifiants, tels que les attaques de type « pass-the-hash » et « golden ticket », grâce à une analyse comportementale plutôt qu'à des signatures. La plateforme couvre à la fois Active Directory sur site et les fournisseurs cloud , permettant ainsi aux équipes du SOC de détecter et de réagir en temps réel aux attaques de type Mimikatz, ce qui réduit le délai moyen de détection de plusieurs heures à quelques minutes.

Tendances futures et considérations émergentes

Le paysage du vol d'identifiants évolue rapidement, et plusieurs développements devraient redéfinir la manière dont les entreprises se protègent contre Mimikatz et les outils similaires au cours des 12 à 24 prochains mois.

Les attaques visant les identifiants et reposant sur l'IA se multiplient. Le rapport 2026 d'IBM X-Force a révélé que plus de 300 000 identifiants ChatGPT avaient été volés par des logiciels de vol d'informations, ce qui indique que les comptes de services d'IA deviennent des cibles de premier plan, au même titre que les identifiants Active Directory traditionnels. À mesure que les entreprises déploient davantage d'agents d'IA dotés d'un accès privilégié, la surface d'attaque pour les outils de vol d'identifiants s'étend considérablement.

Le « living-off-the-land » Le dumping d'identifiants prend de l'ampleur. Les attaquants utilisent de plus en plus des outils Windows intégrés tels que comsvcs.dll MiniDump et ProcDump (un outil légitime de Microsoft Sysinternals) pour vider la mémoire LSASS, ce qui leur évite d'avoir à déployer Mimikatz. Les défenseurs doivent surveiller ce comportement — les schémas d'accès à LSASS — et pas seulement l'outil.

L'exposition des identifiants des tiers et de la chaîne d'approvisionnement est en train de doubler. Le rapport DBIR 2025 de Verizon indique que les violations impliquant des partenaires externes ont doublé d'une année sur l'autre pour atteindre 30 %. Les outils de vol d'identifiants déployés dans les environnements des partenaires peuvent compromettre les organisations interconnectées. Cela rend l'architecture « zero-trust » et la vérification continue des identités indispensables, et non plus facultatives.

La pression réglementaire s'intensifie. Des référentiels tels que le NIST CSF 2.0 et l'évolution des exigences de divulgation de la SEC poussent les organisations à démontrer qu'elles disposent de contrôles spécifiques pour la protection des identifiants et de capacités de détection. La documentation MITRE ATT&CK pour des outils tels que Mimikatz devient une exigence de conformité, et non plus seulement une bonne pratique.

Les entreprises devraient donner la priorité aux investissements dans les capacités de détection comportementale, les plateformes ITDR et la gestion des accès privilégiés afin de garder une longueur d'avance sur ces tendances.

Conclusion

Mimikatz reste depuis plus de 15 ans l'un des principaux outils de vol d'identifiants, car il exploite les caractéristiques fondamentales de l'authentification Windows. Les identifiants stockés dans la mémoire LSASS — hachages NTLM, tickets Kerberos et parfois mots de passe en clair — constituent la clé permettant le déplacement latéral, l'escalade des privilèges et la prise de contrôle du domaine.

Pour se prémunir contre Mimikatz, il faut passer d'une détection basée sur les signatures à une analyse comportementale. Surveillez les schémas d'accès LSASS, activez Credential Guard et LSA Protection, désactivez WDigest, réduisez le nombre de comptes privilégiés et investissez dans des solutions de détection des menaces liées à l'identité qui identifient les comportements — et pas seulement les fichiers binaires. Les organisations qui s'en sortent le mieux sont celles qui partent du principe qu'elles ont déjà été compromises et qui s'attachent à repérer les attaquants déjà présents en leur sein.

Pour découvrir comment Attack Signal Intelligence les tentatives de vol d'identifiants dans votre environnement hybride, rendez-vous sur la Vectra AI ou demandez une démonstration.

Foire aux questions

Mimikatz est-il un virus ?

Non. Mimikatz est un outil de sécurité open source légitime, et non malware sens traditionnel du terme. Cependant, les éditeurs d'antivirus le classent sous le nom de HackTool:Win32/Mimikatz, car cybercriminels en font cybercriminels un usage abusif lors de leurs attaques. Cette distinction est importante. Mimikatz ne s'autoreproduit pas, n'installe pas de portes dérobées de son propre chef et ne se propage pas de manière autonome. Il s'agit d'un outil à double usage qui trouve des applications légitimes dans le cadre de tests d'intrusion autorisés et de la recherche en sécurité. Cela dit, sa présence sur un système en dehors d'un cadre de test autorisé doit être considérée comme un indicateur de compromission de gravité élevée. Les équipes de sécurité doivent configurer endpoint pour qu'elle signale toute exécution binaire ou en mémoire de Mimikatz, que la variante spécifique soit ou non malware « connu ». Sa nature à double usage signifie que c'est le contexte — qui l'a exécuté, quand et avec quelle autorisation — qui détermine s'il représente une menace.

Mimikatz est-il illégal ?

La possession, le téléchargement et l'utilisation de Mimikatz sont légaux dans le cadre de tests de sécurité autorisés. Cet outil est disponible gratuitement sur GitHub et largement utilisé par les testeurs d'intrusion, les équipes rouges et les chercheurs en sécurité à travers le monde. La légalité dépend entièrement de l'autorisation. L'utilisation de Mimikatz sur des systèmes dont vous êtes propriétaire ou pour lesquels vous disposez d'une autorisation écrite explicite de test est légale dans la plupart des juridictions. L'utiliser contre des systèmes sans autorisation enfreint les lois sur la fraude informatique, notamment le Computer Fraud and Abuse Act (CFAA) aux États-Unis, le Computer Misuse Act au Royaume-Uni et les législations équivalentes dans d'autres pays. De nombreuses organisations incluent Mimikatz dans leurs boîtes à outils de tests de sécurité autorisés, et il s'agit d'un composant standard de frameworks tels que Metasploit et Cobalt Strike.

Quelle est la différence entre Mimikatz et Meterpreter ?

Mimikatz est un outil autonome d'extraction d'identifiants spécialement conçu pour l'authentification Windows : il extrait de la mémoire les hachages NTLM, les tickets Kerberos et les mots de passe en clair. Meterpreter est une charge utile polyvalente de post-exploitation intégrée au framework Metasploit qui permet l'accès à distance, la manipulation du système de fichiers, l'élévation de privilèges et d'autres fonctionnalités. Ces deux outils sont complémentaires plutôt que concurrents. Mimikatz peut être chargé en tant que module au sein de Meterpreter (à l'aide du charger kiwi (commande), ce qui permet aux opérateurs de Metasploit d'accéder aux fonctionnalités d'extraction d'identifiants de Mimikatz via la session Meterpreter. Dans la pratique, les attaquants utilisent souvent Meterpreter pour obtenir un accès initial après l'exploitation, puis chargent Mimikatz spécifiquement lorsqu'ils ont besoin de collecter des identifiants pour effectuer un déplacement latéral.

‍

Mimikatz fonctionne-t-il sous Windows 10 et Windows 11 ?

Oui. Mimikatz est régulièrement mis à jour par son auteur et fonctionne sur les versions récentes de Windows, notamment Windows 10 et Windows 11. Cependant, Microsoft a considérablement renforcé la sécurité grâce à des fonctionnalités telles que Credential Guard, la protection LSA (PPL) et l'intégrité du code protégée par l'hyperviseur (HVCI). Lorsque ces fonctionnalités sont correctement configurées et activées, elles limitent considérablement l'efficacité de Mimikatz. Le mot clé est « correctement configurées ». De nombreuses organisations n'ont pas activé Credential Guard ou la protection LSA, laissant leurs systèmes vulnérables aux techniques d'extraction standard de Mimikatz. De plus, il existe des techniques de contournement connues, même pour les déploiements de Credential Guard, ce qui renforce la nécessité d'une défense multicouche plutôt que de se fier à un seul contrôle.

Quelles sont les alternatives à Mimikatz ?

Plusieurs outils de récupération d'identifiants remplissent des fonctions similaires, mais présentent des profils de détection différents. LaZagne est un outil multiplateforme basé sur Python qui extrait les identifiants des navigateurs, des clients de messagerie et des référentiels du système d'exploitation. Pypykatz est une implémentation pure en Python de Mimikatz qui fonctionne sans compilation de binaires spécifiques à Windows. Dumpert utilise des appels système directs pour vider la mémoire LSASS, contournant ainsi les mécanismes de surveillance au niveau de l'API. ProcDump est un outil légitime de Microsoft Sysinternals fréquemment détourné par les attaquants pour créer des vidages de mémoire LSASS. La technique comsvcs.dll MiniDump est une approche « living-off-the-land » utilisant des composants Windows intégrés. Chaque alternative présente des caractéristiques OPSEC différentes, et les défenseurs doivent prendre en compte l'ensemble de l'écosystème des outils de vidage d'identifiants — et pas seulement Mimikatz lui-même.

Qu'est-ce qu'Invoke-Mimikatz ?

Invoke-Mimikatz est un script PowerShell qui fait partie du framework PowerSploit. Il exécute Mimikatz entièrement en mémoire sans écrire de fichiers sur le disque, ce qui le rend nettement plus difficile à détecter que l'exécutable autonome. Le rapport 2026 Threat Detection Report de Red Canary identifie Invoke-Mimikatz avec le paramètre -dumpcreds comme la méthode d'exécution de Mimikatz la plus couramment observée dans les attaques réelles. Comme il s'exécute en mémoire, les signatures antivirus traditionnelles basées sur les fichiers ne le détectent pas. La détection nécessite la journalisation PowerShell ScriptBlock (ID d'événement 4104), l'intégration AMSI (Antimalware Scan Interface) et la surveillance comportementale des modèles d'accès LSASS. Les organisations doivent s'assurer que la journalisation PowerShell est activée au niveau ScriptBlock et que les outils de sécurité peuvent inspecter l'exécution de PowerShell en mémoire.

Windows Defender est-il capable de détecter Mimikatz ?

Oui, Windows Defender détecte les binaires Mimikatz connus et les signale comme HackTool:Win32/Mimikatz. Pour l'exécutable Mimikatz standard et non modifié, Windows Defender offre une détection fiable. Cependant, les attaquants contournent régulièrement la détection basée sur les signatures à l'aide de plusieurs techniques, notamment la modification des binaires, la compilation personnalisée à partir du code source, l'exécution via PowerShell (Invoke-Mimikatz), le renommage des exécutables et l'injection de DLL par réflexion. Le rapport 2026 de Red Canary souligne que les méthodes de détection traditionnelles pour les outils exploitant LSASS sont « loin derrière » les capacités actuelles des attaquants. Cela ne signifie pas que Windows Defender est inutile : il détecte les attaques peu sophistiquées et les scripts automatisés. Mais les organisations ne devraient pas s'y fier comme seule défense contre Mimikatz. La détection comportementale qui surveille les schémas d'accès à LSASS, quel que soit l'outil qui les déclenche, offre une couverture bien plus fiable.