Glossaire
Pass-the-Hash
Technique d'attaque qui utilise le hash du mot de passe d'un utilisateur (sans le connaître en clair) pour s'authentifier sur d'autres services. Le pass-the-hash est possible lorsque les systèmes acceptent le hash NTLM comme preuve d'authentification. Cette technique est un vecteur majeur de mouvement latéral dans les réseaux d'entreprise Windows.
Le principe de l'attaque
Le pass-the-hash exploite une caractéristique de l'authentification NTLM des environnements Windows : le protocole prouve la connaissance du hash du mot de passe, pas du mot de passe lui-même. Un attaquant qui récupère le hash NTLM d'un compte (via un dump de la mémoire LSASS, une base SAM ou un partage mal protégé) peut s'authentifier sur d'autres machines sans jamais craquer le mot de passe. C'est un pilier du déplacement latéral : compromission d'un poste, récupération de hashes, rebond vers les serveurs.
Pourquoi c'est pertinent même pour un éditeur SaaS
Votre produit tourne peut-être 100 % dans le cloud, mais votre entreprise, elle, a des postes de travail, un annuaire, parfois un VPN et des serveurs internes. Les compromissions d'éditeurs SaaS passent souvent par le poste d'un développeur ou d'un administrateur : une fois dans le réseau interne, des techniques comme le pass-the-hash permettent d'atteindre les secrets qui donnent accès à la production — clés cloud, dépôts de code, pipelines CI/CD. La sécurité du produit et celle de l'environnement de l'éditeur sont indissociables, et vos clients le savent : les questionnaires de sécurité couvrent les deux.
Se protéger
Les mesures efficaces : désactiver NTLM là où c'est possible au profit de Kerberos, activer Credential Guard sur les postes Windows, bannir la réutilisation du même mot de passe administrateur local (LAPS), segmenter le réseau et appliquer le principe du moindre privilège sur les comptes à forte valeur. Côté détection : surveiller les authentifications NTLM anormales et les accès LSASS.
Questions fréquentes
Le pass-the-hash fonctionne-t-il encore en 2026 ?
Oui, dans de nombreux environnements Windows où NTLM reste activé pour compatibilité. Les protections modernes (Credential Guard, restrictions NTLM, LAPS) le rendent plus difficile, mais les audits internes montrent que les configurations historiques restent répandues, surtout dans les PME.
Quelle différence avec le pass-the-ticket ?
Le pass-the-hash réutilise un hash NTLM ; le pass-the-ticket réutilise un ticket Kerberos volé (TGT ou ticket de service). Les deux visent le même objectif — s'authentifier sans connaître le mot de passe — mais exploitent des protocoles différents.
En quoi cela concerne-t-il la sécurité de mon SaaS ?
Parce que la chaîne d'attaque vers un SaaS passe souvent par l'environnement interne de l'éditeur : poste développeur compromis, mouvement latéral, vol des secrets d'accès à la production. Protéger l'infrastructure interne fait partie de la posture de sécurité globale que vos clients évaluent.