Mandiant publie des tables arc-en-ciel Net‑NTLMv1 pour accélérer la dépréciation du protocole

Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges.