Net-NTLMv1

Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges. ...

Source: Mandiant (Threat Intelligence, 15 janvier 2026). Contexte: l’éditeur publie un vaste jeu de tables arc‑en‑ciel pour Net‑NTLMv1, visant à illustrer le risque immédiat de ce protocole obsolète et à favoriser sa dépréciation effective. Mandiant annonce la mise à disposition publique d’un dataset complet de tables arc‑en‑ciel Net‑NTLMv1, soulignant que ce protocole est insecure depuis plus de deux décennies. L’objectif est de faciliter pour les défenseurs la démonstration concrète de la faiblesse de Net‑NTLMv1 (sans ESS) via une attaque par texte clair connu sur le texte « 1122334455667788 », garantissant la récupération du matériel de clé (lié au hash de mot de passe AD) et potentiellement une escalade de privilèges. ...