Comment fonc­tionne NTLM ?

Les réseaux in­for­ma­tiques sont vul­né­rables aux attaques lorsqu’ils ne sont pas suf­fi­sam­ment protégés. Après tout, personne ne souhaite que n’importe quel uti­li­sa­teur ait accès aux données et services partagés. Afin que les par­ti­ci­pants puissent se connecter les uns aux autres, il doit exister des points d’accès sécurisés à un réseau autrement fermé. Pour cela, il est né­ces­saire d’avoir recours à des pro­cé­dures de sécurité concrètes. Avec NT LAN Manager (NTLM), Windows a introduit très tôt une procédure d’au­then­ti­fi­ca­tion, mais celle-ci est aujourd’hui con­si­dé­rée comme obsolète. Comment fonc­tionne ce protocole ?

NTLM est une com­pi­la­tion de pro­to­coles d’au­then­ti­fi­ca­tion du dé­ve­lop­peur de logiciels Windows. Lancé en tant que protocole pro­prié­taire, NTLM a vite été utilisé pour des systèmes autres que Windows. Le NT LAN Manager permet à dif­fé­rents or­di­na­teurs et serveurs de s’iden­ti­fier mu­tuel­le­ment. La plupart des réseaux sou­hai­tent éviter l’accès d’uti­li­sa­teurs non autorisés. C’est pourquoi un procédé de vé­ri­fi­ca­tion doit être im­plé­menté : ce n’est que si le client est autorisé qu’il peut avoir accès au réseau ou utiliser les services du réseau.

Le protocole prévoit qu’un client s’identifie avec un nom d’uti­li­sa­teur et un mot de passe associé. Pour cela, un échange a lieu entre l’appareil de l’uti­li­sa­teur et un serveur. Le serveur dispose des données de connexion ce qui lui permet de vérifier et ensuite d’autoriser l’accès.

Lors de l’échange entre le client et l’hôte, les in­for­ma­tions sont en partie trans­mises sous forme de drapeaux NTLM. Il s’agit d’un code d’une longueur de 4 bits. Les Ne­go­tia­tion­Flags (drapeaux de né­go­cia­tion) qui se dif­fé­ren­cient des autres par seulement un bit four­nis­sent des in­for­ma­tions sur le statut du processus de connexion.

Le protocole NTLM a été conçu pour connecter plusieurs machines Windows entre elles ou avec un serveur. Ce procédé assure la sécurité en vérifiant les droits d’accès des clients. Windows utilise NTLM comme procédé d’au­then­ti­fi­ca­tion unique (SSO en anglais) : l’uti­li­sa­teur doit donc s’iden­ti­fier une seule fois pour avoir accès à dif­fé­rentes ap­pli­ca­tions du domaine.

Aujourd’hui NTLM est considéré comme obsolète et Microsoft utilise Kerberos à la place. Ce nouveau protocole d’au­then­ti­fi­ca­tion est plus sûr. NTLM est cependant encore utilisé notamment pour des services plus anciens. En tant qu’ad­mi­nis­tra­teur d’un grand réseau, il peut être judicieux de dé­sac­ti­ver le protocole NTLM lorsqu’il n’est pas né­ces­saire. Ainsi il est possible d’assurer qu’aucun client ne se connecte ac­ci­den­tel­le­ment et ne créé une faille de sécurité.

L’un des avantages de ce protocole, c’est que l’au­then­ti­fi­ca­tion par NTLM ne nécessite pas de trans­mis­sion non sécurisée de mot de passe sur le réseau. La trans­mis­sion entre client et serveur se fait uni­que­ment sous la forme d’une fonction de hachage. Cela permet d’augmenter con­si­dé­ra­ble­ment le niveau de sécurité. La fonction de hachage présente également l’in­con­vé­nient d’être re­la­ti­ve­ment similaire à un mot de passe. Si la trans­mis­sion est in­ter­cep­tée, la sécurité promise par le système peut être com­pro­mise. Le chif­fre­ment du mot de passe est sécurisé par MD4. Ces procédés sont con­si­dé­rés comme peu sûrs. Ces valeurs de hachage peuvent être dé­cryp­tées assez fa­ci­le­ment.

Un autre in­con­vé­nient réside dans le fait que le NTLM ne prend pas en charge l’au­then­ti­fi­ca­tion mul­ti­fac­teur (MFA). En outre pour les données sensibles, il est judicieux d’im­plé­men­ter plusieurs mé­ca­nismes de sécurité. Le procédé défi-réponse du NTLM ne prend lui en charge qu’une méthode d’au­then­ti­fi­ca­tion à savoir par iden­ti­fiant et mot de passe.