Entretien avec Benjamin Delpy, Responsable du Centre de Recherche & Développement en Sécurité de la Banque de France et créateur de mimikatz

Retour sur Les Assises 2018 avec une série de questions/réponses de Benjamin Delpy, réalisée avec les élèves de l'EPITA.

Des regrets de savoir que votre outil est utilisé de façon offensive dans le monde ?
La première fois que mimikatz a été utilisé publiquement fut durant l’affaire Diginotar1. Avec le recul, si l’on trouve une faiblesse il faut de la visibilité pour faire changer les choses. Windows a notamment changé sa stratégie “grâce” à une exposition de mimikatz, y compris auprès de ses plus gros clients. L’utilisation de mimikatz n’est pas le réel problème : cela fait remonter des problèmes sous-jacents sur les SI car le fait de pouvoir « exécuter » un exécutable sur un poste prouve un problème plus grand.

Pensez-vous qu’après l’utilisation malicieuse de Mimikatz, Microsoft regrette de ne pas avoir admis que c'était une brèche dans leur sécurité ?
Non. Il n’y a pas eu de changement majeur sur le moment mais la sortie de Windows 10 a permis d’avoir davantage de sécurité

Y-a-t-il d'autres mimikatz prévus dans le futur ?
Non, il n’y a qu’un seul mimikatz. Actuellement mimikatz est à la version 2.1, il n’y aura pas de grosses évolutions car mimikatz suit les évolutions de Microsoft.

Pensez-vous que vous recoderez Mimikatz dans un langage de haut niveau tel que C# ? (Et profiter au passage de refaire une vraie documentation)
Il n’y a pas de vraie documentation mais il y a un wiki qui est maintenant en anglais. Pour comprendre un système Windows il faut se mettre au même niveau, le C est donc préférable pour les moteurs d’authentification… même si cela force à vivre dangereusement avec l’utilisation de pointeurs !
Dans quelle mesure peut-on publier une cyberarme open-source en France ? La législation est-elle différente entre les outils de post-exploitation et de hacking ?
En France ce n’est pas très clair. Même le reverse de binaires n’est pas clair au niveau de la loi. Publier sur une exploitation peut être problématique. Mais dans le cas de mimikatz, il s’agit de post-exploitation ; nous ne profitons pas de failles mais juste de l’architecture Windows.

Votre avis sur le type de virus de demain ?
On ne dit plus virus ! Mais malware ou APT ! Certains sont des frameworks vraiment spécifiques qui ont la capacité de détruire l’intégralité d’un SI. Mais la plupart sont juste de simple dropper d’espions, de générateur de revenu publicitaires ou des ransomwares

L’IoT est ce vraiment le combat du futur ?
IOT n’est qu’un terme commercial, cela existe depuis longtemps… On n’a pas attendu l’invention de ce terme pour brancher autre chose que des ordinateurs à un réseau…

Quel est le plus vulnérable selon vous : Linux, Mac os, Windows ?
Windows est à l’heure actuelle un des plus sécurisés. Au moins, il y a un véritable effort de la part de Microsoft. Un exemple simple que j’ai démontré à la conférence NoSuchCon : avec le Mac il est possible de faire un dump sur tous ses tickets Kerberos en quelques lignes de script Bash et cela sans avoir les droits d’administration. Apple axe davantage la sécurité sur la protection du matériel et la propriété intellectuelle. Avec Linux, on peut tout faire si on est administrateur,... il n’y a pas de freins.

Comment jugez-vous la position de la France comme puissance dans le cyber monde ?
Nous sommes plutôt bons notamment en cryptologie et en innovations. Mais nous sommes très discrets et l’on ne communique pas beaucoup/suffisamment sur ce que l’on fait.

Comment vous formez/informez-vous ?
Je participe à beaucoup de conférences comme la BlackHat par exemple. Ça permet aussi de partager ses connaissances. Sinon j’utilise Twitter, une grande partie de la communauté InfoSec y est, ainsi que mon réseau pour partager des informations.

Quels sont les défis techniques dans votre travail à la Banque de France ?
Il y en a beaucoup. Le plus gros défi est d’arriver à avoir un niveau d’abstraction suffisant pour que les gens comprennent car souvent les problématiques sont très techniques.

[1] DigiNotar était une autorité racine de certification. En 2011, elle a été victime d’une attaque ce qui eut pour conséquence la compromission de tous les certificats émis jusqu’alors, car il était impossible de déterminer les certificats légitimes des illégitimes. A la suite ce cette attaque, DigiNotar a fait faillite.

Dernière publication

Retour sur Les Assises 2018 avec une série de questions/réponses de Benjamin Delpy, responsable du Centre de R&D en Sécurité de la Banque de France et créateur de mimikatz. 

Lire