Se protéger contre le détournement du Windows Credential Manager
IntroductionLe Windows Credential Manager est un gestionnaire de mots de passe intégré permettant de stocker et réutiliser automatiquement des identifiants pour les ressources locales, réseau et web. Bien qu’il facilite l’expérience utilisateur, il constitue une cible privilégiée des attaquants cherchant à extraire des identifiants valides. Ce tutoriel détaille les mesures concrètes à mettre en place pour bloquer son usage malveillant, limiter l’exposition des informations sensibles et renforcer la sécurité des postes sous Windows 10/11.
Prérequis• Connaissance approfondie de Windows
• Familiarité avec les outils systèmes Windows
• Droits administrateurs nécessaires
Niveau de difficulté• Étape #1 : Accéder au gestionnaire d’identifiants
• Étape #2 : Supprimer les identifiants stockés
• Étape #3 : Désactiver le service de coffre d'identifiants
• Étape #4 : Appliquer des restrictions via GPO
• Étape #5 : Bloquer les outils d'extraction d'identifiants
Les Avantages• Étape #1 : Identification rapide des comptes à risque
• Étape #2 : Réduction immédiate des données exploitables
• Étape #3 : Limitation de l’accès automatisé aux identifiants
• Étape #4 : Renforcement global de la posture de sécurité
• Étape #5 : Protection contre les outils d’attaque classiques
Les Inconvénients• Étape #1 : Nécessite une action manuelle sur chaque poste
• Étape #2 : Perturbation possible des connexions automatisées
• Étape #3 : Risque de désactivation de fonctions légitimes
• Étape #4 : Dépendance aux stratégies de groupe locales
• Étape #5 : Maintenance continue requise contre les nouveaux outils
Étape #1
Ouvrir le Gestionnaire d’identifiants via le panneau de configuration
Code:
control /name Microsoft.CredentialManager
Passer en revue les identifiants Windows et Web
Identifier les éléments non essentiels ou suspects
Noter les comptes à surveiller ou à supprimer Étape #2 Supprimer chaque identifiant non nécessaire Effectuer cette opération régulièrement dans les environnements sensibles Désactiver la sauvegarde automatique des identifiants Mettre à jour les procédures internes pour éviter leur enregistrement Étape #3 Ouvrir la console des services
Code:
services.msc
Code:
VaultSvc
Code:
Désactivé
Code:
gpedit.msc
Code:
Configuration ordinateur > Modèles d'administration > Composants Windows > Credential User Interface
Code:
Ne pas permettre l’enregistrement des informations d’identification
Code:
gpupdate /force
Code:
AppLocker
Code:
Audit Process Creation
Code:
Credential Guard
AstuceLa mise en place de Credential Guard sur les systèmes compatibles permet de virtualiser et isoler les secrets d’authentification, bloquant leur extraction même en cas de compromission locale.
Mise en gardeDésactiver des composants comme VaultSvc ou bloquer l’enregistrement automatique des identifiants peut provoquer des erreurs d’accès sur les ressources réseau ou VPN. Tester les modifications dans un environnement de préproduction est essentiel.
ConseilUtilisez un gestionnaire de mots de passe tiers sécurisé et certifié pour éviter de dépendre du Credential Manager natif, surtout en environnement professionnel ou sensible.
Solutions alternatives• désactiver Credential Manager Windows
• Credential Guard configuration Windows 10
• Mimikatz Credential Manager extraction
Références utiles• Support Microsoft
• Microsoft Learn
• Recherche GitHub
ConclusionLe Windows Credential Manager facilite l’accès aux ressources mais représente un vecteur de compromission en cas d’attaque. Ce guide vous permet de restreindre efficacement son usage, d’empêcher l’enregistrement automatique des identifiants, de bloquer les outils d’extraction, et de renforcer globalement la sécurité du système. Ces mesures doivent être intégrées dans une politique de sécurité plus large et régulièrement revues pour s’adapter à l’évolution des menaces.
