Le registre Windows, souvent ignoré des utilisateurs classiques, est une véritable mine d’or pour les hackers expérimentés. Il permet d’injecter des scripts au démarrage, désactiver des protections système, créer une persistance invisible… Bref, un paradis pour l’intrusion furtive. Accéder au Registre 1. Appuie sur Win + R 2. Tape regedit 3. Navigue dans l’arborescence pour consulter ou modifier les clés. Structure du Registre Windows Le Registre se divise en cinq racines principales : HKCR (HKEY_CLASSES_ROOT) : Associations de fichiers et OLE. HKCU (HKEY_CURRENT_USER) : Préférences utilisateur actif. HKLM (HKEY_LOCAL_MACHINE) : Configuration matérielle et logicielle globale. HKU (HKEY_USERS) : Paramètres pour tous les profils. HKCC (HKEY_CURRENT_CONFIG) : Infos matérielles de démarrage. Exploits Courants du Registre Astuce 15 : Script malveillant en auto-exécution Le registre autorise l’exécution de programmes à chaque ouverture de session. Un classique, mais redoutable : Clé cible :Code:HKCU\Software\Microsoft\Windows\CurrentVersion\RunCréer une valeur chaîne :Code:Nom : MaliciousScript Valeur : C:\path\to\script.batRésultat ? Le malware démarre en silence à chaque login, avec les droits de l’utilisateur. Défense : Analyse régulière des clés Run avec des outils comme Autoruns. Astuce 16 : Neutraliser Windows Defender Un seul changement de clé peut désactiver la protection native de Microsoft : Clé :Code:HKLM\SOFTWARE\Policies\Microsoft\Windows DefenderAjouter une valeur DWORD :Code:Nom : DisableAntiSpyware Valeur : 1Dès le redémarrage, Defender est totalement hors service. Aucun pop-up, aucun log. Défense : Bloquer les modifications via GPO, surveiller les modifications critiques. Astuce 17 : Effacer les journaux pour couvrir ses traces Un attaquant avisé cherchera toujours à effacer les preuves de son passage, notamment via les journaux d’événements Windows. Cette commande les supprime en quelques secondes : Commande rapide :Code:wevtutil cl System wevtutil cl SecurityPlus de logs système ni de logs sécurité = aucune piste à remonter. Défense : Centraliser les logs via un SIEM et activer la redirection automatique vers un serveur distant sécurisé. Astuce 18 : Injection furtive via Userinit Une méthode sournoise pour s’assurer que un programme malveillant se lance avant même l’ouverture de session complète : Clé :Code:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonModifier la valeur :Code:userinit.exe,C:\chemin\vers\malware.exeÀ chaque démarrage, Windows exécute l’exe modifié en priorité. Défense : Monitorer les modifications de Winlogon avec un SIEM. Exploits Avancés du Registre Astuce 19 : Récupérer les mots de passe locaux Certains emplacements du registre contiennent des données sensibles comme les hashs NTLM des mots de passe. En combinant les fichiers `SAM` et `SYSTEM`, un attaquant peut les extraire et les cracker. Fichiers :Code:C:\Windows\System32\config\SAM C:\Windows\System32\config\SYSTEMUtilise secretsdump.py :Code:secretsdump.py -sam SAM -system SYSTEM LOCALPuis brute force avec Hashcat ou John. Défense : Activer BitLocker, empêcher l'accès physique ou par Live USB. Astuce 20 : Activer RDP sans l’autorisation de l’admin Accéder à distance à un poste sans autorisation ? C’est possible via le registre : Clé :Code:HKLM\SYSTEM\CurrentControlSet\Control\Terminal ServerModifier :Code:fDenyTSConnections = 0Ouvrir le pare-feu :Code:netsh advfirewall firewall set rule group="remote desktop" new enable=yesEt voilà : le poste est prêt pour une connexion RDP à distance. Défense : Restreindre RDP par firewall et VPN, surveiller les ouvertures de port. Outils recommandés Regshot – Compare le registre avant/après une modification. Process Monitor – Surveille l’accès au registre en temps réel. Autoruns – Détecte les exécutables lancés au boot. Conclusion Le registre est à Windows ce que la clé de voûte est à une cathédrale : indispensable, mais exploitable. Ces techniques ne sont pas des exploits complexes, mais des détournements de fonctionnalités intégrées. Le comprendre, c’est mieux se défendre. Et si tu sais où regarder, tu détecteras les traces d’un pirate bien avant qu’il ne compromette tout ton réseau. Dans le chapitre suivant, nous découvrirons les techniques pour contourner le pare-feu Windows et Windows Defender, ainsi que les méthodes de durcissement.
