lsass.exe ou Local Security Authority Process est un processus système de Windows localisé dans C:\Windows\system32\lsass.exe.
En Français, on peut traduire cela par l’autorité de sécurité locale.
Ce processus est présent sur toutes les version de Windows : Windows XP, Windows Vista, Windows 7, Windows 8.1 et Windows 10.
lsass.exe n’est donc en aucun lié avec des logiciels malveillants : virus, cheval de troie (trojan), adwares et autres.
Il s’agit d’un processus légitime.
Table des matières
Qu’est-ce-que lsass.exe
Le processus lsass.exe est un processus système de Windows qui se charge des politiques de sécurité, ainsi les changements de mot de passe.
La politique de sécurité se fait à travers le service Windows Gestionnaire de comptes de sécurité (SamSs) qui stocke les informations de sécurité pour les comptes d’utilisateurs locaux.
Mais surtout lsass.exe gère l’identification des utilisateurs Windows, que soit des utilisateurs locaux d’après les informations de la SAM ou des utilisateurs d’un domaine.
Le LSA est également responsable d’autres fonctions liées à la sécurité, notamment :
- Gestion de la stratégie de sécurité locale sur l’ordinateur, comme le nombre maximal de tentatives de connexion autorisées et les paramètres de verrouillage du compte Gestion de la stratégie d’audit sur l’ordinateur et journalisation de tous les événements générés par le moniteur de référence de sécurité Fournit des services interactifs d’authentification des utilisateurs
- Génère ou obtient des jetons d’accès MSFT
lsass.exe dans Windows est donc un processus essentiel de Windows. Un arrêt du processus lsass.exe provoque un redémarrage forcé du système.
La taille peut vérifier d’environ 56,6 Ko sur Windows 10 à 82,0 Ko sur Windows 11 mais son emplacement reste le même : C:\Windows\system32
Enfin lsass.exe peut exécuter des services Windows liés à la sécurité tels que :
- Gestionnaire d’informations d’identification
- Gestionnaire de comptes de sécurité
- Isolation de clé CNG
- Systèmes de fichiers EFS (Encrypting File System)
lsass.exe et les virus
Ce processus n’est donc pas lié à des logiciels malveillants et virus.
Toutefois comme tout processus système de Windows, des malwares peuvent tenter de se faire passer pour eux.
Ce processus est particulièrement intéressant car on peut jour sur la lettre l (le comme laurent) et I majuscule (comme Irène).
Il peut alors compliqué de différence dans la liste lssas.exe et Issas.exe.
Pour se dissimuler dans le système, les logiciel malveillant peuvent utiliser des noms de processus système.
Un virus peut donc utiliser le nom smss.exe pour ne pas éveiller de soupçon.
En cas de doute, voici comment vérifier si lsass.exe est la version légitime ou malveillante :
- Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
- Cherchez et faites un clic droit sur Local Security Authority Process (lsass.exe)
- Sélectionnez l’option Ouvrir l’emplacement du fichier
- Maintenant, vérifiez le répertoire dans lequel se trouve le fichier. S’il est situé dans le répertoire C:\Windows\System32, vous ne devez pas vous inquiéter
Si vous avez un fichier taskhostw.exe dans un autre emplacement, il peut s’agir d’un logiciel malveillant.
En cas de doute, contrôlez le fichier sur VirusTotal.
La la protection de l’autorité de sécurité locale
La protection du sous-système de l’autorité de sécurité locale est l’une des principales mesures que vous pouvez prendre pour protéger votre système et vos comptes contre les cybercriminels.
C’est une fonctionnalité de protection apparue dans Windows 11 dans la sécurité de l’appareil et isolation du noyau.
Elle utilise la virtualisation matérielle et la sécurité basée sur la virtualisation (VBS) pour créer un processus LSAIso isolé du système.
Une fois que vous aurez activé la protection de l’autorité de sécurité locale, vous pourrez mieux contrôler la vulnérabilité des mots de passe en texte clair et les attaques par vidage de mot de passe.