Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Introduction aux listes de mots de passe interdits dans Active Directory
Table of Contents
La sécurité dans le cloud est devenue une préoccupation majeure pour les administrateurs, à mesure que ces plateformes gagnent en popularité. Utilisées quotidiennement, elles hébergent un large éventail de ressources auxquelles les équipes doivent pouvoir accéder en toute sécurité, depuis n’importe où. Ces espaces de stockage à distance sont essentiels. Ils contiennent la documentation des projets, des données sur l’écosystème, des coordonnées et des éléments d’analyse décisionnelle.
Le moyen de défense le plus courant reste le processus d’authentification. L’authentification par mot de passe permet (normalement) de s’assurer que seuls les utilisateurs autorisés peuvent franchir “les murailles”. Mais aucune méthode n’est infaillible. L’authentification reste un point de tension depuis des décennies, aussi bien pour les éditeurs que pour les équipes.
Renforcer la sécurité
Le conflit constant entre simplicité d’utilisation et renforcement de la sécurité a toujours influencé la protection des systèmes. Bien que beaucoup aimeraient pouvoir choisir un mot de passe simple comme “1234” et s’en tenir là, ces mots de passe sont tristement prévisibles. Cela affaiblit la sécurité globale, offrant ainsi aux acteurs malveillants davantage d’occasions de causer des dégâts.
Une attention particulière est portée aux systèmes Windows, qui restent de loin les plus utilisés. Les équipes qui travaillent avec Windows Server connaissent bien Active Directory (AD). Les administrateurs s’en servent pour gérer les ressources et les permissions des utilisateurs. La gestion des mots de passe constitue donc un élément clé, notamment en ce qui concerne le blocage des mots de passe faibles. Nous allons voir comment les administrateurs renforcent la sécurité de leurs réseaux via Active Directory.
Listes de mots de passe interdits dans Active Directory
Désormais intégré à l’environnement Azur, Active Directory est fréquemment utilisé pour éliminer totalement les mots de passe faibles. Historiquement, les utilisateurs ont souvent adopté une attitude nonchalante face à la sécurité. L’éducation des utilisateurs joue donc un rôle essentiel. Mais comment les équipes réagissent-elles lorsque les utilisateurs finissent inévitablement par s’éloigner des bonnes pratiques ?
Les administrateurs savent que certains mots de passe doivent être automatiquement interdits. Cela inclut les éternels classiques comme “password”, “1111” ou encore “qwerty”. De la même manière que les experts Kubernetes savent qu’un seul point de vulnérabilité peut provoquer une défaillance majeure, les administrateurs système savent qu’un mot de passe trop faible peut faire s’effondrer l’ensemble du système comme un château de cartes.
Normalement, un mot de passe est “évalué” lors de sa création : le système mesure sa robustesse en fonction de sa complexité alphanumérique. Plus un mot de passe est long et varié, plus il est considéré comme sûr. C’est pourquoi des outils comme iCloud Keychain ou d’autres gestionnaires d’authentification proposent des mots de passe très complexes. Ils sont extrêmement difficiles à pirater.
Les listes de mots de passe interdits ajoutent une couche supplémentaire de protection. Comment cela fonctionne-t-il ? Active Directory compare le mot de passe proposé à des listes de mots de passe bannis. Si une correspondance est trouvée, le mot de passe est automatiquement refusé. Ce mécanisme s’applique aussi bien lors de la création que du changement ou de la réinitialisation d’un mot de passe. L’utilisateur devra recommencer jusqu’à proposer un mot de passe conforme aux exigences.
Générer les listes
Ces listes de mots de passe interdits sont générées de deux manières. Microsoft Entra ID (anciennement Azure Active Directory) maintient une liste mondiale par défaut de mots de passe jugés faibles ou à risque. Aucune action de la part des administrateurs n’est requise pour cette étape. En effet, AD Identity Protection identifie ces mots de passe en s’appuyant sur une analyse continue des données. Plusieurs critères peuvent conduire à l’interdiction d’un mot de passe :
- Il est trop courant
- Il sert de base à d’autres mots de passe faibles connus (par exemple, c’est un mot racine)
- Il a été compromis lors de fuites de données précédentes
Ces listes mondiales s’appuient sur des données internes (et non externes). Elles reposent sur la télémétrie de sécurité, c’est-à-dire des audits réguliers effectués dans l’infrastructure et les journaux d’Azure. Les procédures d’analyse menées par les équipes d’Active Directory profitent à tous les utilisateurs. Il en va de même pour les organisations : chaque entreprise utilisant AD dispose d’une instance dédiée appelée un “tenant”, à laquelle s’appliquent ces règles de mots de passe. Tous les utilisateurs appartenant à un même tenant sont soumis aux mêmes exigences.
Ces listes sont tenues secrètes pour des raisons de sécurité. Il est aussi possible que des termes locaux ou régionaux soient pris en compte dans ces interdictions, même pour des utilisateurs situés dans d’autres parties du monde.
Application des règles personnalisées
Bien que les entreprises puissent s’appuyer uniquement sur les listes mondiales, certaines organisations peuvent avoir des exigences plus strictes. De nombreux mots-clés circulent en interne : noms de produits, acronymes, lieux, termes spécifiques… Ces éléments sont souvent bien connus des collaborateurs. C’est pourquoi les intégrer dans un mot de passe ne correspond pas aux bonnes pratiques. Il est préférable de les ajouter au dictionnaire de mots de passe afin d’empêcher leur utilisation. Les combinaisons ou variantes de ces termes posent également problème.
Les entreprises en ont bien conscience et c’est la raison pour laquelle certaines expressions sont bloquées. Les hackers ciblent en priorité les éléments les plus faciles à compromettre : il est donc temps de faire du tri. Toute liste personnalisée est automatiquement fusionnée avec la liste mondiale.
Cela dit, Active Directory limite les listes personnalisées de mots de passe interdits à 1000 entrées. Les administrateurs doivent donc hiérarchiser les termes à inclure. Cela signifie adopter la mentalité d’un hacker et analyser minutieusement les mots de passe vulnérables.
Les attaques par “password spraying”
Une méthode d’attaque courante est celle dite du “password spraying”, qui consiste à tester simultanément une poignée de mots de passe sur de nombreux comptes. L’objectif n’est pas de compromettre un grand nombre de comptes, mais d’accéder à ceux dont la protection est insuffisante. Pour cela, les hackers misent sur des mots de passe couramment utilisés.
Heureusement, les listes de mots de passe interdits dans Active Directory permettent de contrer facilement ce type d’attaque. Les mêmes mécanismes qui protègent les utilisateurs contre eux-mêmes servent également à sécuriser les comptes. Si les mots de passe les plus répandus sont bloqués, les hackers se retrouvent sans munitions.
Que faire si ma configuration est hybride ?
L’un des grands avantages d’Active Directory est qu’il s’adapte à tous les types d’environnements. La sécurité n’est pas réservée aux systèmes 100 % cloud : de nombreuses entreprises conservent des composants on-premises. Le processus de configuration est alors légèrement différent, car AD nécessite l’installation d’agents Active Directory Domain Services sur les serveurs locaux.
Ces agents étant intégrés à AD, toutes les modifications de mot de passe sont soumises au contrôle des listes de mots de passe interdits. Les règles définies dans Azure sont ainsi étendues au datacenter, avec une nuance : la robustesse du mot de passe entre en ligne de compte. Un mot de passe contenant un terme interdit peut être accepté, à condition que sa complexité globale soit jugée suffisante par le système d’évaluation.
Que se passe-t-il exactement ?
- Le mot de passe est normalisé. Les mots de passe interdits sont associés à des ensembles considérés comme plus faibles. Si nécessaire, des modifications de casse (majuscules/minuscules) et des substitutions de caractères sont appliquées. Cela empêche les utilisateurs de contourner les règles en créant des variantes légèrement modifiées de mots de passe interdits, mais qui restent vulnérables.
- Le mot de passe est vérifié. Microsoft utilise une méthode dite de “fuzzy matching” (correspondance approximative) et une analyse de sous-chaînes pour évaluer la robustesse. Si un mot de passe contient une séquence continue de caractères présents dans une chaîne interdite, il est rejeté, même si un seul caractère a été modifié.
- Le mot de passe est évalué. Il est évalué selon le nombre de caractères uniques qu’il contient. Chaque caractère distinct vaut un point. Si un mot de passe inclut un terme interdit, il doit être suffisamment différent de celui-ci pour être accepté. Seuls les mots de passe ayant une note de cinq points ou plus sont valides.
Pour en savoir plus sur la méthode d’évaluation des mots de passe de Microsoft, cliquez ici.
Naviguer dans les listes de mots de passe interdits est simple
Les équipes souhaitant renforcer leur sécurité trouveront une grande valeur dans les listes de mots de passe interdits d’Active Directory.
Specops Password Policy propose un service de protection contre les mots de passe compromis, permettant aux organisations de bloquer plus de 4 milliards de mots de passe exposés. Le service empêche les utilisateurs de choisir des mots de passe interdits et leur indique pourquoi ceux-ci sont refusés.
Contactez-nous pour commencer votre essai gratuit de Specops Password Policy.