Renforcez la sécurité de Windows Logon, RDP et VPN avec la MFA de Specops Secure Access 

Aujourd’hui, nous vous présentons une solution d’authentification multifacteur (MFA) pour les connexions Windows Logon, RDP et VPN, grâce à Specops Secure Access. Cette nouvelle offre renforce considérablement la sécurité de l’authentification des utilisateurs dans l’environnement Windows. En ajoutant une couche supplémentaire de protection MFA aux mesures de sécurité existantes, les organisations sécurisent non seulement les mots de passe, mais aussi l’ensemble du processus de connexion, réduisant ainsi les risques d’accès non autorisés. 

« La plupart des comptes compromis n’ont pas d’authentification multifacteur. Partant de ce constat, nous savons que les protections par mot de passe, à elles seules, ne suffisent pas à protéger l’accès à un réseau », a affirmé Darren James, Chef de produit senior chez Specops Software. « Aujourd’hui, nous sommes ravis de présenter une offre, qui vient renforcer nos protections par mot de passe existantes et qui nous a été demandée par nos clients : l’authentification multifacteur pour le Logon, le RDP et le VPN, avec Specops Secure Access. » 

Sécuriser les mots de passe d’Active Directory : essentiel, mais insuffisant 

Nous avons toujours été de fervents défenseurs de la sécurisation des mots de passe Active Directory contre les attaques. Avec Specops Password Policy, vous pouvez bloquer l’utilisation de mots de passe faibles et vérifier en continu votre Active Directory par rapport à notre base de données en constante expansion de plus de 4 milliards de mots de passe compromis uniques. 

Cependant, la protection par mot de passe seule ne suffit pas. Aucune couche de sécurité n’est totalement invulnérable. Bloquer en continu l’utilisation de mots de passe faibles ou compromis est essentiel, mais cela ne protège pas contre un mot de passe volé dans une attaque zero-day. C’est pourquoi une approche monocouche expose toujours une faille potentielle, et de nombreuses normes de conformité exigent désormais des protections supplémentaires sous la forme de l’authentification multifacteur (MFA) : 

• Le National Institute of Standards and Technology (NIST) impose la MFA pour les niveaux d’assurance AAL2/3 et l’accès aux informations personnelles selon la norme NIST SP 800-63B. 
• Le Payment Card Industry Data Security Standard (PCI DSS) a renforcé ses exigences avec la version PCI DSS 4.0, rendant la MFA obligatoire pour tous les accès (et non plus seulement pour les administrateurs) à l’environnement contenant des données de paiement. 
• Cyber Essentials exige que les organisations implémentent la MFA partout où elle est disponible dans sa version v3.1. 

Face à la montée en puissance des attaques par mot de passe, ces recommandations et exigences réglementaires prennent tout leur sens. Microsoft a révélé que 1 287 attaques par mot de passe ont lieu chaque seconde, soit plus de 111 millions par jour. L’utilisation de mots de passe déjà compromis dans des attaques de type « password breach replay » a atteint 5,8 milliards d’attaques par mois en 2022. 

La réutilisation des mots de passe et les mauvaises pratiques favorisent les compromissions zero-day des mots de passe 

Une grande partie des risques liés aux mots de passe provient des comportements des utilisateurs, qui compromettent les efforts de sécurité des organisations. La réutilisation des mots de passe en est un parfait exemple. Une organisation peut appliquer une politique de mots de passe stricte, obligeant les utilisateurs à créer des mots de passe longs et robustes. Mais si ces mêmes utilisateurs réutilisent leurs mots de passe sur des appareils personnels, des applications ou des sites web peu sécurisés, ils augmentent considérablement le risque de compromission. Les hackers sont capables d’associer des mots de passe issus de violations de données à des individus et d’exploiter ces identifiants compromis pour s’introduire dans les environnements professionnels. 

Bien sûr, les utilisateurs ne cherchent pas intentionnellement à créer des risques. Avec l’explosion des applications SaaS, ils doivent mémoriser plus de mots de passe que jamais, ce qui les pousse naturellement à chercher des solutions pour faciliter et accélérer leur travail. Une enquête Bitwarden de 2023 a révélé que 84 % des utilisateurs ayant plus de 10 mots de passe admettent réutiliser les mêmes mots de passe. La même étude indique que 26 % des répondants utilisent le même mot de passe depuis plus de 10 ans. 

Pour les organisations ayant adopté une approche « mot de passe jamais expiré » dans Active Directory, le risque de réutilisation des mots de passe est encore plus élevé. La plupart des solutions de vérification des mots de passe compromis, y compris Azure AD (Entra ID) Password Protection, reposent sur un changement ou une réinitialisation de mot de passe pour détecter et bloquer les identifiants compromis. Sans cet événement, le risque lié à la réutilisation des mots de passe reste totalement incontrôlé. 

Nombre d’applications SaaS utilisées par organisation; Source : BetterCloud, 2023 

Comment les organisations tentent-elles de résoudre les comportements à risque liés aux mots de passe ? 

Le fait que les utilisateurs finaux génèrent des risques n’est pas nouveau. Les organisations ont mis en place plusieurs stratégies pour empêcher la réutilisation des mots de passe et d’autres comportements à risque, mais utilisées seules, ces approches présentent d’importantes lacunes en matière de sécurité : 

• Sensibiliser et former les utilisateurs à une meilleure gestion des mots de passe : Il est possible d’éduquer les utilisateurs sur les bonnes pratiques de sécurité, mais cela ne suffira jamais à éliminer complètement les risques liés aux comportements humains. Selon une étude de LastPass, seuls 31 % des individus ayant suivi une formation en cybersécurité ont cessé d’utiliser le même mot de passe sur plusieurs comptes. 
• Se débarrasser des mots de passe : Une solution tentante face aux nombreux problèmes qu’ils posent. Cependant, supprimer totalement les mots de passe n’est pas une option réaliste pour la plupart des organisations. Et même si vous parvenez à déployer une technologie sans mot de passe sur toutes vos applications, le mécanisme de secours reste souvent… le mot de passe lui-même. 
• Vérifier les mots de passe compromis : Une étape essentielle pour identifier les mots de passe ayant déjà fuité et présents dans Active Directory. Cependant, cela ne suffit pas à éliminer tous les risques. 
  Même les protections les plus avancées sont inefficaces face à une compromission zero-day d’un mot de passe, ou face à de mauvaises pratiques utilisateur, comme noter son mot de passe sur un post-it à côté de son appareil. De plus, si les organisations ne vérifient les mots de passe compromis qu’au moment d’un changement ou d’une réinitialisation, elles laissent encore davantage de place aux vulnérabilités. 
• Se contenter d’ajouter la MFA aux applications cloud : Une mesure qui permet de réduire certains risques, mais qui laisse encore des failles. 
  Cette approche ne prend pas en compte les risques liés au vol d’appareil ou aux menaces internes. Par exemple, que pourrait faire un attaquant s’il mettait la main sur l’ordinateur portable volé d’un utilisateur, sans authentification multifacteur ? Il pourrait accéder aux fichiers locaux, à Outlook, et bien plus encore. À partir de là, les dégâts potentiels peuvent être considérables. 

Que faire à la place ? Protégez à la fois le mot de passe et le processus de connexion. 

La meilleure réponse face à la menace constante de la réutilisation des mots de passe et des comportements à risque est d’ajouter des couches de protection au mot de passe Active Directory. 

Tout d’abord, analysez en continu votre Active Directory en le comparant à une base de données de mots de passe compromis régulièrement mise à jour. Ensuite, ajoutez la MFA partout où le mot de passe Active Directory est utilisé. 

Ces deux approches ont chacune leur efficacité lorsqu’elles sont appliquées séparément, mais elles offrent une protection bien plus robuste lorsqu’elles sont combinées. 

Comment fonctionne la MFA pour Windows Logon, RDP ou VPN avec Specops Secure Access  

Certaines organisations estiment que la MFA génère trop de frictions pour les utilisateurs finaux. Cependant, face à l’état actuel de la sécurité des mots de passe, il est crucial de renforcer la protection contre les attaques par mot de passe. Microsoft a révélé que 99,9 % des comptes compromis n’avaient pas activé la MFA, soulignant ainsi que cette mesure de sécurité devrait être indispensable et non négociable. 

Specops Secure Access propose une MFA intuitive et conviviale pour les utilisateurs, aux trois points clés où les mots de passe Active Directory sont utilisés. Avec des options MFA flexibles, y compris un mode hors ligne, Secure Access garantit aux organisations une authentification sécurisée pour leurs utilisateurs, que ce soit lors de la connexion, via RDP ou VPN, qu’ils soient connectés au réseau ou non. 

MFA pour Windows Logon 

Avec le client Specops installé et configuré pour Secure Access, les utilisateurs doivent s’authentifier avec un second facteur après avoir saisi leur nom d’utilisateur et mot de passe Windows sur l’écran de connexion. Une fois cette authentification secondaire validée, l’utilisateur est connecté normalement.