Recommandations de l’ANSSI pour se prémunir des attaques par mot de passe

NB : L’ANSSI a revu ses recommandations en 2021 et a mis à jour cette liste. Nous vous invitons à consulter cet article qui présente les principaux changements dans la recommandation de l’ANSSI.

L’Agence Nationale de Sécurité des Systèmes d’Informations a, depuis 2012, énoncé ses recommandations pour une bonne hygiène de sécurité ainsi que des recommandations précises pour la gestion des mots de passe pour le système d’information des organisations et entreprises françaises. Nous avons souhaité les regrouper au sein d’un même article pour plus de convenance.

Procédures à suivre pour la bonne administration de l’environnement Active Directory selon l’ANSSI

Attribuer les bons droits sur les ressources sensibles du système d’information

Certaines des ressources du système peuvent constituer une source d’information précieuse aux yeux d’un attaquant (répertoires contenant des données sensibles, bases de données, boîtes aux lettres électroniques, etc.). L’ANSSI recommande donc d’établir une liste précise de ces ressources et pour chacune d’entre elles de lister :

• La population qui peut y avoir accès ;
• Les accès en les contrôlant pour s’assurer que les utilisateurs authentifiés font bien partie de la population ciblée
• Les éventuelles dispersions ou duplications dans des endroits non maîtrisés. Evitez de sortir des répertoires des administrateurs des documents sensibles comme des fichiers de configuration, de la documentation technique etc…  Une revue régulière des droits d’accès doit par ailleurs être réalisée afin d’identifier les accès non autorisés.

Pour encadrer et vérifier l’application de ces règles de choix et de dimensionnement, l’ANSSI recommande aux organisations de recourir à différentes mesures parmi lesquelles :

• le blocage des comptes à l’issue de plusieurs échecs de connexion ;
• la désactivation des options de connexion anonyme ;
• l’utilisation d’un outil d’audit de la robustesse des mots de passe

Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées

L’ANSSI conseille également la réalisation d’audits réguliers (au moins une fois par an) du système d’information. Un audit permet d’évaluer concrètement l’efficacité des mesures mises en œuvre et leur maintien dans le temps. Ces contrôles et audits permettent également de mesurer les écarts pouvant persister entre les règles prescrites et la pratique. Ces audits sont d’autant plus nécessaires que l’entité doit être conforme à des réglementations et obligations légales directement liées à ses activités. À l’issue de ces audits, des actions correctives doivent être identifiées, leur application planifiée et des points de suivi organisés à intervalles réguliers. Pour une plus grande efficacité, des indicateurs sur l’état d’avancement du plan d’action pourront être intégrés dans un tableau de bord à l’adresse de la direction. Si les audits de sécurité participent à la sécurité du système d’information en permettant de mettre en évidence d’éventuelles vulnérabilités, ils ne constituent jamais une preuve.

Un premier audit réalisé avec Specops Password Auditor peut vous donner une visibilité sur les comptes inactifs, avec des secrets compromis. L’audit est gratuit, rapide à mettre en place et est réalisé uniquement en lecture seule.

Protection des secrets d’authentification

L’utilisation de mot de passe identique entre différents systèmes est à proscrire, particulièrement lorsqu’il s’agit de messagerie personnelle et professionnelle.

Pour éviter des attaques ayant recours à l’ingénierie sociale, l’ANSSI souligne l’importance de dissocier les mots de passe d’informations liés à l’identité (mot de passe composé d’un nom de société, d’une date de naissance, etc.).

Enfin lors d’audit il est possible d’identifier des comptes ou comptes services avec des règles de mots de passe incomplète ou exposant de vulnérabilités. À ce titre, deux cas particuliers où l’absence d’expiration des mots de passe peut jouer un rôle critique

Les comptes dont le mot de passe n’expirent jamais

Certains comptes possèdent des mots de passe n’expirant pas. La récupération d’un compte permet à un individu malveillant de conserver ses droits d’accès au domaine sur le long terme. C’est particulièrement le cas pour des comptes de service qui par défaut restent connectés indéfiniment.

CAS GÉNÉRAL
Afin qu’un renouvellement soit imposé techniquement par l’Active Directory, il est nécessaire que les comptes ne possèdent pas la propriété DONT_EXPIRE. Cette propriété doit être supprimée et le mot de passe être changé.

CAS DES COMPTES DE SERVICE
Pour être en mesure de changer le mot de passe des comptes de service et de pouvoir tracer leur utilisation, il est nécessaire de documenter leur emploi. Un document doit ainsi recenser tous les comptes de service et leur utilisation. Il doit contenir pour chaque compte de service identifié :

• les informations concernant le compte (samAccountName, description, groupes AD, caractéristiques, etc.) ;
• les applications ou les systèmes qui utilisent ce compte ;
• la date de dernier changement du mot de passe associé au compte ;
• la procédure de changement du mot de passe du compte ;
• une personne ou une équipe responsable de son cycle de vie

Serveurs dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 90 jours

Des serveurs n’ont pas changé le mot de passe de leur compte d’ordinateur depuis plus de 90 jours, ce qui indique que leurs secrets ne sont pas renouvelés.

RECOMMANDATION
Dans leur fonctionnement par défaut, les serveurs changent automatiquement le mot de passe de leur compte d’ordinateur périodiquement (30 jours par défaut). Il convient d’investiguer la raison qui empêche les serveurs de changer leur mot de passe.

Renouveler régulièrement les secrets d’authentification L’opérateur doit renouveler régulièrement les secrets d’authentification. La fréquence de renouvellement doit être choisie en accord avec la PSSI et doit répondre à l’objectif de protection des SIE concernés. 

Pallier l’impossibilité de modifier un secret d’authentification

De plus, lorsque le changement de mot de passe n’est pas toujours possible pour des raisons pratiques, l’ANSSI recommande la mise en place des mesures techniques et organisationnelles permettant de réduire les risques associés à ce secret fixe. L’opérateur doit décrire les raisons, les mesures et leurs justifications. Ces mesures concernent en particulier le contrôle d’accès physique à la ressource concernée ou la traçabilité (horaire, durée, etc.) des accès, afin de rattacher indirectement une action à une personne. L’ANSSI ajoute qu’il est fortement recommandé de compléter cette approche par une protection de la méthode de renouvellement du mot de passe, afin que le nouveau secret employé ne soit pas directement à la disposition de l’attaquant.

Établir une politique de gestion des secrets d’authentification

Le service en charge de la sécurité informatique doit définir et appliquer une politique de gestion des éléments secrets d’authentification, dont les mots de passe, en accord avec la politique de sécurité des systèmes d’information. En particulier, l’ANSSI conseille de configurer le SIE pour forcer le choix de mots de passe conformes à cette politique (longueur, types de caractères, fréquence de renouvellement). Cette politique de gestion doit décrire les éléments secrets utilisés et les mécanismes de sécurité mis en œuvre pour les protéger. Les mots de passe ne doivent pas être stockés en clair (en dehors des cas de séquestre dans un coffre-fort). Suivant les contextes, il est préconisé de ne stocker que des mots de passe chiffrés ou hachés.

Un audit rapide des mots de passe et des comptes de l’Active Directory vous permet de rapidement identifier les points vulnérables de votre environnement AD. Specops Password Auditor vous permet de détecter facilement les mots de passe n’expirant jamais, ou les comptes inactifs, ainsi que de vérifier si vous vous conformez aux normes de sécurité de votre industrie. Vous pouvez télécharger dès maintenant cet outil gratuitement, alors démarrez votre audit sans plus attendre !

En ce qui concerne les critères des politiques de mot de passe, voici ce que l’ANSSI précise à ce sujet :

Les critères prédéfinis pour les mots de passe

Plusieurs critères peuvent être définis et mis en œuvre dans de nombreux systèmes pour s’assurer de la qualité des mots de passe. Ces critères sont, par exemple :

• une longueur minimale obligatoire prédéfinie ;
• l’impossibilité de réutiliser les n derniers mots de passe ;
• le nombre de tentatives possibles avant verrouillage de compte ;
• la manière de déverrouiller un compte qui a été bloqué.

Pour éviter les dénis de service liés au blocage de tous les comptes sur un système d’information, il peut être intéressant que le déblocage des comptes se fasse de manière automatique après un certain délai ;

• la mise en place d’une veille automatique avec un déblocage par saisie du mot de passe.

Complexité des mots de passe

En environnement Active Directory, les niveaux de complexité de mots de passe suivants sont recommandés :

• Niveau moyen : au moins 10 caractères comprenant au minimum 3 des 5 catégories suivantes : minuscules, majuscules, caractères alphanumériques, caractères spéciaux et caractères accentués ; –
• Niveau fort : au moins 12 caractères comprenant minuscules, majuscules, caractères alphanumériques, caractères spéciaux et caractères accentués ;
• Niveau extrême : génération aléatoire d’un minimum de 15 caractères comprenant minuscules, majuscules, caractères alphanumériques, caractères spéciaux et caractères accentués.

Specops Password Policy vous permet d’affiner les politiques de mot de passe par défaut de Microsoft, de modifier le nombre de complexité des mots de passe et de définir des durées avant expiration des mots de passe variables en fonction de leur complexité. Pour tester Specops Password Policy, n’hésitez pas à nous contacter en remplissant ce formulaire.