La protection par mot de passe de Microsoft Entra est-elle suffisante ?
Microsoft Entra (Azure AD) Password Protection est inclus dans les licences Entra ID P1/P2. Son nom pourrait laisser penser que ses utilisateurs sont protégés contre l’utilisation de mauvais mots de passe, mais ce n’est pas le cas. Pour une organisation qui veut réellement sécuriser son environnement Active Directory, que ce soit on-premise ou dans le cloud, les protections intégrées d’Entra ID ne suffisent pas à elles seules.
On peut penser que Microsoft Entra est “suffisant” et que la solution n’a pas besoin d’être complété pour gérer les mots de passe compromis. Mais la réalité est différente. Nous allons d’abord montrer un exemple concret où la protection des mots de passe Microsoft Entra ne détecte pas certains mots de passe compromis. Ensuite, nous expliquerons pourquoi les deux listes utilisées pour vérifier les mots de passe sont limitées, chacune pour des raisons différentes.
[Nouvelle recherche] Quelle est l’efficacité de Microsoft Entra contre les mots de passe compromis ?
Nous avons mené une étude pour comparer les capacités de blocage de Microsoft Entra ID et de Specops Breached Password Protection. Nous avons également utilisé HaveIBeenPwned comme point de comparaison supplémentaire.
Méthodologie
- Un échantillon aléatoire de 5 000 mots de passe a été extrait des logs d’infostealer Alien_Txtbase publiés en mai 2025 (afin de laisser le temps aux autres bases compromises d’être intégrées).
- Des scripts ont été utilisés pour tester cet échantillon via l’API HIBP et via des tentatives de changement de mot de passe sur un contrôleur de domaine cible.
- Un environnement Microsoft Entra ID a été déployé avec l’agent Entra ID Password Protection. Un GPO unique en mode blocage a été appliqué sur le contrôleur de domaine, sans autre politique ni dictionnaire personnalisé.
- Les vérifications directes avec Breached Password Protection (BPP) n’étaient pas nécessaires, puisque ces données sont déjà présentes dans la base et que tous les enregistrements auraient été bloqués. Les données de juin et juillet ne correspondent pas aux entrées infostealer les plus récentes dans BPP ; des données plus anciennes ont été volontairement utilisées pour cet échantillon. Pour analyser les tendances de couverture, le même échantillon aléatoire de 5 000 enregistrements a également été prélevé à partir d’un dump infostealer récent issu d’un forum du dark web.
Résultats de l’analyse
Les résultats confirment les attentes : les données les plus anciennes sont mieux couvertes par HIBP, car elles ont eu le temps d’être intégrées via des fuites supplémentaires ou des sources issues des forces de l’ordre. Microsoft Entra ID, en revanche, obtient des résultats nettement plus faibles, comme le montre le nombre de changements de mots de passe que ses filtres ne bloquent pas. La majorité des mots de passe, même ceux datant de mai, ne sont pas bloqués par Entra ID.
Entra ID
| Month | May | Jun | Jul | Oct |
|---|---|---|---|---|
| Missed | 4,650 | 4,644 | 4,653 | 4,534 |
| Blocked | 348 | 354 | 347 | 466 |
| Blocked % | 6.96% | 7.08% | 6.96% | 9.32% |
HIBP
| Month | May | Jun | Jul | Oct |
|---|---|---|---|---|
| Missed | 338 | 334 | 710 | 2,441 |
| Blocked | 4,662 | 4,666 | 4,290 | 2,559 |
| Blocked % | 93.24% | 93.32% | 85.8% | 51.18% |
Specops
| Month | May | Jun | Jul | Oct |
|---|---|---|---|---|
| Missed | 0 | 0 | 0 | 0 |
| Blocked | 5,000 | 5,000 | 5,000 | 5,000 |
| Blocked % | 100% | 100% | 100% | 100% |
Que cela signifie-t-il ?
Les différences entre HIBP et Microsoft Entra ID s’expliquent par leurs approches distinctes. HIBP ne se limite pas à son API publique : sa base de données est également utilisée par d’autres solutions comme source principale de mots de passe compromis (par exemple ManageEngine ADSelfService Plus ou Open Password Filter).
Entra ID
- Microsoft Entra ID fonctionne à partir d’une liste de mots filtrés, qu’il compare à une liste de mots interdits, puis applique un système de points. En pratique, le résultat est assez constant : il ne bloque pas correctement les mots de passe compromis. Cela ressemble plus à une politique de mots de passe renforcée avec une liste de mots interdits qu’à une vraie base de données de mots de passe compromis bien maintenue.
- Ce fonctionnement repose sur le système de scoring de Microsoft, qui définit aussi comment la liste des mots de passe compromis est utilisée. Microsoft maintient sa propre liste, normalise les mots de passe (par exemple P@ssw0rd devient password), et ne les bloque que s’ils n’atteignent pas un score de sécurité suffisant. Nous expliquerons ce système en détail dans la section suivante.
- Les organisations soumises à des normes comme NIST 800-63B ou CJIS doivent noter que Microsoft Entra ID reste peu efficace pour bloquer les mots de passe compromis. Le problème vient de sa conception, et non d’un simple délai de mise à jour. Des mots de passe faibles déjà exposés peuvent encore passer les filtres. Il ne peut donc pas être considéré comme équivalent à BPP pour ces exigences.
- Entra ID ne fait pas de vérification en temps réel : les mots de passe sont uniquement contrôlés lors d’un changement ou d’une réinitialisation.
HIBP
- HIBP varie selon les données analysées. Avec le temps, les fuites sont progressivement intégrées et ont plus de chances d’apparaître dans la base. Les anciennes fuites sont donc mieux couvertes (notamment par rapport à Entra ID), tandis que les fuites plus récentes présentent encore des écarts plus importants
- HIBP enregistre moins de mots de passe manqués car il fonctionne comme une véritable base de mots de passe compromis, dans la même logique que Specops Breached Password Protection. Cependant, comme il dépend principalement de contributions d’utilisateurs et de données issues des forces de l’ordre, des retards ou des omissions peuvent se produire.
- Les solutions qui s’appuient sur HIBP restent donc généralement en décalage par rapport à une base de mots de passe compromis entièrement maintenue, même si cet écart reste bien plus faible qu’avec Entra ID, car les mots de passe compromis sont tout de même bloqués.
Specops
- Specops Breached Password Protection a des délais de mise à jour très courts grâce à la combinaison de ses analyses de threat intelligence, de ses honeypots Specops et de la surveillance humaine des fuites de données.
- Specops Password Policy avec Breached Password Protection offre une couverture des mots de passe compromis nettement supérieure aux solutions reposant sur HIBP ou sur Microsoft Entra ID.
- Specops Password Policy avec Breached Password Protection bloque les mots de passe immédiatement après leur ajout dans la base de données des mots de passe compromis.
Pourquoi la “liste globale des mots de passe interdits” ne suffit pas
La Liste globale des mots de passe interdits n’est pas une liste de mots de passe compromis et ne répond pas aux recommandations de conformité concernant les listes de mots de passe refusés.
Contrairement à Breached Password Protection de Specops, la liste globale des mots de passe interdits n’inclut pas de données provenant de tiers comme celles de Have I Been Pwned (HIBP) ou d’autres listes connues de mots de passe compromis. Microsoft s’appuie uniquement sur sa propre analyse des mots de passe utilisés dans divers environnements Entra AD. Microsoft ne partage aucun des contenus de sa liste.
Les recommandations réglementaires comme celles du NIST ou du NCSC incluent l’utilisation d’une liste de mots de passe compromis connus. Breached Password Protection de Specops répond à cette exigence.
Microsoft ne précise pas le nombre de mots de passe figurant sur sa liste. L’entreprise mentionne qu’elle est petite comparée à d’autres listes existantes, mais qu’avec une correspondance large, elle peut bloquer des millions de variantes de mots de passe grâce à cette liste réduite.
Breached Password Protection Complete de Specops est une liste de mots de passe interdits plus importante, qui compte actuellement plus de 5 milliards de mots de passe compromis connus.
La méthode de scoring des mots de passe de Microsoft : « 5 Wrongs Make a Right »
Étape 1 : normalisation
Le mot de passe est d’abord converti en minuscules. Microsoft précise que certaines substitutions courantes du leetspeak sont inversées, mais que d’autres transformations fréquentes comme €→e ou 8→b ne sont pas prises en compte.
Avec la substitution de caractères activée, Specops Password Policy bloque davantage de variantes leetspeak, notamment les suivantes, que Microsoft ignore :
4 = a; € = e; 6 = g; 7 = t; 8 = b; 9 = g; § = s
Étape 2 : vérification des fuzzy match
Le mot de passe normalisé est comparé aux listes de mots interdits avec une tolérance d’une différence de +/- un caractère.
Étape 3 : vérification de sous-chaînes
Le mot de passe est également comparé au prénom, nom et nom du tenant de l’utilisateur. Toutefois, les correspondances partielles (par exemple Jeff pour Jeffrey) sont ignorées. Specops Password Policy peut bloquer l’utilisation totale ou partielle du prénom ou du nom de famille.
Étape 4 : notation finale
Si l’entrée normalisée passe les contrôles précédents, Microsoft lui attribue un score. Un point est attribué pour : chaque correspondance exacte avec un mot de la liste globale des interdictions ; chaque correspondance exacte avec un mot de la liste personnalisée des interdictions ; chaque caractère unique restant.
L’entrée doit passer tous les contrôles ci-dessus et atteindre un score de 5 pour être acceptée.
Exemple de score :
Micr0soft1 ! [microsoft] + [1] + [ !] = 3 → Rejeté
Micr0soft124 ! [microsoft] + [1] + [2] + [4] + [ !] = 5 → Accepté
Ce qui signifie que Microsoft accepte les mots de passe contenant des mots du dictionnaire et des mots de passe connus ayant fait l’objet d’une fuite.
“Même si un mot de passe contient un terme interdit, il peut être accepté si le score global est suffisamment élevé.”
Microsoft ne bloque pas directement les mots de passe présents dans sa liste globale des mots de passe interdits ou dans une liste personnalisée. L’utilisation d’un mot interdit n’est qu’un élément du système de scoring.
Pour être accepté, un mot de passe doit atteindre 5 points. Un mot interdit ne compte que pour 1 point, ce qui ne suffit pas à bloquer un mot de passe.
Limites de la liste personnalisée de mots de passe Microsoft
Il s’agit de l’équivalent proposé par Microsoft face aux listes de dictionnaires personnalisés de Specops Password Policy.
La liste de mots de passe interdits personnalisée est limitée à 1 000 mots, et chaque entrée doit contenir au moins 4 caractères.
Les combinaisons de trois lettres sont très fréquentes dans de nombreuses entreprises. Cela empêche notamment de bloquer :
- les acronymes courts (IBM, DSW, CBS, FOX, CNN, UPS, CVS, ATT, 3M)
- les symboles boursiers courts (like GE, BBD, GM, BMY)
- les codes d’aéroport (like JFK, LHR, LAX, CDG, DXB, ARN, YYZ, FRA)
- les abréviations internes (comme les noms courts de produits : SPP, BPP, SSD)
Les listes du dictionnaire de Specops Password Policy n’ont pas de limite et autorisent des entrées de n’importe quelle longueur.
Microsoft ne bloque pas toujours l’utilisation des mots présent sur la liste des mots de passe interdits personnalisés. La méthode de notation des mots de passe de Microsoft : « 5 Wrongs Make a Right » signifie qu’un mot de votre liste personnalisée peut être autorisé dans le cadre d’un mot de passe plus long.
Mots de passe faibles acceptés par Azure AD
Specops124!
[specops] + [1] + [2] + [4] + [!] = 5 → Accepté
Password998!
[password] + [9] + [9] + [8] + [!] = 5 → Accepté
PasswordPasswordPasswordPassword9
[password] + [password] + [password] + [password] + [9] = 5 → Accepté
Specops Password Policy peut bloquer l’utilisation de n’importe quel mot présent dans une liste de dictionnaire, même lorsqu’il est intégré dans un mot de passe plus long.
Mots de passe compromis
Les célèbres fuites de mots de passe, “Collections leaks #1-5”, contiennent plus d’un milliard de mots de passe compromis. Microsoft ne les prend pas en compte, ni d’autres données provenant de tiers ou d’attaques réelles, dans sa “liste globale des mots de passe interdits”, ce qui laisse les utilisateurs exposés.
Voici quelques exemples parmi les mots de passe complexes les plus courants issus de Collection #2, qui sont acceptés par Microsoft Password Protection.
Mots de passe compromis acceptés par Azure AD
FQRG7CS493
Sojdlg123aljg
D1lakiss
Indya123
La liste de refus de Specops Password Policy inclut ces mots de passe compromis connus, ainsi que plus de 5 milliards d’autres identifiants compromis.
Quand Entra vérifie-t-il les mots de passe compromis ?
Même s’il recommande de supprimer l’expiration des mots de passe, la protection par mots de passes de Microsoft Entra (Azure AD) ne vérifie les mots de passe compromis qu’au moment d’un changement ou d’une réinitialisation.
“Lorsque les utilisateurs changent ou réinitialisent leur mot de passe, ces listes de mots de passe interdits sont vérifiées afin de garantir l’utilisation de mots de passe robustes.”
Microsoft recommande souvent de supprimer l’expiration des mots de passe, mais la plupart des organisations ne sont pas encore prêtes pour cela. En revanche, Microsoft Entra Password Protection ne propose aucun contrôle des mots de passe compromis en dehors des changements ou réinitialisations. Moins d’événements d’expiration signifie donc que les mots de passe sont très rarement vérifiés pour détecter une compromission.
Specops Password Policy offre une protection continue contre l’utilisation de mots de passe compromis, avec une analyse quotidienne basée sur une liste mise à jour quotidiennement, en plus des contrôles lors des changements de mot de passe.
L’expérience utilisateur est également limitée
Microsoft Entra Password Protection est susceptible d’augmenter le nombre de demandes auprès du support IT.
“Microsoft Entra Password Protection ne contrôle pas le message d’erreur exact affiché sur l’ordinateur de l’utilisateur lorsqu’un mot de passe est refusé.”
Cela peut entraîner plus de tickets au support IT, pour deux raisons principales.
Le message étant peu précis, l’utilisateur ne comprend pas clairement ce qu’il doit modifier pour que son mot de passe soit accepté.
Avec Specops Password Policy, les utilisateurs obtiennent un retour immédiat pendant la saisie du mot de passe. Les administrateurs peuvent aussi personnaliser les messages, y compris afficher le mot de passe du dictionnaire détecté.
2 – La complexité du système de scoring de Microsoft Entra (Azure AD) Password Protection
Le système de scoring utilisé par Microsoft Entra Password Protection est complexe. Les journaux d’administration indiquent simplement qu’un mot de passe a été rejeté parce qu’il figure dans une liste globale ou personnalisée de mots interdits, sans préciser laquelle.
Ce manque de transparence sur les règles appliquées rend difficile l’identification précise des problèmes rencontrés par les utilisateurs lors de la création de mots de passe.
Avec Specops Password Policy, les journaux d’administration indiquent clairement dans quelle liste un mot de passe rejeté a été détecté.
Nos recommandations
Vous n’avez pas besoin d’abandonner Entra ID pour mettre en œuvre des politiques de mot de passe plus strictes ou pour empêcher les utilisateurs de recourir à des mots de passe compromis.
Vous pouvez au contraire configurer Specops Password Policy et Breached Password Protection pour appliquer ces politiques dans votre environnement sur site, utiliser une solution de fédération ou la réécriture des mots de passe de Microsoft Entra (Azure AD) pour appliquer ces politiques à tous les environnements auxquels vos utilisateurs ont recours.
Découvrez combien de mots de passe de vos utilisateurs Entra ID (Azure AD) sont encore compromis
Specops Password Auditor est un outil gratuit en lecture seule qui analyse et vérifie les mots de passe des comptes utilisateurs Active Directory en les comparant à notre liste de mots de passe compromis.
De nombreux clients qui utilisaient uniquement Microsoft Entra (Azure AD) nous ont indiqué avoir été surpris de constater, après une analyse avec Password Auditor, combien de mots de passe compromis étaient encore utilisés.
Un seul mot de passe compromis suffit à créer un risque et une potentielle compromission. Téléchargez gratuitement votre copie de Specops Password Auditor ici.
Demandez une démo de Specops Password Policy
Specops Password Policy permet de renforcer la sécurité des mots de passe dans votre environnement Microsoft Active Directory sur site ou Entra ID (Azure AD) hybride. La solution peut cibler n’importe quel niveau GPO, groupe, utilisateur ou ordinateur permettant des mots de passe plus complexes, l’utilisation de dictionnaires et de paramètres de passphrase. Avec Specops Breached Password Protection, les équipes informatiques peuvent bloquer plus de 4,5 milliards de mots de passe uniques compromis. Ces mots de passe comprennent ceux qui sont utilisés dans des attaques réelles actuelles ou qui figurent sur des listes de mots de passe compromis connus. Cela facilite la conformité avec les réglementations industrielles telles que le NIST ou le NCSC.
Vous souhaitez voir comment Specops Password Policy et Breached Password Protection peuvent fonctionner dans votre environnement ? Cliquez ici pour demander une démo gratuite ou tester notre solution de protection des mots de passe pour Active Directory dès aujourd’hui.
