Flexible Security for Your Peace of Mind

Comment protéger vos données des mots de passe piratés ?

Sans politique de filtrage des mots de passe d’Active Directory, les utilisateurs peuvent choisir et utiliser des mots de passe faibles. Lors d’une attaque par mots de passe, n’importe quelle liste de mots peut être systématiquement utilisée pour s’introduire dans des comptes professionnels.

Les pirates ont accès à des combinaisons d’identifiants et de mots de passe provenant de failles de sécurité. Le méga-leak de la Collection #1-5, par exemple, leur donne accès à un ensemble de données de plus de 2 milliards d’enregistrements. Une seule faille permet de pénétrer dans l’ensemble du système d’information dès qu’un mot de passe vulnérable ou divulgué est réutilisé dans plusieurs services ou comptes.

Les pirates ne sont pas les seuls à pouvoir tirer parti d’une liste de mots de passe. Les organisations peuvent arrêter l’effet de réaction en chaîne en utilisant les mêmes dictionnaires de mots de passe que ceux piratés pour filtrer les mots de passe vulnérables au sein de leur réseau. En pratique, le filtrage des mots de passe Active Directory bloque les mots de passe vulnérables en comparant les nouveaux mots de passe aux listes de mot de passe piratées. Cela empêche les utilisateurs d’adopter des mots de passe vulnérables.

Ce que vous devez savoir sur les attaques par mot de passe

Les organisations utilisent de nombreux systèmes de contrôle de sécurité pour réduire leur surface d’attaque exposée aux menaces liées aux mots de passe. Malheureusement, même avec des règles de mot de passe avancées, Active Directory reste vulnérable.

Les pirates ont toujours ciblé les utilisateurs finaux, considérés comme le maillon faible de la chaîne. Leurs tactiques s’appuient sur l’ingénierie sociale : ils incitent les utilisateurs à enfreindre les pratiques de sécurité standard. Désormais, armés d’une collection d’identifiants sans cesse renouvelée, ils misent sur la paresse des utilisateurs et la réutilisation des mots de passe.

Outre l’élaboration minutieuse d’e-mails d’hameçonnage et le passage en revue de millions de permutations aléatoires de mots de passe dans une attaque par force brute, les pirates peuvent également utiliser une liste de mots de passe à forte probabilité. Ces mots de passe peuvent être déclinés à l’aide de modèles, comme la substitution de caractères (M0td3P@$$3) ou de suites de caractères courantes (azerty123). Si l’attaque vise une organisation spécifique, elle créera une liste de mots de passe utilisant des mots en rapport avec l’organisation, notamment son nom, son adresse, ses services, des acronymes pertinents ou même des équipes sportives locales. Avec un nombre limité et ciblé de tentatives, les hackers peuvent détourner le compte sans déclencher le verrouillage.

Pour plus d’informations sur cette méthode de piratage, voir l’article “Qu’est-ce qu’une attaque par dictionnaire de mots de passe ?” (en anglais).

87% des utilisateurs ont le même mot de passe pour plusieurs comptes

Specops Password Policy

Bannissez définitivement les mots de passe faibles et compromis.

Learn More

Simplifiez la gestion des politiques de mots de passe dans Active Directory, bloquez l'accès à plus de 4 milliards de mots de passe compromis et appliquez facilement les exigences réglementaires locales, tout en améliorant l'expérience de sécurité des utilisateurs et en allégeant la charge de votre équipe informatique. 4o mini

Learn More

Recommandations de l'ANSSI pour le contrôle systématique des mots de passe

En matière de sécurité des mots de passe, les utilisateurs ne semblent pas s’écarter de modèles prévisibles. L’Agence Nationale de Sécurité des Systèmes d’Information (l’ANSSI) aborde cette question dans ses Recommandations Relatives aux Mots de Passe. Au lieu de mettre la répétition des motifs dans les mots de passe à la charge des utilisateurs, l’ANSSI exige davantage des systèmes d’authentification. Pour de nombreuses organisations, cela peut signifier un filtrage des mots de passe dans Active Directory.

Les identifiants récoltés lors d’une cyberattaque peuvent ouvrir la porte d’autres systèmes. L’ANSSI recommande désormais que les mots de passe potentiels soient comparés à une liste de mots de passe ayant fait l’objet de fuites. Si une correspondance est trouvée, le mot de passe doit être bloqué. Cette recommandation est partagée avec d’autres organismes de conformité, dont le National Cyber Security Centre au Royaume-Uni ou le National Institute of Standards and Technology américain.

Outre l’interdiction des mots de passe piratés, l’ANSSI recommande de se débarrasser d’autres pratiques courantes qui nuisent à l’expérience utilisateur. Par exemple, ne pas forcer une date d’expiration pour les mots de passe des utilisateurs non sensibles, sauf s’il existe des preuves de compromission. Pour en savoir plus sur les recommandations, consultez notre résumé des directives de l’ANSSI sur les mots de passe.

Pourquoi une liste de mots de passe est importante

Jusqu’à peu, les mots de passe volés étaient revendus sur le dark web pour des milliers de dollars. Aujourd’hui, ces mots de passe sont disponibles gratuitement, en clair, et se comptent en milliards.  N’importe qui peut maintenant s’introduire sur un service en essayant une combinaison de nom d’utilisateur et mot de passe piratée en les comparant à des identifiants en ligne. Il peut aussi utiliser un dictionnaire de mots de passe courants et les combiner avec des noms d’utilisateur dans l’espoir qu’une personne dans l’organisation utilise un mot de passe faible. En réponse, les organisations doivent s’équiper des mêmes dictionnaires pour protéger leurs utilisateurs – ou risquer la violation de leurs données.

Vous pouvez améliorer vos paramètres de mot de passe en bloquant non seulement les mots de passe ayant fait l’objet d’une fuite, mais aussi les mots de passe faibles au sein de votre organisation. Ce filtrage des mots de passe vous permet d’assouplir les exigences en termes de mot de passe d’Active Directory, telles que la complexité des caractères et les périodes d’expiration, tout en maintenant le niveau de sécurité souhaité.

Il suffit d’un seul mot de passe divulgué pour créer un risque et une compromission éventuelle. Si une liste de mots de passe limitée à 1 000 mots de passe offre une relative protection, une liste, plus importante, prendra en compte des milliards de mots de passe dont certains seulement considérés comme faibles uniquement parce qu’ils peuvent être trouvés sur une liste piratée.

La cyberattaque de Dropbox en 2012 était le résultat d'une réutilisation de mot de passe : le compte d'un employé de Dropbox a été réutilisé sur LinkedIn (obtenu via une autre attaque)

Conclusion

Specops Password Policy comprend un service de filtrage des mots de passe Active Directory avec un dictionnaire de mots de passe vulnérables constamment mis à jour. Cette liste contient des milliards de mots de passe provenant d’attaques majeures, notamment la fuite Collection, et la liste Have I Been Pwned compilée par l’expert en sécurité Troy Hunt. Lors d’un changement de mot de passe dans Active Directory, le service bloque et avertit les utilisateurs si le mot de passe qu’ils ont choisi se trouve dans un dictionnaire de mots de passe ayant fait l’objet d’une fuite. Specops Password Policy permet d’écarter facilement les mots de passe vulnérables et d’être à la pointe en matière de cybersécurité.

Related Articles

Comment créer et gérer une stratégie de mot de passe Active Directory

Une stratégie de mot de passe Active Directory est un ensemble de règles qui définissent les mots de passe autorisés dans une organisation et leur durée de validité. La politique est appliquée à tous les utilisateurs dans le cadre de la Default Domain Policy de l’objet stratégie de groupe, ou en appliquant une stratégie de mot de passe à granularité fine (Fine-Grained Password Policy ou FGPP en anglais) aux groupes de sécurité.

Read More

Specops Password Auditor pour Active Directory

Avec Specops Password Auditor, vous disposez d’un outil qui vous aide de manière fiable à minimiser le vecteur d’attaque des mots de passe faibles. Specops Password Auditor est disponible gratuitement.

Read More

× Fermer

Voulez-vous en savoir plus sur
Specops Password Policy ?

Testez gratuitement Specops Password Policy Non, merci. Je ne souhaite pas bloquer les mots de passe compromis de mon environnement AD

© 2025 Specops Software. All rights reserved.

Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Politique de confidentialité

OK