Flexible Security for Your Peace of Mind

Comment protéger vos données des mots de passe piratés ?

Sans politique de filtrage des mots de passe d’Active Directory, les utilisateurs peuvent choisir et utiliser des mots de passe faibles. Lors d’une attaque par mots de passe, n’importe quelle liste de mots peut être systématiquement utilisée pour s’introduire dans des comptes professionnels.

Les pirates ont accès à des combinaisons d’identifiants et de mots de passe provenant de failles de sécurité. Le méga-leak de la Collection #1-5, par exemple, leur donne accès à un ensemble de données de plus de 2 milliards d’enregistrements. Une seule faille permet de pénétrer dans l’ensemble du système d’information dès qu’un mot de passe vulnérable ou divulgué est réutilisé dans plusieurs services ou comptes.

Les pirates ne sont pas les seuls à pouvoir tirer parti d’une liste de mots de passe. Les organisations peuvent arrêter l’effet de réaction en chaîne en utilisant les mêmes dictionnaires de mots de passe que ceux piratés pour filtrer les mots de passe vulnérables au sein de leur réseau. En pratique, le filtrage des mots de passe Active Directory bloque les mots de passe vulnérables en comparant les nouveaux mots de passe aux listes de mot de passe piratées. Cela empêche les utilisateurs d’adopter des mots de passe vulnérables.

Ce que vous devez savoir sur les attaques par mot de passe

Les organisations utilisent de nombreux systèmes de contrôle de sécurité pour réduire leur surface d’attaque exposée aux menaces liées aux mots de passe. Malheureusement, même avec des règles de mot de passe avancées, Active Directory reste vulnérable.

Les pirates ont toujours ciblé les utilisateurs finaux, considérés comme le maillon faible de la chaîne. Leurs tactiques s’appuient sur l’ingénierie sociale : ils incitent les utilisateurs à enfreindre les pratiques de sécurité standard. Désormais, armés d’une collection d’identifiants sans cesse renouvelée, ils misent sur la paresse des utilisateurs et la réutilisation des mots de passe.

Outre l’élaboration minutieuse d’e-mails d’hameçonnage et le passage en revue de millions de permutations aléatoires de mots de passe dans une attaque par force brute, les pirates peuvent également utiliser une liste de mots de passe à forte probabilité. Ces mots de passe peuvent être déclinés à l’aide de modèles, comme la substitution de caractères (M0td3P@$$3) ou de suites de caractères courantes (azerty123). Si l’attaque vise une organisation spécifique, elle créera une liste de mots de passe utilisant des mots en rapport avec l’organisation, notamment son nom, son adresse, ses services, des acronymes pertinents ou même des équipes sportives locales. Avec un nombre limité et ciblé de tentatives, les hackers peuvent détourner le compte sans déclencher le verrouillage.

Pour plus d’informations sur cette méthode de piratage, voir l’article “Qu’est-ce qu’une attaque par dictionnaire de mots de passe ?” (en anglais).

87% des utilisateurs ont le même mot de passe pour plusieurs comptes

Recommandations de l'ANSSI pour le contrôle systématique des mots de passe

En matière de sécurité des mots de passe, les utilisateurs ne semblent pas s’écarter de modèles prévisibles. L’Agence Nationale de Sécurité des Systèmes d’Information (l’ANSSI) aborde cette question dans ses Recommandations Relatives aux Mots de Passe. Au lieu de mettre la prévisibilité des mots de passe à la charge des utilisateurs, l’ANSSI exige davantage des systèmes d’authentification. Pour de nombreuses organisations, cela peut signifier un filtrage des mots de passe dans Active Directory.

Les identifiants récoltés lors d’une cyberattaque peuvent ouvrir la porte d’autres systèmes. Le NIST, l’homologue américain de l’ANSSI, exige que les mots de passe potentiels soient comparés à une liste de mots de passe ayant fait l’objet de fuites. Si une correspondance est trouvée, le mot de passe doit être bloqué. Cette recommandation est partagée avec d’autres organismes de conformité, dont le National Cyber Security Centre au Royaume-Uni.

Outre l’interdiction des mots de passe piratés, le NIST recommande de se débarrasser d’autres pratiques courantes qui nuisent à l’expérience utilisateur. Par exemple, ne pas forcer une date d’expiration pour les mots de passe, sauf s’il existe des preuves de compromission. Pour en savoir plus sur les recommandations, consultez notre résumé des directives du NIST sur les mots de passe.

Publication spéciale 800-63B du NIST
Section 5.1.1.2 : Lors du traitement des demandes d'établissement et de modification des secrets mémorisés, les contrôleurs DOIVENT comparer les données confidentielles potentielles à une liste qui contient des valeurs connues pour être couramment utilisées, attendues ou compromises.

Pourquoi une liste de mots de passe est importante

Jusqu’à peu, les mots de passe volés étaient revendus sur le dark web pour des milliers de dollars. Aujourd’hui, ces mots de passe sont disponibles gratuitement, en clair, et se comptent en milliards.  N’importe qui peut maintenant s’introduire sur un service en essayant une combinaison de nom d’utilisateur et mot de passe piratée en les comparant à des identifiants en ligne. Il peut aussi utiliser un dictionnaire de mots de passe courants et les combiner avec des noms d’utilisateur dans l’espoir qu’une personne dans l’organisation utilise un mot de passe faible. En réponse, les organisations doivent s’équiper des mêmes dictionnaires pour protéger leurs utilisateurs – ou risquer la violation de leurs données.

Vous pouvez améliorer vos paramètres de mot de passe en bloquant non seulement les mots de passe ayant fait l’objet d’une fuite, mais aussi les mots de passe faibles au sein de votre organisation. Ce filtrage des mots de passe vous permet d’assouplir les exigences en termes de mot de passe d’Active Directory, telles que la complexité des caractères et les périodes d’expiration, tout en maintenant le niveau de sécurité souhaité.

Il suffit d’un seul mot de passe divulgué pour créer un risque et une compromission éventuelle. Si une liste de mots de passe limitée à 1 000 mots de passe offre une relative protection, une liste, plus importante, prendra en compte des milliards de mots de passe dont certains seulement considérés comme faibles uniquement parce qu’ils peuvent être trouvés sur une liste piratée.

La cyberattaque de Dropbox en 2012 était le résultat d'une réutilisation de mot de passe : le compte d'un employé de Dropbox a été réutilisé sur LinkedIn (obtenu via une autre attaque)

Conclusion

Specops Password Policy comprend un service de filtrage des mots de passe Active Directory avec un dictionnaire de mots de passe vulnérables constamment mis à jour. Cette liste contient des milliards de mots de passe provenant d’attaques majeures, notamment la fuite Collection, et la liste Have I Been Pwned compilée par l’expert en sécurité Troy Hunt. Lors d’un changement de mot de passe dans Active Directory, le service bloque et avertit les utilisateurs si le mot de passe qu’ils ont choisi se trouve dans un dictionnaire de mots de passe ayant fait l’objet d’une fuite. Specops Password Policy permet d’écarter facilement les mots de passe vulnérables et d’être à la pointe en matière de cybersécurité.

× Fermer

Voulez-vous en savoir plus sur
Specops Password Policy ?

Testez gratuitement Specops Password Policy Non, merci. Je ne souhaite pas bloquer les mots de passe compromis de mon environnement AD