De très nombreux mots de passe exposés mais répondant aux exigences de l’ANSSI se retrouvent sur des listes de codes d’accès à l’Active Directory, utilisées par les pirates. Des outils et règles peuvent aider à les contrecarrer.
Selon un rapport de Specops Software, éditeur des solutions d’authentification, 53 % des mots de passe compromis connus suivent les exigences réglementaires, comme celles de l’agence nationale de la sécurité des systèmes d’information (ANSSI). Dans le cadre de ce rapport, l’analyse a porté sur un ensemble de données de 800 millions de mots de passe qui respectaient une longueur minimale de 9 caractères, n'utilisaient pas de caractères répétitifs ou incrémentiels, sans termes simples à decouvrir.
« La complexité et les recommandations d'organisations officielles peuvent aider à renforcer son mot de passe, mais cela ne protégera pas votre réseau si ce dernier figure sur la liste des mots de passe compromis que possède un pirate." explique Darren James, spécialiste produit chez Specops Software.
Des centaines de millions de mots de passe compromis concernent Active Directory (AD), l’annuaire des environnements Microsoft sur site. Cette base de données contrôle ceux qui pénètrent sur le réseau d’une entreprise et les actions qu’ils y exercent. Les types d’objets AD les plus courants sont les utilisateurs, les ordinateurs, les applications, les imprimantes et les dossiers partagés. AD contient des données hautement sensibles telles que les comptes d’utilisateurs, le poste occupé par chaque personne, son numéro de téléphone et son mot de passe. Autre information très confidentielle que l’on retrouve dans AD, les autorisations d’accès aux services et applications dont les collaborateurs disposent.
Les recommandations à mettre en œuvre
Une seule attaque réussie contre l’environnement AD peut causer de lourds dommages à une entreprise ou une institution car il a un rôle central dans le système d’information. Il n’y a pas de solution idéale pour protéger AD. Sa sécurisation est le fruit de l’application d’une stratégie de sécurité pensée en amont mettant en œuvre des pratiques défensives pertinentes avec une sensibilisation du personnel. Cependant, des outils peuvent aider les équipes de la SI. Pour savoir quels utilisateurs Active Directory utilisent des mots de passe compromis, Specops propose une analyse gratuite en lecture seule avec cet utilitaire à télécharger ici.
D’autre part, il faut bien entendu continuer à créer des codes d’accès robustes. Pour cela, mieux vaut choisir une phrase de passe, 3 mots aléatoires qui font sens pour vous mais difficiles à deviner pour les autres. Un gestionnaire de mots de passe vous permet de générer des codes longs et complexes et de les gérer.
De plus, il est conseillé de comparer les mots de passe utilisés aux listes de sésames compromis. Un site comme celui-ci et d’autres contiennent ce type d’information.
L’authentification multifacteur , via une confirmation de l’identité par smartphone ou autre est une protection très solide, même si les pirates découvrent les codes d’accès.
Ces règles constituent une protection de base contre le chiffrement des données, harponnage, escalade des privilèges et le mouvement latéral mais ne sont pas une garantie absolue.