Identifiez les mots de passe vulnérables dans l’AD avec Specops Password Auditor

I. Présentation

Dans cet article, je vous propose de découvrir l'outil Specops Password Auditor, un logiciel gratuit qui va permettre de réaliser un audit des mots de passe au sein de son annuaire Active Directory. Grâce à cet audit, vous serez en mesure d'identifier les utilisateurs qui ont un mot de passe faible et vulnérable. Quand je dis vulnérable, j'entends un mot de passe qui a fait l'objet d'une fuite de données.

Le logiciel va également vous indiquer les comptes sans mots de passe, les comptes où le mot de passe n'expire jamais, les comptes avec des mots de passe identiques, etc... La stratégie de mots de passe déployée sur votre Active Directory sera également évaluée pour voir si elle respecte les bonnes pratiques en matière de sécurité.

Auditer la qualité des mots de passe utilisés par les utilisateurs est important pour une raison simple : les mots de passe représentent un obstacle et agisse comme une défense en matière de sécurité, donc il est indispensable de s'assurer que cette barrière de protection soit à la hauteur de vos attentes. Un compte avec un mot de passe faible est en quelque sorte une proie facile.

Malheureusement, c'est loin d'être une évidence dans les entreprises et bien souvent cette partie est négligée. Grâce à cet audit, vous allez avoir des éléments entre vos mains pour remettre le sujet sur la table auprès de votre direction...

🎥 Disponible en version vidéo :

II. Les attaques sur les mots de passe : brute force et password spraying

Avant d'aller plus loin, il me semble pertinent de vous rappeler les deux attaques les plus courantes lorsqu'il s'agit de deviner les mots de passe : les attaques de type brute force et les attaques de type password spraying. 

A. Mots de passe - Attaque brute force

Les attaques par brute force sont un grand classique et repose sur une méthode très simple : prendre un compte utilisateur comme cible et essayer un maximum de combinaisons différentes. Autrement dit, on essaie un maximum de mots de passe différents en espérant trouver la bonne combinaison et accéder au compte de l'utilisateur.

Pour cette méthode, on s'appuie sur l'utilisation d'un outil adéquat et d'un dictionnaire, c'est-à-dire un fichier qui contient des dizaines de milliers de mots de passe différents (pour ne pas dire plus). Bien souvent, les mots de passe du dictionnaire sont issus directement d'anciennes fuites de données.

Cette attaque porte bien son nom, disons que c'est une méthode un peu brute et pas très discrète. Bien qu'elle soit efficace contre les comptes avec des mots de passe faibles (nous y voilà), cela peut être beaucoup plus compliqué et plus long dès que le mot de passe est plus complexe et aléatoire.

Les systèmes de protection actuels sont capables de détecter et bloquer ces attaques, notamment l'Active Directory grâce à la fameuse stratégie de mots de passe. En fait, si un utilisateur essaie de se connecter, mais qu'il y a 5 tentatives en échecs dans un laps de temps de 1 minute, on peut verrouiller le compte par sécurité.

B. Mots de passe - Attaque password spraying

Une attaque du type password spraying se rapproche d'une attaque brute force sauf qu'il y a la volonté de rester discret. Plutôt que de cibler un seul compte, nous allons en cibler plusieurs, et plutôt que d'utiliser énormément de combinaisons différentes, on va limiter le nombre de combinaisons. L'objectif est simple : rester sous le seuil de détection et éviter que les comptes ciblés soient verrouillés.

En fait, on teste un mot de passe sur un compte, et après on teste ce même mot de passe sur d'autres comptes. Pendant ce temps, le chrono tourne en la faveur de l'attaquant, tout en poursuivant l'attaque. Au bout d'un moment, il y a de fortes chances pour que la porte s'ouvre compte tenu du fait que les mots de passe faibles sont très répandus.

Ces attaques sont plus difficiles à détecter, mais pas impossible. Généralement les tentatives de connexion sont effectuées depuis la même adresse IP : est-ce normal qu'il y ait de nombreuses tentatives de connexion infructueuses depuis la même adresse IP dans les 10 dernières minutes ? Je ne pense pas 😉.

Le décor est planté, passons à la découverte de l'outil du jour : Specops Password Auditor.

III. Les fonctionnalités de Specops Password Auditor

Specops Password Auditor va effectuer une analyse de votre annuaire Active Directory. Pour réaliser cette analyse et en tirer des conclusions, il va regarder les hash des mots de passe et scanner différents attributs des comptes utilisateurs de votre annuaire, notamment pwdLastSet, userAccountControl, et lastLogonTimestamp.

Grâce à cette analyse rapide, Password Auditor va remonter les éléments suivants :

  • Comptes avec des mots de passe vides
  • Comptes avec des mots de passe ayant fait l'objet d'une fuite de données (mots de passe divulgués)
  • Comptes avec des mots de passe identiques
  • Comptes administrateur du domaine
  • Comptes administrateur inactifs
  • Comptes où le mot de passe n'est pas obligatoire
  • Comptes où le mot de passe n'expire jamais
  • Comptes où le mot de passe est configuré pour expirer
  • Comptes avec le mot de passe expiré
  • Liste des politiques de mots de passe
  • Utilisation / affectation des politiques de mots de passe
  • Conformité des politiques de mots de passe

Specops Password Auditor va également comparer les mots de passe de votre annuaire Active Directory avec sa propre base de mots de passe. La base de mots de passe du logiciel fait environ 5 Go, ce qui représente des centaines de millions d'entrées. Cette base est construite à partir des mots de passe qui sont sortis dans différentes fuites de données et à partir des informations du site haveibeenpwned.com.

Note : la version gratuite du logiciel s'appuie sur une base de 800 millions de mots de passe, tandis que le logiciel payant, Specops Password Policy utilise la base complète de 2,3 milliards de mots de passe.

Si les mots de passe de certains utilisateurs ont fait l'objet d'une fuite de données, vous serez au courant. C'est fort probable que ce soit le cas, notamment si le mot de passe de l'utilisateur est le même dans l'AD et pour se connecter sur ses sites de e-commerce préférés.

IV. Télécharger et installer Specops Password Auditor

Pour télécharger le logiciel, il faut se rendre sur le site de Specops Software et cliquer sur le bouton "Free Download". Il suffira ensuite de remplir un formulaire. Voici le lien : Télécharger - Specops Password Auditor

Un lien de télécharger et une licence seront envoyés sur votre adresse e-mail.

L'installation est très basique, il suffit de quelques clics avec l'assistant. Cochez l'option "Start Specops Password Auditor" à la fin pour démarrer le logiciel.

Passons à l'utilisation du logiciel en lui-même.

V. Rechercher les mots de passe faibles dans l'Active Directory

Le logiciel doit tourner à partir d'une session admin du domaine pour qu'il puisse collecter toutes les informations nécessaires et auditer vos mots de passe.

Au lancement du logiciel, il y a plusieurs champs à renseigner, mais en fait les valeurs sont remontées directement. Il n'y a rien à faire si ce n'est cliquer sur "Import License" en bas à gauche pour charger sa licence gratuite. Cliquez sur "Start".

Néanmoins, vous pouvez utiliser un autre contrôleur de domaine que celui proposé si vous préférez, et vous pouvez restreindre l'analyse à une unité d'organisation spécifique en modifiant la valeur de "Scan Root".

L'étape "Breached Passwords" que l'on peut traduire par "Mots de passe divulgués" permet d'indiquer si vous souhaitez que vos mots de passe soient comparés ou non avec la base de Specops. Le but étant d'identifier les mots de passe vulnérables dans votre annuaire, car concerné par une fuite de données.

Si vous désirez utiliser cette fonction, cochez la case "Download latest version..." et indiquez un chemin au niveau du champ "Local folder". En fait, la base de mots de passe du logiciel va être téléchargée sur votre machine. Comme je le disais, cela représente environ 5 Go d'espace disque.

Cliquez sur "Start Scanning".

La première fois, l'analyse est longue, car il faut télécharger la base de mots de passe. Si vous réexécutez l'analyse ultérieurement, ce sera beaucoup plus rapide.

Une fois l'analyse terminée, un résumé s'affiche sous la forme d'un tableau de bord. Pour chaque catégorie, le verdict tombe. La vue est synthétique, ce qui est appréciable. Pour chaque partie de l'analyse, il y a une bulle rouge qui s'affiche pour indiquer le nombre d'utilisateurs concernés par le point en question.

Tableau de bord de Specops Password Auditor après analyse
Tableau de bord de Specops Password Auditor après analyse

En cliquant sur un bloc, on peut obtenir des informations précises notamment la liste des utilisateurs concernés. Par exemple, voici pour les utilisateurs dont le mot de passe est divulgué. Ce qui est pertinent aussi, c'est la partie "Report information" à gauche qui donne des informations sur l'analyse effectuée et des recommandations.

Si l'on regarde le rapport de la section "Expiring Passwords", on peut voir les comptes utilisateurs pour lesquels le mot de passe va expirer prochainement. Il y a un curseur que l'on peut bouger et qui correspond à un nombre de jours restants avant expiration, de quoi anticiper les changements de mots de passe à venir pour vos utilisateurs.

En revenant sur le tableau de bord, on peut générer un rapport en cliquant sur le bouton "Get PDF Report".

Le rapport généré est très professionnel et très propre. Il reprend chacun des points audités avec un descriptif et la liste des comptes concernés. Au début du rapport, il affiche également une note globale sur 100 qui permettra de vous situer rapidement.

Aperçu du rapport PDF généré par Specops Password Auditor
Aperçu du rapport PDF généré par Specops Password Auditor

VI. Specops Password Auditor : le mot de la fin

Exécuter une analyse de son Active Directory avec le logiciel Specops Password Auditor est un bon point de départ lorsque l'on souhaite s'attaquer au sujet des mots de passe et des stratégies de mots de passe. C'est une manière simple d'auditer soi-même la qualité des mots de passe des utilisateurs : le résumé fourni suite à l'analyse vous permettra d'établir une liste d'actions à mener pour améliorer la sécurité de votre SI.

Vous pourriez même être surpris, sur des SI avec beaucoup de comptes, beaucoup d'unités d'organisations, on peut vite passer à côté de quelques comptes qui traînent et que l'on ignore. Il vaut mieux prendre un peu de temps pour réaliser ces audits et identifier les comptes problématiques avant que quelqu'un le fasse à votre place, si vous voyez  ce que je veux dire.

💡 Avec le rapport généré par l'outil, vous avez des éléments concrets pour avancer avec votre responsable ou votre direction, bien que le rapport soit en anglais.

Envie de tester ? Voici le lien : Télécharger - Specops Password Auditor

VII. Pour aller plus loin : Specops Password Policy

En plus de cet outil de scan et d’audit des mots de passe, une autre solution de Specops, Specops Password Policy, permet de facilement filtrer les mots de passe compromis ou divulgués de votre environnement Active Directory qui auraient été détectés, et de renforcer les stratégies de mot de passe par défaut d’Active Directory. Ce logiciel apporte une réponse aux problèmes remontés par le logiciel Specops Password Auditor.

Specops Password Policy a l’avantage de se baser sur une liste complète, constamment mise à jour, de plus de 2,3 milliards de mots de passe divulgués. En fait, à partir du moment où un mot de passe se trouve dans une fuite de données, vos utilisateurs ne pourront plus l'utiliser pour leur compte Active Directory. Ce logiciel va plus loin que le système de politiques de mots de passe natif à l'Active Directory. Par exemple, pour anticiper les changements de mots de passe, vos utilisateurs peuvent être avertis par e-mail juste avant que le mot de passe arrive à expiration.

Contrairement à Password Auditor, ce second logiciel est payant, mais vous pouvez l'essayer. Si cela vous intéresse, voici le lien : Specops Password Policy

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3204 posts and counting.See all posts by florian

2 thoughts on “Identifiez les mots de passe vulnérables dans l’AD avec Specops Password Auditor

  • Bonjour

    doit on faire une exclusions dans un éventuelle antivirus ?
    belle journée

    Répondre
    • Bonjour,
      Je ne pense pas, le soft ne fait que requêter l’AD.
      Par contre, d’un point de vue sécurité, il vaut mieux éviter autant que possible de faire des exclusions antivirus, d’autant plus sur des machines d’administration (postes de travail admin ou serveurs)

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.