draft
DraftBooster logo

La sécurité des mots de passe est un pilier fondamental de la cybersécurité pour toute organisation. Dans les environnements utilisant Active Directory (AD), la manière dont les mots de passe sont stockés et gérés a des implications directes sur la robustesse de la défense contre les cyberattaques. Cet article explore en détail le concept de chiffrement réversible des mots de passe, ses implications sécuritaires, et les méthodes pour identifier et corriger cette vulnérabilité, en s'appuyant sur les analyses de PasswordIQ et les meilleures pratiques de sécurité.

Comprendre le Stockage des Mots de Passe dans Active Directory

Active Directory, au cœur de la gestion des identités dans les environnements Windows, stocke les informations d'authentification des utilisateurs, y compris leurs mots de passe. Ces données, précieuses pour les cybercriminels, sont enregistrées dans le fichier NTDS.dit, généralement situé dans C:\Windows\ntds\NTDS.dit. La structure de ce fichier repose sur un ensemble de tables, parmi lesquelles figurent les empreintes cryptographiques des mots de passe, également appelées hashes.

Schéma du fichier NTDS.dit

Un algorithme de hachage est utilisé pour calculer ces empreintes avant de les enregistrer. Il s'agit d'un mécanisme de type "one-way function" (OWF), une transformation mathématique à sens unique des données. Sur le papier, un hash de mot de passe peut sembler incassable. Cependant, si un attaquant parvient à dérober un hash, il peut tenter de le "casser" pour retrouver le mot de passe en clair. C'est là que le choix de l'algorithme de hachage devient crucial, car certains sont plus robustes que d'autres. Il est important de noter que les mots de passe Active Directory ne sont pas "salés" par défaut. Le salage consiste à ajouter une partie aléatoire à un mot de passe avant de le soumettre à la fonction de hachage, complexifiant ainsi les attaques.

Les Méthodes Historiques : LM Hash et NT Hash

Historiquement, Active Directory a utilisé différentes méthodes pour stocker les mots de passe :

  • La méthode LM Hash : Il s'agit du format le plus ancien, considéré comme obsolète depuis près de vingt ans. Le LM Hash prend en compte seulement 14 caractères. Sa génération est désactivée par défaut depuis Windows Vista et Windows Server 2008. Microsoft propose un paramètre de stratégie de groupe (GPO) pour forcer sa désactivation, intitulé "Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe". L'activation de ce paramètre est fortement recommandée. Il est à noter que ce paramètre de stratégie de groupe n'est pas disponible sur Windows Server 2025, Microsoft ayant amélioré la sécurité sur ce point.

  • La méthode NT Hash : Introduite dans les années 90, cette méthode utilise l'algorithme MD4 pour hacher les mots de passe, remplaçant le DES utilisé par LM. L'Active Directory s'appuie encore aujourd'hui sur cette méthode pour stocker les mots de passe. Le NT Hash est une amélioration par rapport au LM Hash, mais reste vulnérable aux attaques par force brute ou par dictionnaire si des mots de passe faibles sont utilisés.

Comparaison des algorithmes de hachage : LM, NT, SHA-1, MD5, AES

Le Chiffrement Réversible : Une Porte Ouverte aux Vulnérabilités

Le chiffrement réversible des mots de passe est un paramètre qui permet de stocker les mots de passe d'une manière qui utilise un schéma de cryptage réversible. Ce schéma peut être fourni lors du processus d'authentification. Ce paramètre est parfois requis par certaines applications tierces, notamment celles utilisant l'authentification CHAP (Challenge Handshake Authentication Protocol) via l'accès à distance ou les services d'authentification Internet (IAS). Il peut également être nécessaire pour les applications qui ont besoin de connaître le mot de passe de l'utilisateur en texte clair pour fonctionner.

L'Option "Enregistrer le mot de passe en utilisant un chiffrement réversible"

Dans Active Directory, ce paramètre se trouve dans la section "Options du compte" de la stratégie de mot de passe. Il s'intitule "Enregistrer le mot de passe en utilisant un chiffrement réversible" (Store passwords using reversible encryption). Lorsqu'il est activé au niveau d'un utilisateur, les autres politiques de sécurité sont ignorées. Ce paramètre prévaut sur les GPO du domaine et même sur les politiques de mots de passe fines (FGPP) si celles-ci sont appliquées.

Si l'option "Enregistrer le mot de passe en utilisant un chiffrement réversible" est activée au niveau de l'utilisateur, le mot de passe est stocké d'une manière qui permet de le récupérer en clair, sans passer par l'étape de "cassage de mots de passe". Cela contrevient au principe de la "one-way function" des algorithmes de hachage. Cet impact se reflète sur l'attribut ms-DS-User-Encrypted-Text-Password-Allowed. Bien qu'il ne soit pas visible dans l'éditeur d'attributs du schéma Active Directory standard, il est observable dans ADAM (Active Directory Application Mode) et via des scripts PowerShell qui analysent les flags actifs de l'attribut UserAccountControl, révélant la présence du flag ENCRYPTED_TEXT_PWD_ALLOWED.

Conséquences d'un Chiffrement Réversible Activé

L'activation du chiffrement réversible présente un risque de sécurité majeur : les mots de passe peuvent être récupérés en clair. Si un cybercriminel accède à la base de données Active Directory ou compromet un compte disposant des privilèges nécessaires, il peut potentiellement lire les mots de passe des utilisateurs. Des outils tels que le cmdlet Get-ADReplAccount du module DSInternals peuvent être utilisés pour extraire directement ces mots de passe.

Exemple d'extraction de mot de passe chiffré réversiblement

Ce risque est particulièrement préoccupant car il rend obsolètes les mesures de protection basées sur des mots de passe complexes, puisque le mot de passe final est accessible en clair. L'utilisation de mots de passe faibles, combinée à l'activation du chiffrement réversible, crée une vulnérabilité critique.

Interaction avec les Politiques de Mots de Passe Fines (FGPP) et les GPO

L'activation du chiffrement réversible interagit de manière spécifique avec d'autres politiques de sécurité :

  • Si l'option "Enregistrer le mot de passe en utilisant un chiffrement réversible" est activée au niveau de l'utilisateur : Ce paramètre prévaut sur toutes les autres politiques, y compris les FGPP et les GPO du domaine. Le mot de passe sera stocké de manière réversible, indépendamment des autres configurations.

  • Si des FGPP sont appliquées et que l'option "Enregistrer le mot de passe en utilisant un chiffrement réversible" est activée : Le paramètre de chiffrement réversible prime sur les GPO du domaine.

  • S'il n'y a aucune FGPP : Seuls les paramètres des GPO du domaine s'appliquent. Dans ce cas, si le chiffrement réversible n'est pas activé au niveau de l'utilisateur, les mots de passe sont stockés de manière irréversible par défaut.

Détection et Correction des Vulnérabilités de Mots de Passe

Des outils comme PasswordIQ analysent les comptes utilisateurs d'Active Directory à la recherche de diverses vulnérabilités de mots de passe, y compris la détection de mots de passe écrits en clair. Lorsqu'une telle vulnérabilité est détectée, il est essentiel de prendre des mesures correctives.

Identifier les Mots de Passe en Clair

Lorsque PasswordIQ détecte un mot de passe écrit en clair pour un utilisateur ou un groupe d'utilisateurs, le paramètre de chiffrement réversible est peut-être activé pour leurs comptes. L'analyse de la vulnérabilité de texte écrit en clair est déterminée par une combinaison de paramètres individuels de l'utilisateur, de la politique FGPP et des objets de stratégie de groupe (GPO).

Pour vérifier si le chiffrement réversible est activé, il faut :

  1. Naviguer dans la section "Options du compte" des stratégies de groupe ou des stratégies de mots de passe fines.
  2. Rechercher le paramètre "Enregistrer le mot de passe en utilisant un chiffrement réversible".
  3. Examiner l'attribut pwdProperties dans l'onglet "Éditeur d'attributs". Si cet attribut contient l'indicateur STORE_CLEARTEXT, le domaine est configuré pour autoriser les mots de passe écrits en clair.

Stratégies de Correction et Bonnes Pratiques

Les besoins en matière de sécurité étant propres à chaque organisation, il n'y a pas de recommandation unique quant aux modifications à apporter à la stratégie de groupe ou aux paramètres Active Directory. Cependant, plusieurs actions sont fortement conseillées :

  • Formation des Utilisateurs :
    • Créer des mots de passe sécurisés : Proposez une formation à l'utilisateur qui lui apprendra à créer des mots de passe sécurisés. Des modules de formation, tels que ceux disponibles dans le ModStore de KnowBe4 ("Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité", "Comment créer des mots de passe sécurisés et questionnaire", et "Sécurité des mots de passe"), peuvent être assignés aux utilisateurs.
    • Créer des mots de passe uniques : Il est tout aussi crucial d'apprendre aux utilisateurs à créer des mots de passe uniques et à ne pas les recycler d'un système à un autre.

Comment Créer un Mot de Passe Fort et Sécurisé (Tuto 2025) 🔐

  • Configuration d'Active Directory :

    • Désactiver le chiffrement réversible : Dans la mesure du possible, désactivez l'option "Enregistrer le mot de passe en utilisant un chiffrement réversible" pour tous les utilisateurs. Lorsque ce paramètre est désactivé, les nouveaux mots de passe sont enregistrés par défaut à l'aide d'un chiffrement unidirectionnel (hachage).
    • Utilisation des FGPP : Les politiques de mots de passe fines (FGPP) permettent d'appliquer des règles plus granulaires et peuvent aider à renforcer la sécurité, mais elles sont supplantées par le chiffrement réversible si celui-ci est activé.
    • Granularité de l'application : Si l'activation du chiffrement réversible est absolument nécessaire pour certaines applications, utilisez la stratégie de groupe pour l'appliquer à des utilisateurs spécifiques de manière granulaire, et non au niveau du domaine pour tout le monde.
  • Renforcement des Politiques de Mots de Passe :

    • Longueur minimale : Assurez-vous que le paramètre "Longueur minimale du mot de passe" n'est pas défini sur 0 dans votre stratégie de groupe, afin d'éviter les mots de passe vides.
    • Expiration des mots de passe : La détection d'un mot de passe sans date d'expiration peut indiquer que l'option "Mot de passe sans date d'expiration" est activée. Si la FGPP est appliquée et que l'option "Enforce maximum password age" (Durée de vie maximale du mot de passe) est désactivée, ce paramètre prévaudra sur les GPO du domaine. S'il n'y a aucune FGPP, seuls les paramètres des GPO du domaine s'appliquent.
  • Utilisation d'Algorithmes de Chiffrement Modernes :

    • Chiffrement AES : Activez le chiffrement Advanced Encryption Standard (AES) comme alternative sécurisée au chiffrement DES. Recherchez les paramètres "Ce compte prend en charge le chiffrement AES-128 bits via Kerberos" ou "Ce compte prend en charge le chiffrement AES-256 bits via Kerberos" dans la stratégie "Sécurité réseau : stratégie Configurer les types autorisés pour Kerberos".

Tableau comparatif des algorithmes de chiffrement (AES vs DES)

Autres Vulnérabilités Détectées par PasswordIQ

PasswordIQ peut également détecter d'autres types de vulnérabilités, telles que :

  • Mot de passe non requis : Détecté si l'indicateur PASSWD_NOTREQD est défini dans l'attribut userAccountControl du compte. L'attribut userAccountControl comporte une valeur décimale pour tous les signaux d'alarme activés pour les utilisateurs.
  • Mots de passe faibles : Détectés par des analyses basées sur des listes de mots de passe couramment utilisés ou compromis.

Techniques Cryptographiques et Sécurité des Mots de Passe

La sécurisation des mots de passe repose sur diverses techniques cryptographiques. Le chiffrement "brouille" un mot de passe pour le rendre illisible par les pirates.

Hachage vs Chiffrement

Il est crucial de distinguer deux techniques cryptographiques :

  • Hachage (ou Hashage) : Il s'agit d'une opération irréversible. Une fonction de hachage (SHA-256, Bcrypt, Argon2id, etc.) transforme un mot de passe en une empreinte unique. Lors d'une tentative de connexion, le hachage est utilisé pour vérifier la concordance entre deux empreintes, et non pour retrouver le mot de passe. C'est la méthode privilégiée pour le stockage des mots de passe.
  • Chiffrement : Il s'agit d'une opération réversible nécessitant une clé. Le mot de passe est transformé, mais peut être déchiffré si nécessaire grâce à la clé. Le chiffrement est réservé aux opérations sur des informations devant plus tard être lues ou transmises à un système tiers. L'utilisation du chiffrement réversible pour les mots de passe est donc une mauvaise pratique.

Techniques Additionnelles : Salage et Algorithmes

  • Salage : Quelques chiffres et/ou lettres aléatoires (valeurs "salt") sont ajoutés au début ou à la fin d'un mot de passe avant de le soumettre au processus de hachage. Cela ajoute une couche de sécurité supplémentaire, car même si deux utilisateurs ont le même mot de passe, leurs hashes seront différents.
  • Algorithmes Courants :
    • MD5 : Code le mot de passe en une chaîne de 128 bits. Considéré comme obsolète et vulnérable.
    • SHA-1 : Le mot de passe est transformé en une chaîne de 40 caractères. Également considéré comme obsolète.
    • AES : Algorithme de chiffrement symétrique permettant de sélectionner la longueur de bits (AES-128, AES-192, AES-256). Utilisé pour le chiffrement, pas idéal pour le stockage de mots de passe.

Bonnes Pratiques pour la Gestion des Mots de Passe

Au-delà des configurations techniques, l'adoption de bonnes pratiques est essentielle :

  • Uniques et Forts : Ne recyclez jamais vos mots de passe d'un système à un autre. Créez des mots de passe longs, complexes, mélangeant lettres majuscules et minuscules, chiffres et symboles. Les experts recommandent de créer une liste de mots aléatoires correspondant à des chiffres.
  • Gestionnaires de Mots de Passe : Pour les utilisateurs et les équipes IT, un gestionnaire de mots de passe (ex: Keypass) permet de générer des mots de passe forts, de les stocker de manière chiffrée et de les partager en toute sécurité. Privilégiez les outils accessibles par un mot de passe fort ou une double authentification, qui ne renseignent pas automatiquement les mots de passe sans accord explicite.
  • Authentification Centralisée et Fédérée : Mettez en place des systèmes de gestion d'identité (LDAP, SSO, IAM) pour réduire le nombre de mots de passe à retenir, améliorer le contrôle des accès et faciliter la révocation des accès.
  • Politique de Rotation et de Réinitialisation : Bien que les politiques de changement fréquent de mots de passe ne soient plus recommandées pour la majorité des utilisateurs, elles restent fortement conseillées pour les personnes disposant d'accès privilégiés ou administrateurs. Prévoyez une modification régulière des mots de passe pour les administrateurs systèmes et réseaux, et mettez en place des règles de changement en cas de suspicion de compromission.

Infographie : Les éléments d'un mot de passe sécurisé

En résumé, la compréhension du fonctionnement du chiffrement réversible dans Active Directory et l'application rigoureuse des bonnes pratiques de sécurité sont indispensables pour protéger les organisations contre les cybermenaces et garantir la confidentialité et l'intégrité des données sensibles. L'utilisation d'outils d'analyse comme PasswordIQ permet d'identifier proactivement ces vulnérabilités et de mettre en œuvre les correctifs nécessaires.

tags: #decryptage #mot #de #passe #reversible #faible

Articles populaires: