La sécurité des mots de passe est un pilier fondamental de la cybersécurité pour toute organisation. Dans les environnements utilisant Active Directory (AD), la manière dont les mots de passe sont stockés et gérés a des implications directes sur la robustesse de la défense contre les cyberattaques. Cet article explore en détail le concept de chiffrement réversible des mots de passe, ses implications sécuritaires, et les méthodes pour identifier et corriger cette vulnérabilité, en s'appuyant sur les analyses de PasswordIQ et les meilleures pratiques de sécurité.
Active Directory, au cœur de la gestion des identités dans les environnements Windows, stocke les informations d'authentification des utilisateurs, y compris leurs mots de passe. Ces données, précieuses pour les cybercriminels, sont enregistrées dans le fichier NTDS.dit, généralement situé dans C:\Windows\ntds\NTDS.dit. La structure de ce fichier repose sur un ensemble de tables, parmi lesquelles figurent les empreintes cryptographiques des mots de passe, également appelées hashes.

Un algorithme de hachage est utilisé pour calculer ces empreintes avant de les enregistrer. Il s'agit d'un mécanisme de type "one-way function" (OWF), une transformation mathématique à sens unique des données. Sur le papier, un hash de mot de passe peut sembler incassable. Cependant, si un attaquant parvient à dérober un hash, il peut tenter de le "casser" pour retrouver le mot de passe en clair. C'est là que le choix de l'algorithme de hachage devient crucial, car certains sont plus robustes que d'autres. Il est important de noter que les mots de passe Active Directory ne sont pas "salés" par défaut. Le salage consiste à ajouter une partie aléatoire à un mot de passe avant de le soumettre à la fonction de hachage, complexifiant ainsi les attaques.
Historiquement, Active Directory a utilisé différentes méthodes pour stocker les mots de passe :
La méthode LM Hash : Il s'agit du format le plus ancien, considéré comme obsolète depuis près de vingt ans. Le LM Hash prend en compte seulement 14 caractères. Sa génération est désactivée par défaut depuis Windows Vista et Windows Server 2008. Microsoft propose un paramètre de stratégie de groupe (GPO) pour forcer sa désactivation, intitulé "Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe". L'activation de ce paramètre est fortement recommandée. Il est à noter que ce paramètre de stratégie de groupe n'est pas disponible sur Windows Server 2025, Microsoft ayant amélioré la sécurité sur ce point.
La méthode NT Hash : Introduite dans les années 90, cette méthode utilise l'algorithme MD4 pour hacher les mots de passe, remplaçant le DES utilisé par LM. L'Active Directory s'appuie encore aujourd'hui sur cette méthode pour stocker les mots de passe. Le NT Hash est une amélioration par rapport au LM Hash, mais reste vulnérable aux attaques par force brute ou par dictionnaire si des mots de passe faibles sont utilisés.

Le chiffrement réversible des mots de passe est un paramètre qui permet de stocker les mots de passe d'une manière qui utilise un schéma de cryptage réversible. Ce schéma peut être fourni lors du processus d'authentification. Ce paramètre est parfois requis par certaines applications tierces, notamment celles utilisant l'authentification CHAP (Challenge Handshake Authentication Protocol) via l'accès à distance ou les services d'authentification Internet (IAS). Il peut également être nécessaire pour les applications qui ont besoin de connaître le mot de passe de l'utilisateur en texte clair pour fonctionner.
Dans Active Directory, ce paramètre se trouve dans la section "Options du compte" de la stratégie de mot de passe. Il s'intitule "Enregistrer le mot de passe en utilisant un chiffrement réversible" (Store passwords using reversible encryption). Lorsqu'il est activé au niveau d'un utilisateur, les autres politiques de sécurité sont ignorées. Ce paramètre prévaut sur les GPO du domaine et même sur les politiques de mots de passe fines (FGPP) si celles-ci sont appliquées.
Si l'option "Enregistrer le mot de passe en utilisant un chiffrement réversible" est activée au niveau de l'utilisateur, le mot de passe est stocké d'une manière qui permet de le récupérer en clair, sans passer par l'étape de "cassage de mots de passe". Cela contrevient au principe de la "one-way function" des algorithmes de hachage. Cet impact se reflète sur l'attribut ms-DS-User-Encrypted-Text-Password-Allowed. Bien qu'il ne soit pas visible dans l'éditeur d'attributs du schéma Active Directory standard, il est observable dans ADAM (Active Directory Application Mode) et via des scripts PowerShell qui analysent les flags actifs de l'attribut UserAccountControl, révélant la présence du flag ENCRYPTED_TEXT_PWD_ALLOWED.
L'activation du chiffrement réversible présente un risque de sécurité majeur : les mots de passe peuvent être récupérés en clair. Si un cybercriminel accède à la base de données Active Directory ou compromet un compte disposant des privilèges nécessaires, il peut potentiellement lire les mots de passe des utilisateurs. Des outils tels que le cmdlet Get-ADReplAccount du module DSInternals peuvent être utilisés pour extraire directement ces mots de passe.

Ce risque est particulièrement préoccupant car il rend obsolètes les mesures de protection basées sur des mots de passe complexes, puisque le mot de passe final est accessible en clair. L'utilisation de mots de passe faibles, combinée à l'activation du chiffrement réversible, crée une vulnérabilité critique.
L'activation du chiffrement réversible interagit de manière spécifique avec d'autres politiques de sécurité :
Si l'option "Enregistrer le mot de passe en utilisant un chiffrement réversible" est activée au niveau de l'utilisateur : Ce paramètre prévaut sur toutes les autres politiques, y compris les FGPP et les GPO du domaine. Le mot de passe sera stocké de manière réversible, indépendamment des autres configurations.
Si des FGPP sont appliquées et que l'option "Enregistrer le mot de passe en utilisant un chiffrement réversible" est activée : Le paramètre de chiffrement réversible prime sur les GPO du domaine.
S'il n'y a aucune FGPP : Seuls les paramètres des GPO du domaine s'appliquent. Dans ce cas, si le chiffrement réversible n'est pas activé au niveau de l'utilisateur, les mots de passe sont stockés de manière irréversible par défaut.
Des outils comme PasswordIQ analysent les comptes utilisateurs d'Active Directory à la recherche de diverses vulnérabilités de mots de passe, y compris la détection de mots de passe écrits en clair. Lorsqu'une telle vulnérabilité est détectée, il est essentiel de prendre des mesures correctives.
Lorsque PasswordIQ détecte un mot de passe écrit en clair pour un utilisateur ou un groupe d'utilisateurs, le paramètre de chiffrement réversible est peut-être activé pour leurs comptes. L'analyse de la vulnérabilité de texte écrit en clair est déterminée par une combinaison de paramètres individuels de l'utilisateur, de la politique FGPP et des objets de stratégie de groupe (GPO).
Pour vérifier si le chiffrement réversible est activé, il faut :
pwdProperties dans l'onglet "Éditeur d'attributs". Si cet attribut contient l'indicateur STORE_CLEARTEXT, le domaine est configuré pour autoriser les mots de passe écrits en clair.Les besoins en matière de sécurité étant propres à chaque organisation, il n'y a pas de recommandation unique quant aux modifications à apporter à la stratégie de groupe ou aux paramètres Active Directory. Cependant, plusieurs actions sont fortement conseillées :
Configuration d'Active Directory :
Renforcement des Politiques de Mots de Passe :
Utilisation d'Algorithmes de Chiffrement Modernes :

PasswordIQ peut également détecter d'autres types de vulnérabilités, telles que :
PASSWD_NOTREQD est défini dans l'attribut userAccountControl du compte. L'attribut userAccountControl comporte une valeur décimale pour tous les signaux d'alarme activés pour les utilisateurs.La sécurisation des mots de passe repose sur diverses techniques cryptographiques. Le chiffrement "brouille" un mot de passe pour le rendre illisible par les pirates.
Il est crucial de distinguer deux techniques cryptographiques :
Au-delà des configurations techniques, l'adoption de bonnes pratiques est essentielle :

En résumé, la compréhension du fonctionnement du chiffrement réversible dans Active Directory et l'application rigoureuse des bonnes pratiques de sécurité sont indispensables pour protéger les organisations contre les cybermenaces et garantir la confidentialité et l'intégrité des données sensibles. L'utilisation d'outils d'analyse comme PasswordIQ permet d'identifier proactivement ces vulnérabilités et de mettre en œuvre les correctifs nécessaires.
tags: #decryptage #mot #de #passe #reversible #faible