18/12/2024
IT-Connect » Cours - Tutoriels » Cybersécurité » Sécurité des mots de passe : quelles sont les nouvelles règles du NIST ?

recommandations sécurité mots de passe NIST 2025
Cybersécurité

Sécurité des mots de passe : quelles sont les nouvelles règles du NIST ?

Florian BURNEL 2 commentaires

I. Présentation

Le NIST a publié une mise à jour de ses directives pour la sécurité des mots de passe ! L'occasion de faire un point sur les nouvelles recommandations et voir quelles sont les différences en comparaison des pratiques traditionnelles.

Les mots de passe n'échappent pas aux évolutions des bonnes pratiques en matière de sécurité. D'ailleurs, ces dernières années, la CNIL et l'ANSSI ont mis à jour leurs recommandations à ce sujet. Cette fois-ci, ce sont de nouvelles règles en provenance des États-Unis, et plus précisément du NIST, que nous allons évoquer.

II. Qui est le NIST ?

Le National Institute of Standards and Technology (NIST) est une agence fédérale américaine qui fait partie du département du Commerce des États-Unis. Créé en 1901 dans le Maryland, le NIST a pour mission de promouvoir l'innovation et la compétitivité industrielle des États-Unis, par l'intermédiaire de plusieurs actions, dont le développement de standards, de mesures scientifiques et de technologies.

Le NIST est également très actif dans le domaine de la cybersécurité, avec un ensemble de publications comprenant des recommandations ainsi que la célèbre base de données nationale des vulnérabilités (National Vulnerability Database), accessible à l'adresse "nvd.nist.gov". La publication évoquée dans cet article est nommée "SP 800-63B" et elle a été révisée le 28 août 2024.

III. Les principales recommandations du NIST

Cette nouvelle publication du NIST, constituée de 35 000 mots, est très détaillée et riche en information. Nous essaierons ici d'en tirer l'essentiel et de dresser la liste des principales recommandations relatives à la sécurité des mots de passe.

A. La longueur est plus importante que la complexité

La publication du NIST insiste sur l'importance de la longueur des mots de passe, comme un critère essentiel et qui doit être priorisé, en comparaison de la complexité.

Les recherches menées par le NIST mettent en lumière le côté prédictible des mots de passe créés par les humains. Depuis longtemps, il nous est demandé de créer des mots de passe complexes, constitué de lettres minuscules, lettres majuscules, nombres et de caractères spéciaux, en respectant de façon stricte ce format.

Résultat, nous pouvons nous retrouver avec des mots de passe prédictibles, avec des mots basiques ou le nom de l'entreprise : "Bonjour123!" ou "IT-Connect2024", par exemple. Ces mots de passe respectent les critères de complexité, si l'on met de côté la longueur. Quoique, ils font respectivement 11 et 14 caractères, ce qui n'est pas si mal. Pourtant, ils pourraient être devinés assez facilement...

Ainsi, le NIST recommande d'imposer une longueur du mot de passe plus importante, plutôt que de mettre l'accent sur la complexité. De plus, au lieu de demander aux utilisateurs de créer des mots de passe aléatoires et assez courts, il est préférable de les encourager à créer des mots de passe plus longs. On se retrouve alors avec des passphrases (phrases de passe). Un sujet que nous avons largement couvert dans un précédent article :

Dans l'idéal, utilisez des passphrases constituées de mots qui n'ont aucun rapport entre eux. Ce sera plus facile à retenir, mais aussi à saisir. Par exemple, la passphrase "Voiture-Ordinateur-Soleil-Perroquet-10" sera beaucoup plus efficace qu'un mot de passe comme "iTC-khn@uM10". Ici, ma passphrase fait 38 caractères, tandis que mon mot de passe fait 12 caractères.

B. Facilitez l'utilisation de mots de passe longs

Pour les applications et l'accès aux ressources d'une entreprise, le choix des mots de passe des utilisateurs dépend des stratégies de mots de passe mises en place dans votre organisation.

Pour faciliter l'utilisation de mots de passe longs, le NIST recommande d'accepter des valeurs jusqu'à 64 caractères. Certes, cela va bien au-delà des besoins de la plupart des utilisateurs, mais c'est important pour ceux qui privilégient une sécurité maximale ou pour les comptes sensibles. In fine, cette souplesse dans la longueur des mots de passe ne pourra qu'encourager l'utilisation de passphrases.

Surtout, si cela est couplé à une longueur minimale en nombre de caractères. À ce sujet, le NIST évoque une longueur minimale de 8 caractères, ce qui semble faible.

C. Arrêtez de changer régulièrement vos mots de passe

Changer un mot de passe trop fréquemment, ce n'est plus une bonne pratique. Le NIST est de cet avis, tout comme d'autres agences et institutions. Il y avait une époque où l'on imposait aux utilisateurs de changer leur mot de passe tous les 3 ou tous les 6 mois. Cette époque est révolue.

Cette recommandation devrait être très bien reçue de la part des utilisateurs finaux. En effet, généralement, ils n'apprécient pas cette contrainte imposée par le service informatique et les changements réguliers de mots de passe. Néanmoins, il est recommandé d'imposer un changement de mot de passe immédiat en cas de compromission de ce dernier.

En résumé, pour les utilisateurs finaux, il est préférable d'avoir un mot de passe robuste et de le conserver longtemps, que d'avoir un mot de passe médiocre et le remplacer un nouveau mot de passe tout aussi médiocre. Autrement dit, un changement trop régulier peut affaiblir la sécurité en incitant à des modifications mineures et prévisibles des mots de passe.

D. Implémentez le MFA

L'authentification multifacteurs (MFA) représente une barrière supplémentaire et elle constitue un élément important dans la ligne de défense des comptes d'accès. À juste titre, le NIST considère que le MFA n'est plus optionnel et qu'il doit être mis en place partout où cela est envisageable.

Plusieurs études, notamment du côté de chez Microsoft, mettent en lumière l'importance du MFA dans la lutte contre la compromission des comptes. En effet, cette mesure peut bloquer plus de 99,2 % des attaques de compromission de compte.

E. Les types de caractères

Le NIST précise que les administrateurs doivent permettre aux utilisateurs d'utiliser des minuscules, des majuscules, des chiffres, des caractères spécifiques, y compris l'espace. Il est même évoqué l'acceptation de tous les caractères ASCII imprimables.

L'espace peut être intéressant pour constituer une passphrase afin de séparer chaque mot par un espace, comme on est susceptible de le faire lorsque l'on écrit une phrase. Le NIST estime qu'il ne faudrait pas imposer un mélange de différents types de caractères pour les mots de passe, ce qui renforce l'idée de miser sur la longueur de ce dernier.

F. Empêchez l'utilisation de mots de passe compromis

De nombreux dictionnaires de mots de passe circulent sur Internet : certains sont constitués à partir de honeypots, tandis que d'autres sont directement liés à des fuites de données et des cyberattaques. Ainsi, un mot de passe, qu'il soit robuste ou non, est susceptible à un moment donné de se retrouver entre les mains d'une personne malintentionnée. Ceci augmente alors le risque de compromission d'un compte où ce mot de passe serait utilisé.

Les utilisateurs peuvent utiliser un mot de passe qui leur semble fort, sans savoir qu'il circule déjà dans des bases de données entre les mains des pirates. Si une attaque brute force est initiée sur un compte, et que le service ne dispose pas de système de détection et de prévention contre ce type d'attaque, le compte pourrait être compromis.

Le NIST recommande de surveiller l'utilisation des mots de passe compromis et d'empêcher leur utilisation. Ce qui n'est pas une directive évidente à mettre en pratique.

IV. Appliquer les recommandations du NIST à l'Active Directory

Dans un environnement Active Directory, comment peut-on appliquer les recommandations du NIST ? Il y a des outils sur lesquels on peut s'appuyer pour cela :

  • Specops Password Auditor, un outil gratuit capable d'analyser les mots de passe de l'Active Directory
  • Specops Password Policy, un outil payant capable de mettre en place des stratégies de mots de passe très flexibles et hautement personnalisable

A. Specops Password Auditor

En quelques minutes, Specops Password Auditor peut analyser votre annuaire Active Directory dans le but d'identifier les mots de passe compromis, mais aussi les comptes sans mots de passe, ou encore les comptes qui ont le même mot de passe.

Il est également capable de vous indiquer si votre politique de mots de passe Active Directory respecte les bonnes pratiques du NIST, de l'ANSSI ou encore de Microsoft. Tout cela sera synthétisé dans un rapport prêt à l'emploi, disponible en plusieurs langues, dont le français. Sachez que la base de mots de passe compromis utilisée par Specops Password Auditor est téléchargée en local sur votre serveur et qu'elle contient 1 milliard de mots de passe.

Pour être plus précis, voici ce que va analyser Specops Password Auditor :

  • Comptes avec des mots de passe vides
  • Comptes avec des mots de passe ayant fait l'objet d'une fuite de données (mots de passe compromis)
  • Comptes avec des mots de passe identiques
  • Comptes administrateur du domaine
  • Comptes administrateur non protégés contre la délégation
  • Comptes administrateur et utilisateurs inactifs
  • Comptes où le mot de passe n'est pas obligatoire
  • Comptes où le mot de passe n'expire jamais
  • Comptes où le mot de passe est configuré pour expirer
  • Comptes où le mot de passe est expiré
  • L'âge du mot de passe sur chaque compte utilisateur / administrateur
  • Liste des politiques de mots de passe avec les caractéristiques clés (dont l'entropie)
  • Utilisation / affectation des politiques de mots de passe
  • Conformité des politiques de mots de passe (ANSSI, CNIL, NIST, BSI, etc.)

Pour en savoir plus, retrouvez notre article et notre vidéo de présentation :

Vous pouvez télécharger Password Auditor gratuitement via cette page :

  • Télécharger Specops Password Auditor

B. Specops Password Policy

Si vous connaissez bien l'Active Directory, vous savez que les possibilités sont limitées concernant les stratégies de mots de passe, y compris lors de la mise en place d'une stratégie de mots de passe affinée. La solution Specops Password Policy comble de nombreuses lacunes du système natif proposé par Microsoft.

Vous pouvez notamment créer des politiques spécifiques pour les passphrases et interdire l'utilisation de certains mots clés à partir d'un dictionnaire personnalisé. Ainsi, vous pouvez interdire l'utilisation de mots de passe trop simples ou de mots de passe reprenant le nom de votre organisation.

La grande force de cette solution, c'est sa fonctionnalité "Breached Password Protection" pour détecter au quotidien les mots de passe compromis. Elle est basée sur une base de données avec plus de 4 milliards de hash et qui est actualisée tous les jours. Si le mot de passe de l'un de vos utilisateurs est compromis, l'outil sera capable de le détecter et de vous avertir ! En effet, vous pouvez notifier un utilisateur via un message personnalisé lorsque son mot de passe a été trouvé dans une fuite de données. Cela permet de l'avertir sur le fait qu'il va devoir le changer.

Mis à part le MFA qui n'est pas pris en charge par cette solution, elle permet de déployer une stratégie de mots de passe qui respecte parfaitement les bonnes pratiques du NIST, mais aussi de l'ANSSI.

Vous pouvez demander un essai de cette solution via cette page :

V. Conclusion

Cette nouvelle publication du NIST met en évidence les tendances actuelles, à savoir l'utilisation du MFA à chaque fois que c'est possible, ainsi que l'utilisation de mots de passe longs, au détriment de la complexité basée sur la variété des caractères.

Qu'en pensez-vous ? Pensez à donner votre avis !

Article sponsorisé.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Investiguer sur un LLMNR poisoning et un SMB Relay avec Wireshark – Hack The Box Sherlocks : Noxious

Mickael Dorigny 0
Sécurité Active Directory - Améliorer la sécurité des chemins UNC

Active Directory : améliorer la sécurité du partage SYSVOL avec les chemins UNC durcis

Florian BURNEL 0
tuto LaZagne sur Windows collecter identifiants mémorisés

Comment collecter les identifiants mémorisés sur Windows avec LaZagne ?

Florian BURNEL 2

2 commentaires sur “Sécurité des mots de passe : quelles sont les nouvelles règles du NIST ?

  • Salut Florian,

    Pour les Passphrases, je n’avais pas trouvé mon bonheur en FR donc j’ai fais le miens : https://passphrase.fr/

    Si jamais ça peut servir à d’autre… y’a le GIT avec toutes les sources.

    Répondre

  • Personnellement, pour le moment, j’utilise Keepas, en générant des mots de passes aléatoires d’une 20aine de caractères.

    Pour le mot de passe maitre de Keepas, j’ai pris un livre que j’aime bien à une page au hasard et j’ai appris une phrase plutôt longue aléatoire dans le livre.

    Je pense que c’est pas mal, qu’en pensez vous ?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.