12/12/2024

Active DirectoryCybersécurité

Quels sont les points à vérifier pour déployer une stratégie de mots de passe ?

I. Présentation

Dans cet article, nous allons passer en revue l'ensemble des points sur lesquels il est important de s'attarder lorsque l'on souhaite déployer une stratégie de mot de passe au sein d'un domaine Active Directory ou d'une application.

La stratégie de mot de passe, ou politique de mot de passe, définit les règles qui encadrent le format et le cycle de vie des mots de passe. Celle-ci peut être appliquée au sein d'un système local, d'une application web, d'une solution SSO ou encore de tout un domaine Active Directory.

Dans le contexte actuel où les cyberattaques, le phishing, les vols de données et leurs reventes sont monnaie courante. Il est important de s'assurer que notre stratégie et politique de mot de passe répondre aux besoins de sécurité de votre organisation et des menaces qui pèsent sur elle.

L'idée de cet article est donc de vous aider à vous poser les bonnes questions pour vous assurer que votre stratégie de mot de passe soit complète et réponde à l'ensemble des problématiques de sécurité actuelles. Nous verrons aussi quelques solutions techniques qui permettent de mettre en place cette stratégie, notamment sur un Active Directory. Je vous proposerai en fin d'article des ressources supplémentaires pour aller plus loin dans cette démarche.

II. Critères de base pour une stratégie de mots de passe

Commençons par passer en revue les composants basiques de toute politique de mot de passe, à commencer par les règles qui permettent de définir le format des mots de passe.

A. Longueur minimale

Ce paramètre impose un nombre minimum de caractères que doit contenir un mot de passe. Cet attribut a un impact direct sur son entropie, donc sur sa robustesse. C'est l'un des critères les plus faciles à évaluer et à contraindre.

Logique de sécurité :

Plus un mot de passe est long, plus l'attaquant devra réaliser de tentative pour casser son hash ou le trouver dans le cadre d'une attaque par brute force. Cela tout simplement parce que l'espace des caractères à trouver est plus grand. À ce titre, l'ANSSI recommande de ne jamais limiter la longueur maximale des mots de passe afin de permettre l'usage de passphrase ou de longs mots de passe.

B. Complexité

La complexité s'évalue grâce à l'entropie, qui détermine le niveau d'aléatoire dans la composition du mot de passe. Elle est classiquement mesurée par le nombre d'alphabets utilisés (majuscules, minuscules, chiffres, caractères spéciaux) dans celui-ci.

Logique de sécurité :

Plus un mot de passe est long et contient d'éléments provenant de différents alphabets, plus il est complexe. Par exemple, l'utilisation des minuscules uniquement donnera 26 possibilités par caractère. Si l'utilisateur se base sur les 4 alphabets, il aura à disposition :

  • Lettres minuscules : 26 (a-z)
  • Lettres majuscules : 26 (A-Z)
  • Chiffres : 10 (0-9)
  • Caractères spéciaux : au maximum 33 caractères !@#$%^&*()-_=+[]{}|;:'",.<>?/.

Ainsi, si on considère les 33 caractères spéciaux courants, un utilisateur dispose d'environ 95 caractères différents pour composer son mot de passe, rendant ainsi les attaques de type brute force ou dictionnaire plus difficiles.

Imaginez un cadenas à code sur lequel il n'y a non pas que des chiffres, mais 95 possibilités pour chaque caractère.

Pour mieux comprendre l'impact de ces deux premiers critères sur la robustesse d'un mot de passe, je vous montre le graphique suivant qui indique le temps nécessaire à un attaquant pour casser un mot de passe en fonction de sa longueur et de sa complexité :

Source : Hive Systems
Source : Hive Systems

Même si les méthodes de calcul de ces durées reste assez théorique, les résultats sont assez parlants et l'on voit de nettes difficultés apparaitres pour l'attaquant dès que le nombre de caractères augmente et que 2 ou 3 alphabets sont utilisés.

C. Durée de vie du mot de passe (expiration)

Ce critère permet de déterminer la durée de validité d'un mot de passe. Au-delà de ce délai, il doit être changé par l'utilisateur et ne pourra plus être utilisé pour une authentification complète.

Logique de sécurité :

Plus un mot de passe possède un temps de validité court, plus la fenêtre dont dispose l'attaquant pour le voler et le réutiliser est réduite. Cependant, l'ANSSI alerte sur les limites d'un changement fréquent, qui peut entraîner des dérives (mots de passe plus faibles ou réutilisation de schémas connus).

L'intérêt de changer de mot de passe de manière occasionnelle permet également d'invalider les accès obtenus par les attaquants. Il ne faut pas oublier que ces accès sont parfois stockés, puis revendus avant d'être réutilisés dans le cadre d'intrusion. Le changement régulier des mots de passe permet donc d'invalider des identifiants dans le cas d'une fuite.

D. Historique des mots de passe

Il s'agit d'interdire la réutilisation de mots de passe anciens pour éviter que l'utilisateur ne recycle un ancien mot de passe, potentiellement faibles ou compromis. Les paramètres de l'historique des mots de passe permettent de forcer l'utilisateur à choisir un mot de passe complètement nouveau. Certains produits de sécurité permettent même de faire un comparatif de certains patterns ou mots entre deux mots de passe et de les interdire.

Logique de sécurité :

La réutilisation d'anciens mots de passe ou de dérivés faibles contrevient aux apports du changement régulier et permet, en théorie, à un attaquant de réutiliser un mot de passe volé sur une plus longue durée.

Nous voyons que chacun de ces critères est directement lié à un risque ou une technique d'attaque spécifique dont il permet de se protéger. La plupart des applications ou des systèmes permettent aujourd'hui de les implémenter nativement. Si vous développez votre propre système ou module d'authentification, il est grandement recommandé de mettre en place ces critères et de laisser la possibilité à vos clients/utilisateurs de les ajuster en fonction de leur stratégie de mot de passe.

III. Politiques de mot de passe avancées

En plus des critères que nous venons de voir, il est important d'aller plus loin dans la définition et le contrôle des mots de passe choisis par les utilisateurs. Notamment, toute politique de mot de passe moderne se doit de prendre en compte les menaces et tendances actuelles pour améliorer son niveau de sécurité. Voici un aperçu des principales mesures avancées à considérer.

A. Politique par type de profil

L'attribution d'une politique de mot de passe adaptée selon le type de profil et les droits associés est un aspect à considérer lors de l'élaboration d'une stratégie de sécurité. De nos jours, il est souvent possible de définir des politiques de mots de passe spécifiques à chaque groupe d'utilisateurs, imposant ainsi des exigences de sécurité minimales (comme la longueur, la complexité ou la fréquence de renouvellement) adaptées à chaque catégorie d'utilisateurs.

Logique de sécurité :

Tous les utilisateurs d'un système d'information n'ont pas la même criticité. Par exemple, la compromission d'un compte administrateur est bien plus impactante pour la sécurité globale du système d'information qu'un compte standard, comme celui d'un stagiaire. Il est donc nécessaire d'adapter la robustesse des mots de passe en fonction du niveau de risque lié à chaque type de profil, tout en tenant compte de l'impact potentiel sur l'expérience utilisateur.

Les comptes privilégiés, plus sensibles, nécessitent des mesures de sécurité renforcées, notamment via des politiques de mot de passe plus strictes. Cela permet de limiter la portée d'attaques sur les mots de passe, rendant plus difficile la compromission des comptes privilégiés.

B. Interdiction de certains mots ou mots de passe

Une autre mesure de sécurité à considérer consiste à empêcher les utilisateurs et administrateurs de choisir certains mots de passe considérés comme faibles, même s'ils respectent les critères de la politique en place.

Il peut s'agir de mots de passe couramment utilisés, partagés entre plusieurs comptes ou faciles à deviner (par exemple, "Bienvenue2024!"), souvent choisis par facilité ou habitude. De plus, certains mots de passe peuvent être identifiés comme compromis, car ils sont retrouvés dans des listes de mots de passe connus ou proviennent de fuites de données récentes concernant l'entreprise.

La détection de mots de passe compromis se base en général sur l’analyse des bases de données publiées suite à des fuites et leur comparaison avec les mots de passe en usage dans votre environnement.

Logique de sécurité :

Les mots de passe faibles ou exposés dans des fuites publiques sont fréquemment exploités par les attaquants dès les premières phases d'une attaque. Cela, car ils peuvent être récupérés sans intrusion préalable (achat sur le DarkNet, consultation d'une fuite de données publiée, etc.). Ils sont parfois même le point d'entrée initial pour compromettre un système. Par conséquent, interdire l'utilisation de ces mots de passe constitue un moyen efficace de réduire les risques de compromission des comptes utilisateurs.

La possibilité d'implémenter une telle restriction n'est cependant pas fréquemment implémentée dans les systèmes et applications actuelles. Nous verrons ensemble plus bas dans cet article certains outils permettant de faire cela au sein d'un Active Directory.

Je vous oriente vers notre article dédié à ce sujet, qui mentionne notamment le produit Specops Password Policy qui dispose d'une fonctionnalité de blocage de mot de passe :

Sécurité Active Directory - Interdire l’utilisation de certains mots de passe

C. Authentification multi-facteur

L'authentification multi-facteur (Multi-factor Authentication, MFA) consiste à exiger deux ou plusieurs facteurs d'authentification à l'utilisateur afin de valider son identité là où un seul facteur (le mot de passe) est demandé sur une authentification classique. Généralement, en plus du mot de passe, il peut être demandé de renseigner un mot de passe à usage unique (OTP) reçu par e-mail, SMS ou sur une application, une donnée biométrique ou un secret stocké sur une clé physique, par exemple.

L'authentification multi-facteur n'est pas directement liée à la politique de mot de passe en elle-même, mais au processus d'authentification. Cependant, la présence ou non d'un mécanisme MFA obligatoire peut impacter les exigences de sécurité concernant les mots de passe, car elles viennent renforcer la sécurité du processus d'authentification.

Logique de sécurité :

Même en cas de vol du mot de passe, l'attaquant ne pourra pas accéder au compte sans la deuxième forme d'authentification. Cela réduit donc grandement les risques de vol de compte.

Il faut cependant être conscient que le MFA ne permet pas de se protéger des attaques par brute force, que nous verrons un peu plus bas, car l'attaquant est toujours en mesure de valider si un mot de passe découvert pour un compte est valide ou non. Cependant, la découverte de ce mot de passe n'entrainera pas une compromission du compte associé.

Ce mécanisme supplémentaire de sécurisation des accès est largement traité dans le guide de l'ANSSI suivant :

D. Protection contre le brute force & surveillance

La stratégie et politique de mot de passe peut être adaptée en fonction de notre capacité à détecter et à bloquer les attaques par brute force, qui consiste à tenter de multiples mots de passe sur le ou les comptes ciblés. Également, une surveillance continue de l'utilisation des mots de passe consiste à avoir une vue en temps réel du nombre d'authentifications réussies, échouées, du nombre de blocages de comptes, etc. Cela permet de repérer des comportements anormaux, comme des tentatives de connexion répétées sur plusieurs comptes ou à des heures inhabituelles. Il s'agit en général d'indicateurs clairs de l'apparition d'une cyberattaque.

En règle générale, une attaque par brute force peut être grandement ralentie par le verrouillage temporaire des comptes utilisateurs ciblés (1 minute par exemple) après X tentatives échouées d'authentification. Dans de tel cas, il ne faut pas oublier de communiquer clairement avec les utilisateurs et de leur proposer des mécanismes de déblocage anticipé.

Des mesures de bannissement de l'IP source de l'attaquant peut aussi être mise en place.

Voici à titre d'exemple à quoi pourrait ressembler une attaque par brute force ciblant les utilisateurs de l'Active Directory au sein d'un SIEM ELK :

Visualisation d’un pic de tentatives d’authentification infructueuses via une requête KQL dans ELK.
Visualisation d’un pic de tentatives d’authentification infructueuses via une requête KQL dans ELK.

Savoir si l'on est en capacité de détecter et bloquer une telle attaque en temps réel ou si nous sommes complètement à l'aveugle peut avoir un impact direct sur les exigences de mots de passe que l'on impose à nos utilisateurs. Sans mécanismes de surveillance et de réaction, il peut s'avérer nécessaire de donner un coup de tournevis supplémentaire sur les exigences de robustesse des mots de passe, jusqu'à impacter l'expérience utilisateur.

Logique de sécurité :

Lorsqu'un attaquant prend connaissance d'un mot de passe valide, il peut tenter de l'utiliser sur tous les comptes utilisateurs de votre Active Directory en opérant une attaque par password spraying. À l'inverse, il peut aussi décider de cibler un seul compte utilisateur à l'aide de millions de mots de passe jusqu'à trouver le bon. Ces types d'attaques sont très verbeuses, mais aussi très efficaces si aucun mécanisme de ralentissement n'existe ou lorsqu'une politique de mot de passe peu exigeante est en place.

Pour en savoir plus sur ce sujet, je vous oriente vers notre article dédié :

E. Gestion des utilisateurs inactifs

La gestion des utilisateurs inactifs consiste à déterminer une période d'inutilisation d'un compte au-delà duquel il sera supprimé ou désactivé. Ce mécanisme, souvent automatisé ou opéré régulièrement par les équipes de sécurité, permet d'améliorer la sécurité du système d'information en s'assurant que tous les comptes actifs de l'Active Directory sont effectivement utiles. L'idée est donc de réduire la surface d'attaque de notre domaine aux yeux de l'attaquant en réduisant le nombre de comptes utilisateur qu'il peut attaquer.

Logique de sécurité :

Les comptes inactifs ou non utilisés présentent plusieurs faiblesses qui peuvent faciliter la démarche d'un attaquant. Il s'agit de comptes pouvant être compromis sans que personne le remarque. Également, ces comptes non utilisés ne suivent en général pas les mises à jour et durcissement des politiques de mot de passe, puisqu'aucun utilisateur n'est présent pour le renouveler. Ainsi, certains conservent des mots de passe faibles qui peuvent être exploités facilement pendant une très longue durée.

F. Conformité réglementaire

Certaines réglementations imposent des règles strictes concernant le format et la gestion des mots de passe. Dans le cas où votre entreprise doit s'y conformer, il s'agit d'une contrainte forte sur le paramétrage que vous devrez mettre en place concernant les différents critères vus dans cet article.

Il est alors nécessaire de vérifier quelles sont exactement les exigences de chaque réglementation et de disposer de bons outils pour s'y conformer.

IV. Formation des utilisateurs

Les restrictions et règles imposées par la technique sont certes utiles et indispensables, mais il ne faut pas oublier que le maillon faible de la chaine de sécurité est souvent l'humain, qui, par négligence ou ignorance, peut être le vecteur d'introduction d'une faiblesse ou d'une intrusion.

Ainsi, le succès de la mise en place d'une stratégie de mot de passe efficace passe nécessairement par une communication claire auprès des utilisateurs et la mise en place des outils leur permettant de s'y conformer sans difficulté. On peut notamment citer l'aide et la formation à l'utilisation de coffre-fort de mot de passe (KeePass ou solutions collaboratives), la sensibilisation à l'aide d'exercices réalistes à l'échelle de l'entreprise, des générateurs de mots de passe internes à l'entreprise, etc.

Également, il est nécessaire d'envisager tous les use cases possibles concernant le cycle de vie du mot de passe et de proposer aux utilisateurs une réponse adaptée à chaque cas. Mise en place d'une plateforme de self-unlock pour que l'utilisateur se débloque lui-même son compte, mise à disposition de smartphone professionnels pour la MFA, communication lors d'un blocage de compte ou d'un refus de paramétrage du mot de passe, documentations et processus clairs sur la gestion des mots de passe sont autant d'outils et facteurs de succès concernant la mise en place de la stratégie de mot de passe.

Enfin, il ne faut pas oublier la formation et sensibilisation pure et dure des utilisateurs au travers de sessions d'échanges dédiées qui permettent de diffuser les bonnes pratiques, de pointer du doigt les mauvaises (réutilisation du mot de passe entre vie pro et perso, post-it, etc.) et de mieux gérer la résistance au changement que les exigences de sécurité apportent souvent avec elles.

V. Implémentation technique

Dans cette section, nous allons explorer quelques outils disponibles pour la mise en œuvre des politiques de mots de passe dans un environnement Active Directory (AD), qu’ils soient natifs ou fournis par des éditeurs tiers. Nous aborderons également leurs avantages et limitations.

A. Les outils natifs de l’Active Directory

L'Active Directory propose des outils natifs pour gérer les stratégies de mots de passe, notamment à travers les Group Policy Objects (GPO) qui permettent leur déploiement sur tous les systèmes du domaine. Ces GPO permettent de définir des règles de longueur, de complexité, d’historique et de durée de vie des mots de passe, qui sont les critères basiques de toute politique de mot de passe vue précédemment.

Depuis Windows Server 2008, il est possible de mettre en place des Password Settings Object (PSO) ou Stratégie de mot de passe affinée, qui permettent d’appliquer des stratégies de mots de passe différentes en fonction des groupes ou OU d'appartenance des utilisateurs. Voici à quoi ressemble la console de création d'une PSO, avec un champ dédié à l'affectation en fonction du groupe ou de l'OU :

Exemple d'une politique de mot de passe affinée
Exemple d'une politique de mot de passe affinée

Je vous oriente vers notre article dédié si vous souhaitez en savoir plus sur la configuration des PSO :

Avantages :

  • Implémentation simple et intégrée directement dans Active Directory.
  • Pas de coût supplémentaire
  • Mécanisme de verrouillage temporaire de comptes (protection contre les attaques brute force)

Limitations :

  • Les règles restent basiques, ne prenant pas en compte les mots de passe compromis, les patterns réutilisés ou autres critères avancés.
  • Absence de surveillance proactive sur les fuites de mots de passe.
  • Gestion limitée des utilisateurs inactifs et absence de blocage des mots de passe fréquemment utilisés (comme "Password123!").
  • Pas de fonctionnalité d'audit des mots de passe.

B. Microsoft Entra ID (anciennement Azure AD)

Microsoft Entra ID, anciennement connu sous le nom d'Azure Active Directory, propose des fonctionnalités plus avancées pour la gestion des mots de passe, notamment avec Entra ID Password Protection. Cette solution bloque l'utilisation de mots de passe compromis ou trop courants en s'appuyant des listes de mots de passe interdits paramétrées par les administrateurs.

L'utilisation Microsoft Entra ID facilite également l'implémentation du MFA et de la surveillance active des tentatives d'authentification. Pour que cette solution puisse profiter à votre Active Directory on-premise (celui installé dans votre système d'information), il est nécessaire de disposer des bonnes licences, mais aussi de mettre en place Entra ID Connect, qui permet de faire le lien entre Entra ID (cloud) et votre AD on-premise.

Avantages :

  • Protection en temps réel contre l’utilisation de mots de passe faibles ou compromis.
  • Synchronisation possible avec un environnement Active Directory on-premise via Entra Connect.
  • Capacité à définir des politiques de sécurité différentes selon les utilisateurs ou groupes.

Limitations :

  • Nécessite une licence Entra ID Premium pour accéder aux fonctionnalités avancées.
  • La configuration initiale et la gestion peuvent être complexes si l’infrastructure hybride (on-prem et cloud) n’est pas déjà en place.

C. Specops Password Policy

Specops Password Policy est un outil tiers spécifiquement conçu pour améliorer la sécurité des mots de passe dans un environnement Active Directory. Il permet, entre autres, de bloquer les mots de passe compromis, d’interdire certains mots ou expressions, et de surveiller les tentatives d'authentification. Il offre également un retour en temps réel aux utilisateurs lorsqu’ils tentent de définir un mot de passe non conforme.

Voici à titre d'exemple la console qui permet de paramétrer la politique de mot de passe dans Specops Password Policy une fois que cette solution est déployée sur votre AD :

La console suivante, permet quand à elle, de définir des patterns à interdire lors du paramétrage d'une passphrase par les utilisateurs :

Avantages :

  • Intégration native avec Active Directory, sans besoin de migrer vers un système Cloud.
  • Possibilité de bloquer les mots de passe compromis et d'appliquer des politiques fines en fonction des utilisateurs.
  • Interface utilisateur intuitive, simplifiant la gestion des politiques de mots de passe et la surveillance.
  • Couvre la majeure partie des points abordés dans cet article concernant la stratégie de mot de passe

Limitations :

  • Outil payant, ce qui représente un coût supplémentaire pour l'organisation.
  • Peut nécessiter des compétences techniques pour une installation et une gestion optimales.

Pour en apprendre plus sur cette solution, je vous oriente vers notre article complet dédié à sa présentation, son installation et son utilisation :

Vous pouvez aussi regarder notre vidéo de présentation :

VI. Conclusion

Dans cet article, nous avons abordé de nombreux points d'attention auxquels il faut penser lorsque l'on définit et déploie une stratégie ou politique de mots de passe. Nous avons notamment vu qu'il ne s'agit aujourd'hui plus de simplement définir une longueur minimale de mot de passe et que les actualités cyber comme les outils à notre disposition nous incitent à aller beaucoup plus loin à ce sujet.

Au sein d'un Active Directory, cette politique impactera tous les utilisateurs pour de nombreuses années, il est donc important de la définir correctement et d'utiliser les bons outils pour la créer puis la gérer au quotidien.

Pour aller plus loin, je vous oriente notamment vers les ressources suivantes, ainsi que les nombreux liens présents dans l'article :

Cet article contient une communication commerciale.

author avatar
Mickael Dorigny Co-founder
Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.