Daniel Petri | Gestionnaire principal de la formation

Les attaques par devinette de mot de passe constituent une menace critique pour la cybersécurité. Les environnements Active Directory (AD) sont particulièrement sensibles, car un seul compte compromis peut conduire à une infiltration généralisée du réseau. Les conséquences des attaques par devinette de mot de passe peuvent donc être considérables et graves, entraînant des violations de données, la compromission du réseau et d'importantes perturbations opérationnelles. Les comptes à privilèges doivent faire l'objet d'une attention particulière, étant donné leurs droits d'accès élevés et le risque de dommages importants en cas de compromission. Voici ce qu'il faut savoir sur les attaques par devinette de mot de passe et comment protéger Active Directory et votre entreprise.

Qu'est-ce qu'une attaque par devinette de mot de passe ?

Les attaques par devinette de mot de passe sont une forme de cyberintrusion dans laquelle les attaquants tentent systématiquement d'utiliser un large éventail de mots de passe pour obtenir un accès non autorisé aux systèmes. Ces attaques exploitent le maillon faible de la sécurité : les mots de passe choisis par l'homme. Malgré les progrès de la cybersécurité, le recours aux mots de passe comme principal mécanisme d'authentification rend les systèmes intrinsèquement vulnérables à ce type d'attaques.

Les attaques par devinette de mot de passe exploitent plusieurs types de vulnérabilités dans les environnements Active Directory. Il est essentiel d'identifier et de corriger ces vulnérabilités pour atténuer le risque de telles attaques. Les principales cibles vulnérables sont les suivantes

  • Comptes d'utilisateurs avec des mots de passe par défaut ou couramment utilisés. Les comptes d'utilisateurs configurés avec des mots de passe par défaut, courants ou faciles à deviner présentent un risque élevé. Il peut s'agir de comptes qui ont été créés avec un mot de passe initial standard qui n'a jamais été modifié.
  • Politiques de mot de passe insuffisantes. Les comptes, en particulier ceux qui disposent de privilèges élevés, qui ne sont pas régis par des politiques de mot de passe solides sont exposés à un risque important. Le NIST et Microsoft recommandent désormais un minimum de 8 caractères et l'élimination des réinitialisations périodiques des mots de passe pour les comptes d'utilisateurs, entre autres bonnes pratiques. Des politiques de mot de passe faibles permettent des mots de passe plus courts, plus simples ou prévisibles et peuvent augmenter de manière significative le risque d'attaques réussies par devinette de mot de passe. Malheureusement, peu d'environnements AD appliquent le rejet des mots de passe courants.
  • Comptes de service. Les comptes de service disposent souvent d'autorisations de haut niveau et sont utilisés pour exécuter des applications, des processus ou des services au sein du réseau. La compromission d'un compte de service peut avoir des conséquences importantes, car les attaquants peuvent utiliser les autorisations du compte pour accéder à des services et à des processus essentiels ou les perturber.

L'efficacité des attaques par devinette de mot de passe est amplifiée lorsque les meilleures pratiques en matière de sécurité des mots de passe ne sont pas strictement respectées, en particulier pour les comptes administratifs.

Types d'attaques par devinette de mot de passe

Les attaques par devinette de mot de passe se présentent sous différentes formes, chacune ayant des caractéristiques uniques.

Attaques brutales

Les attaques par force brute consistent à essayer toutes les combinaisons de mots de passe possibles. Bien qu'elles demandent beaucoup de temps et de ressources, ces attaques sont étonnamment efficaces contre les comptes dont les mots de passe sont simples ou courts.

  • Le temps estimé pour forcer un mot de passe alphabétique court (6 caractères ou moins) peut être de 5 minutes seulement.
  • Le décryptage de combinaisons alphanumériques comprenant à la fois des majuscules et des minuscules peut prendre environ 5 heures.
  • Les combinaisons alphanumériques complexes comprenant des caractères spéciaux peuvent nécessiter environ 8 jours pour être déchiffrées.

L'augmentation de la longueur du mot de passe à 10 caractères ou plus réduit considérablement la probabilité de réussite d'une attaque par force brute, la rendant impossible sans l'utilisation d'un matériel spécialisé.

Attaques par dictionnaire et par pulvérisation de mots de passe

Dans les attaques par pulvérisation de mots de passe et les attaques par dictionnaire, les attaquants utilisent une liste de mots de passe et de phrases courants. Ces listes comprennent souvent des variations et des substitutions couramment utilisées, exploitant la tendance des utilisateurs à créer des mots de passe faciles à retenir.

  • Pour un mot de passe de 6 caractères, si le mot de passe est un mot courant ou une variation simple, une attaque par dictionnaire peut être très rapide et ne prendre que quelques minutes ou quelques heures. Toutefois, si le mot de passe ne figure pas dans le dictionnaire ou s'il est plus complexe (par exemple, une combinaison aléatoire de caractères), l'attaque par dictionnaire risque de ne pas aboutir du tout.
  • Les chances de réussite d'une attaque par dictionnaire diminuent encore plus avec un mot de passe de 10 caractères, en particulier lorsque ce mot de passe est un mot ou une phrase compliqué(e) ou peu courant(e). Si le mot de passe est une phrase courante ou une combinaison de mots, l'attaque peut être réalisable mais prendrait généralement plus de temps que pour un mot de passe de 6 caractères.

Remplissage de documents d'identité

Le "Credential stuffing" consiste à utiliser des paires de noms d'utilisateur et de mots de passe connus, obtenus lors d'atteintes à la protection des données antérieures. Cette attaque est particulièrement efficace en raison de la pratique courante de réutilisation des mots de passe dans les systèmes et les services.

Risques d'attaque par devinette de mot de passe

Les attaques par devinette de mot de passe présentent de nombreux risques et peuvent avoir des conséquences considérables dans les environnements Active Directory. Le risque principal est l'accès non autorisé, qui peut entraîner une cascade d'événements préjudiciables :

  • Atteintes à la protection des données. Les attaques par mots de passe devinés aboutissent souvent à des violations de données, permettant aux attaquants d'accéder à des informations sensibles telles que des données personnelles, des dossiers financiers et de la propriété intellectuelle. Cet accès porte non seulement atteinte à l'intégrité de l'organisation, mais peut également avoir des répercussions juridiques et financières.
  • Mouvement latéral. Une fois à l'intérieur du réseau, les attaquants peuvent utiliser des informations d'identification compromises pour se déplacer latéralement entre les systèmes. Le mouvement latéral permet aux acteurs de la menace d'accéder à d'autres comptes, serveurs ou bases de données qui ne sont pas directement accessibles depuis le point d'entrée initial. Le déplacement latéral est particulièrement dangereux dans les environnements AD en raison de la nature interconnectée des ressources du réseau.
  • L'escalade des privilèges. Les attaquants peuvent exploiter des mots de passe faibles pour obtenir des privilèges plus élevés au sein du réseau. Cela peut impliquer la compromission de comptes disposant de privilèges administratifs ou l'escalade des privilèges d'un compte de niveau inférieur. L'escalade des privilèges peut conduire les attaquants à prendre le contrôle total du réseau et de ses ressources.
  • Persistance de la menace. Les attaquants cherchent souvent à établir un accès persistant au réseau, ce qui leur permet de revenir à volonté. Ils atteignent cet objectif en créant des portes dérobées, en implantant des logiciels malveillants ou en exploitant d'autres vulnérabilités. La persistance des menaces dans les environnements AD peut être difficile à détecter et à éradiquer sans les outils appropriés.
  • Perturbation des opérations. Un accès non autorisé peut perturber les activités de l'entreprise, entraînant des temps d'arrêt, une perte de productivité et une atteinte potentielle à la réputation de l'organisation.
  • Violations de la conformité. De nombreux secteurs d'activité et pays disposent de réglementations et de normes régissant la protection des données et de la vie privée. Les attaques par devinette de mot de passe qui conduisent à des violations de données peuvent entraîner une non-conformité, avec des amendes et des conséquences juridiques.

Les incidents réels impliquent souvent des attaquants qui exploitent des mots de passe courts ou courants. Par exemple, de nombreuses violations de données se sont produites parce que des attaquants ont pu deviner ou craquer des mots de passe simples utilisés par des employés ou des administrateurs. Dans certains cas, les attaquants ont utilisé les informations d'identification compromises pour installer des ransomwares, causant ainsi des dommages opérationnels et financiers importants.

Comment détecter les attaques par devinette de mot de passe

La détection efficace des attaques par devinette de mot de passe dans les environnements Active Directory implique une approche à multiples facettes qui combine la surveillance, l'analyse et l'utilisation d'outils de sécurité avancés. Les stratégies clés sont les suivantes :

  • Surveiller les tentatives de connexion. L'un des principaux indicateurs d'une attaque par devinette de mot de passe est un nombre anormalement élevé de tentatives de connexion infructueuses. Les systèmes de surveillance doivent être configurés de manière à alerter les administrateurs en cas de nombre excessif d'échecs de connexion, en particulier lorsqu'ils se produisent en succession rapide ou à des heures inhabituelles.
  • Analyser les modèles de connexion. Au-delà du volume des tentatives de connexion, il est important d'analyser les schémas de ces tentatives. Il s'agit notamment d'évaluer les tentatives de connexion à partir d'emplacements inhabituels, les connexions à des heures atypiques et les connexions à des comptes de grande valeur ou sensibles. Une telle analyse peut révéler des tentatives de devinettes de mots de passe plus sophistiquées ou des cas où les attaquants pourraient utiliser des informations d'identification volées.
  • Analyse des fichiers journaux. Les journaux peuvent fournir des informations détaillées sur les tentatives d'authentification, notamment les adresses IP sources, les horodatages et les détails des comptes d'utilisateurs. L'analyse de ces journaux peut aider à identifier les activités potentielles de devinettes de mots de passe et d'autres comportements suspects. Cependant, il faut savoir que de nombreuses attaques sont capables d'échapper à la détection basée sur les journaux.
  • Outils de sécurité réseau. Utilisez des outils de sécurité réseau tels que les systèmes de détection d'intrusion (IDS), les systèmes de prévention d'intrusion (IPS) et les solutions de gestion des informations et des événements de sécurité (SIEM). Ces outils peuvent fournir une analyse en temps réel du trafic réseau et des données de journal, ce qui permet de détecter et d'alerter sur les attaques potentielles de devinettes de mots de passe - même si, là encore, ils peuvent ne pas détecter certaines menaces.
  • Surveillance spécifique des comptes. Accordez une attention particulière aux comptes connus pour être des cibles de grande valeur, tels que les comptes d'administrateurs de domaine.
  • Protection des points d'accès. Mettre en œuvre des solutions de protection des points d'accès capables de détecter et d'alerter en cas d'activités suspectes sur des postes de travail et des serveurs individuels. Il s'agit notamment de surveiller les processus ou applications inhabituels qui pourraient indiquer que le compte est compromis.

Comment limiter les attaques par devinette de mot de passe

La réponse aux attaques par devinette de mot de passe dans les environnements Active Directory nécessite une approche globale qui englobe l'application de la politique, la formation des utilisateurs et les contrôles techniques.

Mettre en œuvre des politiques d'authentification multifactorielle et de verrouillage des comptes

L'authentification multifactorielle (MFA) ajoute une couche supplémentaire de sécurité en exigeant une deuxième forme de vérification en plus du mot de passe. Cela permet de réduire considérablement le risque d'accès non autorisé, même si le mot de passe est compromis.

Les politiques de verrouillage de compte verrouillent temporairement un compte après un certain nombre de tentatives de connexion infructueuses. Cela permet d'éviter les attaques par force brute en limitant le nombre de tentatives d'identification qu'un attaquant peut effectuer dans un laps de temps donné.

Respecter les directives actuelles en matière de sécurité des mots de passe

Le respect des directives établies par des organismes tels que le NIST peut renforcer la sécurité des mots de passe. Cela inclut l'application de politiques de mots de passe à granularité fine (FGPP) dans AD, qui vous permet d'appliquer différentes politiques de mots de passe à différents groupes d'utilisateurs, en veillant à ce que les comptes privilégiés soient soumis à des exigences plus strictes. Tous les principaux fournisseurs de gestionnaires de mots de passe proposent des générateurs pour vous guider.

Appliquer des règles strictes en matière de mots de passe

Les politiques devraient imposer l'utilisation de mots de passe complexes ou de phrases de passe conformes aux meilleures pratiques. La longueur minimale du mot de passe devrait idéalement être supérieure aux 8 caractères traditionnels, car les mots de passe plus longs augmentent considérablement la difficulté des attaques par devinette de mot de passe.

Les phrases de passe sont une option encore plus intéressante. Elles sont généralement plus longues et peuvent être à la fois plus sûres et plus faciles à mémoriser, ce qui réduit la probabilité de réutilisation des mots de passe ou de mots de passe simples et faciles à deviner. L'utilisation d'une phrase de passe plutôt que d'un mot de passe long, complexe et difficile à retenir est recommandée pour plusieurs raisons, principalement en raison de l'équilibre entre la sécurité et la facilité de mémorisation.

Mais des mesures doivent être prises pour faire appliquer ces politiques. Par exemple, il faut envisager d'interdire les mots de passe courants. Pour les environnements qui incluent Entra ID, Microsoft Entra Password Protection offre une assistance pour de telles étapes. Des filtres de mots de passe Active Directory tiers sont également disponibles pour vous aider à bannir les mots de passe couramment utilisés (et donc couramment devinés).

Éduquer et former les utilisateurs

Organisez régulièrement des sessions de formation et des programmes de sensibilisation pour tous les utilisateurs, y compris ceux qui disposent d'un accès privilégié. Expliquez-leur l'importance de la sécurité des mots de passe, les risques liés à des mots de passe faibles et les meilleures pratiques pour créer des mots de passe ou des phrases de passe forts et mémorisables.

Secure Active Directory et Entra ID

Pour contrer efficacement les attaques par devinette de mot de passe dans les environnements AD, les administrateurs et les spécialistes de la cybersécurité doivent mettre en œuvre une série de mesures proactives. Les principales mesures à prendre sont les suivantes :

  • Effectuer des audits réguliers des comptes et des privilèges des utilisateurs. Veillez à ce que les comptes, en particulier ceux qui ont des privilèges élevés, n'obtiennent que l'accès nécessaire à leur rôle et à ce que toutes les autorisations inutiles soient révoquées. L'outil gratuit Purple Knight de Semperis est un moyen simple et rapide de détecter les privilèges excessifs et comprend des indicateurs de sécurité pour détecter les utilisateurs privilégiés ayant des politiques de mots de passe faibles et d'autres configurations risquées liées aux mots de passe.
  • Automatiser la surveillance et le retour en arrière. Surveillez les signes d'attaques par devinette de mot de passe, tels que de multiples tentatives de connexion échouées, des tentatives de connexion à partir d'endroits inhabituels ou des schémas d'accès atypiques. Idéalement, utilisez un outil qui peut détecter les attaques furtives et les modèles d'attaque dans AD et Entra ID et qui offre l'option de mettre en place des alertes et des notifications ou même d'annuler les changements risqués dans Active Directory jusqu'à ce que vous puissiez confirmer qu'ils sont légitimes.
  • Prévoir une réponse efficace en cas d'incident. Élaborer et tenir à jour un plan de réponse aux incidents comprenant des procédures de réponse aux attaques présumées par devinette de mot de passe. Ce plan doit détailler les étapes de confinement, d'éradication, de récupération et de vérification de l'identité après l'incident.

Aperçu de Semperis

Les attaques par devinette de mot de passe dans les environnements AD exploitent les mauvaises configurations et les mots de passe faibles, ce qui peut conduire à des brèches importantes et permettre des mouvements latéraux et une escalade des privilèges. Il est essentiel de comprendre ces risques et de mettre en œuvre des stratégies de détection et d'atténuation ciblées pour se prémunir contre ces attaques.

Les administrateurs d'Active Directory et les spécialistes de la cybersécurité doivent rester vigilants et protéger de manière proactive leurs réseaux contre ces menaces omniprésentes. En mettant en œuvre des stratégies d'atténuation, les organisations peuvent réduire considérablement le risque d'attaques par devinette de mot de passe et renforcer la sécurité globale de leurs environnements AD.