De nos jours, deviner des mots de passe faibles au niveau de comptes importants tels que Single Sign-On (SSO) se résume souvent à l’utilisation de deux techniques de base : le brute forcing ou la pulvérisation de mot de passe (password sprying).
Le brute forcing consiste à essayer beaucoup de mots de passe communs au niveau de chaque compte, jusqu’à trouver le bon, mais cette technique se heurte aux systèmes de mots de passe qui imposent des limites concernant le nombre de tentatives incorrectes pendant une période donnée.
La pulvérisation de mot de passe tente, quant à elle, de coutourner la limitation ci-dessus, en essayant les mêmes mots de passe communs au niveau des comptes, mais à un rythme beaucoup plus lent, réduisant ainsi les risques d’être bloqué ou de se faire remarquer au cours de l’attaque.
Si vous êtes un client Premium 1 du service cloud Azure AD de Microsoft ou Windows Server Active Directory, l’entreprise vient de sortir en avant-première un nouvel outil permettant de bloquer ce type d’attaque.
Appelé Azure AD Password Protection, l’outil empêche les utilisateurs de définir un mot de passe figurant dans une liste de 500 exemples de mots de passe les plus courants et les plus faciles à deviner, y compris environ un million de substitutions de caractères les plus fréquentes.
Les administrateurs peuvent compléter cette liste avec leurs mots de passe non désirés, pouvant être spécifiques à leur entreprise (par exemple l’utilisation d’un nom d’entreprise ou de produit).
Traditionnellement, la création d’un mot de passe fonctionne à l’inverse, en permettant aux utilisateurs de choisir n’importe lequel, à condition qu’il soit d’une certaine longueur et à priori complexe.
Cette approche a posé des problèmes car ce que les utilisateurs entendent par long et complexe, à savoir ce type de mots de passe “P @ $$ w0rd1!“, peut s’avérer faible car au final tout le monde utilise les mêmes variations, faciles à deviner.
Il existe aussi une tendance à réutiliser les mêmes mots de passe, ce qui signifie qu’un mot de passe cracké permet de pénétrer dans plusieurs comptes.
Pour cette raison, les conseils en matière de mots de passe en 2017, de l’US Standards Body NIST, ont été mis à jour pour promouvoir l’approche utilisée par Azure AD Password Protection :
Il est recommandé que les mots de passe choisis par les utilisateurs soient comparés à une “liste noire”, répertoriant les mots de passe inacceptables.
La théorie est solide, mais il existe des limites. Pour commencer, 500 mots de passe communs avec des variations suffisent-ils ? Dans de nombreux cas, oui, mais même de bons mots de passe peuvent devenir vulnérables s’ils ont été compromis lors d’une violation de données, par exemple.
C’est peut-être pourquoi Microsoft a également publié un deuxième outil Azure, Smart Lockout :
Smart Lockout est notre système de verrouillage qui utilise l’intelligence du cloud pour bloquer les acteurs malveillants qui tentent de deviner les mots de passe de vos utilisateurs. Ce système intelligent peut reconnaître les connexions provenant de véritables utilisateurs et traite celles-ci différemment de celles en provenance de cybercriminels et d’autres sources inconnues.
Dans un article distinct, Microsoft a annoncé en avant-première publique, un paramètre qui rendra l’authentification multifacteur (MFA) disponible par défaut pour les comptes d’administrateur Azure AD.
Billet inspiré de Terrible passwords outlawed in Microsoft’s new Azure tool, sur Sophos nakedsecurity.