Ligne directe 24/7 | Réponse à incidents
Nous contacter
Accueil Audit SSI Audit de mots de passe

Audit de robustesse des mots de passe

Testez la robustesse de vos mots de passe Active Directory grâce à la cryptanalyse statistique.

Contacter nos équipes

« Un seul et unique compte corporate compromis (login et password) peut entraîner la compromission du Système d’Information d’une organisation. »
RetEx des équipes SYNETIS lors d’audits offensifs.

 

La santé d’un Système d’Information est très fortement liée aux mots de passe qu’il contient. Comptes des employés ou prestataires, comptes applicatifs, de services, d’administration… Tous ces sésames sont très prisés et ciblés par les attaquants extérieurs mais aussi les acteurs malveillants ou imprudents internes.

Malgré la présence de bastions, de la fédération des identités ou de l’authentification forte, qu’en est-il réellement de l’hygiène et du respect de la politique de mot de passe interne ? Et que nous garantit réellement une politique robuste de mots de passe ?

Jugez de la robustesse globale des mots de passe par cryptanalyse statistique

Un audit de mots de passe par cryptanalyse statistique permet de juger de la robustesse globale des mots de passe Active Directory de vos collaborateurs, mais aussi des comptes de services ou d’administration. De là, on peut en déduire un taux de compromission potentielle (proportion de mots de passe faibles).


Il s’agit également de sensibiliser les utilisateurs en permettant une prise de conscience des faiblesses de leurs mots de passe, levier essentiel dans le renforcement du niveau de sécurité

Aujourd’hui, en moyenne, Synetis casse plus de 50% des mots de passe en moins de 5 heures.

Découvrez les bénéfices d'un audit de mots de passe

Un audit de mots de passe, ponctuel ou récurrent (tous les 3 ou 6 mois), permet d’apporter des statistiques, indicateurs et métriques concrets aux décideurs :

  • Combien de comptes utilisateurs peuvent être compromis en X heures ?
  • Comment un mot de passe peut-il être cassé, par quelle méthode et en combien de temps ?
  • Quelle est la répartition des comptes respectueux de la politique de mot de passe ?
  • Quel est le top 10 des mots de passe utilisés par les collaborateurs ?
  • Quels sont les « mots de base » les plus utilisés ?
  • Quelle est la répartition des longueurs des mots de passe ?
  • Quel est l’indice global de robustesse des mots de passe des employés (Standards, ANSSI, etc.) ?
  • Comment mon entreprise se situe-t-elle par rapport à des entreprises du même secteur ?
  • Quelle est la robustesse cryptographique et de la politique de mot de passe de tel ou tel référentiel ?
  • Si cette prestation est effectuée de manière récurrente, il est possible d’évaluer l’évolution du niveau de sécurité général des mots de passe de l’entreprise.

Appuyez-vous sur une démarche rigoureuse et éprouvée

  • Notre démarche d’évaluation couvre les aspects suivants :
  • Processus de transmission sécurisé de votre annuaire NTDS ;
  • Découverte algorithmique, analyse fréquentielle et de formatage des hashs ;
  • Attaques dictionnaires (contextualisés, communs, leaks) ;
  • Attaques hybrides sur la base de règles de transformation ;
  • Attaques par analyse fréquentielle et rainbow-tables ;
  • Attaques brute-force sur la base de masques ;
  • Vérification de la compromission sur des sites qui répertorient des mots de passe fuités ;
  • Analyse des résultats et statistiques ;
  • Restitution des résultats.

Bénéficiez d'un rapport d’expertise complet

Une mission de cryptanalyse statistique donne lieu à un rapport comprenant l’ensemble des résultats et des indicateurs générés. Il inclut une liste de recommandations, de bonnes pratiques et un plan d’actions :

  • Avec une vision globale puis affinée (par domaine Active Directory, par algorithme, par période) ;
  • Personnalisée en fonction de la nomenclature de vos comptes (*-adm, svc-*, …) ;
  • Précisant la distribution des mots de passe :
  • Par longueur, par domaine, par modèles / patterns / masks, par algorithmes ;
  • Par complexité (standard, ANSSI, Active Directory compliance) ;
  • Top 100 des mots de passe et mots de base les plus utilisés (blacklist) ;
  • Pourcentage des mots de passe ayant fuité par le passé (DarkWeb) ;
  • Évolution de la cryptanalyse en fonction du temps (timeline) ;
  • Et de nombreuses autres métriques pour suivre l’état de santé du SI au travers des mots de passe utilisés.

Exemples de livrables

Pourquoi Synetis ?

  • Un pourcentage global de cassage réussi avoisinant les 80 % tous domaines, clients et secteurs confondus ;
  • Des  millions de mots de passe analysés ;
  • En moyenne, 50 % des mots de passe cassés en moins de 5 heures ;
  • Des résultats concrets et complets sous 2 semaines d’analyse ;
  • Une prestation réalisée avec du matériel standard, sans super-calculateur, pour plus de réalisme.

 

Vos mots de passe sont-ils réellement sécurisés ? L’audit par cryptanalyse statistique de Synetis lève le voile sur vos vulnérabilités et vous donne les clés pour les corriger.

Vous avez un projet d'audit ?
Pentest
Architecture
Configuration
Red Team
Social Engineering
Organisationnel et Physique
Code Source

Réponse à incident

Coordonnées du CERT

 

Mail : cert@synetis.com

Téléphone : 02 30 21 31 04

USER ID : CERT SYNETIS

KEY ID : 2F6F A FE30 7877

Empreinte clé PGP : 8D8ACAAC20557C7C1FF58332F6FA110FE307877

Le CERT Synetis est en cours de qualification PRIS (Prestataires de Réponse aux Incidents de Sécurité) par l’ANSSI

Contactez notre équipe Audit