Cryptanalyse statistique de mots de passe.

– Audit de (Cyber)sécurité –

« Un seul et unique compte corporate compromis (login et password) entraîne la compromission du système d’information d’une organisation. »
RetEx des équipes SYNETIS lors d’audits offensifs

La santé d’un système d’information est très fortement liée aux mots de passe qu’il contient. Employés, comptes applicatifs, de services, d’administration… tous ces sésames sont très prisés et ciblés par des attaquants extérieurs mais aussi depuis l’interne. Malgré des bastions, de la fédération des identités ou de l’authentification forte, qu’en est-il réellement de l’hygiène des mots de passe d’un référentiel donné, et du respect de la politique de mot de passe interne ?

Cryptanalyse d’un mot de passe – Freepik.

Une mission de cryptanalyse statistique permet d’éprouver ces secrets, d’en extraire de la connaissance et des leviers nécessaires au renforcement des politiques et des briques composant le système d’information d’une organisation ; tout en permettant une sensibilisation contextualisée et récurrente.

Intérêt d’une cryptanalyse statistique

Une mission de Cryptanalyse SYNETIS, ponctuelle ou récurrente (tous les 3 ou 6 mois), permet d’apporter des statistiques, indicateurs et métriques concrets aux décideurs :

  1. Combien de comptes utilisateurs peuvent être compromis en X heures ?
  2. Comment un mot de passe peut-il être cassé, par quelle méthode et en combien de temps ?
  3. Quelle est la répartition des comptes respectueux de la politique de mot de passe ?
  4. Quel est le ratio des comptes « *adm* », « *svc* », « *app* », etc. qui ont été cassés ?
  5. Quel est le Top10 des mots de passe utilisés par les collaborateurs ?
  6. Quels sont les « mots de base» les plus utilisés ?
  7. Quelle est la répartition des longueurs des mots de passe ?
  8. Quels sont les modèles / patterns / masks principalement utilisés par les utilisateurs ?
  9. Quel est l’indice global de robustesse des mots de passe des employés (Standards, ANSSI, etc.) ?
  10. Comment mon entreprise se situe-t-elle par rapport à des entreprises du même secteur ?
  11. Combien de mots de passe ont déjà fuités sur l’Internet ou le DarkWeb ?
  12. Quelles sont les habitudes de renouvellement de mot de passe des collaborateurs ?
  13. Quelle est la répartition des politiques de mot de passe et des utilisateurs compromis par domaine AD ?
  14. Quelle est la robustesse cryptographique et de la politique de mot de passe de tel ou tel référentiel ?

Avec récurrence : comment évolue le niveau de sécurité général des mots de passe de l’ entreprise ?

Livrables, indicateurs et métriques

Une mission de cryptanalyse statistique donne lieu à un rapport dédié, comprenant l’ensemble des résultats et des indicateurs générés ; incluant une liste de recommandations / bonnes pratiques et un plan d’action :

  • Avec une vision globale puis affinée (par domaine AD, par algorithme, par période) ;
  • Personnalisée en fonction de la nomenclature de vos comptes (*-adm, svc-*, …) ;
  • Complète en fournissant un export de toutes les statistiques au format brut (Excel) pour vos propres indicateurs ;
  • Précisant la distribution des mots de passe :
    • Par longueur, par domaine, par modèles / patterns / masks, par algorithmes ;
    • Par complexité (standard, ANSSI, Active Directory compliance) ;
    • Top100 des mots de passe et mots de base les plus utilisés (blacklist) ;
    • Pourcentage des mots de passe ayant fuité par le passé (DarkWeb) ;
    • Évolution de la cryptanalyse en fonction du temps (timeline) ;
    • Et de nombreuses autres métriques pour suivre l’état de santé du SI au travers des mots de passe utilisés.

Cryptanalyse statistique SYNETIS : quelques chiffres

  • Un pourcentage global de cassage réussi avoisinant les 80% tous domaines, clients et secteurs confondus ;
  • Plusieurs centaines de milliers / millions de mots de passe analysés ;
  • En moyenne, 50% des mots de passe cassés en moins de 5 heures;
  • Des résultats concrets et relativement complets sous 2 semaines d’analyse;
  • Une prestation réalisée avec du matériel standard, sans super-calculateur.