Audit de robustesse des mots de passe

Audit de robustesse des mots de passe par cryptanalyse statistique

Testez la robustesse de vos mots de passe Active directory.

Nous contacter

Partager :

« Un seul et unique compte corporate compromis (login et password) peut entraîner la compromission du Système d’Information d’une organisation. »
RetEx des équipes SYNETIS lors d’audits offensifs

La santé d’un Système d’Information est très fortement liée aux mots de passe qu’il contient. Comptes des employés ou prestataires, comptes applicatifs, de services, d’administration… Tous ces sésames sont très prisés et ciblés par les attaquants extérieurs mais aussi les acteurs malveillants ou imprudents internes. Malgré la présence de bastions, de la fédération des identités ou de l’authentification forte, qu’en est-il réellement de l’hygiène et du respect de la politique de mot de passe interne ? Et que nous garantit réellement une politique robuste de mots de passe ?

Objectif d’un audit de mots de passe par cryptanalyse statistique

Un audit de mots de passe par cryptanalyse statistique permet de juger de la robustesse globale des mots de passe Active Directory de vos collaborateurs, mais aussi des comptes de services ou d’administration. De là, on peut en déduire un taux de compromission potentielle (proportion de mots de passe faibles).

 

Il s’agit également de sensibiliser les utilisateurs en permettant une prise de conscience des faiblesses de leurs mots de passe, levier essentiel dans le renforcement du niveau de sécurité

Aujourd’hui, en moyenne, Synetis casse plus de 50% des mots de passe en moins de 5 heures.

Bénéfices attendus d’un audit de mots de passe

Un audit de mots de passe, ponctuel ou récurrent (tous les 3 ou 6 mois), permet d’apporter des statistiques, indicateurs et métriques concrets aux décideurs :

  • Combien de comptes utilisateurs peuvent être compromis en X heures ?
  • Comment un mot de passe peut-il être cassé, par quelle méthode et en combien de temps ?
  • Quelle est la répartition des comptes respectueux de la politique de mot de passe ?
  • Quel est le ratio des comptes des différentes catégories qui ont été cassés ?
  • Quel est le Top10 des mots de passe utilisés par les collaborateurs ?
  • Quels sont les « mots de base » les plus utilisés ?
  • Quelle est la répartition des longueurs des mots de passe ?
  • Quels sont les modèles / patterns / masks principalement utilisés par les utilisateurs ?
  • Quel est l’indice global de robustesse des mots de passe des employés (Standards, ANSSI, etc.) ?
  • Comment mon entreprise se situe-t-elle par rapport à des entreprises du même secteur ?
  • Combien de mots de passe ont déjà fuité sur Internet ou le DarkWeb ?
  • Quelles sont les habitudes de renouvellement de mots de passe des collaborateurs ?
  • Quelle est la répartition des mots de passe et des utilisateurs compromis par domaine Active Directory?
  • Quelle est la robustesse cryptographique et de la politique de mot de passe de tel ou tel référentiel ?

Si cette prestation est effectuée de manière récurrente, il est possible d’évaluer l’évolution du niveau de sécurité général des mots de passe de l’ entreprise.

Méthodologie d’un audit de mot de passe

La démarche d’évaluation couvre les aspects suivants :

  • Processus de transmission sécurisé de votre annuaire NTDS ;
  • Découverte algorithmique, analyse fréquentielle et de formatage des hashs ;
  • Attaques dictionnaires (contextualisés, communs, leaks) ;
  • Attaques hybrides sur la base de règles de transformation ;
  • Attaques par analyse fréquentielle et rainbow-tables ;
  • Attaques brute-force sur la base de masques ;
  • Vérification de la compromission sur des sites qui répertorient des mots de passe fuités ;
  • Analyse des résultats et statistiques ;
  • Restitution des résultats.
Livre Blanc Rainbow tables

Livrables, indicateurs et métriques

Une mission de cryptanalyse statistique donne lieu à un rapport comprenant l’ensemble des résultats et des indicateurs générés. Il inclut une liste de recommandations, de bonnes pratiques et un plan d’actions :

  • Avec une vision globale puis affinée (par domaine Active Directory, par algorithme, par période) ;
  • Personnalisée en fonction de la nomenclature de vos comptes (*-adm, svc-*, …) ;
  • Précisant la distribution des mots de passe :
    • Par longueur, par domaine, par modèles / patterns / masks, par algorithmes ;
    • Par complexité (standard, ANSSI, Active Directory compliance) ;
    • Top100 des mots de passe et mots de base les plus utilisés (blacklist) ;
    • Pourcentage des mots de passe ayant fuité par le passé (DarkWeb) ;
    • Évolution de la cryptanalyse en fonction du temps (timeline) ;
    • Et de nombreuses autres métriques pour suivre l’état de santé du SI au travers des mots de passe utilisés.

Exemples de livrables

Nombre de comptes récupérés

Nos insights clés

Quelques chiffres issus des cryptanalyses réalisées par Synetis :

  • Un pourcentage global de cassage réussi avoisinant les 80 % tous domaines, clients et secteurs confondus ;
  • Des  millions de mots de passe analysés ;
  • En moyenne, 50 % des mots de passe cassés en moins de 5 heures ;
  • Des résultats concrets et complets sous 2 semaines d’analyse ;
  • Une prestation réalisée avec du matériel standard, sans super-calculateur, pour plus de réalisme.

Vos mots de passe sont-ils réellement sécurisés ? L’audit par cryptanalyse statistique de SYNETIS lève le voile sur vos vulnérabilités et vous donne les clés pour les corriger.

 

Protégez votre entreprise : contactez SYNETIS pour un diagnostic complet.

Protection et surveillance des si

Nos experts Audit
répondent à vos questions

Contactez-nous

Ces articles pourraient vous intéresser :