Au sein d’un système d’information, la politique de mot de passe est un sujet central. Si la DSI a la possibilité de définir des politiques de mot de passe exigeantes, elle n’est en revanche pas en position de choisir les mots de passe entrés par l’utilisateur. Les mots de passe de plusieurs salariés au sein des entreprises comportent fréquemment des informations faciles à deviner ou disponibles en ligne (comme les dates, les lieux, les prénoms, les noms, etc.).
Dans le but de faire l’état des lieux de la qualité des mots de passe dans votre entreprise, MA Cyber vous propose deux types de prestations de cassage de mots de passe :
- Prestation de cassage de mots de passe Active Directory (interne) ;
- Prestation d’attaque par force brute sur une application web.
Objectifs d’une prestation de cassage de mot de passe
En cryptanalyse et en sécurité informatique, le cassage de mot de passe est le processus de récupération de mots de passe à partir de données stockées ou transmises par un système informatique.
Dans un contexte défensif, l’objectif du cassage de mot de passe est triple :
D’une part, il permet d’évaluer la capacité d’un attaquant à voler un compte d’un de vos utilisateurs ou de vos employés. Cela peut permettre de demander aux utilisateurs représentants des failles de changer leur mot de passe.
D’autres part, les résultats d’un cassage de mot de passe permettent d’identifier les mesures de durcissement à mettre en place au sein de la politique de mot de passe pour la rendre plus sécurisée. En effet, en fonction des résultats, cette prestation peut permettre à votre entreprise de durcir sa politique de mot de passe globale.
Enfin, l’exercice de cassage de mot de passe permet une prise de conscience collective d’une organisation sous forme de sensibilisation des enjeux et des risques liés à la cybersécurité.
Prestations
L’approche la plus courante, appelée attaque par force brute, consiste à tester, dans l’ordre, toutes les combinaisons possibles une à une. Cependant, on la réalise rarement telle quelle. On peut optimiser l’ordre de test en fonction de certaines heuristiques pour obtenir de meilleurs résultats qu’avec une attaque par ordre alphabétique.
On peut alimenter l’heuristique avec différentes sources de données, telles que des fuites de mots de passe, des informations personnelles laissées par les employés sur les réseaux sociaux, ou même des mots présents sur les sites de l’entreprise (consultez les services d’OSINT de MA Cyber).
Enfin, MA Cyber dispose de dictionnaires de mots de passe internes, qui regroupent des mots de passe publiés lors de nombreuses fuites de données. Ce vaste dictionnaire permet de tester les mots de passe qui ont fuité et peuvent ainsi être cassés en seulement quelques secondes.
Une fois l’attaque terminée, nous établirons un rapport précisant :
- Tous les comptes utilisateurs qui ont été cassés durant les tests (en fonction du temps de cassage: 1 heure / 1 jour / 3 jours) ;
- Les comptes à privilèges dont le mot de passe a été cassé (administrateur, admin du domaine, etc.) ;
- Les pattern de mot de passe les plus utilisés (exemples : nomEntreprise, N0M€nTr3prl$e) ;
- Les masques (c’est-à-dire les suites de chaines de caractères) de mots de passe les plus utilisés (exemple : 1 majuscule + 5 minuscules + 1 chiffre) ;
- Les mots « de base » les plus utilisés dans les mots de passe (exemple : azerty, password, etc.) ;
- D’autres metrics intéressantes…
Cassage hors ligne
Généralement pratiqué à l’issue d’un test d’intrusion interne, le cassage de mot de passe hors ligne est une prestation réalisée sur la base de données de mots de passe de l’Active Directory de l’entreprise.
Dans le cadre d’un test d’intrusion interne, l’auditeur récupère celle-ci directement, tandis que dans le cas d’une prestation individuelle, vos équipes doivent nous l’envoyer de manière sécurisée.
Chez MA Cyber, nous disposons d’une machine dédiée au cassage de mot de passe. Elle, équipée d’un processeur ThreadRipper, peut calculer et comparer les hash générés avec ceux récupérés chez un client à l’aide de l’outil hashcat de manière très rapide.
Cassage en ligne
Généralement pratiqué lors d’un test d’intrusion externe, le cassage de mot de passe en ligne est une prestation réalisée sur les systèmes d’authentification d’applications web.
Dans le cadre d’un test d’intrusion, l’objectif ici pour l’auditeur est de tester toutes les vulnérabilités pouvant affecter un système d’authentification web. Nous allons ainsi tester les mots de passe et comptes par défaut s’il s’agit d’une solution SaaS ou open source. On va également chercher des vulnérabilités permettant l’énumération de nom d’utilisateur.
Chez MA Cyber, nous disposons d’un ensemble de liste et de pattern de mots de passe compilant des bases de données ayant fuitées. Si l’application ne limite pas le nombre de requêtes de login, l’auditeur pourra alors les utiliser dans une attaque par force brute à l’aide de l’outil hydra.