Un cinquième des mots de passe utilisés par l’agence fédérale piratés lors d’un audit de sécurité


Plus d’un cinquième des mots de passe protégeant les comptes réseau du département américain de l’Intérieur, y compris Password1234, Password1234! et ChangeItN0w!, étaient suffisamment faibles pour être piratés à l’aide de méthodes standard, selon un audit de sécurité récemment publié par l’agence.

L’audit a été effectué par l’inspecteur général du ministère, qui a obtenu des hachages cryptographiques pour 85 944 comptes d’annuaire actif (AD) d’employés. Les auditeurs ont ensuite utilisé une liste de plus de 1,5 milliard de mots comprenant :

  • Dictionnaires de plusieurs langues
  • Terminologie du gouvernement américain
  • Références à la culture pop
  • Listes de mots de passe accessibles au public recueillies à partir de violations de données passées dans les secteurs public et privé
  • Modèles de clavier courants (par exemple, « qwerty »).

Les résultats n’étaient pas encourageants. Au total, les auditeurs ont déchiffré 18 174, soit 21 %, des 85 944 hachages cryptographiques qu’ils ont testés ; 288 des comptes concernés avaient des privilèges élevés, et 362 d’entre eux appartenaient à des hauts fonctionnaires. Au cours des 90 premières minutes de test, les auditeurs ont déchiffré les hachages de 16 % des comptes d’utilisateurs du département.

L’audit a révélé une autre faiblesse de sécurité : l’incapacité à mettre en œuvre de manière cohérente l’authentification multifacteur (MFA). L’échec s’est étendu à 25, soit 89 %, des 28 actifs de grande valeur (HVA), qui, en cas de violation, peuvent avoir de graves répercussions sur les opérations de l’agence.

« Il est probable que si un attaquant disposant de ressources suffisantes capturait les hachages de mots de passe du département AD, l’attaquant aurait atteint un taux de réussite similaire au nôtre pour casser les hachages », indique le rapport d’inspection final. « L’importance de nos conclusions concernant la mauvaise gestion des mots de passe du Département est amplifiée compte tenu de notre taux de réussite élevé dans le craquage des hachages de mots de passe, du grand nombre de mots de passe à privilèges élevés et des mots de passe des hauts fonctionnaires que nous avons craqués, et du fait que la plupart des HVA du Département n’employaient pas MFA .”

Les mots de passe les plus couramment utilisés, suivis du nombre d’utilisateurs, étaient :

  • Mot de passe-1234 | 478
  • Br0nc0$2012 | 389
  • Mot de passe123$ | 318
  • Mot de passe1234 | 274
  • Été3rDim2020 ! | 191
  • 0rlando_0000 | 160
  • Mot de passe1234 ! | 150
  • ChangeIt123 | 140
  • 1234mot de passe$ | 138
  • ChangeItN0w ! | 130

Drumpe a rapporté les résultats de l’audit plus tôt. La publication indique que les auditeurs ont dépensé moins de 15 000 dollars pour construire une plate-forme de craquage de mots de passe. Citant un représentant du ministère, il a poursuivi:

La configuration que nous utilisons consiste en deux plates-formes avec 8 GPU chacune (16 au total) et une console de gestion. Les plates-formes elles-mêmes exécutent plusieurs conteneurs open source où nous pouvons faire apparaître 2, 4 ou 8 GPU et leur attribuer des tâches à partir de la console de distribution de travail open source. En utilisant les générations de GPU 2 et 3 derrière les produits actuellement disponibles, nous avons réalisé des tests de référence combinés NTLM pré-terrain de 240GHs testant NTLM via des masques de 12 caractères et 25,6GHs via un dictionnaire de 10 Go et un fichier de règles de 3 Mo. Les vitesses réelles ont varié dans plusieurs configurations de test au cours de l’engagement.

La grande majorité (99,99 %) des mots de passe déchiffrés par les auditeurs respectaient les exigences de complexité des mots de passe du département, qui imposent un minimum de 12 caractères et contiennent au moins trois des quatre types de caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux. L’audit a révélé ce qu’Ars dit depuis près d’une décennie maintenant : de telles directives n’ont généralement aucun sens.

En effet, les guides supposent que les attaquants utiliseront des méthodes de force brute, dans lesquelles chaque combinaison possible est méthodiquement essayée dans l’ordre alphanumérique. Il est beaucoup plus courant que les attaquants utilisent des listes de mots de passe précédemment piratés, qui sont disponibles sur Internet. Les attaquants connectent ensuite les listes à des plates-formes contenant des dizaines de GPU ultra-rapides qui essaient chaque mot dans l’ordre de popularité de chaque chaîne.

« Même si un mot de passe [such as Password-1234] répond aux exigences car il comprend des majuscules, des minuscules, des chiffres et un caractère spécial, il est extrêmement facile à déchiffrer », note le rapport final. « Le deuxième mot de passe le plus fréquemment utilisé était Br0nc0$2012. Bien que cela puisse sembler être un mot de passe « plus fort », il est, en pratique, très faible car il est basé sur un seul mot du dictionnaire avec des remplacements de caractères communs.

Le rapport a noté que les directives d’identité numérique NIST SP 800–63 recommandent de longues phrases de passe composées de plusieurs mots sans rapport, car elles sont plus difficiles à déchiffrer pour un ordinateur. Ars recommande depuis longtemps d’utiliser un gestionnaire de mots de passe pour créer des mots de passe aléatoires et les stocker.

Malheureusement, même l’inspecteur général du ministère ne peut pas être invoqué pour des conseils de mot de passe totalement fiables. Les auditeurs ont reproché au ministère de ne pas avoir changé les mots de passe tous les 60 jours, comme requis. De nombreuses politiques gouvernementales et d’entreprise continuent d’imposer de tels changements, même si la plupart des experts en sécurité des mots de passe ont conclu qu’ils encouragent simplement les choix de mots de passe faibles. Le meilleur conseil est d’utiliser un mot de passe fort, généré de manière aléatoire, unique pour chaque compte et de ne le modifier que lorsqu’il y a des raisons de croire qu’il a pu être compromis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*