L’été dans un service informatique est une période particulière. Alors que l’activité globale ralentit et que les couloirs se vident, les équipes techniques peuvent enfin souffler… ou pas. Car, si les tickets urgents se font plus rares, cette accalmie représente une opportunité stratégique : celle de mener les projets de fond, ceux que l’on repousse sans cesse, faute de temps. Parmi eux, nous pouvons citer l’audit en profondeur des mots de passe de votre Active Directory.
L’illusion : la politique de mots de passe n’est pas un gage de sécurité
En tant qu’administrateur système, vous avez probablement déjà mis en place une politique de mots de passe sur votre environnement Active Directory, que ce soit via une GPO ou une PSO. Longueur minimale, complexité activée (majuscule, minuscule, chiffre, caractère spécial), historique des mots de passe… Vous avez configuré cette stratégie aux petits oignons pour respecter les bonnes pratiques. Pour autant, est-ce suffisant pour éviter le piratage de comptes à cause du mot de passe ? Tout cela n’est peut-être qu’une illusion…
La fameuse exigence de complexité est devenue un jeu pour certains utilisateurs. Un mot de passe comme Ete2025! devient Automne2025!, puis Hiver2025!. Nous pouvons constater que la structure est identique, prévisible, et donc faible. Les attaquants connaissent parfaitement ces schémas et les intègrent dans leurs dictionnaires d’attaques, tout comme l’utilisation de mots de passe dérivés du nom de votre entreprise. La complexité garantit une forme pour le mot de passe, mais en aucun cas elle n’est synonyme de robustesse.
Le chaînon manquant : la connaissance des mots de passe compromis
C’est là que réside la plus grande faille dans les outils natifs de l’Active Directory en matière de gestion des mots de passe. En effet, votre Active Directory n’a aucune conscience du monde extérieur. Il ne sait pas si le mot de passe SuperP@ssword123!, qui respecte pourtant toutes vos règles de complexité, fait partie d’une liste de X millions d’identifiants qui ont fuité lors du piratage d’une organisation… Pour votre AD, ce mot de passe est valide. Pour un pirate, c’est une porte d’entrée à moitié ouverte.
Le paysage des menaces axées sur les mots de passe
Pour comprendre la nécessité d’effectuer un audit des mots de passe AD, il faut comprendre comment les attaquants opèrent aujourd’hui. Leurs techniques se sont affinées et industrialisées.
Le Password Spraying (Pulvérisation de mots de passe) : plutôt que de “brute-forcer” un seul compte avec des milliers de mots de passe (ce qui déclencherait un verrouillage de compte), l’attaquant fait l’inverse. Il utilise un ou quelques mots de passe très courants et les essaie sur un ensemble de comptes de votre organisation. Cette technique lente et horizontale passe plus souvent sous les radars des systèmes de détection.
Le Credential Stuffing (Bourrage d’identifiants) : c’est la menace la plus directe liée aux fuites de données. Les pirates achètent sur le dark web des bases de données d’identifiants (e-mail + mot de passe) provenant de sites variés. Ils misent ensuite sur un fait malheureusement avéré et contraire aux bonnes pratiques : la réutilisation des mots de passe. À l’aide de scripts automatisés, ils tentent de se connecter à des services d’entreprise, comme Microsoft 365 ou votre VPN, avec les mêmes identifiants que ceux présents dans la fuite initiale. Si un de vos utilisateurs a réutilisé son mot de passe piraté pour sa session Windows, l’attaquant peut en profiter…
Les attaques par dictionnaire : toujours d’actualité, ces attaques utilisent des listes de mots de passe courants, de mots du dictionnaire et de variations prévisibles (azerty123, 12345678, noms d’entreprise, etc.).
Face à ces techniques et aux menaces associées, espérer que vos utilisateurs choisissent des mots de passe uniques et forts est un risque, et surtout, c’est une stratégie passive. Vous devez être proactif.
Profitez de l’été pour réaliser un audit Active Directory
Profiter de l’été pour effectuer un audit des mots de passe Active Directory peut s’avérer être le bon moment, pour plusieurs raisons :
Profiter de la baisse d’activité : la baisse de l’activité opérationnelle vous donne le temps d’analyser les résultats.
Planification des remédiations : le rapport généré par les outils que vous utilisez vous permet de prévoir une liste d’actions à mener pour améliorer la situation. Il peut s’agir d’une liste de changements ou de projets à prévoir pour la rentrée.
Argumentaire budgétaire : un rapport d’audit avec des statistiques clés et bien présentées est un outil pour justifier un investissement dans des solutions de sécurité auprès de votre direction. Par exemple : “Nous avons identifié que 5% de nos mots de passe sont compromis, incluant 3 comptes à privilèges.”.
Pour passer de la théorie à la pratique, vous pouvez compter sur Specops Password Auditor. Cet outil gratuit est conçu spécifiquement pour répondre à la problématique d’audit des comptes et des mots de passe Active Directory.
Cet outil s’installe en quelques minutes et il ne fera que lire les données de votre Active Directory. Autrement dit, l’outil ne modifie absolument rien dans votre annuaire AD. Il se contente de lire les informations nécessaires (notamment les hash des mots de passe) pour les analyser.
Le rapport généré par Specops Password Auditor, qui plus est au format PDF et en français, n’est pas une simple liste. Il s’agit d’une cartographie des vulnérabilités liées aux comptes utilisateurs et aux mots de passe détectées sur votre annuaire. Parmi les points de contrôle :
Mots de passe compromis : c’est la fonctionnalité phare. L’outil compare les hash de vos mots de passe AD à ceux d’une base de données Specops, téléchargée précédemment en local, et qui contient plus de 1 milliard de hash. Ces informations sont issues de fuites de données connues. Vous saurez s’il y a des comptes de votre annuaire AD dont le mot de passe est déjà dans la nature.
Mots de passe identiques : l’audit identifie les utilisateurs partageant le même mot de passe (via la comparaison des hash). La compromission d’un seul de ces comptes expose potentiellement tous les autres.
Mots de passe vides : une faille basique, mais potentielle, notamment sur d’anciens comptes de service.
Conformité des politiques de mots de passe : comparaison avec les bonnes pratiques de plusieurs organismes (ANSSI, CNIL, NIST, BSI, etc.)
Comptes administrateur du domaine
Comptes administrateur non protégés contre la délégation
Comptes administrateur et utilisateurs inactifs
Comptes où le mot de passe n’expire jamais
Comptes où le mot de passe est expiré
L’âge du mot de passe sur chaque compte utilisateur / administrateur
Voici un aperçu du rapport prêt à l’emploi que vous pouvez obtenir avec cet outil :
Ce rapport de Specops Password Auditor est votre feuille de route. D’ailleurs, cette application a déjà fait l’objet d’une présentation complète sur IT-Connect, ainsi que d’une vidéo. Voici les contenus correspondants :
Il existe d’autres outils pour auditer les mots de passe Active Directory, avec des approches différentes. Nous en avons fait une sélection complète dans un précédent article que vous pouvez lire via le lien suivant, en retenant uniquement des applications gratuites :
Maintenant, à vous de jouer !
En prenant une heure de votre temps pour télécharger, exécuter Specops Password Auditor et effectuer une première analyse des résultats, vous obtiendrez une vision claire sur les risques associés aux mots de passe AD de vos utilisateurs.
L’été me semble être le bon moment pour réaliser cet audit, que vous pouvez ensuite répéter de façon régulière. Passez à l’action dès maintenant : téléchargez l’outil Specops Password Auditor via ce lien :
Qu’en pensez-vous ?
Cet article contient une communication commerciale pour Specops Software.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.