Définir et gérer la politique de mot de passe Active Directory

Face à la prolifération des cyberattaques dans le monde entier, il est plus important que jamais pour les entreprises de se doter d'une politique solide en matière de mots de passe. Les cybercriminels obtiennent en effet souvent un accès aux réseaux d'entreprise par le biais d'identifiants légitimes, ce qui entraine des incidents de sécurité et des manquements à la conformité.

Les hackers ont recours à diverses techniques pour compromettre les mots de passe, comme les attaques par force brute (exécution de programmes saisissant diverses combinaisons de mots de passe potentiels), par « credential stuffing » (saisi automatique de listes d’identifiants sur divers portails de connexion d’entreprises, ou encore par indexation (recueil d’informations sur la cible pour créer des combinaisons de mots de passe à partir de ces données).  Les organisations doivent donc s’assurer que leur politique de gestion des mots de passe est optimale.

Comprendre les paramètres de la politique de mot de passe AD

  • Appliquer l’historique des mots de passe —Ce paramètre détermine le nombre de nouveaux mots de passe uniques qui doivent être associés à un compte d’utilisateur avant qu’un ancien mot de passe puisse être réutilisé. Il est recommandé de conserver la valeur par défaut, soit 24, pour réduire le risque que les utilisateurs appliquent des mots de passe compromis.
  • Ancienneté maximale du mot de passe — Le système doit exiger à intervalle régulier que l’utilisateur modifie le mot de passe. Il reçoit alors un message d’avertissement lorsqu’il approche de la fin de la période d’expiration de l’identifiant. Cependant, le fait d’imposer des changements fréquents de mots de passe peut amener les employés à noter leurs mots de passe, ou à adopter des pratiques telles que l’ajout du mois à un mot-clé qu’ils réutilisent, ce qui augmente en fait les risques pour la sécurité.
  • Ancienneté minimale du mot de passe — Par défaut, un mot de passe doit avoir été créé il y a plus de vingt-quatre heures avant que l’utilisateur ne puisse le modifier. Cette contrainte empêche les utilisateurs de contourner le paramètre « Appliquer l’historique des mots de passe » et de réutiliser immédiatement un mot de passe favori.
  • Longueur minimale du mot de passe —Ce paramètre détermine le nombre minimal de caractères composant un mot de passe. Si les cybercriminels ont plus de facilité à déchiffrer des mots de passe courts, le fait d’en exiger des très longs peut conduire à des blocages en cas de faute de frappe et poser des risques de sécurité si les utilisateurs notent leurs mots de passe. C’est pourquoi la longueur par défaut est de 7 caractères.
  • Exigences de complexité — Ce critère implique généralement que le mot de passe comprenne une combinaison de lettres majuscules ou minuscules, de caractères numériques et non alphanumériques, ainsi que des symboles.
  • Enregistrer les mots de passe en utilisant un chiffrement réversible — Il permet la prise en charge des applications qui nécessitent le mot de passe de l’utilisateur pour l’authentification. Les administrateurs devraient laisser ce paramètre désactivé, car son activation permettrait aux attaquants qui maîtrisent les techniques de contournement de ce chiffrement de se connecter au réseau une fois le compte compromis.

La politique granulaire et sa configuration

Les anciennes versions de l’AD permettaient la création d’une seule politique de mot de passe pour chaque domaine. L’introduction de politiques de mot de passe granulaire (FGPP, Fine-Grained Password Policies) permet désormais aux administrateurs de créer plusieurs politiques de mot de passe pour mieux répondre aux besoins opérationnels. Par exemple, il est possible d’exiger que les comptes d’administrateur utilisent des mots de passe plus complexes que les comptes d’utilisateur ordinaires.

Améliorer sa politique de mot de passe AD

Si comprendre les paramètres par défaut de la politique de mot de passe AD est un bon début, il est cependant possible d’aller plus loin pour encore davantage protéger l’accès aux réseaux informatiques. La longueur minimum des mots de passe des comptes d’administration de domaine peut notamment être rallongée à 15 caractères, une liste de mot de passe interdit peut également être établie, ou encore, des outils de gestion des mots de passe mis en place pour faciliter l’expérience utilisateur.

En outre, la sensibilisation des utilisateurs est tout aussi fondamentale que n’importe quelle politique de mot de passe. Ils ont en effet leur part de responsabilité dans le maintien d’une cyber-hygiène optimale afin de faire face à toute tentative de compromission. Alors, seulement, les entreprises protègeront efficacement leur accès.