Meilleures pratiques Azure AD et ADFS : Contrer les attaques par pulvérisation de mots de passe
Bonjour les amis,
L’utilisation de mots de passe s’accompagne inévitablement de tentatives visant à les deviner. Dans ce blog, nous allons nous intéresser à une attaque qui s’est récemment BEAUCOUP répandue, ainsi qu’aux bonnes pratiques à appliquer pour s’en défendre. Cette attaque est communément appelée pulvérisation de mots de passe.
Lors d’une attaque par pulvérisation de mots de passe, les assaillants essaient les mots de passe les plus courants sur un certain nombre de comptes et services différents pour accéder à un maximum de ressources protégées par mot de passe. Généralement, un grand nombre d’organisations et de fournisseurs d’identité différents sont visés. Par exemple, un assaillant utilisera un kit de ressources couramment disponible, tel que Mailsniper, pour dresser la liste de tous les utilisateurs de différentes organisations, puis essaiera « P@$$w0rd » et « Password1 » sur tous ces comptes. Pour vous donner une idée, voici un exemple d’attaque :
| Utilisateur cible | Mot de passe cible |
| User1@org1.com | Password1 |
| User2@org1.com | Password1 |
| User1@org2.com | Password1 |
| User2@org2.com | Password1 |
| … | … |
| User1@org1.com | P@$$w0rd |
| User2@org1.com | P@$$w0rd |
| User1@org2.com | P@$$w0rd |
| User2@org2.com | P@$$w0rd |
Ce type d’attaque échappe à la plupart des techniques de détection car du point de vue d’un utilisateur ou d’une entreprise, l’attaque ressemble à un échec de connexion isolé.
Pour les assaillants, il s’agit d’un jeu semblable à la loterie : ils savent qu’il existe des mots de passe très courants. Bien que les mots de passe les plus courants ne représentent que 0,5 à 1 % des comptes, pour chaque millier de comptes attaqués les assaillants accèderont à un nombre non négligeable d’entre eux, ce qui est suffisant pour être efficace.
Et ces comptes leur permettront d’accéder aux données contenues dans les e-mails, de recueillir des coordonnées, d’envoyer des liens de hameçonnage ou simplement d’élargir le groupe visé par la pulvérisation de mots de passe. Les assaillants ne se soucient guère de l’identité de leurs cibles initiales. Ils exploitent tout ce qui se présente à eux.
La bonne nouvelle, c’est que Microsoft dispose déjà de nombreux outils pour contrer ces attaques, et d’autres seront bientôt disponibles. Lisez ce qui suit pour identifier les mesures que vous pouvez prendre dès maintenant et dans les mois à venir afin de vous protéger des attaques par pulvérisation de mots de passe.
Quatre étapes simples pour contrer les attaques par mot de passe
Étape 1 : Utiliser l’authentification nuage
Dans le nuage, nous comptabilisons quotidiennement des milliards de connexions aux systèmes Microsoft. Nos algorithmes de détection nous permettent de détecter et de bloquer les attaques dès qu’elles se produisent. Comme il s’agit de systèmes de détection et de protection en temps réel gérés depuis le nuage, ils ne sont disponibles que lors de l’authentification Azure AD dans le nuage (Authentification directe comprise).
Verrouillage intelligent
Dans le nuage, nous utilisons le Verrouillage intelligent pour différencier les tentatives de connexion qui semblent provenir de l’utilisateur légitime de celles qui pourraient être des attaques. Nous pouvons verrouiller l’assaillant tout en permettant à l’utilisateur légitime de continuer à utiliser le compte. Cette fonctionnalité empêche toute attaque par déni de service à l’encontre de l’utilisateur et arrête les attaques par pulvérisation de mots de passe trop zélées. Ce verrouillage s’applique à toutes les connexions Azure AD, quel que soit le niveau de licence, et à toutes les connexions à un compte Microsoft.
À compter de mars 2018, les locataires utilisant les services ADFS (Active Directory Federation Services) pourront utiliser le Verrouillage intelligent en mode natif dans ADFS pour Windows Server 2016. Cette fonctionnalité sera disponible via Windows Update.
Verrouillage d’adresses IP
Le Verrouillage d’adresses IP consiste à analyser des milliards de connexions pour évaluer la qualité du trafic engendré par chacune des adresses IP qui atteignent les systèmes Microsoft. Grâce à cette analyse, la fonctionnalité détecte les adresses IP à caractère malveillant et bloque ces connexions en temps réel.
Simulations d’attaques
Désormais disponible en préversion publique, le Simulateur d’attaques intégré à Office 365 Threat Intelligence permet aux clients de lancer des simulations d’attaques contre leurs propres utilisateurs finaux, de déterminer le comportement de leurs utilisateurs en cas d’attaque, de mettre à jour les stratégies et de s’assurer que des outils de sécurité appropriés sont en place pour protéger leur organisation des menaces telles que les attaques par pulvérisation de mots de passe.
Nos recommandations à court terme :
- Si vous utilisez l’authentification nuage, vous êtes couvert.
- Si vous utilisez ADFS ou un autre scénario hybride, guettez la mise à niveau d’ADFS prévue pour mars 2018 afin de bénéficier du Verrouillage intelligent.
- Utilisez le Simulateur d’attaques pour évaluer votre sécurité de manière proactive et effectuer les ajustements nécessaires.
Étape 2 : Utiliser l’authentification multifacteur
Un mot de passe est la clé d’accès à un compte. Or, une attaque par pulvérisation de mots de passe réussie signifie que l’assaillant a deviné le mot de passe. Pour contrer ce type d’attaque et faire la distinction entre le propriétaire du compte et l’assaillant, le mot de passe ne suffit pas. Pour cela, trois méthodes sont disponibles, comme décrit ci-dessous.
Authentification multifacteur basée sur le risque
Azure AD Identity Protection utilise les données de connexion mentionnées ci-dessus et ajoute des fonctionnalités avancées de Machine Learning et de détection algorithmique pour évaluer le risque associé à chaque connexion qui entre dans le système. Cette méthode permet aux entreprises de créer, dans Identity Protection, des stratégies qui invitent l’utilisateur à s’authentifier à l’aide d’un second facteur si et seulement si un risque est détecté pour l’utilisateur ou pour la session. Cela allège le fardeau qui pèse sur vos utilisateurs et place des obstacles en travers du chemin des assaillants. Apprenez-en davantage sur Azure AD Identity Protection.
Authentification multifacteur permanente
Pour plus de sécurité, vous pouvez utiliser Azure MFA afin d’imposer à vos utilisateurs une authentification multifacteur permanente dans le nuage comme dans ADFS. Cette méthode oblige les utilisateurs finaux à disposer en permanence de leur appareil et à se plier plus fréquemment à l’authentification multifacteur, mais elle est la plus sûre pour votre entreprise. Elle doit être activée pour chacun des administrateurs de l’organisation. Apprenez-en davantage sur Azure Multi-Factor Authentication et sur la configuration d’Azure MFA pour ADFS.
Azure MFA en tant que méthode d’authentification principale
ADFS 2016 vous permet d’utiliser Azure MFA comme méthode d’authentification principale afin de bénéficier d’une authentification sans mot de passe. Il s’agit d’un excellent outil pour se protéger des attaques par pulvérisation de mots de passe et des vols de mots de passe : s’il n’y a pas de mot de passe, il n’y a rien à deviner. Cette méthode convient à tous les types d’appareils, quel que soit leur facteur de forme. En outre, vous ne pouvez désormais utiliser le mot de passe comme second facteur d’authentification qu’après la validation de votre mot de passe à usage unique à l’aide d’Azure MFA. Apprenez-en davantage sur l’utilisation du mot de passe en tant que second facteur d’authentification.
Nos recommandations à court terme :
- Nous vous recommandons vivement d’activer l’authentification multifacteur permanente pour tous les administrateurs de votre organisation, en particulier pour les administrateurs de propriétaires d’abonnement et de locataires. Et nous vous invitons à le faire dès aujourd’hui.
- Pour offrir une expérience optimale au reste de vos utilisateurs, nous vous recommandons l’authentification multifacteur basée sur le risque, disponible avec les licences Azure AD Premium P2.
- Sinon, utilisez Azure MFA pour l’authentification nuage et ADFS.
- Dans ADFS, procédez à une mise à niveau vers ADFS pour Windows Server 2016 afin d’utiliser Azure MFA comme méthode d’authentification principale, en particulier pour tous vos accès extranet.
Étape 3 : Des mots de passe plus difficiles à deviner pour tout le monde
Même avec tout ce qui précède, la protection contre les attaques par pulvérisation de mots de passe ne peut être efficace que si tous les utilisateurs disposent de mots de passe difficiles à deviner. Or, les utilisateurs ont souvent du mal à créer des mots de passe difficiles à deviner. C’est la raison pour laquelle Microsoft vous fournit les outils suivants.
Mots de passe interdits
Dans Azure AD, les changements et réinitialisations de mots de passe passent tous par un vérificateur de mots de passe interdits. Lorsqu’un nouveau mot de passe est soumis, il est comparé à une liste de mots interdits (et l’orthographe de type l33t-sp3@k n’y change rien). Si une correspondance est trouvée, le mot de passe est rejeté et l’utilisateur est invité à en choisir un autre, plus difficile à deviner. Nous dressons la liste des mots de passe les plus fréquemment attaqués et la mettons régulièrement à jour.
Mots de passe personnalisés interdits
Pour renforcer l’efficacité des mots de passe interdits, nous allons permettre aux locataires de personnaliser leurs listes de mots de passe interdits. Les administrateurs pourront choisir des mots fréquemment utilisés au sein de leur organisation (employés célèbres, fondateurs, produits, emplacements, icônes régionales, etc.) et empêcher leur utilisation dans les mots de passe de leurs utilisateurs. Cette liste sera appliquée en complément de la liste globale afin que vous n’ayez pas à faire un choix entre les deux. Il s’agit pour le moment d’une préversion limitée qui sera déployée dans le courant de cette année.
Mots de passe interdits pour les changements effectués localement
Ce printemps, nous lançons un outil qui permettra aux administrateurs des entreprises d’interdire les mots de passe dans les environnements hybrides Azure AD-Active Directory. Les listes de mots de passe interdits seront synchronisées avec vos environnements locaux depuis le nuage et appliquées sur chaque contrôleur de domaine à l’aide de l’agent. Où que les utilisateurs changeront leur mot de passe (dans le nuage ou dans l’environnement local), les administrateurs pourront ainsi s’assurer qu’il est suffisamment difficile à deviner. La préversion privée de cette fonctionnalité a été lancée en février 2018 et elle sera mise à la disposition générale dans le courant de cette année.
Appréhender les mots de passe sous un nouvel angle
Beaucoup d’idées fausses circulent au sujet des mots de passe. Souvent, ce qui devrait être mathématiquement efficace se traduit en pratique par un comportement prévisible de l’utilisateur : par exemple, le fait d’exiger certains types de caractères et des changements périodiques de mot de passe donne lieu à des modèles de mots de passe spécifiques. Pour plus d’informations, lisez notre livre blanc consacré aux mots de passe. Si vous utilisez Active Directory avec l’Authentification directe ou ADFS, procédez à une mise à jour de vos stratégies de mots de passe. Si vous utilisez des comptes gérés dans le nuage, n’hésitez pas à configurer vos mots de passe pour qu’ils n’expirent jamais.
Nos recommandations à court terme :
- Dès sa publication, installez l’outil de mots de passe interdits de Microsoft dans votre environnement local pour aider vos utilisateurs à créer des mots de passe plus sûrs.
- Passez en revue vos stratégies de mots de passe et n’hésitez pas à configurer ceux-ci pour qu’ils n’expirent jamais afin d’empêcher vos utilisateurs d’utiliser des modèles saisonniers pour créer leurs mots de passe.
Étape 4 : Autres fonctionnalités utiles d’ADFS et Active Directory
Si vous utilisez l’authentification hybride avec ADFS et Active Directory, vous pouvez prendre d’autres mesures pour protéger votre environnement des attaques par pulvérisation de mots de passe.
Première étape : les organisations exécutant ADFS 2.0 ou Windows Server 2012 sont invitées à migrer dès que possible vers ADFS pour Windows Server 2016. La dernière version sera mise à jour plus rapidement, avec un ensemble enrichi de fonctionnalités, comme le verrouillage extranet. Et souvenez-vous : nous avons simplifié la mise à niveau de Windows Server 2012 R2 vers la version 2016.
Bloquer l’authentification héritée à partir de l’extranet
Les protocoles d’authentification hérités n’ayant pas la capacité d’appliquer l’authentification multifacteur, la meilleure approche consiste à les bloquer à partir de l’extranet. Cela empêchera les auteurs des attaques par pulvérisation de mots de passe de profiter de l’absence d’authentification multifacteur sur ces protocoles.
Activer le verrouillage extranet du proxy d’application web d’ADFS
Si le verrouillage extranet n’est pas en place sur le proxy d’applications web d’ADFS, vous devez l’activer au plus vite pour protéger vos utilisateurs d’une potentielle attaque par force brute de leurs mots de passe.
Déployer Azure AD Connect Health pour ADFS
Azure AD Connect Health capture les adresses IP enregistrées dans les journaux ADFS pour les requêtes liées aux noms d’utilisateur/mots de passe erronés, met à votre disposition des rapports supplémentaires sur un ensemble de scénarios, et fournit des informations supplémentaires aux ingénieurs du support lors de l’ouverture de cas de support assisté.
Pour procéder au déploiement, téléchargez la dernière version de l’agent Azure AD Connect Health pour ADFS sur tous les serveurs ADFS (2.6.491.0). Les serveurs ADFS doivent exécuter Windows Server 2012 R2 (avec mise à jour KB 3134222 installée) ou Windows Server 2016.
Utiliser des méthodes d’accès sans mot de passe
S’il n’y a pas de mot de passe, on ne peut pas le deviner. Ces méthodes d’authentification sans mot de passe sont disponibles pour ADFS et le proxy d’application web :
- L’authentification basée sur les certificats permet de bloquer complètement les points de terminaison nom d’utilisateur/mot de passe au niveau du pare-feu. Apprenez-en davantage sur l’authentification basée sur les certificats dans ADFS.
- Comme mentionné ci-dessus, la méthode Azure MFA peut être utilisée comme second facteur pour l’authentification nuage et ADFS 2012 R2/2016. Mais, elle peut également être utilisée comme facteur principal dans ADFS 2016 pour contrer efficacement les potentielles attaques par pulvérisation de mots de passe. Apprenez à configurer Azure MFA avec ADFS.
- Windows Hello Entreprise, disponible sous Windows 10 et pris en charge par ADFS sous Windows Server 2016, permet un accès sans mot de passe, y compris depuis l’extranet, grâce à des clés de chiffrement fortes liées à la fois à l’utilisateur et à l’appareil. Cette option s’applique aux appareils gérés par l’entreprise qui sont joints à Azure AD ou Azure AD Hybride, ainsi qu’aux appareils personnels via « Ajouter un compte professionnel ou professionnel » dans l’application Paramètres. Apprenez-en davantage sur Windows Hello Entreprise.
Nos recommandations à court terme :
- Procédez à une mise à niveau vers ADFS 2016 pour bénéficier de mises à jour plus rapides.
- Bloquez l’authentification héritée à partir de l’extranet.
- Déployez des agents Azure AD Connect Health pour ADFS sur tous vos serveurs ADFS.
- Utilisez une méthode d’authentification principale sans mot de passe, comme Azure MFA, des certificats ou Windows Hello Entreprise.
Bonus : Protection de vos comptes Microsoft
Si vous utilisez un compte Microsoft :
- Bonne nouvelle, vous êtes déjà protégé ! Les comptes Microsoft disposent également de fonctionnalités telles que le verrouillage intelligent, le verrouillage d’adresses IP, la vérification en deux étapes basée sur le risque ou les mots de passe interdits.
- Nous vous invitons cependant à prendre deux minutes pour accéder à la page Sécurité du compte Microsoft et sélectionner « Mettre à jour vos informations de sécurité » afin de consulter les informations de sécurité que vous utilisez pour la vérification en deux étapes basée sur le risque.
- Pensez à activer la vérification en deux étapes permanente ici pour sécuriser au maximum votre compte.
La meilleure défense consiste à… suivre les recommandations de ce blog
La pulvérisation de mots de passe est une menace sérieuse pour tous les services Internet qui utilisent des mots de passe, mais en suivant les étapes décrites dans ce blog vous bénéficierez d’une protection optimale contre ce vecteur d’attaque. Et, comme de nombreux types d’attaques présentent des caractéristiques similaires, nous vous recommandons vivement de suivre ces recommandations. Votre sécurité est toujours notre priorité absolue, et nous travaillons continuellement au développement de nouvelles protections avancées contre la pulvérisation de mots de passe et autres types d’attaques. Utilisez les méthodes de protection présentées ci-dessus et guettez régulièrement les nouveaux outils mis à votre disposition pour vous protéger des assaillants sur Internet.
J’espère que ces informations vous seront utiles. Comme toujours, n’hésitez pas à nous faire part de vos commentaires et suggestions.
Cordialement,
Alex Simons (Twitter : @Alex_A_Simons)
Directeur Gestion des programmes
Microsoft Identity Division
