La sécurité des mots de passe dépend de la réponse à cette question apparemment simple. Malheureusement, vous ne pouvez pas connaître la réponse tant que vous n’avez pas engagé un testeur d’intrusion impitoyable pour savoir si votre environnement peut résister aux compétences effrayantes de piratage de mots de passe des pirates informatiques les plus infâmes d’aujourd’hui.
Le but de l’embauche de testeurs d’intrusion qualifiés (“pentesters”) est de savoir si votre environnement est vraiment impénétrable – et si ce n’est pas le cas, exactement comment vous devez renforcer vos défenses. Les bons pentesters et red teamers passent leur temps à essayer de simuler et d’imiter le réel mauvais acteurs. Après tout, quel est l’intérêt de tester votre infrastructure informatique si vous n’utilisez pas la même pression à laquelle vous serez confronté dans le monde réel ?
Vous devriez « vous entraîner comme vous vous battez ». Sans sparring, comment pouvez-vous espérer sauter sur un ring de boxe et faire quelques rounds avec un boxeur qualifié ? C’est tout l’intérêt des tests d’intrusion basés sur des objectifs et des engagements de l’équipe rouge/violet qui simulent les acteurs de la menace du monde réel.
Le matériel pour craquer les mots de passe
Les meilleures équipes équipent leurs testeurs d’outils de classe mondiale. Après tout, les mauvais acteurs ont beaucoup investi dans la technologie qu’ils utilisent pour vous attaquer. Vos testeurs doivent absolument adopter la même approche. Bien qu’il y ait de nombreux aspects à prendre en compte lors de la mise en place d’une sécurité globale plus solide dans votre organisation, un domaine dans lequel les adversaires investissent du temps et de l’argent est d’avoir une infrastructure de craquage de mots de passe effroyablement bonne.
Croyez-le ou non, les attaquants peuvent acheter du matériel prêt à l’emploi qui prend en charge les efforts de craquage de mot de passe. Bien qu’il existe un petit assortiment de fournisseurs de matériel qui s’occupent spécifiquement du craquage de mots de passe, il existe un segment beaucoup plus important qui construit des systèmes pour les besoins de l’IA/ML. Ce matériel sert principalement le même objectif : des ordinateurs hautes performances avec des GPU puissants intégrés qui peuvent faciliter des efforts de travail parallèles massifs.
Par exemple, pour moins de six chiffres, vous pouvez acheter 2 ou 3 serveurs montés en rack 4U avec des processeurs ultra-rapides, des masses de RAM et de SSD, et jusqu’à 8 GPU Nvidia GeForce 3090 dans chaque boîte.
Cette configuration peut exécuter des milliards de tentatives de mot de passe par seconde. Pensez-y : des milliards de suppositions par seconde sont si rapides qu’elles peuvent forcer brutalement tous les candidats de mot de passe possibles entre un et huit caractères – en utilisant n’importe quelle combinaison de majuscules, minuscules, chiffres et caractères spéciaux – dans moins d’une heure. Il peut également forcer brutalement les mots de passe dans la plage de 9 à 12 caractères, si les attaquants complètent simplement sa vitesse avec quelques règles de base, des masques et des dictionnaires.
La configuration maison que je décris est plus mortelle pour la sécurité des mots de passe que vous ne le pensez. En fait, cette collection de matériel de type Frankenstein ne commencerait à montrer aucune tension tant qu’elle ne s’attaquerait pas aux mots de passe de plus de 15 caractères. Même dans ce cas, les acteurs de la menace pourraient encore déchiffrer une part décente de mots de passe, avec suffisamment de temps d’attente et d’informations contextuelles provenant d’un environnement compromis.
Toutes sortes de hachages de mots de passe peuvent faire l’objet de ces types d’attaques. Les hachages Windows NT (comment votre mot de passe Windows local est stocké), les comptes Web, les bases de données, le chiffrement de fichiers et même les gestionnaires de mots de passe sont protégés par le hachage de mot de passe.
Donc, c’est le mal nouvelles.
La bonne nouvelle? Une infrastructure lourde de craquage de mots de passe, lorsqu’elle est utilisée par des pentesters (au lieu d’adversaires du monde réel), peut apporter une tonne de valeur et d’informations à votre programme de test. Ça peut:
- Révéler les failles dans la sécurité de votre mot de passe. Avez-vous déjà eu du mal à justifier l’investissement dans des solutions technologiques telles que l’authentification multifacteur (MFA) ? Si vos patrons pensent que les mots de passe des utilisateurs sont suffisants pour protéger les comptes d’utilisateurs et les applications associées, les pentesters peuvent utiliser le craquage de mots de passe pour prouver rapidement qu’ils ont tort. Plus précisément, en déchiffrant vos mots de passe, ils peuvent vous donner la preuve documentée dont vous pourriez avoir besoin pour convaincre la haute direction que la MFA est une nécessité absolue.
- Récupérer vos mots de passe après un incident. Dans mes propres efforts en tant que pentester, j’ai eu des engagements où des clients ont perdu des mots de passe pour des comptes critiques à cause d’une attaque, ainsi que des situations où un client avait besoin d’ouvrir des fichiers protégés par mot de passe laissés par un attaquant. Avoir un partenaire de pentesting à vos côtés peut vous aider dans ces types de situations tendues, car le craquage de mot de passe permet aux équipes de récupération d’accomplir des tâches comme celle-ci avec une facilité et une rapidité sans précédent. Considérez cela comme l’équivalent de la sécurité par mot de passe de combattre le feu par le feu.
- Donner un aperçu de la psychologie – et les risques de sécurité – de mauvaises habitudes de création de mots de passe. Trop d’utilisateurs choisissent des mots de passe de plusieurs manières prévisibles. Beaucoup de gens tombent dans un schéma commun d’utilisation des saisons, des lieux et des noms. Et vous feriez mieux de croire que vos adversaires recueillent la même perspicacité. Plus nous en savons, mieux nous pouvons vous aider à éduquer vos utilisateurs et à définir des politiques intelligentes pour optimiser la force des mots de passe.
De tous les avantages que vous pouvez tirer du piratage de mots de passe par des pentesters qualifiés, l’un des plus spectaculaires est la connaissance et la perspicacité à long terme qu’il fournit sur le comportement de vos adversaires. Ces informations peuvent aider à renforcer votre organisation à court terme. À plus long terme, ces informations nous permettent d’optimiser en permanence des solutions de sécurité meilleures et plus performantes qui servent le plus grand bien de la société.
Construire et maintenir une infrastructure de craquage de mots de passe n’est pas facile. Les pentesters qui créent ces types d’outils seront confrontés à des limitations de refroidissement et d’alimentation, aux tracas des fournisseurs et même GPU pénuries. Il faut beaucoup de travail continu pour maintenir les systèmes à l’écoute et continuellement optimisés pour répondre aux exigences de piratage en constante évolution.
Mais le travail acharné en vaudra finalement la peine, en particulier pour les organisations qui ont besoin d’une honnêteté sans faille en ce qui concerne la sécurité de leur mot de passe. Plus vos pentesters peuvent se comporter de manière réaliste lorsqu’ils se déplacent dans votre environnement et plus ils sont habiles à violer votre environnement, plus vous serez fort si un mauvais acteur tente d’y accéder.
Le craquage de mot de passe continuera d’évoluer, tout comme vos tactiques et vos plans de test d’intrusion. Au moment où vous arriverez à votre quatrième ou cinquième tour avec un conseil en pentesting de qualité, votre atténuation des risques se sera considérablement améliorée, ce qui signifie que vous pourrez passer à la prochaine étape de la maturité de la sécurité.
