Le bureau de l’inspecteur gnral a dclar avoir lanc son enqute aprs qu’un prcdent test des dfenses de cyberscurit de l’agence ait rvl des politiques et des exigences laxistes en matire de mots de passe dans la douzaine d’agences et de bureaux du dpartement de l’Intrieur des tats-Unis. Cette fois-ci, l’objectif tait de dterminer si les dfenses de scurit du United States Department of the Interior (DOI), taient suffisantes pour bloquer l’utilisation de mots de passe vols et rcuprs. Le DOI est le dpartement du gouvernement fdral des tats-Unis qui contrle et prserve la plupart des terres appartenant l’tat.
L’objectif de linspection tait de dterminer si les contrles de gestion et d’application des mots de passe du ministre de l’Intrieur des tats-Unis taient suffisamment efficaces pour empcher une attaque malveillante d’obtenir un accs non autoris aux systmes informatiques du ministre en capturant et en utilisant des mots de passe des utilisateurs.
Les mots de passe eux-mmes ne sont pas toujours vols sous leur forme lisible. Les mots de passe que vous crez sur les sites web et les services en ligne sont gnralement brouills et stocks d’une manire qui les rend illisibles pour les humains – gnralement sous la forme d’une chane de lettres et de chiffres apparemment alatoires – afin que les mots de passe vols par un logiciel malveillant ou une violation de donnes ne puissent pas tre facilement utiliss. C’est ce qu’on appelle le hachage de mot de passe, et la complexit d’un mot de passe (et la force de l’algorithme de hachage utilis pour le chiffrer) dtermine le temps qu’il faut un ordinateur pour le dchiffrer. En gnral, plus le mot de passe est long ou complexe, plus il faut de temps pour le rcuprer.
Le rapport indique que la dpendance du ministre l’gard des mots de passe comme seul moyen de protger certains de ses systmes les plus importants et les comptes d’utilisateur des employs va l’encontre de prs de deux dcennies de directives gouvernementales en matire de cyberscurit, qui prconisent une authentification renforce deux facteurs. De plus, les mauvaises politiques en matire de mots de passe font courir au ministre le risque d’une violation qui pourrait entraner une forte probabilit de perturbation massive de ses oprations.
Mcanismes d’authentification des systmes informatiques du ministre
Le ministre utilise deux types d’authentification pour accorder l’accs aux systmes informatiques : l’authentification un seul facteur et l’authentification multifactorielle (AMF). L’AMF fait rfrence l’obligation d’utiliser au moins deux facteurs pour accder aux systmes informatiques ; l’AMF est obligatoire sur les systmes d’information fdraux depuis prs de deux dcennies.
L’identification et l’authentification des utilisateurs constituent un contrle de scurit fondamental pour accorder l’accs aux systmes informatiques et aux ressources d’information. En tant que telles, les mthodes d’authentification, telles que les mots de passe, constituent une cible de choix pour les acteurs malveillants qui tentent d’obtenir un accs non autoris des donnes sensibles.
Si un acteur malveillant compromet un compte privilges levs, tel que le compte d’un administrateur systme, l’ampleur du prjudice augmente car l’attaquant peut tlcharger des logiciels malveillants, voler des donnes sensibles, ajouter ou supprimer des utilisateurs, modifier les configurations du systme, et modifier les journaux pour dissimuler ses actions.
Le directeur de l’information du ministre (CIO) est charg d’tablir une politique de scurit informatique l’chelle du ministre et de superviser sa mise en uvre pour garantir la conformit de tous les systmes d’information. Le responsable de la scurit informatique du dpartement est charg d’laborer et de maintenir un programme de scurit informatique l’chelle du dpartement et d’assumer les responsabilits du DPI en matire de scurit informatique. Les chefs de bureaux et d’offices sont chargs de veiller au respect de ces politiques et procdures ministrielles, ainsi que de toutes les lois, rgles, rglementations, politiques, normes et procdures fdrales applicables.
14 000 mots de passe capturs en 90 minutes, soit environ 16 % de tous les comptes du ministre
Les membres du personnel de l’organisme de surveillance ont dclar que le fait de s’appuyer sur des affirmations selon lesquelles il faudrait plus de cent ans pour rcuprer des mots de passe rpondant aux exigences minimales de scurit du ministre l’aide d’un logiciel de capture de mots de passe disponible dans le commerce a cr un faux sentiment de scurit selon lequel ses mots de passe sont srs.
Pour prouver son point de vue, l’organisme de surveillance a dpens moins de 15 000 dollars pour dvelopper une plateforme de capture de mots de passe – une configuration compose d’un ou de plusieurs ordinateurs haute performance relis entre eux – avec une puissance de calcul conue pour effectuer des tches mathmatiques complexes, comme la rcupration de mots de passe hachs. Dans les 90 premires minutes, le dispositif a pu rcuprer prs de 14 000 mots de passe d’employs, soit environ 16 % de tous les comptes du ministre, y compris des mots de passe comme « Polar_bear65 » et « Nationalparks2014 ».
L’organisme de surveillance a galement rcupr des centaines de comptes appartenant des hauts fonctionnaires et d’autres comptes bnficiant de privilges de scurit levs pour accder des donnes et des systmes sensibles. Quatre mille deux cents autres mots de passe hachs ont t capturs au cours de huit semaines de tests supplmentaires.
Les dispositifs de capture de mots de passe ne sont pas un concept nouveau, mais ils ncessitent une puissance de calcul et une consommation d’nergie considrables pour fonctionner, et la construction d’une configuration matrielle relativement simple peut facilement coter plusieurs milliers de dollars. titre de comparaison, White Oak Security a dpens environ 7 000 dollars en matriel pour une plateforme raisonnablement puissante en 2019.
La configuration que nous utilisons consiste en deux plates-formes avec 8 GPU chacune (16 au total), et une console de gestion. Les plates-formes elles-mmes excutent plusieurs conteneurs open-source dans lesquels nous pouvons mettre en place 2, 4 ou 8 GPU et leur attribuer des tches partir de la console de distribution de travail open-source. En utilisant des GPU de 2 et 3 gnrations en retard sur les produits actuellement disponibles, nous avons atteint les repres combins NTLM avant le travail sur le terrain de 240GHs en testant NTLM via des masques de 12 caractres, et 25.6GHs via un dictionnaire de 10GB et un fichier de rgles de 3MB. Les vitesses relles ont vari entre plusieurs configurations de test au cours de la mission , bureau de l’inspecteur gnral. Au cours de leur travail, ils ont constat que :
- Le ministre n’a pas systmatiquement mis en uvre l’authentification multifactorielle, y compris pour 89 % de ses actifs de grande valeur (actifs dont la compromission pourrait avoir de graves rpercussions sur la capacit du ministre mener ses activits), ce qui a rendu ces systmes vulnrables aux attaques visant compromettre les mots de passe ;
- Les exigences du ministre en matire de complexit des mots de passe taient dpasses et inefficaces, ce qui permettait aux utilisateurs de choisir des mots de passe faciles pirater (par exemple, Changeme$12345, Polar_bear65, Nationalparks2014 !). Lquipe a constat, par exemple, que 4,75 % de tous les mots de passe des comptes utilisateurs actifs taient bass sur le mot « password ». Au cours des 90 premires minutes de test, elle a dchiffr les mots de passe de 16 % des comptes d’utilisateur du ministre ;
- Les exigences du ministre en matire de complexit des mots de passe autorisaient implicitement le personnel non apparent utiliser les mmes mots de passe intrinsquement faibles, ce qui signifie qu’aucune rgle n’tait en place pour empcher cette pratique. Par exemple, le mot de passe le plus couramment rutilis (Password-1234) a t utilis sur 478 comptes actifs. En fait, 5 des 10 mots de passe les plus rutiliss au ministre comprenaient une variante de « password » combine « 1234 ». « 1234 » ; cette combinaison rpond actuellement aux exigences du ministre, mme si elle n’est pas difficile craquer ;
- Le ministre n’a pas dsactiv en temps voulu les comptes inactifs (inutiliss) ni appliqu les limites d’ge des mots de passe. Ce qui a rendu plus de 6 000 comptes actifs supplmentaires vulnrables aux attaques.
L’organisme de surveillance a dclar avoir tabli sa propre liste de mots personnaliss pour craquer les mots de passe du ministre partir de dictionnaires en plusieurs langues, ainsi que de la terminologie du gouvernement amricain, de rfrences la culture pop et d’autres listes publiques de mots de passe hachs recueillies lors de violations de donnes antrieures. (Il n’est pas rare que les entreprises technologiques collectent galement des listes de mots de passe vols lors d’autres violations de donnes pour les comparer leur propre ensemble de mots de passe hachs des clients, afin d’empcher ces derniers de rutiliser le mme mot de passe sur d’autres sites web). Ce faisant, l’organisme de surveillance a dmontr qu’un cybercriminel disposant de ressources suffisantes aurait pu craquer les mots de passe du ministre un rythme similaire, selon le rapport.
Le rapport reproche galement au ministre de l’intrieur de ne pas avoir mis en uvre ou appliqu « de manire cohrente » l’authentification deux facteurs, qui consiste demander aux utilisateurs de saisir un code partir d’un appareil qu’ils possdent physiquement afin d’empcher les attaquants de se connecter en utilisant uniquement un mot de passe vol. Le rapport indique que prs de neuf actifs de grande valeur sur dix du ministre, tels que des systmes susceptibles d’avoir de graves rpercussions sur ses oprations ou la perte de donnes sensibles, n’taient pas protgs par une forme quelconque de scurit deux facteurs, et que le ministre avait par consquent ignor 18 annes de mandats fdraux, y compris ses propres politiques internes . Lorsque l’organisme de surveillance a demand un rapport dtaill sur l’utilisation de l’authentification deux facteurs par le ministre, ce dernier a rpondu que les informations n’existaient pas.
Nous avons lanc cette inspection parce que nous avons t en mesure de craquer entre 20 et 40 % des mots de passe que nous avons saisis au cours de projets antrieurs. Pour ce projet, nous avons dcid d’effectuer un test formel des mots de passe dans l’ensemble du ministre. Nous l’avons fait aprs avoir dfini des « rgles d’engagement » avec le ministre pour nous assurer qu’il tait en mesure de protger ses systmes informatiques et que toute vulnrabilit pouvait tre traite rapidement , bureau de l’inspecteur gnral.
Le bureau a constat que les pratiques de gestion du ministre et les exigences en matire de complexit des mots de passe n’taient pas suffisantes pour empcher un ventuel accs non autoris ses systmes et ses donnes. Nonobstant les exigences du dcret n 14028 intitul Improving the Nation’s Cybersecurity, le ministre n’a pas mis en uvre de manire cohrente l’MFA sur ses systmes. Bien plus, il n’a pas mis en uvre l’MFA sur 89 % (25 sur 28) de ses actifs de grande valeur.
Le systme mis en place ppiur capturer les hachages a obtenu des mots de passe en texte clair pour 13 924 (16 %) des 85 944 comptes utilisateurs Active Directory (AD) du ministre. Au total, ils ont captur 18 174 (21 %) des comptes d’utilisateurs AD du ministre. Nous avons galement captur 288 mots de passe de comptes privilges levs et 362 mots de passe appartenant des fonctionnaires de haut niveau.
Il est probable que si un attaquant disposant de ressources suffisantes parvenait capturer les hachages de mots de passe AD du ministre, il aurait atteint un taux de russite similaire au ntre dans la capture des hashs. L’attaque a affect des millions dentreprises et de consommateurs, et la Maison Blanche a dclar l’tat d’urgence. L’attaque par ranongiciel de Colonial Pipeline est un exemple des consquences potentielles de l’absence d’authentification multifactorielle et de pratiques de gestion de compte faibles.
Au ministre, le bureau a constat plusieurs faiblesses similaires celles du Colonial Pipeline en matire de scurit informatique qui ont permis la russite de la cyberattaque. Plus prcisment, en dpit de 18 ans d’exigences, le ministre n’a pas mis en uvre l’MFA sur 89 % de ses actifs critiques.
Dans l’environnement actuel des cybermenaces, des mthodes d’authentification forte et des pratiques robustes de gestion des comptes et des mots de passe sont ncessaires pour aider protger les systmes informatiques contre les l’accs non autoris. Une confiance excessive dans les mots de passe pour limiter l’accs au systme au personnel autoris peut avoir des consquences catastrophiques. Par exemple, en 2021, Forbes a rapport que des cybercriminels ont ont lanc une attaque par ranongiciel sur le Colonial Pipeline interrompant ainsi la moiti de la chane d’approvisionnement en carburant du pays – en drobant les donnes de l’entreprise.
Source : United States Department of the Interior
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :