Weak Password Test (WPT)

Partager

C’est article est-il utile?

Dernière mise à jour :

Manuel du produit Weak Password Test (WPT)

Pour en savoir plus au sujet de Weak Password Test (WPT), lisez les sections ci-dessous ou visionnez une courte vidéo Weak Password Test (WPT).

Introduction à WPT

WPT est un outil gratuit qui inspecte votre Active Directory (AD) à la recherche de mots de passe utilisateur susceptibles de faire l’objet d’attaques liées aux mots de passe.

À l’aide de mots de passe hachés et d’algorithmes de chiffrement, WPT se connecte à votre AD pour extraire votre table de mots de passe. L’outil analyse ensuite les mots de passe en fonction de dix vulnérabilités potentielles.

Les résultats indiquent quels comptes utilisateurs ont échoué au test et pour quelle raison. Cette information peut vous permettre de renforcer les exigences de votre organisation en matière de complexité des mots de passe, de former vos utilisateurs à l’utilisation de mots de passe sûrs ou de prendre d’autres mesures pour renforcer la sécurité de votre organisation.

Exigences système et conditions préalables

Pour exécuter WPT, votre système doit répondre aux exigences suivantes :

  • Windows 10 ou version plus récente (32 ou 64 bits), Windows Server 2016 ou version plus récente
  • Active Directory (AD), sur Windows Server 2008 R2 ou version plus récente
  • Capacité d’accès au contrôleur de domaine
  • Accès Internet
  • .NET Framework 4.7.2 sera installé, si nécessaire
  • Au moins deux processeurs
  • Au moins 2 Go de RAM
  • Au moins 1 Go d’espace sur le disque dur (HDD), disponible sur le lecteur système
  • Contrôle du compte utilisateur (UAC) activé

Nous vous recommandons d’effectuer ce test sur un autre système que celui du contrôleur de domaine, car le processus d’analyse peut temporairement générer une utilisation du CPU et un trafic réseau importants.

Pour l’installation, vous aurez besoin des informations suivantes :

  1. La clé de licence que vous avez reçue par courriel lors de l’inscription au test.
  2. Le nom de domaine de votre AD. Par exemple, MonDomaine.com ou MonDomaine.local.
  3. Le nom de votre contrôleur de domaine.
  4. Les authentifiants de connexion à votre AD.
Important : Pour que l’exécution du test soit réussie, les authentifiants que vous utilisez pour le WPT afin de vous connecter à votre AD doivent avoir les autorisations suivantes activées : Réplication des modifications de l’annuaire et Réplication de toutes les modifications de l’annuaire. Ces autorisations vous permettent d’obtenir une copie de votre table de mots de passe pour l’analyse.

Installation et configuration

Lorsque vous avez satisfait aux exigences du système et aux conditions préalables, vous pouvez installer et configurer WPT. Pour commencer à l’utiliser, suivez les étapes ci-dessous :

  1. Inscrivez-vous pour télécharger l’outil WPT sur notre Page WPT et téléchargez le fichier d’installation WPT.
  2. Consultez vos courriels pour récupérer la clé de licence unique WPT dont vous aurez besoin pendant le processus de configuration.
  3. Exécutez le fichier d’installation WPT.
  4. Prenez connaissance du contrat de licence et acceptez-le. Puis, cliquez sur Installer pour terminer l’installation.
  5. Cliquez sur Terminer pour exécuter WPT.
  6. Saisissez la clé de licence que vous avez récupérée à l’étape 1 et cliquez sur OK.
  7. Sous Détails Active Directory, saisissez les informations de votre Active Directory (AD).
    • Le nom de domaine de votre AD
    • Le nom de votre contrôleur de domaine
  8. Sous Authentifiants, saisissez le nom d’utilisateur et le mot de passe du compte que vous avez créé et pour lequel les autorisations suivantes sont activées : Réplication des modifications de l’annuaire et Réplication de toutes les modifications de l’annuaire.
  9. Cliquez sur Démarrer le test pour commencer votre test.
  10. Le test analysera vos comptes AD, à la recherche de mots de passe faibles. Selon la taille de votre AD et les performances de votre poste de travail, le processus peut prendre une minute ou plus.
  11. Vos résultats s’afficheront sur l’écran dès que le test sera terminé. Pour comprendre chaque vulnérabilité, lisez la section qui suit.

Comprendre vos résultats

Les résultats de votre WPT indiqueront combien de comptes sont vulnérables et quelles vulnérabilités affectent chaque compte. Les sections ci-dessous vous aideront à parcourir vos résultats et à comprendre les types de vulnérabilités liées aux mots de passe qui ont été trouvées.

Parcourir vos résultats

Vos comptes Active Directory (AD) s’afficheront sous forme de liste. Sur chaque ligne, une ou plusieurs coches indiqueront quelles vulnérabilités ont été trouvées pour le compte. Vous pouvez également rechercher un compte en particulier en saisissant des caractères dans la boîte de recherche.

Un graphique à secteurs compare le nombre et le type de vulnérabilités trouvées. Il peut être utilisé pour déterminer les vulnérabilités de mots de passe les plus courantes au sein de votre organisation.

Vous pouvez filtrer les résultats par type d’échec si vous souhaitez analyser une vulnérabilité en particulier. Pour ce faire, cliquez sur le type d’échec qui vous intéresse dans la section de gauche de la fenêtre. Seuls les comptes ayant eu ce type d’échec resteront dans la liste.

Voici quelques informations supplémentaires au sujet de l’interface utilisateur WPT :

  1. Vous pouvez filtrer vos résultats par type d’échec en cliquant sur la barre latérale située du côté gauche de la page.
  2. Vous pouvez rechercher des comptes AD particuliers à l’aide de la barre de recherche.
  3. Les coches qui apparaissent sur chaque ligne indiquent le type de vulnérabilité liée aux mots de passe trouvée pour chaque compte.
  4. Vous pouvez exporter vos résultats en tant que feuille de calcul Excel ou fichier PDF.
  5. Cliquez sur Réexécuter le test pour exécuter WPT à nouveau. Nous vous recommandons d’enregistrer vos résultats actuels avant de cliquer sur ce bouton.

Types d’échecs

WPT analyse vos données à la recherche de dix types d’échecs différents qui peuvent rendre votre organisation vulnérable aux attaques. Ceux-ci sont décrits ci-dessous.

  1. Weak Password (Mot de passe faible): Ce type d’échec indique que le mot de passe du compte affecté correspond à l’un de ceux qui sont répertoriés dans notre dictionnaire des mots de passe faibles. Ces mots de passe sont soit très courants, faciles à deviner, ou ils ont été rendus disponibles aux attaquants lors d’une violation de données passée.
  2. Mot de passe partagé Ce type d’échec indique que le compte affecté partage son mot de passe avec au moins un autre compte.
  3. Mot de passe vide Ce type d’échec comprend les comptes qui n’utilisent pas de mot de passe.
  4. Mot de passe en texte clair Ce type d’échec comprend les mots de passe qui sont stockés en texte clair dans un Active Directory (AD). Cela signifie que les mots de passe AD des utilisateurs sont stockés à l’aide du chiffrement réversible.
  5. Mot de passe qui n’est pas obligatoire Ce type d’échec comprend les comptes qui ont la possibilité de ne pas avoir de mot de passe.
  6. Mot de passe qui n’expire jamais Ce type d’échec indique que le délai d’expiration du mot de passe de ce compte est réglé sur zéro. À cause de ce paramètre, même si la case Mot de passe n’expire jamais n’est pas cochée dans les propriétés de l’utilisateur, leur mot de passe n’expirera jamais. WPT vérifiera les paramètres d’expiration du mot de passe dans les politiques du domaine de l’organisation, dans les stratégies de mot de passe affinées et dans les propriétés de l’utilisateur.
  7. Hachage LM du mot de passe Ce type d’échec indique que le compte concerné utilise un hachage de gestionnaire de réseau local (LAN), qui est une méthode obsolète. Ces mots de passe sont vulnérables aux attaques par force brute et peuvent être rapidement déchiffrés.
  8. Chiffrement AES non défini Ce type d’échec indique que le compte n’utilise pas la norme de chiffrement avancé (Advanced Encryption Standard, AES) pour chiffrer le mot de passe de l’utilisateur. L’AES chiffre les mots de passe avec une clé de 128 bits ou de 256 bits. Les mots de passe qui utilisent le chiffrement AES sont moins vulnérables aux attaques.
  9. Chiffrement DES uniquement Ce type d’échec indique que les comptes concernés ont été configurés avec le mécanisme retiré de la norme de chiffrement des données (Data Encryption Standard, DES). Cela pourrait être le résultat d’un vieux logiciel qui ne sait pas comment réagir à l’AES.

  10. Authentification préalable manquante Ce type d’échec indique que l’authentification préalable, un mécanisme de sécurité, est désactivée pour les comptes affectés. Lorsqu’elle est activée, l’authentification préalable crée une demande d’authentification chiffrée de sorte que les tentatives d’authentification au compte sont journalisées.

    Ce compte peut faire l’objet d’une attaque par force brute. Les attaques par force brute peuvent survenir hors ligne et sont difficiles à détecter.

Paramètres

Vous pouvez choisir parmi différents paramètres afin de personnaliser votre WPT. Pour plus d’informations, consultez les sous-sections ci-dessous.

Vulnérabilités optionnelles

Vous pouvez activer ou désactiver deux vulnérabilités liées aux mots de passe de l’analyse de WPT. Chiffrement AES non défini ou Mot de passe qui n’expire jamais. Pour accéder à ces paramètres, cliquez sur l’icône de l’engrenage située dans le coin supérieur droit de la fenêtre.

Mots de passe personnalisés

WPT utilise une vaste bibliothèque de mots de passe à partir de laquelle il détermine si un mot de passe utilisateur est faible. Si vous souhaitez inclure des mots de passe spécifiques dans l’analyse WPT, vous pouvez importer un fichier texte contenant ces mots de passe. Pour accéder à ce paramètre, cliquez sur l’icône de l’engrenage située dans le coin supérieur droit de la fenêtre.

Avant d’importer votre fichier texte, assurez-vous que la taille du fichier est de moins de 10 Mo et que le fichier ne comporte qu’un seul mot de passe par ligne.

Langue

Vous pouvez modifier la langue de votre WPT en cliquant sur le nom de la langue dans le coin inférieur droit de la fenêtre.

Sécurité

Votre Active Directory (AD) et vos informations utilisateur sont protégées lorsque vous utilisez WPT. Les résultats de test identifieront uniquement les comptes utilisateurs ayant échoué au test et la raison de l’échec, afin que vous puissiez prendre les mesures nécessaires.

Voyez ci-dessous les informations sur le traitement de vos données pendant le WPT :

  • Aucune des informations de votre AD ne sera transmise à KnowBe4, et ce à aucun moment pendant le test.
  • Les données extraites de votre AD sont chiffrées.
  • WPT n’affiche pas les mots de passe des comptes utilisateurs de votre AD.
  • Dans AD, les mots de passe sont stockés dans un format haché et le format haché ne sera pas visible pendant le test.
  • Les informations obtenues pendant le test sont enregistrées dans la mémoire locale, non pas sur le disque.

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 17 sur 19

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance