Utiliser PasswordIQ

Manuel du produit PasswordIQ

Offert avec l’abonnement Diamant, PasswordIQ de KnowBe4 vous permet de surveiller les vulnérabilités liées aux mots de passe de vos utilisateurs. Le client PasswordIQ analyse les paramètres liés aux mots de passe de votre Active Directory à la recherche de vulnérabilités. Il compare les mots de passe de vos utilisateurs à des mots de passe piratés ou faibles provenant de différentes listes et bases de données. Puis, le client communique avec KSAT pour afficher les résultats de l’analyse sur votre tableau de bord.

Pour activer PasswordIQ, rendez-vous dans les Paramètres du compte et accédez à Intégrations du compte > PasswordIQ. Puis, cochez la case Activer PasswordIQ.

Remarque :Pour utiliser PasswordIQ, la version locale d’AD est requise. PasswordIQ n’est pas compatible avec Microsoft Entra ID.
Important :PasswordIQ n’affichera ni ne signalera jamais les mots de passe de vos utilisateurs. Dans AD, tous les mots de passe sont chiffrés et stockés dans un format haché. Les versions non hachées sont donc inaccessibles à PasswordIQ et à KnowBe4.

Consultez les sections ci-dessous pour apprendre comment installer le client, exécuter les analyses et afficher vos résultats.

Configuration requise

Pour installer le client PasswordIQ, vous devez satisfaire aux exigences énumérées ci-dessous.

Important : Nous vous recommandons d’installer le client sur un autre ordinateur que celui que vous utilisez comme contrôleur de domaine. Le processus d’analyse peut entraîner un trafic élevé sur le réseau et une forte utilisation de l’unité centrale de traitement (CPU). Pour de meilleurs résultats, installez le client sur une machine virtuelle ou un serveur qui peuvent s’exécuter en continu.
  1. Vous avez accès à un ordinateur qui répond aux exigences suivantes :
    • Le système d’exploitation est Windows 10 ou une version plus récente (32 bits ou 64 bits), ou Windows Server 2016 ou une version plus récente;
    • L’ordinateur utilise .NET Framework, version 4.7.2 ou plus récente. Si l’ordinateur utilise une version de .NET Framework qui est plus récente que 4.5.1, mais plus ancienne que 4.7.2, l’assistant d’installation vous installera la version 4.7.2. Cependant, si l’ordinateur utilise une version de .NET Framework qui est plus ancienne que 4.5.1, l’assistant d’installation ne s’exécutera pas;
    • L’ordinateur possède au moins deux processeurs;
    • L’ordinateur possède au moins 2 Go de mémoire vive;
    • Le lecteur du système de l’ordinateur possède au moins 1 Go d’espace libre sur le disque dur;
    • Le Contrôle du compte de l’utilisateur (UAC) est activé dans les paramètres de contrôle de compte d’utilisateur de l’ordinateur.
  2. Vous avez accès à une installation locale d’AD qui s’exécute sur Windows Server 2008 R2 ou une version plus récente.
    Remarque : Si vous avez plusieurs domaines AD, vous devrez installer une instance différente du client pour chaque domaine.
  3. Vous avez accès à un compte administrateur de domaine AD ou à un compte AD qui peut être élevé au rôle d’administrateur. Ce compte doit avoir les autorisations de Réplication des modifications d’annuaire et de Réplication de toutes les modifications d’annuaire. Pour plus d’informations, consultez l’article de Microsoft Autorisation de réplication des modifications d’annuaire.
  4. Vous devez être un administrateur KSAT ou avoir un rôle de sécurité avec un accès en lecture et enécriture à PasswordIQ.

Vulnérabilités

Le client PasswordIQ analyse chaque utilisateur pour identifier 11 vulnérabilités et signale les vulnérabilités trouvées à KSAT.

Pour obtenir plus d’informations à propos de ces vulnérabilités, consultez le tableau ci-dessous.

Vulnérabilité Description
Mot de passe faible Le mot de passe correspond à un mot de passe de notre liste de mots de passe faibles. Il est donc courant ou facile à deviner. Un cybercriminel a plus de chance de deviner le mot de passe et d’accéder au compte de l’utilisateur.
Mot de passe partagé Le mot de passe correspond au mot de passe d’au moins un autre utilisateur de votre AD. Le mot de passe est probablement courant ou simple et un cybercriminel a plus de chance d’accéder au compte de l’utilisateur.
Mot de passe en texte clair Le mot de passe est stocké dans votre AD avec un chiffrement réversible. Le mot de passe peut être déchiffré et un cybercriminel a donc plus de chance d’accéder au compte de l’utilisateur.
Mot de passe vide Le mot de passe ne contient aucun caractère. L’utilisateur se connecte donc au compte en laissant le champ du mot de passe vide. N’importe qui peut accéder au compte de l’utilisateur, y compris des cybercriminels.
Chiffrement DES uniquement Le compte utilise la norme de chiffrement des données (Data Encryption Standard, DES) pour chiffrer le mot de passe de l’utilisateur. La DES est une norme de chiffrement obsolète. En effet, elle chiffre les mots de passe avec une clé de 56 bits uniquement tandis que les méthodes de chiffrement plus récentes utilisent des clés plus longues qui sont plus sécuritaires. Un cybercriminel a plus de chance de deviner le mot de passe et d’accéder au compte de l’utilisateur.
Mot de passe piraté Le mot de passe a été compromis lors d’une violation de données liée à votre compte AD. L’utilisateur utilise activement un mot de passe qui est accessible à des cybercriminels.
Mot de passe qui n’est pas obligatoire Le compte ne requiert pas que l’utilisateur saisisse un mot de passe lorsqu’il se connecte. N’importe qui peut se connecter au compte, y compris des cybercriminels.
Mot de passe qui n’expire jamais Le délai d’expiration du mot de passe de ce compte est réglé sur zéro. À cause de ce paramètre, même si la case Mot de passe n’expire jamais n’est pas cochée dans les propriétés de l’utilisateur, leur mot de passe n’expirera jamais. PasswordIQ vérifiera les paramètres d’expiration du mot de passe dans les politiques du domaine de l’organisation, dans les stratégies de mot de passe affinées et dans les propriétés de l’utilisateur. Les mots de passe qui ne sont pas modifiés régulièrement ont une meilleure chance d’être devinés par des cybercriminels.
Hachage LM du mot de passe Le compte utilise un hachage (LM) de gestionnaire de réseau local. Un hachage LM convertit le mot de passe en majuscules uniquement, limite le mot de passe à 14 caractères et sépare les 14 caractères en deux groupes de 7 caractères. Ce processus affaiblit le mot de passe et les cybercriminels ont plus de chance de le déchiffrer.
Chiffrement AES Le compte n’utilise pas la norme de chiffrement avancé (Advanced Encryption Standard, AES) pour chiffrer le mot de passe de l’utilisateur. L’AES chiffre les mots de passe avec une clé de 128 bits ou de 256 bits. Ainsi, les mots de passe qui utilisent le chiffrement AES sont moins vulnérables aux attaques.
Authentification préalable manquante Le compte ne requiert pas d’authentification préalable. Le compte peut donc se trouver non protégé des attaques par tentative de supposition de mots de passe. L’authentification préalable chiffre un horodatage de la demande de connexion à l’aide d’une clé basée sur le mot de passe de l’utilisateur. Ce processus protège contre les attaques par tentative de supposition de mots de passe, puisqu’il enregistre chaque tentative de connexion au compte.

Pour apprendre comment résoudre ces vulnérabilités, consultez la section Résoudre les vulnérabilités ci-dessous.

Copier le jeton d’API

Pour connecter le client PasswordIQ à votre console KSAT, vous aurez besoin de votre jeton API de produit.

Pour créer et copier votre jeton d’API, suivez les étapes suivantes :

  1. Connectez-vous à votre compte KSAT.
  2. Cliquez sur l’adresse courriel indiquée dans le coin supérieur droit de la page et sélectionnez Paramètres du compte.
  3. Accédez à Intégrations du compte > API.
  4. Sous API de produit, cliquez sur API de produit.
  5. Créez un jeton d’API de produit pour PasswordIQ. Pour plus d’informations, consultez notre article API de produit KnowBe4.

  6. Dans la fenêtre contextuelle Jeton API de produit, cliquez sur le jeton API de produit pour copier le jeton. Vous aurez besoin de ce jeton pour terminer le paramétrage à la section Installer le client ci-dessous. Important: Lorsque vous aurez fermé la fenêtre, vous ne pourrez plus revoir ce jeton.

  7. Cliquez sur OK.

Installer le client

Avant d’installer le client PasswordIQ, vérifiez que votre ordinateur répond aux exigences de la section Configuration requise ci-dessus. Puis, copiez votre jeton d’API en suivant les instructions de la section Copier le jeton d’API ci-dessus.

Pour installer le client, suivez les indications ci-dessous :

  1. Connectez-vous à votre compte KSAT.
  2. Accédez à l’onglet PasswordIQ.
  3. À l’étape 2 des instructions de l’écran Bienvenue dans PasswordIQ, cliquez sur le lien Client PasswordIQ. Télécharger le client
  4. Dans la fenêtre contextuelle, cliquez sur le bouton Oui. PNG de la fenêtre contextuelle Windows
  5. Cliquez sur le bouton Suivant.
  6. Après avoir lu la licence d’utilisation du logiciel, cliquez sur le bouton Accepter pour accepter les conditions d’utilisation.
  7. Si votre ordinateur utilise un serveur proxy pour accéder à Internet, cochez la case Utiliser un serveur proxy et remplissez les champs. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous. Si votre ordinateur n’utilise pas de serveur proxy pour accéder à Internet, passez cette étape.
    1. Adresse IP ou nom : Entrez l’adresse IP ou le nom du serveur proxy. Vous trouverez ces informations dans les paramètres de serveur proxy de votre ordinateur qui se trouvent sous Réseau et Internet > Proxy.
    2. Numéro de port : Entrez le numéro de port du serveur proxy. Vous trouverez ces informations dans les paramètres de serveur proxy de votre ordinateur qui se trouvent sous Réseau et Internet > Proxy.
    Information sur le serveur proxy
  8. Cliquez sur le bouton Suivant.
  9. Dans le champ Interface de programmation d’application (API), collez le jeton d’API que vous avez copié dans la section Copier le jeton d’API ci-dessus. Écran Jeton d’API
  10. Cliquez sur le bouton Suivant.
  11. Dans les champs Nom d’utilisateur et Mot de passe, entrez les authentifiants de connexion d’un compte de service AD dont les autorisations répondent aux exigences. Le client utilisera ce compte de service pour exécuter toutes les analyses programmées.
    Remarque : Si l’autorisation Se connecter en tant que service n’est pas attribuée à ce compte, le client attribuera automatiquement l’autorisation au compte.
    Compte de service Windows
  12. Cliquez sur Suivant pour terminer l’installation.

Exécuter les analyses

Après avoir installé le client PasswordIQ, vous pouvez commencer à analyser votre AD pour détecter les vulnérabilités. Vous devrez exécuter votre première analyse à partir de votre client. Après votre première analyse, vous pouvez exécuter des analyses et créer un programme d’analyse à partir de votre tableau de bord. Pour plus d’informations, consultez la section Exécuter les analyses de notre article Comment utiliser le tableau de bord PasswordIQ.

Remarque : Afin de protéger les informations liées aux mots de passe, les données recueillies par PasswordIQ au cours des analyses ne sont jamais stockées de manière permanente sur le disque dur de votre ordinateur. Les données sont stockées de manière temporaire uniquement dans la mémoire vive (RAM) de votre ordinateur.

Pour exécuter votre première analyse, veuillez suivre les indications suivantes :

  1. Ouvrez le client PasswordIQ.
  2. Dans la section Analyse rapide, cliquez sur le bouton Analyser maintenant.
    Remarque : Des paramètres supplémentaires de PIQ sont disponibles en cliquant sur l’icône de l’engrenage dans le coin supérieur droit de la fenêtre. Dans les paramètres avancés, vous pouvez choisir d’ajouter deux vulnérabilités optionnelles à votre analyse : Chiffrement AES non défini ou Mot de passe qui n’expire jamais.
     Bouton Analyser maintenant
  3. Une fois l’analyse terminée avec succès, cliquez sur le bouton Afficher le tableau de bord pour afficher les résultats de l’analyse dans KSAT. Bouton Afficher le tableau de bord

Settings (Paramètres)

Dans votre client PasswordIQ, vous pouvez personnaliser vos paramètres en cliquant sur l’icône des paramètres située dans le coin supérieur droit du client. Dans la fenêtre modale qui s’affiche, se trouve deux onglets : Généraux et Avancés. Pour plus d’informations sur ces onglets, consultez les sous-sections ci-dessous.

Généraux

Dans l’onglet Généraux, vous pouvez modifier deux sections : Jeton API et Serveur proxy. Ces sections comprennent les paramètres que vous avez définis lors du démarrage initial du client PIQ.

Dans le champ Jeton API, vous pouvez modifier le jeton API que vous avez entré à partir de votre console KSAT. Pour enregistrer vos modifications, cliquez sur Valider le jeton API.

Dans le champ Serveur proxy, vous pouvez modifier le serveur proxy que votre ordinateur utilise pour se connecter à Internet. Si ce n’est pas déjà fait, cochez la case Utiliser un serveur proxy et entrez le nom ou l’adresse IP que vous souhaitez utiliser. Dans le champ Numéro de port, entrez le numéro de port de votre serveur proxy. Pour enregistrer vos modifications, cliquez sur Valider le jeton API.

Avancés

Dans l’onglet Avancés, vous pouvez modifier deux sections : Contrôleur de domaine personnalisé et Unités organisationnelles personnalisées. Dans la section Contrôleur de domaine personnalisé, choisissez les contrôleurs de domaine qui doivent être analysés par PasswordIQ. Pour ce faire, entrez le nom de l’ordinateur ou l’adresse IP dans le champ Contrôleur de domaine personnalisé.

Dans la section Unités organisationnelles personnalisées, vous pouvez sélectionner une ou plusieurs unités organisationnelles afin qu’elles puissent être analysées par PasswordIQ par le biais du menu déroulant.

Afficher les résultats

Étant donné que vous ne pouvez afficher qu’une partie des résultats dans le client PasswordIQ, nous vous recommandons d’utiliser votre compte KSAT pour consulter et analyser vos résultats. Pour accéder à votre tableau de bord, accédez à l’onglet PasswordIQ de votre console KSAT.

Pour afficher les résultats de l’analyse, vous pouvez utiliser le tableau de bord par défaut ou créer de nouveaux tableaux de bord. Pour plus d’informations, consultez notre article Comment utiliser votre tableau de bord PasswordIQ

Utiliser les groupes intelligents pour les utilisateurs détectés

Vous pouvez utiliser les groupes intelligents pour inscrire les utilisateurs pour lesquels des vulnérabilités ont été détectées à des campagnes d’hameçonnage ou de formation. Par exemple, vous pourriez utiliser le critère Événement PasswordIQ pour inscrire les utilisateurs ayant un mot de passe faible au module de formation La création de mots de passe forts – Formation sur la sensibilisation à la sécurité.

Pour en apprendre davantage sur les groupes intelligents, consultez notre article Aperçu des groupes intelligents.

Résoudre les vulnérabilités

Après avoir pris connaissance des résultats, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités liées aux mots de passe. Pour plus d’informations, consultez notre article Comment résoudre les vulnérabilités liées aux mots de passe

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance