Menu Français (Canada) Čeština Dansk Deutsch English (US) Español (Latinoamérica) Español (España) Suomi Français (France) हिंदी Magyar Bahasa Indonesia Italiano 日本語 한국어 Bahasa Melayu Nederlands Norsk Polski Português do Brasil Português (Portugal) Română Русский svenska ไทย Türkçe Українська Tiếng Việt 简体中文 繁體中文

Manuel du produit PasswordIQ

Mise à jour:

Création:

Qu’est-ce que PasswordIQ?

Offert avec l’abonnement Diamant, PasswordIQ de KnowBe4 vous permet de surveiller les vulnérabilités liées aux mots de passe de vos utilisateurs. Le client PasswordIQ analyse les paramètres liés aux mots de passe de votre Active Directory à la recherche de vulnérabilités. Il compare les mots de passe de vos utilisateurs à des mots de passe piratés ou faibles provenant de différentes listes et bases de données. Puis, le client communique avec KMSAT pour afficher les résultats de l’analyse sur votre tableau de bord.

Pour activer PasswordIQ, rendez-vous dans les Paramètres du compte et accédez à Intégrations du compte > PasswordIQ. Puis, cochez la case Activer PasswordIQ.

Remarque : Pour utiliser PasswordIQ, la version locale d’AD est requise. PasswordIQ n’est pas compatible avec Azure AD.
Important : PasswordIQ n’affichera ni ne signalera jamais les mots de passe de vos utilisateurs. Dans AD, tous les mots de passe sont chiffrés et stockés dans un format haché. Les versions non hachées sont donc inaccessibles à PasswordIQ et à KnowBe4. 

Consultez les sections ci-dessous pour apprendre comment installer le client, exécuter les analyses et afficher vos résultats.

Aller à :

Configuration requise

Vulnérabilités

Copier le jeton d’API

Installer le client

Exécuter les analyses

Afficher les résultats

Utiliser les groupes intelligents pour les utilisateurs détectés

Résoudre les vulnérabilités

 

Configuration requise

Pour installer le client PasswordIQ, vous devez satisfaire aux exigences énumérées ci-dessous. 

Remarque : Nous vous recommandons d’installer le client sur un autre ordinateur que celui que vous utilisez comme contrôleur de domaine. Le processus d’analyse peut entraîner un trafic élevé sur le réseau et une forte utilisation de l’unité centrale de traitement (CPU). Pour de meilleurs résultats, installez le client sur une machine virtuelle ou un serveur qui peuvent s’exécuter en continu.
  1. Vous avez accès à un ordinateur qui répond aux exigences suivantes :
    • Le système d’exploitation est Windows 10 ou une version plus récente (32 bits ou 64 bits), ou Windows Server 2016 ou une version plus récente;
    • L’ordinateur utilise .NET Framework, version 4.7.2 ou plus récente. Si l’ordinateur utilise une version de .NET Framework qui est plus récente que 4.5.1, mais plus ancienne que 4.7.2, l’assistant d’installation vous installera la version 4.7.2. Cependant, si l’ordinateur utilise une version de .NET Framework qui est plus ancienne que 4.5.1, l’assistant d’installation ne s’exécutera pas;
    • L’ordinateur possède au moins deux processeurs;
    • L’ordinateur possède au moins 2 Go de mémoire vive;
    • Le lecteur du système de l’ordinateur possède au moins 1 Go d’espace libre sur le disque dur;
    • Le Contrôle du compte de l’utilisateur (UAC) est activé dans les paramètres de contrôle de compte d’utilisateur de l’ordinateur. 
  2. Vous avez accès à une installation locale d’AD qui s’exécute sur Windows Server 2008 R2 ou une version plus récente.
    Remarque : Si vous avez plusieurs domaines AD, vous devrez installer une instance différente du client pour chaque domaine.
  3. Vous avez accès à un compte administrateur de domaine AD ou à un compte AD qui peut être élevé au rôle d’administrateur. Ce compte doit avoir les permissions de Réplication des modifications d’annuaire et de Réplication de toutes les modifications d’annuaire. Pour plus d’informations, consultez l’article de Microsoft Autorisation de réplication des modifications d’annuaire.
  4. Vous devez être un administrateur KMSAT ou avoir un rôle de sécurité avec un accès en lecture et enécriture à PasswordIQ.

Retour au haut de la page

 

Vulnérabilités

Le client PasswordIQ analyse chaque utilisateur pour identifier 11 vulnérabilités et signale les vulnérabilités trouvées à KMSAT. 

Pour obtenir plus d’informations à propos de ces vulnérabilités, consultez le tableau ci-dessous.

Vulnérabilité Description
Mot de passe faible Le mot de passe correspond à un mot de passe de notre liste de mots de passe faibles. Il est donc courant ou facile à deviner. Un cybercriminel a plus de chance de deviner le mot de passe et d’accéder au compte de l’utilisateur.
Mot de passe partagé Le mot de passe correspond au mot de passe d’au moins un autre utilisateur de votre AD. Le mot de passe est probablement courant ou simple et un cybercriminel a plus de chance d’accéder au compte de l’utilisateur.
Mot de passe en texte clair Le mot de passe est stocké dans votre AD avec un chiffrement réversible. Le mot de passe peut être déchiffré et un cybercriminel a donc plus de chance d’accéder au compte de l’utilisateur.
Mot de passe vide Le mot de passe ne contient aucun caractère. L’utilisateur se connecte donc au compte en laissant le champ du mot de passe vide. N’importe qui peut accéder au compte de l’utilisateur, y compris des cybercriminels.
Chiffrement DES uniquement Le compte utilise la norme de chiffrement des données (Data Encryption Standard, DES) pour chiffrer le mot de passe de l’utilisateur. La DES est une norme de chiffrement obsolète. En effet, elle chiffre les mots de passe avec une clé de 56 bits uniquement tandis que les méthodes de chiffrement plus récentes utilisent des clés plus longues qui sont plus sécuritaires. Un cybercriminel a plus de chance de deviner le mot de passe et d’accéder au compte de l’utilisateur.
Mot de passe piraté Le mot de passe a été compromis lors d’une violation de données liée à votre compte AD. L’utilisateur utilise activement un mot de passe qui est accessible à des cybercriminels.
Mot de passe qui n’est pas obligatoire Le compte ne requiert pas que l’utilisateur saisisse un mot de passe lorsqu’il se connecte. N’importe qui peut se connecter au compte, y compris des cybercriminels.
Mot de passe qui n’expire jamais Le compte ne requiert pas que l’utilisateur modifie son mot de passe à une fréquence prédéterminée. L’utilisateur peut utiliser le même mot de passe à tout jamais, ce qui donne plus de temps à des cybercriminels pour trouver le mot de passe.
Hachage LM du mot de passe Le compte utilise un hachage (LM) de gestionnaire de réseau local. Un hachage LM convertit le mot de passe en majuscules uniquement, limite le mot de passe à 14 caractères et sépare les 14 caractères en deux groupes de 7 caractères. Ce processus affaiblit le mot de passe et les cybercriminels ont plus de chance de le déchiffrer.
Clés AES manquantes Le compte n’utilise pas les clés de la norme de chiffrement avancé (Advanced Encryption Standard, AES) pour chiffrer le mot de passe de l’utilisateur. Les clés AES chiffrent les mots de passe avec une clé de 128 bits ou de 256 bits. Les mots de passe qui utilisent les clés AES sont donc moins vulnérables aux attaques.
Authentification préalable manquante Le compte ne requiert pas d’authentification préalable. Le compte peut donc se trouver non protégé des attaques par tentative de supposition de mots de passe. L’authentification préalable chiffre un horodatage de la demande de connexion à l’aide d’une clé basée sur le mot de passe de l’utilisateur. Ce processus protège contre les attaques par tentative de supposition de mots de passe, puisqu’il enregistre chaque tentative de connexion au compte.

Pour apprendre comment résoudre ces vulnérabilités, consultez la section Résoudre les vulnérabilités ci-dessous. 

Retour au haut de la page

 

Copier le jeton d’API

Pour connecter le client PasswordIQ à votre console KMSAT, vous aurez besoin de votre jeton d’API de produit.

Pour créer et copier votre jeton d’API, suivez les étapes suivantes : 

  1. Connectez-vous à votre compte KMSAT. 
  2. Cliquez sur l’adresse courriel indiquée dans le coin supérieur droit de la page et sélectionnez Paramètres du compte.
  3. Accédez à Intégrations du compte > API
  4. Sous API de produit, cliquez sur Jeton d’API. Lien Jeton d’API
  5. Créez un jeton d’API de produit pour PasswordIQ. Pour plus d’informations, consultez notre article Comment créer un jeton d’API de produit.
  6. Cliquez sur l’icône papier située à côté du jeton d’API que vous avez créé. Vous aurez besoin de ce jeton pour terminer le paramétrage à la section Installer le client ci-dessous.Copier le jeton d’API

Retour au haut de la page

 

Installer le client

Remarque : La plus récente version du client PasswordIQ est la version 1.0.10.342. Si vous avez une version antérieure du client de la version bêta de PasswordIQ, vous devrez installer cette version lors d’une nouvelle installation. Vos données ne seront pas transférées d’une ancienne version à la version 1.0.10.342.

Avant d’installer le client PasswordIQ, veuillez vérifier que votre ordinateur répond aux exigences de la section Configuration requise ci-dessus. Puis, copiez votre jeton d’API en suivant les instructions de la section Copier le jeton d’API ci-dessus. 

Pour installer le client, suivez les indications ci-dessous :

  1. Connectez-vous à votre compte KMSAT. 
  2. Accédez à l’onglet PasswordIQ.
  3. À l’étape 2 des instructions de l’écran Bienvenue dans PasswordIQ, cliquez sur le lien Client PasswordIQ. Télécharger le client
  4. Dans la fenêtre contextuelle, cliquez sur le bouton Oui. PNG de la fenêtre contextuelle Windows
  5. Cliquez sur le bouton Suivant
  6. Après avoir lu la licence d’utilisation du logiciel, cliquez sur le bouton Accepter pour accepter les conditions d’utilisation.
  7. Si votre ordinateur utilise un serveur proxy pour accéder à Internet, cochez la case Utiliser un serveur proxy et remplissez les champs. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous. Si votre ordinateur n’utilise pas de serveur proxy pour accéder à Internet, passez cette étape. Informations sur le serveur proxy
    1. Adresse IP ou nom : Entrez l’adresse IP ou le nom du serveur proxy. Vous trouverez ces informations dans les paramètres de serveur proxy de votre ordinateur qui se trouvent sous Réseau et Internet > Proxy.
    2. Numéro de port : Entrez le numéro de port du serveur proxy. Vous trouverez ces informations dans les paramètres de serveur proxy de votre ordinateur qui se trouvent sous Réseau et Internet > Proxy.
  8. Cliquez sur le bouton Suivant.
  9. Dans le champ Interface de programmation d’application (API), collez le jeton d’API que vous avez copié dans la section Copier le jeton d’API ci-dessus. Écran Jeton d’API
  10. Cliquez sur le bouton Suivant
  11. Dans les champs Nom d’utilisateur et Mot de passe, entrez les authentifiants de connexion d’un compte de service AD dont les permissions répondent aux exigences. Le client utilisera ce compte de service pour exécuter toutes les analyses programmées.
    Remarque : Si la permission Se connecter en tant que service n’est pas attribuée à ce compte, le client attribuera automatiquement la permission au compte.
    Compte de service Windows
  12. Cliquez sur Suivant pour terminer l’installation. 

Retour au haut de la page

 

Exécuter les analyses

Après avoir installé le client PasswordIQ, vous pouvez commencer à analyser votre AD pour détecter les vulnérabilités. Vous devrez exécuter votre première analyse à partir de votre client. Après votre première analyse, vous pouvez exécuter des analyses et créer un programme d’analyse à partir de votre tableau de bord. Pour plus d’informations, consultez la section Exécuter les analyses de notre article Comment utiliser le tableau de bord PasswordIQ

Remarque : Afin de protéger les informations liées aux mots de passe, les données recueillies par PasswordIQ au cours des analyses ne sont jamais stockées de manière permanente sur le disque dur de votre ordinateur. Les données sont stockées de manière temporaire uniquement dans la mémoire vive (RAM) de votre ordinateur.  

Pour exécuter votre première analyse, veuillez suivre les indications suivantes :  

  1. Ouvrez le client PasswordIQ.
  2. Dans la section Analyse rapide, cliquez sur le bouton Analyser maintenant. Bouton Analyser maintenant
  3. Une fois l’analyse terminée avec succès, cliquez sur le bouton Afficher le tableau de bord pour afficher les résultats de l’analyse dans KMSAT. Bouton Afficher le tableau de bord

Retour au haut de la page

 

Afficher les résultats

Étant donné que vous ne pouvez afficher qu’une partie des résultats dans le client PasswordIQ, nous vous recommandons d’utiliser votre compte KMSAT pour consulter et analyser vos résultats. Pour accéder à votre tableau de bord, accédez à l’onglet PasswordIQ de votre console KMSAT. 

Pour afficher les résultats de l’analyse, vous pouvez utiliser le tableau de bord par défaut ou créer de nouveaux tableaux de bord. Pour plus d’informations, consultez notre article Comment utiliser votre tableau de bord PasswordIQ 

Retour au haut de la page

 

Utiliser les groupes intelligents pour les utilisateurs détectés

Vous pouvez utiliser les groupes intelligents pour inscrire les utilisateurs pour lesquels des vulnérabilités ont été détectées à des campagnes d’hameçonnage ou de formation. Par exemple, vous pourriez utiliser le critère Événement PasswordIQ pour inscrire les utilisateurs ayant un mot de passe faible au module de formation La création de mots de passe forts – Formation sur la sensibilisation à la sécurité.

Pour en apprendre davantage sur les groupes intelligents, lisez notre article Comment utiliser les groupes intelligents.

Retour au haut de la page

 

Résoudre les vulnérabilités

Après avoir pris connaissance des résultats, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités liées aux mots de passe. Pour plus d’informations, consultez notre article Comment résoudre les vulnérabilités liées aux mots de passe

Retour au haut de la page

Cet article vous a-t-il été utile?
Utilisateurs qui ont trouvé cela utile : 7 sur 7
Vous avez d’autres questions? Envoyer une demande

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Articles associés