Si vous souhaitez apprendre à utiliser Weak Password Test (WPT), consultez les sections ci-dessous ou regardez la courte vidéo Weak Password Test (WPT).

Présentation de WPT

WPT est un outil gratuit qui analyse Active Directory (AD) à la recherche de mots de passe d’utilisateurs susceptibles de faire l’objet d’attaques liées aux mots de passe.

WPT se connecte à votre AD pour récupérer votre table de mots de passe en utilisant des mots de passe hachés et des algorithmes de chiffrement. L’outil analyse ensuite les mots de passe à la recherche de dix vulnérabilités potentielles.

Vos résultats indiqueront quels comptes utilisateur ont échoué au test et pourquoi. Ces informations peuvent vous permettre de renforcer les exigences de votre organisation quant à la complexité des mots de passe, de former vos utilisateurs à l’utilisation de mots de passe sûrs ou de prendre d’autres mesures pour renforcer la sécurité.

Exigences système et prérequis

Pour exécuter WPT, votre système doit répondre aux exigences suivantes :

• Windows 10 ou ultérieur (32 ou 64 bit), Windows Server 2016 ou ultérieur
• Active Directory (AD), fonctionnant sous Windows Server 2008 R2 ou ultérieur
• Possibilité d’accéder au contrôleur du domaine (DC)
• Accès à Internet
• .NET Framework 4.7.2 sera installé si nécessaire
• Au moins deux processeurs
• Au moins 2 Go de RAM
• Au moins 1 Go d’espace disponible sur le disque dur de votre système
• Contrôle de compte d’utilisateur (UAC) activé

Nous vous recommandons d’exécuter ce test sur un autre système que votre DC, car le processus d’analyse peut générer temporairement un trafic réseau et une utilisation de l’unité centrale considérables.

Voici les informations dont vous aurez besoin pour l’installation :

1. La clé de licence que vous avez reçue par e-mail lors de votre inscription au test.
2. Le nom de domaine de votre AD. Par exemple, MonDomaine.com ou MonDomaine.local.
3. Le nom de votre DC.
4. Les identifiants de connexion à votre AD.

Installation et configuration

Une fois que vous avez satisfait aux exigences système et aux prérequis, vous pouvez installer et configurer WPT. Pour commencer, procédez comme suit :

1. Inscrivez-vous sur notre page WPT pour télécharger les fichiers d’installation de l’outil WPT.
2. Consultez la boîte de réception de votre messagerie pour accéder à votre clé de licence unique WPT dont vous aurez besoin lors de la configuration.
3. Exécutez les fichiers d’installation WPT.
4. Lisez et acceptez le contrat de licence. Cliquez ensuite sur Installer pour achever l’installation.
5. Cliquez sur Terminer pour lancer WPT.
6. Saisissez votre clé de licence à la première étape, puis cliquez sur OK.
7. Dans Détails sur Active Directory, saisissez les informations requises concernant votre Active Directory (AD) :
   • Le nom de domaine de votre AD
   • Le nom de votre contrôleur de domaine (DC)
8. Dans Identifiants, saisissez le nom d’utilisateur et le mot de passe du compte que vous avez créés et pour lequel les autorisations Réplication des modifications d’annuaire et Réplication des changements de répertoire sont activées.
9. Cliquez sur Commencer le test pour exécuter le test.
10. Le test analysera vos comptes AD à la recherche de mots de passe faibles. En fonction de la taille de votre AD et des performances de votre poste de travail, cette procédure peut prendre une minute ou plus.
11. Vos résultats s’afficheront à l’écran dès que le test sera terminé. Pour comprendre chaque vulnérabilité, lisez la section suivante.

Comprendre vos résultats

Vos résultats WPT indiqueront le nombre de comptes vulnérables ainsi que les vulnérabilités affectant chaque compte. Les sections ci-dessous vous aideront à parcourir les résultats et à comprendre les types de vulnérabilités rencontrées dans les mots de passe.

Parcourir vos résultats

Vos comptes Active Directory (AD) seront répertoriés sous forme de tableau, chaque ligne correspondant à un compte différent. Sur chaque ligne, la ou les cases cochées correspondent aux vulnérabilités spécifiques détectées pour ce compte particulier. Vous pouvez également rechercher un compte spécifique en saisissant quelques caractères dans le champ de recherche.

Un diagramme circulaire résume le nombre et le type de vulnérabilités trouvées. Vous pouvez vous en servir pour déterminer quelles sont les vulnérabilités les plus courantes en matière de mots de passe dans votre organisation.

Vous pouvez filtrer les résultats par type d’échec si vous souhaitez analyser un type de vulnérabilité en particulier. Pour ce faire, cliquez sur un type d’échec spécifique dans la partie gauche de la fenêtre. Seuls les comptes concernés par ce type d’échec seront alors affichés.

Vous trouverez ci-dessous des informations supplémentaires sur l’interface utilisateur de WPT:

1. Vous pouvez filtrer vos résultats par type d’échec en cliquant dans la barre latérale située sur la gauche de la page.
2. Vous pouvez rechercher des comptes AD spécifiques dans la barre de recherche.
3. Les coches figurant dans chaque ligne indiquent le type de vulnérabilité de mot de passe trouvée pour chaque compte.
4. Vous pouvez exporter vos résultats sous forme de feuille de calcul Excel ou de fichier PDF.
5. Cliquez sur Exécuter à nouveau le test pour lancer à nouveau le test. Nous vous conseillons d’enregistrer vos résultats actuels avant de cliquer sur ce bouton.

Types d’échecs

WPT analyse vos données à la recherche de dix types d’échecs différents, examinés ci-dessous en détail, qui peuvent rendre votre organisation vulnérable à une attaque.

1. Weak Password (Mots de passe faibles): Le mot de passe du compte concerné correspond à l’un des mots de passe répertoriés dans notre dictionnaire des mots de passe faibles. Ces mots de passe peuvent être très courants, faciles à deviner ou être connus des pirates suite à des violations de données antérieures.
2. Shared Password (Mots de passe partagés): Le mot de passe du compte concerné utilise le même mot de passe qu’un autre compte au moins.
3. Empty Password (Mot de passe vide): Les comptes concernés n’ont pas défini de mot de passe.
4. Clear Text Password (Mots de passe en clair): Les mots de passe sont stockés en texte clair dans un Active Directory (AD). Cela signifie que les mots de passe des utilisateurs sont stockés à l’aide d’un chiffrement réversible.
5. Password Not Required (Mots de passe non requis): Les comptes concernés ont la possibilité de ne pas utiliser de mot de passe.
6. Password Never Expires (Mots de passe sans date d’expiration): Le délai d’expiration du mot de passe de ces comptes est fixé à zéro. En raison de ce paramètre, même si la case Mots de passe sans date d’expiration n’est pas cochée dans les propriétés de l’utilisateur, le mot de passe n’a pas de date d’expiration. WPT vérifie les paramètres d’expiration des mots de passe dans les politiques de domaine de votre organisation, les politiques détaillées relatives aux mots de passe et les propriétés de l’utilisateur.
7. LM Hash Password (Mots de passe LM Hash): Le compte concerné utilise un hachage de gestionnaire de réseau local (LAN), une méthode qui est obsolète. Ces mots de passe sont vulnérables aux attaques par force brute et peuvent être piratés rapidement.
8. AES Encryption Not Set (Chiffrement AES non activé): Le compte n’utilise pas les clés AES (Advanced Encryption Standard) pour chiffrer le mot de passe de l’utilisateur. AES chiffre les mots de passe avec une clé de 128 bits ou 256 bits. Les mots de passe qui utilisent un chiffrement AES sont moins vulnérables aux attaques.
9. DES-Only Encryption (Chiffrement DES uniquement): Les comptes concernés ont été configurés à l’aide du mécanisme DES (Data Encryption Standard), qui n’est plus utilisé. Cela peut être dû à un vieux logiciel qui ne sait pas comment réagir au chiffrement AES.

10. Missing Pre-Authentication (Pré-authentifications manquantes): La pré-authentification, qui est un mécanisme de sécurité, est désactivée sur les comptes concernés. Lorsqu’elle est activée, la pré-authentification crée une demande d’authentification chiffrée afin que les tentatives d’authentification à ce compte soient enregistrées.

    Ce compte peut être vulnérable en cas d’attaque par force brute. Les attaques par force brute peuvent se produire hors ligne et sont très difficiles à détecter.

Paramètres

Vous pouvez choisir différents paramètres pour personnaliser votre outil WPT. Pour en savoir plus, consultez les sous-sections ci-dessous.

Vulnérabilités facultatives

Vous pouvez choisir d’activer ou de désactiver deux vulnérabilités de mot de passe dans votre analyse WPT : Chiffrement AES non activé ou Mots de passe sans date d’expiration. Pour accéder à ces paramètres, cliquez sur l’icône en forme d’engrenage dans l’angle supérieur droit de la fenêtre.

Mots de passe personnalisés

WPT s’appuie sur une vaste bibliothèque pour déterminer si le mot de passe d’un utilisateur est faible. Si vous souhaitez inclure des mots de passe spécifiques dans l’analyse WPT, vous pouvez importer un fichier texte répertoriant ces mots de passe. Pour accéder à ce paramètre, cliquez sur l’icône en forme d’engrenage dans l’angle supérieur droit de la fenêtre.

Avant d’importer votre fichier texte, assurez-vous que celui-ci a une taille de moins de 10 Mo et que vous n’indiquez qu’un seul mot de passe par ligne.

Langue

Vous pouvez modifier la langue de WPT en cliquant sur le nom de la langue dans l’angle inférieur droit de la fenêtre.

Sécurité

Votre Active Directory (AD) et vos informations d’utilisateur sont en sécurité lorsque vous utilisez WPT. Les résultats du test n’identifient que les comptes d’utilisateur ayant échoué au test en indiquant la raison de cet échec afin que vous puissiez prendre des mesures.

Vous trouverez ci-dessous des informations détaillées sur la manière dont vos données sont utilisées lors de l’analyse WPT.

• Aucune information de votre AD n’est transmise à KnowBe4 au cours du test.
• Les données extraites de votre AD sont chiffrées.
• WPT n’affiche pas les mots de passe de vos comptes d’utilisateurs AD.
• Les mots de passe dans AD sont en format haché, et ce format haché n’est pas visible pendant le test.
• Les informations recueillies pendant le test sont enregistrées dans la mémoire locale et non sur le disque.