Breached Password Test (BPT) est un outil gratuit qui analyse les comptes de votre annuaire Active Directory (AD) afin de détecter de nombreux types de failles de sécurité. BPT vérifie si des adresses e-mail d’utilisateurs de votre domaine figurent dans des violations d’identifiants antérieures et si des comptes AD utilisent actuellement des mots de passe divulgués dans de précédentes violations d’identifiants. Ce test vous aide à renforcer la sensibilisation au sein de votre organisation en indiquant si vous êtes vulnérable à une attaque portant sur les mots de passe.

Pourquoi utiliser Breached Password Test ?

De nombreuses personnes utilisent fréquemment le même mot de passe pour différents comptes. Les utilisateurs ignorent souvent qu’une violation les concernant s’est produite. Ils ne peuvent donc pas prendre de mesures appropriées, comme modifier leurs mots de passe sur leurs comptes en ligne.

Lorsque des identifiants sont divulgués, des malfaiteurs peuvent facilement trouver ces informations et les utiliser pour usurper l’identité des utilisateurs concernés. Ils essaient également d’utiliser les mots de passe compromis pour accéder à tous les comptes de votre domaine, ce qui augmente les chances de réussite de l’intrusion.

De nouvelles violations se produisant chaque jour, utilisez cet outil en complément des autres mesures de sécurité que vous avez mises en place pour réduire le risque lié aux violations de données dans votre organisation. Nous vous conseillons d’utiliser cet outil au moins une fois par mois.

Comment ça marche ?

Breached Password Test se connecte à votre AD pour récupérer votre ou vos domaines ainsi que la table des mots de passe (contenant les mots de passe hachés) et l’algorithme de chiffrement. L’outil compare ensuite votre domaine et les mots de passe à une base de données d’informations compromises, contenant plus d’un milliard de mots de passe divulgués.

Mes informations sont-elles en sécurité ?

Oui. Sachez que cet outil ne communique et n’affiche jamais ni les mots de passe actuels des comptes d’utilisateurs de votre AD ni les identifiants utilisés à l’origine lors de la violation de données associée à votre domaine. Les mots de passe de votre AD sont stockés dans un format haché et ne sont visibles à aucun moment. Les résultats du test identifient les comptes utilisant des mots de passe vulnérables afin que vous puissiez remédier à la situation.

Lorsque vous utilisez cet outil, aucune donnée confidentielle ne quitte votre réseau. Seuls les domaines contenus dans votre Active Directory sont transférés pour le test. Les informations recueillies pendant le test sont enregistrées dans la mémoire locale et non sur le disque.

Exigences système et prérequis

Exigences système

Pour exécuter Breached Password Test, votre système doit disposer des éléments suivants :

• Windows 10 ou ultérieur (32 ou 64 bits), Windows Server 2016 ou ultérieur
• Active Directory (AD), fonctionnant sous Windows Server 2008 R2 ou ultérieur
• Possibilité d’accéder au contrôleur du domaine (DC)
• Accès à Internet
• .NET Framework 4.7.2 (sera installé si nécessaire)
• Au moins deux processeurs
• Au moins 2 Go de RAM
• Au moins 1 Go d’espace disponible sur le disque dur de votre système
• Contrôle de compte d’utilisateur (UAC) activé

Il est également préférable d’exécuter ce test sur un autre système que celui de votre DC, en effet, le processus d’analyse peut temporairement générer un trafic réseau et une utilisation de l’unité centrale considérables.

Prérequis

Voici les informations dont vous aurez besoin pour l’installation :

1. Une clé de licence, envoyée par e-mail lors de l’inscription au test
2. Le nom de domaine de votre AD (par exemple, MonDomaine.com ou MonDomaine.local)
3. Le nom de votre contrôleur de domaine (DC)
4. Les identifiants de connexion à votre AD
   • L’article suivant explique comment ajouter rapidement les autorisations requises à un compte dans votre AD : Comment accorder l’autorisation « Réplication des modifications de l’annuaire »Comment accorder l’autorisation « Réplication des modifications de l’annuaire » (le lien s’ouvre dans une nouvelle fenêtre)
   • Par défaut, un administrateur de domaine n’est pas autorisé à accéder à ces informations. L’utilisation d’un compte d’administrateur de domaine avec cet outil ne garantit donc pas nécessairement la réussite de son exécution.
   • Nous vous suggérons vivement de créer un nouveau compte dans AD avec ces autorisations afin d’exécuter ce test. Une fois le test effectué, supprimez ce compte conformément au principe du moindre privilège.

   • Pourquoi créer un nouveau compte ? La création d’un nouveau compte permet de déterminer plus facilement à quel moment ce test a été effectué et quel compte a accédé aux informations, si vous avez besoin d’examiner ces informations par la suite. Cela facilite également la suppression de ces autorisations : une fois le test terminé, il vous suffit de supprimer le compte utilisateur créé à cet effet.

     Important : afin que le test réussisse, les identifiants utilisés pour connecter votre AD à Breached Password Test doivent disposer des autorisations Réplication des modifications de l’annuaire et Réplication de toutes les modifications de l’annuaire. Ces autorisations vous permettent d’obtenir une copie de votre table de mots de passe pour analyse.

Installation et configuration

Procédez comme suit pour installer et configurer Breached Password Test :

1. Accédez à https://www.knowbe4.com/breached-password-test https://www.knowbe4.com/breached-password-test (le lien s’ouvre dans une nouvelle fenêtre).

2. Dans le formulaire Sign up for your Free Test (Inscrivez-vous pour bénéficier d’un test gratuit), saisissez vos informations et cliquez sur Download Now ! (Télécharger maintenant). Vous recevrez alors un e-mail contenant une clé de licence unique dont vous aurez besoin pour exécuter le test.

   

3. Sur la page Thank You (Merci) de Breached Password Test, téléchargez le fichier EXE d’installation.

   Remarque : vous pouvez également installer le fichier facultatif Checksum.

4. Double-cliquez sur le fichier téléchargé pour ouvrir KnowBe4 Breached Password Test Setup Wizard (Assistant de configuration de Breached Password Test de KnowBe4). Si vous y êtes invité, cliquez sur Yes (Oui) pour autoriser le programme à effectuer des modifications sur votre ordinateur.

   

5. Lisez et acceptez le contrat de licence. Cliquez ensuite sur Install (Installer) pour exécuter l’Assistant de configuration.

   

6. Cliquez sur Next (Suivant) lorsque vous y êtes invité pour poursuivre l’exécution de l’Assistant de configuration. Cliquez ensuite sur Finish (Terminer) pour achever l’installation. L’outil Breached Password Test sera automatiquement enregistré sur votre bureau. Si vous avez coché la case Launch KnowBe4 Breached Password Test (Lancer Breached Password Test de KnowBe4), l’outil s’ouvrira automatiquement.

   

7. À l’ouverture de Breached Password Test, une fenêtre contextuelle Informations de licence s’affiche dans la fenêtre principale. Saisissez la clé de licence unique que vous avez reçue par e-mail lors de votre inscription dans le champ License Key (Clé de licence). Cliquez ensuite sur OK pour retourner dans la fenêtre principale.

   

8. Dans le premier champ Active Directory Details (Détails d’Active Directory), saisissez le nom DNS de votre Active Directory (AD), par exemple MonDomaine.com ou MonDomaine.local.

   

9. Dans le second champ Active Directory Details (Détails d’Active Directory), saisissez le nom de domaine de votre contrôleur du domaine (DC), par exemple, DC1.

   Remarque : vous pouvez également saisir l'adresse IP, mais nous recommandons de saisir le nom pour garantir la stabilité de vos accès et la pérennité de vos connexions sécurisées lors de tout changement sur votre réseau.

10. Dans le premier champ Credentials (Identifiants), saisissez le nom d’utilisateur du compte que vous avez créé.

    Remarque : le compte doit disposer des autorisations Réplication des modifications de l’annuaire et Réplication de toutes les modifications de l’annuaire. Vous pouvez également cocher la case Use current logged on user (Utiliser l’utilisateur actuellement connecté) pour utiliser les identifiants du compte auquel vous êtes connecté.
11. Dans le second champ Credentials (Identifiants), saisissez le mot de passe du compte que vous avez créé.
12. Cliquez sur Start Test (Commencer le test) pour lancer son exécution.

Le test commencera par vérifier si les domaines de votre AD ont été victimes de violations de données. Il comparera ensuite les mots de passe actuels de votre AD à ceux divulgués dans les violations de données dont ont été victimes les utilisateurs de votre domaine. Ce processus prend généralement moins d’une minute, mais il peut nécessiter plus de temps en fonction de votre Active Directory et des performances de votre poste de travail.

Vos résultats s’afficheront à l’écran dès la fin du test.

Analyse de vos résultats

Les résultats de Breached Password Test indiqueront si des comptes utilisant le domaine de votre organisation ont été concernés par une violation. Ils préciseront également si les mots de passe compromis de ces comptes sont actuellement utilisés dans vos comptes AD. Remarque : les comptes AD désactivés ne sont pas inclus dans votre analyse BPT.

Un des trois scénarios suivants vous sera alors présenté, en fonction des résultats de votre test :

Scénario 1 : « Bonne nouvelle ! Vos domaines ne figurent dans aucune des listes de violations actuelles. »

Si vous obtenez ce résultat, cela signifie que le test a analysé le(s) domaine(s) de votre AD et n’a trouvé aucune correspondance entre les comptes utilisant un de vos domaines et les comptes figurant dans la base de données des mots de passe compromis.

De nouvelles violations de données étant ajoutées régulièrement, prenez soin de renouveler ce test une fois par semaine ou par mois.

Scénario 2 : « XX mots de passe de votre domaine figurent dans des violations. Aucun de ces mots de passe n’est actuellement utilisé dans votre Active Directory. »

Si vous obtenez ce résultat, cela signifie que le test a détecté qu’un ou plusieurs de vos domaines ont été victimes d’une violation. Toutefois, aucun des mots de passe associés à ces comptes lors de la violation de données n’est actuellement utilisé dans votre AD.

C’est un résultat de test satisfaisant, mais les utilisateurs ont tendance à réutiliser leurs anciens mots de passe. Par conséquent, n’hésitez pas à effectuer régulièrement ce test afin de limiter les risques au cas où un tel scénario se produirait. Nous vous conseillons de proposer une formation sur la sensibilisation à la sécurité à vos utilisateurs, car ceux qui ont été victimes de violations sont plus fréquemment pris pour cible par l’ingénierie sociale et le harponnage.

Scénario 3 : « XX comptes utilisent actuellement des mots de passe ayant fait l’objet d’une violation. XX mots de passe de votre domaine figurent dans des violations. »

Si ce message s’affiche, des mesures doivent rapidement être prises pour les comptes concernés. L’interface répertorie la liste des comptes Active Directory vulnérables utilisant des mots de passe compromis lors d’une violation. Les pirates peuvent facilement trouver ces mots de passe et les utiliser contre vos utilisateurs, rendant ainsi votre organisation plus vulnérable aux intrusions.

Nous vous suggérons vivement de demander aux utilisateurs concernés de modifier leur mot de passe dès que possible. Les utilisateurs ayant tendance à réutiliser leurs anciens mots de passe, intégrez Breached Password Test à votre routine de contrôles de sécurité et exécutez-le régulièrement une fois le danger écarté.

Exportation de vos résultats

Vous pouvez consulter vos résultats à l’écran instantanément ou les télécharger sous forme de feuille de calcul Excel (.xlsx) ou de PDF. Nous vous conseillons d’enregistrer vos résultats si vous comptez exécuter ce test à nouveau ultérieurement.

Pour enregistrer vos résultats, cliquez sur Exporter au format Excel ou Exporter au format PDF (comme illustré ci-dessous). Une invite vous permettra de donner un nom à votre fichier et de choisir où l’enregistrer.

Foire aux questions (FAQ)

1. Puis-je voir les mots de passe ayant été compromis ?

   Non. Les mots de passe sont hachés et ne peuvent pas être affichés.

2. Des journaux sont-ils générés au cours du test ?

   Oui, un journal est créé lors de la première exécution de Breached Password Test. Ce fichier se trouve dans C:\Program Data\KnowBe4\Breached Password Test.

3. J’ai reçu un message d’erreur et mon test ne s’est pas exécuté. Que dois-je faire ?

   Si vous recevez un message d’erreur et ne parvenez pas à exécuter le test, consultez le tableau ci-dessous pour analyser la nature du problème :

   Message d’erreur	Problème
   Le compte Active Directory pour lequel vous essayez d’exécuter ce test ne dispose pas des autorisations Réplication des modifications de l’annuaire. Veuillez consulter la liste des prérequis dans notre manuel, accessible via le lien ci-dessous.	Le compte que vous utilisez pour le test ne dispose pas des autorisations requises. Vérifiez que vous avez créé un compte disposant des autorisations Réplication des modifications de l’annuaire et Réplication de toutes les modifications de l’annuaire. Voir ci-dessus.
   Le test n’a pas pu être exécuté en raison d’un nom d’utilisateur et/ou d’un mot de passe incorrects. Veuillez vérifier vos identifiants et réessayer.	Nous n’avons pas pu nous connecter à votre AD avec les identifiants fournis. Veuillez vérifier que votre nom d’utilisateur et votre mot de passe sont corrects, puis essayez d’exécuter à nouveau le test.
   Le serveur est indisponible. Veuillez vérifier le nom DNS et réessayer.	Cette erreur signifie que le nom DNS est incorrect ou formaté de manière incorrecte. Vérifiez que vous utilisez le format mondomaine.com ou mondomaine.local, puis réessayez.
   Le serveur est indisponible. Veuillez vérifier votre contrôleur de domaine et réessayer.	Cette erreur signifie que le nom ou l'adresse IP de votre contrôleur de domaine (DC) est incorrect(e) ou que le contrôleur de domaine n'est pas joignable. Vérifiez le nom ou l'adresse IP du contrôleur de domaine et réessayez.
   La validation de la licence a échoué.	Cette erreur peut signifier deux choses : a) la clé de licence que vous utilisez n’est pas valide, ou b) vous essayez de valider la clé de licence via un proxy, ce qui provoque cet échec. Si l’erreur est due à l’utilisation d’un proxy, il vous suffit d’autoriser les connexions au domaine suivant dans vos paramètres proxy afin de permettre la validation de votre clé de licence : https://bpt.knowbe4.com/*

4. Puis-je exécuter ce test si j’utilise Azure AD ?

   Non. Cet outil ne fonctionne qu’avec un AD local.

5. Mon antivirus signale cet outil comme dangereux. Est-ce le cas ?

   Non, cet outil n’est pas dangereux. Le comportement de Breached Password Test peut ressembler à celui d’un outil de piratage des mots de passe, ce qui explique que votre antivirus le signale comme potentiellement dangereux.

6. J’ai plusieurs utilisateurs avec des mots de passe compromis. Que dois-je faire ?

   Tout d’abord, demandez à vos utilisateurs de modifier immédiatement leurs mots de passe.

   Ensuite, formez vos utilisateurs aux bonnes pratiques en matière d’utilisation des mots de passe à l’aide d’une formation sur la sensibilisation à la sécurité, et rappelez-leur régulièrement ces bonnes pratiques. Il est important d’expliquer à vos utilisateurs de ne pas réutiliser un même mot de passe pour différents comptes. KnowBe4 propose différents cours sur les bonnes pratiques en matière de mots de passe, grâce auxquels vous pouvez former vos utilisateurs.

   À défaut de pouvoir vous expliquer comment prévenir les vulnérabilités liées aux mots de passe dans votre organisation, nous pouvons vous orienter vers de très bonnes ressources qui pourront vous aider.

   • TechNet : configuration des stratégies en matière de mots de passe configuration des stratégies en matière de mots de passe (le lien s’ouvre dans une nouvelle fenêtre)
   • TechNet : bonnes pratiques pour l’application des stratégies de mots de passe bonnes pratiques pour l’application des stratégies de mots de passe (le lien s’ouvre dans une nouvelle fenêtre)
   • Microsoft : conseils relatifs aux mots de passe (PDF téléchargeable) conseils relatifs aux mots de passe (PDF téléchargeable) (le lien s’ouvre dans une nouvelle fenêtre)

7. D’où proviennent vos données sur les violations ? Puis-je les consulter ?

   Les données utilisées pour Breached Password Test proviennent de recherches sur les violations de données disponibles publiquement. Pour des raisons de confidentialité et de sécurité, la base de données de Breached Password Test est protégée. Par ailleurs, KnowBe4 s’est associé à Spycloud.com pour rechercher les violations antérieures. SpyCloud est une ressource en ligne réputée qui permet aux utilisateurs de chercher leur adresse e-mail pour vérifier si leurs informations ont été divulguées lors de précédentes violations de données.

8. Y a-t-il un moyen de voir quels utilisateurs ont été victimes de violation ?

   Pour des raisons de confidentialité et de sécurité, Breached Password Test ne fournit pas d’informations sur le compte associé à votre domaine ayant été compromis à l’origine. Vous pouvez néanmoins vous inscrirevous inscrire (le lien s’ouvre dans une nouvelle fenêtre) ou consulter vos résultats EEC Pro pour essayer d’obtenir davantage d’informations sur les violations spécifiques dont vos utilisateurs ont été victimes.