Utiliser PasswordIQ

Manuel de produit PasswordIQ

Disponible avec les abonnements Diamant, PasswordIQ de KnowBe4 vous permet de contrôler les vulnérabilités des mots de passe de vos utilisateurs. Le client PasswordIQ recherche les vulnérabilités dans les paramètres liés aux mots de passe de votre Active Directory (AD). Il compare les mots de passe de vos utilisateurs à ceux corrompus et faibles de diverses listes et bases de données. Le client communique ensuite avec KSAT pour afficher les résultats de votre recherche sur votre tableau de bord.

Pour activer PasswordIQ, accédez à Intégrations du compte > PasswordIQ dans vos Paramètres du compte. Ensuite, cochez la case Activer PasswordIQ.

Remarque : pour utiliser PasswordIQ, vous aurez besoin de la version sur site d’AD. PasswordIQ n’est pas compatible avec Microsoft Entra ID.
Important : PasswordIQ n’affichera ni ne communiquera jamais les mots de passe de vos utilisateurs. Dans AD, tous les mots de passe sont chiffrés et stockés dans un format haché, de sorte que PasswordIQ et KnowBe4 ne puissent pas accéder aux versions non hachées.

Consultez les sections ci-dessous pour savoir comment installer le client, exécuter les analyses et afficher vos résultats.

Exigences

Pour installer le client PasswordIQ, vous devez satisfaire les exigences ci-dessous :

Important : Nous vous recommandons d’installer le client sur un autre ordinateur que celui que vous utilisez comme contrôleur de domaine. Le processus d’analyse peut générer un trafic réseau important et une utilisation élevée du processeur. Pour obtenir de meilleurs résultats, installez le client sur une machine virtuelle ou un serveur qui peut fonctionner en continu.
  1. Vous avez accès à un ordinateur qui satisfait les exigences suivantes :
    • Système d’exploitation Windows 10 ou version ultérieure (32 bits ou 64 bits) ou Windows Server 2016 ou version ultérieure.
    • L’ordinateur utilise .NET Framework version 4.7.2 ou ultérieure. Si l’ordinateur utilise une version de .NET Framework comprise entre 4.5.1 et 4.7.2, l’assistant de configuration vous installera la version 4.7.2. Toutefois, si l’ordinateur utilise une version de .NET Framework antérieure à 4.5.1, l’assistant de configuration ne s’ouvrira pas.
    • L’ordinateur possède au moins deux processeurs.
    • L’ordinateur possède au moins 2 Go de RAM.
    • Le lecteur système de l’ordinateur possède au moins 1 Go d’espace disponible sur le disque dur.
    • Le contrôle de compte d’utilisateur (UAC) est activé dans les paramètres de l’ordinateur.
  2. Vous avez accès à un AD sur sites qui s’exécute sur Windows Server 2008 R2 ou version ultérieure.
    Remarque : si vous avez plusieurs domaines AD, vous devez installer une instance différente du client pour chaque domaine.
  3. Vous avez accès à un administrateur de domaine AD ou un compte AD qui peut être élevé au rang d’administrateur. Ce compte doit disposer des autorisations Réplication des modifications d’annuaire et Réplication de toutes les modifications d’annuaire. Pour plus d’informations, consultez l’article Réplication des modifications d’annuaire de Microsoft.
  4. Vous devez être administrateur KSAT ou disposer d’un rôle de sécurité avec un accès en Lecture/Écriture à PasswordIQ.

Vulnérabilités

Le client PasswordIQ recherche 11 vulnérabilités pour chaque utilisateur et signale celles qu’il a trouvées à KSAT.

Pour en savoir plus sur ces vulnérabilités, consultez le tableau ci-dessous :

Vulnérabilité Description
Mots de passe faibles Le mot de passe apparaît dans la liste des mots de passe faibles. Il est courant ou facile à deviner. Il est très probable qu’un cybercriminel devine le mot de passe et accède au compte de l’utilisateur.
Mots de passe partagés Le mot de passe est identique à celui d’un autre utilisateur dans votre AD. Le mot de passe est probablement courant ou simple. Il est donc très probable qu’un cybercriminel accède au compte de l’utilisateur.
Mots de passe en clair Le mot de passe est stocké avec un chiffrement réversible dans votre AD. Le mot de passe peut être déchiffré. Il est donc très probable qu’un cybercriminel accède au compte de l’utilisateur.
Mots de passe vides Le mot de passe ne contient aucun caractère. L’utilisateur se connecte donc au compte en laissant le champ de mot de passe vide. N’importe qui peut accéder au compte de l’utilisateur, y compris les cybercriminels.
Chiffrement DES uniquement Le compte utilise DES (Data Encryption Standard) pour chiffrer le mot de passe de l’utilisateur. DES est une méthode de chiffrement obsolète qui chiffre le mot de passe uniquement avec une clé 56 bits, alors que les méthodes plus récentes utilisent des clés plus longues et plus sécurisées. Il est très probable qu’un cybercriminel devine le mot de passe et accède au compte de l’utilisateur.
Mots de passe corrompus Le mot de passe a été exposé à une violation de données liée à votre compte AD. L’utilisateur utilise activement un mot de passe accessible aux cybercriminels.
Mots de passe non requis L’utilisateur n’a pas besoin de saisir un mot de passe pour se connecter au compte. N’importe qui peut se connecter au compte, y compris les cybercriminels.
Mots de passe sans date d’expiration Le délai d’expiration du mot de passe de ces comptes est fixé à zéro. En raison de ce paramètre, même si la case Mots de passe sans date d’expiration n’est pas cochée dans les propriétés de l’utilisateur, le mot de passe n’a pas de date d’expiration. PasswordIQ vérifie les paramètres d’expiration des mots de passe dans les politiques de domaine de votre organisation, les politiques détaillées relatives aux mots de passe et les propriétés de l’utilisateur. Les mots de passe qui ne sont pas modifiés ont souvent plus de chances d’être devinés par les cybercriminels.
Mots de passe LM Hash Le compte utilise un hachage LAN Manager (LM). Un hachage LM convertit le mot de passe en majuscules, le limite à 14 caractères et le divise en deux groupes de sept caractères. Ce processus affaiblit le mot de passe et les cybercriminels sont plus susceptibles de le déchiffrer.
Chiffrement AES Le compte n’utilise pas le protocole AES (Advanced Encryption Standard) pour chiffrer le mot de passe de l’utilisateur. AES chiffre les mots de passe avec une clé de 128 bits ou 256 bits. Les mots de passe qui utilisent un chiffrement AES sont donc moins vulnérables aux attaques.
Pré-authentifications manquantes Le compte ne requiert pas de pré-authentification. Il ne sera donc pas forcément protégé contre les attaques par déchiffrement de mot de passe. La pré-authentification chiffre un horodatage de la demande de connexion via une clé basée sur le mot de passe de l’utilisateur. Ce processus protège contre les attaques de déchiffrement de mot de passe, car il enregistre chaque tentative de connexion au compte.

Pour savoir comment corriger ces vulnérabilités, consultez notre section Résolution de vos vulnérabilités ci-dessous.

Copie de votre jeton d’API

Pour connecter le client PasswordIQ à votre console KSAT, vous avez besoin de votre jeton d’API de produit.

Pour créer et copier votre jeton d’API, procédez comme suit :

  1. Connectez-vous à votre compte KSAT.
  2. Cliquez sur votre adresse e-mail dans le coin supérieur droit de la page, puis sélectionnez Paramètres du compte.
  3. Accédez à Intégrations du compte > API.
  4. Sous API de produit, cliquez sur API de produit.
  5. Créez un Jeton d’API de produit pour PasswordIQ. Pour en savoir plus, consultez notre article API de produit de KnowBe4.

  6. Dans la fenêtre contextuelle Jeton de l’API produit qui s’ouvre, cliquez sur le jeton de l’API de produit pour le copier. Vous aurez besoin de ce jeton pour terminer cette configuration dans la section Installation du client ci-dessous. Important : une fois la fenêtre fermée, vous ne pourrez plus accéder à ce jeton.

  7. Cliquez sur OK.

Installation du client

Avant d’installer le client PasswordIQ, vérifiez que votre ordinateur remplit les critères énoncés dans la section Exigences ci-dessus. Copiez ensuite votre jeton d’API en suivant les instructions de la section Copie de votre jeton d’API ci-dessus.

Pour installer le client, procédez comme suit :

  1. Connectez-vous à votre compte KSAT.
  2. Accédez à l’onglet PasswordIQ.
  3. Dans l’étape 2 des instructions Bienvenue dans PasswordIQ, cliquez sur le lien Client PasswordIQ. Télécharger le client
  4. Cliquez sur le bouton Oui dans la fenêtre contextuelle. Fenêtre contextuelle au format PNG
  5. Cliquez sur le bouton Suivant.
  6. Après avoir lu le contrat de licence logicielle, cliquez sur le bouton Accepter pour accepter les conditions générales.
  7. Si votre ordinateur utilise un serveur proxy pour accéder à Internet, cochez la case Utiliser un serveur proxy et remplissez les champs. Pour en savoir plus, consultez la capture d’écran et la liste ci-dessous. Si votre ordinateur n’utilise pas de serveur proxy pour accéder à Internet, ignorez cette étape.
    1. Adresse IP ou nom : saisissez l’adresse IP ou le nom du serveur proxy. Ces informations sont disponibles dans les paramètres de serveur proxy de votre ordinateur, sous Réseau et Internet > Proxy.
    2. Numéro de port : saisissez le numéro de port du serveur proxy. Ces informations sont disponibles dans les paramètres de serveur proxy de votre ordinateur, sous Réseau et Internet > Proxy.
    Informations sur le serveur proxy
  8. Cliquez sur le bouton Suivant.
  9. Dans le champ Jeton d’API (Application Programming Interface), collez le jeton d’API que vous avez copié dans la section Copie de votre jeton d’API ci-dessus. Écran du jeton d’API
  10. Cliquez sur le bouton Suivant.
  11. Dans les champs Nom d’utilisateur et Mot de passe, saisissez les identifiants de connexion d’un compte de service AD qui dispose des autorisations requises. Le client utilisera ce compte de service pour exécuter toutes les analyses planifiées.
    Remarque : si ce compte ne dispose pas de l’autorisation Ouvrir une session en tant que service, le client attribuera automatiquement cette autorisation au compte.
    Compte de service Windows
  12. Cliquez sur le bouton Suivant pour terminer l’installation.

Exécution des analyses

Après avoir installé le client PasswordIQ, vous pouvez démarrer l’analyse de votre AD à la recherche de vulnérabilités. Vous devrez exécuter votre première analyse depuis votre client. Ensuite, vous pourrez exécuter les suivantes et créer un planning d’analyses sur votre tableau de bord. Pour en savoir plus, consultez la section Exécution des analyses de notre article Comment utiliser votre tableau de bord PasswordIQ.

Remarque : Pour protéger les informations de votre mot de passe, les données recueillies par PasswordIQ pendant les analyses ne sont jamais stockées de manière permanente sur le disque dur de votre ordinateur. Elles sont stockées temporairement sur la mémoire vive (RAM) de votre ordinateur.

Pour exécuter votre première analyse, procédez comme suit :

  1. Ouvrez le client PasswordIQ.
  2. Dans la section Analyse rapide, cliquez sur le bouton Analyser maintenant.
    Remarque : PasswordIQ propose des paramètres supplémentaires auxquels vous pouvez accéder en cliquant sur l’icône en forme d’engrenage dans l’angle supérieur droit de la fenêtre. Dans l’onglet Avancé, vous avez la possibilité d’inclure deux vulnérabilités facultatives à votre analyse : Chiffrement AES non activé ou Mots de passe sans date d’expiration.
     Bouton Analyser maintenant
  3. Une fois l’analyse terminée avec succès, cliquez sur le bouton Afficher le tableau de bord pour afficher les résultats de votre analyse dans KSAT. Bouton Afficher le tableau de bord

Paramètres

Dans votre client PasswordIQ, vous pouvez personnaliser vos paramètres en cliquant sur l’icône des paramètres située dans l’angle supérieur droit du client. Une fenêtre modale s’ouvre où figurent deux onglets : Général et Avancé. Pour en savoir plus sur ces onglets, consultez les sous-sections ci-dessous.

Général

Dans l’onglet Général, vous pouvez modifier deux sections : Jeton d’API et Serveur proxy. Ces sections comprennent des paramètres que vous avez définis lorsque vous avez lancé le client PasswordIQ pour la première fois.

Dans le champ Jeton d’API, vous pouvez modifier le jeton d’API provenant de votre console KSAT que vous avez saisi. Pour enregistrer vos modifications, cliquez sur Valider le jeton d’API.

Dans le champ Serveur proxy, vous pouvez modifier le serveur proxy que votre ordinateur utilise pour se connecter à Internet. Cochez la case Utiliser un serveur proxy si elle est décochée et saisissez le nom ou l’adresse IP que vous souhaitez utiliser. Dans le champ Numéro de port, saisissez le numéro de port correspondant à votre serveur proxy. Pour enregistrer vos modifications, cliquez sur Valider les paramètres proxy.

Avancé

Dans l’onglet Avancé, vous pouvez modifier deux sections : Contrôleur de domaine personnalisé et Unités organisationnelles personnalisées. Dans la section Contrôleur de domaine personnalisé, vous pouvez choisir le contrôleur de domaine que vous voulez faire analyser par PasswordIQ en saisissant le nom de l’ordinateur ou l’adresse IP correspondante dans le champ Contrôleur de domaine personnalisé.

Dans la section Unités organisationnelles personnalisées, vous pouvez sélectionner une ou plusieurs Unités organisationnelles dans le menu déroulant afin que PasswordIQ les analyse.

Affichage de vos résultats

Vous ne pouvez voir qu’une partie limitée des résultats depuis le client PasswordIQ. Nous vous recommandons donc d’utiliser votre compte KSAT pour afficher et analyser vos résultats. Pour accéder à votre tableau de bord, accédez à l’onglet PasswordIQ de votre console KSAT.

Pour afficher les résultats de votre analyse, vous pouvez utiliser le tableau de bord par défaut ou créer des tableaux de bord personnalisés. Pour en savoir plus, consultez notre article Comment utiliser votre tableau de bord PasswordIQ.

Utilisation de groupes intelligents pour les utilisateurs détectés

Vous pouvez utiliser les groupes intelligents pour inscrire à des campagnes d’hameçonnage ou de formation les utilisateurs pour lesquels des vulnérabilités ont été détectées. Par exemple, vous pouvez utiliser le critère Événement PasswordIQ pour inscrire les utilisateurs possédant des mots de passe faibles au module de formation Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité.

Pour en savoir plus sur les groupes intelligents, consultez notre article Présentation des groupes intelligents.

Résolution de vos vulnérabilités

Après avoir examiné vos résultats, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités de leurs mots de passe. Pour en savoir plus, consultez notre article Comment résoudre les vulnérabilités de vos mots de passe

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance