Paume faciale : Un audit effectué sur le ministère de l’Intérieur a montré l’état des pratiques de sécurité adoptées au sein du gouvernement américain. Il s’avère que les mots de passe utilisés par des actifs de grande valeur sont très faciles à déchiffrer avec le bon équipement.

Le Bureau de l’Inspecteur général qui supervise l’une des agences fédérales les plus importantes du gouvernement américain a analysé les pratiques internes de gestion et de complexité des mots de passe. Le résultat est pour le moins surprenant : le département américain de l’Intérieur fait presque tout de travers, exposant l’organisme gouvernemental à de graves conséquences en cas de réussite d’une cyberattaque parrainée par l’État.

Les auditeurs ont testé les hachages cryptographiques pour les comptes Active Directory (AD) de 85 944 employés, en utilisant une base de données de plus de 1,5 milliard de mots qui comprenait des dictionnaires de plusieurs langues, la terminologie du gouvernement américain, des références à la culture pop, des listes de mots de passe accessibles au public tirées de violations de données passées, modèles de clavier courants comme « qwerty » et similaires.

Le résultat final n’était pas du tout rassurant : sur les 85 944 hachages cryptographiques totaux, les auditeurs ont pu en déchiffrer 18 174 (21 %) ; 288 des comptes non sécurisés avaient des privilèges d’accès élevés, tandis que 362 comptes appartenaient à des hauts fonctionnaires. Il n’a fallu que 90 minutes de test pour casser 16 % des comptes d’utilisateurs du ministère.

2023 01 12 image 2

La liste des mots de passe les plus courants comprenait des chefs-d’œuvre comme « Password-1234 » (478 comptes), Br0nc0$2012 (389), Password123$ (318), Password1234 (274), Summ3rSun2020 ! (191), 0rlando_0000 (160), Mot de passe1234 ! (150), ChangeIt123 (140), 1234password$ (138), ChangeItN0w! (130). Les mots de passe étaient principalement basés sur un seul mot du dictionnaire avec quelques remplacements de caractères communs ici et là, ce qui facilitait le travail de craquage.

Pour le travail de craquage susmentionné, les auditeurs assemblé quelques plates-formes avec 8 GPU chacune et une console de gestion en dépensant moins de 15 000 $. Les GPU avaient 2 et 3 générations de retard sur les cartes de la génération actuelle, ce qui est encore plus gênant compte tenu du saut de performances enregistré avec chaque nouvelle génération de GPU. De plus, 99,99 % des mots de passe piratés étaient parfaitement conformes à l’exigence de complexité des mots de passe du ministère, y compris un minimum de 12 caractères, au moins trois types de caractères sur quatre, etc.

« Même si un mot de passe répond aux exigences car il comprend des majuscules, des minuscules, des chiffres et un caractère spécial », le le rapport final indique, il est toujours « extrêmement facile à casser ». En pratique, les mots de passe « plus forts » utilisés par le gouvernement américain peuvent encore être très faibles lorsqu’ils sont basés sur un seul mot du dictionnaire. Pire encore, 89 % des comptes piratés appartenant à des actifs de grande valeur (25 sur 28) n’ont mis en œuvre aucune forme d’authentification multifacteur (MFA), une faiblesse qui pourrait gravement affecter les opérations de l’agence en cas de cyberattaque. . La cohérence de l’AMF était en effet un problème dans tous les comptes analysés.