Je voudrais terminer cet exposé technique avec la certitude que vous êtes armé pour appliquer la meilleure sécurité possible. Rappelez-vous bien les deux risques principaux auxquels vous exposent le reniflage de l'authentification et le percement qui s'ensuit. Premièrement les pirates attaqueront la réponse avec un percement par dictionnaire, qui découvrira
Derniers petits conseils
rapidement tout mot de passe médiocre. Toutes
les versions de réponse NT sont vulnérables à ce type d’attaque. Les réponses
LM et NTLM sont vulnérables aux outils de piratage actuellement disponibles. La
réponse NTLMv2 est vulnérable, mais il n’existe encore aucun outil de piratage
pour exploiter ses failles. Deuxièmement, les pirates peuvent lancer des attaques
par la force pour percer les mots de passe de meilleure qualité. Les réponses
LM même créées à partir de mots de passe complexes sont extrêmement vulnérables
aux attaques par la force, au point qu’un effort minime suffit. Les réponses NTLM
créées à partir de mots de passe complexes sont moins vulnérables aux attaques
par la force, mais cela ne sera plus le cas lorsque le matériel sera plus rapide.
NTLMv2 fournit une protection beaucoup plus forte contre les attaques par la force.
Mais lorsque L0phtCrack Heavy Industries révisera L0phtCrack, NTLMv2 pourrait
être vulnérable aux attaques par dictionnaire sur les mots de passe de qualité
médiocre.Il existe une distinction cruciale entre les menaces théoriques et celles
des outils actuellement disponibles.
Les plus grosses pertes subies par les entreprises leur sont infligées par des
pirates qui ne savent pas écrire un outil comme L0phtCrack, mais peuvent sans
problème l’utiliser.
La morale de l’histoire.
D’abord, exigez de vos utilisateurs des mots de passe de grande qualité.
Pour commencer, je recommande aux utilisateurs de créer des phrases dans lesquelles
la première lettre de chaque mot constitue le mot de passe, puis d’intercaler
des chiffres et des symboles. Il faut utiliser PassProp et les packages de notification
de mot de passe (par exemple passfilt.dll) pour imposer des mots de passe plus
forts.
Deuxièmement, utilisez la version la plus forte possible de l’authentification
NT. Essayez d’éliminer complètement l’authentification LM, parce qu’elle permet
à des outils de piratage de percer sans difficulté des mots de passe de qualité
en utilisant les réponses LM.
Pour éliminer l’authentification LM, il faut mettre à niveau vos systèmes NT avec
le SP4 ou ultérieur et utiliser le niveau 2 de LMCompatibilityLevel. Lorsque Microsoft
publiera les corrections pour les niveaux 3 et 5, passez vos stations de travail
au niveau 3 et vos serveurs et vos contrôleurs de domaines au niveau 5. Comme
pour les clients non-NT, plus vite vous les remplacerez, plus vite vous améliorerez
votre sécurité.
L’authentification NTLM, quant à elle, sera toujours sujette au reniflage et au
percement, surtout avec des mots de passe de qualité médiocre.
Enfin regardez l’avenir : Windows 2000 remplace NTLM par Kerberos et étend le
standard Kerberos pour supporter les certificats stockés sur des cartes à puce.
Ces améliorations assureront, espérons-le, une protection permanente pour l’authentification
des réseaux.
| Les paramètres de sécurité de LMCompatibilityLevel | |
| Niveau | Fonction de sécurité |
| Niveau 0 | Envoie la réponse LM et la réponse NTLM ; n’utilise jamais la sécurité de session NTLMv2 |
| Niveau 1 | Utilise la sécurité de session NTLMv2 si négociée entre client et serveur |
| Niveau 2 | N’envoie que l’authentification NTLM |
| Niveau 3 | N’envoie que l’authentification NTLMv2 |
| Niveau 4 | Le contrôleur de domaine refuse l’authentification LM sur les clients non-NT |
| Niveau 5 | Le contrôleur de domaine refuse l’authentification LM et NTLM (n’accepte que NTLMv2). |
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Une baie de stockage c’est quoi ?
- Activer la mise en veille prolongée dans Windows 10
Les plus consultés sur iTPro.fr
- Vers l’Industrie 5.0 : quand l’IA agentique change la donne
- Ready For IT 2026 : IA industrialisée, deepfakes et Prix Start-up au cœur des enjeux
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Ready For IT 2026 : quand l’accélération de l’innovation redessine les priorités des décideurs IT
Articles les + lus
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
À la une de la chaîne Tech
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
