> Tech > Derniers petits conseils

Derniers petits conseils

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Je voudrais terminer cet exposé technique avec la certitude que vous êtes armé pour appliquer la meilleure sécurité possible. Rappelez-vous bien les deux risques principaux auxquels vous exposent le reniflage de l'authentification et le percement qui s'ensuit. Premièrement les pirates attaqueront la réponse avec un percement par dictionnaire, qui découvrira

rapidement tout mot de passe médiocre. Toutes
les versions de réponse NT sont vulnérables à  ce type d’attaque. Les réponses
LM et NTLM sont vulnérables aux outils de piratage actuellement disponibles. La
réponse NTLMv2 est vulnérable, mais il n’existe encore aucun outil de piratage
pour exploiter ses failles. Deuxièmement, les pirates peuvent lancer des attaques
par la force pour percer les mots de passe de meilleure qualité. Les réponses
LM même créées à  partir de mots de passe complexes sont extrêmement vulnérables
aux attaques par la force, au point qu’un effort minime suffit. Les réponses NTLM
créées à  partir de mots de passe complexes sont moins vulnérables aux attaques
par la force, mais cela ne sera plus le cas lorsque le matériel sera plus rapide.
NTLMv2 fournit une protection beaucoup plus forte contre les attaques par la force.

Mais lorsque L0phtCrack Heavy Industries révisera L0phtCrack, NTLMv2 pourrait
être vulnérable aux attaques par dictionnaire sur les mots de passe de qualité
médiocre.Il existe une distinction cruciale entre les menaces théoriques et celles
des outils actuellement disponibles.
Les plus grosses pertes subies par les entreprises leur sont infligées par des
pirates qui ne savent pas écrire un outil comme L0phtCrack, mais peuvent sans
problème l’utiliser.
La morale de l’histoire.
D’abord, exigez de vos utilisateurs des mots de passe de grande qualité.

Pour commencer, je recommande aux utilisateurs de créer des phrases dans lesquelles
la première lettre de chaque mot constitue le mot de passe, puis d’intercaler
des chiffres et des symboles. Il faut utiliser PassProp et les packages de notification
de mot de passe (par exemple passfilt.dll) pour imposer des mots de passe plus
forts.

Deuxièmement, utilisez la version la plus forte possible de l’authentification
NT. Essayez d’éliminer complètement l’authentification LM, parce qu’elle permet
à  des outils de piratage de percer sans difficulté des mots de passe de qualité
en utilisant les réponses LM.
Pour éliminer l’authentification LM, il faut mettre à  niveau vos systèmes NT avec
le SP4 ou ultérieur et utiliser le niveau 2 de LMCompatibilityLevel. Lorsque Microsoft
publiera les corrections pour les niveaux 3 et 5, passez vos stations de travail
au niveau 3 et vos serveurs et vos contrôleurs de domaines au niveau 5. Comme
pour les clients non-NT, plus vite vous les remplacerez, plus vite vous améliorerez
votre sécurité.
L’authentification NTLM, quant à  elle, sera toujours sujette au reniflage et au
percement, surtout avec des mots de passe de qualité médiocre.

Enfin regardez l’avenir : Windows 2000 remplace NTLM par Kerberos et étend le
standard Kerberos pour supporter les certificats stockés sur des cartes à  puce.
Ces améliorations assureront, espérons-le, une protection permanente pour l’authentification
des réseaux.

Les paramètres de sécurité de LMCompatibilityLevel
Niveau Fonction de sécurité
Niveau 0 Envoie la réponse LM et la réponse NTLM ; n’utilise jamais
la sécurité de session NTLMv2
Niveau 1 Utilise la sécurité de session NTLMv2 si négociée entre client
et serveur
Niveau 2 N’envoie que l’authentification NTLM
Niveau 3 N’envoie que l’authentification NTLMv2
Niveau 4 Le contrôleur de domaine refuse l’authentification LM sur
les clients non-NT
Niveau 5 Le contrôleur de domaine refuse l’authentification LM et NTLM
(n’accepte que NTLMv2).

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010