L'objectif de l’inspection était de déterminer si les contrôles de gestion et d'application des mots de passe du ministère de l'Intérieur des États-Unis étaient suffisamment efficaces pour empêcher une attaque malveillante d'obtenir un accès non autorisé aux systèmes informatiques du ministère en capturant et en utilisant des mots de passe des utilisateurs.
Les mots de passe eux-mêmes ne sont pas toujours volés sous leur forme lisible. Les mots de passe que vous créez sur les sites web et les services en ligne sont généralement brouillés et stockés d'une manière qui les rend illisibles pour les humains - généralement sous la forme d'une chaîne de lettres et de chiffres apparemment aléatoires - afin que les mots de passe volés par un logiciel malveillant ou une violation de données ne puissent pas être facilement utilisés. C'est ce qu'on appelle le hachage de mot de passe, et la complexité d'un mot de passe (et la force de l'algorithme de hachage utilisé pour le chiffrer) détermine le temps qu'il faut à un ordinateur pour le déchiffrer. En général, plus le mot de passe est long ou complexe, plus il faut de temps pour le récupérer.
Le rapport indique que la dépendance du ministère à l'égard des mots de passe comme seul moyen de protéger certains de ses systèmes les plus importants et les comptes d'utilisateur des employés va à l'encontre de près de deux décennies de directives gouvernementales en matière de cybersécurité, qui préconisent une authentification renforcée à deux facteurs. De plus, les mauvaises politiques en matière de mots de passe font courir au ministère le risque d'une violation qui pourrait entraîner une « forte probabilité » de perturbation massive de ses opérations.
Mécanismes d'authentification des systèmes informatiques du ministère
Le ministère utilise deux types d'authentification pour accorder l'accès aux systèmes informatiques : l'authentification à un seul facteur et l'authentification multifactorielle (AMF). L'AMF fait référence à l'obligation d'utiliser au moins deux facteurs pour accéder aux systèmes informatiques ; l'AMF est obligatoire sur les systèmes d'information fédéraux depuis près de deux décennies.
L'identification et l'authentification des utilisateurs constituent un contrôle de sécurité fondamental pour accorder l'accès aux systèmes informatiques et aux ressources d'information. En tant que telles, les méthodes d'authentification, telles que les mots de passe, constituent une cible de choix pour les acteurs malveillants qui tentent d'obtenir un accès non autorisé à des données sensibles.
Si un acteur malveillant compromet un compte à privilèges élevés, tel que le compte d'un administrateur système, l'ampleur du préjudice augmente car l'attaquant peut télécharger des logiciels malveillants, voler des données sensibles, ajouter ou supprimer des utilisateurs, modifier les configurations du système, et modifier les journaux pour dissimuler ses actions.
Le directeur de l'information du ministère (CIO) est chargé d'établir une politique de sécurité informatique à l'échelle du ministère et de superviser sa mise en œuvre pour garantir la conformité de tous les systèmes d'information. Le responsable de la sécurité informatique du département est chargé d'élaborer et de maintenir un programme de sécurité informatique à l'échelle du département et d'assumer les responsabilités du DPI en matière de sécurité informatique. Les chefs de bureaux et d'offices sont chargés de veiller au respect de ces politiques et procédures ministérielles, ainsi que de toutes les lois, règles, réglementations, politiques, normes et procédures fédérales applicables.
14 000 mots de passe capturés en 90 minutes, soit environ 16 % de tous les comptes du ministère
Les membres du personnel de l'organisme de surveillance ont déclaré que le fait de s'appuyer sur des affirmations selon lesquelles il faudrait plus de cent ans pour récupérer des mots de passe répondant aux exigences minimales de sécurité du ministère à l'aide d'un logiciel de capture de mots de passe disponible dans le commerce a créé un « faux sentiment de sécurité » selon lequel ses mots de passe sont sûrs.
Pour prouver son point de vue, l'organisme de surveillance a dépensé moins de 15 000 dollars pour développer une plateforme de capture de mots de passe - une configuration composée d'un ou de plusieurs ordinateurs haute performance reliés entre eux - avec une puissance de calcul conçue pour effectuer des tâches mathématiques complexes, comme la récupération de mots de passe hachés. Dans les 90 premières minutes, le dispositif a pu récupérer près de 14 000 mots de passe d'employés, soit environ 16 % de tous les comptes du ministère, y compris des mots de passe comme "Polar_bear65" et "Nationalparks2014".
L'organisme de surveillance a également récupéré des centaines de comptes appartenant à des hauts fonctionnaires et d'autres comptes bénéficiant de privilèges de sécurité élevés pour accéder à des données et des systèmes sensibles. Quatre mille deux cents autres mots de passe hachés ont été capturés au cours de huit semaines de tests supplémentaires.
Les dispositifs de capture de mots de passe ne sont pas un concept nouveau, mais ils nécessitent une puissance de calcul et une consommation d'énergie considérables pour fonctionner, et la construction d'une configuration matérielle relativement simple peut facilement coûter plusieurs milliers de dollars. À titre de comparaison, White Oak Security a dépensé environ 7 000 dollars en matériel pour une plateforme raisonnablement puissante en 2019.
« La configuration que nous utilisons consiste en deux plates-formes avec 8 GPU chacune (16 au total), et une console de gestion. Les plates-formes elles-mêmes exécutent plusieurs conteneurs open-source dans lesquels nous pouvons mettre en place 2, 4 ou 8 GPU et leur attribuer des tâches à partir de la console de distribution de travail open-source. En utilisant des GPU de 2 et 3 générations en retard sur les produits actuellement disponibles, nous avons atteint les repères combinés NTLM avant le travail sur le terrain de 240GHs en testant NTLM via des masques de 12 caractères, et 25.6GHs via un dictionnaire de 10GB et un fichier de règles de 3MB. Les vitesses réelles ont varié entre plusieurs configurations de test au cours de la mission », bureau de l'inspecteur général. Au cours de leur travail, ils ont constaté que :
- Le ministère n'a pas systématiquement mis en œuvre l'authentification multifactorielle, y compris pour 89 % de ses actifs de grande valeur (actifs dont la compromission pourrait avoir de graves répercussions sur la capacité du ministère à mener ses activités), ce qui a rendu ces systèmes vulnérables aux attaques visant à compromettre les mots de passe ;
- Les exigences du ministère en matière de complexité des mots de passe étaient dépassées et inefficaces, ce qui permettait aux utilisateurs de choisir des mots de passe faciles à pirater (par exemple, Changeme$12345, Polar_bear65, Nationalparks2014 !). L’équipe a constaté, par exemple, que 4,75 % de tous les mots de passe des comptes utilisateurs actifs étaient basés sur le mot "password". Au cours des 90 premières minutes de test, elle a déchiffré les mots de passe de 16 % des comptes d'utilisateur du ministère ;
- Les exigences du ministère en matière de complexité des mots de passe autorisaient implicitement le personnel non apparenté à utiliser les mêmes mots de passe intrinsèquement faibles, ce qui signifie qu'aucune règle n'était en place pour empêcher cette pratique. Par exemple, le mot de passe le plus couramment réutilisé (Password-1234) a été utilisé sur 478 comptes actifs. En fait, 5 des 10 mots de passe les plus réutilisés au ministère comprenaient une variante de "password" combinée à "1234". "1234" ; cette combinaison répond actuellement aux exigences du ministère, même si elle n'est pas difficile à craquer ;
- Le ministère n'a pas désactivé en temps voulu les comptes inactifs (inutilisés) ni appliqué les limites d'âge des mots de passe. Ce qui a rendu plus de 6 000 comptes actifs supplémentaires vulnérables aux attaques.
L'organisme de surveillance a déclaré avoir établi sa propre liste de mots personnalisés pour craquer les mots de passe du ministère à partir de dictionnaires en plusieurs langues, ainsi que de la terminologie du gouvernement américain, de références à la culture pop et d'autres listes publiques de mots de passe hachés recueillies lors de violations de données antérieures. (Il n'est pas rare que les entreprises technologiques collectent également des listes de mots de passe volés lors d'autres violations de données pour les comparer à leur propre ensemble de mots de passe hachés des clients, afin d'empêcher ces derniers de réutiliser le même mot de passe sur d'autres sites web). Ce faisant, l'organisme de surveillance a démontré qu'un cybercriminel disposant de ressources suffisantes aurait pu craquer les mots de passe du ministère à un rythme similaire, selon le rapport.
Le rapport reproche également au ministère de l'intérieur de ne pas avoir mis en œuvre ou appliqué "de manière cohérente" l'authentification à deux facteurs, qui consiste à demander aux utilisateurs de saisir un code à partir d'un appareil qu'ils possèdent physiquement afin d'empêcher les attaquants de se connecter en utilisant uniquement un mot de passe volé. Le rapport indique que près de neuf actifs de grande valeur sur dix du ministère, tels que des systèmes susceptibles d'avoir de graves répercussions sur ses opérations ou la perte de données sensibles, n'étaient pas protégés par une forme quelconque de sécurité à deux facteurs, et que le ministère avait par conséquent ignoré 18 années de mandats fédéraux, y compris ses « propres politiques internes ». Lorsque l'organisme de surveillance a demandé un rapport détaillé sur l'utilisation de l'authentification à deux facteurs par le ministère, ce dernier a répondu que les informations n'existaient pas.
« Nous avons lancé cette inspection parce que nous avons été en mesure de craquer entre 20 et 40 % des mots de passe que nous avons saisis au cours de projets antérieurs. Pour ce projet, nous avons décidé d'effectuer un test formel des mots de passe dans l'ensemble du ministère. Nous l'avons fait après avoir défini des "règles d'engagement" avec le ministère pour nous assurer qu'il était en mesure de protéger ses systèmes informatiques et que toute vulnérabilité pouvait être traitée rapidement », bureau de l'inspecteur général.
Le bureau a constaté que les pratiques de gestion du ministère et les exigences en matière de complexité des mots de passe n'étaient pas suffisantes pour empêcher un éventuel accès non autorisé à ses systèmes et à ses données. Nonobstant les exigences du décret n° 14028 intitulé Improving the Nation's Cybersecurity, le ministère n'a pas mis en œuvre de manière cohérente l'MFA sur ses systèmes. Bien plus, il n'a pas mis en œuvre l'MFA sur 89 % (25 sur 28) de ses actifs de grande valeur.
Le système mis en place ppiur capturer les hachages a obtenu des mots de passe en texte clair pour 13 924 (16 %) des 85 944 comptes utilisateurs Active Directory (AD) du ministère. Au total, ils ont capturé 18 174 (21 %) des comptes d'utilisateurs AD du ministère. Nous avons également capturé 288 mots de passe de comptes à privilèges élevés et 362 mots de passe appartenant à des fonctionnaires de haut niveau.
Il est probable que si un attaquant disposant de ressources suffisantes parvenait à capturer les hachages de mots de passe AD du ministère, il aurait atteint un taux de réussite similaire au nôtre dans la capture des hashs. L'attaque a affecté des millions d’entreprises et de consommateurs, et la Maison Blanche a déclaré l'état d'urgence. L'attaque par rançongiciel de Colonial Pipeline est un exemple des conséquences potentielles de l'absence d'authentification multifactorielle et de pratiques de gestion de compte faibles.
Au ministère, le bureau a constaté plusieurs faiblesses similaires à celles du Colonial Pipeline en matière de sécurité informatique qui ont permis la réussite de la cyberattaque. Plus précisément, en dépit de 18 ans d'exigences, le ministère n'a pas mis en œuvre l'MFA sur 89 % de ses actifs critiques.
Dans l'environnement actuel des cybermenaces, des méthodes d'authentification forte et des pratiques robustes de gestion des comptes et des mots de passe sont nécessaires pour aider à protéger les systèmes informatiques contre les l'accès non autorisé. Une confiance excessive dans les mots de passe pour limiter l'accès au système au personnel autorisé peut avoir des conséquences catastrophiques. Par exemple, en 2021, Forbes a rapporté que des cybercriminels ont ont lancé une attaque par rançongiciel sur le Colonial Pipeline – « interrompant ainsi la moitié de la chaîne d'approvisionnement en carburant du pays » - en dérobant les données de l'entreprise.
Source : United States Department of the Interior
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Cloud Act : la loi américaine qui donne aux USA un accès aux données stockées en UE inquiète l'Europe, la France prépare des mesures pour se protéger
94 % des entreprises aux USA ont adopté une forme de structure de travail hybride en raison de la pandémie et 71 % prévoient de rendre ces pratiques permanentes, selon une nouvelle étude de Foundry
Les USA représentent 53 % de la capacité des centres de données hyperscale, dont plus d'un tiers se trouve en Virginie, le reste est réparti entre la Chine, l'Europe et le reste du monde