Un chien de garde du gouvernement a publié une réprimande cinglante de la posture de cybersécurité du ministère de l’Intérieur, constatant qu’il était capable de casser des milliers de comptes d’utilisateurs d’employés parce que les politiques de sécurité du ministère autorisent des mots de passe facilement devinables comme 'Password1234'.
Le rapport du Bureau de l’Inspecteur général du ministère de l’Intérieur, chargé de surveiller l’agence exécutive américaine qui gère les terres fédérales du pays, les parcs nationaux et un budget de plusieurs milliards de dollars, indique que la dépendance du ministère aux mots de passe en tant que seul moyen de protéger certains de ses systèmes les plus importants et les comptes d’utilisateurs des employés a résisté près de deux décennies aux propres directives du gouvernement en matière de cybersécurité qui exigent une authentification à deux facteurs plus forte.
Il conclut que de mauvaises politiques de mot de passe exposent le département à un risque de violation qui pourrait entraîner une « forte probabilité » de perturbation massive de ses opérations.
Le bureau de l’inspecteur général a déclaré qu’il avait lancé son enquête après qu’un précédent test des défenses de cybersécurité de l’agence avait révélé des politiques et des exigences de mot de passe laxistes dans plus d’une douzaine d’agences et de bureaux du ministère de l’Intérieur. L’objectif cette fois-ci était de déterminer si les défenses de sécurité du département étaient suffisantes pour bloquer l’utilisation de mots de passe volés et récupérés.
Les mots de passe eux-mêmes ne sont pas toujours volés sous leur forme lisible. Les mots de passe que vous créez sur les sites Web et les services en ligne sont généralement brouillés et stockés d’une manière qui les rend illisibles pour les humains – généralement sous la forme d’une chaîne de lettres et de chiffres apparemment aléatoires – de sorte que les mots de passe volés par des logiciels malveillants ou une violation de données ne peuvent pas être facilement utilisés dans d’autres hacks. C’est ce qu’on appelle le hachage de mot de passe, et la complexité d’un mot de passe (et la force de l’algorithme de hachage utilisé pour le chiffrer) détermine le temps qu’il faut à un ordinateur pour le déchiffrer. Généralement, plus le mot de passe est long ou complexe, plus il faut de temps pour le récupérer.
Mais les membres du personnel de surveillance ont déclaré que s’appuyer sur des affirmations selon lesquelles les mots de passe répondant aux exigences de sécurité minimales du département prendraient plus de cent ans pour être récupérés à l’aide d’un logiciel de craquage de mots de passe standard a créé un « faux sentiment de sécurité » que ses mots de passe sont sécurisés, en en grande partie à cause de la disponibilité commerciale de la puissance de calcul disponible aujourd’hui.
Pour faire valoir leur point de vue, le chien de garde a dépensé moins de 15 000 $ pour construire une plate-forme de craquage de mots de passe – une configuration d’un ordinateur haute performance ou de plusieurs enchaînés – avec la puissance de calcul conçue pour entreprendre des tâches mathématiques complexes, comme la récupération de mots de passe hachés. Au cours des 90 premières minutes, le chien de garde a pu récupérer près de 14 000 mots de passe d’employés, soit environ 16 % de tous les comptes de service, y compris des mots de passe comme 'Polar_bear65' et 'Nationalparks2014!'.
Le chien de garde a également récupéré des centaines de comptes appartenant à des hauts fonctionnaires et d’autres comptes avec des privilèges de sécurité élevés pour accéder à des données et des systèmes sensibles. 4 200 autres mots de passe hachés ont été déchiffrés au cours de huit semaines supplémentaires de tests.
Les plates-formes de craquage de mots de passe ne sont pas un nouveau concept, mais elles nécessitent une puissance de calcul et une consommation d’énergie considérables pour fonctionner, et cela peut facilement coûter plusieurs milliers de dollars pour créer une configuration matérielle relativement simple. À titre de comparaison, White Oak Security a dépensé environ 7 000 $ en matériel pour une plate-forme raisonnablement puissante en 2019.
Lorsque nous avons demandé des détails sur la plate-forme en question, un porte-parole du bureau de l’inspecteur général a déclaré à TechCrunch :
La configuration que nous utilisons consiste en deux plates-formes avec 8 GPU chacune (16 au total) et une console de gestion. Les plates-formes elles-mêmes exécutent plusieurs conteneurs open source où nous pouvons faire apparaître 2, 4 ou 8 GPU et leur attribuer des tâches à partir de la console de distribution de travail open source. En utilisant les générations de GPU 2 et 3 derrière les produits actuellement disponibles, nous avons réalisé des tests de référence combinés NTLM pré-terrain de 240GHs testant NTLM via des masques de 12 caractères et 25,6GHs via un dictionnaire de 10 Go et un fichier de règles de 3 Mo. Les vitesses réelles ont varié dans plusieurs configurations de test au cours de l’engagement.
Les plates-formes de piratage de mots de passe reposent également sur d’énormes quantités de données lisibles par l’homme à des fins de comparaison avec les mots de passe brouillés. L’utilisation de logiciels open source et librement disponibles comme Hashcat peut comparer des listes de mots et de phrases lisibles à des mots de passe hachés. Par example, 'password' convertit en '5f4dcc3b5aa765d61d8327deb882cf99'. Étant donné que ce hachage de mot de passe est déjà connu, un ordinateur prend moins d’une microseconde pour le confirmer.
Selon le rapport, le ministère de l’Intérieur a fourni les hachages de mot de passe de chaque compte d’utilisateur au chien de garde, qui a ensuite attendu 90 jours pour que les mots de passe expirent – conformément à la politique de mot de passe du ministère – avant de pouvoir tenter de les déchiffrer en toute sécurité.
Le chien de garde a déclaré qu’il avait organisé sa propre liste de mots personnalisée pour déchiffrer les mots de passe du département à partir de dictionnaires dans plusieurs langues, ainsi que la terminologie du gouvernement américain, les références de la culture pop et d’autres listes accessibles au public de mots de passe hachés collectés lors de violations de données passées. (Il n’est pas rare que les entreprises technologiques collectent également des listes de mots de passe volés dans d’autres violations de données pour les comparer à leur propre ensemble de mots de passe hachés de clients, afin d’empêcher les clients de réutiliser le même mot de passe à partir d’autres sites Web.) Ce faisant, le chien de garde a démontré qu’un cybercriminel disposant de ressources suffisantes aurait pu déchiffrer les mots de passe du département à un rythme similaire, selon le rapport.
L’organisme de surveillance a constaté que près de 5 % de tous les mots de passe de comptes d’utilisateurs actifs étaient basés sur une variante du mot « mot de passe » et que le département n’a pas supprimé « en temps opportun » les comptes d’utilisateurs inactifs ou inutilisés, laissant au moins 6 000 comptes d’utilisateurs vulnérables à compromis.
Le rapport a également critiqué le ministère de l’Intérieur pour n’avoir « pas systématiquement » mis en œuvre ou appliqué l’authentification à deux facteurs, où les utilisateurs sont tenus de saisir un code à partir d’un appareil qu’ils possèdent physiquement pour empêcher les attaquants de se connecter en utilisant uniquement un mot de passe volé. Le rapport indiquait que près de 9 actifs de grande valeur du ministère sur 10, tels que les systèmes qui auraient de graves répercussions sur ses opérations ou la perte de données sensibles, n’étaient pas protégés par une forme de sécurité de second facteur, et le ministère avait comme un résultat ignoré 18 ans de mandats fédéraux, y compris ses «propres politiques internes». Lorsque le chien de garde a demandé un rapport détaillé sur l’utilisation par le ministère de l’authentification à deux facteurs, le ministère a déclaré que l’information n’existait pas.
« Cette incapacité à donner la priorité à un contrôle de sécurité fondamental a conduit à l’utilisation continue de l’authentification à facteur unique », a conclu le chien de garde.
Dans sa réponse, le ministère de l’Intérieur a déclaré qu’il était d’accord avec la plupart des conclusions de l’inspecteur général et a déclaré qu’il était «engagé» dans la mise en œuvre du décret exécutif de l’administration Biden ordonnant aux agences fédérales d’améliorer leurs défenses en matière de cybersécurité.
Lire la suite: