Le chiffrement des mots de passe dans l'Active Directory

Florian BURNEL - ITConnect - 11/03
L'essentiel sur les mots de passe dans l'Active Directory : les algorithmes de hachage, l'extraction des mots de passe, les mots de passe en clair, etc.

Sommaire

  • I. Présentation
  • II. Comment Active Directory stocke les mots de passe ?
    • A. La méthode LM Hash
    • B. La méthode NT Hash
  • III. Le chiffrement réversible des mots de passe
    • A. L'option "Enregistrer le mot de passe en utilisant un chiffrement réversible"
    • B. Lire un mot de passe stocké en clair dans AD
  • IV. Extraire les hash des mots de passe de l'Active Directory
  • V. Auditer les mots de passe Active Directory
  • VI. Conclusion

I. Présentation

Pour de nombreuses organisations, l'Active Directory (AD) est au cœur de la gestion des identités dans leur environnement Windows. Il stocke les informations d'authentification des utilisateurs, y compris leurs mots de passe, qui constituent une donnée précieuse. Afin de garantir leur sécurité, l'Active Directory utilise des mécanismes spécifiques et recourt à des fonctions de hachage pour éviter de stocker les mots de passe en clair.

Cet article a pour objectif d’expliquer comment les mots de passe sont stockés dans la base de données AD et quels en sont les risques en matière de sécurité. Nous présenterons également une solution gratuite permettant d’identifier les faiblesses des mots de passe.

II. Comment Active Directory stocke les mots de passe ?

La base de données de l'Active Directory est contenue dans le fichier NTDS.dit, stocké par défaut dans le répertoire C:\Windows\ntds\NTDS.dit. Sa structure repose sur un ensemble de tables destinées à stocker les informations de l'annuaire Active Directory. Parmi ces tables, certaines enregistrent des informations sur les objets (utilisateurs, ordinateurs, groupes, etc.), d'autres sur les liens entre ces objets, ainsi que sur les descripteurs de sécurité des objets, appelés ACE (Access Control Entries).

Ce fameux fichier NTDS.dit stocke également une donnée sensible : les empreintes cryptographiques des mots de passe, c'est-à-dire le hash des mots de passe. Cela signifie que les mots de passe des utilisateurs ne sont pas stockés en clair dans Active Directory.

Un algorithme de hachage va calculer le hash d'un mot de passe avant de l'enregistrer dans la base de données. Il s'agit d'un mécanisme de type "one-way function" (OWF) décrit de cette façon dans la documentation de Microsoft : "Une "One-way function" est un terme qui désigne une transformation mathématique à sens unique des données. Les données transformées ne peuvent être converties par cryptage que dans un sens et ne peuvent être inversées."

Sur le papier, le hash d'un mot de passe peut sembler incassable, mais ce n'est pas si simple. Si un attaquant parvient à voler un hash, il peut tenter de le "casser" pour obtenir le mot de passe en clair. Il existe plusieurs méthodes connues, de la ...
[Courte citation de 8% de l'article original]