Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2013
    Messages
    245
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2013
    Messages : 245
    Points : 7 442
    Points
    7 442

    Par défaut Microsoft se lance officiellement dans la lutte contre les changements obligatoires de mots de passe

    Microsoft supprime les politiques d'expiration de mot de passe des consignes de sécurité de base
    pour Windows10 v1903 et Windows Server v1903

    Dans un article de son blog publié mercredi dernier, Microsoft a admis que les politiques d'expiration de mot de passe adoptées jusqu'à présent, constituaient une mesure de sécurité inutile. La société a qualifié ces politiques comme étant anciennes, obsolètes et a annoncé son intention de les supprimer à partir de la mise à jour Windows 10 de mai prochain. L'article explique bien qu'une fois supprimés, les paramètres d'expiration de mot de passe devront être remplacés par des nouveaux appliquant des pratiques de sécurité plus modernes et plus performantes.

    Ces nouveaux paramètres de sécurité s'appliquent à Windows 10 v1903 et Windows Server v1903. Microsoft fait savoir que ces nouveaux paramètres ne forceraient plus les utilisateurs dont les comptes sont contrôlés par la stratégie de groupe d'un réseau donné à changer leurs mots de passe toutes les semaines ou tous les mois. Microsoft n'abandonne pas ses règles d'expiration de mot de passe dans tous les domaines, mais l'article explique clairement la position de la société qui pense que faire expirer les mots de passe ne sert à rien.

    Nom : unnamed.jpg
Affichages : 3765
Taille : 31,7 Ko

    D'ailleurs voici ce qu'a dit Aaron Margosis, consultant chez Microsoft et auteur de l'article en question : « Il ne fait aucun doute que l’état de la sécurité par mot de passe pose problème depuis longtemps. Lorsque les humains choisissent leurs propres mots de passe, ils sont trop souvent faciles à deviner ou à prédire. En cas de vol de mots de passe, il peut être difficile de détecter ou de restreindre leur utilisation non autorisée. S'il est évident qu'un mot de passe risque d'être volé, combien de jours peuvent être considérés comme une durée de temps acceptable pour continuer à permettre au voleur d'utiliser ce mot de passe volé ? La valeur par défaut de Windows est de 42 jours. Cela ne vous semble-t-il pas ridiculement long ? Eh bien, si, et pourtant notre base de référence actuelle dit 60 jours. L'expiration périodique du mot de passe est une mesure d'atténuation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu'il soit utile que notre base de référence applique une valeur spécifique. »

    Microsoft note que les stratégies d'expiration de mot de passe ne sont utiles que dans un seul scénario : lorsque les mots de passe sont compromis. Si un mot de passe n'est pas compromis, il n'est pas nécessaire de changer de mot de passe régulièrement. En d’autres termes, Microsoft souhaite privilégier l’utilisation de mots de passe forts, longs et uniques, et non les modifier régulièrement. Microsoft ne prévoit pas de modifier les exigences relatives à la longueur minimale du mot de passe, à son historique ou à sa complexité.

    La société note également que d'autres pratiques améliorent considérablement la sécurité même si elles ne figurent pas dans la stratégie de base qu'elle propose. L’authentification à deux facteurs, la surveillance d’activités de connexion inhabituelles ou l’application d’une liste noire de mots de passe sont explicitement mentionnées par Microsoft. Vous pouvez donc continuer à mettre à jour vos mots de passe si vous le souhaitez, mais même Microsoft vous dira que cela ne vous protégera pas.

    Source : Microsoft

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Windows 10 téléchargera automatiquement la mise à jour d'octobre 2018 sur votre appareil, mais vous laissera choisir le moment pour l'installer
    Windows 10 transmet à Microsoft l'historique d'activités de votre PC une fois connecté même si vous lui dites de ne pas le faire
    Windows 10 va supprimer automatiquement les mises à jour système qui causent des problèmes notamment des échecs de démarrage, après leur installation

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 798
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 798
    Points : 8 077
    Points
    8 077

    Par défaut

    Je ne suis pas certain que cela soit l'avis de la majorité des responsables en sécurité.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  3. #3
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    novembre 2006
    Messages
    396
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2006
    Messages : 396
    Points : 878
    Points
    878

    Par défaut

    Bonne nouvelle, ça évitera que certains notent le nouveau mot de passe sur un post it car ils l'ont oublié car changé déjà 18 fois parce qu'ils ont de l'ancienneté....
    Good job
    http://krossapp.com

    "S'adapter, c'est vaincre !"

  4. #4
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2009
    Messages
    1 026
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : avril 2009
    Messages : 1 026
    Points : 2 155
    Points
    2 155

    Par défaut

    J'ai de la peine à comprendre, même si sur le fond je suis d'accord.

    Pour moi leur rôle c'est de fournir les outils et fonctionnalités, pas de forcer la politique de ces clients (à la limite définir un comportement par défaut et voir donner des recommandations). Après pour ce qui concerne leur cloud ou service il font effectivement ce qu'ils veulent.

    Et si ce sujet leur tiens réellement à cœur, ils pourraient mettre en place une fonctionnalité de vérification de complexité de mot de passe un peu plus évoluée (avec utilisation d'un dictionnaire par exemple).

    Je ne suis pas certain que cela soit l'avis de la majorité des responsables en sécurité.
    Je pense que les trois quart moitié de ces responsables se basent sur les recommandations de Microsoft dans leur documentation pour justifier l'activation de ces fonctions (qui a tendance à emmerder tous le monde dans une organisation, ne nous mentons pas).

  5. #5
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2007
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : juillet 2007
    Messages : 21
    Points : 74
    Points
    74

    Par défaut

    Ah, enfin J

    Sur ce, je dépose ça là innocemment :


  6. #6
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2019
    Messages
    108
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2019
    Messages : 108
    Points : 325
    Points
    325

    Par défaut

    Il est vrai que devoir changer de mot de passe tout le temps devenait un peu compliqué. on était parfois obligé de le noter pour s'en souvenir et oui, cela était risqué. Comme ils le disent eux-mêmes, si le mot de passe n'a pas été compromis, il n'est pas nécessaire de le changer.

  7. #7
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 612
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 612
    Points : 120 433
    Points
    120 433

    Par défaut Microsoft se lance officiellement dans la lutte contre les changements obligatoires de mots de passe

    Microsoft se lance officiellement dans la lutte contre les changements obligatoires de mots de passe,
    une pratique que l'entreprise estime obsolète

    Dans un billet publié fin avril, Microsoft a affirmé que les politiques d'expiration de mot de passe adoptées jusqu'à présent, constituaient une mesure de sécurité inutile. La société a qualifié ces politiques comme étant anciennes, obsolètes et a annoncé son intention de les supprimer à partir de la mise à jour Windows 10 de mai. Le billet explique bien qu'une fois supprimés, les paramètres d'expiration de mot de passe devront être remplacés par des nouvelles implémentations des pratiques de sécurité plus modernes et plus performantes.

    Ces nouveaux paramètres de sécurité s'appliquent à Windows 10 v1903 et Windows Server. Microsoft a fait savoir que ces nouveaux paramètres ne forceraient plus les utilisateurs dont les comptes sont contrôlés par la stratégie de groupe d'un réseau donné à changer leurs mots de passe toutes les semaines ou tous les mois. Microsoft n'abandonne pas ses règles d'expiration de mot de passe dans tous les domaines, mais le billet explique clairement la position de la société qui pense que faire expirer les mots de passe ne sert à rien.

    Aaron Margosis, consultant chez Microsoft et auteur du billet en question, a déclaré : « Il ne fait aucun doute que l’état de la sécurité par mot de passe pose problème depuis longtemps. Lorsque les humains choisissent leurs propres mots de passe, ils sont trop souvent faciles à deviner ou à prédire. En cas de vol de mots de passe, il peut être difficile de détecter ou de restreindre leur utilisation non autorisée. S'il est évident qu'un mot de passe risque d'être volé, combien de jours peuvent être considérés comme une durée de temps acceptable pour continuer à permettre au voleur d'utiliser ce mot de passe volé ? La valeur par défaut de Windows est de 42 jours. Cela ne vous semble-t-il pas ridiculement long ? Eh bien, si, et pourtant notre base de référence actuelle dit 60 jours. L'expiration périodique du mot de passe est une mesure d'atténuation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu'il soit utile que notre base de référence applique une valeur spécifique ».

    Nom : mdp.png
Affichages : 3099
Taille : 156,0 Ko

    Pourquoi Microsoft veut changer ses perspectives en matière de sécurité ?

    Cette volonté de changer d’approche est en grande partie le résultat de recherches montrant que les mots de passe sont les plus susceptibles d’être devinés quand ils sont faciles à retenir pour les utilisateurs finaux (par exemple, lorsqu’ils se servent d’un nom ou d’une phrase d’un film ou d’un livre favori). Au cours de la dernière décennie, des pirates informatiques ont exploité des violations du mot de passe pour constituer des dictionnaires de millions de mots. Combinés à des cartes graphiques ultrarapides, les pirates peuvent émettre de nombreuses suppositions lors d'attaques hors ligne, ce qui se produit lorsqu'ils volent les hachages qui représentent le mot de passe de l'utilisateur en texte brut.

    Même lorsque les utilisateurs essaient de dissimuler leurs mots de passe faciles à retenir, en ajoutant des lettres ou des symboles aux mots, ou en remplaçant les “o“ par “0” et les “i” par “1”, les hackers peuvent utiliser des règles de programmation qui modifient les entrées du dictionnaire. Par conséquent, ces mesures offrent peu de protection contre les techniques modernes d’attaques par force brute.

    Les chercheurs sont de plus en plus parvenus à un consensus : les meilleurs mots de passe ont au moins 11 caractères, sont générés aléatoirement et sont composés de lettres majuscules et minuscules, de symboles (tels que%, * ou>) et de chiffres. Ces traits les rendent particulièrement difficiles à retenir pour la plupart des gens. Les mêmes chercheurs ont averti que rendre obligatoire la modification du mot de passe tous les 30, 60 ou 90 jours, ou à toute autre période, peut être préjudiciable pour de nombreuses raisons. Parmi elles, les exigences incitent les utilisateurs finaux à choisir des mots de passe plus faibles qu’ils ne choisiraient pas autrement. Un mot de passe qui était “P@$$w0rd1” devient “P@$$w0rd2” et ainsi de suite. Dans le même temps, les modifications obligatoires offrent peu d'avantages en termes de sécurité, car les mots de passe doivent être changés immédiatement en cas de véritable manquement plutôt qu'après un délai défini par une stratégie.

    Malgré le consensus grandissant parmi les chercheurs, Microsoft et la plupart des grandes entreprises n’ont pas voulu se prononcer contre les modifications périodiques du mot de passe. L’une des exceptions notables s’est produite en 2016, lorsque Lorrie Cranor, alors technologue en chef de la Commission fédérale du commerce, a annoncé l’avis de son propre employeur. Presque trois ans plus tard, Cranor a des followers.

    Nom : mot.png
Affichages : 2760
Taille : 363,3 Ko

    La proposition finale de Microsoft

    Dans un billet de blog publié le mois dernier et portant la mention FINAL, Margosis a avancé que :

    « Des recherches scientifiques récentes remettent en question la valeur de nombreuses pratiques de sécurité de mot de passe de longue date, telles que les stratégies d'expiration de mot de passe, et pointe plutôt vers de meilleures solutions telles que l'application de listes de mots de passe interdits (un excellent exemple étant la protection par mot de passe Azure AD) et l’authentification à facteurs multiples. Bien que nous recommandions ces alternatives, elles ne peuvent pas être exprimées ou appliquées avec nos lignes de base de configuration de sécurité recommandées, qui reposent sur les paramètres de stratégie de groupe intégrés de Windows et ne peuvent pas inclure de valeurs spécifiques au client ».

    Plus loin, il explique que

    « L'expiration périodique du mot de passe est un moyen de défense uniquement contre la probabilité qu'un mot de passe (ou un hachage) soit volé pendant son intervalle de validité et soit utilisé par une entité non autorisée. Si un mot de passe n’est jamais volé, il n’est pas nécessaire de le faire expirer. Et si vous avez la preuve qu'un mot de passe a été volé, vous agiriez probablement immédiatement plutôt que d'attendre l'expiration pour résoudre le problème.

    Margosis a clairement indiqué que les modifications n’affectaient en aucune manière la longueur, l’historique ou la complexité du mot de passe recommandé. Et, comme il l'a également souligné, Microsoft continue de demander aux utilisateurs d'utiliser l'authentification multifactorielle.

    Les modifications apportées aux paramètres de base de la sécurité de Microsoft ne modifieront pas les valeurs par défaut incluses dans les versions de serveur Windows, qui, selon Margosis, restent 42 jours, soit même moins que les 60 jours suggérés dans les anciens paramètres de base. Néanmoins, le changement de base est susceptible de donner des munitions aux employés lorsqu’ils plaident en faveur de changements au sein de leurs propres organisations. Jeremi Gosney, expert en sécurité des mots de passe et fondateur et PDG de Terahash, a également déclaré que cela pourrait également aider les entreprises à lutter contre les auditeurs, qui les trouvent souvent non conformes à moins d’avoir adopté des modifications de mot de passe dans un délai déterminé.

    « Microsoft se lance officiellement dans la lutte contre les changements obligatoires de mots de passe », a déclaré Gosney.

    Nom : passe.png
Affichages : 2787
Taille : 54,5 Ko

    Les modifications apportées aux lignes de base Windows 10 v1809 et Windows Server 2019 incluent:
    • L'activation de la nouvelle stratégie « Activer les options d'atténuation svchost.exe », qui applique une sécurité plus stricte sur les services Windows hébergés dans svchost.exe, stipule notamment que tous les fichiers binaires chargés par svchost.exe doivent être signés par Microsoft et que le code généré de manière dynamique n'est pas autorisé. Portez une attention particulière à celui-ci, car cela pourrait entraîner des problèmes de compatibilité avec du code tiers essayant d'utiliser le processus d'hébergement svchost.exe, y compris les plugins tiers de cartes à puce ;
    • La possibilité de configurer le nouveau paramètre de confidentialité des applications « Laisser les applications Windows activer la voix lorsque le système est verrouillé » de telle manière afin que les utilisateurs ne puissent pas interagir avec les applications utilisant la voix lorsque le système est verrouillé ;
    • La désactivation de la résolution de nom de multidiffusion (LLMNR) pour atténuer les menaces d'usurpation de serveur ;
    • La limitation du type de nœud NetBT au nœud P, afin d’interdire l'utilisation de la diffusion pour enregistrer ou résoudre les noms, ainsi que pour atténuer les menaces d'usurpation de serveur. Microsoft a ajouté un paramètre à ADMX personnalisé « MS Security Guide » pour permettre la gestion de ce paramètre de configuration via la stratégie de groupe ;
    • La correction d'un oubli dans la ligne de base du contrôleur de domaine en ajoutant les paramètres d'audit recommandés pour le service d'authentification Kerberos ;
    • La suppression des stratégies d'expiration de mot de passe nécessitant des modifications périodiques du mot de passe ;
    • La suppression de la méthode de chiffrement spécifique du lecteur BitLocker et des paramètres de renforcement du chiffrement. La ligne de base a requis le cryptage BitLocker le plus puissant qui soit. Microsoft supprime cet élément pour plusieurs raisons. Le cryptage par défaut est 128 bits et ses experts en cryptographie lui ont expliqué qu'il n'y a aucun risque connu de rupture dans un avenir prévisible. Sur certains matériels, il peut y avoir une dégradation notable des performances allant de 128 à 256 bits. Enfin, de nombreux périphériques, tels que ceux de la ligne Microsoft Surface, activent BitLocker par défaut et utilisent les algorithmes par défaut. La conversion de ceux-ci en 256 bits nécessite tout d'abord de déchiffrer les volumes, puis de les rechiffrer, ce qui crée une exposition temporaire à la sécurité ainsi que des répercussions sur l'utilisateur.

    Source : Microsoft

    Voir aussi :

    Computex 2019 : Microsoft présente sa vision pour le futur de son système d'exploitation, un système toujours connecté et sécurisé par défaut
    Salaires IT : Oracle, SAP et Microsoft sont les entreprises IT qui paient le mieux en France, selon Glassdoor
    Microsoft annonce la disponibilité de TypeScript 3.5 qui apporte une amélioration de la vitesse, et de nombreuses optimisations
    La plupart des utilisateurs de Windows 10 exécutent toujours une mise à jour de plus d'un an, après le déploiement de deux mises à jour majeures
    La MàJ Windows 10 mai 2019 est disponible et apporte Windows Sandbox, une machine virtuelle légère pour exécuter des apps potentiellement dangereuses
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  8. #8
    Membre habitué
    Profil pro
    Collégien
    Inscrit en
    janvier 2008
    Messages
    186
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Collégien

    Informations forums :
    Inscription : janvier 2008
    Messages : 186
    Points : 147
    Points
    147

    Par défaut

    Sur ce, je dépose ça là innocemment :
    oui enfin y a les attaques par dictionnaire aussi

Discussions similaires

  1. Bloquer les IP qui essayent des mots de passe
    Par gilles_906 dans le forum Développement
    Réponses: 15
    Dernier message: 28/11/2012, 10h29
  2. Réponses: 7
    Dernier message: 26/06/2011, 16h25
  3. Prevenir une expiration de mot de passe.
    Par jmjmjm dans le forum Développement
    Réponses: 0
    Dernier message: 05/01/2011, 11h17
  4. [SAMBA + OpenLDAP] Expiration des mots de passe de clients Linux
    Par slymira dans le forum Administration système
    Réponses: 1
    Dernier message: 09/11/2010, 21h58
  5. [XL-2003] Supprimer les lignes qui contiennent un mot
    Par GOMMME dans le forum Macros et VBA Excel
    Réponses: 9
    Dernier message: 05/09/2010, 20h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo