Un mot de passe « conforme » n’est pas un mot de passe fort

La même scène se répète à chaque audit interne : à peine la base des mots de passe de l’Active Directory récupérée, une bonne partie tombe en quelques minutes, parfois quelques heures. Non pas grâce à des machines miraculeuses, mais parce que les mots de passe choisis sont, tout simplement, devinables. Cet article détaille pourquoi ces secrets cèdent si vite, quelles habitudes un audit exploite concrètement, et surtout comment inverser la tendance.

Deviner plutôt que forcer

Contrairement à l’image du pirate qui essaie des milliards de combinaisons au hasard, un auditeur travaille surtout par anticipation. Il part d’un dictionnaire de mots de passe déjà vus (fuites publiques, mots courants, prénoms, noms d’équipes sportives) puis applique des règles de mutation qui reproduisent les réflexes humains : une majuscule au début, un chiffre à la fin, un caractère spécial pour « faire sérieux ». Cette approche est infiniment plus rapide que la force brute pure, parce qu’elle emprunte les mêmes chemins que ceux suivis par la plupart des utilisateurs.

Pour rappel, une base de mots de passe volée ne contient pas les mots de passe en clair mais leur empreinte (un hash), le résultat d’un calcul à sens unique. L’attaquant devine un mot, calcule son empreinte et la compare à celles de la base. Tout se passe sur sa machine, sans jamais solliciter le système visé, donc sans alerte ni blocage.

Résultat : les grands classiques tombent immédiatement. Le nom de la société suivi d’une année, une saison, une ville avec son code postal, le tout agrémenté d’un « ! » final pour satisfaire la fameuse règle de complexité :

Societe2024!
Printemps2025
Bienvenue1
Paris75015

Ce dictionnaire n’a rien de générique : il s’adapte au contexte de l’organisation auditée, à commencer par sa géographie. Le nom de la ville et le code postal du site, comme Paris75015 ci-dessus, reviennent si souvent qu’ils figurent parmi les premières pistes testées. La BOX Oxyscan automatise ce réglage : on y renseigne la zone géographique de l’audit, et le moteur de cassage en dérive les variantes locales (communes voisines, villes, codes postaux) à tester en priorité.

Paramètres d'enrichissement du cracking dans la BOX Oxyscan : analyse géographique fondée sur la ville et le code postal, et analyse du site web de l'organisation

D’où viennent les empreintes cassées

Une question revient souvent : comment obtient-on cette base d’empreintes ? Sur un domaine Windows, tous les condensats des comptes sont stockés dans un fichier unique, la base NTDS.dit, présente sur chaque contrôleur de domaine. Un attaquant qui parvient à un accès privilégié en extrait une copie, puis travaille dessus tranquillement, hors ligne. C’est précisément pour cela qu’une bonne hygiène des mots de passe reste indispensable même quand le reste du système paraît bien protégé : le jour où cette base fuite, seuls des mots de passe robustes tiennent encore.

Le vrai problème : l’entropie

L’entropie mesure l’imprévisibilité d’un mot de passe. Un mot de passe long mais prévisible (un mot du dictionnaire agrémenté de substitutions évidentes) a une faible entropie : il paraît compliqué à un humain, mais pas à un ordinateur qui teste des milliards de candidats en suivant exactement les mêmes schémas prévisibles. À l’inverse, quatre mots sans lien tirés au hasard offrent une entropie bien plus élevée tout en restant mémorisables.

En clair : la longueur compte plus que les caractères biscornus. Cheval!Agrafe7Bocal vaut bien mieux que P@ssw0rd, et se retient sans effort. Un attaquant devine le second en une fraction de seconde et bute des années sur le premier.

C’est aussi la logique retenue par les référentiels officiels. Le NIST, dans sa publication SP 800-63B, comme l’ANSSI dans ses recommandations, placent aujourd’hui la longueur et la vérification contre les fuites connues au premier plan, plutôt que les anciennes règles de complexité imposée qui, en pratique, produisent surtout des mots de passe prévisibles.

Les mauvaises habitudes exploitées

Au-delà des mots de passe faibles pris isolément, ce sont surtout des habitudes collectives qui font tomber les organisations :

  • la réutilisation du même mot de passe entre plusieurs comptes, professionnels et personnels : une fuite ailleurs, et toute l’entreprise se retrouve exposée (le fameux credential stuffing) ;
  • les variantes saisonnières induites par une rotation trop fréquente, qui transforme mécaniquement Ete2024 en Automne2024 puis en Hiver2025 ;
  • les mots de passe par défaut jamais changés sur un équipement réseau, un compte de service ou un logiciel fraîchement installé ;
  • les schémas d’entreprise partagés, où tout le monde connaît la « recette maison » de construction du mot de passe.

Ces habitudes sont d’autant plus dangereuses qu’elles restent invisibles dans les indicateurs classiques : une politique peut afficher « 100 % de mots de passe conformes » tout en étant massivement cassable.

Ce qui marche vraiment

La bonne hygiène des mots de passe n’a rien de contraignant si l’on vise juste. Les recommandations suivantes, éprouvées sur le terrain et alignées sur les référentiels officiels :

  • privilégier des phrases de passe longues plutôt que des suites de caractères tarabiscotés ;
  • déployer un gestionnaire de mots de passe pour que chaque compte dispose d’un secret unique que personne n’a à mémoriser ;
  • activer l’authentification multifacteur partout où c’est possible : un mot de passe cassé ne suffit alors plus à entrer ;
  • bannir les mots de passe déjà compromis en les comparant à des dictionnaires publics de fuites (un service comme HaveIBeenPwned permet ce contrôle) ;
  • arrêter la rotation systématique tous les 90 jours, qui pousse aux variantes prévisibles, au profit d’un changement uniquement en cas de suspicion de compromission.

Côté Active Directory, plusieurs de ces mesures s’outillent directement : filtres interdisant les termes bannis, longueur minimale relevée, contrôle contre les listes de fuites. Un audit met justement en évidence la proportion de comptes au mot de passe faible ou réutilisé, ce qui permet de prioriser les corrections là où le risque est réel.

Conclusion

Si tant de mots de passe tombent en audit, ce n’est pas par prouesse technique : c’est parce que les mêmes schémas reviennent partout. La bonne nouvelle, c’est que l’inverse est vrai aussi. Quelques règles simples, cohérentes avec les directives du NIST et de l’ANSSI, suffisent à faire passer une organisation du statut de cible facile à celui d’objectif coûteux, donc découragé.

Conseils : miser sur la longueur avec des phrases de passe, attribuer un secret unique par compte via un gestionnaire, activer l’authentification multifacteur partout, et adopter une politique Active Directory qui bannit les mots de passe compromis plutôt que d’imposer des changements aussi fréquents qu’inutiles.

Pour aller plus loin

Picture of REDTEAM OXYDIAN

REDTEAM OXYDIAN

L'équipe REDTEAM est en charge de la réalisation des audits intrusifs

Audit Gratuit

Bénéficiez d’un AUDIT GRATUIT, sans engagement !

Oxydian vous offre l’opportunité d’évaluer rapidement votre niveau de maturité en cybersécurité, lors d’une visioconférence de 15 à 30 minutes.

Echangez directement avec un expert, identifiez vos besoins et recevez des recommandations 100% personnalisées, avec un rapport hiérarchisé par priorité.

Vous souhaitez avancer par vous-même ?

Un auto-test en ligne est également disponible pour vous offrir un premier aperçu de votre niveau de sécurité, en calculant votre cyberscore.