SysFailure

Imprimer

Tests d'intrusion sur Windows

.

Récupération du mot de passe administrateur

Dans 85% des cas, l'ordinateur dans la salle de réunion n'est pas protégé (accès physique). Les 15% qui restent sont plus délicats, et correspondent par exemple à la présence d'un disque dur chiffré. Un peu d'ingéniérie sociale est alors nécessaire, auprès du support utilisateurs, afin de récupérer les clés de déchiffrement.

La récupération des mots de passe Windows peut se faire

  • directement sur la machine, avec des outils comme mimikatz, en examinant les tâches planifiées ou les logiciels spécifiques, etc.
  • à partir des condensats, lorsqu'ils sont "cassables", c'est-à-dire qu'ils correspondent à des mots de passe triviaux ou déjà connus (par exemple le mot de passe "standard" pour l'entreprise/pour le compte).

Il est aussi possible de se passer des mots de passe, en n'utilisant que leur condensat (Attaque pass-the-hash).

Parfois, l'auditeur a de la chance. Ainsi, on peut trouver des tâches planifiées ou des scripts contenant les mots de passe codés en dur. Si les machines sont de surcroît produites à partir d'un environnement standardisé (master CD), le reste de l'audit en devient presque trivial.

Une remarque intéressante, concernant Windows8 et les politiques de groupes (gpp). Le mot de passe est présent, chiffré en dur avec une clé connue, donc facile à déchiffrer.

En conclusion sur la récupération des mots de passe : il ne faut surtout pas négliger les choses simples (de type password123, etc.). Cela marche encore très bien.