[FM38]

Bonjour à tous,

Je suis en stage dans une entreprise et mon sujet de stage est l'étude de la PSSI en vigueur.

Ayant fini l'étude de la PSSI je doit vérifier si les mots de passe sont bien robuste.

Pour cela, j'ai utilise le logiciel Cain & Abel, mais mon souci est que je n'arrive pas à voir les mots de passe des sessions, j'arrive juste à voir les mots de passe de certain site. (Je n'arrive pas à voir à partir du protocole LDAP)

J'ai regardé sur internet, mais je ne trouve pas, ;( alors si quelqu'un pouvait m'orienter vers un site ou une solution?

Cordialement

[akway]

Salut l' ami,

Si je comprend bien ton message, tu souhaiterais que Cain & Abel te fournisse les mots de passe des comptes d'utilisateurs du domaine.

A ma connaissance Cain & Abel installé sur un poste client ne te vomira pas les pass des utilisateurs du domaine et même s'il te les donnaient, cela ne t'avancerai pas sur les restrictions appliquées par le serveur.(s 'il le fait merci de me prévenir, je pars ouvrir un âshram à Pondicheri)

Deux cas de figure :

-Ton entreprise te demande de faire un audit type "boite noire"  ou tu ne travailleras pas en partenariat avec le service I.T.(admin systeme, reseaux, techniciens). Dans ce cas on ne te fourni rien, tu peux alors creer un compte et changer ton pass "à tâtons" pour déduire les password policies, entrer plusieurs fois un pass erroné pour voir si le compte se désactive temporairement...

-Ton entreprise ne souhaite pas te faire perdre de temps et/ou ne souhaite pas se faire bruteforcer. Dans ce cas tu peux poliement aller voir l'admin et lui demander quelques informations sur sa Password policy (expiration, taille minimale, alpha/numérique...)

infos ici.



Bonne chance !

[FM38]

Merci de ta réponse Akway, mais ici je suis plus dans la situation de boite grise. J'ai un compte administrateur local ce qui m'a permis d'installer Cain & Abel.

De plus, je sais qu'on a pas de limitation dans la taille des mots de passe, pas de robustesse particulière (droit au mot de passe du dictionnaire...).(La vision de l'entreprise est plus dans la simplicité de mot de passe car ils craignent les post-it avec les mots de passe inscrit dessus.

Je veux juste vérifier si  les conseils donnés par le service informatique a bien été entendu par le personnel.

J'ai réussi à obtenir les mots de passe des utilisateurs utilisant mon PC, mais je ne sais pas comment réussir à obtenir les mots passe des autres PC de l'entreprise.

Merci de vos réponses.

Cordialement.

[akway]

Pour faire court, l'administrateur d'une entreprise N' EST PAS SUPPOSE détenir les mots de passe des utilisateurs en clair.

Il peut les reinitialiser, les supprimer, mais a aucun moment il ne doit les avoir en clair sous les yeux ou les demander à l'utilisateur.

Ce qui souleve un des problemes importants rencontrés par les auditeurs, a savoir ne pas entrer dans l'illégalité en scanant comme une brute, en provoquant un DoS sur un service ou une machine, ou acceder a des données sensibles. Il faut bien procédurer les choses et  définir ton champ d'action avec l'administrateur.

Je veux juste vérifier si  les conseils donnés par le service informatique a bien été entendu par le personnel.

En voila une chose étrange, les utilisateurs iront toujours au plus simple, si un utilisateur defini un mot de passe trop faible, c'est tout le réseau qui est menacé et qui ne tardera pas à tomber face à un bidouilleur un tant soit peu motivé.Et dans ce cas, l'utilisateur ne peut être tenu pour responsable du laxisme de l'administrateur.

ex : mot de passe local troué > élévation de privilege > backdoor > acces a distance > scan réseau > ... > GAME OVER.

Gros conseil, forcer les utilisateurs à définir un mot de passe fort via une politique de password centralisée, quitte à reset quelques comptes à chaque retours de vacances scolaires car l'utilisateur l' aura oublié.

La vision de l'entreprise est plus dans la simplicité de mot de passe car ils craignent les post-it avec les mots de passe inscrit dessus.

Forme plutot les utilisateurs à ne pas faire ça, et paie leur le programme d'entrainement cérébrale du docteur CommComm.

Donc a mon avis, si l'administrateur n' a pas défini de politique de sécurité pour les mots de passe, tu ne pourras pas faire d'audit sur cette derniere.

Après il serai tout a fait possible de récupérer les mots de passe des employés de maniere illégale : fishing, Social engineering, menace au cran d'arret devant la machine a café...)

[FM38]

Merci pour toutes ces réponses censé , j'ai parlé avec mon tuteur et il ne veux pas allé dans l'illégalité et il m'a dit que c'était normal que je ne puisse pas voir les mots de passe des utilisateurs du domaine. (à part dans l'illégalité fishing, menace au cran d'arrêt...).

Donc je te remercie de ces réponses.

A bientôt.

Cordialement.

FM38

[FM38]

Mais je précise que l'on peut voir les mots de passe en local... grâce aux attaques par dictionnaire, brute force...

Cordialement

[s3th]

ou pas, de nouveau tout dépend de la politique d'entreprise. A savoir, disque crypté, bios password, démarrage intérdit sur CD ou usb, etc...