Pour faire court, l'administrateur d'une entreprise N' EST PAS SUPPOSE détenir les mots de passe des utilisateurs en clair.
Il peut les reinitialiser, les supprimer, mais a aucun moment il ne doit les avoir en clair sous les yeux ou les demander à l'utilisateur.
Ce qui souleve un des problemes importants rencontrés par les auditeurs, a savoir ne pas entrer dans l'illégalité en scanant comme une brute, en provoquant un DoS sur un service ou une machine, ou acceder a des données sensibles. Il faut bien procédurer les choses et définir ton champ d'action avec l'administrateur.
Je veux juste vérifier si les conseils donnés par le service informatique a bien été entendu par le personnel.
En voila une chose étrange, les utilisateurs iront toujours au plus simple, si un utilisateur defini un mot de passe trop faible, c'est tout le réseau qui est menacé et qui ne tardera pas à tomber face à un bidouilleur un tant soit peu motivé.Et dans ce cas, l'utilisateur ne peut être tenu pour responsable du laxisme de l'administrateur.
ex : mot de passe local troué > élévation de privilege > backdoor > acces a distance > scan réseau > ... > GAME OVER.
Gros conseil, forcer les utilisateurs à définir un mot de passe fort via une politique de password centralisée, quitte à reset quelques comptes à chaque retours de vacances scolaires car l'utilisateur l' aura oublié.
La vision de l'entreprise est plus dans la simplicité de mot de passe car ils craignent les post-it avec les mots de passe inscrit dessus.
Forme plutot les utilisateurs à ne pas faire ça, et paie leur le programme d'entrainement cérébrale du docteur CommComm.
Donc a mon avis, si l'administrateur n' a pas défini de politique de sécurité pour les mots de passe, tu ne pourras pas faire d'audit sur cette derniere.
Après il serai tout a fait possible de récupérer les mots de passe des employés de maniere illégale : fishing, Social engineering, menace au cran d'arret devant la machine a café...)