Récemment, un groupe de chercheurs a décrit un scénario dans lequel des questions de récupération de mot de passe étaient utilisées pour pénétrer dans les PC Windows 10. Cela a conduit certains à suggérer de désactiver la fonctionnalité. Mais vous n’avez pas besoin de le faire si vous utilisez un ordinateur à la maison.
Alors, que se passe-t-il ici?
Comme Ars Technica signalé pour la première fois, Windows 10 a ajouté la possibilité de définir des questions de récupération de mot de passe sur les comptes locaux au cours de l'année écoulée. Les chercheurs en sécurité se sont penchés sur cette question et ont découvert que sur un réseau d'entreprise, cela pouvait entraîner une vulnérabilité potentielle.
Dès le départ, vous pouvez y repérer deux points importants:
- Tout d’abord, l’ensemble du scénario repose sur des ordinateurs connectés à un réseau de domaine - le type que vous trouverez sur un réseau d’entreprise avec des ordinateurs gérés.
- Deuxièmement, la vulnérabilité s'applique aux comptes locaux. C’est particulièrement intéressant car si votre PC fait partie d’un domaine, vous utilisez presque certainement un compte utilisateur de domaine centralisé et non un compte local. Et les questions de sécurité ne sont pas autorisées par défaut sur les comptes de domaine.
Il y a aussi un troisième point qui est encore plus important. Tout cela nécessite que l'acteur malveillant obtienne d'abord un accès de niveau administrateur sur le réseau. À partir de là, ils pourraient ensuite identifier les machines connectées au réseau qui ont encore des comptes locaux, puis ajouter des questions de sécurité à ces comptes.
Pourquoi s'embêter?
L'idée est que si les administrateurs découvrent et révoquent l'accès de l'acteur malveillant, changeant par la suite tous les mots de passe, l'acteur pourrait, en théorie, retourner dans le réseau vers ces machines et utiliser leurs questions personnalisées pour réinitialiser ces mots de passe et retrouver un accès complet. .
Les chercheurs ont suggéré qu'ils pourraient également utiliser un outil de hachage pour déterminer le mot de passe précédent, puis restaurer l'ancien mot de passe pour masquer leur accès. Le problème ici est que la plupart des réseaux de domaines n'autorisent pas les mots de passe réutilisés par défaut.
Quand Ars Technica a demandé un commentaire à Microsoft, la réponse a été courte:
La technique décrite nécessite qu'un attaquant possède déjà un accès administrateur
Bien que cela puisse sembler obtus au premier abord, ce que Microsoft sous-entend est juste, et cela nous amène au véritable nœud du problème. Une fois qu'un acteur malveillant a un accès de niveau administratif sur un réseau, les dommages potentiels et les voies d'attaque vont bien au-delà de simples astuces de réinitialisation de mot de passe. Et si un réseau est suffisamment robuste pour empêcher l'acteur malveillant de gagner un niveau administratif, alors tout cela est sans objet.
Donc, à la fin, notre attaquant malveillant devrait obtenir un accès de niveau administrateur à un réseau d'entreprise qui utilise un domaine Windows, trouver des ordinateurs qui pourraient avoir des comptes locaux sur eux, puis créer des questions de sécurité afin qu'ils puissent y revenir. ordinateurs s'ils sont découverts et verrouillés. Et nous sommes censés nous en inquiéter lorsque leur accès de niveau administrateur leur donne déjà la possibilité de faire bien plus de mal.
Je l'ai. Alors, est-ce que cela s'applique à moi?
Si vous utilisez un ordinateur Windows 10 à la maison, la réponse courte est presque certainement pas. Et voici pourquoi:
- Votre ordinateur personnel n'est probablement pas associé à un domaine.
- Même si c'était le cas, vous devrez utiliser un compte local et la plupart des utilisateurs de Windows 10 utilisent probablement un compte Microsoft pour se connecter. En effet, Windows 10 nécessite l'utilisation d'un compte Microsoft pour de nombreuses fonctionnalités. fonctionne correctement . Et tandis que vous pouvez prendre quelques étapes supplémentaires pour créer un compte local au lieu de cela, Microsoft n'en fait pas le choix le plus évident. Si vous utilisez un compte Microsoft, vous n'avez pas la possibilité d'utiliser les questions de réinitialisation de mot de passe.
- Pour profiter de cela, quelqu'un devrait avoir un accès distant ou physique à votre PC. Et avec ce niveau d'accès, les questions de réinitialisation de mot de passe sont le cadet de vos soucis.
Il est donc très probable qu'aucune de ces recherches ne s'applique à vous. Mais même si vous utilisez un compte local joint à un domaine, tout cela se résume à une série de questions séculaires. À quel point de commodité devez-vous renoncer au nom de la sécurité? Inversement, à quel niveau de sécurité devez-vous renoncer au nom de la commodité?
Dans ce cas, les chances d'un mauvais acteur d'accéder à votre machine et d'utiliser des questions de sécurité pour obtenir le contrôle total sont incroyablement faibles. Et les chances d'oublier votre mot de passe et d'avoir besoin des questions sont un peu plus élevées. Faites le point sur votre situation et faites le meilleur choix pour vous.
