Microsoft a déployé sur tous les Windows une nouvelle stratégie de sécurité par défaut permettant de mieux protéger les postes Windows contre des attaques Brute Force sur les comptes administrateurs locaux.
Les attaques Brute force ne sont pas franchement parmi les attaques les plus sophistiquées employées par les cyberattaquants. Cela consiste simplement à essayer de s’authentifier en essayant différents mots de passe (souvent tirés d’un dictionnaire de mots de passe dérobés) jusqu’à ce que ça passe.
D’une manière générale, les comptes Windows (notamment depuis l’utilisation des comptes Azure AD et Microsoft) sont plutôt bien protégés contre ces attaques avec des mécanismes actifs par défaut qui repèrent les échecs successifs et, selon les cas et les politiques d’entreprise, bloquent toute nouvelle tentative pendant plusieurs minutes ou heures voire gèlent carrément le compte.
Mais il y a des exceptions. Depuis cet été, Microsoft a entrepris une vaste initiative pour réduire ces exceptions et appliquer des blocages « anti brute force » partout où de telles défenses n’étaient pas encore activées par défaut.
Cela a commencé cet été avec une mise à jour dans Windows 11 « Insider » pour interdire de telles attaques sur les demandes d’accès à distance par RDP.
En Septembre, Microsoft avait déployé une protection pour éviter de telles attaques Brute Force sur le protocole SMB sur les comptes « administrateurs locaux » comme sur les comptes « active directory ».
Depuis Mardi dernier, Microsoft a déployé sur tous les Windows supportés (et notamment Windows 10 et Windows 11) un nouveau correctif qui active les stratégies « Lockout » sur les comptes « Administrateurs locaux ». Désormais, quiconque essaye de se connecter à Windows (en RDP ou directement sur le PC) avec un compte administrateur local se voit refuser l’accès pour au moins 10 minutes après 10 échecs successifs de connexion. Cette stratégie de Lockout est définie dans la base de registres au niveau de « Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policies ». Sur les nouvelles installations Windows, l’activation de cette défense accrue est activée par défaut. Sur les machines déjà installées, il faut apparemment l’activer manuellement.
Dit autrement, là où un cyberattaquant avait autrefois l’occasion d’automatiser et tester 90 000 mots de passe en 5 minutes sur des machines à la sécurité non paramétrée, il lui faudra au minimum 50 heures désormais pour réaliser un même test. Bien évidemment, les RSSI et DSI ont la possibilité de définir des stratégies plus sévères (comme par exemple un blocage temporaire du compte après 3 essais infructueux) mais au moins, par défaut, les PC Windows sont désormais mieux protégés face aux attaques Brute Force.