Comment Ad stocke-t-il les mots de passe ?

Le mystère du mot de passe dans Active Directory : comment AD protège (ou tente de protéger) vos identifiants

Active Directory (AD), le service d’annuaire de Microsoft, gère des millions d’identifiants utilisateurs dans les entreprises du monde entier. La sécurité de ces identifiants, et en particulier des mots de passe, est donc cruciale. Alors, comment AD stocke-t-il ces données sensibles ? Contrairement à une idée répandue, AD ne stocke pas les mots de passe en clair. La réponse réside dans l’attribut unicodePwd.

L’attribut unicodePwd, présent à la fois dans la base de données AD et LDS (Lightweight Directory Services), est le cœur du système de stockage des mots de passe d’Active Directory. Au lieu de stocker le mot de passe tel quel, unicodePwd contient une représentation hachée du mot de passe. Ce hachage est une fonction à sens unique : il est impossible de retrouver le mot de passe original à partir du hachage. Même avec un accès direct à la base de données, obtenir le mot de passe original serait impossible sans casser la fonction de hachage, une tâche extrêmement complexe et chronophage, même pour les calculateurs les plus puissants.

Cependant, la sécurité ne repose pas uniquement sur la fonction de hachage elle-même. L’accès en écriture à l’attribut unicodePwd est strictement contrôlé. Seuls certains comptes et processus autorisés, généralement ceux gérés par les administrateurs et les outils spécifiques d’AD, peuvent modifier cette valeur. Ceci limite considérablement le risque de modification malveillante ou accidentelle des mots de passe hachés.

Un paradoxe : protection contre la lecture directe, vulnérabilité potentielle ?

Bien qu’AD protège contre la lecture directe de unicodePwd, il est crucial de comprendre que la sécurité du système repose sur l’intégrité de l’ensemble de l’infrastructure. Une faille de sécurité au niveau du serveur AD, une attaque par déni de service (DoS), ou un accès non autorisé à des outils administratifs peuvent compromettre cette protection. De plus, l’utilisation de méthodes de hachage obsolètes ou vulnérables pourrait rendre le système plus susceptible aux attaques par force brute ou par collision. La mise à jour régulière des algorithmes de hachage utilisés par AD est donc essentielle pour maintenir une sécurité optimale.

En résumé, Active Directory stocke les mots de passe sous forme de hachage dans l’attribut unicodePwd. Cette méthode offre une protection contre la lecture directe, mais la sécurité globale dépend de multiples facteurs, y compris l’intégrité du système, la gestion des accès et la robustesse des algorithmes de hachage utilisés. Il est donc primordial de maintenir à jour le système AD, de suivre les meilleures pratiques en matière de sécurité et de surveiller régulièrement l’intégrité de l’infrastructure. La sécurité des mots de passe dans AD n’est pas une simple question de stockage, mais un écosystème complexe qui nécessite une attention constante.