Non, vous n’avez pas besoin de désactiver les questions de récupération de mot de passe sous Windows 10



Récemment, des experts en sécurité ont mis en lumière une méthode d’exploitation des questions de récupération de mot de passe pour compromettre des ordinateurs sous Windows 10. Cette découverte a soulevé des inquiétudes, certains allant jusqu’à suggérer la désactivation de cette fonctionnalité. Cependant, si vous êtes un utilisateur domestique, cette mesure n’est généralement pas nécessaire.

Que révèle cette problématique ?

Comme l’a initialement rapporté Ars Technica, Windows 10 a introduit récemment la possibilité de configurer des questions de sécurité pour les comptes locaux. Des chercheurs en sécurité ont analysé ce dispositif et ont constaté qu’il pouvait présenter une faille de sécurité, particulièrement dans un environnement de réseau d’entreprise.

Deux aspects cruciaux se dégagent de cette analyse :

Premièrement, ce scénario d’attaque concerne principalement les ordinateurs intégrés à un réseau de domaine, typique des environnements d’entreprise avec une gestion centralisée des machines. Deuxièmement, la vulnérabilité affecte les comptes locaux. Or, dans un environnement de domaine, les utilisateurs exploitent généralement des comptes de domaine centralisés plutôt que des comptes locaux. De plus, les questions de sécurité ne sont pas activées par défaut pour les comptes de domaine.

Un troisième point, d’une importance capitale, doit être souligné : l’attaquant doit au préalable obtenir un accès de niveau administrateur au réseau. Avec ces privilèges, il pourrait identifier les machines du réseau utilisant encore des comptes locaux et y ajouter des questions de sécurité.

Pourquoi cette manœuvre?

L’idée est que si l’accès de l’attaquant est découvert et révoqué, et que tous les mots de passe sont modifiés, celui-ci pourrait, en théorie, réintégrer le réseau via les machines compromises et utiliser les questions de sécurité pour réinitialiser les mots de passe et rétablir son accès.

Les chercheurs ont également évoqué la possibilité d’utiliser un outil de hachage pour déterminer l’ancien mot de passe, puis le rétablir afin de masquer leur intrusion. Néanmoins, la plupart des réseaux de domaine interdisent la réutilisation des mots de passe par défaut.

La réponse de Microsoft, sollicitée par Ars Technica, a été concise :

« La technique décrite nécessite qu’un attaquant possède déjà un accès administrateur. »

Cette affirmation, bien qu’elle puisse sembler lapidaire, est pertinente et souligne le cœur du problème : une fois qu’un attaquant a un accès administratif à un réseau, les possibilités de dégâts et les vecteurs d’attaque sont considérables et dépassent largement le simple piratage de mots de passe. Si un réseau est correctement sécurisé pour empêcher un accès administratif illégitime, cette problématique n’est pas pertinente.

En résumé, un attaquant doit obtenir un accès de niveau administrateur à un réseau d’entreprise, identifier les machines utilisant des comptes locaux et configurer des questions de sécurité pour pouvoir y revenir en cas de détection et de blocage. Ces préoccupations sont toutefois mineures comparées aux possibilités offertes par un accès administratif.

Ces informations s’appliquent-elles à mon cas ?

Si vous utilisez un ordinateur personnel sous Windows 10 à domicile, la réponse est très probablement non. Voici pourquoi :

Votre ordinateur n’est généralement pas connecté à un domaine. De plus, même si c’était le cas, vous utiliseriez vraisemblablement un compte Microsoft pour vous connecter, et non un compte local. Windows 10 favorise l’utilisation d’un compte Microsoft pour optimiser certaines fonctionnalités. Bien qu’il soit possible de créer un compte local, ce n’est pas l’option la plus intuitive. Si vous utilisez un compte Microsoft, l’option des questions de sécurité pour la réinitialisation de mot de passe n’est pas disponible.

Pour que cette vulnérabilité soit exploitée, un attaquant devrait avoir un accès physique ou à distance à votre ordinateur. Or, avec un tel niveau d’accès, les questions de sécurité sont le moindre de vos soucis.

Il est donc fort probable que ce scénario d’attaque ne vous concerne pas. Cependant, même si vous utilisez un compte local au sein d’un domaine, vous devez peser le pour et le contre entre commodité et sécurité. Dans ce cas, la probabilité qu’un individu malveillant accède à votre ordinateur et utilise les questions de sécurité pour prendre le contrôle total est extrêmement faible. À l’inverse, le risque d’oublier votre mot de passe et d’avoir besoin des questions de sécurité est un peu plus élevé. Évaluez votre situation et prenez la décision la plus appropriée.