Activation des règles de mot de passe pour Office 2010

Ceci est la traduction d’un article de blog. Vous trouverez la version originale sur https://blogs.technet.com/office2010/archive/2009/10/16/enabling-password-rules-for-office-2010.aspx.

Bonjour, je m’appelle Alan Myrvold, et je suis testeur de sécurité au sein de l’équipe Office Trustworthy Computing (TWC). Ce billet présente la nouvelle fonctionnalité de règles de mot de passe dans Office 2010.

Dans plusieurs versions de Word, Excel et PowerPoint, il était possible de protéger les documents par mot de passe en définissant le paramètre « Mot de passe pour la lecture ». Nous avons pensé que nous pourrions améliorer la possibilité d’imposer des règles de puissance de mot de passe, à l’image de la marche que vous pouvez être amené à suivre pour vous connecter à votre ordinateur sur le lieu de votre travail.

Dans Office 2010, le mot de passe de chiffrement peut être défini à l’aide du mode Office Backstage :

Ce mot de passe peut également être défini dans la boîte de dialogue Options générales (General Options) à partir de la boîte de dialogue Enregistrer sous (Save As), en tant que mot de passe pour la lecture (Password to open), comme dans les versions antérieures d’Office.

Le chiffrement par mot de passe n’est que l’une des façons de protéger des informations sensibles. Suivant les besoins de votre entreprise et les risques courus, l’utilisation d’IRM ou de BitLocker peut s’avérer un meilleur choix.

Pourquoi la complexité du mot de passe est-elle importante ?

Même si Word et Excel ont traditionnellement utilisé un chiffrement RC4 40 bits, l’utilisation d’ordinateurs plus rapides signifie que les clés sur 40 bits sont désormais considérées comme faibles. Le format Office Open XML (*.docx, *.xlsx, *.pptx) introduit dans Office 2007 nous a donné l’occasion d’améliorer le mécanisme et les algorithmes utilisés pour le chiffrement des documents par mot de passe. Le format Office Open XML utilise le chiffrement AES 128 bits. Nous utilisons également un algorithme de dérivation de clé plus lent pour ralentir le décodage des mots de passe par attaque en force. RC4 est toujours utilisé lorsque des opérations d’enregistrement dans les formats binaires Office 97-2003. Dans le cas des documents Office Open XML chiffrés, le mot de passe est le maillon le plus faible. Un mot de passe court ou couramment utilisé rend le document moins sécurisé, dans la mesure où le mot de passe peut être plus facilement deviné par un pirate.

Si un pirate a besoin d’essayer tous les mots de passe possibles de 5 lettres minuscules de a à z, il existe au total uniquement 265 (environ 11 millions) de mots de passe à deviner pendant une recherche en force brute. Une recherche de mots de dictionnaire peut trouver le mot de passe plus rapidement encore. Un mot de passe de 8 caractères, choisi parmi les lettres de a à z minuscules et majuscules et les chiffres de 0 à 9, représente une plage de mots de passe beaucoup plus vaste à deviner par attaque en force (628, soit environ 200 trillions) et est également plus difficile à explorer par attaque de dictionnaire également. Il s’agit des pires cas de figure, et le NIST estime que le niveau d’entropie est beaucoup moins élevé dans les mots de passe choisis par l’utilisateur. La présence d’un niveau d’entropie moins élevé signifie que les pirates peuvent utiliser une méthode heuristique pour explorer la plage de mots de passe plus intelligemment qu’une attaque en force.

Les pirates peuvent également exploiter la puissance de traitement parallèle des cartes graphiques dans le cadre de leur attaque.

Toutefois, dans le cas des attaques en force et dans l’hypothèse de 10 000 tentatives de détection de mot de passe par seconde, la longueur et le jeu de caractères des mots de passe peuvent représenter une différence notable.

Le fait d’imposer une longueur de mot de passe minimale et des contraintes de complexité pour le jeu de caractères permet de rendre les mots de passe plus difficiles à deviner pour les pirates.

Comment puis-je activer la complexité du mot de passe ?

Par défaut, les paramètres de complexité ne sont pas appliqués et les paramètres de registre permettent de contrôler cette fonctionnalité. Bien que je décrive ici les clés de registre, l’Outil de personnalisation Office constituera le mécanisme le plus facile pour le déploiement de ces stratégies au sein d’une organisation. Toutefois, ces paramètres ne sont pas encore présents dans l’Outil de personnalisation Office.

Deux paramètres de registre permettent de contrôler cette fonctionnalité : PolicyLevel et MinLength.

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\Security\PasswordComplexity
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Common\Security\PasswordComplexity

  • Nom de la valeur : PolicyLevel
  • Type de valeur : DWORD
  • Données de la valeur : [ 0 | 1 | 2 | 3 ]
  • Utilisez 0 pour aucune complexité (valeur par défaut), 1 pour une longueur minimale, 2 pour une longueur minimale, plus l’exigence de l’utilisation de 3 des 4 groupes de caractères, et 3 pour l’application de tous ces contrôles, ainsi que des règles de mot de passe de domaine Windows.
  • Nom de la valeur : MinLength
  • Type de valeur : DWORD
  • Spécifie la longueur de mot de passe minimale requise.

Lorsque le niveau de stratégie est 2 ou 3, le mot de passe doit contenir des caractères d’au moins trois des quatre jeux de caractères (a à z minuscules, A à Z majuscules, chiffres de 0 à 9 ou caractère non alphabétique). Lorsque cette complexité est imposée, la longueur de mot de passe minimale doit être égale au moins à 6, mais peut être supérieure suivant le paramètre MinLength.

Pourquoi ne pas simplement utiliser la stratégie de mot de passe de domaine Windows ?

Lorsque le paramètre de niveau de stratégie a pour valeur 3, Office utilise la stratégie de domaine Windows ainsi que tous les paramètres de niveau 2. Cela permet d’utiliser un filtre de mot de passe personnalisé installé pour les mots de passe Windows. Si vous êtes déconnecté ou qu’un contrôleur de domaine ne peut pas être contacté, les paramètres de mot de passe Windows ne sont pas utilisés et seuls les paramètres de niveau 2 sont appliqués. Si vous ne disposez pas d’un filtre de mot de passe personnalisé, l’utilisation du niveau 2 permet d’économiser un passage sur le réseau et constituerait le meilleur choix.

Que se passe-t-il si mon mot de passe ne satisfait pas aux contraintes de complexité ?

Suivant que le mot de passe est trop court ou insuffisamment complexe, une boîte de dialogue d’erreur apparaît,

puis vous pouvez entrer le mot de passe de nouveau.

Que se passe-t-il si j’oublie mon mot de passe ou que l’utilisateur quitte la société ?

Oh ! Nous avons conçu le chiffrement par mot de passe Office Open XML pour qu’il soit puissant et difficile à décoder par les pirates, ce qui ralentit la récupération du mot de passe. Il n’existe pas de porte dérobée, ni de dépôt de clé (Key escrow), et la clé AES 128 bits fait de la détection du mot de passe la meilleure option.

Malheureusement, le support Microsoft ne peut pas vous aider, comme décrit dans l’article de la Base de connaissances 189126.

Les ingénieurs du support Microsoft ne peuvent pas vous aider à récupérer les mots de passe de fichiers et de fonctionnalités de produits Microsoft perdus ou oubliés.

Étant donné qu’un mot de passe oublié peut aboutir à la perte d’informations professionnelles critiques, il est possible de désactiver la définition de nouveaux mots de passe dans Word, Excel et PowerPoint, à l’aide du paramètre DisablePasswordUI.

HKEY_CURRENT_USER \Software\Microsoft\Office\14.0\Common\Security
HKEY_CURRENT_USER \Software\Policies\Microsoft\Office\14.0\Common\Security

  • Nom de la valeur : DisablePasswordUI
  • Type de valeur : DWORD
  • Données de la valeur : [ 0 | 1 ]
  • Utilisez 0 pour activer l’interface utilisateur de définition de mot de passe ou 1 pour la désactiver.

Ce paramètre empêche uniquement la définition de nouveaux mots de passe. Les documents existants protégés par mot de passe peuvent toujours être ouverts. Le paramètre DisablePasswordUI, ainsi que les paramètres de complexité des mots de passe, sont conçus pour que vous puissiez trouver le meilleur équilibre entre la nécessité de sécuriser les informations et le risque de perte d’informations.

La fonctionnalité des règles de mot de passe n’est que l’une des améliorations de la sécurité apportées dans Office 2010 et des billets de blog futurs aborderont d’autres améliorations que nous avons réalisées.

Avec mes remerciements.
Alan Myrvold