Introduction
Pendant des années, les utilisateurs ont voulu gagner du temps et des efforts lors de l’accès aux serveurs sur le réseau, aux sites Web nécessitant des informations d’identification, etc. Ainsi, il y a eu des options dans le système d’exploitation pour enregistrer les noms d’utilisateur et les mots de passe pour un accès plus rapide et plus facile. Je suis sûr que vous avez vu cela, soit dans une invite, soit dans une case à cocher, vous demandant d’enregistrer le mot de passe. Sous Windows, vous avez la possibilité de stocker les informations d’identification des ressources auxquelles vous accédez souvent, ou tout simplement de ne pas avoir à vous souvenir du mot de passe. Bien qu’il s’agisse d’une option permettant de gagner du temps, vous voudrez peut-être reconsidérer l’utilisation de cette fonctionnalité en raison de problèmes de sécurité.
Où Puis-Je Trouver Cette Fonctionnalité ?
Cette fonctionnalité a démarré sous Windows XP et a évolué depuis. L’évolution est dans le nom et les fonctionnalités fournies pour la fonctionnalité. Sous Windows XP, la fonctionnalité s’appelait Noms d’utilisateur et mots de passe stockés. Vous pouvez accéder à cette fonctionnalité depuis l’onglet Avancé de la boîte de dialogue Comptes d’utilisateurs. Dans l’onglet Avancé, vous cliquez sur le bouton Gérer les mots de passe pour accéder à l’interface des Noms d’utilisateur et des mots de passe stockés.
Windows 7 change légèrement cela car il y a maintenant une interface différente, un nom différent pour la fonctionnalité, etc. En outre, les mots de passe sont stockés d’une manière différente dans Windows 7, qui se trouve dans un coffre-fort. Pour accéder à ces informations d’identification stockées ou pour stocker vous-même des informations d’identification, vous pouvez accéder au composant logiciel enfichable Comptes d’utilisateurs dans le panneau de configuration, puis sélectionner l’option Gérer vos informations d’identification dans le panneau de gauche, comme illustré à la figure 1.
Figure 1: Gérer Mes informations d’identification dans le composant logiciel enfichable Comptes d’utilisateurs
En substance, cela ouvre le Gestionnaire d’informations d’identification, qui peut également être exécuté à partir de la zone de texte Démarrer la recherche lorsque vous cliquez sur le bouton Démarrer. Lorsque vous stockez des informations d’identification sur un ordinateur Windows 7, elles sont stockées dans C:\Users\UserName\AppData\Roaming\Microsoft\Credentials . Les fichiers qui stockent les informations d’identification sont cryptés, c’est donc au moins un avantage!
Notez ici que TOUTES les informations d’identification créées dans le Gestionnaire d’informations d’identification créent un fichier dans le dossier d’informations d’identification sous le profil utilisateur répertorié ci-dessus. Cependant, lorsque les informations d’identification sont entrées pour les informations d’identification Windows, elles sont également stockées dans C:\Users\UserName\AppData\Local\Microsoft\Vault .
Commande de coffre-fort Windows
Pour accéder au coffre-fort des mots de passe sur un ordinateur Windows 7 (et Windows Server 2008 R2), vous pouvez utiliser le vaultcmd.commande exe à partir d’une invite de commande. Cet outil vous permet de gérer les informations d’identification qui se trouvent dans le coffre-fort et même d’en créer de nouvelles. Vous pouvez voir la liste des commutateurs disponibles pour vaultcmd dans la figure 2.
Figure 2: Commande et commutateurs Vaultcmd.
Si nous utilisons ces commandes, vous pouvez voir comment les informations d’identification sont stockées et accessibles. Dans notre exemple, nous allons stocker les informations d’identification connectées en tant qu’utilisateur nommé xpuser. Xpuser est un utilisateur de domaine dans le beyondtrust.domaine de démonstration. Cet utilisateur a déjà stocké des informations d’identification pour un contrôleur de domaine nommé server1. Les informations d’identification que cet utilisateur a stockées sont pour un utilisateur de domaine (qui se trouve être un administrateur de domaine) nommé Derek.
Pour voir les informations d’identification de l’utilisateur actuellement connecté, vous pouvez exécuter la commande set avec le commutateur de nom d’utilisateur, visible sur la figure 3.
Figure 3: Utilisateur actuellement connecté à l’aide de la commande set.
En utilisant la commande vaultcmd, nous pouvons voir les informations d’identification que cet utilisateur a déjà enregistrées. Ceci est accompli en utilisant le commutateur de liste, qui peut être vu sur la figure 4.
Figure 4: Commande Vaultcmd à l’aide du commutateur de liste.
Vous pouvez ensuite afficher le contenu de chaque coffre-fort à l’aide du commutateur listproperties, suivi du commutateur listcreds pour afficher les informations d’identification dans chaque coffre-fort. Les deux sont visibles à la figure 5.
Figure 5: Commande Vaultcmd utilisant à la fois les commutateurs listproperties et listcreds.
Comme vous pouvez le voir sur toutes ces commandes à l’aide de vaultcmd, le contenu des coffres peut être facile d’accès. Encore une fois, notez que les mots de passe ne sont pas affichés, mais que ces « informations d’identification alternatives » peuvent être exploitées par toute personne pouvant accéder à cet ordinateur avec l’utilisateur xpuser connecté.
Raisons de ne pas utiliser cette fonctionnalité
Nous avons vu comment le coffre-fort stocke les informations d’identification et comment la commande vaultcmd peut accéder à ces informations d’identification et aux informations les concernant. Cependant, cette fonctionnalité est-elle sûre à utiliser? Considérez le scénario suivant.
Xpuser a stocké des informations d’identification sur son ordinateur Windows 7 lorsqu’il doit accéder à Server1, qui est un contrôleur de domaine. Les informations d’identification enregistrées à l’aide de Credential Manager sont pour Derek, qui est un administrateur de domaine. Si xpuser quitte l’ordinateur, dans ce cas nommé xpclient, déverrouillé, toute personne qui accède à xpclient peut également accéder à Server1 en tant qu’administrateur de domaine.
Dans notre scénario, qui est ce que nous avons exposé en utilisant vaultcmd ci-dessus, vous pouvez clairement voir que cela peut être un problème. Pour le prouver, regardons de plus près notre scénario. Notre utilisateur, xpuser, s’est connecté et s’est éloigné de l’ordinateur. Un autre utilisateur, Betty, se dirige vers xpclient, avec xpuser connecté, et tente de se connecter à server1. Vous pouvez voir sur la figure 6 que cette connexion est facilement établie.
Figure 6: Connexion à server1 avec xpuser connecté, mais les informations d’identification enregistrées sur server1.
Comme vous pouvez le voir, avec seulement l’utilisateur connecté et les informations d’identification enregistrées, l’attaquant peut rassembler toutes les informations dont il a besoin avec vaultcmd, puis exploiter l’ordinateur qui a les informations d’identification enregistrées.
Résumé
Credential Manager et la possibilité d’enregistrer les informations d’identification sur un ordinateur Windows 7 sont puissantes, mais peut-être un énorme exploit. Souvent, les utilisateurs qui utiliseront cette fonctionnalité ne font pas partie du groupe informatique, mais ils pourraient certainement causer une faille de sécurité importante au sein de votre organisation. Même si l’utilisateur ne fait pas partie du groupe informatique, mais peut-être des finances, des ressources humaines ou un cadre, le fait que les informations d’identification soient enregistrées sur l’ordinateur devient un problème, comme décrit dans cet article. Pendant des années, les utilisateurs voulaient des moyens d’enregistrer leur nom d’utilisateur et leur mot de passe sur l’ordinateur ou d’une manière ou d’une autre qu’ils ne soient pas responsables de taper leurs informations d’identification à chaque fois. Cependant, cette fonctionnalité présente des risques évidents, qui doivent être pesés dans l’environnement dans lequel ils sont sauvegardés. Pour les entreprises, l’enregistrement des informations d’identification n’est pas une bonne idée en raison de l’exposition des ordinateurs de bureau et du fait que les utilisateurs ne peuvent pas faire confiance pour ne pas verrouiller leur ordinateur lorsqu’ils s’en éloignent.