Mot de passe oublié ? Pa ni pwoblem !

Cet article risque de vous interpeller en matière de sécurité Windows. Bien que méconnue par le grand public, cette astuce s’est très largement répandue sur la toile peu de temps après la sortie de Vista. Avant toute chose je tenais à préciser que cet article ne draine aucune intention malveillante mais plutôt un message de sensibilisation à la protection de vos chères données.


En informatique, la sécurité est un tout, un comportement, un état d’esprit et comme je le répète souvent, elle ne se mesure pas à l’épaisseur du mur mais à son étanchéité. Pour les gens du bâtiment, c’est un peu l’image de la porte blindée posée sur des murs en Placo-platre 😳

I. Introduction

Donc pour en revenir au sujet et en réaction à plusieurs articles sur le sujet,  plutôt discriminatoires sur la sécurité de Windows, l’astuce repose sur plusieurs critères fondamentaux à sa réalisation :

  • Un accès physique(*) à la machine est requis. (Ne s’applique pas à distance)
  • Le support (disque dur) n’est pas chiffré.
  • La machine autorise un démarrage alternatif (Accès BIOS, Boot /USB /CD-DVD /PXE)
  • Le système d’exploitation est Vista, Windows7, 8.x, 10, Server 2008/R2, 2012/R2, …(Bref NT6.x)
    (Pour les autres systèmes, la procédure est sensiblement différente, mais bien loin d’être impossible !… 🙄 )

(*) – La véritable faille de sécurité réside dans cette condition !

Ce qu’il vous faut, un “WinPE” sur une clé USB, un CDrom (ou une image ISO pour des machines virtuelles) ou via PXE (Pas courant à la maison, mais bon…)

?? “WinPE mais il nous parle de quoi, le monsieur ?” –> Pour aller vite, et à l’essentiel, un simple DVD Windows 7 32 ou 64 bits (même d’évaluation) fera l’affaire.

II. La procédure

Etape 1 :

Démarrez l’ordinateur à partir du DVD Windows 7 (par exemple) – comme si vous vouliez l’installer. Généralement, il faut appuyer sur une touche dans les 5 secondes pour confirmer ce démarrage alternatif.

Etape 2 :

Une fois arrivé sur l’écran d’installation, appuyez sur [Maj] + [F10] – Cette action ouvre une invite de commande WinPE. (Vous y êtes !…) – Pour information, c’est un “disque en mémoire” (Ramdrive) et son lecteur est toujours “X:”.
WinPE-MajF10

Etape 3 :

Il faut maintenant trouver le lecteur (pas toujours C:) correspondant au système d’exploitation dont vous voulez changer le mot de passe. C’est l’étape la plus “délicate” 😯
Cette commande peut éventuellement vous aider à besoin repérer les différents lecteurs :
wmic logicaldisk get name, description
Enlevez l’éventuel lecteur de disquette, le lecteur X: de WinPE et le lecteur CD qui vous a servi à démarrer, il ne devrait plus rester beaucoup de choix… Explorez rapidement les différents lecteurs via la commande “dir lettre: /a” et cherchez un répertoire “Windows”
WinPE-Drives

Etape 4 :

Admettons que dans mon exemple, le disque du système Windows porte la lettre D:., entrez les commandes suivantes :
D:
cd \windows\system32
ren utilman.exe utilman.bak
copy cmd.exe utilman.exe

WinPE-Utilman
C’est fini, vous pouvez redémarrer l’ordinateur (sans autre précaution que de vérifier qu’il ne redémarre pas sur le support amovible)

Etape 5 :

Lors de l’arrivée sur la mire de connexion habituelle, cliquez sur le bouton d’accessibilité (situé habituellement en bas à gauche de l’écran).
Icone-Utilman
Cette action (suite à notre petit changement) doit avoir pour effet d’ouvrir une invite de commande. (A la place des options d’accessibilité 😉 )
Utilman2Cmd

 

Dans cette exemple, j’ai poussé le vice jusqu’à tester cette procédure sur un contrôleur de domaine sous Windows 2012R2 ! ( 😛 Histoire de bien enfoncer le clou et sensibiliser certaines personnes parfois un peu trop confiantes, et laissant libre accès à des interventions ou opérations de maintenance sur leur système sans surveillance) – Mais je n’ai rien dit… A ce propos, vous faites quoi de vos disques remplacés ? 😮

Etape 6 :

Bien, vous touchez au but, mais vous n’êtes pas vraiment spécialiste devant cet invite de commande, alors je vous propose un bref aperçu du potentiel:

En premier lieu, remarquez que nous sommes en présence d’un cas rarissime en matière d’authentification Windows, puisque nous ne sommes pas un utilisateur au sens du système, nous sommes vu comme la “machine” elle-même !… (tapez la commande WHOAMI pour vous en assurer) – Cet état très avantageux dans cet exemple, a cependant quelques contraintes d’usage. En effet, il ne vous sera pas possible d’ouvrir un bureau ou des applications telles que l’explorateur Windows, mais ce n’est pas non plus le but recherché ici. (Pour ce besoin, cherchez plutôt du coté de l’”autologon” )

Les commandes suivantes vous permettent d’afficher les utilisateurs locaux, d’activer un compte, changer son mot de passe ou l’ajouter à un groupe local.

  • NET USER (Affiche tous les utilisateurs locaux)
  • NET USER Toto (Affiche le détail de l’utilisateur “Toto”)
  • NET USER Toto /ACTIVE:YES (Active le compte de l’utilisateur “Toto”)
  • NET USER Toto Passw0rd+ (Affecte un mot de passe indiqué à l’utilisateur “Toto”)
  • NET LOCALGROUP (Affiche tous les groupes locaux)
  • NET LOCALGROUP Administrateurs Toto /Add (Affecte l’utilisateur “Toto” en tant que membre du groupe des administrateurs locaux de la machine)
  • EXIT (Ferme l’invite de commande)

En cas de doute, la commande suivante vous renvoie le « vrai » compte Administrateur intégré :

wmic useraccount where "SID like '%500'" get name

Il est possible de réaliser la plupart des modification d’utilisateur et de groupes locaux via l’invite de commande, mais l’usage des consoles graphiques d’administration (MMC) reste plus sympathique, au moins pour la démonstration 😉

Sur un poste ou un serveur, tapez : compmgmt.msc ou lusrmgr.msc
LusrmgrDC

Sur un contrôleur de domaine tapez : dsa.msc
dsa

Voilà, la suite reste à votre entière discrétion, (et responsabilité), je vous laisse apprécier …

Personnellement, il m’arrive de l’utiliser pour débloquer des machines virtuelles (ou physiques), que j’ai laissé à l’abandon un peu trop longtemps pour me souvenir de ce satané mot de passe de test 😉

 

Conclusion :

Bien que cette révélation puisse induire une image péjorative d’un système Windows, elle doit surtout vous sensibiliser à la sécurité d’un ordinateur en général, surtout lorsque ce dernier est mobile et/ou exposé physiquement à des tiers (sans parler des vols, et autres emprunts… )

Note : Le mot de passe existant n’est pas divulgué par cette procédure. Autrement dit, l’affectation d’un nouveau mot de passe a donc pour conséquence de rendre impossible l’accès aux données protégées par des mécanismes tels que les clés asymétriques ou certificats exploités par EFS ou similaires.

Peu importe le système d’exploitation (1), il pratiquement toujours possible de contourner une protection par mot de passe, afin d’accéder à tout ou partie d’un système ; et c’est d’autant plus facile dès lors qu’un accès physique à la machine est possible. La seule protection efficace (ou au moins dissuasive) est le chiffrement intégral du stockage. Microsoft propose Bitlocker (sur les versions Entreprise, Intégrales et serveurs) mais vous pouvez recourir à des outils tels TrueCrypt, ou CheckPoint et/ou vous focaliser sur la protection des données via EFS par exemple (pas nécessairement du système). Soyez vigilants, mais aussi prudents : Mettez vos clés en lieu sûr et surtout, ne les perdez pas au risque de voir la sécurité se retourner contre vous 🙁 .

Concernant plus particulièrement Active Directory, je reprendrais une considération « évidente »  mentionnée, entre autres, dans une note technique (2) de ANSSI (Agence nationale de la sécurité des systèmes d’information) publié ici :  « Si la sécurité physique d’un contrôleur de domaine (DC) n’est pas assurée, il est primordial que celui-ci soit configuré comme RODC et qu’un système de chiffrement des disques soit mis en œuvre« .

(1) N’entrons pas dans une polémique inutile et stérile, mais pour le pingouin ou la marque de la pomme, c’est certes, bien moins évident mais tout à fait réalisable (dans les mêmes conditions d’accès physique) si votre machine tombe entre de “mauvaises mains”.

(2) J’ai relevé une petite erreur dans ce document concernant l’intérêt du mode « Core » sur un « RODC » (=Contrôleur de domaine en lecture seule – qui ne stocke pas les condensés de mot de passe  😉 )

Citation :

« Note : Un RODC dont les disques sont chiffrés devrait idéalement être installé en Windows Server Core. Chaque redémarrage nécessite une saisie du mot de passe de déchiffrement des disques. Par conséquent, le mode Core permettrait de réduire la fréquence des redémarrages puisque ce dernier ne possède qu’un nombre limité d’applicatifs et de composants système à mettre à jour. »

Correction : Si la machine RODC dispose d’un TPM, et utilise Bitlocker pour le chiffrement intégral du disque, aucun mot de passe n’est demandé lors d’un (re)démarrage normal. Le mot de passe, ou clé de récupération est demandé lors des opérations de maintenance ou un démarrage alternatif.

 

Bonne méditation.

See you soon

Christophe

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *