Microsoft est revenu sur les mécanismes mis en œuvre pour protéger les comptes Microsoft et Azure Active Directory des comptes référencés comme ayant fuités. Le billet a été écrit après que 272 millions de noms d’utilisateur et mot de passe volés aient été mis à disposition par un hacker russe. Le problème mis en avant par Microsoft est que bien souvent ce vol intervient sur des sites vulnérables où les utilisateurs mettent le même mot de passe que celui utilisé pour leur adresse email.
De ce fait, Microsoft a construit un mécanisme spécifique pour automatiser le traitement de ces listes de compte volés. Celui-ci fait intervenir du Machine Learning qui découvre les comptes volés avant qu’ils soient effectivement mis en ligne. Les listes sont aussi récupérées auprès des gouvernements, des partenaires, des entreprises de sécurité et des institutions académiques à travers le monde.
Lorsqu’une liste est récupéré, Microsoft vérifie si des identifiants sont utilisés pour les systèmes de compte Microsoft ou Azure Active Directory en comparant le hash des mots de passe et ceux stockés dans les comptes. Dans la majorité des cas, les mots de passe ne correspondent pas.
Pour la liste de 272 millions de noms d’utilisateur, 9,62% étaient présents dans les systèmes de Microsoft et seulement 1,03% de ce pourcentage, avaient un mot de passe équivalent. Ainsi moins de 0.1% de la liste avait un compte utilisateur et mot de passe qui correspondait à la liste. 58.3% de ce pourcentage avait déjà été protégé par le mécanisme Machine Learning en détectant des activités suspicieuses. Ainsi 0.042% des comptes étaient effectivement potentiellement en danger.
Toutes ces technologies sont maintenant utilisées dans la solution Azure Active Directory Identity Protection.
Pour plus d’informations, je vous invite à lire les billets de l’équipe :
- https://blogs.technet.microsoft.com/ad/2016/05/10/how-we-protect-azuread-and-microsoft-account-from-leaked-usernames-and-passwords/
- https://blogs.technet.microsoft.com/ad/2016/05/24/another-117m-leaked-usernames-and-passwords-new-best-practices-azuread-and-msa-can-help/