Active Directory ou l’ADN des cyberattaques

Le par  |  33 commentaire(s)
active_directory_logo

Pas ou peu connu, l’infrastructure Active Directory demeure le point névralgique et la porte d’entrée des cyberattaques.

Tribune libre par Emmanuel Gras, CEO et co-fondateur d’Alsid

Remarque : les propos tenus ici n'engagent pas la rédaction de GNT mais constituent un avis éclairé de la part d'un expert dans son domaine que nous avons jugé opportun de vous faire partager. Il ne s'agit pas d'un article promotionnel, aucun lien financier ou autre n'existant entre cette société et GNT, le seul intérêt étant de vous apporter un éclairage intéressant sur un domaine particulier.

Il intrigue, surprend, questionne, cet OVNI est pourtant la source de nombreux maux pour les entreprises, institutions ou Etats-Nations qui doivent désormais compter avec la menace Cyber parmi celles qui peuvent peser sur leur activité, leurs affaires et réputation. Alors quelles menaces pèsent sur cette infrastructure Active Directory et comment la sécuriser ?

Pour reprendre une image simple, Active Directory (que nous appellerons AD) est comme l’électricité. Une invention qui a changé la face du monde, que l’on utilise tous les jours, tellement ancrée dans notre quotidien que l’on n’y prête plus attention. Active Directory est le pilier de l’informatique d’entreprise. Créée par Microsoft en 1996, l’infrastructure d’annuaire a pour fonction de gérer l’identification et l’authentificationd’un réseau de postes sous Windows. Elle joue donc un rôle central dans l’accès aux ressources de l’entreprise et le contrôle du Système d’Information (SI). Organisé par arborescences et domaines, il se compose de nombreux « objets » hiérarchisés. Qu’il s’agisse des imprimantes, scanners, des comptes et groupes utilisateurs, des services de messageries ou de communications unifiées, Active Directory est le gardien de votre temple, à savoir votre système d’information.

Vous voyez sûrement déjà où je veux en venir : à l’ère des cyberattaques multiples, complexes et alors que les entreprises se numérisent, se digitalisent, s’internationalisent, sans oublier le développement du « shadow IT », la sécurisation d’Active Directory doit devenir l’une des préoccupations quotidiennes des DSI, RSSI et par extension de leur Direction générale. Celles et ceux qui ne l’ont encore intégré peuvent faire une recherche sur Google pour se rendre compte des conséquences d’une attaque via l’infrastructure AD.

active_directory_logo_2

Le maillon faible de l’AD : le manque de formation et d’investissement

Les menaces qui pèsent sur Active Directory sont nombreuses. En effet, les hackers en fonction de leur objectif, vont chercher l’accès le plus rapide et efficace au système d’information de l’entreprise ou l’organisation ciblée. L’AD est leur porte d’entrée, ils n’ont plus qu’à trouver la clé pour pénétrer au sein du SI et le mettre à mal.

Par son action de piratage, il s’offre un accès aux données, aux emails, à la messagerie, aux appareils mobiles et desktop du PDG et autres fonctions décisionnaires qui détiennent les informations confidentielles de l’entreprise. Que l’on parle de « ransomware » (demande de rançon), d’exfiltration de données, d’espionnage industriel, de prise de contrôle des systèmes critiques ou process de production, tout passe par l’infrastructure Active Directory. Le cyber-attaquant s’ouvre un boulevard pour mener à bien son acte délictueux. Et sa route ne s’arrête malheureusement pas là car l’AD est un chemin vers d’autres horizons. En effet, du fait de sa structure globale et centrale, l’AD lui donne accès au réseau de partenaires, clients, prestataires de l’entreprise qui sont interconnectés au SI de l’entreprise. L’exemple du retailer US Targeten est une parfaite illustration. Ce dernier a vu son AD compromis par l’intermédiaire d’un de ses partenaires qui ne l’avait pas suffisamment sécurisé.

Il existe 2 types d’attaques principales sur l’AD : l’une que nous appelons « Golden Ticket »par analogie avec « Charlie et la chocolaterie »puisqu’elle offre un accès au graal du hacker qui se crée une carte ID le faisant passer pour un administrateur de l’AD. Ainsi, il s’ouvre un accès à toute l’infrastructure AD de l’entreprise et de son écosystème. L’autre s’appelle « PassThe2Hash » : elle permet de voler les codes et secrets d’identification (mot de passe, etc.) pour usurper l’identité d’un utilisateur qui en arrivant le matin au bureau, en tapant son mot de passe, ne se doute absolument pas qu’il vient d’ouvrir et d’offrir un accès à son PC au hacker. Ces 2 attaques sont rassemblées sous la bannière de ce que l’on appelle les « Credential Thefts ».

Active Directory, c’est important de le rappeler, est nativement parfaitement sécurisé. C’est un moteur très puissant comme les Formule 1 peuvent en avoir. Mais il ne peut être réglé avec précision par n’importe quel « mécanicien ». Ceux qui s’en occupent doivent être formés, ce qui est rarement le cas. L’AD demande d’y investir du temps et de l’argent pour assurer la sécurité en temps réel à long terme. Par expérience, c’est la dernière roue du carrosse « budgétaire » de la RSSI/DSI qui opte, par choix ou méconnaissance de cette menace, investir leur énergie et budget sur d’autres éléments de sécurité de leur réseau et SI.

« Ne laissez pas votre Active Directory sans surveillance, formez vos collaborateurs pour qu’ils veillent sur lui proactivement et en temps réel car il représente le point névralgique de votre SI et la porte d’entrée de votre entreprise. Si vous laissez les clés à disposition de tous, alors les risques portant sur votre business et réputation sont à la hauteur de votre négligence. »Emmanuel Gras, CEO et co-fondateur d’Alsid

Comment sécuriser l’AD ?

Si la question est posée, c’est que personne n’a encore apporté de réponse concrète et pragmatique à cette problématique de (cyber)sécurité. Voici mes quelques conseils pour faire d’Active Directory une forteresse imprenable, ou tout du moins, correctement sécurisée.

  • Allez au-delà de l’apparent : Vérifier les comptes d’administrateurs ne suffit évidemment pas. Si l’AD est un système global, la veille et la mise en place de contre-mesures qui permettent de détecter, isoler et remédier à une attaque sur l’AD doivent être chirurgicales. L’AD requiert une attention de tous les instants pour s’assurer de sa conformité avec les règles de sécurité établies, et préserver la sécurité des droits d’accès, donc des données confidentielles de l’entreprise.

  • Evitez le piège du « shadow admin ». Il est crucial d’instaurer des barrières de sécurité forte. Par expérience, le modèle de sécurité suivi en entreprise est parfois assez permissif (une nouvelle personne arrive et dispose de droits sur l’AD qui n’ont pas lieu d’être). Aujourd’hui, par exemple, des prestataires externes sont missionnés pour installer les serveurs et conservent certaines permissions importantes sur ceux-ci. C’est la fameuse « shadow administration » qui créée la faille et risque de compromettre votre Active Directory car c’est par ce prestataire que le hacker pourrait remonter jusqu’à votre Active Directory. Ainsi, vous devez définir un modèle de sécurité fiable de l’AD et isoler les ressources sensibles, fournir les bons droits aux bonnes personnes. Une fois que ces barrières sont en place, assurez-vous qu’elles soient pérennes dans le temps, car vous l’avez compris, l’AD évolue en permanence.

  • Maitrisez vos populations d’administration. Par effet boule de neige, il vous faut faire le diagnostic des privilèges d’administration accordés (personnes, prestataires, applications métiers, professionnelles et personnelles). Ce sans quoi, vous donnez certes une grande responsabilité à ces administrateurs qui évidemment ne fait qu’augmenter le risque, la surface d’attaque sur l’infrastructure AD et met en danger le SI.

  • Eduquez l’interne et explicitez les règles. La formation aux règles de sécurité, à la sécurisation de l’infrastructure Active Directory sont primordiales. N’ayez pas peur de les énoncer clairement, d’expliquer pourquoi certains ont des droits restreints et d’autres plus larges. Froisser certains égos ne mettra pas en péril votre entreprise, froisser l’Active Directory en revanche le peut. Il vous faut rationaliser les droits.

  • Arrêtez de répondre aux sirènes du marketing. L’industrie de la cybersécurité est prompt à vendre et vous faire acheter l’arsenal de détection dernier cri. Si cela est un incontournable, ce n’est pas suffisant. Surtout, cela ne sert à rien si vous n’avez pas sécurisé vos fondations, à savoir votre infrastructure Active Directory. Mieux vaut renforcer sa politique de sécurité, d’accès/privilèges plutôt que de multiplier les produits. En renforçant la brique sur laquelle repose tout le système d’information, vous êtes déjà équipés pour anticiper efficacement les cyberattaques.
Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2032778
Ca à l'air intéressant, mais je lirais plus tard, occupé pour l'instant.
Le #2032782
Il y a une faute dans le titre...
Le #2032783
tmtisfree a écrit :

Il y a une faute dans le titre...


Tu as un bouton "signaler" pour cela ...
Le #2032784
l'Active Directory est aujourd'hui ce qu'était hier les domaines NT.
Toute la sécurité est concentrée en plusieurs contrôleurs de domaines/AD. Un compte d'admin compromis, et c'est le drame.
Après, imprenable, à l'échelle d'une grande entreprise, c'est quasiment impossible.
Le #2032789
FRANCKYIV a écrit :

tmtisfree a écrit :

Il y a une faute dans le titre...


Tu as un bouton "signaler" pour cela ...


C'est bien possible mais j'ai une interface minimale sans boutons et autres décorations inutiles...
Le #2032791
tmtisfree a écrit :

FRANCKYIV a écrit :

tmtisfree a écrit :

Il y a une faute dans le titre...


Tu as un bouton "signaler" pour cela ...


C'est bien possible mais j'ai une interface minimale sans boutons et autres décorations inutiles...


si c'était le "où" avec accent c'est corrigé, thx
Le #2032792
Dans le cadre de mon travail, je dois gérer un certain nombre de choses dans l'AD de mon entreprise et cela m'a permis d'en apprendre énormément sur celui-ci.

On peut reprocher pas mal de chose à Windows, mais l'AD c'est quelque chose de sacrément badass. Tant en terme d'acl qu'en terme d'audit. Il est possible de faire de nombreuses choses qui permettent de sécuriser un maximum l'AD et, dans le pire des cas, de tirer la sonnette d'alarme en cas d'intrusion ou d'actions suspectes.

Mais ce qui est dit dans l'article est tout a fait vrai, les salariés de la plupart des entreprises manquent sûrement de connaissances à son sujet.
Le #2032794
Le truc c'est qu'il ne suffit pas de bien gèrer AD.
Il faut aussi utiliser les privilèges minimaux pour chaque tâche.
Activer la corbeille AD disponible dans les dernières éditions, et bien sur répliquer.
Pour les grosses boîtes, gèrer finement les relations d'approbation inter domaine.
Il faut aussi que les applications ayant les privilèges Admin du domaine ne fassent pas n'importe quoi.

Un exemple parlant pour montrer que même les logiciels très connus peuvent être problématiques:

https://www.veeam.com/kb2180

Dans ce cas, on pouvait avoir le mdp admin du domaine accessible directement dans les logs par n'importe quel utilisateur, seulement doublement encodés (et non chiffrés) en base64.
Résultat, n'importe quel utilisateur pouvait récup le mdp admin du domaine et la c'est la fête...
Impeccable de la part d'un logiciel trèèès utilisé en entreprise... (c'est même pas une faille, c'est de l'irresponsabilité, il n'y a aucune raison de mettre le mdp dans les logs comme ça )

Inutile de dire que supprimer les logs, mettre a jour Veeam et changer le mdp ne sert pas a grand chose, un utilisateur malveillant aura crée un ptit prog qui tourne en admin du domaine dès qu'il aura récupéré le mdp (une backdoor).

Et ce n'est qu'un exemple.
Le #2032796
tmtisfree a écrit :

FRANCKYIV a écrit :

tmtisfree a écrit :

Il y a une faute dans le titre...


Tu as un bouton "signaler" pour cela ...


C'est bien possible mais j'ai une interface minimale sans boutons et autres décorations inutiles...


Arf tu dois être sur smartphone / tablette non ?
Le #2032799
L'article le dit très bien : il faut un(des) administrateur(s) (et pas des geeks qui n'en ont que le titre) qui forment, informent et sensibilisent leurs subordonnés.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme