La sécurisation de l’Active Directory (AD) est un sujet primordial à aborder de manière globale, en gardant en tête que la compromission d’un seul compte peut amener à une fuite de données majeure.

Dans leur quête d’accès aux réseaux des entreprises, les cybercriminels utilisent la moindre faille. Sans parler de tendance, car la méthode n’est pas nouvelle, nous avons toutefois observé au cours des derniers mois, une recrudescence des cas de compromission d’annuaires Active Directory.

Les raisons sont multiples (Microsoft est très répandu dans les entreprises, l’AD a une position centrale au sein du système d’information, etc.) et la combinaison de facteurs et de contextes mettent à risque l’annuaire de toutes les entreprises.

Analysons en détails les raisons du développement de ces attaques, pour mieux aider les entreprises à se protéger :

Les utilisateurs utilisent le même mot de passe pour leur compte professionnel et personnel

Les fuites de données majeures, de services destinés au grand public, incluant des identifiants et des mots de passe permettent aux pirates d’attaquer par rejet de mot de passe.

Bien que cela soit facilement parable, une fois l’attaque détectée, un trop grand nombre d’entreprises n’ont pas mis en place de politique de mots de passe complexe ou pire encore de verrouillage de comptes comme solution détournée d’administrateurs inconscients. Cela résoudrait pourtant, par exemple, les problèmes de comptes se bloquant à cause de l’active Sync en ne traitant pas le problème initial (ou root cause dans le jargon informatique).

Nous pourrions également nous attendre à ce qu’aujourd’hui les entreprises aient mis en place des politiques de gestion des comptes à privilège. Notamment en faisant en sorte que les administrateurs aient deux comptes et travaillent dans un environnement authentifié avec le compte bureautique, et que des politiques de mot de passe plus fortes soient en vigueur pour ces comptes à privilège.

Et bien non… En effet, dans un tiers des audits conduits, ce problème de sécurité est encore constaté. Par ailleurs, comment est-il possible de s’assurer que la personne est derrière un compte, si le mot de passe a été trouvé du premier coup ?

L’annuaire porte le poids de l’historique et suit la vie de l’entreprise

L’annuaire Active Directory a connu de nombreuses évolutions.

Au passage de NT4 à Active Directory 2000 il y a quelques années, Microsoft demandait de créer des forêts Active Directory (l’entité de regroupant les arborescences de domaines), les pratiques ont ensuite changé pour mettre en place une seule forêt. Quelques années plus tard ce fut renforcé par les contraintes des mécanismes de provisionnement de l’identité, dans le cas de déploiement de service Cloud comme Office 365.

Ces mises à niveau, ces refontes, ces migrations sont souvent menées par l’infrastructure et la sécurité n’est pas embarquée. De ce fait, cela génère de nombreux problèmes de configuration et de nombreux risques post migration, même si cela donne l’impression que « ça fonctionne ». Quelques exemples de problèmes rencontrés : SID history, niveau de chiffrement faible, comptes AD krbtgt à risque, récupération d’un grand nombre de comptes inutiles et à privilège, etc.

Les failles Kerberos sont exploitables très facilement

La démocratisation de la connaissance des failles kerberos (le célèbre protocole d’authentification développé par le MIT) et l’outillage pour les exploiter fait qu’un « script kiddy » est désormais capable en peu de temps de réaliser une attaque Golden ticket.

Rappelons que l’attaque Golden Ticket (en référence au ticket d’or du film « Charlie et la Chocolaterie ») permet au hacker d’obtenir un accès total et complet à l’intégralité d’un domaine et à tous les ordinateurs, fichiers, dossiers et contrôles de domaines (DC) les plus importants !

Dans certains cas, il se peut que des hackers aient détenu un Golden Ticket pendant plusieurs années, ayant ainsi pu dérober déjà beaucoup d’éléments sans que personne ne le sache.

Comment se prémunir d’attaques de l’annuaire Active Directory ?

La sécurité de l’Active Directory s’appuie sur une approche multicouche :

  • La maitrise du change – capter les évènements de sécurité sur les contrôleurs de domaines tout en les rendant intelligibles et exploitables
  • La gestion des problèmes de configuration et des vulnérabilités
  • La cyber sécurité et la protection contre l’exploitation des failles Kerberos notamment

Ainsi la protection idéale est de mettre en place une solution permettant de couvrir les trois aspects dans une seule et même plateforme. Il conviendra de mettre en place les contrôles préventifs pour réduire l’exposition au risque et la surface d’attaque, et des contrôles détectifs notamment à base de machine learning.

L’intelligence artificielle, et plus particulièrement le machine learning, apporte en effet une réponse intéressante et est aujourd’hui un élément clé dans la détection des signaux faibles et des attaques sur l’Active Directory. 

Un cas récent nous apporte des informations très intéressantes sur les méthodes au long cours utilisées par les cybercriminels. En effet, l’investigation rendue publique récemment sur le cas de fuite de données en 2016 de l’hôtelier Mariott a conclu que les attaquants étaient présents sur le réseau depuis 2 ans, qu’ils avaient procédé par l’introduction d’un cheval de Troie, pour récupérer des identifiants – grâce à Mimikatz – et ensuite réaliser une élévation de privilèges afin de récupérer les informations client dans la base de données – notamment des informations de paiement et des informations à caractère personnel.

En conclusion, la sécurisation de l’AD est un sujet primordial à aborder de manière globale, en gardant en tête que la compromission d’un seul compte peut amener à une fuite de données majeure. Le cas de Marriott est un excellent exemple d’attaque perpétrée sur une longue période, et dont les effets peuvent être graves (en l’occurrence, ici, sur l’image de l’entreprise, en attendant qu’un législateur se penche sur le sujet…).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>