Active Directory ou l’ADn des cyberattaques

0

Elle intrigue, surprend, questionne, cet OVNI est pourtant la source de nombreux maux pour les entreprises, institutions ou Etats-Nations qui doivent désormais compter avec la menace Cyber parmi celles qui peuvent peser sur leur activité, leurs affaires et réputation. Alors quelles menaces pèsent sur cette infrastructure Active Directory et comment la sécuriser ? 

Pour reprendre une image simple, Active Directory (que nous appellerons AD) est comme l’électricité. Une invention qui a changé la face du monde, que l’on utilise tous les jours, tellement ancrée dans notre quotidien que l’on n’y prête plus attention. Active Directory est le pilier de l’informatique d’entreprise. Créée par Microsoft en 1996, l’infrastructure d’annuaire a pour fonction de gérer l’identification et l’authentification d’un réseau de postes sous Windows. Elle joue donc un rôle central dans l’accès aux ressources de l’entreprise et le contrôle du Système d’Information (SI). Organisé par arborescences et domaines, il se compose de nombreux « objets » hiérarchisés. Qu’il s’agisse des imprimantes, scanners, des comptes et groupes utilisateurs, des services de messageries ou de communications unifiées, Active Directory est le gardien de votre temple, à savoir votre système d’information.

Vous voyez sûrement déjà où je veux en venir : à l’ère des cyberattaques multiples, complexes et alors que les entreprises se numérisent, se digitalisent, s’internationalisent, sans oublier le développement du « shadow IT », la sécurisation d’Active Directory doit devenir l’une des préoccupations quotidiennes des DSI, RSSI et par extension de leur Direction générale. Celles et ceux qui ne l’ont encore intégré peuvent faire une recherche sur Google pour se rendre compte des conséquences d’une attaque via l’infrastructure AD : TV5 Monde, Sony, peuvent en témoigner !

Le maillon faible de l’AD : le manque de formation et d’investissement 

Les menaces qui pèsent sur Active Directory sont nombreuses. En effet, les hackers en fonction de leur objectif, vont chercher l’accès le plus rapide et efficace au système d’information de l’entreprise ou l’organisation ciblée. L’AD est leur porte d’entrée, ils n’ont plus qu’à trouver la clé pour pénétrer au sein du SI et le mettre à mal.

Par son action de piratage, il s’offre un accès aux données, aux emails, à la messagerie, aux appareils mobiles et desktop du PDG et autres fonctions décisionnaires qui détiennent les informations confidentielles de l’entreprise. Que l’on parle de « ransomware » (demande de rançon), d’exfiltration de données, d’espionnage industriel, de prise de contrôle des systèmes critiques ou process de production, tout passe par l’infrastructure Active Directory. Le cyber-attaquant s’ouvre un boulevard pour mener à bien son acte délictueux. Et sa route ne s’arrête malheureusement pas là car l’AD est un chemin vers d’autres horizons. En effet, du fait de sa structure globale et centrale, l’AD lui donne accès au réseau de partenaires, clients, prestataires de l’entreprise qui sont interconnectés au SI de l’entreprise. L’exemple du retailer US Target en est une parfaite illustration. Ce dernier a vu son AD compromis par l’intermédiaire d’un de ses partenaires qui ne l’avait pas suffisamment sécurisé.

Il existe 2 types d’attaques principales sur l’AD : l’une que nous appelons « Golden Ticket »par analogie avec « Charlie et la chocolaterie » puisqu’elle offre un accès au graal du hacker qui se crée une carte ID le faisant passer pour un administrateur de l’AD. Ainsi, il s’ouvre un accès à toute l’infrastructure AD de l’entreprise et de son écosystème. L’autre s’appelle « PassThe2Hash » : elle permet de voler les codes et secrets d’identification (mot de passe, etc.) pour usurper l’identité d’un utilisateur qui en arrivant le matin au bureau, en tapant son mot de passe, ne se doute absolument pas qu’il vient d’ouvrir et d’offrir un accès à son PC au hacker. Ces 2 attaques sont rassemblées sous la bannière de ce que l’on appelle les « Credential Thefts ».

Active Directory, c’est important de le rappeler, est nativement parfaitement sécurisé. C’est un moteur très puissant comme les Formule 1 peuvent en avoir. Mais il ne peut être réglé avec précision par n’importe quel « mécanicien ». Ceux qui s’en occupent doivent être formés, ce qui est rarement le cas. L’AD demande d’y investir du temps et de l’argent pour assurer la sécurité en temps réel à long terme. Par expérience, c’est la dernière roue du carrosse « budgétaire » de la RSSI/DSI qui opte, par choix ou méconnaissance de cette menace, investir leur énergie et budget sur d’autres éléments de sécurité de leur réseau et SI.

« Ne laissez pas votre Active Directory sans surveillance, formez vos collaborateurs pour qu’ils veillent sur lui proactivement et en temps réel car il représente le point névralgique de votre SI et la porte d’entrée de votre entreprise. Si vous laissez les clés à disposition de tous, alors les risques portant sur votre business et réputation sont à la hauteur de votre négligence. » Emmanuel Gras, CEO et co-fondateur d’Alsid.

Comment sécuriser l’AD ? 

Si la question est posée, c’est que personne n’a encore apporté de réponse concrète et pragmatique à cette problématique de (cyber)sécurité. Voici mes quelques conseils pour faire d’Active Directory une forteresse imprenable, ou tout du moins, correctement sécurisée.

  • Allez au-delà de l’apparent : Vérifier les comptes d’administrateurs ne suffit évidemment pas. Si l’AD est un système global, la veille et la mise en place de contre-mesures qui permettent de détecter, isoler et remédier à une attaque sur l’AD doivent être chirurgicales. L’AD requiert une attention de tous les instants pour s’assurer de sa conformité avec les règles de sécurité établies, et préserver la sécurité des droits d’accès, donc des données confidentielles de l’entreprise.
  • Evitez le piège du « shadow admin ». Il est crucial d’instaurer des barrières de sécurité forte. Par expérience, le modèle de sécurité suivi en entreprise est parfois assez permissif (une nouvelle personne arrive et dispose de droits sur l’AD qui n’ont pas lieu d’être). Aujourd’hui, par exemple, des prestataires externes sont missionnés pour installer les serveurs et conservent certaines permissions importantes sur ceux-ci. C’est la fameuse « shadow administration » qui créée la faille et risque de compromettre votre Active Directory car c’est par ce prestataire que le hacker pourrait remonter jusqu’à votre Active Directory. Ainsi, vous devez définir un modèle de sécurité fiable de l’AD et isoler les ressources sensibles, fournir les bons droits aux bonnes personnes. Une fois que ces barrières sont en place, assurez-vous qu’elles soient pérennes dans le temps, car vous l’avez compris, l’AD évolue en permanence.
  • Maitrisez vos populations d’administration. Par effet boule de neige, il vous faut faire le diagnostic des privilèges d’administration accordés (personnes, prestataires, applications métiers, professionnelles et personnelles). Ce sans quoi, vous donnez certes une grande responsabilité à ces administrateurs qui évidemment ne fait qu’augmenter le risque, la surface d’attaque sur l’infrastructure AD et met en danger le SI.
  • Eduquez l’interne et explicitez les règles. La formation aux règles de sécurité, à la sécurisation de l’infrastructure Active Directory sont primordiales. N’ayez pas peur de les énoncer clairement, d’expliquer pourquoi certains ont des droits restreints et d’autres plus larges. Froisser certains égos ne mettra pas en péril votre entreprise, froisser l’Active Directory en revanche le peut. Il vous faut rationaliser les droits.
  • Arrêtez de répondre aux sirènes du marketing. L’industrie de la cybersécurité est prompt à vendre et vous faire acheter l’arsenal de détection dernier cri. Si cela est un incontournable, ce n’est pas suffisant. Surtout, cela ne sert à rien si vous n’avez pas sécurisé vos fondations, à savoir votre infrastructure Active Directory. Mieux vaut renforcer sa politique de sécurité, d’accès/privilèges plutôt que de multiplier les produits. En renforçant la brique sur laquelle repose tout le système d’information, vous êtes déjà équipés pour anticiper efficacement les cyberattaques.

About Author

Emmanuel Gras

Diplômé de l’École des Mines de Paris, Emmanuel a travaillé 3 ans dans les laboratoires de R&D d’Orange. Il a ensuite rejoint le centre opérationnel de l’ANSSI en tant qu’auditeur où il a conçu plusieurs outils d’audit d’infrastructures Active Directory. En accompagnant de nombreuses entités sensibles sur le volet remédiation, il est confronté à une méthodologie récurrente : les attaquants ciblent systématiquement le cœur de l’entreprise. Fort de cette expérience et voulant apporter une réponse pragmatique à une problématique omniprésente, il se lance dans l’aventure entrepreneuriale et co-fonde Alsid en 2016, une solution unique sur le marché de sécurisation des infrastructures Active Directory. Emmanuel développe l’activité d’Alsid en France mais également à l’international afin d’offrir une solution en totale adéquation avec les besoins actuels au plus grand nombre de clients.

Leave A Reply