Les fondements de la sécurité Active Directory

En substance, AD est une plate-forme qui connecte les collaborateurs à leurs ressources sur un réseau d’entreprise (partage de messageries ou de fichiers en réseau). Elle permet aux administrateurs de gérer les droits de chaque utilisateur, de les authentifier lorsqu’ils se connectent et de déterminer les ressources auxquelles ils peuvent accéder.

AD offre de nombreux avantages. À la fois simple et résolument fiable, la plate-forme existe depuis de nombreuses années. Pour autant, nombreuses sont les entreprises qui ne connaissent pas les risques de sécurité qu’elle véhicule.

Retour sur l’histoire d’AD

Avant le lancement d’AD en 2000, l’évolutivité des serveurs d’annuaire informatique de Microsoft n’était pas suffisante pour répondre aux besoins des moyennes et des grandes entreprises qui devaient alors opter pour un grand nombre de serveurs. Ainsi, une entreprise comptant un millier de collaborateurs pouvait utiliser jusqu’à 200 serveurs différents.

Cela représentait un souci majeur pour les entreprises : non seulement ces serveurs individuels impliquaient une gestion complexe avec des identifiants de connexion uniques, mais ils paralysaient certaines activités comme le partage de fichiers en raison des difficultés de communication rencontrées.

L’avènement d’AD a mis un terme à ce problème. Forte d’une intégration simple aux applications et de fonctionnalités d’authentification unique au sein d’un même environnement professionnel, la plate-forme a révolutionné l’expérience du réseau pour devenir omniprésente.

Depuis deux décennies, sa prééminence n’a pas infléchi. Loin de s’essouffler, cette technologie d’un quart de siècle n’a jamais été aussi importante : elle s’inscrit comme la base de la plupart des systèmes de gestion des identités cloud qu’utilisent les entreprises du monde entier.

Pourtant, là où la solution AD demeure indispensable à la plupart des organisations de la planète, elle représente un danger en matière de sécurité.

En quoi la plate-forme AD pose-t-elle aujourd’hui problème ?

AD est vulnérable pour plusieurs raisons.

Premièrement, la solution n’a pas été conçue pour affronter des menaces de sécurité complexes. Sa sortie remonte à une époque antérieure aux ransomwares, aux cyber-installations sophistiquées sous contrôle des états et à l’adoption du cloud computing. Venue tout droit du passé, cette technologie ne peut se confronter efficacement aux menaces avancées d’aujourd’hui.

Deuxièmement, AD offre une conception ouverte au profit de la simplicité d’utilisation. Afin de privilégier une expérience utilisateur fluide, la solution considère les utilisateurs connectés au réseau comme dignes de confiance. De nos jours, cette ouverture constitue un enjeu épineux pour les solutions de défense, d’autant que les outils destinés à empêcher l’accès non autorisé sont très limités.

Troisièmement, son ancienneté signifie dans la plupart des cas que la plate-forme intègre plus de 20 ans de piètres décisions de sécurité initialement prises dans un souci d’opportunité. Elle s’inscrit ainsi comme une cible de taille que même un pirate amateur ne saurait manquer.

De fait, les vulnérabilités d’AD exposent près de 90 % des entreprises à des failles de sécurité, d’autant que neuf cyberattaques sur dix sont, d’une manière ou d’une autre, liées à AD.

Tout comme les modes d’attaque qui ciblent la plate-forme AD, ces statistiques font froid dans le dos. Penchons-nous plus précisément sur ce processus.

• Un pirate compromet un ordinateur par phishing

Un pirate envoie un message ou un e-mail frauduleux à une cible afin de l’inciter à lui divulguer des informations confidentielles, comme ses identifiants de connexion à AD.

• Il travaille ensuite à récupérer les privilèges sur la machine locale

Le pirate peut utiliser plusieurs procédés pour accroître ses privilèges sur la machine, en exploitant les vulnérabilités de l’appareil.

• Il utilise AD pour détecter d’autres appareils

Le pirate utilise ensuite AD pour identifier d’autres ordinateurs et cartographier toutes les machines qui sont connectées et utilisées sur le réseau.

• Le pirate s’infiltre ensuite dans d’autres appareils

À partir de là, le pirate se déplace dans le réseau grâce à une reconnaissance difficile à détecter et pirate plusieurs machines afin d’identifier celle qui dispose des droits d’administrateur AD.

• Enfin, il obtient un accès sécurisé à un compte privilégié

Au bout du compte, il accède aux identifiants d’un compte privilégié ou d’un compte administrateur. Ainsi armé, il jouit d’un contrôle complet sur AD et toutes les composantes qui en dépendent.

L’attaque dite « par Golden Ticket » est l’un des modes d’attaque AD les plus populaires. Nous connaissons tous les tickets d’or du roman Charlie et la chocolaterie de Roald Dahl. De la même manière, les Golden Tickets (tickets d’or) du monde numérique ouvrent les portes de votre environnement informatique. Avec une attaque par Golden Ticket, l’auteur de la menace jouit d’un accès sans limites aux ressources du réseau sur lequel il peut résider indéfiniment sous le costume d’un utilisateur doté d’identifiants de niveau administrateur.