Les fondements de la sécurité Active Directory

En substance, AD est une plate-forme qui connecte les collaborateurs à leurs ressources sur un réseau d’entreprise (partage de messageries ou de fichiers en réseau). Elle permet aux administrateurs de gérer les droits de chaque utilisateur, de les authentifier lorsqu’ils se connectent et de déterminer les ressources auxquelles ils peuvent accéder.

AD offre de nombreux avantages. À la fois simple et résolument fiable, la plate-forme existe depuis de nombreuses années. Pour autant, nombreuses sont les entreprises qui ne connaissent pas les risques de sécurité qu’elle véhicule.

Retour sur l’histoire d’AD

Avant le lancement d’AD en 2000, l’évolutivité des serveurs d’annuaire informatique de Microsoft n’était pas suffisante pour répondre aux besoins des moyennes et des grandes entreprises qui devaient alors opter pour un grand nombre de serveurs. Ainsi, une entreprise comptant un millier de collaborateurs pouvait utiliser jusqu’à 200 serveurs différents.

Cela représentait un souci majeur pour les entreprises : non seulement ces serveurs individuels impliquaient une gestion complexe avec des identifiants de connexion uniques, mais ils paralysaient certaines activités comme le partage de fichiers en raison des difficultés de communication rencontrées.

L’avènement d’AD a mis un terme à ce problème. Forte d’une intégration simple aux applications et de fonctionnalités d’authentification unique au sein d’un même environnement professionnel, la plate-forme a révolutionné l’expérience du réseau pour devenir omniprésente.

Depuis deux décennies, sa prééminence n’a pas infléchi. Loin de s’essouffler, cette technologie d’un quart de siècle n’a jamais été aussi importante : elle s’inscrit comme la base de la plupart des systèmes de gestion des identités cloud qu’utilisent les entreprises du monde entier.

Pourtant, là où la solution AD demeure indispensable à la plupart des organisations de la planète, elle représente un danger en matière de sécurité.

En quoi la plate-forme AD pose-t-elle aujourd’hui problème ?

AD est vulnérable pour plusieurs raisons.

Premièrement, la solution n’a pas été conçue pour affronter des menaces de sécurité complexes. Sa sortie remonte à une époque antérieure aux ransomwares, aux cyber-installations sophistiquées sous contrôle des états et à l’adoption du cloud computing. Venue tout droit du passé, cette technologie ne peut se confronter efficacement aux menaces avancées d’aujourd’hui.

Deuxièmement, AD offre une conception ouverte au profit de la simplicité d’utilisation. Afin de privilégier une expérience utilisateur fluide, la solution considère les utilisateurs connectés au réseau comme dignes de confiance. De nos jours, cette ouverture constitue un enjeu épineux pour les solutions de défense, d’autant que les outils destinés à empêcher l’accès non autorisé sont très limités.

Troisièmement, son ancienneté signifie dans la plupart des cas que la plate-forme intègre plus de 20 ans de piètres décisions de sécurité initialement prises dans un souci d’opportunité. Elle s’inscrit ainsi comme une cible de taille que même un pirate amateur ne saurait manquer.

De fait, les vulnérabilités d’AD exposent près de 90 % des entreprises à des failles de sécurité, d’autant que neuf cyberattaques sur dix sont, d’une manière ou d’une autre, liées à AD.

Tout comme les modes d’attaque qui ciblent la plate-forme AD, ces statistiques font froid dans le dos. Penchons-nous plus précisément sur ce processus.

• Un pirate compromet un ordinateur par phishing

Un pirate envoie un message ou un e-mail frauduleux à une cible afin de l’inciter à lui divulguer des informations confidentielles, comme ses identifiants de connexion à AD.

• Il travaille ensuite à récupérer les privilèges sur la machine locale

Le pirate peut utiliser plusieurs procédés pour accroître ses privilèges sur la machine, en exploitant les vulnérabilités de l’appareil.

• Il utilise AD pour détecter d’autres appareils

Le pirate utilise ensuite AD pour identifier d’autres ordinateurs et cartographier toutes les machines qui sont connectées et utilisées sur le réseau.

• Le pirate s’infiltre ensuite dans d’autres appareils

À partir de là, le pirate se déplace dans le réseau grâce à une reconnaissance difficile à détecter et pirate plusieurs machines afin d’identifier celle qui dispose des droits d’administrateur AD.

• Enfin, il obtient un accès sécurisé à un compte privilégié

Au bout du compte, il accède aux identifiants d’un compte privilégié ou d’un compte administrateur. Ainsi armé, il jouit d’un contrôle complet sur AD et toutes les composantes qui en dépendent.

L’attaque dite « par Golden Ticket » est l’un des modes d’attaque AD les plus populaires. Nous connaissons tous les tickets d’or du roman Charlie et la chocolaterie de Roald Dahl. De la même manière, les Golden Tickets (tickets d’or) du monde numérique ouvrent les portes de votre environnement informatique. Avec une attaque par Golden Ticket, l’auteur de la menace jouit d’un accès sans limites aux ressources du réseau sur lequel il peut résider indéfiniment sous le costume d’un utilisateur doté d’identifiants de niveau administrateur. 

Retour sur la menace

La plate-forme AD n’est pas seulement problématique parce qu’elle est une proie facile : pour les pirates, le jeu en vaut la chandelle.

Sur le fond, AD renferme les clés de votre royaume. Imaginez un coffre-fort dans lequel vous conserveriez les clés de votre bureau : la solution AD est ce coffre-fort. Elle est la plaque tournante qui permet d’accéder à vos systèmes essentiels, à savoir vos ordinateurs, vos applications logicielles et vos ressources.

Elle est dangereuse, du fait de sa simplicité et de son caractère lucratif. En 2021, une entreprise a dû payer une rançon de près de 40 millions de dollars pour récupérer l’accès à son réseau.

En parallèle, les outils destinés à interdire l’accès aux pirates sont en chute libre. L’avènement du marché florissant du Ransomware-as-a-Service (RaaS) marque la fin d’un savoir-faire technique. Désormais, il suffit d’acheter les outils et les services des spécialistes.

L’engrenage est dévastateur : Là où l’enjeu pour les pirates ne cesse de prendre de l’ampleur, les connaissances techniques se réduisent comme peau de chagrin, élargissant démesurément le périmètre d’attaque.

Il n’y a donc rien d’étonnant à ce que l’International Data Corporation’s 2021 Ransomware Study ait récemment révélé que plus d’un tiers (37 %) des organisations internationales avaient été victimes d’une attaque par ransomware en 2021. En effet, les pirates ont toutes les cartes en main.

Quelle réponse pour les entreprises ?

Les organisations doivent contrer ce raz-de-marée.

Pour réduire au minimum les vulnérabilités, vous devez identifier vos points faibles. De nombreuses entreprises considèrent cette analyse comme une tâche titanesque, en particulier lorsque leurs connaissances en matière de cybersécurité sont réduites, voire inexistantes. Soyez pourtant assurés qu’il existe des solutions et des services de support dédiés.

Ainsi, Purple Knight offre une bonne base de départ. Développé et géré par un groupe phare d’experts en gestion des identités Microsoft, cet outil gratuit d’évaluation de la sécurité Active Directory vous permet d’identifier, avant les pirates, les points d’amélioration de votre plate-forme Active Directory tout en mettant en avant les vulnérabilités que vous devez résoudre.

Le dernier rapport Purple Knight répertorie l’ensemble des vulnérabilités potentielles. Toutefois, certains exemples courants s’adressent aux néophytes, notamment :

• Les dérives de configuration

Les dérives de configuration sont le fruit de plusieurs années de piètres pratiques AD. Pour fonctionner, les applications doivent être configurées sous AD, ce qui prend du temps. Une solution rapide consiste à accorder un trop grand nombre de droits d’administration à l’application. Cette pratique était autrefois l’apanage des entreprises désireuses d’utiliser leur tout nouvel outil le plus tôt possible. C’est ainsi que les comptes administrateurs ont commencé à pulluler sur AD. Pourtant, il suffit qu’un seul de ces comptes soit piraté pour que les conséquences soient catastrophiques.

• Les comptes administrateurs existants

Les comptes administrateurs existants posent des problèmes similaires. Leur placard renferme des cadavres : si un pirate parvient à accéder à ces comptes privilégiés, il reviendra vous hanter.

• Les mots de passe faibles ou courants

Les pirates tentent également d’accéder aux différents comptes en utilisant tout un éventail de mots de passe couramment utilisés. Connue sous le nom de « password spraying », cette technique peut-être aisément contrée en mettant fin à l’utilisation de mots de passe faibles ou courants sur votre réseau.

Mais l’identification et la résolution de ces vulnérabilités ne sont que la partie immergée de l’iceberg. Pour combattre efficacement et durablement la menace grandissante de la cybercriminalité, les organisations doivent adopter de manière proactive tout un ensemble de pratiques d’excellence.

Leur périmètre est vaste, qu’il s’agisse de mener régulièrement des audits de sécurité internes, d’apporter certaines améliorations opérationnelles, de former fréquemment les collaborateurs au phishing ou encore d’investir dans des processus de récupération afin de garantir une reprise rapide en cas d’attaque.

Pour obtenir un support ou des recommandations sur l’élaboration d’une stratégie de défense éprouvée et systématique, nous vous invitons à consulter des professionnels spécialistes de la sécurité AD afin d’identifier les évolutions principales que vous devez engager.

Les attaques Active Directory ne sont plus une hypothèse, mais une question de temps. Une entreprise qui corrige ses principales vulnérabilités AD se voit offrir de meilleures chances.

À l’inverse, elle deviendra une cible facile en proie aux conséquences les plus inenvisageables.