Salah Koudjih

Comment protéger votre Active Directory ?

Comment protéger votre Active Directory (AD) des nouvelles menaces ?

 

L’année 2020 a connu une recrudescence importante des attaques informatiques contre les entreprises, les hôpitaux et les collectivités territoriales. Nous nous sommes rendu compte que les attaquants ciblent régulièrement l’annuaire Active Directory (AD) qui est présent dans plus de 95% des entreprises et des organisations disposant de plus de 50 postes de travail.

Nous allons tenter de comprendre l’intérêt porté par les attaquants pour cet annuaire AD. Pour cela, tâchons de nous intéresser aux fonctionnalités de cet annuaire. L’AD est un annuaire chargé de répertorier tous les objets du réseau d’une entreprise tels que des stations de travail, serveurs, utilisateurs, imprimantes, partages réseau, courriers électroniques, etc. Il permet aussi de centraliser l’authentification et l’identification des utilisateurs qui accèdent aux ressources de ce réseau.

 

Pourquoi les pirates ciblent prioritairement l’annuaire AD ?

 

La majorité des architectures basées sur une infrastructure AD sont implémentées depuis une vingtaine d’années (les années 2000). Par rapport aux normes de sécurité d’aujourd’hui, on peut dire qu’elles sont complètement dépassées. Les préoccupations de l’époque autour de la cybersécurité n’étaient pas aussi exigeantes que celles que nous connaissons aujourd’hui, en d’autres termes, les changements d’architectures ne prenaient pas en compte les menaces de cybersécurité.

L’AD est un élément central dans toutes les organisations, il connait chaque équipement réseau et à quel utilisateur il appartient. Vous devinez aisément l’importance que les attaquants accordent à la compromission de cet annuaire. Pour vous en convaincre, si des attaquants réussissent à compromettre votre AD, ils pourront accéder aisément au contenu des e-mails, aux bilans comptables, aux rapports financiers, à la liste de vos clients, aux tarifs de vos produits, à vos secrets industriels, et la liste est encore longue…

 

Comment les attaquants arrivent à compromettre l’annuaire AD ?

 

Les attaquants ont souvent recours à la technique de spear phishing (harponnage) : l’envoi d’un mail avec une pièce jointe malveillante ou un lien douteux. Grâce à la technique d’Ingénierie Sociale, ils incitent l’employé à télécharger une pièce jointe ou à cliquer sur un lien malveillant pour entrer des informations confidentielles ou pour télécharger un fichier vérolé. Suite à cette ouverture de pièce jointe, le fichier malveillant s’installe sur la machine de l’utilisateur. Le prochain objectif consiste à élever leurs privilèges sur la station compromise, le but étant alors de devenir administrateur local. A partir de la machine compromise, appelée patient zéro, ils vont procéder à une reconnaissance du réseau interne suivie de mouvements latéraux pour compromettre d’autres ordinateurs du réseau. Cette démarche se poursuivra jusqu’à l’obtention d’un compte administrateur du domaine qui leur donnera un accès total et sans restriction à tout le système d’information de l’entreprise.

 

Quels sont les mesures à prendre pour protéger votre annuaire AD?

 

Vous comprenez maintenant tout l’intérêt de protéger votre annuaire. Pour vous aider dans ce sens, nous allons nous intéresser à quelques mesures à prendre pour diminuer ou éradiquer cette menace.

Il est important de prendre conscience que la cause principale d’une attaque sur un AD provient souvent des mauvaises pratiques de sécurité (utilisation de mots de passe faibles donc facile à cracker, des mots de passe identiques pour la plupart des applications de l’entreprise, les mots de passe de constructeurs et d’éditeurs laissés par défaut…) et sans oublier les vulnérabilités non patchées.

Il est donc primordial de suivre quelques recommandations parmi lesquelles fera partie l’installation d’outils de supervision qui surveilleront régulièrement toutes les modifications suspectes qui sont apportées à votre AD. La surveillance reste une mesure fondamentale pour la détection de signes avant-coureurs d’une attaque (détection de signaux faibles).

Un audit régulier de votre AD permet de détecter de mauvaises configurations ainsi que des failles de sécurité qu’il faudra rapidement corriger.

Nous remarquons que la plupart des compromissions par des ransomwares pourraient être minimisées si une politique de mise à jour des serveurs, des stations de travail et des applications était implémentée régulièrement au sein de l’entreprise.

Nous recommandons également de réduire et de protéger les comptes à forts privilèges pour limiter la surface d’attaque et d’exposition en cas de compromission. Une des best practices consiste à séparer les comptes utilisés pour les tâches d’administration quotidiennes des comptes d’administration du domaine qui eux doivent servir uniquement à gérer l’AD et qui n’ont pas le droit de se connecter à Internet. Cette mesure renforce la sécurité en limitant au maximum le vol des identifiants/mots de passe des comptes à forts privilèges.

Pour des entreprises plus matures qui souhaitent renforcer leur niveau de sécurité, Microsoft recommande le Tiering Model :

Cette architecture repose sur 3 couches d’administration qui sont hermétiques entre elles. En cas de compromission d’une couche, l’attaquant n’est pas en mesure de compromettre les autres couches.

 

Les différentes couches sont organisées en silo :

Tier-0 (niveau 0) :  Cette couche est la plus importante, elle sert à administrer les ressources critiques d’une entreprise qui sont liées à l’AD (contrôleurs de domaine, serveurs de mise à jour, PKI interne, postes d’administrateurs, etc.)

Tier-1 (niveau 1) : Cette couche concerne les serveurs et applications de l’entreprise  (WSUS, serveurs de mails, serveurs métiers, etc.)

Tier-2 (niveau 2) : Cette couche regroupe les ressources moins critiques pour l’entreprise (imprimantes, stations de travails, terminaux mobiles, etc.). Mais c’est aussi une couche à risque car les utilisateurs peuvent être victimes du phishing et peuvent déclencher l’exécution d’un ransomware.

                             

                                 Tiering Model,  Source Microsoft

 

Pour mieux appréhender cette architecture, si je suis un utilisateur et que je souhaite me connecter à un poste de travail, l’AD va vérifier si je dispose bien des droits requis pour me connecter. Supposons que je sois un administrateur du tier-0 et que je veuille me connecter sur un poste du tier-2, dans ce cas, la connexion va échouer.

Cette disposition en couche permet de mieux sécuriser l’AD en empêchant les déplacements latéraux d’un attaquant qui ne sera plus en mesure de passer d’une couche à une autre.

Si malgré toutes ces précautions, vous êtes quand même victime d’un rançongiciel, il vous reste une possibilité : sauver votre entreprise et éviter un chantage à la rançon pour espérer récupérer vos données. Il vous faut restaurer vos sauvegardes. Assurez-vous au préalable de restaurer une sauvegarde exsangue de toute infection par le malware. Vous pouvez dans ce cas auditer vos sauvegardes pour vous assurer de leur intégrité avant de les restaurer. S’il n’est pas possible de restaurer vos données, la dernière solution est d’envisager une reconstruction. Attention cependant, cette solution est longue et fastidieuse.

Pour en finir, l’AD étant l’élément incontournable de votre organisation, la détection en amont d’une attaque permet à l’équipe du SI de réagir rapidement pour la circonscrire avant qu’elle ne se propage à l’ensemble du réseau de l’entreprise.

Pour vous aider à y voir plus clair, avant que l’inévitable ne survienne, iDNA et AURA IT peuvent vous accompagner en vous proposant du conseil et des outils adaptés à ce type d’évènement.

Articles associés

Les IA font évoluer les attaques

7 février 2024
  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

13 décembre 2023
  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
Partager cet article
Derniers articles

Le groupe iDNA soutient le Challenge de Marine

Il y a quelques mois, nous avions lancé un appel à projets auprès de nos collaborateurs. Notre jury a décidé de soutenir le projet proposé par Marine : le Défi de la Muzelle. Elle répond à nos questions :   Qui es-tu et quel est ton poste au sein du groupe iDNA ? Je m’appelle Marine, je viens […]

Portrait de Francisca, Chargée des Ressources Humaines au sein du groupe iDNA

Depuis juin 2021, Francisca occupe le poste de Chargée des Ressources Humaines au sein du groupe iDNA. Elle a accepté de nous livrer son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.   Peux-tu te présenter rapidement ? Je m’appelle Francisca, j’habite en banlieue parisienne et je suis chargée des Ressources […]

Portrait d’Aurore, Responsable des Ressources Humaines au sein du groupe iDNA

Depuis 8 ans maintenant, Aurore occupe le poste de Responsable des Ressources Humaines au sein du groupe iDNA. C’est avec un grand sourire qu’elle a accepté de répondre à nos questions. Découvrez son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.    Peux-tu te présenter rapidement ? Je m’appelle Aurore, j’ai […]

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]