C’était la période de Noël au royaume de l’Active Directory. Les administrateurs parcouraient leur domaine, tel de joyeux lutins, confiant en la sécurité mise en place. Et pourtant, tapis à l’orée de la forêt, des envahisseurs attendent le moindre faux-pas pour les prendre dans leurs pièges et sceller le destin du royaume.
Si Active Directory reste le standard dans les entreprises en ce qui concerne la gestion des utilisateurs, son rôle ne s’arrête désormais plus là. Depuis sa première incarnation avec Windows 2000, il y a désormais deux décades, des fonctionnalités supplémentaires n’ont cessé de lui être ajouté, de la délivrance de certificats à la protection de vos données. Et si Microsoft a tout fait pour simplifier l’administration d’une forêt et de ses domaines, la complexité intrinsèque d’Active Directory reste le plus grand facteur de risque quant à la sécurité.
Une entreprise va probablement voir son Active Directory grandir d’une unique forêt contenant un seul domaine, à une organisation plus étendue, via par exemple la création d’autres domaines pour chacune de ses branches géographiques. Et avec la jonction d’autres forêts à l’occasion de rachats ou de joint-ventures, il est courant d’arriver après quelques années à une infrastructure comprenant des centaines de milliers d’objets et une forêt complexe. De plus, au fil du temps, Microsoft publiant régulièrement de nouvelles versions de Windows server, les équipes IT ont eu plusieurs fois à migrer données, configurations et surtout les permissions associées. De tels changements doivent se reposer sur une gouvernance appropriée, mais qui se dote de nos jours d’une gouvernance dédiée à Active Directory ?
Les risques sont donc grands, et ne se cantonnent aux aspects techniques. A ceux-ci s’ajoutent des difficultés d’ordre structurelle. Si les équipes sont en sous-effectifs, un cumul des rôles devient inévitable. Sans moyens ni contrôles adéquats, le vol des identifiants d’un utilisateur privilégié connecté sur une machine pour remplir ses tâches quotidiennes peuvent rapidement déboucher sur une compromission totale du domaine. Inversement, si la segmentation des responsabilités parmi les équipes IT devient rapidement nécessaire, voir recommandée une fois passé une certaine taille d’architecture, elle peut aussi entraîner des défauts de communication. Lorsque l’équipe qui gère l’infrastructure omet de prévenir la Blue team de changements effectués en urgence, pour rapprocher deux départements comptabilité lors d’une fusion par exemple, de nouvelles failles de sécurité sont potentiellement introduites. Personne n’a oublié l’attaque via «NotPetya», qui, en juin 2017, avait fait parmi ses victimes un grand groupe qui a évalué ses pertes à 250M€, après avoir été infecté à travers une de ses filiales.
Dès lors, comment s’assurer que la sécurité d’une infrastructure est demeurée inviolée, voir qu’elle n’a pas déjà été compromise ?
L’application des recommandations de sécurité régulièrement mises à jour par Microsoft est un bon point de départ. Mais le faire correctement peut s’avérer un parcours semé d’embûches. Les dernières itérations du concept de « red forest » (ESAE : Enhanced Security Administrative Environment) viennent avec une mise en œuvre planifiée sur plus de six mois, et introduisent des composants supplémentaires comme des forêts privées dédiées au management, ce qui ne va pas sans accroitre la complexité de l’architecture en place. La ségrégation par tiers, base de ces recommandations, est aussi rarement implémentée de façon stricte. L’infrastructure de backup, bien que recelant des informations confidentielles, n’est bien souvent pas managée comme le Tier 0, considéré comme le plus critique du point de vue de la sécurité. Et il en va de même pour les produits de gestion de software ou les plateformes de virtualisation, qui permettent pourtant de déployer des logiciels ou de contrôler des serveurs critiques.
Auditer régulièrement l’ensemble des objets d’un Active Directory est ainsi nécessaire. Malheureusement, le paradigme consistant à ne monitorer que les membres de certains groupes privilégiés n’est plus valide au regard des récentes techniques développées pour compromettre et maintenir une certaine persistance dans un Active Directory. Les acteurs malveillants parviennent désormais à abuser les droits de certains objets et services pour réaliser des opérations sensibles avec les permissions d’un utilisateur standard, les rendant quasiment indétectables par les outils d’analyse couramment utilisés.
Une approche holistique et continue est donc nécessaire afin assurer l’intégrité d’une infrastructure. Excellium a la capacité de fournir un audit en service continu d’un Active Directory, d’identifier les chemins d’exploitation possibles et aussi les faiblesses de configuration. En fournissant une grille lecture sur plusieurs niveaux, alliant commentaires techniques et vue générale en continu de votre Active Directory, nos experts sauront vous accompagner lors de la mise en place de remédiations adaptées à votre architecture, tant au niveau de la gouvernance que sur des aspects les plus techniques des recommandations. Et pour toute levée de doute, notre CSIRT – Computer Security Incident Response Team, est à votre disposition pour procéder à une analyse complète de votre parc et vous assurer de son intégrité.
