Surveiller la sûreté de l’infrastructure Active Directory sur son cycle de vie

Fondée en 2016, Alsid vient de remporter les prix de l’innovation et du public des Assises de la Sécurité. Ils lui seront remis à l’occasion de la prochaine édition de l’événement, début octobre, à Monaco. Il faut dire que la jeune pousse, créée en 2016 par deux anciens de l’Agence nationale de la sécurité des systèmes d’information (Anssi), s’attaque à un sujet clé.

Et s’il le fallait, pour en mesurer l’importance, il suffirait de se replonger dans le retour d’expérience récemment réalisé par l’Anssi à l’occasion du Symposium sur la sécurité des technologies de l’information et des communications (Sstic), qui se déroulait récemment à Rennes, sur l’attaque qui a visé la chaîne de télévision TV5 Monde, au printemps 2015. Ce retour d’expérience montre le rôle clé qu’a joué la compromission de l’annuaire Active Directory.

Mais à l’occasion d’un échange téléphonique, Emmanuel Gras, patron d’Alsid et son cofondateur, avec Luc Delsalle, le directeur technique de la jeune pousse, explique que cette attaque n’est que « la partie émergée de l’iceberg ». Car alors que les deux partenaires étaient encore au centre opérationnel de l’Anssi, ils ont été amenés à traiter « beaucoup d’autres cas, dont certains beaucoup plus graves ». Et des cas où l’annuaire s’est avéré jouer un rôle clé dans l’attaque, « il y a beaucoup d’autres ».

Et s’il fallait se convaincre de l’expertise d’Emmanuel Gras, peut-être suffirait-il de se pencher sur AD Control Paths, un outil qu’il a présenté avec Lucas Bouillot à l’édition 2014 du Sstic et que l’Anssi propose aujourd’hui en accès libre sur GitHub. Et que l’agence a utilisé à l’occasion de son intervention auprès de TV5 Monde.  

En fait, Emmanuel Gras explique qu’une « infrastructure Active Directory, juste après son installation, il n’y a généralement pas de problèmes de configuration ; les permissions, les groupes sont bien positionnés ; les suites cryptographiques sont à l’état de l’art », etc. En fait, « à J+1, un annuaire AD, c’est relativement difficile à compromettre ». Mais le temps passe et les choses peuvent changer : « ce qui est beaucoup plus à faire, c’est de s’assurer, un an, deux ans, trois ans après, une fois que le système a vécu, que l’on est toujours à l’état de l’art ».

Alors Alsid a développé un service de surveillance en continu de la conformité de l’infrastructure Active Directory. Un outil qui ne s’adresse pas à experts de la sécurité AD, peu nombreux, parce que « les entreprises qui en disposent en interne ne sont pas forcément celles qui ont le plus besoin de notre aide ».

Baptisé DSC, l’outil d’Alsid se veut donc « packagé, sur étagère et prêt à déployer rapidement ». De fait, il ne nécessite qu’un compte simple, sans privilèges particulier, avec des capacités d’accès distant, « comme pour un collaborateur qui a besoin de faire du télétravail ». Au-delà, pas besoin d’agent à déployer en local, ni même de sondes pour inspecter le trafic réseau.

DSC peut s’utiliser soit dans une démarche de pilotage, pour aider à mettre en avant ce qui doit être corrigé, soit dans une approche de surveillance en continu pour « s’assurer de l’absence de dégradation, lorsque l’on part d’une base saine ». Et oui, selon Emmanuel Gras, l’outil « aurait permis de détecter les problèmes initiaux qui ont permis à l’attaquant [de TV5 Monde] de compromettre le système, et surtout le moment où il a commencé à étendre son emprise ».

Si DSC peut s’utiliser de manière autonome, à travers le tableau de bord qu’il propose, il est conçu pour envoyer des événements à des équipes travaillant en centre opérationnel de sécurité (SOC), et peut donc s’intégrer avec un système de gestion des informations et des événements de sécurité (SIEM).

En outre, Emmanuel Gras n’appréhende pas DSC concurrent d’un outil comme Privileged Threat Analytics de CyberArk. Ce dernier, dont la version 3.0 avait été présentée début 2016, est notamment capable de détecter les attaques visant le protocole Kerberos, en particulier l’attaque en usurpation d’identité au Gold Ticket. Un complément, en fait, pour le patron d’Alsid, qui « permet de savoir quand un attaquant est dans les murs ». De la détection, donc, quand DSC travaille sur la prévention.