Zffoto - stock.adobe.com

Active Directory : les défis d’un grand ménage de printemps (imprévu)

En cas de fort soupçon de cyberattaque en cours, le temps est précieux, de même que la connaissance de son infrastructure. Et c’est justement l’un des points de blocage, lorsqu’il s’agit de couper l’herbe sous le pied d’un assaillant.

La saison n’y est pour rien : c’est plutĂ´t la suspicion de cyberattaque en cours, ou Ă  tout le moins d’intrusion, qui motive une vaste opĂ©ration de nettoyage de son annuaire Active Directory, comme nous l’expliquait dĂ©but dĂ©cembre dernier Benjamin Delpy, crĂ©ateur de Mimikatz.

Et de prĂ©ciser : dans le meilleur des cas, ce qui peut conduire Ă  une telle dĂ©cision, c’est l’observation d’un dĂ©placement latĂ©ral, « ou mĂŞme, la connaissance de la compromission d’un mot de passe Ă  privilège, ou de l’accès Ă  un hĂ´te avec un compte Ă  privilège dĂ©jĂ  connectĂ© Â». Car les donnĂ©es de persistance de l’authentification sont alors stockĂ©es en mĂ©moire vive et peuvent y ĂŞtre collectĂ©es avec un outil tel que Mimikatz, Ă  l’instar d’un jeton Kerberos ou d’un condensat – ou hash â€“ NTLM. 

Air France-KLM avait Ă©voquĂ© un risque « Ă©levĂ© Â» de cyberattaque, l’an dernier, pour inviter ses collaborateurs Ă  changer leur mot de passe Active Directory, sous un dĂ©lai de 24h. Tout rĂ©cemment, certains experts ont recommandĂ© d’au moins rĂ©initialiser les mots de passe des comptes permettant d’ouvrir une session sur les serveurs Exchange qui ont Ă©tĂ© affectĂ©s par la chaĂ®ne de vulnĂ©rabilitĂ©s dite Proxylogon. Pour Cyrille Barthelemy, PDG d’Intrinsec, c’est d’ailleurs bien simple : « en cas de compromission d’un serveur Exchange, il faut considĂ©rer de facto le risque de compromission du domaine, et mĂŞme le fait que le risque soit remontĂ© vers d’autres domaines via une forĂŞt Â». Et lĂ , les choses peuvent vite devenir très compliquĂ©es.

Face à l’urgence, des opérations considérées comme impossibles

Cyrille Barthelemy explique ainsi qu’en de telles circonstances, il faut « prendre des mesures d’évaluation de la compromission Â», Ă  savoir : « vĂ©rification des comptes Ă  privilèges existants et créés, rĂ©initialisation des mots de passe Ă  privilèges, double rĂ©initialisation des comptes Kerberos Â». Pour lui, « c’est un sujet complexe et d’expert Â» et mieux vaut « se faire accompagner en l’absence d’expertise en interne Â».

Mais il ajoute d’autres opĂ©rations : « auditer l’Active Directory en utilisant dĂ©jĂ  des outils comme PingCastle ou Alsid Â», et « investiguer sur les serveurs concernĂ©s – infrastructure Exchange, contrĂ´leurs de domaine, etc. Â» En fonction des rĂ©sultats de ces investigations, il convient de « considĂ©rer la nĂ©cessitĂ© de reconstruire une bulle de confiance avec un Active Directory neuf Â». Une opĂ©ration Ă  laquelle beaucoup de victimes de ransomware n’ont, hĂ©las, pas Ă©chappĂ©.

Concernant le changement des mots de passe pour les comptes des utilisateurs, des administrateurs, ou encore les comptes applicatifs, face Ă  la menace d’une attaque en cours… « j’ai surtout vu des gens faire en urgence des choses considĂ©rĂ©es comme impossibles prĂ©cĂ©demment. Parce qu’il n’y avait pas d’autres choix Â».

Les comptes qui ne posent pas (trop) de problèmes…

Ă€ Ă©couter Laurent Besset, directeur CyberdĂ©fense d’I-Tracing, et BenoĂ®t Patin, administrateur système chez Advens, on comprend que la question des comptes des utilisateurs finaux n’est forcĂ©ment la plus dĂ©licate. BenoĂ®t Patin souligne ainsi qu’il s’agit surtout de procĂ©dures et de communication : « il faut une procĂ©dure Ă  destination des utilisateurs afin qu’ils sachent quand, comment et pourquoi changer leur mot de passe. Cette procĂ©dure doit dĂ©crire les raisons du changement du mot de passe et aider l’utilisateur Ă  le changer, en indiquant comment choisir un bon mot de passe, pourquoi ne pas le rĂ©utiliser, comment les stocker (avec un gestionnaire de mots de passe, par exemple), etc. Â».

Et il convient de tenir compte des utilisateurs distants : « il faudra prĂ©voir une connexion VPN qui permettra au collaborateur de changer son mot de passe sans se dĂ©synchroniser de l’Active Directory. Il est important qu’une machine intĂ©grĂ©e Ă  l’active directory se connecte au rĂ©seau de l’entreprise, car le compte machine doit aussi ĂŞtre changĂ© rĂ©gulièrement. Ce changement est gĂ©rĂ© automatiquement Â».

Laurent Besset s’inscrit sur la mĂŞme ligne : « avec les utilisateurs finaux, c’est avant tout une question de support. Le changement de mot de passe est une source marginale d’erreurs chez les utilisateurs Â». MĂŞme si « la marge s’épaissit Â», lorsque des milliers d’utilisateurs le font en mĂŞme temps. Alors, la rĂ©ponse est connue : « coupler une communication adaptĂ©e avec un renforcement temporaire des structures de support aux utilisateurs Â». Mais le cas des utilisateurs, Ă©voquĂ© par BenoĂ®t Patin, n’est pas sans gĂ©nĂ©rer des difficultĂ©s. LĂ , explique Laurent Besset, « disposer de services de type self-care est plus qu’un facilitateur Â».

Et les autres

Les vraies difficultĂ©s se cristallisent en fait gĂ©nĂ©ralement sur les comptes de service, ceux qui ne sont pas liĂ©s Ă  des utilisateurs humains. Et, explique Laurent Besset, « ce n’est pas un problème d’outils, car il y a presque 10 ans que certaines solutions de coffre-fort disposent de fonctionnalitĂ©s permettant de gĂ©rer le stockage et le renouvellement des comptes machine-to-machine Â».

« Nous voyons rĂ©gulièrement des clients obligĂ©s de faire des exceptions lors de la reconstruction de leur SI après une attaque, par peur d’impact en renouvelant le mot de passe de certains comptes de service critiques Â».
Laurent BessetDirecteur Cyberdéfense, I-Tracing

D’oĂą viennent donc les difficultĂ©s ? D’un dĂ©calage entre les bonnes pratiques et la rĂ©alitĂ©. Ainsi, BenoĂ®t Patin explique que l’usage veut que l’on « rĂ©initialise au moins une fois par an les comptes de services Â». Ce qui implique de bien « identifier oĂą ces comptes sont utilisĂ©s et planifier les changements en heures non ouvrĂ©es pour Ă©viter la coupure de service Â». Ça, c’est pour la thĂ©orie.

Dans la pratique, Laurent Besset explique que « beaucoup d’organisations ont accumulĂ© une dette technique importante au fil des ans et progressivement perdu le contrĂ´le de tout ou partie des comptes techniques Â». Sur le terrain, « nous voyons rĂ©gulièrement des clients obligĂ©s de faire des exceptions lors de la reconstruction de leur SI après une attaque, par peur d’impact en renouvelant le mot de passe de certains comptes de service critiques Â».

L’indicateur du niveau de maĂ®trise des actifs ? « Les projets d’intĂ©gration des solutions de coffre-fort Â», explique Laurent Besset, car « les fonctionnalitĂ©s que j’évoque sont rĂ©gulièrement sorties du pĂ©rimètre ou dĂ©priorisĂ©es parce “trop compliquĂ©es Ă  mettre en Ĺ“uvre” Â».

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)