Active Directory : les défis d’un grand ménage de printemps (imprévu)
En cas de fort soupçon de cyberattaque en cours, le temps est précieux, de même que la connaissance de son infrastructure. Et c’est justement l’un des points de blocage, lorsqu’il s’agit de couper l’herbe sous le pied d’un assaillant.
La saison n’y est pour rien : c’est plutôt la suspicion de cyberattaque en cours, ou à tout le moins d’intrusion, qui motive une vaste opération de nettoyage de son annuaire Active Directory, comme nous l’expliquait début décembre dernier Benjamin Delpy, créateur de Mimikatz.
Suite de l'article ci-dessous
Télécharger gratuitement ce guide
Stratégie DSI #10 - Spécial Sécurité du SI : IAM/Sécu cloud/Ransomware
Télétravail, croissance du nombre d’attaque par Ransomware : en quelques semaines la sécurité du système d’information s’est retrouvée au centre de toutes les préoccupations. Notre numéro 10 de Stratégie DSI fait le point sur la situation au travers de conseils et retours d’expérience sur les principaux points à auditer.
Et de préciser : dans le meilleur des cas, ce qui peut conduire à une telle décision, c’est l’observation d’un déplacement latéral, « ou même, la connaissance de la compromission d’un mot de passe à privilège, ou de l’accès à un hôte avec un compte à privilège déjà connecté ». Car les données de persistance de l’authentification sont alors stockées en mémoire vive et peuvent y être collectées avec un outil tel que Mimikatz, à l’instar d’un jeton Kerberos ou d’un condensat – ou hash – NTLM.
Air France-KLM avait évoqué unrisque « élevé » de cyberattaque, l’an dernier, pour inviter ses collaborateurs à changer leur mot de passe Active Directory, sous un délai de 24h. Tout récemment, certains experts ont recommandé d’au moins réinitialiser les mots de passe des comptes permettant d’ouvrir une session sur les serveurs Exchange qui ont été affectés par lachaîne de vulnérabilités dite Proxylogon. Pour Cyrille Barthelemy, PDG d’Intrinsec, c’est d’ailleurs bien simple : « en cas de compromission d’un serveur Exchange, il faut considérer de facto le risque de compromission du domaine, et même le fait que le risque soit remonté vers d’autres domaines via une forêt ». Et là, les choses peuvent vite devenir très compliquées.
Face à l’urgence, des opérations considérées comme impossibles
Cyrille Barthelemy explique ainsi qu’en de telles circonstances, il faut « prendre des mesures d’évaluation de la compromission », à savoir : « vérification des comptes à privilèges existants et créés, réinitialisation des mots de passe à privilèges, double réinitialisation des comptes Kerberos ». Pour lui, « c’est un sujet complexe et d’expert » et mieux vaut « se faire accompagner en l’absence d’expertise en interne ».
Mais il ajoute d’autres opérations : « auditer l’Active Directory en utilisant déjà des outils comme PingCastle ou Alsid », et « investiguer sur les serveurs concernés – infrastructure Exchange, contrôleurs de domaine, etc. » En fonction des résultats de ces investigations, il convient de « considérer la nécessité de reconstruire une bulle de confiance avec un Active Directory neuf ». Une opération à laquelle beaucoup de victimes de ransomware n’ont, hélas, pas échappé.
Concernant le changement des mots de passe pour les comptes des utilisateurs, des administrateurs, ou encore les comptes applicatifs, face à la menace d’une attaque en cours… « j’ai surtout vu des gens faire en urgence des choses considérées comme impossibles précédemment. Parce qu’il n’y avait pas d’autres choix ».
Les comptes qui ne posent pas (trop) de problèmes…
À écouter Laurent Besset, directeur Cyberdéfense d’I-Tracing, et Benoît Patin, administrateur système chez Advens, on comprend que la question des comptes des utilisateurs finaux n’est forcément la plus délicate. Benoît Patin souligne ainsi qu’il s’agit surtout de procédures et de communication : « il faut une procédure à destination des utilisateurs afin qu’ils sachent quand, comment et pourquoi changer leur mot de passe. Cette procédure doit décrire les raisons du changement du mot de passe et aider l’utilisateur à le changer, en indiquant comment choisir un bon mot de passe, pourquoi ne pas le réutiliser, comment les stocker (avec un gestionnaire de mots de passe, par exemple), etc. ».
Et il convient de tenir compte des utilisateurs distants : « il faudra prévoir une connexion VPN qui permettra au collaborateur de changer son mot de passe sans se désynchroniser de l’Active Directory. Il est important qu’une machine intégrée à l’active directory se connecte au réseau de l’entreprise, car le compte machine doit aussi être changé régulièrement. Ce changement est géré automatiquement ».
Laurent Besset s’inscrit sur la même ligne : « avec les utilisateurs finaux, c’est avant tout une question de support. Le changement de mot de passe est une source marginale d’erreurs chez les utilisateurs ». Même si « la marge s’épaissit », lorsque des milliers d’utilisateurs le font en même temps. Alors, la réponse est connue : « coupler une communication adaptée avec un renforcement temporaire des structures de support aux utilisateurs ». Mais le cas des utilisateurs, évoqué par Benoît Patin, n’est pas sans générer des difficultés. Là, explique Laurent Besset, « disposer de services de type self-care est plus qu’un facilitateur ».
Et les autres
Les vraies difficultés se cristallisent en fait généralement sur les comptes de service, ceux qui ne sont pas liés à des utilisateurs humains. Et, explique Laurent Besset, « ce n’est pas un problème d’outils, car il y a presque 10 ans que certaines solutions de coffre-fort disposent de fonctionnalités permettant de gérer le stockage et le renouvellement des comptes machine-to-machine ».
« Nous voyons régulièrement des clients obligés de faire des exceptions lors de la reconstruction de leur SI après une attaque, par peur d’impact en renouvelant le mot de passe de certains comptes de service critiques ».
Laurent BessetDirecteur Cyberdéfense, I-Tracing
D’où viennent donc les difficultés ? D’un décalage entre les bonnes pratiques et la réalité. Ainsi, Benoît Patin explique que l’usage veut que l’on « réinitialise au moins une fois par an les comptes de services ». Ce qui implique de bien « identifier où ces comptes sont utilisés et planifier les changements en heures non ouvrées pour éviter la coupure de service ». Ça, c’est pour la théorie.
Dans la pratique, Laurent Besset explique que « beaucoup d’organisations ont accumulé une dette technique importante au fil des ans et progressivement perdu le contrôle de tout ou partie des comptes techniques ». Sur le terrain, « nous voyons régulièrement des clients obligés de faire des exceptions lors de la reconstruction de leur SI après une attaque, par peur d’impact en renouvelant le mot de passe de certains comptes de service critiques ».
L’indicateur du niveau de maîtrise des actifs ? « Les projets d’intégration des solutions de coffre-fort », explique Laurent Besset, car « les fonctionnalités que j’évoque sont régulièrement sorties du périmètre ou dépriorisées parce “trop compliquées à mettre en œuvre” ».
