L’Anssi se fait conseiller en sécurité d’Active Directory

À l’occasion d’un échange récent sur la sauvegarde d’Active Directory, Emmanuel Gras, PDG cofondateur d’Alsid, ancien de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), soulignait : les compétences en sécurité pour ce type d’infrastructure sont rares – extrêmement rares – et donc chères, en Europe. Dans ce contexte, le lancement d’une offre dédiée par l’Anssi apparaît plus qu’opportun.

L’agence vient en effet d’annoncer un nouveau service visant à accompagner la sécurisation des annuaires Active Directory des acteurs critiques. Et selon elle, cela ne relève en rien d’un luxe : « les prestations d’audit effectuées par l’Anssi auprès de ses bénéficiaires (OIV, OSE, administrations) font apparaître un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory provoquant un affaiblissement significatif du niveau global de sécurité des systèmes d’information ».

De fait, comme elle le souligne, le risque n’est pas négligeable : « l’obtention de privilèges élevés sur l’AD entraîne par conséquent une prise de contrôle instantanée et complète de tout le SI ». Et certaines victimes de rançongiciels en font l’amère expérience : les experts l’évoquaient déjà au printemps dernier, alors que LockerGoga faisait parler de lui, notamment chez Norsk Hydro. Ivan Kwiatkowski, chercheur en sécurité chez Kaspersky, l’assurait alors : « les acteurs derrière LockerGoga ont réfléchi sérieusement et longuement à la manière de maximiser leurs gains ». Félix Aimé, analyste chez le même éditeur, ajoutait : « ils savent parfaitement combien de postes de travail et de serveurs ont été visés grâce à [l’annuaire] Active Directory ». Et le phénomène est loin d’être limité à ce seul ransomware.

Quant à l’hygiène de base autour de l’infrastructure Active Direcory… lors de l’édition 2017 du Forum International de la Cybersécurité, qui ouvre à nouveau ses portes cette semaine à Lille, les équipes de BlueCyForce se prêtaient à un exercice d’intrusion simulé, en direct. La démonstration, impressionnante, interpellait sur l’exposition de l’Active Directory. Et là, la conclusion était sans appel : « beaucoup d’annuaires Active Directory sont autorisés à se connecter à l’extérieur ». Et c’est sans compter la rigueur des processus de gestion et de gouvernance des identités et de leur cycle de vie…

Le nouveau service de l’Anssi consiste donc à mettre « à disposition des opérateurs réglementés et de la sphère publique une capacité d’audit des annuaires AD visant à leur donner de la visibilité sur le niveau de sécurité de leur annuaire et à les accompagner dans son durcissement, par l’application progressive de mesures adéquates, avec un suivi dans le temps ».

Pour ce service, l’Anssi s’appuie notamment sur l’outil Oradad qu’elle a rendu public fin 2018 et décrit comme « aidant à extraire les données Active Directory via LDAP pour assister dans les missions d’audit de sécurité ». Il s’appuie notamment sur DirectoryCrawler et supporte les forêts multidomaines.
Ce dernier outil est un module d’AD Control Paths qui permet de déterminer les relations de contrôle entre entités d’un domaine et de les présenter sous forme graphique : de quoi visualiser les chemins permettant de remonter vers les niveaux de contrôle les plus élevés. Et ainsi de déterminer les maillons faibles de l’infrastructure. De quoi, effectivement, alimenter des recommandations éclairées.