- Accueil
- Gestion des risques
- Votre Active Directory est-il armé pour affronter les pirates informatiques et les attaques de ransomware ?
Votre Active Directory est-il armé pour affronter les pirates informatiques et les attaques de ransomware ?
Des outils tels que Bloodhound, Mimikatz, LaZagne exploitent les faiblesses des réseaux et de l’Active Directory pour dérober les informations d’identification des utilisateurs. Grâce à ces identifiants, les hackers peuvent ensuite naviguer au sein du réseau sans être détectés, et tenter de subtiliser d’autres données. Il s’agit là d’une menace importante pour les environnements Active Directory. Les pirates informatiques peuvent également voler les identifiants utilisés pour d’autres services sur le cloud, tels que les ressources d’Amazon Web Services (AWS), de Microsoft Azure, de Microsoft 365 et de bien d’autres encore.
Dans la plupart des cas, les cyberattaques suivent le même modèle : les pirates informatiques tentent d’abord de se connecter au réseau avec des identifiants classiques. Ils utilisent ensuite des outils pour obtenir des droits d’accès supérieurs. Une fois que le pirate a pris le contrôle de suffisamment de comptes utilisateurs vulnérables et qu’il dispose des droits nécessaires, il peut utiliser ces droits d’accès supérieurs pour semer le chaos dans le réseau et voler des données. Il s’agit d’une approche simple et efficace, qui fonctionne sur presque tous les réseaux.
« Lorsque je découvre une faille dans un réseau, je commence par rechercher des droits d’administrateur de domaine en vérifiant les informations d’identification dans la mémoire du système. Je poursuis mes recherches jusqu’à trouver ces droits sur un réseau. Et j’y parviens toujours ! », déclare Alissa Knight, une célèbre pirate informatique. Elle est connue pour avoir réussi des attaques contre des organismes gouvernementaux aux États-Unis et travaille aujourd’hui pour des agences de renseignement dans le domaine de la cyberguerre. Ces informations devraient suffire aux dirigeants d’entreprise pour commencer à rechercher les identifiants vulnérables sur leur réseau.
Souvent, une chaîne d’informations d’identification est dérobée dans son ensemble. Dans de nombreux cas, des données peuvent être utilisées avec des droits d’accès supérieurs au réseau, à savoir les informations d’identification des administrateurs. Ce phénomène constitue une menace importante pour la réputation d’une organisation et, bien sûr, entraîne des pertes économiques lorsque les cybercriminels subtilisent des documents sensibles ou d’autres données.
Selon le Verizon Data Breach Incident Report, les informations d’identification sont la catégorie de données la plus recherchée lors des intrusions (60 %). Selon l’Identity Defined Security Alliance, 79 % des organisations ont subi une atteinte à l’intégrité de leur identité au cours des deux dernières années.
Comment sécuriser Active Directory en toute confiance : les faits
Il est évident que les administrateurs d’organisations dotées d’Active Directory doivent revoir et adapter la sécurité de l’environnement afin d’atteindre un niveau de protection maximal. De nombreux environnements simplifient trop la tâche des pirates. Tout d’abord, les outils tels que PingCastle permettent d’analyser l’environnement Active Directory et d’identifier les failles. Ils sont accompagnés de consignes concernant les mesures de correction des points faibles les plus évidents. L’utilisation de cet outil devrait être obligatoire pour les environnements Active Directory de toutes tailles, d’autant plus que la version test de PingCastle est accessible gratuitement.
Il existe également des outils gratuits permettant de vérifier les autorisations dans une infrastructure Active Directory, comme AD Permissions Reporter, qui peuvent vous aider à détecter les autorisations erronées. Il existe de nombreux autres outils dans ce domaine. Il est essentiel pour les administrateurs d’identifier et de corriger les failles de l’environnement, notamment celles qui concernent les autorisations.
Bloquer les malwares, les ransomwares et les points d’entrée des pirates informatiques
Les autres mesures de sécurité consistent à identifier les points d’entrée des pirates informatiques et à sécuriser l’environnement. Il s’agit notamment de veiller à ce que les comptes disposant de droits d’accès administratifs dans l’environnement ne soient pas également utilisés pour travailler sur des PC traditionnels.
Par ailleurs, les droits des administrateurs doivent être définis conformément à un système de gestion des autorisations d’accès (PAM). Dans ce cas, les administrateurs se voient accorder uniquement les droits dont ils ont besoin à des fins administratives. En outre, dans le cadre de l’approche Just-In-Time (JIT), les comptes d’administrateur ne disposent de ces droits que pendant une certaine période, et les droits sont à nouveau restreints une fois la tâche accomplie.
Les postes de travail à accès privilégié sont également importants car particulièrement sécurisés et utilisés exclusivement pour l’administration d’Active Directory. Ces postes de travail, ainsi que les autres ordinateurs du réseau, doivent être protégés de manière collective. Microsoft fournit des modèles qui peuvent être utilisés pour maximiser la sécurité des ordinateurs sur votre réseau.
Installer les mises à jour et supprimer les utilisateurs et les ordinateurs inutiles
Microsoft sort des mises à jour le deuxième mardi de chaque mois. Les administrateurs doivent les installer dès que possible le jour de leur parution. En effet, ces mises à jour concernent souvent des failles déjà connues du public et pour lesquelles il existe des solutions d’exploitation. L’installation peut être largement automatisée à l’aide d’outils intégrés.
Les environnements Active Directory cumulent souvent d’anciens comptes d’utilisateurs et ordinateurs qui ne sont plus utilisés mais qui fonctionnent encore. Si un pirate s’empare d’un de ces comptes, il pourra naviguer au sein du réseau en toute impunité. Pour des raisons de sécurité, les vieux outils doivent être désinstallés le plus rapidement possible.
Prévenir les situations d’urgence
En définitive, il n’existe pas de protection à 100% efficace contre les cyberattaques. C’est pourquoi les responsables doivent veiller à ce que l’environnement soit entièrement sauvegardé et à ce qu’un plan de reprise d’activité soit mis en œuvre. Ce plan doit également être régulièrement vérifié. Il doit prévoir une reprise dans un environnement de test afin de garantir que chaque étape se déroule de manière fiable et qu’elle est mise en pratique régulièrement. Ainsi, en cas d’attaque, la reprise s’effectuera dans les meilleurs délais.
la newsletter
la newsletter