Assurer la récupération des ressources d'Entra ID devient aujourd'hui une priorité absolue pour les entreprises

Aujourd'hui, on le sait, l'Active Directory (AD) est une cible privilégiée pour les cyberattaquants.

Au fil du temps, ces environnements qui permettent de gérer les identités des utilisateurs, ont accumulé les configurations erronées, donnant aux pirates de multiples opportunités de nuire. Mais, depuis quelques temps, ces derniers ont une nouvelle cible dans leur viseur : les environnements hybrides, reposant à la fois sur l’AD, mais aussi sur Entra ID ; une configuration fréquente dans les entreprises, qui permet aux acteurs malveillants d’élargir leurs surfaces d’attaque.

Les mauvaises configurations d'Entra ID, à l’origine de nombreux problèmes de sécurité 

Tout comme Active Directory, Entra ID (anciennement Azure ID) peut être criblé d'innombrables configurations erronées. Une menace souvent négligée par les entreprises, qui manquent d’outils et d’expertise pour se protéger efficacement, et dont les efforts de sécurité vont en priorité à l’AD. Or, les failles d’Entra ID engendrent elles aussi des problèmes important, pouvant aller jusqu’à provoquer des dénis de service, en affectant les interactions avec l'utilisateur. Selon le rapport Purple Knight 2023, plus de 1 organisation sur 2 a ainsi détecté, au cours de l’année écoulée, au moins 5 vulnérabilités dans leur environnement Entra ID. Des dysfonctionnements, qui sont liés à des groupes incluant un compte invité, à des utilisateurs ou appareils inactifs depuis plus de 90 jours, ou encore à des politiques de restriction d’accès mal configurées.

La fonctionnalité de corbeille d'Entra ID, une bouée de sauvetage au pouvoir limité

Un des incidents les plus fréquents est la perte accidentelle ou malveillante de certains comptes, comme ce fut le cas dans une entreprise où plus de 1 600 profils de principaux de service Entra ID ont été supprimés par erreur, entraînant la mise hors service des applications de toute une ligne de métier. Les administrateurs ont dû travailler sans relâche durant 28 jours pour restaurer l’intégralité des services. Et, si la corbeille d'Entra ID offre une certaine protection, en permettant de récupérer dans un délai de 30 jours les utilisateurs et API supprimés, son pouvoir reste limité. De nombreux éléments sont effacés de manière définitive, contraignant les organisations à les recréer manuellement. Autre inconvénient de la corbeille : elle n’est utile qu’en cas de suppression, et non de modification des informations.

Une incompréhension du modèle de responsabilité partagée de l'IdP 

En tant que fournisseur d'identité (IdP) pour Entra ID, Microsoft fournit toute une série d’outils pour faire face à de tels incidents :  fonctionnalité de gestion des identités et des accès (IAM), outils de documentation, disponibilité et cohérence des journaux, ou encore système de sécurité de la plate-forme. Toutefois, comme la corbeille, ces derniers s’avèrent loin d’être suffisants. En cas de catastrophe, il revient à l’entreprise d’élaborer son propre plan d’action. Elle doit ainsi s’assurer en amont de la connaissance parfaite de ses ressources, mais aussi mettre en place des systèmes robustes de surveillance et de conservation des données. Sans plan efficace et préalablement testé, une attaque sur Entra ID pourra bloquer significativement l’activité de l’entreprise, requérant souvent des semaines de travail pour parvenir à restaurer les ressources perdues.

Un environnement de plus en plus ciblé par les attaquants

Les entreprises, dont 80 % ont recours à un environnement d'identité hybride, englobant à la fois AD on-prem et Entra-ID2, ont donc intérêt à se maintenir en alerte sur ces sujets. Aujourd’hui, on observe une recrudescence des attaques en direction de ces systèmes, dont les cybercriminels exploitent les faiblesses de sécurité en s'introduisant dans le Cloud puis en se déplaçant vers le système d'identité sur site - ou vice versa. On se souvient des exemples tristement célèbres des attaques contre Kaseya ou encore Solar Winds, dans lesquelles ce type de procédé a été utilisé. Récemment, les chercheurs de Mandiant ont signalé une augmentation des incidents impliquant Microsoft 365 et Entra ID, en lien avec des activités de hameçonnage. Les cyberattaquants utilisent également de plus en plus AADInternals, un module PowerShell permettant de naviguer de l'environnement AD sur site à Entra ID, où ils peuvent créer des portes dérobées et voler des mots de passe pour pénétrer les réseaux. 

Face à la prévalence de ces attaques, les organisations doivent donc aujourd’hui s’appuyer sur des solutions complètes de sécurité, reprenant là où la corbeille d’Entra ID s’arrête pour assurer la récupération rapide de leurs ressources critiques. Une priorité, si les entreprises veulent éviter une mise à l’arrêt trop longue de leur activité, en cas de suppression intentionnelle ou accidentelle de leurs données.