Jeux Olympiques de Paris 2024 : les cyberpirates chercheront dans l'annuaire

L'engouement du public pour les Jeux Olympiques est partagé par les cyberpirates qui voient dans cette période une opportunité unique de trouver un écho mondial à leurs attaques.

La concentration d'infrastructures technologiques, les transactions financières massives et les systèmes d'information interconnectés font des Jeux Olympiques une cible particulièrement alléchante pour les hackers. En prenant le contrôle des systèmes critiques, comme les annuaires d'entreprise tels qu'Active Directory, les cyberpirates peuvent infliger des dommages considérables et exfiltrer des données sensibles.

Avec un quart de siècle d’existence, Active Directory est devenu le socle de la gestion des identités pour 90% des entreprises. Compromettre cet annuaire permet aux attaquants de se déplacer latéralement dans le système d’information et potentiellement de compromettre l’ensemble de l'infrastructure de l'entreprise. Depuis les premières attaques par Ramsomware en 2017, les entreprises ont-elles pris conscience de la faiblesse dans la gestion des identités ? Nous pourrions le penser. Dans les faits ?  seuls 10% des annuaires sont sécurisés à ce jour !

Quotidiennement, nous le voyons, des PME, des administrations, des municipalités sont touchées par ces attaques. Les cybercriminels sont devenus opportunistes et ciblent large en spéculant sur un taux de réussite minimal. Si 1 % d’attaque réussit, c’est 1 % qui paiera. Cela ne coûte pas plus cher aux attaquants qui utilisent souvent des plateformes de ransomware as a service (RaaS), pour lancer leur hostilité et inciter une personne de l’entreprise à cliquer sur un lien via une opération de phishing, le vecteur majoritaire des attaques d’Active Directory.

Comment les cyberattaques exploitent-elles Active Directory ?

73% des attaques contre Active Directory commencent à travers des campagnes de phishing, principale technique d’intrusion. Une fois qu'une identité, même sans privilège, est compromise, les attaquants peuvent escalader les privilèges et prendre le contrôle de l'environnement informationnel de l’entreprise : serveurs, PC, etc.

Comment se protéger : les bonnes pratiques

Nous avons en France la chance d’avoir l’ANSSI qui a fait un travail énorme de sensibilisation dès 2013 en étant le premier dans le monde à alerter sur la nécessité de protéger son annuaire. Avec les attaques par Ramsomware, l’ANSSI a refait un nouveau guide en 2017 de renforcement de l’AD et a publié trois nouveaux guides récemment. Nous vous conseillons leur lecture.

Concrètement, pour se protéger contre ces attaques, nous préconisons une approche en trois phases : audit, protection et reprise après sinistre.

  1. Audit : La première étape consiste à réaliser un état des lieux de l’environnement, identifier les mauvaises configurations et les vulnérabilités. Semperis propose des outils gratuits tels que Purple Knight pour aider les entreprises à effectuer cet audit. L’Anssi propose aussi Oradad et peut aussi citer PingCastle.
  2. Protection : Une fois l'audit réalisé, il est crucial de monitorer continuellement l'annuaire pour détecter les activités suspectes. Cela permet de répondre rapidement aux incidents avant qu'ils ne causent des dommages irréparables. L’audit donne une situation à l’instant T alors que l’annuaire est un environnement dynamique. Cette étape est celle qui recouvre l’ITDR (Identity Threat Detection and Response) et la capacité à monitorer et répondre à un incident.
  3. Reprise après sinistre : se préparer au pire est indispensable. Les entreprises doivent disposer de plans de reprise après sinistre efficaces, y compris des sauvegardes d’Active Directory indépendantes du système pour pouvoir redémarrer rapidement après une attaque.

Si vous ne souhaitez pas investir dans l’audit ou la protection, investissez au moins dans le parachute qui vous permettra de repartir en cas d’attaque.  La solution ? Redémarrer à partir d'un backup, et ce même si votre active directory est chiffré. Le backup doit être indépendant du système et ne peut donc être altéré. L’objectif est d’avoir le minimum vital pour pourvoir relancer l’Active Directory sur site ou son pendant cloud.

Mettre en place une gestion saine et résiliente de l'Active Directory

Une gestion saine d’Active Directory repose sur une segmentation stricte des accès et des privilèges. Microsoft propose un modèle en tiers (utilisateurs, administrateurs, serveurs) pour limiter les mouvements latéraux en cas de compromission d’une identité. Chaque tiers ne peut accéder au tiers supérieur. Si une identité est compromise, il suffit de remastériser les postes.  Il est également recommandé de réaliser des audits réguliers avec des outils spécialisés, tels que ceux que nous fournissons gratuitement, et de collaborer avec des intégrateurs pour renforcer la sécurité.

L'impératif de la vigilance pendant les Jeux Olympiques

Pendant les Jeux Olympiques, la vigilance doit être accrue. L’Etat a mis sur la table 320 millions d’euros pour sécuriser les J.O. Chacun doit redoubler d’efforts pour sécuriser son système d'information et sensibiliser ses collaborateurs aux risques de cyberattaques. En adoptant une stratégie proactive de gestion des identités et de protection des annuaires comme Active Directory, les organisations renforcent leur résilience et minimisent les risques de compromission. Il y a urgence !