Renforcer la protection d'active directory par une gestion rigoureuse des mots de passe et des accès

Active Directory repose largement sur l'usage de mots de passe, une méthode d'authentification courante mais vulnérable. Grâce à des mesures simples, les entreprises peuvent limiter les risques.

Selon le dernier baromètre du CESIN, les tentatives de connexion représentaient 34 % des vecteurs d’attaque ayant le plus impacté les entreprises l’an passé, perturbant la production de 24 % d’entre elles sur une période prolongée.

Aujourd’hui, les mots de passe Active Directory (AD) demeurent la principale méthode d'authentification dans la plupart organisations. Lorsqu’ils sont faibles, ils peuvent permettre aux attaquants de pénétrer dans les comptes utilisateurs via diverses techniques, leur donnant ainsi accès au réseau de l'entreprise. Trop souvent, des autorisations mal configurées sur un compte AD compromis offrent aux cybercriminels l'opportunité d'accéder à des données sensibles et à des systèmes critiques, transformant la compromission d'un seul compte en une grave menace pour la continuité des activités. Afin de renforcer la sécurité de la base de données, il est donc essentiel d'appliquer des politiques de mots de passe robustes et de mettre en place une gestion stricte des autorisations.

Déroulement des attaques contre Active Directory

Les attaques AD suivent généralement un schéma similaire. Les cybercriminels obtiennent un accès initial en exploitant des identifiants faibles ou volées. Une fois dans le réseau, ils cherchent à élever leurs privilèges, soit en exploitant des vulnérabilités pour étendre les droits du compte qu'ils contrôlent déjà, soit en prenant le contrôle d'autres comptes dotés d'autorisations plus élevées. Ils utilisent ces droits supplémentaires pour se déplacer latéralement dans l'environnement jusqu'à atteindre des systèmes critiques et des informations sensibles. Ils peuvent alors mener à bien leur mission, notamment en interrompant les opérations, en exfiltrant des informations précieuses ou en chiffrant les données avant de demander une rançon.

Vulnérabilités majeures exposant Active Directory aux risques

Ce processus d'une attaque typique sur Active Directory met en évidence deux vulnérabilités majeures en matière de sécurité : des codes peu sécurisés et des droits d'accès excessifs.

La première faiblesse réside dans l'absence d'une politique exigeant l'utilisation de mots de passe forts. Malgré une large sensibilisation aux bonnes pratiques, certains continuent d'opter pour des combinaisons faibles tels que « 12345678 » ou « Summer2024 ».

Les cybercriminels exploitent ces utilisateurs en recourant à des techniques comme les attaques par pulvérisation de mots de passe (« password spraying »). Ils tentent de se connecter à différents comptes au sein d'une organisation en utilisant une liste d'identifiants courants, tout en évitant de déclencher les politiques de verrouillage en place. Si les règles de sécurité liées à l'authentification sont faibles, voire inexistantes, il est probable que l'attaquant finisse par en trouver un qui soit valide.

Cependant, la situation devient encore plus préoccupante si l'organisation ne dispose pas de contrôles efficaces pour gérer les droits d'accès. Dans ce cas, le compte AD compromis peut disposer d'autorisations excessives ou permettre à un attaquant d’élever facilement ses privilèges en exploitant des failles de configuration, telles que l'imbrication incorrecte des groupes. De plus, l'attaquant peut manipuler un objet AD spécifique, l'AdminSDHolder, pour obtenir des privilèges supplémentaires tout en contournant les alertes de sécurité, ce qui lui permet de maintenir un accès prolongé au réseau.

Pour réduire ces risques, il est crucial de mettre en place une stratégie de défense en deux volets, avec à la fois des politiques de mots de passe solides et une gestion efficace des autorisations.

 Optimiser la sécurité des accès utilisateur

L'exigence de mots de passe robustes réduit considérablement le risque de compromission des comptes. Pour définir des critères clairs, Les organisations peuvent s'appuyer sur des normes fiables et régulièrement mises à jour, comme les directives du NIST. Ces recommandations couvrent des aspects tels que la longueur, la complexité, la composition et les règles de réinitialisation. Elles préconisent également l'utilisation d'une liste noire de mots de passe interdits, incluant ceux exposés lors de violations passées, des mots du dictionnaire, et des termes spécifiques à l'organisation.

Pour simplifier l'application de ces pratiques, les entreprises peuvent utiliser des solutions logicielles qui simplifient l'intégration de ces critères. Par ailleurs, il est conseillé de fournir aux utilisateurs un gestionnaire de mots de passe, leur permettant de n'en retenir qu'un seul, tout en imposant des exigences plus strictes sans risquer de les frustrer. Enfin, l'ajout de l'authentification multifactorielle (MFA) et de systèmes d'alerte en cas de tentatives de connexion suspectes renforce davantage la sécurité des comptes.

Contrôler et surveiller les accès

Bien qu'une politique d'identifiants solide réduise les risques d'intrusion, il reste essentiel de prendre des mesures supplémentaires pour limiter les dommages en cas d'attaque ou d'erreur d'un utilisateur légitime. L'une des stratégies les plus efficaces consiste à appliquer strictement le principe du moindre privilège, accordant à chaque utilisateur uniquement les droits nécessaires pour accomplir ses tâches. Cette approche limite l'impact d'un compte compromis, qu’il soit utilisé par son propriétaire légitime ou par un attaquant. Une pratique complémentaire consiste à évaluer régulièrement les risques dans Active Directory pour identifier et corriger des faiblesses telles que les mots de passe par défaut, les autorisations mal attribuées ou l'appartenance à des groupes imbriqués.

Un autre pilier essentiel est la surveillance continue des activités AD. Comme mentionné précédemment, les attaquants menant des attaques de « password spraying » tentent d'éviter la détection en maintenant le nombre de tentatives de connexion échouées en dessous les seuils standard de verrouillage. Par conséquent, ces attaques peuvent être difficiles à repérer avec les méthodes traditionnelles. Cependant, des solutions de surveillance avancées intégrant des fonctionnalités d'analyse comportementale des utilisateurs (UBA) permettent d'identifier des activités suspectes, telles que des tentatives de connexion depuis des lieux inhabituels ou des modifications inattendues d'objets sensibles comme AdminSDHolder, et d'alerter l'équipe de sécurité.

En fin de compte, les acteurs malveillants tirent parti des identifiants faibles et des autorisations AD mal configurées pour infiltrer le réseau de l'entreprise, se déplacer latéralement et causer des dommages importants. Les organisations peuvent réduire ces risques grâce à des mesures simples. En adoptant des politiques strictes en matière d'authentification, la MFA, l'application du principe du moindre privilège, des évaluations régulières des risques liés à AD et une surveillance continue, elles peuvent significativement limiter les compromissions coûteuses, les pertes de données et les interruptions d'activité.