1. Mots de passe trop faibles pour le compte de service
Dans Active Directory, les administrateurs peuvent configurer plusieurs types de comptes utilisateurs assortis des privilèges, droits d’accès et rôles nécessaires.
Je dis souvent que, soit tout le monde connaît le mot de passe d’un compte de service, soit personne ne le connaît parce que celui ou celle qui l’a créé a quitté l’entreprise. Pour ne rien arranger, lorsque les administrateurs réinitialisent un mot de passe de compte de service, ils le remplacent par un mot de passe relativement faible.
Le risque est alors celui d’une attaque dite Kerberoasting : c’est l’une des attaques les plus répandues et les plus efficaces menées contre Active Directory. Cette méthode d’attaque est employée par les hackers pour craquer le hash Kerberos par des techniques de bruteforce.
Si les circonstances sont favorables, l’attaquant peut obtenir le hash du mot de passe du compte de service : si le compte est mal configuré, il suffit de le récupérer hors ligne puis de le craquer, et l’attaquant obtient les droits l’autorisant à se connecter sous l’identité de ce compte de service. À partir de là, l’attaquant peut continuer à s’infiltrer dans l’environnement.
Il suffit d’une seule fois et d’un seul compte. Et tout ce qu’il aura fallu, c’est un mot de passe trop faible. Le renforcement des mots de passe constitue la première ligne de défense. C’est ce qui fait dire à Sean Deuby, Directeur des services de Semperis , que pour les comptes de service, il est indispensable de générer des « mots de passe vraiment fous, longs, broussailleux, avec un niveau d’entropie élevé » que les hackers auront très peu de chances de craquer un jour.

2. Comptes de service administrateur assortis d’un mot de passe ancien
Dans Active Directory, les mots de passe administrateur qui ne sont pas changés assez souvent mettent les entreprises à la merci d’attaques de type bruteforce.
En tant qu’administrateurs, nous devons aborder les comptes de service différemment. Nous ne cessons de répéter : « Oui, nous connaissons le risque, mais c’est tellement compliqué de changer ces mots de passe. »
C’est un véritable problème, car le service informatique au grand complet connaît votre mot de passe. Des personnes qui ont quitté l’entreprise connaissent votre mot de passe. C’est une cible facile. Et donc là, vous acceptez ce risque ! Cette attitude est dangereuse.
Il faut savoir que 80 % des attaques sont dues à des failles de sécurité liées à un mot de passe. Les administrateurs Active Directory doivent vraiment changer de braquet. Pour garantir la sécurité de votre environnement, vous devez effectuer des arrêts planifiés qui vous permettront de changer les mots de passe des comptes de service. Quels arguments employer pour justifier ces arrêts ?
Sean Deuby a sa réponse : « Vous demandez au propriétaire de l’application s’il préfère un arrêt planifié d’une demi-heure pour réaliser l’opération, ou un arrêt non planifié de plusieurs semaines... et des articles dans le Wall Street Journal ».

3. Des stratégies de mots de passe inadaptées
Les stratégies de mots de passe sont des reliques particulièrement vénérées par les services informatiques. Elles existent depuis toujours et semblent devoir durer éternellement. Pour Sean Deuby, il est important de consulter les dernières directives en matière de stratégie de mots de passe publiées il y a quelques années par Microsoft et le NIST (National Institute of Standards and Technology). Selon lui, les organisations doivent absolument suivre ces directives et interdire l’utilisation de mots de passe courants, trop vulnérables aux attaques par force brute ou par pulvérisation de mots de passe.
« Une attaque de type Password Spraying est une attaque par force brute inversée », remarque-t-il. Avec ce type d’attaque, « l’auteur de la menace [prend] un mot de passe courant, puis essaie ce mot de passe sur un très grand nombre de comptes utilisateur différents, pendant des heures ou des jours entiers [jusqu’à ce que le hacker trouve une victime]. Et ça marche très bien. »
Et Deuby d’ajouter que si le Password Spraying est si efficace, c’est précisément à cause de pratiques de gestion des mots de passe Active Directory trop laxistes ou dépassées.
Active Directory a 20 ans, et nous disposons aujourd’hui de techniques qui n’existaient pas à sa création. Nous avons désormais tout un ensemble de fonctionnalités et d’outils, des mots de passe affinés, des gestionnaires de mots de passe, des solutions de gestion des droits d’accès qui nous permettent de protéger notre environnement. Et surtout, le risque n’est plus acceptable.

4. Nombre illimité de comptes avec privilèges
Ce risque apparaît dans les environnements Active Directory caractérisés par une surallocation de privilèges.
Nous l’avons tous appris : il faut réserver les privilèges élevés à un petit nombre de groupes. Pourtant, nous voyons encore des environnements qui comptent de nombreux administrateurs de domaine ou d’entreprise. Les pratiques pourraient assurément être plus strictes.
Pour éviter ce risque, il faut limiter le nombre de comptes avec privilèges dans l’environnement. Chaque fois qu’un propriétaire d’application me fait une demande qui commence par « J’ai besoin de privilèges d’administrateur de domaine... », je n’ai pas besoin de réfléchir : c’est non.
C’est la position à adopter. Ensuite, nous travaillons avec les propriétaires d’application pour déterminer quels sont les privilèges dont ils ont réellement besoin. Je suis certes prêt à leur accorder d’autres privilèges que ceux d’un utilisateur lambda, mais pas à leur donner des privilèges d’administrateur de domaine.

5. Attributs SIDHistory non sécurisés
SIDHistory est un attribut Active Directory destiné à faciliter les migrations de domaine. Comme l’explique Sean Deuby, il doit permettre de « migrer d’un [domaine] à un autre en gardant la possibilité d’accéder aux ressources de votre ancien domaine ».
Toutefois, les comptes configurés avec un attribut SIDHistory non sécurisé laissent la porte ouverte aux hackers. Le risque, avec cet attribut, est que l’auteur de la menace puisse injecter des identifiants de sécurité (SID) avec privilèges dans l’attribut Historique SID d’un utilisateur ordinaire, ce qui lui donne dans le domaine des droits élevés qui n’apparaissent dans aucun des groupes ordinaires. Et comme le note Sean Deuby, « ça fait peur ».
Lutter contre les problèmes de configuration et les risques associés avec Purple Knight
Ces problèmes de configuration qui représentent une menace sournoise d’attaque directe dans Active Directory vous inquiètent ? Malheureusement, la recherche de failles dans la configuration de votre AD peut se transformer en cauchemar. Voilà pourquoi Semperis recommande d’utiliser Purple Knight, un outil gratuit d’évaluation de la sécurité d’Active Directory. En localisant les problèmes, vous serez plus à même de les corriger.