Cibler Active Directory (AD) s’avère une stratégie payante pour les cybercriminels. Lorsque l’attaque aboutit, ils obtiennent un passe-partout qui leur ouvre les portes du reste du réseau. Active Directory fournit les services d’annuaire qui permettent aux administrateurs de gérer les autorisations et de contrôler l’accès aux ressources à l’échelle du réseau, ce qui en fait un outil essentiel pour les activités quotidiennes de l’entreprise, mais également une cible de choix. Comme il sert à gérer les autorisations et l’authentification, il doit être aisément accessible à ses utilisateurs, raison pour laquelle il est notoirement difficile à sécuriser. Or, seule une protection adéquate d’Active Directory permet de combler les failles de sécurité afin d’améliorer le dispositif de défense de l’entreprise.
Le rôle d’Active Directory dans le fonctionnement du réseau
Le rôle exercé par Active Directory dans le fonctionnement du réseau est si étendu que la plupart des clients ne disposent pas des connaissances pointues nécessaires pour remédier aux problèmes liés à sa sécurité (et c’est compréhensible). Il ne suffit pas de corriger les vulnérabilités connues ou les erreurs de configuration. Tout paramètre exposé ou mal configuré permet à un cybercriminel d’infiltrer le système. La protection d’Active Directory exige une visibilité sur les expositions, la détection des attaques en cours et la gestion des stratégies de sécurité, ainsi que des renseignements sur les écarts de conformité résultant du non-respect de ces stratégies par les utilisateurs. Cette complexité peut encore s’accroître si l’environnement subit d’importants changements dans un contexte plus dynamique, dans le cas d’une fusion-acquisition par exemple.
L’intérêt d’Active Directory pour les cybercriminels
Dans la plupart des entreprises, Active Directory est le référentiel central qui regroupe tous les comptes et systèmes du réseau et qui est chargé d’effectuer les opérations d’authentification et d’autorisation au sein de ce réseau. Il est particulièrement intéressant pour les cybercriminels, car sa compromission peut leur donner accès à toutes les ressources du réseau ainsi qu’aux droits et privilèges leur permettant d’échapper à la détection et aux contre-mesures des dispositifs de sécurité.
Malheureusement, il existe un grand nombre d’outils open source gratuits, dont Bloodhound et Mimikatz, grâce auxquels les attaques et compromissions d’Active Directory peuvent être menées avec une simplicité alarmante. Les cybercriminels ont recours à ces outils pour identifier les comptes susceptibles de leur conférer des droits d’administration et pour mener leurs attaques en élevant leurs privilèges tout en dissimulant les traces de leur présence. Par ailleurs, Active Directory peut être le talon d’Achille d’une entreprise en matière de préparation aux attaques de ransomware. Pratiquement toutes les campagnes de ransomware à grande échelle l’ont utilisé à un moment donné pour obtenir des informations, des privilèges ou les deux. Faute d’une protection adéquate, Active Directory peut très vite se révéler le meilleur ami du cybercriminel.
Les mesures à prendre pour sécuriser Active Directory
Les entreprises doivent adopter un certain nombre de bonnes pratiques, notamment renforcer la sécurité d’Active Directory, limiter autant que possible le nombre de comptes à privilèges, utiliser des serveurs jump et suivre les recommandations d’implémentation technique en matière de sécurité. Cela étant, ces mesures ne suffisent pas à garantir la sécurité d’Active Directory. Une approche responsable consiste à mettre en œuvre des solutions d’identité qui assurent une visibilité sur les identifiants exposés de nature à ouvrir des voies d’attaque et l’accès à Active Directory. La visibilité sur les expositions et vulnérabilités d’Active Directory est également essentielle.
De nouveaux outils pour sécuriser Active Directory
Des outils de nouvelle génération permettant aux entreprises de sécuriser Active Directory ont fait leur apparition. Les solutions ITDR (Identity Threat Detection and Response) sont aujourd’hui considérées comme une composante essentielle de la protection d’Active Directory, en cela qu’elles contribuent à neutraliser les attaques ciblant l’infrastructure Active Directory au sein du réseau. Pour détecter les menaces de façon plus rapide et plus précise tout en accélérant les investigations et les délais de réponse, les entreprises doivent repérer les attaquants qui ciblent les identifiants, les droits d’accès cloud et Active Directory. C’est là que l’ITDR entre en jeu. Peter Firstbrook, Research VP du cabinet d’études Gartner, déclarait récemment : « L’ITDR est une fonction cruciale de toute solution qui revendique le titre de XDR » – un propos qui confirme la valeur de cette technologie.
Faire de la sécurité d’Active Directory une priorité
Même Microsoft a admis que, selon les estimations, 95 millions de comptes AD sont pris pour cible chaque jour, et ce chiffre a très certainement augmenté depuis lors. Bien conscients du fait que la singularité d’Active Directory le rend à la fois extrêmement précieux et difficile à sécuriser, les cybercriminels ont fait de ce référentiel une cible de prédilection. En toute logique, les responsables de la cybersécurité sont incapables de sécuriser leurs services d’annuaire s’ils n’appréhendent pas correctement les risques associés ou s’ils ne disposent pas d’une vision claire des circonstances dans lesquelles ces ressources font l’objet d’attaques. Heureusement, les solutions ITDR offrent la visibilité continue nécessaire sur les expositions, les problèmes de configuration et les identifiants que les attaques ciblant les identités cherchent à exploiter. En conclusion, si les cyberattaquants ne sont pas près de se détourner d’Active Directory, les entreprises ont désormais à leur disposition des outils et des ressources capables de détecter et de mettre en échec rapidement les tentatives de compromission visant cet annuaire et les identifiants.