Tests d'intrusion Active Directory : Un pentester partage les vulnérabilités les plus exploitées d'Active Directory

Les experts en cybersécurité ont deux approches : analyser ce qui a mal tourné pour en tirer des leçons, ou anticiper ce qui pourrait mal tourner pour l’empêcher. C’est dans cette deuxième optique que s’inscrivent les tests d’intrusion Active Directory.

Il y a quinze ans, les pentesters, aussi appelés white hats ou hackers éthiques, étaient des spécialistes à la marge de la cybersécurité, sollicités uniquement par quelques grandes entreprises. Les choses ont beaucoup évolué depuis.

Mais une constante demeure : les testeurs AD sont souvent les premiers à identifier les failles dans la manière dont les organisations déploient et utilisent la technologie.

William Wright, fondateur écossais de Closed Door Security, en fait partie. Ayant suivi un parcours classique, il a débuté comme ingénieur réseau avant de constater que la sécurité prenait une place croissante dans son métier. Il a découvert le pentesting en préparant sa certification Offensive Security Certified Professional (OSCP), testant alors des porte-avions et sous-marins de la Royal Navy pour BAE Systems et QinetiQ.

En parallèle de son travail chez Closed Door, Wright a collaboré avec IASME pour créer le cadre Maritime Cyber Baseline, en partenariat avec la Royal Institution of Naval Architects (RINA) et l’Organisation maritime internationale (OMI).

Nous avons échangé avec lui pour savoir quelles vulnérabilités Active Directory attirent actuellement l’attention des hackers, et comment les responsables IT peuvent garder une longueur d’avance.

William Wright : Les pentesters sont en quelque sorte l’avant-garde, ceux qui repèrent l’ennemi et alertent les autres. On découvre des choses que personne d’autre n’a vues, pour qu’elles puissent être corrigées.

Prenez le piratage récent [fin 2023] d’un opérateur mobile en Ukraine. Les hackers étaient présents dans le système depuis six mois. Si des pentesters avaient été sollicités, ils auraient peut-être identifié la faille des années plus tôt.

Les white hats ont deux missions principales : assurer que la sécurité est bien appliquée comme prévu, et rassurer les dirigeants, pour qu’ils dorment tranquilles.

Wright : Le problème, c’est que les groupes de ransomware disposent d’un budget quasi illimité. Ils peuvent recruter les meilleurs talents dans le monde entier. Vous affrontez en réalité une armée dont le seul objectif est de vous extorquer.

Cela dit, les cibles sont souvent celles qui négligent les bases : des systèmes anciens, comme une version obsolète d’Exchange Server avec une vulnérabilité RCE. Quand les grandes entreprises se font avoir, c’est souvent à cause d’attaques d’ingénierie sociale.

Wright : Les principales faiblesses sont les vieux systèmes non mis à jour, ou une mauvaise politique de mot de passe.

Dans certains tests, nous avons pu compromettre une entreprise en quelques minutes à cause d’un ancien service RDP avec des identifiants faibles.

Bien sûr, certaines entreprises doivent encore faire tourner des systèmes anciens. Il faut alors concevoir le réseau pour que ces systèmes ne posent pas de risque majeur.

Wright : Une faille fréquente en phase initiale de pentesting AD, ce sont les relais NTLM. Quand la signature SMB est désactivée sur de vieilles versions de Windows, on peut encore relayer les hachages d’identifiants via NTLM et s’en servir pour usurper des identités et se déplacer latéralement.

Wright : Sur la plupart des déploiements Azure, n’importe quel utilisateur peut enregistrer une application d’entreprise sans autorisation d’un admin. Et l’usurpation de jetons via phishing est très facile, tout comme le contournement MFA — c’est sans fin.

Wright : Les deux techniques principales qu’on utilise en pentest pour contourner le MFA sont :

1. L’attaque de fatigue, envoyer des requêtes jusqu’à ce que l’utilisateur valide.

2. La capture de jeton, qui repose sur le fait que dans 90 % des cas, le token expire au bout de 30 jours. Si vous le récupérez, vous contournez le MFA pour un mois.

Cela dit, le MFA reste utile : il ajoute une vérification humaine entre l’attaquant et la compromission.

Wright : Le problème ne vient pas de la mise en œuvre technique du MFA, mais de la manière dont il est présenté aux utilisateurs. On ne leur apprend jamais à détecter les attaques. Prenez l’attaque contre Okta en 2023 : seulement 6 % des clients utilisaient la plateforme sans MFA. Okta aurait dû l’imposer. Il n’y a plus d’excuse aujourd’hui.

Wright : Exactement. Il faut aussi des privilèges temporaires et une gestion des identités dans Office 365, pour analyser qui fait quoi et quand. Mais cela peut être très lourd en ressources, donc il faut que le risque justifie ce niveau de contrôle.

Wright : Je n’ai jamais entendu un bon argument contre la MFA universel. Mais s’il faut choisir, l’activer au moins pour les admins est un pas dans la bonne direction.

Wright : Prenez Windows Hello. Bien implémenté, il est très difficile à contourner. Mais ça ne veut pas dire qu’on peut abandonner les mots de passe. Il faut un équilibre entre sécurité et simplicité. Pour les tâches d’admin, je ne supprimerais jamais complètement les mots de passe. Je ne confierais pas le contrôle d’un réseau à une authentification biométrique seule.

Wright : Première chose : changer le mot de passe. Si on ne sait pas quel compte est compromis, alors il faut forcer un changement global, aussi pénible que ce soit.

C’est aussi une bonne raison pour imposer le MFA à tous. Faites un brief rapide de 10 minutes avec vos utilisateurs pour leur apprendre à reconnaître les signes d'une tentative de connexion malveillante.

L’un des leviers les plus efficaces, c’est d’impliquer les utilisateurs dans leur propre sécurité. Par exemple, l’utilisateur qui transfère tous les mails de phishing à l’admin : un bon admin sait qu’ils sont inoffensifs mais lui demande de continuer, car un jour, ce sera un vrai phishing.

Wright : Pas forcément une tendance, mais on investit beaucoup dans la cybersécurité maritime. Pensez à l’attaque contre Maersk en 2017. Il ne s’agit pas seulement des cargos, mais aussi des ferries, des bateaux de croisière, et des yachts. Si je prends le contrôle d’un navire, je peux le faire couler en le dirigeant contre un mur ou un autre bateau.

Avant, on avait des liaisons satellites à forte latence, du mauvais DSL ou de la 3G lente quand les navires étaient à quai. Avec Starlink, chaque bateau peut avoir une connexion à 400 Mb/s. C’est pour cela que je travaille avec l’IASME sur le cadre Maritime Cyber Framework. Ce n’est qu’un début.

Wright : Aujourd’hui, l’IA est surtout un risque pour la sécurité de l’information. Les gens copient des documents dans ChatGPT pour les réécrire, sans réaliser qu’ils contiennent peut-être des données sensibles.

Mais l’IA va aussi démocratiser l’accès à la création de code malveillant. Il ne sera pas parfait, mais suffisant pour faire des dégâts. Dans quelques années, on aura des attaques automatisées de bout en bout qu’on appellera "IA". On verra bientôt apparaître des ransomwares-as-a-service basés sur l’IA.