Go to content

Retour sur l’événement Identity Days 2019

Image tirée du site officiel de l’événement : https://identitydays.com/en/home-en/

Conix était présent pour la toute première édition des Identity Days : l’événement consacré à la Cybersécurité et à l’IAM (Identity Access Management ou Gestion des identités et des accès).

L’événement s’est tenu à l’espace Saint Martin dans le 3ème arrondissement de Paris sur toute la journée du 24 Octobre 2019.

Cette journée nous a permis de confronter nos expériences aux différentes problématiques d’authentification souvent liées à la technologie Active Directory (AD), aux API ou encore au cloud qui prend de plus en plus de place aujourd’hui.

Plusieurs conférences étaient organisées et dispatchées en quatre axes :

  • Cybersécurité des annuaires & AD Hardening
  • IAM Gestion des identités et des méta-annuaires
  • Gestion des identités dans le Cloud
  • Cybersécurité des identités, des privilèges et des accès.

Nous nous sommes principalement tournés vers la Cybersécurité des annuaires & AD Hardening. Malgré l’importance ainsi que l’ampleur du Cloud et des différentes solutions gravitant autour de ces sujets, il nous a paru incontournable de s’intéresser à l’Active Directory, sujet majeur et présent dans plus de 96% des organisations de plus de 50 postes de travail. Il est un élément clé de l’infrastructure pour la sécurité des identités et des accès en entreprise. Régulièrement mal configuré, les « hackers » mal intentionnés en font une cible de premier choix.

L’intervention de Romain COLTEL – Chercheur Sécurité AD – avec sa conférence « Sécurité Active Directory : 10 ans d’échec » nous explique que la principale cause d’une attaque sur AD provient généralement d’une mauvaise configuration et qu’il n’est pas évident de l’éviter.

Pourquoi ? Plusieurs points sont à souligner :

  • La plupart des architectures d’infrastructures basées sur l’AD ont souvent plus de 10 ans et sont aujourd’hui complètement obsolètes en termes de sécurité.
  • Le deuxième point mis en avant est le manque de communication par Microsoft sur comment sécuriser un AD, même si les choses changent progressivement.
  • Enfin, les attaques modernes telles que « Pass-the-hash« , « Pass-the-ticket » ou encore « DC Shadow » ainsi que l’explosion des Malwares (trojans, ransomwares, etc.) ciblant l’AD ont grandement participé à ces années d’échecs depuis 2015.

Nous nous heurtons alors à des problématiques récurrentes : Les modifications mineures de sécurité peuvent avoir un impact majeur sur l’infrastructure entière. Il faudra alors prévoir le budget et le temps permettant une refonte complète de l’architecture de l’infrastructure ainsi que la capacité à pouvoir se mettre à jour continuellement dans un domaine qui évolue très rapidement.

Sylvain CORTES, MVP Microsoft Active Directory, conférencier mais également organisateur de l’événement nous montre ensuite « Comment hacker Active Directory de A à Z ».

Il nous explique que plusieurs des attaques connues à grande échelle ont été réalisées grâce à une compromission de l’AD. Sans trop entrer dans les détails dans cet article, le schéma classique d’une attaque sur Active Directory commence par une phase de reconnaissance (recueil d’informations) externe puis la compromission d’une ou plusieurs workstations. L’attaque se poursuit par la reconnaissance interne et une tentative d’élévation locale de privilèges sur la machine compromise couplée à des mouvements latéraux sur le réseau si nécessaire, jusqu’à obtenir le compte administrateur de domaine et pouvoir agir sans restriction (Exécution de Malware, exfiltration et/ou destruction de données, etc.).

Image tirée des slides de la présentation de Romain COLTEL – « Sécurité Active Directory : 10 ans d’échec mais beaucoup d’espoir »

Si des outils tels que Mimikatz et BloodHound sont extrêmement puissants pour réaliser ce type de scénario, des outils légitimes de Microsoft inclus sur les systèmes Windows comme « sapd.exe » ou quelques commandes PowerShell peuvent facilement aider un attaquant lors de sa démarche.

Concernant les contre mesures et la protection de l’Active Directory, il est important de réduire au maximum la surface d’attaque à l’aide d’interventions pouvant sembler évidentes mais qui ne sont que très rarement appliquées pour la plupart :

  • Prévenir les infections et les mouvements latéraux grâce à des équipements de sécurité (Antivirus, Firewall, IPS…),
  • Prévenir les élévations de privilèges (supprimer les droits administrateurs sur les comptes des utilisateurs, GPO, LAPS…). Vérifier l’architecture afin qu’elle ne soit pas trop permissive. Ne pas utiliser le même mot de passe sur les comptes administrateurs distincts,
  • Améliorer la capacité d’audit de sécurité,
  • Maintenir à jour les infrastructures afin de réduire au maximum la présence de vulnérabilités.

Ces mesures tendent toutefois à évoluer et à se complexifier car l’AD n’est pas le seul paramètre à prendre en compte. En effet, les infrastructures traditionnelles « On-premise » sont de plus en plus remplacées par des infrastructures « Online » avec l’arrivée massive des API (Google, Mulesoft, etc.) et des solutions cloud (AWS, MS Azure). Bien que plus pratiques et modulables, celles-ci ne font que déplacer le problème. La sécurité n’est alors plus directement entre les mains des entreprises mais dans celles des fournisseurs de services. En revanche des dispositifs à plusieurs facteurs d’authentification sont arrivés tel que Yubikey pour tenter de pallier à ces soucis de sécurité des accès, car les mots de passe seuls représentent une des faiblesses de la sécurité.

Entre les composants AD historiques, les nouvelles solutions d’authentification, les nouveaux contextes tirés par le cloud, tout l’art, sera de trouver le bon équilibre entre coût, temps et adoption des utilisateurs.

Les conférences abordant l’Identity Access Management sont encore trop peu nombreuses et il est important de s’intéresser de plus près à ce sujet. Cet événement a su répondre à nos attentes.

Retrouvez les supports de conférences des speakers de l’événement sur ce lien : https://fr.slideshare.net/IdentityDays/clipboards/conferences-edition-2019

Crédits : Image tirée du site officiel de l’événement : https://identitydays.com/en/home-en/