Active Directory : « Vulnerability by design » ?
Publié le 11 janvier 2021
Commercialisé par Microsoft à partir du début des années 2000, l’Active Directory a pour vocation première d’être l’annuaire central d’une organisation. Il permet ainsi, à l’image d’une base de données, de stocker toutes les informations non-confidentielles des collaborateurs (coordonnées professionnelles, position dans l’organisation, …). Enrichi de fonctionnalités liées à l’identification et l’authentification des utilisateurs, l’AD occupe aujourd’hui un rôle majeur dans une écrasante majorité des organisations (plus de 90%).
Concrètement, c’est l’Active Directory qui permet à un utilisateur de se connecter à son poste de travail ou à une application d’entreprise, qui impose les règles de complexité des mots de passe, ou encore qui aide à déployer les mises à jour sur les serveurs et postes utilisateurs.
Des faiblesses techniques et organisationnelles
En cybersécurité comme ailleurs, l’histoire est souvent riche d’enseignements. Il y a plus de 13 siècles, les bâtisseurs Japonais commençaient à construire leurs temples autour d’un shinbashira. Cette imposante colonne de bois, faite du tronc d’un grand cyprès, permettait de soutenir l’ensemble de la structure et notamment la lourde pièce en bronze qui surmontait l’édifice.
Mais au-delà de sa fonction structurelle, cet élément s’est aussi et surtout avéré être un mécanisme de protection très efficace contre les secousses sismiques, particulièrement nombreuses et intenses sur l’archipel nippon.
Tout comme le shinbashira, l’Active Directory s’est imposé comme un élément central et structurel du SI de nombreuses organisations. Malheureusement l’analogie ne va pas plus loin. Car l’Active Directory s’est lui, par le passé, tristement illustré pour ses nombreux défauts de conception.
Bien que d’importants efforts de sécurisation aient été consentis par Microsoft au cours de la dernière décennie, trop d’organisations peinent encore à se délester de ce pesant héritage. D’autant que les problèmes actuels de ces organisations sur leurs ADs ne sont pas uniquement imputables à des faiblesses techniques, mais aussi organisationnelles.
Une transformation profonde est nécessaire
Intégrité de l’information financière, confidentialité des échanges et de la propriété intellectuelle, disponibilité des applications métiers… les impacts potentiels d’un AD compromis sont majeurs et concernent l’ensemble du spectre DICP.
Face à ces menaces, c’est la nécessité d’une transformation radicale de l’AD qui s’impose pour les organisations. Mais comment le transformer quand, d’année en année, ce composant s’est si profondément enraciné dans le SI ?
1. Gouvernance & Processus
Une transformation de l’Active Directory sans refonte de la gouvernance qui l’entoure n’est jamais durable. L’élévation du niveau de sécurité peut être réelle, mais ne perdurera au mieux que quelques années. Il s’agit donc en premier lieu de constituer et de pérenniser une équipe dédiée aux services d’annuaires, dotée des moyens humains et techniques à la mesure des défis qu’elle doit relever. Si les compétences en sécurité AD restent encore rares, nous notons que de plus en plus de formations commencent à intégrer cette problématique dans leurs cursus.
Les processus animant cette équipe revêtent tout autant d’importance. Comment s’inscrit-elle dans la chaine de support ? Dans quelles instances les changements structurants (tels que la mise en place d’un trust ou la modification d’une GPO majeure) sont-ils revus et approuvés ? Quelle confiance et privilèges accorder à ses prestataires IT dans un contexte d’explosion des attaques liées à la supply chain ? Autant de questions auxquelles il convient de répondre pour que l’équipe soit organisée de manière pérenne.
Désormais, l’objectif primaire pour cette équipe doit être de reprendre le contrôle d’un environnement souvent marqué par des années de mauvaises pratiques. On pourrait aisément faire le parallèle avec les problématiques de la gestion des actifs, auxquelles on cherche à répondre via la mise en place d’une CMDB : de nombreux processus dépendront de la qualité du référentiel, et notamment de l’identification des propriétaires des objets AD. En effet, beaucoup d’initiatives seront directement tributaires de la présence d’un propriétaire identifié, en particulier sur l’amélioration de la gestion du cycle de vie des comptes non-personnels (comptes de services et génériques) et des groupes AD.
2. Enjeux techniques
En sécurité AD, l’adoption du paradigme « assume breach » est essentielle : l’intrusion d’un attaquant déterminé est inévitable. Il s’agit alors de restreindre autant que possible sa capacité de déplacement latéral et d’élévation de privilèges.
Dans la majorité des cas, le vecteur d’élévation le plus efficace pour un attaquant consiste à récupérer, sur une machine compromise, les secrets de comptes d’administration s’étant récemment authentifiés sur celle-ci. Une bonne pratique consiste à segmenter les comptes d’administration, en empêchant les plus privilégiés d’accéder aux ressources qui ne nécessitent pas ce niveau de privilèges.
Différentes implémentations techniques de cette segmentation (GPOs, silos d’authentification, « red forest »…) ont été proposées par Microsoft pour mettre en œuvre ces restrictions. Il revient à chaque organisation de sélectionner le modèle le plus adapté en fonction des avantages et inconvénients inhérents à chacune. Mais quel que soit le modèle cible, le premier défi consiste toujours à inventorier les comptes à privilèges, et notamment les « shadow admins ». Ces comptes peuvent avoir des privilèges importants sans pour autant faire partie des groupes d’administration dédiés. Leur identification est donc loin d’être évidente et nécessite une analyse fine des permissions sur l’ensemble de l’AD. Concrètement, conduire cette analyse revient à étudier tous les droits (ACLs) positionnés sur chaque objet de l’AD. Bien que certains outils permettent aujourd’hui d’assister dans cette tâche, elle demeure fastidieuse dans les environnements les plus complexes.
Le renforcement technique d’un Active Directory passe aussi par sa configuration. Beaucoup de paramètres et de protocoles, pourtant connus pour être vulnérables, demeurent à ce jour activés dans de nombreux environnements. Dans certains cas, il peut s’agir de configurations requises par d’anciens systèmes et applications toujours utilisés. Dans ce cas, il est impératif pour les organisations de réaliser un arbitrage entre l’importance de ces systèmes d’un point de vue métier, et le risque qu’ils engendrent pour le SI.
3. Résilience
L’interruption totale et généralisée d’un Active Directory reste rarissime, mais l’impact métier de celle-ci est toujours considérable. Lors de l’attaque du transporteur maritime Maersk en 20171, avec plus d’une semaine d’indisponibilité des services AD, ce sont des dizaines de milliers de conteneurs qui ont dû être identifiés manuellement, et un coût total pour cette attaque qui est aujourd’hui estimé à 300 millions de dollars. Ces chiffres ne sont pas surprenants : l’AD contrôle en effet souvent l’accès des utilisateurs aux applications métiers les plus critiques d’une organisation. Pourtant selon une récente étude, bien que 97 % des organisations interrogées aient déclaré que l’AD est essentiel à leur mission, plus de la moitié n’ont jamais réellement testé leur processus de reprise après un sinistre AD. Pire, certaines déclarent même n’avoir jamais élaboré de plan de reprise ! C’est donc un constat alarmant qui se dresse si l’on tient compte, dans le même temps, de l’augmentation massive des attaques (notamment via des ransomwares) pouvant directement affecter la disponibilité de l’AD.
Par ailleurs, la mise en œuvre d’une solution optimale de reprise de services AD est loin d’être triviale. Il existe une grande diversité d’attentes et de priorités métiers qui peuvent mener à de mauvais choix de la part des équipes IT. Tout plan de reprise de l’AD doit donc en premier lieu envisager et explorer les différents scénarios de dysfonctionnement possibles (hardware, erreur administrative, déconnexion du réseau, compromission). Il s’agit ensuite d’étudier les compromis nécessaires entre d’un côté le coût de la solution, et de l’autre son efficacité face à chaque scénario de dysfonctionnement. Enfin, disposer d’un plan de reprise ne signifie pas que celui-ci sera réellement exploitable en cas de sinistre. Au risque d’enfoncer des portes ouvertes, il nous semble donc impératif de rappeler que les tests réguliers (idéalement annuels) et la formation des équipes sont impératifs.
Les services cloud représentent aujourd’hui une excellente opportunité d’améliorer la résilience de l’Active Directory en maitrisant les coûts. On peut citer au moins trois cas d’utilisation envisageables pouvant être mis en place voire combinés lorsque c’est pertinent :
- L’hébergement d’un contrôleur de domaine de restauration dans le Cloud (en veillant cependant à bien sécuriser l’environnement cloud) ;
- L’utilisation de services de type Site Recovery pour couvrir les sinistres liés à un site en particulier ;
- La mise en place de sauvegardes dans le cloud pour les contrôleurs de domaine.
4. Audit & Surveillance
Comme nous l’avons déjà évoqué, l’heure est à la reprise de contrôle des environnements AD par les équipes qui les gèrent. Mais reprendre le contrôle, c’est aussi tout mettre en œuvre pour éviter de le (re)perdre. Dans ce contexte, la mise en place d’un dispositif de contrôles devient indispensable et passe nécessairement par la définition d’indicateurs, techniques et organisationnels, qui seront revus régulièrement afin d’améliorer continuellement le niveau de maturité.
Heureusement, de nombreux facilitateurs ont été rendus disponibles ces dernières années pour accompagner les organisations dans cette démarche. On peut notamment citer l’exemple du référentiel de contrôles Active Directory publié par l’ANSSI plus tôt cette année. Ce dernier permet non seulement de grandement faciliter l’évaluation du niveau de maturité de la sécurité AD par rapport à l’état de l’art, mais aussi de classifier les déficiences identifiées selon leur criticité.
Enfin, il est important de compléter le dispositif de contrôle par une capacité de détection des menaces AD. Savoir détecter et réagir face à une activité malveillante sur l’AD peut en effet représenter la dernière chance de déjouer une attaque de grande envergure. Une attention particulière doit ainsi être portée à l’activité relative aux objets sensibles (groupes et comptes privilégiés, contrôleurs de domaines, etc.). Plusieurs solutions du marché permettent aujourd’hui de bénéficier de capacités spécifiques de détection sur l’AD. Pour les nombreuses organisations ne pouvant pas se doter de telles solutions, il reste recommandé de mettre en place une remontée d’alertes minimale via la corrélation des évènements les plus significatifs.
Comme nous l’avons vu, les annuaires Active Directory sont souvent entravés par le poids des années, non seulement en raison de multiples vulnérabilités techniques, mais aussi de l’accumulation de mauvaises pratiques de gestion. Pourtant, les nombreuses évolutions technologiques de ces dernières années, associées aux bonnes pratiques recommandées par Microsoft, lui donnent le potentiel d’être un maillon essentiel de la sécurité du SI.
Ainsi, du fait de la complexité et de l’hétérogénéité croissantes des environnements Active Directory, il devient urgent et primordial pour beaucoup d’organisations d’initier une transformation en profondeur des services AD, en s’assurant de considérer à la fois les enjeux techniques et organisationnels.