Un adage bien connu en cybersécurité rappelle qu’il est inutile de blinder la porte d’une maison si les fenêtres restent grandes ouvertes. Pourtant, dans certaines situations, l’effet inverse peut se produire. En tentant de renforcer la sécurité d’une faiblesse isolée, on peut créer de nouvelles vulnérabilités ailleurs.
C’est le cas que nous allons explorer ici, illustré par une initiative bien intentionnée mais mal évaluée de la direction de la sécurité d’une entreprise. En cherchant à protéger les comptes de service dans un Active Directory (AD), l’équipe a déployé des mesures qui, paradoxalement, ont augmenté les risques systémiques.
La stratégie initiale : renforcer la sécurité des comptes de service
Dans un environnement Active Directory, plusieurs types de comptes coexistent :
- Comptes utilisateurs standards : utilisés par les employés pour accéder aux ressources.
- Comptes administratifs : ayant des privilèges élevés pour gérer le système.
- Comptes de service : utilisés par des applications ou des services pour fonctionner sans intervention humaine.
- Comptes associés à la messagerie Exchange : gérés automatiquement pour les boîtes partagées et les utilisateurs.
Chaque type de compte présente des risques particuliers si mal géré. Les comptes de service, en particulier, sont souvent oubliés et ne sont pas supprimés, et sont utilisés avec des mots de passe qui n’expirent pas, ou sont configurés avec des mots de passe faibles, les rendant vulnérables aux attaques.
Conscients des risques, les responsables de la sécurité ont décidé de recenser tous les comptes de service dans l’Active Directory et de leur imposer des mots de passe complexes. Cette initiative, bien qu’essentielle et pertinente, a rapidement révélé une faille plus importante lorsque les campagnes de vérification ont en effet révélé l’existence de milliers de comptes non conformes.
Ces campagnes ont aussi permis une autre découverte : parmi ces comptes, un grand nombre étaient en fait des comptes associés à des boîtes partagées d’Exchange. Bien que techniquement différents des comptes de service classiques, leur existence représente des risques importants pour la sécurité du système.
Les interactions entre Exchange et Active Directory
Exchange utilise en effet l’Active Directory comme annuaire sous-jacent, ce qui signifie que chaque boîte mail créée génère des objets dans l’AD :
- Les comptes utilisateurs standards pour les boîtes personnelles.
- Des sortes de comptes virtuels pour les boîtes partagées.
Comme ces comptes peuvent avoir des effets négatifs, Microsoft les désactive systématiquement. Mais, bien que non utilisés pour des connexions actives, ils possèdent tout de même des mots de passe. Un attaquant pourrait donc les deviner et s’authentifier ainsi auprès du système d’information, même si le mot de passe est généré automatiquement et même si le compte est désactivé (pour la simple raison qu’un administrateur pourrait activer le compte par erreur).
Ce détail a inquiété la direction de la sécurité de notre client qui a mis en demeure les administrateurs de placer tous les comptes en question dans les groupes gérant les « vrais » comptes de service afin d’éviter d’exposer l’organisation à des attaques potentielles.
Une solution bien intentionnée, mais problématique
Cette solution bien que bien intentionné, a toutefois soulevé d’autres problèmes et ouvert une faille critique en termes de sécurité :
- Complexification des procédures : chaque nouvelle boîte partagée nécessite une mise à jour dans l’Active Directory et de nouvelles boîtes partagées sont créées tous les jours
- Limitation des droits d’accès : les correspondants locaux responsables de la création des boîtes partagées n’ont initialement accès qu’à la console Exchange avec des droits limités, or la solution implique une opération complémentaire directement dans l’Active Directory
- Extension des privilèges : faute de solution alternative, ces correspondants ont été dotés de droits d’administrateur dans l’Active Directory pour réaliser les opérations
Et c’est là que le bas blesse. En application du modèle de délégation, ces correspondants, n’ayant pas de compétences en Active Directory, vont donc se retrouver avec des privilèges et des droits d’accès importants dans l’un des éléments les plus critiques du système d’information.
Les conséquences d’une gestion inadéquate et les leçons à tirer
En accordant des droits administratifs à des utilisateurs non spécialistes de l’AD, l’entreprise a créé une situation où :
- Les erreurs humaines deviennent beaucoup plus probables.
- Des droits excessifs augmentent la surface d’attaque pour les cybercriminels.
- La sécurité globale du système d’information est affaiblie.
Ce cas met en évidence l’importance de considérer la sécurité comme un tout cohérent et de réfléchir aux conséquences indirectes des mesures adoptées. Voici quelques recommandations pour éviter de tomber dans de tels pièges :
- Cartographier les interactions entre systèmes : comprendre comment les applications (comme Exchange) interagissent avec l’Active Directory est essentiel avant de prendre des décisions de sécurité.
- Adopter le principe du moindre privilège : éviter d’accorder des droits d’administrateur à des utilisateurs non spécialisés.
- Automatiser les processus : mettre en place des scripts ou des outils pour gérer automatiquement les nouveaux comptes d’Exchange dans l’Active Directory.
- Former les utilisateurs : les correspondants locaux doivent être sensibilisés aux enjeux de sécurité liés à leurs opérations.
La sécurisation des systèmes critiques comme l’Active Directory nécessite une approche globale et unifiée. Chaque mesure doit être évaluée non seulement pour ses effets immédiats, mais aussi pour ses conséquences indirectes sur l’écosystème. En tenant compte de ces principes, les entreprises peuvent réduire les risques tout en évitant d’introduire de nouvelles vulnérabilités.
Pour mieux comprendre l’importance de réaliser un audit Active Directory ou de mettre en place une segmentation de votre infrastructure grâce aux administrative units, contactez nos experts.
Découvrez notre présentation Mieux gérer et protéger votre infrastructure Microsoft pour découvrir en détail les étapes et les bonnes pratiques indispensables pour sécuriser votre système d’information.
Related Posts
Un adage bien connu en cybersécurité rappelle qu’il est inutile de blinder la porte d’une maison si les fenêtres restent grandes ouvertes. Pourtant, dans certaines situations, l’effet inverse peut se produire. En tentant de renforcer la sécurité d’une faiblesse isolée, on peut créer de nouvelles vulnérabilités ailleurs.
C’est le cas que nous allons explorer ici, illustré par une initiative bien intentionnée mais mal évaluée de la direction de la sécurité d’une entreprise. En cherchant à protéger les comptes de service dans un Active Directory (AD), l’équipe a déployé des mesures qui, paradoxalement, ont augmenté les risques systémiques.
La stratégie initiale : renforcer la sécurité des comptes de service
Dans un environnement Active Directory, plusieurs types de comptes coexistent :
- Comptes utilisateurs standards : utilisés par les employés pour accéder aux ressources.
- Comptes administratifs : ayant des privilèges élevés pour gérer le système.
- Comptes de service : utilisés par des applications ou des services pour fonctionner sans intervention humaine.
- Comptes associés à la messagerie Exchange : gérés automatiquement pour les boîtes partagées et les utilisateurs.
Chaque type de compte présente des risques particuliers si mal géré. Les comptes de service, en particulier, sont souvent oubliés et ne sont pas supprimés, et sont utilisés avec des mots de passe qui n’expirent pas, ou sont configurés avec des mots de passe faibles, les rendant vulnérables aux attaques.
Conscients des risques, les responsables de la sécurité ont décidé de recenser tous les comptes de service dans l’Active Directory et de leur imposer des mots de passe complexes. Cette initiative, bien qu’essentielle et pertinente, a rapidement révélé une faille plus importante lorsque les campagnes de vérification ont en effet révélé l’existence de milliers de comptes non conformes.
Ces campagnes ont aussi permis une autre découverte : parmi ces comptes, un grand nombre étaient en fait des comptes associés à des boîtes partagées d’Exchange. Bien que techniquement différents des comptes de service classiques, leur existence représente des risques importants pour la sécurité du système.
Les interactions entre Exchange et Active Directory
Exchange utilise en effet l’Active Directory comme annuaire sous-jacent, ce qui signifie que chaque boîte mail créée génère des objets dans l’AD :
- Les comptes utilisateurs standards pour les boîtes personnelles.
- Des sortes de comptes virtuels pour les boîtes partagées.
Comme ces comptes peuvent avoir des effets négatifs, Microsoft les désactive systématiquement. Mais, bien que non utilisés pour des connexions actives, ils possèdent tout de même des mots de passe. Un attaquant pourrait donc les deviner et s’authentifier ainsi auprès du système d’information, même si le mot de passe est généré automatiquement et même si le compte est désactivé (pour la simple raison qu’un administrateur pourrait activer le compte par erreur).
Ce détail a inquiété la direction de la sécurité de notre client qui a mis en demeure les administrateurs de placer tous les comptes en question dans les groupes gérant les « vrais » comptes de service afin d’éviter d’exposer l’organisation à des attaques potentielles.
Une solution bien intentionnée, mais problématique
Cette solution bien que bien intentionné, a toutefois soulevé d’autres problèmes et ouvert une faille critique en termes de sécurité :
- Complexification des procédures : chaque nouvelle boîte partagée nécessite une mise à jour dans l’Active Directory et de nouvelles boîtes partagées sont créées tous les jours
- Limitation des droits d’accès : les correspondants locaux responsables de la création des boîtes partagées n’ont initialement accès qu’à la console Exchange avec des droits limités, or la solution implique une opération complémentaire directement dans l’Active Directory
- Extension des privilèges : faute de solution alternative, ces correspondants ont été dotés de droits d’administrateur dans l’Active Directory pour réaliser les opérations
Et c’est là que le bas blesse. En application du modèle de délégation, ces correspondants, n’ayant pas de compétences en Active Directory, vont donc se retrouver avec des privilèges et des droits d’accès importants dans l’un des éléments les plus critiques du système d’information.
Les conséquences d’une gestion inadéquate et les leçons à tirer
En accordant des droits administratifs à des utilisateurs non spécialistes de l’AD, l’entreprise a créé une situation où :
- Les erreurs humaines deviennent beaucoup plus probables.
- Des droits excessifs augmentent la surface d’attaque pour les cybercriminels.
- La sécurité globale du système d’information est affaiblie.
Ce cas met en évidence l’importance de considérer la sécurité comme un tout cohérent et de réfléchir aux conséquences indirectes des mesures adoptées. Voici quelques recommandations pour éviter de tomber dans de tels pièges :
- Cartographier les interactions entre systèmes : comprendre comment les applications (comme Exchange) interagissent avec l’Active Directory est essentiel avant de prendre des décisions de sécurité.
- Adopter le principe du moindre privilège : éviter d’accorder des droits d’administrateur à des utilisateurs non spécialisés.
- Automatiser les processus : mettre en place des scripts ou des outils pour gérer automatiquement les nouveaux comptes d’Exchange dans l’Active Directory.
- Former les utilisateurs : les correspondants locaux doivent être sensibilisés aux enjeux de sécurité liés à leurs opérations.
La sécurisation des systèmes critiques comme l’Active Directory nécessite une approche globale et unifiée. Chaque mesure doit être évaluée non seulement pour ses effets immédiats, mais aussi pour ses conséquences indirectes sur l’écosystème. En tenant compte de ces principes, les entreprises peuvent réduire les risques tout en évitant d’introduire de nouvelles vulnérabilités.
Pour mieux comprendre l’importance de réaliser un audit Active Directory ou de mettre en place une segmentation de votre infrastructure grâce aux administrative units, contactez nos experts.
Découvrez notre présentation Mieux gérer et protéger votre infrastructure Microsoft pour découvrir en détail les étapes et les bonnes pratiques indispensables pour sécuriser votre système d’information.
Related Posts
Leave A Comment
You must be logged in to post a comment.
