Experts Active Directory

Active Directory : la cible privilégiée des cyberattaques

Les cyberattaques suivent systématiquement le même schéma. Après avoir franchi les mécanismes de défense périmétriques (comme les antivirus, pare-feu ou EDR), les hackers ciblent systématiquement le composant qui gère les droits d’accès d’une entreprise : l’infrastructure Active Directory.

La plupart des solutions existantes sur le marché aujourd’hui se focalisent sur la sécurité des postes de travail et des échanges réseau. Malheureusement, ces dispositifs de défense peuvent être facilement contournés compte tenu de leur hétérogénéité et de leur nombre. Dès lors, l’infrastructure Active Directory, devenue vulnérable, ouvre une voie royale pour tout attaquant souhaitant accéder aux données confidentielles, prendre le contrôle du système d’information et nuire aux activités d’une entreprise.

Au cœur de votre stratégie de cybersécurité

Au fil du temps, Active Directory est devenue la pierre angulaire de la sécurité des réseaux d’entreprise. Malgré tout le soin apporté à leur configuration initiale, les architectures Active Directory, en perpétuelle évolution, ne cessent de voir leur niveau de sécurité se dégrader.

Maintenir une infrastructure à l’état de l’art en matière de sécurité constitue un véritable défi – à la fois sur le plan technique et sur le plan des processus – dont l’importance est généralement sous-estimée.

Que se passe-t-il en cas de compromission d’une infrastructure Active Directory

Cartographie des ressources vitales d’une entreprise
Déplacement latéral
Fuite ou destruction de données
Au cœur des menaces persistantes avancées (APT)

Cartographie des ressources vitales d’une entreprise

Active Directory représente une véritable mine d’or pour les attaquants qui peuvent se procurer toutes les informations dont ils ont besoin pour infiltrer les systèmes d’information : localisation des données sensibles, permissions des utilisateurs, versions des systèmes d’information, politiques de sécurité déployées, etc.

Voir un exemple

Déplacement latéral

Il n’est pas nécessaire pour un attaquant de disposer d’accès administrateurs sur Active Directory pour atteindre sa cible. Un compte utilisateur standard suffira amplement pour accéder à des ressources adjacentes qui lui permettra de capturer les informations sensibles ciblées.

Voir un exemple

Fuite ou destruction de données

Active Directory gère les accès à tous les documents stockés sur un poste de travail, un smartphone ou un serveur. Les hackers en mesure de prendre la main sur une infrastructure Active Directory peuvent ainsi lire et manipuler ces ressources en toute discrétion.

Voir un exemple

Au cœur des menaces persistantes avancées (APT)

Une fois l’Active Directory compromis, les attaquants peuvent prendre le contrôle de votre système d’information en toute discrétion, et obtenir ainsi à tout moment un accès complet à vos ressources. Il devient également possible de déposer des portes dérobées extrêmement discrètes permettant la reprise de contrôle d’un attaquant même après la réinstallation d’un serveur Active Directory.

Voir un exemple

Indicateurs d’exposition

Identifier les vecteurs d’attaque contre Active Directory

Pour protéger une infrastructure Active Directory, Alsid définit et supervise des indicateurs d’exposition (IoE) permettant d’identifier les failles de sécurité d’une infrastructure Active Directory dès leur apparition, de façon consolidée et cohérente.

Isolation des élévations de privilèges

En savoir plus

Identification des portes dérobées et des techniques persistantes

En savoir plus

Détection des configurations de sécurité dangereuses

En savoir plus

Quelques cas réels d’entreprises ayant fait l’objet de compromissions Active Directory

Elles ont fait la une des journaux et ont provoqué d’énormes dégâts pour les entreprises victimes.
Voici quelques exemples récents d’intrusions pour lesquelles les attaquants ont exploité des vulnérabilités dans une infrastructure Active Directory.

Sony Pictures

Le 24 novembre 2014, un groupe de hackers se présentant sous le nom de « Guardians of Peace » (GOP) a dévoilé des informations confidentielles émanant de la société de production Sony Pictures. Parmi ces informations figuraient des données personnelles sur les employés et leurs familles, des mails échangés entre les employés, des salaires de cadres dirigeants, des copies piratées de films n’ayant pas encore été distribués dans les salles, etc. Les pirates avaient alors employé plusieurs techniques d’attaque visant l’Active Directory pour compromettre les réseaux informatiques de Sony Pictures.

Divertissement
Parti démocrate américain

Des cyberattaques visant le parti démocrate américain (Democratic National Committee) ont eu lieu en 2015 et en 2016. À cette occasion, des pirates ont infiltré le réseau du DNC et ouvert une brèche de sécurité. Des experts en cybersécurité et le gouvernement américain ont déclaré que l’attaque avait pu être menée grâce à l’utilisation de plusieurs techniques d’attaque ciblant l’Active Directory.

Politique
Orano, anciennement Areva

Le groupe Areva a été la cible d’une cyberattaque en septembre 2011. Selon certaines sources, les attaquants ont utilisé plusieurs vulnérabilités liées à Active Directory pour dérober des identifiants de hauts dirigeants (mots de passe, clés secrètes, etc.) et dérober en toute discrétion des informations commerciales sensibles ou issues du département R&D de l’entreprise.

Industrie
Target

En 2013, pendant les vacances de Noël, Target a signalé la compromission totale de ses systèmes informatiques. Pendant cette période d’affluence la plus importante de l’année dans les magasins, les cybercriminels ont infiltré le système du réseau de grande distribution et siphonné les coordonnées bancaires des clients. Grâce à l’installation de portes dérobées ciblant l’Active Directory, les pirates ont pu accéder au système sans être détectés pendant plusieurs mois.

Grande distribution

Contactez-nous

Découvrons ensemble comment Alsid peut améliorer la sécurité de vos infrastructures d’annuaire

Contactez-nous