Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurisation des identités hybrides : que faire pour déjouer les hackers ?

octobre 2022 par Matthieu Trivier, de Semperis

L’identité constitue le nouveau périmètre de sécurité. La moindre intrusion dans ce périmètre expose vos applications, vos données et même vos opérations métier à un risque majeur : tomber entre les mains d’individus malveillants.
La sécurisation des identités hybrides peut rapidement devenir un processus complexe et chronophage. Généralement un seul référentiel d’identité est présent, comme Active Directory local ou Azure AD. Il est d’autant plus difficile de protéger plusieurs référentiels d’identités, en particulier pour les entreprises qui utilisent des services d’identité dans environnement hybride, tel que la combinaison de Azure AD et un Active Directory local. Et pourtant, cet effort est absolument vital.

Les environnements hybrides sont tout particulièrement sources d’erreurs et peuvent donner lieu à des problèmes de configuration propices aux cyberattaques. Sans compter qu’en ciblant votre Active Directory local, les hackers ont toute latitude pour élargir leurs attaques à Azure AD, et inversement. Par exemple, L’attaque SolarWinds est une parfaite illustration de ce type de stratégie.

Les problématiques associées à la sécurisation des identités hybrides sont assez différentes de celles que l’on observe dans les environnements exclusivement sur site. Si vous avez déployé Azure AD dans votre infrastructure et si votre organisation utilise Microsoft Office 365, vous trouverez ici une liste des principales attaques dont vous devriez chercher à vous prémunir (liste non exhaustive).

1. Attaques latérales en provenance de l’instance AD locale
Les cybercriminels n’hésitent pas à recourir au phishing et à l’ingénierie sociale pour cibler des utilisateurs vulnérables et les piéger afin de les encourager à divulguer des informations sensibles, notamment des informations d’identité. Les attaques perpétrées contre SolarWinds et le Colonial Pipeline témoignent de l’ampleur d’un tel risque. Les auteurs de ces cyberattaques sont parvenus à prendre le contrôle des instances AD locales et à compromettre la fédération ADFS pour forger des jetons SAML et se frayer un chemin jusqu’à Azure AD.

2. Sécurisation des identités hybrides : que faire pour déjouer les hackers ?
La première mesure à prendre, qui est également la plus évidente, consiste à appliquer des mécanismes d’authentification multifacteur (MFA). Le vol d’informations d’identité représente l’arme la plus redoutable des auteurs de cyberattaques. De plus, l’utilisation malveillante de ces informations peut longtemps passer inaperçue. Tous les systèmes de surveillance ne sont pas capables de signaler les activités inhabituelles sur les comptes, c’est pourquoi il est important d’ajouter cette couche de protection supplémentaire.
Deuxièmement, vous devez comprendre que la gestion moderne des identités hybrides impose de mettre en place des contrôles de sécurité supplémentaires dont la portée dépasse celle des mesures disponibles dans un déploiement ADFS traditionnel. Par ailleurs, le maintien de l’infrastructure nécessaire pour héberger ADFS n’est pas exempte de risques (oublis de correctifs, matériel obsolète, etc.).
Envisagez plutôt une authentification directe AD, qui vous permet d’utiliser le même mot de passe pour vous connecter à vos applications hébergées en local et dans le cloud. Cette approche utilise un modèle de connexion exclusivement sortante et une authentification par certificat pour déléguer le processus d’authentification à l’instance locale Active Directory, ce qui offre une alternative plus sécurisée qu’ADFS. Vous pouvez également intégrer l’authentification directe AD à d’autres mesures de sécurité Azure AD pour vous protéger des infiltrations et des vols d’identifiants. Il est aussi possible de synchroniser les hachages de mots de passe AD avec Azure AD.
Pour finir, vous pouvez utiliser le proxy d’application Azure AD, qui s’appuie sur les informations et mécanismes d’identification Azure AD pour configurer un accès distant sécurisé aux applications de type web hébergées sur site et offre la même expérience utilisateur que n’importe quelle application intégrée à Azure AD.

3. Anomalie et complexité de configuration
Que vous soyez administrateur AD, professionnel de l’identité ou expert en sécurité, la protection des identités hybrides ne fait que vous compliquer la tâche. Les menaces ne cessent d’évoluer et il serait extrêmement long et fastidieux de verrouiller l’accès à vos ressources Tier 0 (où l’on retrouve AD et Azure AD). Et pourtant : en négligeant cette protection vous pourriez très vite vous trouver dans une situation qui vous obligerait à perdre un temps précieux pour tenter de récupérer AD à la suite d’une cyberattaque, et des dommages considérables pour la société.
Le fait d’utiliser Azure AD pour l’authentification des applications tierces rend le modèle de sécurité d’autant plus complexe. Dans certains cas, ces applications peuvent lire et stocker des données sur Azure AD, ce qui étend votre périmètre de risques, sans compter que la sécurité de vos données dépend alors directement de l’application tierce intégrée à Azure AD.
Le niveau d’autorisations accordé aux applications intégrées à Azure AD constitue une autre brèche potentielle. À défaut de prendre le temps d’examiner soigneusement les paramètres d’autorisation avant d’accorder l’accès à ces applications, vous risquez de vous retrouver avec un environnement Azure AD contenant un volume d’autorisations inutilement élevé. Cette supervision potentielle augmente le risque que des applications introduisent des modifications au niveau du locataire AD.
Il faut savoir enfin que certaines mesures de sécurité, comme la MFA, ne sont pas toujours efficaces pour certaines applications et qu’elles dépendent donc des contrôles de sécurité fournis par l’application elle-même, quels qu’ils soient.

4. Que faire pour restreindre les accès ?
Ces failles de sécurité potentielles imposent une gouvernance stricte et la mise en place d’audits réguliers visant à vérifier les autorisations sur les applications afin de comprendre à quel niveau appliquer des restrictions supplémentaires. Veillez à combler les brèches et à activer le bon ensemble de rôles dans Azure AD. Vérifiez les paramètres d’autorisation des applications, renforcez les configurations de sécurité des applications et ajoutez des protections (la MFA, accès conditionnels par exemple).
Évaluez également votre façon de gérer le contrôle d’accès basé sur les rôles (RBAC). L’attribution de rôles dans Azure AD est assez différente de la gestion traditionnelle des accès AD : examinez donc attentivement la manière dont sont définis les rôles et les modalités d’octroi des autorisations, en respectant toujours le principe d’attribution du moins de droits possibles nécessaires.
En matière d’identité hybride, il est important d’aussi appliquer ce principe de moindre privilège. Si vous avez synchronisé des comptes entre votre AD locale et Azure AD, évitez de leur attribuer un rôle RBAC avec privilèges, par exemple un rôle d’administrateur global. Réservez ces rôles à haut niveau de privilège pour les comptes Azure AD natifs, et séparés des comptes utilisateurs. Vous pouvez également créer des unités d’administration dans votre locataire Azure AD. Toujours dans la logique du moindre privilège, cette fonctionnalité vous permet de restreindre les objets que peuvent gérer les membres de votre équipe IT via un rôle RBAC spécifique.

5. Mauvaises configurations et autres failles de sécurité
Les mauvaises configurations et failles de sécurité associées à votre solution de gestion des identités fournissent un point d’accès pour les hackers. Azure AD se compose de services managés ; Microsoft gère la sécurité de son infrastructure sous-jacente dans le cloud. En revanche, il est de votre responsabilité d’assurer la sécurité de vos accès, données et de votre configuration Azure AD / Office 365.
Au cours d’une cyberattaque, les hackers peuvent modifier ou supprimer des utilisateurs, des groupes, des rôles, des stratégies d’accès conditionnel, des données, etc. À moins d’avoir mis en place un plan de récupération adéquat, les conséquences d’une telle attaque pourraient être dévastatrices, et ce sur le long terme. Il existe quelques contrôles natifs qui permettent de prévenir l’écrasement des données ou des configurations Azure AD au cours d’une attaque.

6. Que faire pour simplifier la sécurisation des identités hybrides ?
La corbeille Azure AD contient une fonction « soft delete » qui vous permet de restaurer les utilisateurs qui ont été supprimés. Mais cette fonctionnalité est limitée à une capacité de restauration sur 30 jours maximum.
Il peut s’avérer difficile de détecter et atténuer certains autres types de violations, en particulier dans le cas d’un déplacement latéral entre une ou plusieurs instances AD locale et le cloud. Au-delà des mesures de sécurité natives, les responsables IT ont tout intérêt à envisager certains outils qui offrent des fonctionnalités avancées, conçues pour suivre les attaques susceptibles de s’étendre latéralement à travers les environnements hybrides. Les fonctions de suivi des modifications et de correction automatique peuvent également assurer une protection contre le vol d’identifiants et les utilisateurs internes malveillants. Dans tous les cas, veillez toujours à disposer d’un plan de récupération proactif, que vous aurez soigneusement testé pour Active Directory et Azure AD.


Voir les articles précédents

    

Voir les articles suivants