Description
Pour comprendre pourquoi l'active directory est si important en cybersécurité ?
Podcast
https://www.nolimitsecu.fr/mimikatz/
https://www.nolimitsecu.fr/adminer/
Site web
Vidéo
https://www.youtube.com/watch?v=EFJ9BzvXsCI
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y prennent rien. Crime, Arnaque et Botanique est un film réalisé par Guy Ritchie en 1998. Et c'est un film culte du cinéma britannique. Il y a bien évidemment quelques anecdotes intéressantes à propos de ce film dont je vous ferai part à la fin de cet épisode. Le film suit un groupe de quatre amis londoniens, dirigés par Eddie, un jeune homme doué pour les cartes. Ils décident de participer à une partie de poker organisée par un gangster, le redoutable Harry Lash. Mais malheureusement, la partie est truquée. et ils se retrouvent endettés à plus de 500 000 livres. Pour rembourser cette somme, ils élaborent un plan pour braquer un gang de trafiquants de drogue. A partir de là, l'intrigue se complexifie, avec plusieurs personnages et des intrigues secondaires qui s'entrelacent dans un chaos maîtrisé. Et c'est bien ce dernier point que je souhaite aborder aujourd'hui avec vous, le concept de chaos maîtrisé. Mais avant cela, revenons au film un instant. Pour s'en sortir, les 4 amis vont espionner un groupe de gangsters qui projettent de braquer des cultivateurs de cannabis. Mais ces cultivateurs sont employés par un autre gangster, Rory le Casseur. Une fois les gangsters braqués par le groupe des 4 amis, la drogue va être revendue par un intermédiaire, Nicolas Grec, qui sans le savoir va essayer de revendre la drogue à Rory le Casseur, qui bien évidemment a été mis au courant du vol. Évidemment, cette situation va créer quelques tensions entre les différents personnages. En fait, je ne vous parle ici que d'une toute petite partie du film, et je ne veux pas vous dévoiler l'intrigue, surtout si vous ne l'avez pas vue. Ce qui m'intéresse dans cet exemple, c'est l'interaction entre les personnages. Le groupe des amis espionne le groupe de gangsters au travers d'une cloison peu épaisse, et utilise les informations récoltées pour exploiter une faille et ainsi obtenir quelque chose. Il existe dans un système d'information un système qui modélise les groupes d'utilisateurs, ce qu'on appelle l'Active Directory. Mais pourquoi l'organisation des groupes utilisateurs peut poser un problème de cybersécurité ? Et c'est bien là que la notion de chaos organisé va prendre tout son sens.
Lilian, Laurent, l'orteil est le meilleur ami de l'homme. Natacha Amal. Je passe. A vous la main Laurent. J'inonde mon cerf-volant et je broute un minou. Bien joué, vous soufflez l'as de cake et vous avancez en case bisounours. Lilian.
Je vends du cuir à 14h et je visite Jean-Pierre Castaldi.
Castaldi, bien joué, 4 de louche, vous tombez en case Yuki, 4 secondes de Gotenert.
Il était où, le Yuki ? L'Activity Directory, c'est un peu comme le cerveau d'un réseau d'entreprises. Imaginez que vous travaillez dans une grande organisation, où chacun utilise des ordinateurs, des imprimants, des logiciels partagés et des quantités de données circulant en permanence. Eh bien ? l'Active Directory, souvent abrégé en AD, est l'outil qui permet de tout organiser de manière fluide et sécurisée. Pour commencer, l'Active Directory est un annuaire centralisé, un peu comme un énorme répertoire téléphonique, mais qui contient bien plus que des noms et des numéros. Il regroupe toutes les informations sur les utilisateurs, les ordinateurs, les groupes et même les ressources comme les imprimantes ou les dossiers partagés. Grâce à cela, lorsqu'un utilisateur se connecte à son poste, l'AD vérifie son identité, et lui donne les accès aux ressources dont il a besoin. Et ceci en fonction des groupes auxquels l'utilisateur appartient. Par exemple, si l'utilisateur fait partie du groupe marketing, il aura accès aux ressources atteignables en faisant partie de ce groupe. Et uniquement à cela. Vous n'avez donc pas à vous soucier de qui peut accéder quoi, tout est géré en arrière-plan. Ensuite, l'AD s'occupe de l'authentification. Autrement dit, chaque fois que vous vous connectez à votre session, C'est l'Active Directory qui vérifie que vous êtes bien la bonne personne. Il sait précisément qui vous êtes, quelles ressources vous pouvez utiliser et quelles actions vous êtes autorisé à faire, comme consulter des documents spécifiques ou utiliser certaines applications. C'est moi, c'est Brutus, fils de César. Allez, ouvre ! Le code. 29-1-JC-48 Non Mordicus Donne-moi le code Le code 2 Le code d'accès 4 4 7 Non, 1000 Et tu connais le code ? Non, c'est lui qui le connaît. Eh, casse-toi. Un B, un U, 24. Non, ça va, ça va, ça va, ça va, ça va. Toi, ne bouge surtout pas, hein. Tu restes bien dans l'axe. Je crois que ça va beaucoup te plaire. Envoyez une bêlée ! C'est un peu comme si un agent de sécurité numérique veillait sur votre activité en permanence pour s'assurer que vous avez accès aux bonnes ressources. Un autre avantage de l'Active Directory, c'est qu'il permet aux administrateurs de gérer les règles et les politiques de manière centralisée. Imaginez que l'administrateur informatique de votre entreprise décide que tous les employés doivent changer leur mot de passe tous les trois mois et ajouter des caractères spéciaux pour renforcer la sécurité. Plutôt que d'appliquer ces changements manuellement sur chaque poste, Il suffit de définir une politique dans l'AD et cette règle est automatiquement appliquée sur tous les ordinateurs. Cela permet d'harmoniser facilement les configurations et de s'assurer que tout le monde respecte les bonnes pratiques en matière de cybersécurité. Enfin, l'AD permet de structurer l'entreprise selon son organisation hiérarchique. Par exemple, si vous faites partie du service marketing, vous n'aurez pas accès aux documents confidentiels des ressources humaines, mais vous pourrez consulter tous les fichiers nécessaires à votre travail. L'Active Directory classe les droits d'accès en fonction des rôles et des responsabilités de chacun, ce qui rend la gestion des accès à la fois simple et sécurisée. L'Active Directory permet d'organiser les relations entre les utilisateurs et les ressources disposibles au sein de l'entreprise. On pourrait donc penser que tout fonctionne parfaitement et que tout est sous contrôle. Cependant, il faut tenir compte des nombreuses modifications et ajustements auxquels une organisation est confrontée au quotidien. En effet, Il y a toujours de nouveaux collaborateurs qui rejoignent l'entreprise, tandis que d'autres la quittent. Mais ce n'est pas tout, certains utilisateurs demandent à accéder à des nouvelles ressources, tandis que d'autres changent de rôle ou de poste au sein de l'organisation, ce qui nécessite des ajustements dans leurs autorisations et les accès. Mais là où les choses peuvent nettement se complexifier, c'est quand on parle de compte à privilèges. Il existe différents types de comptes ayant des droits plus ou moins étendus sur le système d'information. Cela va d'un compte utilisateur. standard, qui n'a que peu de droits, jusqu'au saint Graal, le compte administrateur de domaine. Ce type de compte a tous les droits, et c'est bien souvent ce niveau de privilège que les attaquants cherchent à obtenir. Ce qu'il faut comprendre, c'est que si l'Active Directory n'est pas parfaitement gérée, ce qui est généralement le cas à cause de la complexité, dans cette situation, nous sommes bien dans le cas du chaos organisé. Par construction, un Active Directory mal géré va automatiquement créer des failles de sécurité plus ou moins facilement exploitables. Mais quelles sont ces failles ? Prenons l'exemple d'un scénario où un attaquant, qui commence en tant qu'utilisateur standard sans privilèges élevés, exploite une faille de sécurité dans l'Active Directory pour escalader ses privilèges et prendre le contrôle du réseau. La première phase est celle de la compromission d'un compte utilisateur. L'attaquant commence par obtenir les identifiants d'un employé lambda, un utilisateur standard avec des droits limités. Cela peut se faire par le phishing, par exemple. À ce stade... l'attaquant n'a accès qu'à des ressources limitées, celles auxquelles l'utilisateur compromis peut normalement accéder. Imaginons que le compte soit celui d'un développeur ayant commencé sa carrière au helpdesk. Une fois connecté à ce compte, l'attaquant va chercher à cartographier l'environnement de l'Active Directory en utilisant des outils comme Bloodhound, qui analyse la structure des permissions et des relations dans l'Active Directory. L'attaquant pourra identifier les chemins potentiels pour obtenir des privilèges élevés. Bloodhound ? permet de visualiser les dépendances, les droits d'accès et les comptes à privilégier pour monter dans la hiérarchie des droits. C'est un peu comme trouver son chemin dans le brouillard pour atteindre son objectif. Une configuration fréquente qui peut être exploitée par un attaquant est l'usage incorrect des permissions d'accès. Si un compte utilisateur a été accidentellement ajouté à un groupe avec des droits plus élevés, ou si des groupes d'administration ont des permissions trop larges sur certains objets du domaine, cela peut être un point d'entrée. Ce qui sera le cas si les droits octroyés à l'employé, lorsqu'il a été au LDS, n'ont pas été supprimés. Il a, sans le savoir, plus de droits que ceux dont il a réellement besoin. Dans notre scénario, l'attaquant pourrait découvrir qu'un compte de service, ce sont des comptes utilisés pour exécuter des services spécifiques, souvent avec des droits élevés, peut avoir des mots de passe mal protégés ou accessibles via des partages de fichiers mal sécurisés. L'attaquant pourrait récupérer ces informations en scannant les systèmes accessibles. Une autre technique utilisée à ce stade est le Kerberosting, une attaque contre le protocole d'authentification Kerberos. L'attaquant, avec son compte utilisateur standard, demande un ticket de service Kerberos pour un compte de service spécifique, souvent un compte avec des privilèges plus élevés. Il utilise ensuite des outils pour extraire le ticket chiffré qu'il va tenter de craquer hors ligne pour obtenir le mot de passe du compte de service. Si le mot de passe du compte de service est faible ou mal protégé, l'attaquant peut rapidement le récupérer et obtenir accès à un compte avec des privilèges beaucoup plus élevés. Avec ce compte de service compromis, l'attaquant peut maintenant exécuter des actions avec plus de droits. Il pourrait alors s'introduire sur des serveurs où un administrateur de domaine s'est connecté. En utilisant des outils comme Mimikatz, il peut récupérer en mémoire les informations d'identification de l'administrateur. A noter que l'auteur de Mimikatz est un français bien connu dans le monde de la cyber. J'ajouterai des informations complémentaires à propos de lui dans les descriptifs de cet épisode. Une fois que l'attaquant a compromis un compte administrateur, il a pratiquement un contrôle total sur l'Active Directory et il pourra ajouter ou supprimer des utilisateurs, déléguer ou modifier des permissions, accéder à des fichiers sensibles, voire chiffrer des données pour demander une rançon. Mais il pourra aussi créer une backdoor pour garantir un accès futur sans être détecté. Cet exemple illustre comment une faille dans la gestion des permissions ou des mots de passe dans un environnement Active Directory peut permettre à un attaquant de partir d'un simple compte utilisateur standard pour prendre le contrôle total du réseau. C'est pourquoi il est crucial de surveiller en permanence les configurations de sécurité, de restreindre les accès non nécessaires, et d'utiliser des mécanismes des défenses comme l'authentification à multiples facteurs, pour limiter les risques d'escalade de privilèges. A noter que Bloodhound permet d'obtenir un chemin d'attaque mais sans prendre en compte sa complexité, ce qui peut dans certains cas ralentir la progression de l'attaquant à cause de la complexité de chacune des étapes. Il existe une alternative, encore une fois française, à des miners. Vous trouverez dans la description de cet épisode des références au podcast NoLimitCQ qui traite de cette... problématique, mais aussi des liens sur le web et des vidéos sur YouTube. Crime, arnaque et botanique a été acclamé tant par la critique que par le public, marquant le début de la carrière de Guy Ritchie. Il souvent comparé au film de Quentin Tarantino pour son mélange de violence, d'humour et de dialogue intelligent. Il a également lancé la carrière de plusieurs acteurs britanniques, notamment Jason Statham, qui fait ici ses débuts au cinéma. Pour la petite histoire, Guy Ritchie ne trouvait pas de producteur assez courageux pour financer son projet. Il en a parlé à son ami Sting, chanteur et bassiste du groupe Police. Sting était tellement enthousiaste par le projet qu'il a demandé à son manager de financer le film. Et c'est certainement la raison pour laquelle Sting fit une apparition dans le film. C'est un peu comme une chaîne d'attaque dans l'Active Directory. Il faut trouver le bon levier au bon endroit pour atteindre son but. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi laisser des commentaires et des questions auxquelles j'aurai le plaisir de répondre. Mais surtout n'oubliez pas, pour certains la cybersécurité est un enjeu de vie ou de mort, c'est bien plus sérieux que ça.
Description
Pour comprendre pourquoi l'active directory est si important en cybersécurité ?
Podcast
https://www.nolimitsecu.fr/mimikatz/
https://www.nolimitsecu.fr/adminer/
Site web
Vidéo
https://www.youtube.com/watch?v=EFJ9BzvXsCI
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y prennent rien. Crime, Arnaque et Botanique est un film réalisé par Guy Ritchie en 1998. Et c'est un film culte du cinéma britannique. Il y a bien évidemment quelques anecdotes intéressantes à propos de ce film dont je vous ferai part à la fin de cet épisode. Le film suit un groupe de quatre amis londoniens, dirigés par Eddie, un jeune homme doué pour les cartes. Ils décident de participer à une partie de poker organisée par un gangster, le redoutable Harry Lash. Mais malheureusement, la partie est truquée. et ils se retrouvent endettés à plus de 500 000 livres. Pour rembourser cette somme, ils élaborent un plan pour braquer un gang de trafiquants de drogue. A partir de là, l'intrigue se complexifie, avec plusieurs personnages et des intrigues secondaires qui s'entrelacent dans un chaos maîtrisé. Et c'est bien ce dernier point que je souhaite aborder aujourd'hui avec vous, le concept de chaos maîtrisé. Mais avant cela, revenons au film un instant. Pour s'en sortir, les 4 amis vont espionner un groupe de gangsters qui projettent de braquer des cultivateurs de cannabis. Mais ces cultivateurs sont employés par un autre gangster, Rory le Casseur. Une fois les gangsters braqués par le groupe des 4 amis, la drogue va être revendue par un intermédiaire, Nicolas Grec, qui sans le savoir va essayer de revendre la drogue à Rory le Casseur, qui bien évidemment a été mis au courant du vol. Évidemment, cette situation va créer quelques tensions entre les différents personnages. En fait, je ne vous parle ici que d'une toute petite partie du film, et je ne veux pas vous dévoiler l'intrigue, surtout si vous ne l'avez pas vue. Ce qui m'intéresse dans cet exemple, c'est l'interaction entre les personnages. Le groupe des amis espionne le groupe de gangsters au travers d'une cloison peu épaisse, et utilise les informations récoltées pour exploiter une faille et ainsi obtenir quelque chose. Il existe dans un système d'information un système qui modélise les groupes d'utilisateurs, ce qu'on appelle l'Active Directory. Mais pourquoi l'organisation des groupes utilisateurs peut poser un problème de cybersécurité ? Et c'est bien là que la notion de chaos organisé va prendre tout son sens.
Lilian, Laurent, l'orteil est le meilleur ami de l'homme. Natacha Amal. Je passe. A vous la main Laurent. J'inonde mon cerf-volant et je broute un minou. Bien joué, vous soufflez l'as de cake et vous avancez en case bisounours. Lilian.
Je vends du cuir à 14h et je visite Jean-Pierre Castaldi.
Castaldi, bien joué, 4 de louche, vous tombez en case Yuki, 4 secondes de Gotenert.
Il était où, le Yuki ? L'Activity Directory, c'est un peu comme le cerveau d'un réseau d'entreprises. Imaginez que vous travaillez dans une grande organisation, où chacun utilise des ordinateurs, des imprimants, des logiciels partagés et des quantités de données circulant en permanence. Eh bien ? l'Active Directory, souvent abrégé en AD, est l'outil qui permet de tout organiser de manière fluide et sécurisée. Pour commencer, l'Active Directory est un annuaire centralisé, un peu comme un énorme répertoire téléphonique, mais qui contient bien plus que des noms et des numéros. Il regroupe toutes les informations sur les utilisateurs, les ordinateurs, les groupes et même les ressources comme les imprimantes ou les dossiers partagés. Grâce à cela, lorsqu'un utilisateur se connecte à son poste, l'AD vérifie son identité, et lui donne les accès aux ressources dont il a besoin. Et ceci en fonction des groupes auxquels l'utilisateur appartient. Par exemple, si l'utilisateur fait partie du groupe marketing, il aura accès aux ressources atteignables en faisant partie de ce groupe. Et uniquement à cela. Vous n'avez donc pas à vous soucier de qui peut accéder quoi, tout est géré en arrière-plan. Ensuite, l'AD s'occupe de l'authentification. Autrement dit, chaque fois que vous vous connectez à votre session, C'est l'Active Directory qui vérifie que vous êtes bien la bonne personne. Il sait précisément qui vous êtes, quelles ressources vous pouvez utiliser et quelles actions vous êtes autorisé à faire, comme consulter des documents spécifiques ou utiliser certaines applications. C'est moi, c'est Brutus, fils de César. Allez, ouvre ! Le code. 29-1-JC-48 Non Mordicus Donne-moi le code Le code 2 Le code d'accès 4 4 7 Non, 1000 Et tu connais le code ? Non, c'est lui qui le connaît. Eh, casse-toi. Un B, un U, 24. Non, ça va, ça va, ça va, ça va, ça va. Toi, ne bouge surtout pas, hein. Tu restes bien dans l'axe. Je crois que ça va beaucoup te plaire. Envoyez une bêlée ! C'est un peu comme si un agent de sécurité numérique veillait sur votre activité en permanence pour s'assurer que vous avez accès aux bonnes ressources. Un autre avantage de l'Active Directory, c'est qu'il permet aux administrateurs de gérer les règles et les politiques de manière centralisée. Imaginez que l'administrateur informatique de votre entreprise décide que tous les employés doivent changer leur mot de passe tous les trois mois et ajouter des caractères spéciaux pour renforcer la sécurité. Plutôt que d'appliquer ces changements manuellement sur chaque poste, Il suffit de définir une politique dans l'AD et cette règle est automatiquement appliquée sur tous les ordinateurs. Cela permet d'harmoniser facilement les configurations et de s'assurer que tout le monde respecte les bonnes pratiques en matière de cybersécurité. Enfin, l'AD permet de structurer l'entreprise selon son organisation hiérarchique. Par exemple, si vous faites partie du service marketing, vous n'aurez pas accès aux documents confidentiels des ressources humaines, mais vous pourrez consulter tous les fichiers nécessaires à votre travail. L'Active Directory classe les droits d'accès en fonction des rôles et des responsabilités de chacun, ce qui rend la gestion des accès à la fois simple et sécurisée. L'Active Directory permet d'organiser les relations entre les utilisateurs et les ressources disposibles au sein de l'entreprise. On pourrait donc penser que tout fonctionne parfaitement et que tout est sous contrôle. Cependant, il faut tenir compte des nombreuses modifications et ajustements auxquels une organisation est confrontée au quotidien. En effet, Il y a toujours de nouveaux collaborateurs qui rejoignent l'entreprise, tandis que d'autres la quittent. Mais ce n'est pas tout, certains utilisateurs demandent à accéder à des nouvelles ressources, tandis que d'autres changent de rôle ou de poste au sein de l'organisation, ce qui nécessite des ajustements dans leurs autorisations et les accès. Mais là où les choses peuvent nettement se complexifier, c'est quand on parle de compte à privilèges. Il existe différents types de comptes ayant des droits plus ou moins étendus sur le système d'information. Cela va d'un compte utilisateur. standard, qui n'a que peu de droits, jusqu'au saint Graal, le compte administrateur de domaine. Ce type de compte a tous les droits, et c'est bien souvent ce niveau de privilège que les attaquants cherchent à obtenir. Ce qu'il faut comprendre, c'est que si l'Active Directory n'est pas parfaitement gérée, ce qui est généralement le cas à cause de la complexité, dans cette situation, nous sommes bien dans le cas du chaos organisé. Par construction, un Active Directory mal géré va automatiquement créer des failles de sécurité plus ou moins facilement exploitables. Mais quelles sont ces failles ? Prenons l'exemple d'un scénario où un attaquant, qui commence en tant qu'utilisateur standard sans privilèges élevés, exploite une faille de sécurité dans l'Active Directory pour escalader ses privilèges et prendre le contrôle du réseau. La première phase est celle de la compromission d'un compte utilisateur. L'attaquant commence par obtenir les identifiants d'un employé lambda, un utilisateur standard avec des droits limités. Cela peut se faire par le phishing, par exemple. À ce stade... l'attaquant n'a accès qu'à des ressources limitées, celles auxquelles l'utilisateur compromis peut normalement accéder. Imaginons que le compte soit celui d'un développeur ayant commencé sa carrière au helpdesk. Une fois connecté à ce compte, l'attaquant va chercher à cartographier l'environnement de l'Active Directory en utilisant des outils comme Bloodhound, qui analyse la structure des permissions et des relations dans l'Active Directory. L'attaquant pourra identifier les chemins potentiels pour obtenir des privilèges élevés. Bloodhound ? permet de visualiser les dépendances, les droits d'accès et les comptes à privilégier pour monter dans la hiérarchie des droits. C'est un peu comme trouver son chemin dans le brouillard pour atteindre son objectif. Une configuration fréquente qui peut être exploitée par un attaquant est l'usage incorrect des permissions d'accès. Si un compte utilisateur a été accidentellement ajouté à un groupe avec des droits plus élevés, ou si des groupes d'administration ont des permissions trop larges sur certains objets du domaine, cela peut être un point d'entrée. Ce qui sera le cas si les droits octroyés à l'employé, lorsqu'il a été au LDS, n'ont pas été supprimés. Il a, sans le savoir, plus de droits que ceux dont il a réellement besoin. Dans notre scénario, l'attaquant pourrait découvrir qu'un compte de service, ce sont des comptes utilisés pour exécuter des services spécifiques, souvent avec des droits élevés, peut avoir des mots de passe mal protégés ou accessibles via des partages de fichiers mal sécurisés. L'attaquant pourrait récupérer ces informations en scannant les systèmes accessibles. Une autre technique utilisée à ce stade est le Kerberosting, une attaque contre le protocole d'authentification Kerberos. L'attaquant, avec son compte utilisateur standard, demande un ticket de service Kerberos pour un compte de service spécifique, souvent un compte avec des privilèges plus élevés. Il utilise ensuite des outils pour extraire le ticket chiffré qu'il va tenter de craquer hors ligne pour obtenir le mot de passe du compte de service. Si le mot de passe du compte de service est faible ou mal protégé, l'attaquant peut rapidement le récupérer et obtenir accès à un compte avec des privilèges beaucoup plus élevés. Avec ce compte de service compromis, l'attaquant peut maintenant exécuter des actions avec plus de droits. Il pourrait alors s'introduire sur des serveurs où un administrateur de domaine s'est connecté. En utilisant des outils comme Mimikatz, il peut récupérer en mémoire les informations d'identification de l'administrateur. A noter que l'auteur de Mimikatz est un français bien connu dans le monde de la cyber. J'ajouterai des informations complémentaires à propos de lui dans les descriptifs de cet épisode. Une fois que l'attaquant a compromis un compte administrateur, il a pratiquement un contrôle total sur l'Active Directory et il pourra ajouter ou supprimer des utilisateurs, déléguer ou modifier des permissions, accéder à des fichiers sensibles, voire chiffrer des données pour demander une rançon. Mais il pourra aussi créer une backdoor pour garantir un accès futur sans être détecté. Cet exemple illustre comment une faille dans la gestion des permissions ou des mots de passe dans un environnement Active Directory peut permettre à un attaquant de partir d'un simple compte utilisateur standard pour prendre le contrôle total du réseau. C'est pourquoi il est crucial de surveiller en permanence les configurations de sécurité, de restreindre les accès non nécessaires, et d'utiliser des mécanismes des défenses comme l'authentification à multiples facteurs, pour limiter les risques d'escalade de privilèges. A noter que Bloodhound permet d'obtenir un chemin d'attaque mais sans prendre en compte sa complexité, ce qui peut dans certains cas ralentir la progression de l'attaquant à cause de la complexité de chacune des étapes. Il existe une alternative, encore une fois française, à des miners. Vous trouverez dans la description de cet épisode des références au podcast NoLimitCQ qui traite de cette... problématique, mais aussi des liens sur le web et des vidéos sur YouTube. Crime, arnaque et botanique a été acclamé tant par la critique que par le public, marquant le début de la carrière de Guy Ritchie. Il souvent comparé au film de Quentin Tarantino pour son mélange de violence, d'humour et de dialogue intelligent. Il a également lancé la carrière de plusieurs acteurs britanniques, notamment Jason Statham, qui fait ici ses débuts au cinéma. Pour la petite histoire, Guy Ritchie ne trouvait pas de producteur assez courageux pour financer son projet. Il en a parlé à son ami Sting, chanteur et bassiste du groupe Police. Sting était tellement enthousiaste par le projet qu'il a demandé à son manager de financer le film. Et c'est certainement la raison pour laquelle Sting fit une apparition dans le film. C'est un peu comme une chaîne d'attaque dans l'Active Directory. Il faut trouver le bon levier au bon endroit pour atteindre son but. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi laisser des commentaires et des questions auxquelles j'aurai le plaisir de répondre. Mais surtout n'oubliez pas, pour certains la cybersécurité est un enjeu de vie ou de mort, c'est bien plus sérieux que ça.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)
Description
Pour comprendre pourquoi l'active directory est si important en cybersécurité ?
Podcast
https://www.nolimitsecu.fr/mimikatz/
https://www.nolimitsecu.fr/adminer/
Site web
Vidéo
https://www.youtube.com/watch?v=EFJ9BzvXsCI
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y prennent rien. Crime, Arnaque et Botanique est un film réalisé par Guy Ritchie en 1998. Et c'est un film culte du cinéma britannique. Il y a bien évidemment quelques anecdotes intéressantes à propos de ce film dont je vous ferai part à la fin de cet épisode. Le film suit un groupe de quatre amis londoniens, dirigés par Eddie, un jeune homme doué pour les cartes. Ils décident de participer à une partie de poker organisée par un gangster, le redoutable Harry Lash. Mais malheureusement, la partie est truquée. et ils se retrouvent endettés à plus de 500 000 livres. Pour rembourser cette somme, ils élaborent un plan pour braquer un gang de trafiquants de drogue. A partir de là, l'intrigue se complexifie, avec plusieurs personnages et des intrigues secondaires qui s'entrelacent dans un chaos maîtrisé. Et c'est bien ce dernier point que je souhaite aborder aujourd'hui avec vous, le concept de chaos maîtrisé. Mais avant cela, revenons au film un instant. Pour s'en sortir, les 4 amis vont espionner un groupe de gangsters qui projettent de braquer des cultivateurs de cannabis. Mais ces cultivateurs sont employés par un autre gangster, Rory le Casseur. Une fois les gangsters braqués par le groupe des 4 amis, la drogue va être revendue par un intermédiaire, Nicolas Grec, qui sans le savoir va essayer de revendre la drogue à Rory le Casseur, qui bien évidemment a été mis au courant du vol. Évidemment, cette situation va créer quelques tensions entre les différents personnages. En fait, je ne vous parle ici que d'une toute petite partie du film, et je ne veux pas vous dévoiler l'intrigue, surtout si vous ne l'avez pas vue. Ce qui m'intéresse dans cet exemple, c'est l'interaction entre les personnages. Le groupe des amis espionne le groupe de gangsters au travers d'une cloison peu épaisse, et utilise les informations récoltées pour exploiter une faille et ainsi obtenir quelque chose. Il existe dans un système d'information un système qui modélise les groupes d'utilisateurs, ce qu'on appelle l'Active Directory. Mais pourquoi l'organisation des groupes utilisateurs peut poser un problème de cybersécurité ? Et c'est bien là que la notion de chaos organisé va prendre tout son sens.
Lilian, Laurent, l'orteil est le meilleur ami de l'homme. Natacha Amal. Je passe. A vous la main Laurent. J'inonde mon cerf-volant et je broute un minou. Bien joué, vous soufflez l'as de cake et vous avancez en case bisounours. Lilian.
Je vends du cuir à 14h et je visite Jean-Pierre Castaldi.
Castaldi, bien joué, 4 de louche, vous tombez en case Yuki, 4 secondes de Gotenert.
Il était où, le Yuki ? L'Activity Directory, c'est un peu comme le cerveau d'un réseau d'entreprises. Imaginez que vous travaillez dans une grande organisation, où chacun utilise des ordinateurs, des imprimants, des logiciels partagés et des quantités de données circulant en permanence. Eh bien ? l'Active Directory, souvent abrégé en AD, est l'outil qui permet de tout organiser de manière fluide et sécurisée. Pour commencer, l'Active Directory est un annuaire centralisé, un peu comme un énorme répertoire téléphonique, mais qui contient bien plus que des noms et des numéros. Il regroupe toutes les informations sur les utilisateurs, les ordinateurs, les groupes et même les ressources comme les imprimantes ou les dossiers partagés. Grâce à cela, lorsqu'un utilisateur se connecte à son poste, l'AD vérifie son identité, et lui donne les accès aux ressources dont il a besoin. Et ceci en fonction des groupes auxquels l'utilisateur appartient. Par exemple, si l'utilisateur fait partie du groupe marketing, il aura accès aux ressources atteignables en faisant partie de ce groupe. Et uniquement à cela. Vous n'avez donc pas à vous soucier de qui peut accéder quoi, tout est géré en arrière-plan. Ensuite, l'AD s'occupe de l'authentification. Autrement dit, chaque fois que vous vous connectez à votre session, C'est l'Active Directory qui vérifie que vous êtes bien la bonne personne. Il sait précisément qui vous êtes, quelles ressources vous pouvez utiliser et quelles actions vous êtes autorisé à faire, comme consulter des documents spécifiques ou utiliser certaines applications. C'est moi, c'est Brutus, fils de César. Allez, ouvre ! Le code. 29-1-JC-48 Non Mordicus Donne-moi le code Le code 2 Le code d'accès 4 4 7 Non, 1000 Et tu connais le code ? Non, c'est lui qui le connaît. Eh, casse-toi. Un B, un U, 24. Non, ça va, ça va, ça va, ça va, ça va. Toi, ne bouge surtout pas, hein. Tu restes bien dans l'axe. Je crois que ça va beaucoup te plaire. Envoyez une bêlée ! C'est un peu comme si un agent de sécurité numérique veillait sur votre activité en permanence pour s'assurer que vous avez accès aux bonnes ressources. Un autre avantage de l'Active Directory, c'est qu'il permet aux administrateurs de gérer les règles et les politiques de manière centralisée. Imaginez que l'administrateur informatique de votre entreprise décide que tous les employés doivent changer leur mot de passe tous les trois mois et ajouter des caractères spéciaux pour renforcer la sécurité. Plutôt que d'appliquer ces changements manuellement sur chaque poste, Il suffit de définir une politique dans l'AD et cette règle est automatiquement appliquée sur tous les ordinateurs. Cela permet d'harmoniser facilement les configurations et de s'assurer que tout le monde respecte les bonnes pratiques en matière de cybersécurité. Enfin, l'AD permet de structurer l'entreprise selon son organisation hiérarchique. Par exemple, si vous faites partie du service marketing, vous n'aurez pas accès aux documents confidentiels des ressources humaines, mais vous pourrez consulter tous les fichiers nécessaires à votre travail. L'Active Directory classe les droits d'accès en fonction des rôles et des responsabilités de chacun, ce qui rend la gestion des accès à la fois simple et sécurisée. L'Active Directory permet d'organiser les relations entre les utilisateurs et les ressources disposibles au sein de l'entreprise. On pourrait donc penser que tout fonctionne parfaitement et que tout est sous contrôle. Cependant, il faut tenir compte des nombreuses modifications et ajustements auxquels une organisation est confrontée au quotidien. En effet, Il y a toujours de nouveaux collaborateurs qui rejoignent l'entreprise, tandis que d'autres la quittent. Mais ce n'est pas tout, certains utilisateurs demandent à accéder à des nouvelles ressources, tandis que d'autres changent de rôle ou de poste au sein de l'organisation, ce qui nécessite des ajustements dans leurs autorisations et les accès. Mais là où les choses peuvent nettement se complexifier, c'est quand on parle de compte à privilèges. Il existe différents types de comptes ayant des droits plus ou moins étendus sur le système d'information. Cela va d'un compte utilisateur. standard, qui n'a que peu de droits, jusqu'au saint Graal, le compte administrateur de domaine. Ce type de compte a tous les droits, et c'est bien souvent ce niveau de privilège que les attaquants cherchent à obtenir. Ce qu'il faut comprendre, c'est que si l'Active Directory n'est pas parfaitement gérée, ce qui est généralement le cas à cause de la complexité, dans cette situation, nous sommes bien dans le cas du chaos organisé. Par construction, un Active Directory mal géré va automatiquement créer des failles de sécurité plus ou moins facilement exploitables. Mais quelles sont ces failles ? Prenons l'exemple d'un scénario où un attaquant, qui commence en tant qu'utilisateur standard sans privilèges élevés, exploite une faille de sécurité dans l'Active Directory pour escalader ses privilèges et prendre le contrôle du réseau. La première phase est celle de la compromission d'un compte utilisateur. L'attaquant commence par obtenir les identifiants d'un employé lambda, un utilisateur standard avec des droits limités. Cela peut se faire par le phishing, par exemple. À ce stade... l'attaquant n'a accès qu'à des ressources limitées, celles auxquelles l'utilisateur compromis peut normalement accéder. Imaginons que le compte soit celui d'un développeur ayant commencé sa carrière au helpdesk. Une fois connecté à ce compte, l'attaquant va chercher à cartographier l'environnement de l'Active Directory en utilisant des outils comme Bloodhound, qui analyse la structure des permissions et des relations dans l'Active Directory. L'attaquant pourra identifier les chemins potentiels pour obtenir des privilèges élevés. Bloodhound ? permet de visualiser les dépendances, les droits d'accès et les comptes à privilégier pour monter dans la hiérarchie des droits. C'est un peu comme trouver son chemin dans le brouillard pour atteindre son objectif. Une configuration fréquente qui peut être exploitée par un attaquant est l'usage incorrect des permissions d'accès. Si un compte utilisateur a été accidentellement ajouté à un groupe avec des droits plus élevés, ou si des groupes d'administration ont des permissions trop larges sur certains objets du domaine, cela peut être un point d'entrée. Ce qui sera le cas si les droits octroyés à l'employé, lorsqu'il a été au LDS, n'ont pas été supprimés. Il a, sans le savoir, plus de droits que ceux dont il a réellement besoin. Dans notre scénario, l'attaquant pourrait découvrir qu'un compte de service, ce sont des comptes utilisés pour exécuter des services spécifiques, souvent avec des droits élevés, peut avoir des mots de passe mal protégés ou accessibles via des partages de fichiers mal sécurisés. L'attaquant pourrait récupérer ces informations en scannant les systèmes accessibles. Une autre technique utilisée à ce stade est le Kerberosting, une attaque contre le protocole d'authentification Kerberos. L'attaquant, avec son compte utilisateur standard, demande un ticket de service Kerberos pour un compte de service spécifique, souvent un compte avec des privilèges plus élevés. Il utilise ensuite des outils pour extraire le ticket chiffré qu'il va tenter de craquer hors ligne pour obtenir le mot de passe du compte de service. Si le mot de passe du compte de service est faible ou mal protégé, l'attaquant peut rapidement le récupérer et obtenir accès à un compte avec des privilèges beaucoup plus élevés. Avec ce compte de service compromis, l'attaquant peut maintenant exécuter des actions avec plus de droits. Il pourrait alors s'introduire sur des serveurs où un administrateur de domaine s'est connecté. En utilisant des outils comme Mimikatz, il peut récupérer en mémoire les informations d'identification de l'administrateur. A noter que l'auteur de Mimikatz est un français bien connu dans le monde de la cyber. J'ajouterai des informations complémentaires à propos de lui dans les descriptifs de cet épisode. Une fois que l'attaquant a compromis un compte administrateur, il a pratiquement un contrôle total sur l'Active Directory et il pourra ajouter ou supprimer des utilisateurs, déléguer ou modifier des permissions, accéder à des fichiers sensibles, voire chiffrer des données pour demander une rançon. Mais il pourra aussi créer une backdoor pour garantir un accès futur sans être détecté. Cet exemple illustre comment une faille dans la gestion des permissions ou des mots de passe dans un environnement Active Directory peut permettre à un attaquant de partir d'un simple compte utilisateur standard pour prendre le contrôle total du réseau. C'est pourquoi il est crucial de surveiller en permanence les configurations de sécurité, de restreindre les accès non nécessaires, et d'utiliser des mécanismes des défenses comme l'authentification à multiples facteurs, pour limiter les risques d'escalade de privilèges. A noter que Bloodhound permet d'obtenir un chemin d'attaque mais sans prendre en compte sa complexité, ce qui peut dans certains cas ralentir la progression de l'attaquant à cause de la complexité de chacune des étapes. Il existe une alternative, encore une fois française, à des miners. Vous trouverez dans la description de cet épisode des références au podcast NoLimitCQ qui traite de cette... problématique, mais aussi des liens sur le web et des vidéos sur YouTube. Crime, arnaque et botanique a été acclamé tant par la critique que par le public, marquant le début de la carrière de Guy Ritchie. Il souvent comparé au film de Quentin Tarantino pour son mélange de violence, d'humour et de dialogue intelligent. Il a également lancé la carrière de plusieurs acteurs britanniques, notamment Jason Statham, qui fait ici ses débuts au cinéma. Pour la petite histoire, Guy Ritchie ne trouvait pas de producteur assez courageux pour financer son projet. Il en a parlé à son ami Sting, chanteur et bassiste du groupe Police. Sting était tellement enthousiaste par le projet qu'il a demandé à son manager de financer le film. Et c'est certainement la raison pour laquelle Sting fit une apparition dans le film. C'est un peu comme une chaîne d'attaque dans l'Active Directory. Il faut trouver le bon levier au bon endroit pour atteindre son but. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi laisser des commentaires et des questions auxquelles j'aurai le plaisir de répondre. Mais surtout n'oubliez pas, pour certains la cybersécurité est un enjeu de vie ou de mort, c'est bien plus sérieux que ça.
Description
Pour comprendre pourquoi l'active directory est si important en cybersécurité ?
Podcast
https://www.nolimitsecu.fr/mimikatz/
https://www.nolimitsecu.fr/adminer/
Site web
Vidéo
https://www.youtube.com/watch?v=EFJ9BzvXsCI
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y prennent rien. Crime, Arnaque et Botanique est un film réalisé par Guy Ritchie en 1998. Et c'est un film culte du cinéma britannique. Il y a bien évidemment quelques anecdotes intéressantes à propos de ce film dont je vous ferai part à la fin de cet épisode. Le film suit un groupe de quatre amis londoniens, dirigés par Eddie, un jeune homme doué pour les cartes. Ils décident de participer à une partie de poker organisée par un gangster, le redoutable Harry Lash. Mais malheureusement, la partie est truquée. et ils se retrouvent endettés à plus de 500 000 livres. Pour rembourser cette somme, ils élaborent un plan pour braquer un gang de trafiquants de drogue. A partir de là, l'intrigue se complexifie, avec plusieurs personnages et des intrigues secondaires qui s'entrelacent dans un chaos maîtrisé. Et c'est bien ce dernier point que je souhaite aborder aujourd'hui avec vous, le concept de chaos maîtrisé. Mais avant cela, revenons au film un instant. Pour s'en sortir, les 4 amis vont espionner un groupe de gangsters qui projettent de braquer des cultivateurs de cannabis. Mais ces cultivateurs sont employés par un autre gangster, Rory le Casseur. Une fois les gangsters braqués par le groupe des 4 amis, la drogue va être revendue par un intermédiaire, Nicolas Grec, qui sans le savoir va essayer de revendre la drogue à Rory le Casseur, qui bien évidemment a été mis au courant du vol. Évidemment, cette situation va créer quelques tensions entre les différents personnages. En fait, je ne vous parle ici que d'une toute petite partie du film, et je ne veux pas vous dévoiler l'intrigue, surtout si vous ne l'avez pas vue. Ce qui m'intéresse dans cet exemple, c'est l'interaction entre les personnages. Le groupe des amis espionne le groupe de gangsters au travers d'une cloison peu épaisse, et utilise les informations récoltées pour exploiter une faille et ainsi obtenir quelque chose. Il existe dans un système d'information un système qui modélise les groupes d'utilisateurs, ce qu'on appelle l'Active Directory. Mais pourquoi l'organisation des groupes utilisateurs peut poser un problème de cybersécurité ? Et c'est bien là que la notion de chaos organisé va prendre tout son sens.
Lilian, Laurent, l'orteil est le meilleur ami de l'homme. Natacha Amal. Je passe. A vous la main Laurent. J'inonde mon cerf-volant et je broute un minou. Bien joué, vous soufflez l'as de cake et vous avancez en case bisounours. Lilian.
Je vends du cuir à 14h et je visite Jean-Pierre Castaldi.
Castaldi, bien joué, 4 de louche, vous tombez en case Yuki, 4 secondes de Gotenert.
Il était où, le Yuki ? L'Activity Directory, c'est un peu comme le cerveau d'un réseau d'entreprises. Imaginez que vous travaillez dans une grande organisation, où chacun utilise des ordinateurs, des imprimants, des logiciels partagés et des quantités de données circulant en permanence. Eh bien ? l'Active Directory, souvent abrégé en AD, est l'outil qui permet de tout organiser de manière fluide et sécurisée. Pour commencer, l'Active Directory est un annuaire centralisé, un peu comme un énorme répertoire téléphonique, mais qui contient bien plus que des noms et des numéros. Il regroupe toutes les informations sur les utilisateurs, les ordinateurs, les groupes et même les ressources comme les imprimantes ou les dossiers partagés. Grâce à cela, lorsqu'un utilisateur se connecte à son poste, l'AD vérifie son identité, et lui donne les accès aux ressources dont il a besoin. Et ceci en fonction des groupes auxquels l'utilisateur appartient. Par exemple, si l'utilisateur fait partie du groupe marketing, il aura accès aux ressources atteignables en faisant partie de ce groupe. Et uniquement à cela. Vous n'avez donc pas à vous soucier de qui peut accéder quoi, tout est géré en arrière-plan. Ensuite, l'AD s'occupe de l'authentification. Autrement dit, chaque fois que vous vous connectez à votre session, C'est l'Active Directory qui vérifie que vous êtes bien la bonne personne. Il sait précisément qui vous êtes, quelles ressources vous pouvez utiliser et quelles actions vous êtes autorisé à faire, comme consulter des documents spécifiques ou utiliser certaines applications. C'est moi, c'est Brutus, fils de César. Allez, ouvre ! Le code. 29-1-JC-48 Non Mordicus Donne-moi le code Le code 2 Le code d'accès 4 4 7 Non, 1000 Et tu connais le code ? Non, c'est lui qui le connaît. Eh, casse-toi. Un B, un U, 24. Non, ça va, ça va, ça va, ça va, ça va. Toi, ne bouge surtout pas, hein. Tu restes bien dans l'axe. Je crois que ça va beaucoup te plaire. Envoyez une bêlée ! C'est un peu comme si un agent de sécurité numérique veillait sur votre activité en permanence pour s'assurer que vous avez accès aux bonnes ressources. Un autre avantage de l'Active Directory, c'est qu'il permet aux administrateurs de gérer les règles et les politiques de manière centralisée. Imaginez que l'administrateur informatique de votre entreprise décide que tous les employés doivent changer leur mot de passe tous les trois mois et ajouter des caractères spéciaux pour renforcer la sécurité. Plutôt que d'appliquer ces changements manuellement sur chaque poste, Il suffit de définir une politique dans l'AD et cette règle est automatiquement appliquée sur tous les ordinateurs. Cela permet d'harmoniser facilement les configurations et de s'assurer que tout le monde respecte les bonnes pratiques en matière de cybersécurité. Enfin, l'AD permet de structurer l'entreprise selon son organisation hiérarchique. Par exemple, si vous faites partie du service marketing, vous n'aurez pas accès aux documents confidentiels des ressources humaines, mais vous pourrez consulter tous les fichiers nécessaires à votre travail. L'Active Directory classe les droits d'accès en fonction des rôles et des responsabilités de chacun, ce qui rend la gestion des accès à la fois simple et sécurisée. L'Active Directory permet d'organiser les relations entre les utilisateurs et les ressources disposibles au sein de l'entreprise. On pourrait donc penser que tout fonctionne parfaitement et que tout est sous contrôle. Cependant, il faut tenir compte des nombreuses modifications et ajustements auxquels une organisation est confrontée au quotidien. En effet, Il y a toujours de nouveaux collaborateurs qui rejoignent l'entreprise, tandis que d'autres la quittent. Mais ce n'est pas tout, certains utilisateurs demandent à accéder à des nouvelles ressources, tandis que d'autres changent de rôle ou de poste au sein de l'organisation, ce qui nécessite des ajustements dans leurs autorisations et les accès. Mais là où les choses peuvent nettement se complexifier, c'est quand on parle de compte à privilèges. Il existe différents types de comptes ayant des droits plus ou moins étendus sur le système d'information. Cela va d'un compte utilisateur. standard, qui n'a que peu de droits, jusqu'au saint Graal, le compte administrateur de domaine. Ce type de compte a tous les droits, et c'est bien souvent ce niveau de privilège que les attaquants cherchent à obtenir. Ce qu'il faut comprendre, c'est que si l'Active Directory n'est pas parfaitement gérée, ce qui est généralement le cas à cause de la complexité, dans cette situation, nous sommes bien dans le cas du chaos organisé. Par construction, un Active Directory mal géré va automatiquement créer des failles de sécurité plus ou moins facilement exploitables. Mais quelles sont ces failles ? Prenons l'exemple d'un scénario où un attaquant, qui commence en tant qu'utilisateur standard sans privilèges élevés, exploite une faille de sécurité dans l'Active Directory pour escalader ses privilèges et prendre le contrôle du réseau. La première phase est celle de la compromission d'un compte utilisateur. L'attaquant commence par obtenir les identifiants d'un employé lambda, un utilisateur standard avec des droits limités. Cela peut se faire par le phishing, par exemple. À ce stade... l'attaquant n'a accès qu'à des ressources limitées, celles auxquelles l'utilisateur compromis peut normalement accéder. Imaginons que le compte soit celui d'un développeur ayant commencé sa carrière au helpdesk. Une fois connecté à ce compte, l'attaquant va chercher à cartographier l'environnement de l'Active Directory en utilisant des outils comme Bloodhound, qui analyse la structure des permissions et des relations dans l'Active Directory. L'attaquant pourra identifier les chemins potentiels pour obtenir des privilèges élevés. Bloodhound ? permet de visualiser les dépendances, les droits d'accès et les comptes à privilégier pour monter dans la hiérarchie des droits. C'est un peu comme trouver son chemin dans le brouillard pour atteindre son objectif. Une configuration fréquente qui peut être exploitée par un attaquant est l'usage incorrect des permissions d'accès. Si un compte utilisateur a été accidentellement ajouté à un groupe avec des droits plus élevés, ou si des groupes d'administration ont des permissions trop larges sur certains objets du domaine, cela peut être un point d'entrée. Ce qui sera le cas si les droits octroyés à l'employé, lorsqu'il a été au LDS, n'ont pas été supprimés. Il a, sans le savoir, plus de droits que ceux dont il a réellement besoin. Dans notre scénario, l'attaquant pourrait découvrir qu'un compte de service, ce sont des comptes utilisés pour exécuter des services spécifiques, souvent avec des droits élevés, peut avoir des mots de passe mal protégés ou accessibles via des partages de fichiers mal sécurisés. L'attaquant pourrait récupérer ces informations en scannant les systèmes accessibles. Une autre technique utilisée à ce stade est le Kerberosting, une attaque contre le protocole d'authentification Kerberos. L'attaquant, avec son compte utilisateur standard, demande un ticket de service Kerberos pour un compte de service spécifique, souvent un compte avec des privilèges plus élevés. Il utilise ensuite des outils pour extraire le ticket chiffré qu'il va tenter de craquer hors ligne pour obtenir le mot de passe du compte de service. Si le mot de passe du compte de service est faible ou mal protégé, l'attaquant peut rapidement le récupérer et obtenir accès à un compte avec des privilèges beaucoup plus élevés. Avec ce compte de service compromis, l'attaquant peut maintenant exécuter des actions avec plus de droits. Il pourrait alors s'introduire sur des serveurs où un administrateur de domaine s'est connecté. En utilisant des outils comme Mimikatz, il peut récupérer en mémoire les informations d'identification de l'administrateur. A noter que l'auteur de Mimikatz est un français bien connu dans le monde de la cyber. J'ajouterai des informations complémentaires à propos de lui dans les descriptifs de cet épisode. Une fois que l'attaquant a compromis un compte administrateur, il a pratiquement un contrôle total sur l'Active Directory et il pourra ajouter ou supprimer des utilisateurs, déléguer ou modifier des permissions, accéder à des fichiers sensibles, voire chiffrer des données pour demander une rançon. Mais il pourra aussi créer une backdoor pour garantir un accès futur sans être détecté. Cet exemple illustre comment une faille dans la gestion des permissions ou des mots de passe dans un environnement Active Directory peut permettre à un attaquant de partir d'un simple compte utilisateur standard pour prendre le contrôle total du réseau. C'est pourquoi il est crucial de surveiller en permanence les configurations de sécurité, de restreindre les accès non nécessaires, et d'utiliser des mécanismes des défenses comme l'authentification à multiples facteurs, pour limiter les risques d'escalade de privilèges. A noter que Bloodhound permet d'obtenir un chemin d'attaque mais sans prendre en compte sa complexité, ce qui peut dans certains cas ralentir la progression de l'attaquant à cause de la complexité de chacune des étapes. Il existe une alternative, encore une fois française, à des miners. Vous trouverez dans la description de cet épisode des références au podcast NoLimitCQ qui traite de cette... problématique, mais aussi des liens sur le web et des vidéos sur YouTube. Crime, arnaque et botanique a été acclamé tant par la critique que par le public, marquant le début de la carrière de Guy Ritchie. Il souvent comparé au film de Quentin Tarantino pour son mélange de violence, d'humour et de dialogue intelligent. Il a également lancé la carrière de plusieurs acteurs britanniques, notamment Jason Statham, qui fait ici ses débuts au cinéma. Pour la petite histoire, Guy Ritchie ne trouvait pas de producteur assez courageux pour financer son projet. Il en a parlé à son ami Sting, chanteur et bassiste du groupe Police. Sting était tellement enthousiaste par le projet qu'il a demandé à son manager de financer le film. Et c'est certainement la raison pour laquelle Sting fit une apparition dans le film. C'est un peu comme une chaîne d'attaque dans l'Active Directory. Il faut trouver le bon levier au bon endroit pour atteindre son but. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi laisser des commentaires et des questions auxquelles j'aurai le plaisir de répondre. Mais surtout n'oubliez pas, pour certains la cybersécurité est un enjeu de vie ou de mort, c'est bien plus sérieux que ça.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)