L'ANSSI invite à renforcer le contrôle d'Active Directory

le 04/06/2020, par Jacques Cheminat, Sécurité, 414 mots

Souvent considéré comme le centre névralgique du SI de l'entreprise, Microsoft Active Directory est l'objet de toutes les attentions sur le plan de la sécurité. L'ANSSI vient de publier un ensemble de points de vigilance sur cet annuaire très prisé des cybercriminels.

L'ANSSI invite à renforcer le contrôle d'Active Directory

Pour un pirate, accéder à l'Active Directory de l'entreprise représente le saint Graal. En effet, comme l'indique l'ANSSI dans une note, cet outil de Microsoft « est un élément critique permettant la gestion centralisée des comptes, des ressources et de permissions ». En accédant à l'AD, un pirate peut via une élévation de privilèges obtenir « une prise de contrôle instantanée et complète de toutes les ressources ainsi administrées ». Et les cas de prise de contrôle se multiplient, souligne l'agence qui constate un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory.

Face à ce risque de plus en plus présent, l'agence a publié une note recensant les points de contrôle sur la configuration de ces outils. Après analyse, des notes sont affectées sur chaque point de vigilance sur un barème de 1 à 5 en fonction du niveau de faiblesse ou de maturité (1 étant la plus mauvaise note). Parmi ces éléments à surveiller, les chemins de contrôle et les groupes privilégiés (administrateurs et opérateurs) sont des cibles prioritaires pour les attaquants et demandent une attention soutenue.

Des outils de cartographie des AD existent

Les DSI et RSSI n'ont souvent pas le temps et les outils pour mener cet audit des annuaires AD. L'ANSSI met donc en avant son service ADS (Active Directory Security). Cette solution est disponible pour les entreprises réglementées (OIV ou OSE) et les administrations. Elle scanne les domaines, les forêts des organisations et attribue des notes de 1 à 5 en fonction de la liste des points de contrôle.

A destination des autres entreprises, il existe des solutions de type ADS, comme Ping Castle qui est open source. Casino avait eu recours à ce dernier pour vérifier l'ensemble des AD du groupe et des filiales et le RSSI, Philippe Faure, avait témoigné aux Assises de la Sécurité à Monaco. En lançant l'outil de cartographie la première fois, il se rappelait que « les premiers rapports ont été rouges, très rouges ». Un rapport qui a servi de base pour corriger les erreurs et les faiblesses de configuration des AD.

((Légende illustration principale))
L'annuaire Active Directory est un élément crucial pour l'entreprise et constitue une cible prioritaire pour les cybercriminels. (Crédit Photo: Geralt/Pixabay)

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...