Pour un pirate, accéder à l’Active Directory de l’entreprise représente le saint Graal. En effet, comme l’indique l’ANSSI dans une note, cet outil de Microsoft « est un élément critique permettant la gestion centralisée des comptes, des ressources et de permissions ». En accédant à l’AD, un pirate peut via une élévation de privilèges obtenir « une prise de contrôle instantanée et complète de toutes les ressources ainsi administrées ». Et les cas de prise de contrôle se multiplient, souligne l’agence qui constate un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory.

Face à ce risque de plus en plus présent, l’agence a publié une note recensant les points de contrôle sur la configuration de ces outils. Après analyse, des notes sont affectées sur chaque point de vigilance sur un barème de 1 à 5 en fonction du niveau de faiblesse ou de maturité (1 étant la plus mauvaise note). Parmi ces éléments à surveiller, les chemins de contrôle et les groupes privilégiés (administrateurs et opérateurs) sont des cibles prioritaires pour les attaquants et demandent une attention soutenue.

Des outils de cartographie des AD existent

Les DSI et RSSI n’ont souvent pas le temps et les outils pour mener cet audit des annuaires AD. L’ANSSI met donc en avant son service ADS (Active Directory Security). Cette solution est disponible pour les entreprises réglementées (OIV ou OSE) et les administrations. Elle scanne les domaines, les forêts des organisations et attribue des notes de 1 à 5 en fonction de la liste des points de contrôle.

A destination des autres entreprises, il existe des solutions de type ADS, comme Ping Castle qui est open source. Casino avait eu recours à ce dernier pour vérifier l’ensemble des AD du groupe et des filiales et le RSSI, Philippe Faure, avait témoigné aux Assises de la Sécurité à Monaco. En lançant l’outil de cartographie la première fois, il se rappelait que « les premiers rapports ont été rouges, très rouges ». Un rapport qui a servi de base pour corriger les erreurs et les faiblesses de configuration des AD.