Bruno:
Active Directory, c'est l'outil centralisé qui gère tous vos comptes, vos accès et vos autorisations. Une vraie colonne vertébrale pour de nombreuses entreprises, mais aussi une cible de choix pour des cyberattaquants. Car comme tout outil puissant, l'Active Directory est à double tranchant. Entre de mauvaises configurations, des failles historiques et une complexité tentaculaire, il peut devenir un véritable cauchemar pour les assécuriser. Mais alors, pourquoi Active Directory est-il si souvent attaqué ? La responsabilité de Microsoft est-elle en cause ? Et surtout, comment peut-on réellement sécuriser cet outil tout en garantissant sa flexibilité ? Pour répondre à ces questions admin-friendly, je ne reçois pas Harry Potter, mais il s'y connaît en gestion de clés et en sorte de protection. Clément, bonjour.
Clement:
Bonjour Bruno.
Bruno:
Alors Clément, est-ce que tu peux te présenter pour les quelques personnes qui ne te connaîtraient peut-être pas ?
Clement:
Très bien, je m'appelle Clément Notin, j'ai 10 ans d'expérience en cybersécurité. À la base, je suis ingénieur généraliste avec un background plutôt développeur, mais ça fait 10 ans que je fais de la sécurité. J'ai commencé en test d'intrusion, qu'on appelle aussi Pentest, Penetration Testing en anglais, dans une boîte de services, ensuite dans une société en interne. J'ai bien aimé pouvoir voir la différence, voir l'émission de l'extérieur, mais aussi de voir de l'intérieur, comment ça se passe avec une équipe Active Directory, par exemple. Et maintenant, je travaille chez un éditeur de logiciels américain où on fait un logiciel de sécurité de l'Active Directory.
Bruno:
D'accord. Tu as toujours été sur ces sujets de Pentest. Donc t'es un peu un attaquant au final t'as jamais eu l'envie d'aller du côté de la défense et d'être là pour protéger un écosystème ou c'est ces deux métiers très différents ?
Clement:
C'est des métiers différents évidemment mais les passerelles existent et les passerelles sont même les bienvenues tout comme d'ailleurs les passerelles entre l'admin et la cybersécurité ou le dev et la cyber, les gens qui ont ces bas-grandes là ont vraiment des très bonnes qualités d'autant plus dans les entreprises où les gens restent longtemps et en fait ils changent de poste donc ils gardent leur contact d'avant etc c'est génial, donc ouais moi j'ai jamais vraiment travaillé en ce qu'on appelle la blue team donc voilà on va reprendre ces expressions de red team blue team donc red team c'est plutôt le côté offensif blue team ça va être plutôt le côté défensif avec notamment le SOC donc le SOC et le CERT donc les équipes de réponse incident et d'audit de la sécurité et de monitoring de la sécurité j'ai jamais eu l'occasion même si aujourd'hui en fait je fais un logiciel plutôt de sécurisation de l'active directory donc on peut dire je suis passé un petit peu du côté blue quand même même si j'étais embauché pour toutes les techniques que je connais en offensif.
Bruno:
Ok Attends j'avais une question Ah oui non parce que tu nous disais que les parrains sont bienvenus aussi avec les métiers d'admin et de dev.
Clement:
Oui.
Bruno:
Alors, on l'a fait juste avant un compilé sur la complexification des métiers. À quel point est-ce que le fait... Ah là là, j'arrive pas à fondre la question. Parce que j'ai du mal à concevoir aujourd'hui un métier d'admin qui n'a pas aujourd'hui une composante de cybersécurité, en fait. C'est indissociable aujourd'hui, ces deux métiers.
Clement:
Normalement, oui. Normalement, oui. Non, clairement. C'est vrai que moi j'ai toujours l'habitude de dire que mon métier, enfin en tout cas mon ancien métier de pen tester ne devrait pas exister, parce que normalement la sécurité devrait être intégrée de partout tout devrait être bien sécurisé dès le début et donc nous on ne devrait pas avoir lieu d'arriver à la fin d'un projet, de faire un audit de trouver des failles etc, donc effectivement normalement ça fait partie du métier de dev, ça fait partie du métier d'admin et ça augmente d'autant plus la complexité de ces métiers là parce qu'il faut être bon en code, il faut être bon en performance il faut être bon en archive, il faut être bon en sécu etc.
Bruno:
Ta question elle est à double tranchant parce que on pourrait se dire est-ce que le métier de serrurier a du sens et en fait aujourd'hui tu peux dire que le métier de serrurier il a du sens parce que t'as besoin de te protéger de gens qui attaquent, là où moi j'ai quand même l'impression que le métier de paint tester il existe, parce qu'il y a trop de gens qui font des choses pas sécurisées c'est pas uniquement une question qu'il y a des gens qui attaquent c'est aussi qu'il y a des choses qui sont trop faciles à attaquer Bien sûr.
Clement:
C'est sûr que si, voilà, c'est ce que je dis, c'est que normalement si tout était sécurisé depuis le début, moi je préfère clairement des gens qui sont embarqués. En fait, la situation la plus désagréable en Pentest, c'est quand t'arrives à la fin d'un projet, qui est évidemment en retard, parce que c'est toujours en retard, je veux pas vous l'apprendre, et on arrive juste à la fin, on se retrouve squeezé en une ou deux semaines avant la mise en prod. Évidemment le marketing etc s'est déjà mis en boucle a déjà annoncé la mise en prod a déjà fait toutes les communications aux clients etc qui vont bien et donc là on fait notre main test on rend nos résultats et on se rend compte qu'il y a des failles catastrophiques qu'est-ce qu'on fait ? Il y a plusieurs solutions. Il y a la solution où on annule tout, mais ça, évidemment, la plupart du temps, on ne l'apprend pas. En fait, on va essayer de corriger le plus grave rapidement, pas forcément très, très bien. Peut-être que ça va refaire des allers-retours, etc. Donc, clairement, nous, on préférait être impliqué plus en amont dans les phases de dev. Moi j'aime bien que par exemple dans des équipes sécu soit on a la chance d'avoir une équipe sécu, pardon dans les équipes de dev soit on a la chance d'avoir une équipe sécu qui peut venir filer des coups de main ou alors donner des bases solides, des bons frameworks, des bonnes bibliothèques à utiliser ou alors qui est dans l'équipe de dev, quelqu'un qui est un petit peu plus une casquette sécurité, comme voilà on peut avoir quelqu'un qui est une casquette un peu plus DevOps ou SRE, et que cette personne-là soit un petit peu le security champion et vienne filer des coups de main à ses collègues, que ça se passe bien que quand il y a une review, quelqu'un puisse lever la main et dire là j'ai fait un truc d'un point de vue sécurité, je suis pas très sûr en fait, est-ce que tu peux regarder me dire ce que t'en penses.
Bruno:
Etc T'as vraiment connu des contextes où t'as fait un pen test et t'as vu des failles catastrophiques ? Bien sûr Parce que pourtant j'aurais tendance à penser que si t'as une structure qui est suffisamment mature pour avoir des gens qui font du pen test on peut imaginer que t'as une équipe de l'autre côté qui est suffisamment mature pour pas se faire défoncer au moindre C'est vrai.
Clement:
C'est vrai que effectivement quand on commande un pen test c'est quelque chose qui est quand même assez cher etc. Donc on est effectivement sur des clients, sur des projets assez matures en général, mais pas forcément. Moi j'ai bossé pour des petites PME parce qu'en fait ils avaient des obligations réglementaires par exemple. Ou cette petite PME, c'est le cas de plus en plus en cybersécurité en ce moment, il y a un gros sujet, c'est la supply chain attack. C'est que les grandes entreprises se sont bien sécurisées, en tout cas plutôt pas mal. En fait les attaquants passent par les prestataires. Et par exemple s'il y a eu des cas de ransomware ou de fuite d'informations qui impactaient une certaine entreprise et en fait c'était un portail par exemple de partage de fichiers qui avait été mis en place par un prestataire pour échanger, etc. Donc en fait, la sécurité va se déporter sur ces petites entreprises et donc on va avoir des grandes entreprises qui vont exiger des pen tests ou des audits. Après, on peut en parler aussi est-ce que c'est la bonne approche ou pas, mais voilà.
Bruno:
Mais on voit d'ailleurs même des grandes entreprises qui accompagnent leurs prestataires dans une mise aux normes. Parce qu'en fait, ils sont conscients qu'il y a une nécessité que, effectivement, toute cette supply chain soit sécurisée.
Clement:
Moi, j'ai déjà vu des audits, effectivement, sur des petits fournisseurs qui étaient clairement payés par la grande entreprise.
Bruno:
Qui étaient clientes. Est-ce qu'il n'y a que l'audit ou est-ce qu'après, ils vont aussi apporter un peu de conseils pour les aider à se renforcer ?
Clement:
C'est effectivement ce que je disais. Est-ce que le PNT-est est la bonne approche ? Normalement, au bon PNT-est, à la fin, t'as des recommandations et des recommandations que tu peux appliquer pratiques etc ça dépend des pentesters ça dépend des entreprises bien sûr, mais le mieux c'est d'avoir un package complet où effectivement tu normalement t'es là dès l'amont t'es là dès l'architecture etc parce que pareil quand on fait du dev on nous apprend le petit diagramme où plus on corrige un bug tôt moins il coûte cher bah là c'est pareil si on attend que tout soit développé toute l'architecture parfois il y a vraiment des ok c'est genre faut juste corriger une ligne mais parfois c'est vraiment il faut tout réarchitecturer il faut changer, moi j'ai vu par exemple une appli où il y avait directement le front-end qui appelait la base de données, c'était un appli en interne dans une entreprise voilà mais il n'y avait pas de bac qui pouvait faire check, contrôle d'accès etc bah là en fait il faut clairement revoir une architecture rajouter une brique dans l'architecture c'est pas la même chose que de corriger une ligne sans.
Bruno:
Aller faire un gros chantier.
Clement:
Voilà et donc là si quelqu'un de la sécurité avait été là en amont on dirait attention là c'est un peu risqué ou alors on aurait pu arbitrer en disant ok ça nous coûte moins cher on ne peut pas faire mieux, on fait comme ça, on accepte le risque et on espère que ça se passera bien.
Bruno:
Ce que je trouve intéressant c'est que moi depuis que je suis dans le monde de la tech, il y a un paradigme qui avait changé, c'est qu'on n'était plus dans est-ce que je vais me faire attaquer mais quand est-ce que je vais me faire attaquer, donc une espèce de prise de conscience qu'au final personne n'est à l'abri et que tout le monde peut se faire avoir un jour, et j'ai reçu à ce même micro il y a quelques mois maintenant, le général Tissère, qui est l'origine du com-cyber de l'armée française, et qui, a évoqué un step d'encore après, c'est qu'il y a le maintenant, c'est le quand est-ce qu'on saura qu'on s'est fait attaquer, c'est-à-dire qu'il y a aussi le fait que tu peux t'être fait attaquer, et tu peux mettre six mois t'en rendre compte, en fait, sans le savoir. C'est que t'as des systèmes aujourd'hui qui sont tellement vastes, que des gens peuvent se cacher partout.
Clement:
Clairement, c'est vrai que c'est très difficile, c'est pour ça que souvent, il y a ce triptyque en sécurité, la prévention, mais aussi la détection et la réaction, parce qu'on sait qu'on peut avoir fait une prévention super béton, en fait, on sait qu'on n'est jamais 100% sécure. C'est comme quand on conduit sa voiture, on a beau faire attention, on a quand même une assurance, on a quand même les airbags, on a quand même tout ça. Cet aspect détection, il est vraiment clé, mais pareil, c'est vraiment des budgets supplémentaires, c'est une compétence en plus, des ressources en plus, etc. Et après, savoir réagir. C'est bien de détecter des attaques. On a des entreprises, on a eu des cas dans l'histoire où en fait ils avaient des systèmes de détection il y a une attaque c'est souvent, en fait la plupart du temps c'est un partenaire souvent c'est de notification externe alors maintenant avec les ransomware, les groupes de ransomware contactent en direct les gens donc ils sont courants mais avant qu'il y ait un petit peu tout ça, souvent en fait c'était d'autres entreprises ou d'autres, entités qui signalaient aux victimes qu'elles étaient victimes et donc là c'est ensuite savoir, ok j'ai une alerte comment je réagis, qu'est-ce que je fais comment j'essaie d'endiguer tout ça est-ce que c'est trop tard, est-ce qu'on peut rattraper.
Bruno:
Et comme je disais tout à l'heure donc moi j'ai commencé une nouvelle mission dans un nouveau contexte où il y a quand même une culture de la cybersécurité qui est quand même hyper élevée et j'ai pu constater à plusieurs moments en fait que c'est une vraie, une vraie gymnastique intellectuelle qu'il faut avoir en permanence et tu vois on se faisait une réunion, de délivrer où on voit en fait une augmentation d'un coût d'un service sur GCP de manière un petit peu tu vois mais pas, et directe il y a un de mes collègues qui a comme réflexe de dire, on va peut-être juste checker si c'est pas quelqu'un qui a trouvé une faille qui nous aspire de la donner, en fait, qui a une surconsommation. Et en fait, je me suis dit bah oui, c'est une évidence qu'il fallait se poser la question.
Clement:
Mais c'est une métrique toute simple, mais ça marche, ça marche très très bien.
Bruno:
Mais tout le temps, ça montre cette... Ouais, c'est des réflexes qui sont pas, natifs et qu'on apprend pas à l'école, en fait.
Clement:
Ouais, pas tout le temps. c'est vrai que moi je suis intervenu dans des missions où en fait les gens en interne on vient faire notre pentest etc on met nos petites costumes, cravates, de moins en moins et en fait les gens en interne ils savent souvent la plupart déjà les problèmes, Moi j'ai déjà vu des admins qui m'ont dit regarde ça, regarde ça, regarde ça, parce que malheureusement ils n'étaient pas, après c'est l'organisationnel mais malheureusement ils n'étaient pas écoutés et s'il y a quelqu'un d'autre qui a 10 ans de moins mais qui arrive avec son petit et qui est bien payé qui dit il y a ce problème là, ils seront davantage écoutés.
Bruno:
Donc ça.
Clement:
Arrive comme ça aussi des missions d'audit qui sont un petit peu téléguidées.
Bruno:
Du coup en fait il y a des choix qui ont été faits à un moment un peu contre l'avis de la personne qui était en charge du truc. Exactement On se voit, alors du coup aujourd'hui pour parler surtout de la sécurisation de l'Active Directory qui est un point particulier. Je pense que tout le monde connaît l'Active Directory mais juste pour être sûr, tu me fais un petit refresh déjà de à quoi ça sert ?
Clement:
Ok. Alors, à quoi ça sert ? Déjà, Active Directory dans Microsoft, normalement, Microsoft Active Directory pour faire plaisir au marketing Microsoft. Donc, c'est une techno Microsoft basée sur un certain nombre de protocoles. Le directory, c'est annuaire. Donc déjà, c'est un annuaire. Un annuaire comme certains les plus moins jeunes d'entre nous l'ont connu, page jaune, page blanche etc donc on a la liste, on est dans une entreprise c'est super pratique par exemple aujourd'hui vous êtes sur Teams ou sur Slack, vous tapez le nom d'un collègue ça vous donnez son nom, sa photo, son email, son téléphone où est-ce qu'il est situé dans le bâtiment, quel étage quel bureau etc, ça c'est la partie annuaire donc déjà c'est pas mal après on se dit ok si on pirate un annuaire qu'est-ce qu'on pirate ? Bon on pirate pas grand chose concrètement donc ensuite qu'est-ce que fait l'Active Directory de plus et qui devient intéressant pour les attaquants ? Il y a toute une partie authentification parce qu'une fois qu'on a des gens dans cet annuaire on va se dire en fait on va aussi gérer leur mot de passe on va aussi leur permettre de se connecter donc en fait dans un Active Directory il y a toute la partie AD, donc avec les serveurs ce qu'on appelle les contrôleurs de domaine donc AD c'est vraiment le concept mais après il y a vraiment des serveurs qui font tourner ce truc là, cette base de données etc. Et on a toutes les machines Windows du parc même Mac ou Linux qui sont rejoints à l'Active Directory, on appelle joints à l'AD et en fait ces machines là une fois qu'elles sont joint à l'AD, quand on se connecte sur la machine, on ne se connecte plus avec un compte local qui existe sur la machine, mais on se connecte avec un compte AD. Donc, en fait, quand on se connecte sur son PC le matin, en fait, ça va avoir l'AD. Bon, en vrai, il y a quand même un cache en local, ce qui permet que ça fonctionne quand on est en dehors de l'entreprise, sans VPN, etc. Mais globalement, ça se connecte à l'AD. On se dit, OK, comme ça, on se connecte à l'AD et on peut faire aussi du SSO. Parce qu'après, une fois qu'on s'est connecté sur son Windows, on va ouvrir son Outlook ou son Teams ou même son navigateur pour aller sur l'intranet de l'entreprise. Et en fait, on est directement connecté sans retaper son mot de passe. On va accéder aussi au partage réseau, on va accéder aux imprimantes de l'entreprise. Donc tout ça va automatiquement fonctionner, ça c'est aussi grâce à l'AD tout ce mécanisme de SSO donc là on voit que déjà d'un côté attaquant ça devient un petit peu plus intéressant parce qu'on passe d'un annuaire un petit peu basique avec des gens à un annuaire qui fait de l'authentification, qui gère des mots de passe qui gère du contrôle d'accès aussi parce que dans un AD on est d'utilisateurs mais on a aussi des groupes donc on peut mettre les gens dans les groupes et ensuite les applications vont se baser sur ces groupes pour donner des accès plus ou moins élevés ou pas d'accès du tout, Et l'AD, c'est aussi, troisièmement, un système de gestion de parc. Parce que pareil, ils se sont dit, une fois qu'on a rejoint nos machines à l'AD, qu'elles font confiance à l'AD, qu'elles ont, etc., avant, je pense que les administrateurs, en fait, les ordinateurs arrivaient dans l'entreprise et ils devaient configurer les ordinateurs un à un, c'était un petit peu lourd. En fait, maintenant, on joint les ordinateurs à l'AD et automatiquement, ils vont récupérer leur configuration. Donc, les administrateurs vont faire ce qu'on appelle des GPOs, donc des Group Policy Objects, et ces GPOs vont déployer des paramètres, déployer des logiciels, etc., même de manière forcée. C'est-à-dire que certains paramètres, par exemple, si vous êtes sur un Windows d'entreprise et que vous avez certains paramètres qui sont grisés, c'est parce qu'en fait, ils ont été poussés par un administrateur, par GPO, et l'entreprise a dit, bah non, c'est pas à toi de désactiver cette option de sécurité, par exemple. Et donc là, ça devient encore plus intéressant pour un attaquant, parce que ça veut dire que si on compromet la D, donc comme je disais avant, on peut faire plein de trucs, on peut usurper l'identité de tout le monde, on peut faire ce qu'on veut déjà dans l'entreprise, et là, on peut aussi prendre la main sur tous les Windows de l'entreprise.
Bruno:
Ou déployer un soft qu'on a envie pour tous les PC.
Clement:
Et on parle des PC, mais on parle aussi des serveurs. Donc, c'est pour ça que l'AD, c'est, comme tu le disais, à double tranchant, parce que c'est un outil très puissant à la fois pour les administrateurs, mais c'est aussi très puissant pour les attaquants.
Bruno:
OK. Et donc, c'est ce qui en fait aujourd'hui un des premiers vecteurs d'attaque ?
Clement:
Exactement.
Bruno:
Je sais pas si c'est le bon terme ou pas ?
Clement:
Oui, très bien.
Bruno:
Mais alors, du coup, si c'est aussi central, on pourrait imaginer qu'une grosse entreprise comme Microsoft en a fait quelque chose de sécurisé aussi.
Clement:
On peut imaginer. En fait, ce qu'il faut se dire sur l'AD, c'est que c'est quelque chose qui a 20 ans, plus de 20 ans. Donc ça date à peu près Windows 2000, donc les années 2000, donc plus de 20 ans aujourd'hui. C'est un système qui est ancien, qui a vécu à cette époque-là, il y a 20 ans la sécurité, c'était pas la même chose qu'aujourd'hui. On avait pas les mêmes exigences, on avait pas les mêmes attaques. Et c'est un système comme Microsoft, on peut dire beaucoup de mal de Microsoft, mais ils sont très bons sur un truc, c'est la rétro-compatibilité. Comme des gens qui vont dire, vous pouvez prendre un logiciel ou même un jeu qui tournait sur Windows XP, aujourd'hui sur Windows 11, ça va à peu près marcher. Sur l'AD, c'est pareil. C'est que l'AD est un système qui a évolué depuis plus de 20 ans dans des entreprises. Il y a vraiment des domaines AD qui ont été créés dès le début et qui ont vécu au fur et à mesure pendant tout ce temps et qui fonctionnent aujourd'hui. Ils n'ont pas réinstallé, ils n'ont pas recréé from scratch leur AD. Donc, Microsoft ne peut pas se permettre de casser un certain nombre de trucs. Surtout que c'est un système on-prem. Donc, pareil, aujourd'hui, avec Windows 10, Windows 11, ils ont de plus en plus de télémétrie qui remontent. Mais sur l'AD, ça reste une boîte noire pour eux. Donc, s'ils veulent mettre en place ils ne savent pas, en fait. Ils ne savent pas s'ils avaient impacté du monde. Ils ne savent pas si... Donc, ce qu'ils font, par exemple, c'est qu'ils vont... Donc, ça veut dire que.
Bruno:
Potentiellement, dans le monde, il y a des boîtes qui tournent sur un active directory qui a été installé il y a dix ans et qui n'a jamais été mis à jour.
Clement:
Même vingt ans. Après, c'est intéressant que tu parles de mise à jour, parce que, comme je disais, sur l'AD, il y a vraiment ces composants qui font tourner la machine. C'est les contrôleurs de domaine. C'est des serveurs Windows Server. Même, d'ailleurs, on peut faire ça avec Linux, avec Samba. Dans Samba, qui fait les partages, on peut aussi monter, et en fait cette AD j'ai perdu mon fil.
Bruno:
On parlait, tu parlais des mises à jour.
Clement:
Et du fait qu'il.
Bruno:
Y a encore.
Clement:
Des systèmes qui sont maintenus exactement donc effectivement je parlais des contrôleurs de domaine, en fait ces contrôleurs de domaine c'est des Windows Server, donc il faut mettre à jour ces Windows Server donc c'est très bien de les mettre à jour sauf qu'en fait ça va corriger vraiment ce qu'on va appeler des failles de sécurité des défauts de programmation de Microsoft qui ont des numéros CVE par exemple Vous avez entendu parler des CVE sur les vulnérabilités Tout ça va être corrigé par le patch Le problème c'est que tous les défauts de configuration Et en fait la plupart des problèmes Dans l'AD ce sont des défauts de configuration Parce que c'est un système super flexible Trop flexible, souvent on va se tirer une balle Dans le pied ou faire des choses trop permissives Et ça Microsoft peut pas le corriger Et ne souhaite pas le corriger pour pas casser des choses.
Bruno:
Donc ça veut dire que la majorité des systèmes aujourd'hui qui sont faillibles en termes de configuration, mais du coup ça reste des configurations. Que tu ne le casses pas pour les existants, j'entends, mais tu peux à ce moment-là faire que pour les nouveaux. Il y a des configurations par défaut qui sont un peu plus sévères.
Clement:
C'est vrai qu'ils ont travaillé un petit peu là-dessus récemment. Ils ont augmenté pas mal de choses, mais ça reste quand même un système qui, de base, n'est pas très renforcé. Parce que ça reste du coup plus flexible et c'est un peu plus appétant. Ils sont en train d'évoluer, je pense qu'on pourra peut-être en parler à la fin, on pourra parler d'Entry ID par exemple, donc la version, pour faire simple, cloud de l'AD. Et dans Entry ID, ils ont un mécanisme de security defaults par exemple, où une entreprise qui commence sur Entry ID, par défaut, ils mettent security defaults et en fait ça va activer tout un tas d'options de sécurité. Donc comme ça, de base, ils partent bien et après on peut les débrayer si on veut et voilà, on accepte la responsabilité, on prend en charge la sécurité soi-même et les impacts qui vont avec. mais de base on a des systèmes qui sont.
Bruno:
Bien plus.
Clement:
Sécurisés que ce qu'ils arrivent à faire sur l'AD.
Bruno:
Et du coup ça permet de faire le choix sciemment ou est-ce qu'aujourd'hui même les gens qui sont sur des vieilles versions de l'AD avec des configurations qui sont pas aussi sécurisées que ce qu'il faudrait, on peut considérer que c'est aussi fait sciemment ? Ou est-ce que tu crois qu'il y a une part d'ignorance ?
Clement:
Pendant longtemps je pense qu'il y avait une part d'ignorance parce que c'était des techniques qui étaient pas très connues etc. Aujourd'hui je pense qu'il y a beaucoup de gens qui sont un petit peu coincés parce qu'ils savent qu'il y a des problèmes, mais en fait ce qui est super dur c'est de les corriger. Aujourd'hui identifier les problèmes dans l'AD, il y a plein de logiciels il y a le logiciel commercial sur lequel je travaille, il y a plein de logiciels open source gratuits ou de concurrents ça va donner toute une liste de problèmes, Seul problème derrière c'est que Microsoft ne veut pas se mouiller, ne peut pas prendre le risque de casser des choses, parce que clairement en fait c'est ça le risque, c'est que ça casse des choses. C'est facile en fait il suffit d'aller dans l'AD, c'est un truc Windows, donc on coche des cases, il y a une interface graphique, c'est joli, on peut le faire en PowerShell si on veut tout casser rapidement sur l'intégralité de son domaine. Mais voilà, c'est ça le risque, c'est de tout casser. Et donc voilà, faire le paramètre. Et donc la partie la plus dure, en fait, c'est ça, c'est de dire, ok, j'ai identifié ce problème-là, à quel point il est critique, à quel point il va être facile à corriger, quels vont être les impacts. Moi, j'ai vu, par exemple, des comptes de services, parce qu'on parle de comptes d'humains, pendant très longtemps, on a obligé les gens à renouveler leur mot de passe, etc. On peut en débattre aujourd'hui c'est plus la roco d'ailleurs mais sur les comptes de service on a des vieux comptes de service qui traînent et en fait moi j'ai clairement eu des clients qui m'ont dit bah ouais on sait qu'il y a ce compte de service là son mot de passe est tout nul super facile à deviner on lui a mis le maximum de privilèges sur l'AD mais en fait ce compte on sait plus où il est on sait pas à quoi il sert on sait pas sur quelle machine ou alors on sait où il est mais on sait pas où est-ce qu'il faut le changer dans la configuration, dans la base de données et donc en fait ils sont vraiment coincés, et ils savent qu'il y a un problème mais ils peuvent pas le corriger.
Bruno:
C'est fou.
Clement:
C'est fou.
Bruno:
Est-ce que les failles aujourd'hui qui sont connues et exploitées sur l'Active Directory, est-ce que c'est des failles qui sont simples à exploiter ou est-ce qu'on est quand même sur un niveau de complexité élevé ? En fait, la question, c'est est-ce que ce n'est pas aussi que Microsoft est victime de son succès, en fait, que l'Active Directory, il est présent dans plein d'entreprises. Donc, forcément, ça donne envie à plein de gens de le décortiquer dans tous les sens.
Clement:
C'est sûr. C'est le même débat sur le nombre de virus sur Windows versus Linux ou Mac. À l'époque, il n'y avait personne sur Linux ou Mac qui n'avait pas de virus parce que ça n'intéressait personne. Aujourd'hui, ça commence à monter. Effectivement, comme tu le dis, c'est un système aujourd'hui où, en plus, pour les attaquants, ça vaut le coup d'investir. Parce que tu montes en compétences sur Active Directory, sur les outils offensifs de l'AD, forcément, tu vas être capable de pirater 90% des grandes entreprises sans problème. Et comme on dit d'ailleurs, on parlait de simplicité. dans le monde du pentest globalement quand on fait un pentest il faut être admin de domaine au moins la première journée de la mission voire avant midi, parfois on mange un peu plus tard mais souvent on mange à midi. Le niveau augmente quand même ces dernières années ça fait quelques années que j'ai pu faire de pentest AD mais ça reste facile ça reste facile, les outils sont là les techniques sont pas très compliquées, l'avantage par contre pour les défenseurs c'est que des nouvelles techniques, il n'y en a pas tant que ça qui sortent donc en fait aujourd'hui les techniques sont bien connues, sont bien maîtrisées, il y a quelques années c'était un petit peu compliqué parce qu'il y a quand même eu plein de nouvelles failles plein de nouvelles techniques qui se sont enchaînées mais là ça s'est un petit peu tassé je ne sais pas si c'est parce que le système a atteint sa maturité de défaut de sécurité ou si au final les chercheurs sont plutôt allés s'intéresser à d'autres systèmes comme IntraID ou même d'autres technos ou d'autres secteurs de la cybersécurité mais voilà c'est quand même bien tassé c'est vrai que souvent on nous demande c'est quoi les dernières failles bah en fait c'est la même chose qu'il y a comment c'est que l'applicatif on en parlait tout à l'heure, les XSS, les injections SQL ça reste d'actualité il y en a de moins en moins mais ça reste d'actualité et en fait ça fait 10 ou 20 ans que ça existe et le problème est pas réglé.
Bruno:
Mais est-ce que tu vois ces failles relativement simples à exploiter effectivement une demi-journée c'est quand même très court, est-ce qu'elles sont facilement corrigibles ou est-ce que même si on met tous les potards à fond, au final en une journée et demie c'est torché pour vous ?
Clement:
Non, c'est le problème, c'est que ce n'est pas facilement corrigeable.
Bruno:
Ok.
Clement:
Ouais, clairement. Alors, parfois, ça l'est. C'est vrai que sur une entreprise, par exemple, qui n'a jamais eu de thèse d'intrusions ou qui a eu la chance de jamais eu de ransomware, qui ne s'est jamais intéressée, on va avoir quelques low-hanging fruits, des trucs faciles à corriger, qu'on va pouvoir corriger. Mais la plupart du temps, ça va être assez compliqué.
Bruno:
Parce que ça demande un grand niveau de technicité ou parce qu'il y a des impacts dans les corrections qui font revoir beaucoup de choses ?
Clement:
Les deux, ouais. sur la technicité on va être quand même assez accompagné donc aujourd'hui on a quand même cette chance là en ligne d'avoir plein de ressources qui existent normalement dans ces logiciels d'audit qu'on va utiliser ça va vraiment nous expliquer la vulnérabilité pourquoi comment un attaquant l'exploiterait quelles sont les méthodes pour la corriger etc donc c'est un petit peu de technicité pour la comprendre pour la corriger mais après c'est vraiment en fait les impacts que ça peut avoir, moi j'ai vu typiquement des entreprises quand même des grandes entreprises françaises qui avaient une ou plusieurs personnes dédiées à la correction de ces failles-là. Donc, ils lançaient un audit de l'AD, ils avaient toute une liste de failles et en fait, il faut corriger tout ça. Et c'est aussi beaucoup d'interactions. Il faut aller voir des admins, il faut aller voir des admins applicatifs, des développeurs, il faut aller voir plein de gens dans notre route. Du coup, c'est super intéressant aussi parce que c'est pas que l'équipe AD dans son coin qui va faire ton petit truc.
Bruno:
Et est-ce qu'en général, du coup, c'est utilisé pour essayer de cibler un compte en particulier et prendre les droits de cette personne-là ? Ou est-ce qu'en général l'idée c'est que tu rentres et après tu fais ce qu'on appelle un pas de côté, c'est ça ? Tu prends le compte d'à côté et puis tu élèves tes droits petit à petit ?
Clement:
Effectivement, ça dépend de l'objectif de l'attaquant. Aujourd'hui, la menace principale c'est le ransomware. Donc là, le ransomware c'est vraiment on va tout casser. D'ailleurs, déjà si on casse la dé, ça va mettre à mal bien l'entreprise. Parce qu'il y a de plus en plus de choses qui dépendent de la dé, donc si la dé ne marche plus, c'est un truc qui marche plus.
Bruno:
Les gens ne peuvent plus aimer leur ordinateur.
Clement:
Voilà, ils peuvent plus connecter, ils ne peuvent plus envoyer de mail, ils ne peuvent plus interagir les uns avec les autres. Des applicatifs, même si on a de l'industriel ou des choses comme ça, on peut avoir des chaînes de production si elles sont reliées à l'AD ou alors on ne sait plus quoi produire, le RP ne marche plus, etc. Donc déjà, casser l'AD, c'est déjà un problème.
Bruno:
Attends, juste parce que tu nous parles de chaînes de montage. C'est-à-dire qu'on peut avoir même, je ne sais pas, une usine de voiture avec tous les robots, guillemets pilotés par...
Clement:
Pas directement, mais ça peut... On peut avoir des Windows, on peut avoir... Ou alors ça peut être juste, en fait, le RP, et donc, en fait, la chaîne de production va fonctionner, mais les gens sauront plus quoi produire. Donc, on va produire des trucs par défaut. On peut avoir des entreprises où il y a des systèmes industriels qu'on ne peut pas arrêter, par exemple. Là, on va produire des choses, on va les stocker, puis on espérera qu'un jour, ça corresponde à la demande d'un client. Donc voilà, déjà, casser la dé, ça peut faire pas mal de mal. Après, il y a l'espionnage aussi. C'est vrai qu'en fait, le ransomware, tu disais tout à l'heure, il y a plein de gens qui, à une époque, fallait quand même sensibiliser. Moi, quand j'ai commencé il y a 10 ans, fallait quand même sensibiliser les gens, leur dire attention, vous pouvez être ciblés. Tout le temps, les gens nous disaient, on n'est pas à la NASA, on n'est pas à l'FBI, personne ne nous en veut. On fabrique des pneus, on fabrique des yaourts, personne ne nous en veut. On ne va pas nous attaquer. Aujourd'hui, avec le ransomware, on n'a plus besoin de sensibiliser parce que t'es une entreprise, t'es solvable, tu fais du chiffre d'affaires, t'es ciblé et t'auras une rançon en fonction de tout ça. Donc, il n'y a plus besoin de sensibiliser là-dessus. Vraiment, le ransomware, ça a vraiment servi pour ça. Mais ça a vraiment caché toute la partie espionnage. et à l'ANSI notamment, donc l'agence française de cybersécurité, qui a régulièrement rappelé en disant, ok, le ransomware, c'est bien, c'est aujourd'hui une bonne partie de nos missions, mais en fait, ils font aussi beaucoup de contre-espionnage. Donc voilà, tout ça va être du vol de technologie, du vol de nénés personnels qu'on a en France. Ça peut être de la déstabilisation aussi. Et ça, pour revenir du coup sur ta question, là, on peut utiliser l'AD de manière beaucoup plus subtile, beaucoup moins bourrine. Je vais prendre l'AD pour casser tout le parc. Effectivement, comme tu disais ça peut permettre de grenouiller de passer d'un compte à l'autre etc et même parfois de devenir admin du domaine ce qui est un peu le graal du Pentest où on va dire ça y est je suis admin du domaine j'ai pété la dé, bah pas forcément en fait, si je veux faire de la manipulation de cours boursiers par exemple voilà donc l'entreprise va publier ses résultats au marché tous les trimestres il y a des gens qui ont les résultats avant il y a le directeur financier, il y a les gens qui font les relations analyses, les gens qui vont déployer ça sur les différents portails de presse sous embargo jusqu'au moment de l'annonce officielle en fait ces gens là ils ont les résultats avant si je rentre dans l'AD et que je vais juste aller voir ces gens là j'ai accès aux documents et j'ai pas besoin de péter tout l'AD de me faire reconnaître comment, Dans un cas légal, bien sûr, quand je dis « je ».
Bruno:
Bien sûr, on est bien d'accord. C'est assez... Je trouve ça assez fascinant. Pour creuser un peu sur l'aspect technique, ça ressemble à quoi ? C'est quoi le type d'attaque qu'il y a pour aller attaquer un Active Directory ?
Clement:
Alors, il y a plein d'attaques, plein d'attaques intéressantes. Dans les trucs les plus classiques que les gens peuvent comprendre sans problème, c'est tout ce qui va être bruit de force sur les mots de passe. Voilà, donc du bruit de force, ça peut être assez simple, ça peut être du bruit de force, en fait tout le monde s'imagine qu'on va bruit de forcer un compte et qu'on va tester tous les mots de passe sur un compte. Sauf que dans l'AD, il y a un mécanisme de verrouillage, sauf si bien sûr l'entreprise l'a désactivé, voilà, tout est réglable, tout est réglable dans l'AD. Donc ça sert à rien de brûler un compte parce qu'on va le verrouiller et puis voilà. On peut faire ce qu'on appelle, là c'est un petit peu plus subtil, du password spraying. Password spraying, c'est qu'on se dit, ok, dans l'entreprise, il y a forcément quelqu'un dont le mot de passe c'est Toto1234. 4. On va prendre tous les utilisateurs de l'AD et on va tester Toto 1, 2, 3, 4 sur tout le monde. Ça tombe. Ça dépend ce qu'on veut. Ça, c'est typiquement ce qu'on va faire quand on arrive dans une entreprise ou quand un attaquant arrive dans une entreprise qui n'a pas déjà accès à un compte AD. Vraiment, il est en anonyme, il n'a aucune information. La première étape, c'est d'avoir au moins un compte. En fait, une fois qu'on a un compte dans l'AD, on peut... Ouais.
Bruno:
Comment tu fais déjà ne serait-ce que pour connaître tous les non-users ? Parce que déjà, normalement, tu ne peux pas faire un LS sur le...
Clement:
Ouais, c'est une bonne question. L'AD, c'est un LDAP derrière. Par exemple, il y a une option pour mettre du LDAP anonyme. Donc, il y a certains AD qui sont configurés pour que quelqu'un qui arrive, parce qu'on se dit « c'est un annuaire, on est à l'intérieur de l'entreprise, on est sur notre réseau local, on est entre amis et gens de confiance ». On laisse le LDAP ouvert. Donc là, effectivement, c'est facile. On peut faire du brute force. On peut se dire, si on est dans une grande entreprise, on peut brute forcer un petit peu des noms et des prénoms. Et donc, avant de brute forcer les mots de passe, on va déjà brute forcer les identifiants. On peut aussi être sur le réseau. Quand on est sur un réseau local, comme ça, les Windows, ils échangent un petit peu. Ils disent, ah tiens, quand ils essaient d'accéder à des choses qui ne sont pas dans le DNS, par exemple, ils vont faire des requêtes sur le réseau local. On dit, ah coucou, est-ce que le serveur 1, 2, 3 est là ? le pirate si elle est là il est sur le même réseau dit ouais je suis là viens et là la personne vient se connecter pouf on chope un login on chope un dérivé de mot de passe qu'on peut craquer aussi d'accord mais c'est une bonne question c'est vrai que, donc voilà et on va faire le password spraying et ça peut être aussi si on a par exemple on a déjà un premier compte dans l'AD par exemple s'il y a eu un phishing ou l'ordinateur de quelqu'un qui est compromis, là on peut énumérer l'AD et récupérer tous les logins et ensuite aller casser essayer de faire le password spraying.
Bruno:
Ok assez fou et donc une fois que tu as réussi comment est-ce que tu peux réussir à élever tes droits ? Ou en tout cas choper le compte de quelqu'un d'autre, je sais pas quelle est la mécanique.
Clement:
Par exemple, pour continuer sur le brute force il y a un autre truc dans l'AD, c'est que il y a un protocole de Kerberos qui permet de faire l'authentification, donc il y a NTLM, Kerberos NTLM faut arrêter, c'est mal. Kerberos c'est bien, mais dans Kerberos par exemple, quand on demande à accéder à un service, on va demander un jeton d'accès à ce service. Ce jeton il va être émis par l'Active Directory et il va être chiffré avec le compte de service du service et donc en fait en tant qu'attaquant on se retrouve avec un ticket qui est obscur parce qu'il est chiffré, sauf que on peut du coup offline faire ce qu'on veut et donc en fait on va pouvoir craquer le mot de passe du service, sans interagir avec l'AD mais.
Bruno:
Il est chiffré à haut niveau quand même.
Clement:
Il est chiffré à haut niveau mais si le mot de passe est trop faible ça peut tomber et pareil on peut demander un ticket chiffré plus ou moins fort, donc si l'AD l'empêche pas tant qu'à faire on demande un ticket chiffré en RC4, typiquement, qui est un algorithme beaucoup plus facile à craquer qu'un autre algorithme. Et donc là, pareil, on peut énumérer. Et les comptes de service, comme je disais, c'est intéressant parce que justement, c'est des comptes qui, parfois, sont assez anciens, avec des mots de passe pas géniaux, qui peuvent pas ou qui n'ont pas été renouvelés. Et dans l'AD, d'ailleurs, c'est vraiment, dès qu'on a un compte, on peut vraiment tout énumérer. C'est hyper ouvert. Et on peut notamment voir les comptes de service, quand est-ce qu'ils ont changé leur mot de passe.
Bruno:
Compte de service, c'est...
Clement:
C'est un compte qui va être utilisé par une application, par un script, dans l'AD il n'y a pas de distinction très très forte historiquement en fait on a plusieurs objets dans l'AD il y a des computers, des groupes, des users et en fait il y a des users humains, des users et en fait compte de service c'est juste un user et puis après on va se faire une petite convention de nommage on va l'appeler SVC underscore par exemple, et donc ça devient un compte de service après dans les versions supérieures d'Active Directory ils ont sorti justement des comptes de service donc AD évolue, Un petit peu, il y a eu, pendant, je ne sais pas, plus de cinq ans, ça n'a plus évolué du tout. Microsoft a fait une nouvelle version. Donc, en fait, AD n'est pas mort. Voilà, AD n'est pas complètement mort, en tout cas, chez Microsoft, même s'il pousse énormément le cloud. Et donc, ils ont fait des améliorations où ils ont rajouté, justement, des comptes de services en disant, en fait, les humains, ils ont des mots de passe nuls parce qu'ils ont besoin de les taper et de s'en rappeler. Mais en fait, les machines et les scripts et les applications n'ont pas ce problème-là. Donc, en fait, il y a des comptes de services avec des mots de passe beaucoup plus longs. D'ailleurs, les ordinateurs eux-mêmes se connectent à l'Active Directory, mais ils se connectent avec un mot de passe random super compliqué qui est impossible à craquer, en fait.
Bruno:
Mais une fois que tu as réussi à choper un compte de service, qu'est-ce que tu peux en faire de particulier ?
Clement:
Eh bien, tu regardes ce à quoi il a accès. Et après, là, c'est la boucle, en fait. Là, tu vas vraiment grenouiller de proche en proche, comme ça. Donc, peut-être que tu vas réussir à te connecter à un serveur. À la base, tu étais, par exemple, juste sur l'ordinateur de quelqu'un. Là, tu as craqué ton compte de service. Compte de service, par exemple, il est administrateur sur le serveur parce que c'était plus simple de faire tourner l'application d'admin, bah pouf, à distance. Et en plus, dans ces environnements-là, tu vas avoir plein de protocoles. Tu vas avoir le RDP, donc le bureau à distance. Tu vas avoir le SMB qui est utilisé pour le partage de fichiers, mais qui peut aussi servir à exécuter des commandes à distance si tu es admin sur la machine en face. Donc, tu te déploies sur la machine à distance en tant qu'attaquant. Et là, tu vas faire... Tu vas voler des crédits dans le chose. Donc, il y a un outil dont on a beaucoup entendu parler les dernières années qui s'appelle Mimikatz. Donc, voilà. En tout cas, dans les communautés cybersécifiques. Voilà, c'est en gros, je disais en intro que dans l'AD et dans les postes qui sont joints à l'AD, il y a ce mécanisme de SSO. Donc on se connecte qu'une seule fois le matin et le reste de la journée, on accède à tout. Ça veut dire que quelque part dans la mémoire de l'ordinateur, il y a ton mot de passe ou en tout cas un dérivé de ton mot de passe. Et donc Mimicat, c'est un outil qui va aller dans ce processus-là et qui va voler le mot de passe qu'il y a en mémoire. D'ailleurs, il y a la même chose sous Linux. Il n'y a pas de miracle. Donc, il va voler ce mot de passe en mémoire. Et donc, tu pirateses le serveur-là. Tu voles tous les mots de passe qui sont en mémoire, ou en tout cas des dérivés, donc des empreintes, des haches, etc., pour ceux qui connaissent. Et là, tu vois, tu as des nouveaux comptes en général. Et puis, peut-être qu'il y avait un administrateur qui était connecté sur cette machine-là. Et vu que l'administrateur était connecté à ce moment-là, son mot de passe, ou en tout cas son empreinte de son mot de passe, était sur le serveur. Tu voles ça, et tu grenouilles et tu grenouilles et tu grenouilles jusqu'à atteindre ton objectif et moi dans les premières années où je faisais du pentest interne c'était vraiment ce qu'on appelle la chasse à l'admin c'est que t'étais sur un ordinateur. Basique de stagiaire avec un compte de stagiaire pas de privilège quoi que ce soit et tu voles, tu passes admin sur cet ordinateur et il y avait un mécanisme de, les machines sont déployées avec des images donc l'entreprise va faire une image vraiment ils vont configurer le Windows bien comme il faut ils font une image et ensuite ils dupliquent cette image sur tous les ordinateurs. Et donc il y a un administrateur local sur cette machine là. Donc quand on se connecte, il y a les comptes AD, mais il y a aussi un compte local sur la machine. Le compte local c'est le même sur toutes les machines. Donc une fois qu'on a trouvé une faille localement sur le Windows ou dans un logiciel qui a été installé, on élève ses privilèges, on vole ce mot de passe, en tout cas on vole son hash, et ensuite on fait ce qu'on appelle un pass de hash, c'est qu'on va ensuite pouvoir se connecter à n'importe quel autre ordinateur vu que c'est le même admin, c'est le même hash, on peut se connecter à n'importe quel ordinateur. Qu'est-ce qu'on fait ? On regarde sur tout le réseau où sont connectés des admins du domaine tiens, il y a l'ordinateur, l'admin de domaine pouf, on va sur son PC on voit lui-même son mot de passe et ça y est, on a une limite de domaine.
Bruno:
Quitte à se connecter à tous les ordinateurs et puis à un moment tu vas...
Clement:
Il y a des gens qui font ça aussi il y a des gens effectivement, ils font un script et puis ils arrosent tout le parc et chaque machine va dumper tous ses mots de passe, venir, ils font ça bien en plus ils créent un share, un partage réseau sur leur machine d'attaquant et toutes les machines vont en fait se dumper leur mot de passe, venir déposer dans le dossier et puis après, en fait ça devient plus du big data de j'ai collecté trop de données dans mon PNTS et je sais pas quoi en faire.
Bruno:
Ce qui est fou dans ce que tu décris c'est qu'on sent que c'est quelque chose d'hyper automatisable mine de rien.
Clement:
Eh bien, c'est une très bonne chose, c'est que je voulais parler quand même d'un truc. En fait, quand je vous disais là, tu vois, quand je te parle de on rebondit comme ça, de proche en proche et en fait, on chope un accès, on continue, etc. En fait, il y a eu un gros changement dans l'active directory il y a quelques années et dans la sécurité de manière générale. C'est le passage en fait au modèle graph. Avant, on avait cette liste. On disait, OK, quels sont les trucs critiques dans mon entreprise ? On faisait une liste et on sécurisait les 10 trucs qui étaient en haut parce qu'on ne pouvait pas faire le reste. Et ensuite, il y a des gens qui se sont dit, mais en fait, on peut faire un graph. On dit, quelqu'un, il n'a pas de privilège. Mais en fait, il est dans un groupe qui lui-même est dans un groupe qui a accès à un dossier dans lequel il y a un fichier qui contient les identifiants pour se connecter. Et tu vois, en fait, comme ça, tu commences à construire un graphe. Et en fait, il y a des gens vraiment qui ont créé des outils là. Donc, il y a Microsoft qui a fait des travaux de recherche il y a très longtemps. Ensuite, il y a des Français, dont un des fondateurs de l'entreprise que j'ai rejoint il y a quelques années. Et ensuite, des Américains qui ont fait des logiciels. Donc, par exemple, Bluetround, le logiciel américain le plus connu qui est open source. Et vraiment il va récupérer toutes les informations dans l'active directory sans privilège, donc des informations que n'importe qui peut récupérer il va aussi se connecter à tous les ordinateurs parce que pareil même si t'es pas admin sur un ordinateur tu peux savoir qui est admin sur cet ordinateur et qui a des privilèges dessus. Et donc, comme ça, tu rémunères tout ça, tu mets ça dans une base de données graphes, donc Neo4j, pour ceux qui connaissent, par exemple. Donc, tu mets tout ça dans Neo4j, et après, tu lui fais faire de la recherche de chemin. Tu lui dis, donne-moi un chemin entre moi et l'admin de domaine. Il va te dire, tu fais ça, ça, ça. Et pour revenir sur ta question, effectivement, il y a des gens qui ont automatisé ça. Parce qu'en fait, tu as plein de flèches. Chaque flèche, chaque relation correspond à une technique. La plupart de ces techniques sont automatisables. Et donc, il y a des gens qui ont créé des projets. Alors, à ma connaissance, ça n'a jamais été utilisé dans des vraies attaques ransomware. J'ai toujours parié que ça allait arriver, mais en fait, les gens le font à la main parce que ça marche aussi. Mais clairement, tu peux ensuite faire un script. Aujourd'hui, avec l'IA, évidemment, qui va en fait faire ton chemin tout seul.
Bruno:
Ouais. Après, sur le ransomware, j'ai quand même l'impression que le ransomware, c'est aujourd'hui, c'est un truc qui est... Tout à l'heure, tu disais, tu parlais des entreprises qui sont ciblées par le ransomware. J'ai quand même l'impression, aujourd'hui, que le ransomware, t'es pas vraiment ciblé par le ransomware. Ça se propage de manière hyper aléatoire. Ça tombe Quelqu'un qui va cliquer et qui va l'ouvrir, ça va se lancer. Et les gens payent, les gens payent pas. En fait, c'est fait de manière complètement aléatoire.
Clement:
C'est vrai que si j'utilisais le mot ciblé, c'est effectivement pas une bonne idée. Effectivement, c'est quelque chose où les gens vont vraiment tirer au hasard. Et c'est pour ça que je reviens sur ce que je disais tout à l'heure. Les gens, au début, qui nous disaient, « Non, nous, on n'est pas la NASA, personne ne va venir nous pirater. » En fait, les gens vont scanner Internet. Aujourd'hui, il y a pas mal d'intrusions qui se passent, par exemple, par des produits de sécurité. Alors ça c'est la honte de notre métier évidemment, c'est que tu vas avoir par exemple des plateformes VPN qui servent normalement à sécuriser ton entreprise à mettre des points d'accès sécurisés sur internet qui sont très mal conçus, très mal faits et il y a des failles de sécurité les pirates comme ça rentrent dans les entreprises, et t'as aussi une professionnalisation où t'as des gens qui vont rentrer, qui vont, déployer, qui vont faire ce que je disais sur l'Active Directory qui vont passer admin du domaine et qui ensuite revendent ces accès.
Bruno:
Oui c'est à dire que ce qui est assez fou dans la technique que tu signales il n'y a aucune alerte nulle part d'un truc en train de se passer au final c'est juste quelqu'un qui est en train d'essayer de s'authentifier et qui à un moment y arrive.
Clement:
Si tu regardes bien si tu fais ce qu'il faut etc il y a des produits notamment le produit sur lequel travaille qui fait de l'analyse de ce qui se passe dans l'AD et d'autres concurrents évidemment, mais tu peux réussir à trouver des signaux faibles mais c'est assez difficile, et il faut activer des options supplémentaires pour avoir tous les logs dont tu as besoin parce que par défaut tes logs vont être ça log par défaut un AD et un compteur de domaine ça log pas grand chose et pendant pas très longtemps et sur un domaine qui vit bien genre d'une grande entreprise ton truc toutes les 5 minutes il est effacé donc si tu fais pas ton analyse 5 minutes après l'attaque c'est mort.
Bruno:
Et donc tu parles un attaquant qui a un compte admin chez toi qui garde au chaud pendant pendant X années qu'il utilisera peut-être un jour.
Clement:
Mais peut-être pas sans son que tu le saches c'est ça ça dépend s'il veut faire du ransomware ou plutôt de l'espionnage ?
Bruno:
Et donc, ces logs dont tu parles, qui disparaissent extrêmement vite, est-ce que, dans une démarche de forensics, est-ce qu'il y a quand même un moyen après d'aller détecter que tu as été corrompu ?
Clement:
Alors, effectivement, le mieux dans ce cas-là, c'est de toute façon, sur les contrôleurs de domaine, même si tu mets les curseurs au maximum dans ton AD, tu as quand même une taille limitée qui, en fait, va, dans une grande entreprise, ne pas représenter grand-chose. Donc, en fait, tes logs, il faut les externaliser dans un SIEM. Donc, par exemple, même si vous connaissez Splunk, Par exemple, les éditeurs connaissent Plunk. C'est un système qui existe, qui permet de gérer ces logs, qui est utile à la fois en dev, en admin et aussi en sécu. Il y en a d'autres, DCM, il y a Elasticsearch, etc. Bien sûr, pour en citer plusieurs. Et on va exporter les logs là-bas. Et là, on va pouvoir faire du stockage longue durée. On va pouvoir faire de l'analyse. Et comme tu dis, ensuite, on va pouvoir faire du forensic, que ce soit en interne dans l'entreprise ou alors, même si on n'en fait rien, le jour où on a un incident, on peut faire venir une équipe externe qui pourra analyser. Ça peut servir pour le joueur de jeu, ça peut servir pour comprendre ce qui s'est passé parce que par exemple ces groupes de ransomware il y a des gens donc il y a un débat sur est-ce qu'il faut payer ou pas la rançon mais la plupart du temps même quand on paye la rançon, on nous dit pas alors il y en a si il y en a qui remettent un rapport d'edit voilà c'est fourni avec le prix t'as ton rapport de pen test qui dit bah voilà on est passé ça on te conseille ça etc c'est une qualité mais la plupart du temps et puis après est-ce qu'on fait confiance au criminel bien sûr que non, donc en fait on sait pas on a payé la rançon mais on sait pas si deux semaines plus tard il n'y a pas le même groupe ou un autre groupe qui va faire la même chose donc même si on s'est fait pirater faire un forensic essayer de comprendre ce qui s'est passé le patient zéro comment le ransomware s'est propagé comment ils ont pu élever leurs privilèges faire du mouvement latéral donc rebondir de compte en compte ça peut être super intéressant, et on peut aussi dans ces logs là de temps en temps ça c'est plutôt les entreprises plus matures faire du threat hunting, donc l'idée de faire du threat hunting c'est que on ne sait pas qu'on s'est fait pirater il n'y a pas de signes visibles mais on se dit on va quand même gratter on se dit on va essayer de chercher des traces d'attaques, des outils d'attaquants des techniques, des comportements bizarres.
Bruno:
Mais là, du coup, ce qui est difficile, c'est que comme tu cherches rien de particulier, si tu trouves rien, ça ne veut pas dire qu'il n'y a rien.
Clement:
C'est ça.
Bruno:
C'est peut-être juste que tu n'as pas rien chercher.
Clement:
C'est ça. C'est comme en Pentest. En Pentest, si tu rends copie blanche, c'est que soit c'est sécurisé, soit tu es mauvais.
Bruno:
Oui, effectivement.
Clement:
Ou tu n'as pas travaillé.
Bruno:
En effet. Avant de parler, du coup, peut-être de l'avenir, on va dire, de l'activité de théorie, parce qu'on peut imaginer qu'il y a quand même une volonté de sécuriser les choses. Il y a d'autres systèmes de directory qui existe au-delà de celui de Microsoft. Est-ce que celui de Microsoft, c'est celui qui a le plus de failles ou est-ce que c'est juste celui qui est le plus attaqué et donc le plus de failles connues ?
Clement:
Je pense qu'effectivement, c'est le plus attaqué, le plus populaire, donc le plus attaqué, le plus répandu et aussi celui qui a le plus de fonctionnalités. Tu parles d'annuaire, effectivement, tu vas avoir des annuaires qui font juste annuaire simple, comme je disais au début, juste page jaune. Tu vas avoir des annuaires qui vont faire juste du LDAP, donc tu peux faire l'authentification mais tu vas pas forcément faire la gestion de parc avec donc l'AD le fait que aussi t'aies toutes ces fonctionnalités là ça rend l'AD encore plus juteux pour un.
Bruno:
Attaquant ouais j'imagine, alors est-ce que du coup il y a une volonté de décommissionner l'activité territoriale à un moment tu as parlé de la solution cloud dont j'ai oublié le nom qui est pas Azure mais qui est avant.
Clement:
Qui s'appelait Azure AD.
Bruno:
Et qui.
Clement:
Maintenant s'appelle EntraID.
Bruno:
Ok l'idée c'est de c'est de décommissionner Active Directory pour le moment tu crois ?
Clement:
Alors effectivement Microsoft globalement sur les dernières années ils ont énormément poussé le cloud, donc voilà que ce soit sur la partie infra les serveurs Windows Server etc même Windows Server ils disent faites tourner vos trucs dans le cloud chez Azure etc donc c'est vraiment une grosse politique de Microsoft que d'inciter les entreprises à aller dans le cloud ça a suivi avec Azure AD en fait Azure AD je vous dis AD ça a une vingtaine d'années ça date des années 2000 Azure AD ça date de 2008 en fait c'est sorti en même temps que Azure, Je pense que, historiquement, ils se sont dit, on sort Azure, on va sortir Office 365, etc. En fait, on a besoin d'un système d'authentification. Donc, ils se sont dit, on va mettre un système d'authentification dans le cloud. Et tant qu'à faire, on va aussi le donner aux clients pour qu'ils puissent s'en servir. Donc, Microsoft, pendant très longtemps, ils ont dit cloud, cloud, cloud, cloud. Et donc, vraiment, il ne se passait plus rien sur l'AD. En fait, sur l'AD, tu avais une nouvelle version avant de l'AD avec chaque nouvelle version de Windows Server. Donc t'avais Windows Server 2008, 2012 2016, 2019, 2022, 2025 et il s'est rien passé en fait depuis 2016, donc il y a eu 2019 qui est sorti, rien sur l'AD 2022, rien sur l'AD donc on se dit bon bah c'est vraiment Microsoft a clairement abandonné l'AD, et là 2025 il sort Server 2025 qui font tiens, on a un nouveau AD 2025, donc on voit que Microsoft se réintéresse après moi j'ai vu des sources sur internet qui disaient que c'est une équipe de 10 personnes ah oui, donc voilà c'est pas grand mais.
Bruno:
Est-ce que c'est des sources fiables ou est-ce que.
Clement:
Je sais pas voilà mais globalement on voit que ça évolue très très peu et ils ont déjà tout le support à faire il y a quand même des problèmes ils font aussi quand même des corrections ils font des évolutions que ce soit sur les protocoles Kerberos par exemple ils continuent de travailler sur ils poussent de plus en plus sur l'arrêt de NTLM donc voilà ils rajoutent des trucs dans l'AD etc donc il y a quand même des gens qui, travaillent sur l'AD c'est un produit qui est encore officiellement supporté par Microsoft mais il y a quand même une grosse volonté de passer sur Azure AD et maintenant Entry ID.
Bruno:
Pour sécuriser l'AD, il faut être hyper formé, hyper entraîné. C'est un métier à part entière quasiment maintenant ?
Clement:
Oui, clairement. Mais qui peut être tout à fait... De toute façon, dans toutes les grandes entreprises, il y a des admin AD qui sont dédiés. Et aujourd'hui, je pense qu'ils ne peuvent pas faire leur travail sans faire aussi la CQAD.
Bruno:
Ok, je vois.
Clement:
Là où ça devient compliqué, c'est pour les plus petites entreprises ou même par entreprise. Quand on voit, je ne sais pas, on voit le collège d'à côté, on voit la caserne de pompiers, par exemple, ces gens qui ont un AD, parce que c'est super pratique, mais en fait, ils n'ont même pas, ils n'ont personne à la cyber, ils n'ont même pas quelqu'un à l'informatique, en fait, ils ont quelqu'un qui fait la maintenance une fois de temps en temps. Pour ces gens-là, c'est hyper difficile. Et pour ces gens-là, par exemple, le cloud, ça peut devenir intéressant, parce qu'on peut avoir de la gestion par Microsoft, des paramètres, etc.
Bruno:
Ce que tu me disais aussi en préparation, que je trouve effectivement, je ne sais pas si c'est rigolo, mais en tout cas, c'est qu'il n'y a pas de staging soit c'est en prod soit ça.
Clement:
N'existe pas tu peux avoir du staging donc il y a des entreprises qui ont un AD bis à côté pour s'entraîner faire des tests etc mais en fait ce staging là il va jamais être connecté au reste de l'entreprise donc en fait toute cette adhérence entre les utilisateurs les postes de travail les serveurs les applications avec ton vrai AD tu les auras pas sur ton AD de staging c'est difficile de créer un développement virtuel sauf si tout le monde est super carré que tout le monde a aussi des applications de staging et les connectent correctement à la dé de staging, etc. Mais moi, j'ai rarement vu des trucs aussi bien faits.
Bruno:
Il faut les faire se comporter comme des... Ça commence à être assez lourd.
Clement:
Donc, effectivement, tu fais ta modif et après, tu croises les doigts. Après, Microsoft, ils font quand même des trucs récemment. Ils ont dit, avant de casser les choses, par exemple, ils ont dit, là, ce paramètre-là, on vous annonce que progressivement va le renforcer. Et en fait, dès aujourd'hui, on commence à activer le paramètre, mais en mode audit. Donc, il ne va pas bloquer un truc bizarre. il va pas bloquer ce qu'il est censé bloquer par contre dans les logs il va te dire attention j'ai vu telle machine ou tel compte tenter de faire ce truc que dans 6 mois potentiellement on va bloquer, Mais après, pareil, il faut des gens qui soient derrière, qui regardent ça, qui soient au courant, qui regardent, qui disent, OK, il y a ce truc-là, qui ensuite arrive voir, ah tiens, tu es administrateur ou tu es développeuse de telle application, il faut que tu changes la pratique, il faut que tu changes ça, etc.
Bruno:
C'est le souci des logs, personne ne les regarde.
Clement:
Ça sert à rien. Exactement. Et ensuite agit dessus.
Bruno:
Top. Merci beaucoup Clément pour cette discussion. J'aurais deux dernières questions pour toi, qui sont les questions rituelles du podcast. La première, c'est est-ce qu'il y a un contenu que tu souhaiterais partager avec l'ensemble des auditoristes ?
Clement:
Oui. Alors, effectivement, il y a pas mal de ressources sur la sécurité et de l'AD. Donc, le premier qui me vient en tête, c'est adsecurity.org. Donc, c'est un blog qui date depuis il y a pas mal d'années, mais qui suit vraiment la sécurité. Après, il y a plein de blogs de personnes ou d'entreprises. De toute façon, je t'ai donné les liens. Je pense que tu les mettra dans les show notes.
Bruno:
Effectivement, on en mettra tout ça en lien. et dernière question qui est la question de loin la plus importante de ce podcast est-ce que tu es plutôt espace ou tabulation ?
Clement:
Alors par obligation espace quand on fait du YAML quand on fait du Python c'est un peu plus la convention mais j'aime bien tab j'aime bien tab parce qu'en fait on peut laisser le choix aux gens dans leur IDE de configurer la taille qu'ils veulent et voilà on met un tab et voilà chacun fait ce qu'il veut mais j'ai l'impression que espace et je sais pas sur tes auditeurs et les gens qui passent ici c'est avec quoi la proportion ?
Bruno:
En fait de plus en plus les gens me disent je laisse mon IDE décider mais.
Clement:
C'est vrai que souvent en fait je m'en rends même pas compte.
Bruno:
Et oui.
Clement:
J'ai l'option qui va bien et j'appuie sur la table et il se passe quelque chose de bien.
Bruno:
Quand t'as commencé en disant que ton contexte faisait que t'étais obligé de faire de l'espace j'ai cru que t'allais nous révéler que sur un aspect de cybersécurité l'espace était mieux que la tabulation, je me suis dit il y a une faille, qu'on aurait jamais envisagée ça me paraît pas probable mais je vais réfléchir mais là comme ça non je pense que ça serait compliqué, bah top, merci beaucoup Clément pour tout ça et merci à tous d'avoir suivi cet épisode, jusqu'au bout donc voilà on a creusé des sujets un petit peu différents de comment est-ce qu'on peut attaquer un environnement et comment est-ce qu'on va grappiller des choses, j'espère que comme moi vous avez appris plein de choses comme toujours je vous remercie aussi de partager ce podcast, je vous invite à aller voir aussi le Tipeee, normalement il y a le lien en description de cet épisode si jamais vous souhaitez contribuer à ce podcast et l'aider. À perdurer comme on dit mais un commentaire 5 étoiles sur votre application de podcast préférée ça fonctionne tout aussi bien pour faire remonter dans les algos, je vous remercie beaucoup je vous souhaite une très bonne fin de semaine je vous dis à la semaine prochaine et d'ici là, codez bien.
