Blog

Le blog de la cybersécurité expliquée à ma grand-mère !

Future vidéo

2539 mots, 15191 chars

Le storyboard de la vidéo est disponible ici si vous voulez voir à quels moment il y aura des animations, des schémas etc.

Intro

  • Eeeeet ... Salut tout le monde ! On entend souvent dans les actualités que telle ou telle entreprise a été piratée.
  • Et alors moi quand je commençais en cyber sécurité, je me disais toujours : "mais... ça veut dire quoi ?"
  • Parce que pirater un ordinateur ou un compte Google je vois bien, mais une entreprise ??? C'est pas... toc toc Ça veut dire quoi ?
  • Et bah c'est ce qu'on va voir dans cette vidéo.
  • Je m'appelle Romain du Marais, je suis hacker professionnel et je vais vous expliquer comment on pirate une entreprise.
  • Et puis surtout, à la fin de la vidéo, vous saurez tout pour protéger votre entreprise.
  • C'est parti !

Générique

Disclaimer et définitions

  • Tout d'abord, qu'on se mette bien d'accord, tout ce qu'on va voir dans cette vidéo est expliqué dans un but purement pédagogique.
  • Vous avez absolument interdiction de vous en servir pour pirater quelque organisation que ce soit qui n'a pas explicitement donné son accord.
  • Et par organisation ici, je veux parler de n'importe quel groupe de personne qui partagent un même "réseau informatique" au sens large, on préfére d'ailleurs parler de système d'information.

Active Directory

  • En fait dans tous les cas, toutes les organisations, quelles qu'elles soient, elles ont toujours besoin de gérer quelque part qui est qui et qui a le droit de faire quoi.
  • Et le composant qui gère l'identité et les privilèges, c'est ce qu'on appelle l'annuaire.
  • Et là, dans la grande majorité des organisations qui gèrent elles-même leur annuaire, on va retrouver le logiciel d'annuaire de Microsoft, qui s'appelle l'Active Directory.
  • Et cet annuaire, que ce soit un Active Directory ou autre chose, il est super critique pour le système d'information.
  • Parce que déjà l'annuaire contient tous les mots de passe de tout le monde dans l'organisation.
  • Et puis parce que c'est l'annuaire qui décide de qui a le droit de faire quoi.
  • C'est super important : c'est ce qui fait que vous vous pouvez travailler sur vos documents mais vous pouvez pas modifier le tableau des paies comme vous voulez pour rajouter quelques zéros sur votre salaire.
  • En fait à chaque fois que vous utilisez une ressource partagée, comme un fichier, c'est l'annuaire qui vous autorise ou non à y accéder.
  • Et dans cet annuaire il y a un groupe de gens, les "administrateurs du domaine", qui ont le droit de faire absolument tout sur le domaine, ils peuvent lire tous les documents, et etre administrateur de toutes les machines.
  • Donc en gros, la cible du hacker, c'est de devenir un "administrateur du domaine".
  • Si le hacker y arrive, il peut tout faire, supprimer des documents, supprimer tous les utilisateurs, il peut espionner tout ce qu'il veut, il peut même bloquer l'entreprise en échange d'une rançon.
  • Donc si vous cherchez à protéger votre réseau, il faut bien garder en tête que le groupe des administrateurs du domaine, c'est le truc le plus important à défendre.

Comment on fait ?

  • Mais alors la question, c'est comment on fait, quand on est un hacker sur le réseau, pour devenir administrateur du domaine ?
  • Et bien il y a plusieurs manières :
    • On peut attaquer l'ordinateur sur lequel il y a l'annuaire,
    • On peut chercher des mauvaises configurations dans les mécanismes d'authentification qui pourraient nous permettre de se faire passer pour quelqu'un d'autre.... au hasard, un administrateur du domaine.
  • Ces deux attaques elles sont relativement directes, donc plutôt faciles à bloquer.
  • Mais on peut aussi utiliser notre compte de domaine pour progressivement compromettre des comptes de plus en plus importants... jusqu'aux administrateurs du domaine.
  • C'est ce qu'on appelle le "pivot". C'est quand on se déplace de compte du domaine en compte du domaine pour pirater des choses de plus en plus intéressantes.

histoire filée

| Imaginons que Eve veut attaquer le réseau de l'entreprise SNIF | X | présentation du SNIF| | Elle a envoyé un mail de phishing (ou hameçonnage) à Alice. | X | Eve envoie un mail à Alice| * Ce mail contenait un fichier malveillant, qui permet à Ève, d'éxécuter des commandes sur l'ordinateur d'Alice. * Autrement dit, Ève, est sur le réseau du SNIF.

Attaques directes

  • La première chose que Eve va regarder, c'est est ce que l'annuaire lui-même est bien défendu.
  • Il y a un certain nombre de vulnérabilités qui permettent de pirater un ordinateur Windows quasiment instantanément.
  • Si jamais les informaticiens du SNIF n'ont pas fait gaffe, ils ont peut-être laissé ce genre de vulnérabilités sur l'ordinateur qui héberge l'annuaire.
  • En vrac, ça peut être des vulnérabilités dans le protocole SMB, une interface d'imprimante laissée ouverte, etc.
  • Et si Eve arrive à pirater l'ordinateur qui héberge l'annuaire, elle peut faire ce qu'elle veut avec l'annuaire et c'est game over.
  • Maintenant, Eve elle peut regarder aussi la configuration de l'annuaire, pas juste celle de l'ordinateur sur lequel l'annuaire tourne.
  • Il y a des attaques connues sur l'annuaire ou sur les différents mécanismes d'authentification.
  • On peut citer par exemple des attaques sur le protocole Kerberos qui permettent de voler des comptes qui ont un mot de passe faible.
  • Il y a aussi PetitPotam, j'ai fait toute une vidéo sur le sujet.
  • On peut aussi des service d'authentification par certificats.
  • Si ces services sont mal configurés, Eve peut tout simplement demander un certificat qui dit qu'elle est ... genre un administrateur de domaine.
  • Là c'est jackpot pour Eve, qui a piraté le domaine en un seul coup.
  • Je vais faire une prochaine vidéo dédiée complètement au système de gestion des certificats.
  • Mais en gros, pour se protéger contre ces attaques très directes, il faut :
    • mettre bien à jour son annuaire,
    • mettre à jour aussi les ordinateurs qui font tourner l'annuaire,
    • et régulièrement tester s'il y a pas des mauvaises configurations avec une checklist de toutes les misconfigurations possibles, ou un outil comme PingCastle.
  • Si on fait ça, on protège déjà bien l'annuaire.

le mouvement vertical

  • mais ça stoppera pas complètement Ève pour autant.
  • Parce qu'il faut protéger tout le domaine !
  • Pas juste l'annuaire.
  • Parce que le problème, c'est que pirater un compte ou un ordi, permet d'en pirater d'autres derrière !
  • Je m'explique :
  • Eve est arrivée sur le réseau.
  • Elle a accès au compte d'Alice.
  • Elle a testé les attaques classiques sur l'annuaire, mais elle a rien trouvé.
  • Ce qu'elle va faire, c'est qu'elle va regarder ce à quoi le compte d'Alice lui donne accès.
  • Elle peut peut-être se connecter à d'autres machines avec ce compte.
  • et surtout, elle peut essayer de devenir administrateur de ces machines.
  • Peut-être même qu'Alice est déjà administrateur de certains ordinateurs du domaine.
  • Et ça, Éve, ça l'arrange bien, parce que si Eve peut être administrateur d'un ordinateur, elle peut voler d'autres comptes.
  • Pour bien comprendre ça, il faut faire un petit point sur un protocole d'authentification de Windows, qui s'appelle NTLM, et qui a deux problèmes.
  • Le premier problème, c'est que si on est administrateur d'un ordinateur Windows, on peut en gros extraire les mots de passe de tous les gens qui se sont connectés récemment à cet ordinateur.
  • Parce qu'en fait, à partir du moment ou quelqu'un s'est connecté sur un ordinateur windows, il faut bien que l'ordinateur garde en mémoire qu'il est connecté.
  • Donc l'ordinateur garde forcément en mémoire le mot de passe d'une manière ou d'une autre.
  • À la limite, on peut protéger le mot de passe avec une fonction à sens unique qui fait qu'on peut facilement vérifier un mot de passe sans le stocker directement.
  • Le problème de NTLM, c'est que cette fonction elle est pas très bien faite. | Certes, ça empêche d'avoir le mot de passe non protégé, sauf que le mot de passe "protégé"" ... il permet aussi de se connecter. | X | schéma pass-the-hash|
  • Donc bravo Microsoft, c'est bien on peut pas récupérer le mot de passe non protégé.
  • Mais la protection elle protége pas beaucoup !
  • Donc si Éve est administrateur d'une machine Windows, c'est comme si elle pouvait voler les mots de passe de tous ceux qui sont connectés dessus.
  • Donc ce qu'elle va faire pour pirater le réseau, c'est simplement de chercher les ordinateurs sur lesquels Alice est administrateur, ou même tout simplement ceux sur lesquels Alice peut se connecter, et elle va essayer de devenir administrateure dessus.
  • À ce moment là, elle peut utiliser ces privilèges pour extraire les mots de passe protégés d'autres comptes.
  • Puis elle peut utiliser ces comptes pour se connecter sur d'autres ordinateurs, pour voler d'autres comptes, et de fil en aiguille, arriver jusqu'à un compte d'administrateur de domaine.
  • Ce procédé, c'est le "déplacement vertical" : C'est partir d'un compte pour passer de compte en machine et de machine en compte, jusqu'à devenir administrateur du domaine.
  • Et ça, dans la vraie vie, tous les hackers sont un peu obligés de le faire à un moment ou un autre !
  • C'est d'aileurs cette phase-là qui prend du temps parce que dans les vrais piratages, le but c'est aussi de pas de se faire repérer quand on passe de compte en compte.
  • Mais ! Pas de panique, il y a quand même moyen de stopper Ève.

Tiering

  • En fait pour stopper Eve, c'est tout bête : il suffit de découper le domaine en plusieurs parties, comme ça bah Eve pourra pas passer d'une partie du domaine à une autre
  • Ce principe, c'est ce qu'on appelle le tiering.
  • Parce que classiquement, on va faire 3 zone différentes dans l'annuaire :
    • une zone avec les postes de travail, c'est à dire, les ordinateurs de tout le monde.
  • Là dedans, il y a aussi tous les comptes utilisateurs et les comptes administrateurs, mais uniquement les administrateur des postes de travail.
    • la deuxième zone elle est plus critique, elle est dédiée aux serveurs et aux applications, avec notamment tous les administrateurs système,
    • Et après il y a une zone méga, méga, méga critique, avec juste les services qui gèrent le domaine lui-même ou qui pourraient causer la compromission du domaine.
  • En gros dans cette partie critique, il y a juste : les ordinateurs qui font tourner l'annuaire, les comptes administrateurs du domaine, les serveurs d'authentification, les serveurs d'antivirus, et les services d'administration du cloud.
  • En fait : tous les comptes et toutes les machines, qui s'ils sont compromis, permettent de compromettre tout le domaine
  • Et ces quelques machines là, si elles ont besoin d'outil en plus pour tourner, et bien il faut dédoubler cet outil pour en avoir un uniquement pour cette zone critique.
  • Comme ça vraiment, il y a pas de chemin de compromission d'une zone moins critique vers les zones plus critiques.
  • L'idée c'est que si Ève a un accès à un poste de travail, au pire du pire, elle peut pirater tous les postes de travail.
  • Mais elle pourra pas accéder aux serveurs, et encore moins aux systèmes critiques, qui sont bien isolés.
  • Alors quand je dis isolé ici, c'est pas isolé au niveau réseau, les ordinateurs peuvent continuer à utiliser normalement l'annuaire.
  • Juste ils sont isolés au niveau de l'Active Directory.
  • C'est à dire qu'on peut l'utiliser mais pas s'y connecter pour effecter des actions depuis un compte ou un ordinateur qui est dans le tier 1 ou le tier 2.
  • En fait le tiering, c'est juste le principe de segmentation du réseau appliqué à l'annuaire.
  • Autrement dit, une segmentation du domaine.

domaine et réseau

  • Alors oui jusqu'ici j'ai parlé de domaine et de réseau, un peu comme si c'était la même chose.
  • Mais c'est pas pareil !
  • Et en fait c'est super important !
  • Pour mettre ça au clair, le réseau, c'est un ensemble de machines qui peuvent communiquer ensemble.
  • Le domaine, c'est un groupe d'objets qui sont dans l'annuaire.
  • Ça peut être des comptes d'utilisateurs, des machines, des groupes, etc.
  • Leur lien, c'est qu'ils sont gérés ensemble, dans un même annuaire.
  • Et cette petite différence entre réseau et domaine, c'est peut-être ça qui va permettre à Ève de pirater le SNIF !
  • Parce qu'il y a des machines qui sont sur le réseau mais pas sur le domaine.
  • Par exemple, quand on a un Active Directory, donc un annuaire Windows, souvent les machines Linux elles sont pas gérées dans l'annuaire.
  • DOnc elles sont pas dans le domaine, mais elles sont quand même sur le réseau.
  • Un autre exemple, c'est que sur toutes les machines Windows, il y a des comptes qui font partie du domaine, par exemple ici le compte d'Alice.
  • Mais il y a aussi sur chaque machine des comptes locaux, qui sont juste sur la machine, pas dans le domaine.
  • Par exemple, chaque machine Windows a un compte "Administrateur".
  • Bah ce compte il est pas sur le domaine !
  • Et il faut faire gaffe à ces comptes-là.

le mouvement horizontal

  • Imaginons que pour se simplifier la vie, au SNIF, il y a le même mot de passe du compte Administrateur local sur un poste de travail et sur un serveur.
  • Et bah ça suffit pour que Ève récupère ce mot de passe grâce au compte d'Alice, et qu'elle gagne accès au serveur en question.
  • Et là elle a juste à récupérer les comptes des administrateurs connectés dessus !
  • Et là on aura beau mettre tout le tiering qu'on veut, si ce serveur il est dans le Tier 0, le tier 0 il a beau être bien isolé, Eve elle peut passer par le réseau.
  • Et là c'est game over, et Ève a tout piraté.
  • Ce genre de pivot, c'est ce qu'on appelle le "déplacement horizontal".
  • En gros Eve a trouvé un moyen hors du domaine pour accéder à des comptes privilégiés.
  • Ça marche aussi s'il y a par exemple une vulnérabilité sur un site web qui est accessible avec le compte d'Alice.
  • Ou s'il y a une vulnérabilité sur un serveur linux, qui est pas dans l'Active Directory.
  • La meilleure défense contre ça, c'est de bien segmenter aussi chaque zone du réseau :
    • empêcher les flux qui sont pas légitimes
    • et pas réutiliser de mots de passe de comptes locaux.
    • et aussi bien faire les mises à jour des machines qui traine sur le réseau, pour éviter qu'Eve exploite une vulnérabilité qui est connue.

Conclusion

  • Eeeeeet ouais, la sécurité c'est compliqué !
  • Mais si vous avez suivi cette vidéo jusqu'ici, vous savez maintenant comment on fait pour pirater une organisation !
  • Et vous savez aussi comment la protéger !
  • il faut :
    • Tout d'abord bien mettre son annuaire à jour,
    • et vérifier que la configuration de l'annuaire est sécurisée,
    • Il faut aussi isoler les zones d'administration de l'annuaire entre elles, ça ça empêche l'attaquant de se faufiler de compte en compte.
    • Et il faut aussi segmenter le réseau, pour empêcher l'attaquant d'accéder à des zones du domaines sensibles.
  • Dans la pratique, le tiering, c'est compliqué à mettre en place.
  • Mais toutes les organisation qui sont matures en sécurité ont mis en place, au moins partiellement, des bouts de tiering.
  • Alors, il y a pas de temps à perdre !
  • Allez vous protéger !
  • Et la première mesure, c'est de vous abonner pour tout comprendre à la cyber sécurité !
  • Et de partager cette vidéo pour aider ceux qui en ont besoin.
  • Hésitez pas à me dire si vous aimeriez plus de vidéos de ce genre là,
  • Si ça vous a plu, je fais aussi des interventions pour parler de cyber, si vous voulez faire de la sensibilisation, n'hésitez pas à me contacter sur mon site internet !
  • N'hésitez pas non plus à faire un tour sur Twitch le lundi soir !
  • J'essaie de faire quasiment toutes les semaines un JT des actus cyber, et puis après, une semaine sur deux c'est une rencontre, et l'autre semaine c'est des challenges de hacking en live !
  • Dans tous les cas, prenez soin de vous, j'espère que cette vidéo vous a été utile, et que maintenant, la sécurité de l'Active Directory ... c'est votre domaine !