Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Le piratage des mots de passe de Microsoft prouve que la sécurisation de chaque compte est importante
Ce vendredi 19 janvier, Microsoft publie un communiqué indiquant que son réseau d’entreprise a été compromis par des pirates de l’État russe, qui ont réussi à exfiltrer des courriels et des pièces jointes. Le géant a déclaré que seul un « très faible pourcentage » des comptes de messagerie de l’entreprise avait pu être consulté par les pirates, bien que cela ait pu concerner des membres de la direction et des employés travaillant dans les équipes de cybersécurité et juridiques.
Les pirates ont été identifiés comme étant des acteurs parrainés par l’État russe, connus sous le nom de Midnight Blizzard (ou parfois Nobelium), et Microsoft soupçonne qu’ils cherchaient des informations les concernant eux-mêmes. Ce groupe est également responsable du tristement célèbre piratage de SolarWinds, l’une des pires atteintes à la cybersécurité du 21e siècle.
Microsoft ne pense pas que les clients soient affectés à ce stade et déclare qu’aucun système de production, code source ou système d’intelligence artificielle n’a été touché. Il est intéressant de noter que dans cette attaque, les pirates n’ont pas exploité un système Microsoft ou la vulnérabilité d’un produit – ils ont simplement réussi à deviner un mot de passe faible ou compromis connu sur un compte de test inutilisé.
Selon Darren James, Senior Product Manager chez Specops, « des compromissions comme celle-ci nous montrent que même les organisations les plus puissantes peuvent être victimes d’attaques continues et agressives, observées à l’échelle mondiale. Les principes fondamentaux de la sécurité sont essentiels pour suivre le rythme et garder une longueur d’avance sur les cyber-attaquants. »
Résumé de l’attaque
La cible : Microsoft
Le type d’attaque : Prise de contrôle de comptes, exfiltration de données
La technique d’entrée : Pulvérisation de mot de passe, possibilité d’escalade des privilèges
Les dégâts : Accès aux courriels et aux fichiers des cadres supérieurs, de l’équipe de cybersécurité et de l’équipe juridique
Les responsables : Des pirates informatiques de l’État russe (Midnight Blizzard/Nobelium)
Comment l’attaque s’est-elle produite ?
D’après le communiqué de Microsoft, l’équipe de sécurité a détecté le piratage le 12 janvier. Après avoir déployé son processus de réponse, elle a pu interrompre les activités des pirates et leur interdire tout accès supplémentaire. Toutefois, il semble que les pirates aient eu accès aux données de l’entreprise pendant sept semaines.
Microsoft n’a pas encore fourni tous les détails car l’enquête est en cours, mais la société a confirmé que les pirates s’étaient introduits en utilisant une attaque par pulvérisation de mot de passe, une technique de force brute qui consiste à essayer le même mot de passe sur plusieurs comptes. Dans ce cas qui nous intéresse, ils ont réussi à compromettre un compte de test de non-production pour pénétrer le système de Microsoft. D’après les informations rendues publiques par Microsoft, il semblerait que ce compte de test disposait d’un nombre inhabituel de privilèges au départ, ou que les pirates ont été en mesure d’escalader leurs privilèges.
En clair, les pirates ont rapidement bombardé les comptes d’utilisateurs avec un mot de passe faible et compromis connu jusqu’à ce qu’une combinaison fonctionne. Une attaque par pulvérisation de mot de passe réussie signifie généralement qu’aucune solution d’authentification multifacteurs n’est en place. Il est également très probable qu’un mot de passe faible ou réutilisé ait été impliqué, car c’est bien ce type de mots de passe qui constitue les listes de mots de passe utilisées dans les attaques par force brute par les pirates. À partir de là, ils ont pu accéder à des comptes de courrier électronique appartenant à des cadres supérieurs et à ce que l’on peut supposer être des informations internes sensibles.
L’analyse de Specops : quelles leçons pouvons-nous tirer du piratage de Microsoft ?
On entend souvent qu’il convient d’accorder une attention toute particulière à la protection des comptes privilégiés, car ce sont eux qui ont la plus grande portée et le plus grand nombre d’accès. Pourtant, cette attaque démontre l’importance de protéger tous les comptes. L’escalade des privilèges signifie que les attaquants n’ont pas nécessairement besoin d’un compte administrateur pour atteindre leurs objectifs. Un compte périmé ou inactif fait bien l’affaire – ce genre de comptes étant souvent ignoré et ayant généralement des mots de passe anciens, faibles voire inexistants. Les attaquants peuvent alors, à partir de leur point d’entrée initial, pénétrer plus profondément dans un réseau, à la recherche d’actifs de grande valeur.
Nous ne savons pas si les protections développées par Microsoft (Entra Password Protection) étaient appliquées au compte en question, mais il est probable qu’elles ne l’aient pas été. Cependant, il est également possible que ces protections aient été appliquées et que cette attaque ait tiré profit de certaines failles d’ Entra Password Protection.
N’importe quel compte utilisateur disposant d’identifiants de connexion est susceptible d’être une victime initiale. Un pirate habile peut exploiter un compte d’utilisateur avec des privilèges de niveau inférieur en étendant l’accès du compte volé, en se déplaçant horizontalement entre des comptes avec des niveaux de privilèges similaires, ou en sautant verticalement vers des comptes avec plus de privilèges comme les comptes administrateurs ou ceux des équipes informatiques.
Une fois qu’un pirate a obtenu l’accès à des informations d’identification, il est considéré comme un utilisateur légitime. À partir de là, il est difficile à détecter (c’est pourquoi Microsoft a mis des semaines à détecter la présence de Midnight Blizzard) et cela lui laisse le champ libre. Il peut obtenir plein d’informations, rassembler plus d’informations d’identification, augmenter leurs privilèges et même effacer leurs traces.
Darren James, chef de produit principal chez Specops, ajoute : « Plusieurs éléments entrent en ligne de compte, mais il s’agit principalement d’une défaillance fondamentale dans l’attribution des informations d’identification et d’un manque de contrôle. Une politique de mots de passe sécurisée est indispensable au sein d’une organisation, afin de s’assurer que tous les comptes, y compris les anciens comptes, les comptes de non-production et les comptes de test, ne soient pas négligés. De plus, le blocage des identifiants compromis connus ajoute une couche de protection supplémentaire pour freiner les attaques actives, ce qui aurait pu être utile dans ce cas. »
« Étant donné que Microsoft fait partie intégrante du tissu économique mondial, ce type d’attaque devrait inciter chaque administrateur à s’assurer que les principes de sécurité de base sont en place. Ces protections de base devraient inclure une politique de mots de passe robuste, une authentification multifactorielle et des correctifs réguliers, le tout soutenu par une équipe de direction impliquée et bien informée. »
Protégez tous les comptes Active Directory contre la pulvérisation de mots de passe
Ce cas prouve que n’importe quel compte utilisateur au sein d’une organisation représente une opportunité pour les attaquants – des comptes administrateurs privilégiés aux comptes de test inactifs et oubliés. Avec une combinaison de prévention et de détection continue, vous pouvez protéger chaque compte contre les attaques par force brute :
- MFA : L’activation de la MFA constitue un obstacle supplémentaire pour les pirates. Cependant, il existe des moyens de contourner la MFA, il est donc important de commencer par sécuriser tous les comptes avec un mot de passe fort.
- Audit de l’Active Directory : Un audit de votre Active Directory peut vous donner une visibilité sur les comptes inutilisés et inactifs, ainsi que sur d’autres vulnérabilités liées aux mots de passe. Cette étape peut s’avérer précieuse, mais n’oubliez pas qu’elle ne fournit qu’un instantané et ne permet pas d’atténuer les risques de manière continue. Un audit vous intéresse ? Lancez une analyse en lecture seule avec notre outil d’audit gratuit et obtenez un rapport interactif exportable.
- Renforcez votre politique en matière de mots de passe : Votre politique en matière de mots de passe doit empêcher les utilisateurs finaux de créer des mots de passe faibles composés de termes de base courants ou de séquences de clavier telles que « qwerty » ou « 123456 ». Le fait d’imposer des mots de passe longs et uniques ou des passphrases constitue une solide défense contre les attaques par force brute. Les politiques les plus efficaces comprennent également des dictionnaires personnalisés qui bloquent les termes liés à votre organisation et à votre secteur d’activité.
- Analyse des mots de passe compromis : Des mots de passe même forts peuvent être compromis par les utilisateurs finaux qui réutilisent des mots de passe de travail sur des appareils personnels, des sites et des applications dont le niveau de sécurité est faible. Vous devriez envisager d’ajouter des outils pour analyser votre Active Directory à la recherche de mots de passe compromis connus pour avoir été trouvés dans des fuites de données. Gardez en tête que certaines solutions n’analysent votre environnement AD uniquement lors des réinitialisations, alors que des solutions comme Specops Password Policy avec Breached Password Protection peuvent analyser en continu les mots de passe compromis dans votre environnement.
Vous souhaitez améliorer votre sécurité d’accès ? Contactez un expert Specops dès aujourd’hui.
(Dernière mise à jour le 29/01/2024)