Ad image
Technologie

comment le ransomware prend le contrôle du réseau

Service Com'
Service Com'
Lu il y a 8 minutes


Contents
Pourquoi des entreprises bien équipées, avec des ressources importantes, tombent-elles encore face aux ransomwares ?Le premier pivot : franchir le périmètreÀ l’intérieur : mouvements latéraux et contrôleurs de domaine AD vulnérablesExploiter la confiance : la vulnérabilité Entra ID via les « actor tokens »Du périmètre au cœur : construire une défense interneRéduire la surface d’attaqueÀ retenir

Pourquoi des entreprises bien équipées, avec des ressources importantes, tombent-elles encore face aux ransomwares ?

Il n’y a presque jamais une seule cause. Mais dans de nombreux cas médiatisés, un facteur revient de manière systématique : l’échec de l’authentification. Notre partenaire revient sur ce sujet pour mieux en comprendre les tenants et aboutissants.

Pendant des années, les petites failles dans les systèmes d’authentification étaient vues comme des risques acceptables. Difficiles à éliminer entièrement, et supposément compensés par d’autres couches de défense. Les ransomwares ont bouleversé cette logique. Aujourd’hui, les attaquants exploitent la moindre faiblesse dans les systèmes d’identité avec des conséquences dévastatrices.

Dans la majorité des attaques rendues publiques, on constate que les attaquants ont profité de failles d’authentification courantes pour s’introduire dans le réseau. Ce premier accès peut sembler mineur, mais il devient souvent le point de pivot critique permettant de se déplacer plus loin dans l’environnement ciblé.

Le premier pivot : franchir le périmètre

La première étape d’une attaque consiste à obtenir un identifiant donnant accès à un compte email, un profil administrateur, une instance cloud, un VPN ou un pare-feu. La cause initiale peut être un mot de passe volé ou faible, ou l’exploitation d’une vulnérabilité permettant de contourner totalement l’authentification.

Une fois cette faille trouvée, elle devient un point d’entrée, une tête de pont depuis laquelle l’attaquant peut s’étendre à l’intérieur du périmètre.

Ce pivot est crucial, car il permet de contourner des défenses coûteuses comme les pare-feu et d’accéder aux ressources internes du réseau. L’activité malveillante paraît légitime, car elle s’effectue via un compte utilisateur authentique.

À l’intérieur : mouvements latéraux et contrôleurs de domaine AD vulnérables

Mais les dégâts majeurs commencent après cette brèche initiale. Une fois le pied posé dans le réseau, les attaquants se déplacent latéralement, à la recherche d’identifiants plus puissants. La cible la plus simple et la plus stratégique reste souvent les contrôleurs de domaine, qui stockent les bases Active Directory (AD) du réseau.

Active Directory reste le socle des systèmes d’identité dans la majorité des environnements d’entreprise. Les contrôleurs de domaine en sont les gardiens. En compromettre un seul suffit à :

  • Élever les privilèges
  • Créer ou supprimer des comptes
  • Modifier les stratégies de sécurité (GPO)
  • Propager un ransomware sur l’ensemble du domaine

Microsoft estime que 78 % des attaques par ransomware impliquent un contrôleur de domaine compromis (en anglais), et dans 35 % des cas, il est utilisé comme vecteur principal de propagation.

Un départ modeste, des effets massifs. Tout un réseau de milliers d’utilisateurs compromis à cause d’une faille sur une interface publique, ou d’un seul jeu d’identifiants volés. C’est tout ce qu’il faut.

Exploiter la confiance : la vulnérabilité Entra ID via les « actor tokens »

Une vulnérabilité récente, découverte par le chercheur en sécurité Dirk-jan Mollema, illustre à quel point la compromission d’identité et les mouvements latéraux peuvent être puissants.

En détournant les actor tokens dans Microsoft Entra ID (anciennement Azure AD), un attaquant pouvait élever ses privilèges dans chaque tenant où une application compromise avait accès. En quelques étapes, il était possible d’atteindre un niveau Global Admin.

(Un “actor token” est un jeton d’accès utilisé pour autoriser une application à agir au nom d’un utilisateur ou d’un autre service. Mal utilisé, il peut ouvrir la porte à des privilèges inattendus dans d’autres tenants.)

La vulnérabilité est aujourd’hui corrigée, mais elle démontre comment des relations de confiance entre applications, utilisateurs et répertoires peuvent être exploitées de manière inattendue. (Analyse complète ici, en anglais)

Du périmètre au cœur : construire une défense interne

Les défenses traditionnelles bloquent les intrusions à l’entrée. Mais les tactiques modernes de ransomware s’appuient sur la confiance interne. Une fois à l’intérieur, peu d’obstacles empêchent les mouvements latéraux.

Pour contrer cela, il est essentiel de :

  • Appliquer une authentification forte, par exemple via l’authentification multifacteur (MFA), sur tous les points d’accès, y compris RDP, VPN et applications SaaS
  • Étendre la MFA aux actions à l’intérieur du réseau : pas seulement à la connexion, mais aussi lors d’actions sensibles comme l’élévation de privilèges ou l’accès à des systèmes critiques. On parle alors parfois de MFA interne, qui ajoute une vérification supplémentaire même pour les utilisateurs déjà connectés
  • Limiter l’élévation des privilèges et les déplacements latéraux
  • Surveiller les schémas d’accès et détecter les anomalies en temps réel
  • Bloquer les connexions simultanées pour éviter les abus de compte
  • Consigner et auditer toutes les activités de compte pour disposer d’une traçabilité complète

Il ne s’agit pas de mesures complexes. Ce sont des pratiques éprouvées. Mais elles sont trop souvent absentes ou mal appliquées.

Réduire la surface d’attaque

Les ransomwares s’appuient sur des comptes avec trop de privilèges et des environnements peu surveillés. La meilleure défense n’est pas toujours la plus chère, mais bien la plus cohérente.

Il faut partir du principe qu’un compte sera compromis. Puis construire des contrôles d’accès pour limiter ce qu’un attaquant peut faire une fois à l’intérieur. Cela implique :

  • Une MFA interne, comme expliqué ci-dessus
  • Des contrôles d’accès au-delà du périmètre. Cela signifie ne pas faire confiance à un utilisateur ou une machine uniquement parce qu’ils sont « dans » le réseau. Les règles doivent tenir compte du contexte : heure, appareil, adresse IP, comportement utilisateur. Cette approche correspond au modèle zero trust
  • L’application du moindre privilège, en particulier pour les comptes sensibles
  • Des alertes en temps réel sur les comportements d’accès suspects

Quand les attaquants rencontrent de la résistance à chaque étape, de la connexion jusqu’au mouvement latéral, leur attaque devient plus lente, plus bruyante, et donc plus facile à détecter.

À retenir

L’authentification n’est plus seulement une porte d’entrée. C’est le champ de bataille principal des ransomwares modernes. Que l’attaque cible un contrôleur AD interne ou se propage via les actor tokens d’Entra ID, la stratégie reste la même : transformer la confiance en compromission.

Protéger l’identité, à chaque niveau de votre environnement, n’est plus une option.

Pour les organisations qui utilisent AD sur ou hybride, des solutions qui étendent les contrôles d’accès au-delà du périmètre, comme UserLock, peuvent aider à appliquer ces pratiques sans reconfiguration complexe.



Source link

Vous pourriez également aimer

Withings présente Omnia, un miroir qui centralise les données de santé

Une importante panne informatique impacte les Hôpitaux de Paris

ZATAZ » Opération mondiale contre les plateformes de test de malwares : un réseau démantelé

ZATAZ » Itinéraire d’un pirate français au cœur d’une nouvelle tourmente judiciaire

MrBeast diffusé dans une pub raciste !

Share This Article
Article Précédent ZATAZ » Nexa lance un bachelor en cybersécurité et réseaux
Article Suivant ZATAZ » La faille qui a condamné FreeWifi_Secure
Laisser un commentaire