Skip to content

Comment sécuriser sa migration vers Office 365

Les perspectives offertes par le cloud computing en termes de coûts, de flexibilité et de capacité dépassent les ressources limitées dont la plupart des entreprises disposent dans leurs centres de données.

Pour autant, la migration des données et l’extension des identités des utilisateurs dans le cloud ne vont pas sans poser un certain nombre de risques. La compromission des identités dans le cloud peut provoquer l’exposition immédiate de fichiers sensibles qui deviennent de facto accessibles directement via Internet. En outre, suivant la manière dont la migration des données et des utilisateurs a été effectuée, les cyberattaquants peuvent tenter d’exploiter les technologies d’Active Directory sur site pour accéder aux données du cloud, et vice versa.

Dans ce livre blanc, Alsid examine les différentes options de migration d’AD sur site vers Office 365, puis expose les tactiques de défense disponibles pour Office 365 et AD sur site.

Quel est l’intérêt de gérer l’accès à
Office 365 depuis active directory ?

Office 365 est un outil gérable de manière autonome par le biais d’identités cloud hébergées dans Azure Active Directory (AAD), qui est un service de gestion des identités et des accès entièrement managé, principalement conçu pour les applications à vocation cloud exclusivement.

Ce modèle convient parfaitement aux entreprises qui ne possèdent aucun investissement Active Directory sur site. En revanche, pour celles qui contrôlent déjà l’accès à leurs ressources sur site par le biais de l’annuaire Active Directory, il n’est pas souhaitable de gérer séparément un annuaire supplémentaire dans le cloud uniquement. Pourquoi ? Parce que cela entraînerait la création de deux identités pour chaque utilisateur, d’où une augmentation des coûts et des contraintes administratives, aussi bien pour les utilisateurs que pour le personnel informatique.

La liaison entre une structure Active Directory sur site et l’annuaire dans le cloud permet de résoudre ce problème en centralisant les identités des utilisateurs autour d’un annuaire unique. Qui plus est, cette extension offre des avantages supplémentaires, dont la connexion unique transparente ou la réinitialisation des mots de passe en libre-service. Plusieurs modèles existent pour étendre AD au cloud, chacun présentant différents niveaux de complexité et de risque.

Comment étendre les identités
d’active directory à Office 365 ?

Synchronisation du hachage de mot de passe

Parmi tous les modèles disponibles, la synchronisation PHS (Password Hash Sync) représente le moyen à la fois le plus efficace et le plus rapide pour les entreprises désireuses d’étendre simplement leurs identités vers le cloud. Seul souci : PHS n’est pas la meilleure option si vous devez répliquer toutes les fonctionnalités d’AD pour les utilisateurs du cloud.

Explication : les utilisateurs peuvent se connecter à Office 365 avec leur nom d’utilisateur et leur mot de passe AD sur site, puisque PHS synchronise les hachages de mot de passe vers Azure AD (AAD). Du point de vue conceptuel, un hachage désigne la version chiffrée du mot de passe d’un utilisateur. Les mots de passe en texte clair, eux, ne sont jamais synchronisés avec le cloud. Lorsqu’un utilisateur se connecte à Office 365, la version hachée de son mot de passe est comparée à celle qui est stockée dans ADD afin de vérifier que les deux versions correspondent. En cas de concordance établie, l’accès est octroyé. Si un utilisateur réinitialise son mot de passe AD sur site, le hachage résultant est lui-même haché et synchronisé avec AAD, de sorte que le même mot de passe soit utilisable pour accéder au cloud et aux ressources sur site.

Contrairement aux identités cloud exclusives, le système informatique est capable de gérer un ensemble unique d’identités pour octroyer l’accès aux ressources sur site et à Office 365. La fonction PHS dispose également d’une connexion unique SSO qui fait que, lorsque des utilisateurs sont connectés à AD en local, leur session est également ouverte dans Office 365 sans qu’aucune action supplémentaire ne soit nécessaire de leur part. S’ajoutent à cela d’autres avantages déterminants, telle que la possibilité pour les utilisateurs de continuer à se connecter à Office 365 même si la version locale d’AD est indisponible.

Toutefois, et contrairement aux autres modèles, certaines fonctionnalités d’AD ne sont pas reproductibles dans le cloud : c’est par exemple le cas des heures de connexion des utilisateurs, qui ne sont pas prises en charge. Les entreprises ne peuvent donc pas utiliser AD pour restreindre l’accès des utilisateurs aux ressources d’Office 365. Par ailleurs, les modifications apportées à l’état des utilisateurs ne sont pas répliquées immédiatement dans Office 365 : ainsi, si vous désactivez un compte utilisateur dans AD, l’accès à Office 365 ne sera pas bloqué instantanément, ce qui constitue par essence un inconvénient majeur en termes de sécurité.

Authentification PTA

L’authentification directe PTA (Pass-Through Authentication) est conçue pour les entreprises qui ont besoin d’un contrôle plus étendu, mais souhaitent s’affranchir des contraintes liées à une architecture fédérée. De fait, l’authentification PTA exige la présence d’une infrastructure sur site, ce qui ne convient donc pas aux petites entreprises dépourvues d’assistance technique. Au lieu de synchroniser les hachages de mot de passe dans le cloud, l’authentification PTA s’appuie sur un ou plusieurs agents installés en local afin de valider les informations d’identification des utilisateurs directement auprès d’Active Directory, depuis le cloud.

Contrairement au modèle PHS, le système PTA applique instantanément les états du compte d’utilisateur sur site, ainsi que les stratégies de mot de passe et les horaires de connexion. De plus, tout comme PHS, PTA offre une fonctionnalité d’authentification unique. En revanche, PTA ne fonctionne pas avec les événements liés aux fuites d’informations d’identification, et ne prend pas non plus en charge l’intégration à Azure AD Connected Health, qui sont deux fonctionnalités de sécurité majeures intégrées à AAD et indispensables à toute routine d’hygiène d’AAD.

Authentification fédérée (avec option de combinaison à PHS

La dernière option consiste à faire appel à un service de fédération tel qu’ADFS (Active Directory Federation Services). Les services de fédération tiers sont également pris en charge. La fédération est le choix privilégié par les grandes entreprises souhaitant bénéficier de toutes les fonctionnalités de sécurité prises en charge par Active Directory. À l’inverse, elle n’est pas adaptée aux petites entreprises car sa mise en place et son administration sont lourdes.

L’authentification fédérée emploie un tiers de confiance pour exécuter les tâches d’authentification. Ce schéma peut être intégré à différents systèmes afin de fournir une valeur supplémentaire, telle que l’authentification par carte à puce ou l’identification multifactorielle via une tierce partie. En revanche, certaines fonctionnalités avancées d’AAD, dont la protection d’identité, ne sauraient se passer du modèle PHS. Si votre entreprise a besoin de fonctions AAD avancées ou d’un moyen d’autoriser la connexion à Office 365 en cas de défaillance du fournisseur d’authentification fédérée, ou même d’Active Directory, il est possible de combiner l’authentification fédérée avec le service PHS.

L’extension d’active directory dans
le cloud implique un risque

Les modèles d’authentification décrits plus haut, à l’exception des identités générées uniquement dans le cloud, fournissent tous une connexion unique aux utilisateurs, ainsi qu’un ensemble unique d’identités à gérer. Mais cette commodité ne va pas sans causer de risques, et bien que certaines attaques soient ciblées, bon nombre d’entre elles sont arbitraires. Même si vous estimez que votre organisation est hors de danger ou n’a rien de précieux à se faire dérober, cela ne signifie pas pour autant que toute compromission soit exclue.

Attaques visant les mots de passe

Du fait de son exposition à l’internet public, Office 365 peut être la proie d’attaques par force brute, c’est-à-dire de tentatives de connexion répétées de façon séquentielle dans l’espoir de découvrir le mot de passe correct. Les attaques de mot de passe via « password spraying » sont similaires, mais elles affectent plusieurs utilisateurs en même temps, afin que les mécanismes de verrouillage de compte ne puissent pas être déclenchés. Enfin, les attaques peuvent également entraîner un déni de service (DoS), qui provoque l’impossibilité totale pour les utilisateurs d’accéder à Office 365.

Déplacement latéral d’Office 365 vers Active Directory sur site

Du point de vue d’un cyberattaquant, le passage d’AAD à AD n’a rien de bien compliqué. Mais la moisson qui en résulte, elle, est suffisamment gratifiante, et donc motivante, pour que les organisations la prennent en compte dans leur liste de risques potentiels.

Certains hackers ont recours à une technique dite de PTH, ou « Pass-the-Hash », qui consiste à traverser le hachage pour s’authentifier sans connaître le mot de passe d’un utilisateur. Toutefois, si un hachage AAD a été compromis, il n’est plus utilisable directement pour s’authentifier dans AD sur site, puisque les hachages synchronisés représentent en quelque sorte des « hachages de hachages ».

Un cybercriminel n’a donc pas obligatoirement accès aux systèmes et aux données sur site si l’identité d’un utilisateur est compromise par le biais d’Office 365.

Cela étant, le fait de connaître les informations d’identification d’un utilisateur représente souvent la première étape vers un accès plus approfondi aux serveurs et aux données via l’intranet. Sitôt ces informations connues, et même lorsqu’elles sont incomplètes, les attaquants auront à cœur de les exploiter pour progresser vers leur but ultime. De même, une erreur humaine peut conduire à ce que des comptes AD sur site bénéficiant de privilèges, tels que ceux qui disposent de droits d’administrateur de domaine, voient leurs hachages de mot de passe synchronisés avec Azure AD.

Mouvement latéral d’Active Directory sur site vers Office 365

À l’inverse, si l’identité AD locale d’un utilisateur a été compromise, un attaquant peut tenter d’accéder à des données sensibles stockées dans Office 365.

Dans notre contexte hybride, la sécurité d’AAD dépend directement de celle d’AD sur site : si un attaquant parvient à établir ses marques dans l’Active Directory local d’une entreprise, sa capacité à s’authentifier dans AAD n’est plus qu’une question de temps. Suivant la méthode qui a été employée pour faire migrer les identités (PHS, PTA ou fédération), le mouvement latéral pourra, dans certains cas, se révéler marginal. Par exemple, par la réutilisation d’un hachage ou, bien plus complexe, en consistant à se déplacer latéralement sur site jusqu’à ce que les mots de passe réels et non les hachages soient interceptés, puis réutilisés dans le cloud. Quoi qu’il en soit, le résultat est le même : l’accès à AAD et à Office 365 devient possible.

En conséquence, les entreprises qui souhaitent étendre leurs opérations dans le cloud doivent nécessairement, et à titre de condition sine qua non, renforcer et surveiller leur AD sur site.

Atténuation des risques liés à la migration

Comme nous l’avons expliqué, les entreprises dont la stratégie de cloud hybride progresse doivent mettre en œuvre des stratégies d’atténuation strictes pour protéger leurs infrastructures Office 365 et AD et sur site.

Tactiques de sécurité centrées sur Office 365

Choix du modèle d’identification approprié

Bien qu’un modèle fédéré offre la meilleure sécurité qui soit, la synchronisation du hachage de mot de passe, ou méthode PHS, sera probablement la meilleure option pour la plupart des entreprises, du fait de sa simplicité et de sa capacité à prendre en charge les fonctions de sécurité avancées d’Azure Active Directory, ainsi que la détection des menaces. Pour les entreprises qui ont absolument besoin des fonctionnalités offertes par un modèle fédéré, elles pourront combiner celui-ci à l’outil PHS afin d’obtenir le meilleur des deux mondes.

Gestion des comptes dotés de privilèges

Les utilisateurs titulaires des droits d’administrateur global dans Office 365 doivent bénéficier d’une protection supérieure à celle des utilisateurs standards d’Office 365, car ils ont accès à des autorisationsleurpermettantdemodifierlesdroitsdespropriétaires, d’accéder aux données et d’exécuter des opérations globales susceptibles d’affecter le fonctionnement d’Office 365. Pour toutes ces raisons, il convient de considérer ces comptes comme étant dotés de privilèges. Les protections supplémentaires telles que l’authentification multifactorielle doivent être systématiquement activées pour les administrateurs globaux d’Office 365.

Mise en œuvre d’outils de sécurité

Compte tenu des risques inhérents à l’extension de n’importe quel système dans Internet, Microsoft fournit des outils destinés à protéger les identités et les données dans Office 365. Néanmoins, la plupart des outils et fonctionnalités de niveau avancé sont accessibles moyennant des options additionnelles, et ces options sont exclues des abonnements d’entrée de gamme. De plus, les professionnels de la sécurité doivent toujours garder à l’esprit qu’aucune de ces solutions ne peut être suffisante lorsqu’elle est considérée séparément. Une bonne défense résulte donc de la capacité à rassembler de façon cohérente des technologies étroitement protégées par des processus robustes et des ressources humaines compétentes.

Stratégies d’accès conditionnelles

L’accès conditionnel (Conditional Access) est un service Premium qui bloque l’accès à Office 365 tant que certaines conditions, dont l’utilisation de MFA, ne sont pas réunies. D’autres critères consistent à déterminer l’emplacement par adresse IP, le risque de connexion et l’application client. À titre d’exemple, il est possible de faire en sorte qu’une stratégie n’autorise les utilisateurs à se connecter que depuis une plage d’adresses IP prédéterminée ou que s’ils utilisent des programmes bureautiques Office.

Verrouillage intelligent et listes d’interdictions de mots de passe personnalisées

Le verrouillage intelligent (Smart Lockout) est conçu pour protéger les identités contre les attaques par force brute visant les mots de passe. Cette fonctionnalité est accessible à tous les utilisateurs d’Azure AD. Elle s’appuie sur un mécanisme de blocage qui intercepte les tentatives de connexion pendant une minute au bout de 10 tentatives infructueuses par défaut. Les comptes sont à nouveau verrouillés après chaque échec de connexion successif pendant une minute, voire davantage si les tentatives de connexion continuent d’échouer. La fonction empêche que le compte ne soit verrouillé en cas de saisie du même mot de passe incorrect à plusieurs reprises, sous réserve que la synchronisation PHS soit configurée. La protection par mot de passe d’Azure AD permet en outre aux entreprises de définir des listes personnalisées de mots de passe interdits, une fonctionnalité réservée aux utilisateurs titulaires de licences Premium. De surcroît, la protection par mot de passe peut être étendue à AD sur site.

Authentification multifactorielle

L’authentification MFA (Azure Multifactor Authentication) pour Office 365 dispose d’une couche de protection supplémentaire qui exige des utilisateurs la confirmation de leur identité au moyen d’un mot de passe et d’un dispositif matériel en leur possession. Une fois la fonctionnalité Azure MFA pour Office 365 activée, il devient quasiment impossible pour un pirate d’accéder à un compte, même s’il connaît le mot de passe ou a accès au hachage de ce dernier.

Il est regrettable, en revanche, qu’Azure MFA pour Office 365 n’assure pas la prise en charge de MFA pour Active Directory sur site. Azure MFA est un produit distinct qui offre davantage de fonctionnalités, dont la possibilité de sécuriser AD sur site, mais cette fonction est proposée dans les forfaits Azure AD Premium et accessible moyennant des frais.

Enfin, et d’une manière générale, bien que MFA représente un progrès majeur pour notre sécurité collective, il ne s’agit pas pour autant d’une solution miracle : si un hacker parvient à pirater AD sur site, il disposera immanquablement du pouvoir de contrôler des terminaux physiques locaux. Dans pareil cas, ledit hacker n’aura qu’à attendre patiemment que l’utilisateur de l’hôte s’authentifie de façon légitime pour commencer à se déplacer latéralement sur site ou verticalement dans le cloud.

Connexion sans mot de passe

Les entreprises ayant déployé Windows 10 peuvent tirer parti de Windows Hello Entreprise. Windows Hello permet de se connecter sans indiquer de mot de passe lorsqu’un geste biométrique, tel qu’une empreinte digitale ou un code PIN, est utilisé en lieu et place d’un mot de passe. Outre son aspect pratique pour les utilisateurs finaux, l’ouverture de session sans mot de passe permet de préserver efficacement la sécurité des identités.

Protection supérieure contre les menaces

Les fonctions de protection ATP (Advanced Threat protection) et d’investigation des menaces qui équipent Office 365 garantissent une protection supplémentaire contre les menaces contenues dans les e-mails, hyperliens et outils collaboratifs. Les règles de la fonction ATP prémunissent le système contre les menaces de « jour zéro » incluses dans les pièces jointes aux e-mails, ainsi que le blocage dynamique des liens Internet malveillants et des fichiers infectés partagés via SharePoint, OneDrive et Microsoft Teams. Une protection anti- hameçonnage alimentée par des modèles d’apprentissage automatique est également présente.

Néanmoins, ATP reste pour une grande partie une technologie fondée sur l’analyse comportementale, qui crée des modèles statistiques représentatifs d’une situation considérée comme « normale », en comparant les activités réelles des utilisateurs aux comportements escomptés de leur part. Il s’agit donc, par nature, d’une construction sujette aux faux positifs ou à des inefficacités, lesquels dépendront de la rigidité du modèle statistique employé.

Tactiques de sécurité centrées sur
active directory

Renforcement de Windows Server Active Directory

Configuration selon les règles de bonne pratique

L’outil Server Manager de Microsoft inclut l’analyseur de bonnes pratiques (BPA), dont le rôle est d’identifier les problèmes liés à Active Directory. L’outil BPA génère des rapports portant sur la sécurité, les performances, la configuration, les règles et les incidents opérationnels. Les entreprises peuvent utiliser PowerShell pour planifier l’exécution régulière de BPA dans le but d’assurer la conformité aux meilleures pratiques de Microsoft.

Le kit de mise en conformité de la sécurité SCT (Security Compliance Toolkit) est une ressource de Microsoft téléchargeable gratuitement, qui contient des bases de sécurité destinées à Windows 10 et Windows Server. Les paramètres fondamentaux peuvent être repris pour configurer les périphériques avec le paramétrage recommandé par Microsoft et renforcer ainsi la sécurité du serveur. Le kit SCT inclut également l’analyseur de règles Policy Analyzer, outil permettant de comparer les objets de stratégie de groupe (GPO) et de mesurer les objets GPO par rapport aux paramètres de stratégie dans les registres locaux.

Surveillance d’Active Directory

L’audit d’Active Directory à l’aide d’un outil tel que BPA permet d’identifier les problèmes de configuration, mais les données de ces analyses deviennent rapidement obsolètes et AD doit être surveillé en permanence pour garantir que les menaces et violations potentielles soient détectées rapidement.

Le journal des événements de Windows Server collecte les événements opérationnels, de sécurité, de configuration et de performances liés à Active Directory et Windows. Toutefois, les informations recueillies ne sont utiles que si elles sont analysées de manière indépendante pour signaler les problèmes potentiels. Étant donné que le paysage des menaces est en constante évolution, les événements collectés à partir d’Active Directory doivent être analysés par rapport à un flux de renseignements sur les menaces afin de garantir que les problèmes soient rapidement signalés et portés à l’attention du personnel informatique. Malheureusement, la mise en place d’une telle

organisation n’est guère concevable sans un outillage spécialisé. Pris séparément, les pools de talents spécialisés dans la sécurité et dans Active Directory sont déjà rares. Quant à recruter une équipe de professionnels qui cumulent les deux compétences, cela relève vraiment de la gageure. Dans de telles circonstances, l’utilisation de technologies spécialisées capables d’associer les flux de renseignements spécifiques à AD et les fichiers journaux locaux constitue le seul recours viable pour monitorer Active Directory à grande échelle.

Nous pourrions également avoir quelques idées à suggérer pour choisir la solution de sécurité adaptée à AD, mais c’est une autre affaire que nous évoquerons ultérieurement…

Comptes dotés de privilèges

Le détournement d’informations d’identification constitue l’un des principaux motifs de compromission d’Active Directory. De nombreuses organisations accordent aux utilisateurs un accès permanent à des groupes AD privilégiés tels que des administrateurs de domaine, l’objectif étant de faciliter les fonctions d’administration et d’assistance. Or, ces comptes peuvent être exploités pour compromettre Active Directory, mais aussi les comptes utilisateur sensibles ou encore les données. Les autorisations par défaut doivent donc être modifiées afin de s’assurer que le personnel informatique n’ait pas besoin de comptes AD privilégiés pour prendre en charge les périphériques des utilisateurs finaux, ni pour accomplir leurs tâches administratives quotidiennes. Lorsque les utilisateurs bénéficient d’un accès privilégié à AD, il convient d’apporter les modifications nécessaires à partir de périphériques spécialement conçus pour l’administration depuis des comptes AD dotés de privilèges spéciaux.

Par ailleurs, l’accès prioritaire aux contrôleurs de domaine doit être restreint selon des besoins ponctuels : un processus doit être mis en place afin de veiller à ce que les modifications proposées soient approuvées par les parties prenantes et à ce qu’un plan d’invalidation des changements soit mis à l’épreuve en cas d’incident

Des outils intégrés tels que la délégation, l’administration PowerShell JEA (Just Enough Administration) ou l’administration JIT (Just-In-Time) peuvent servir à accorder un accès privilégié uniquement lorsque cela est indispensable et pendant une durée limitée. Des précautions similaires doivent être adoptées avec les serveurs et les périphériques des utilisateurs finaux. La solution LAPS (Local Administrator Password Solution) peut aider les entreprises à gérer et stocker les mots de passe des administrateurs locaux.

Comments are closed.

Download pdf