Passer au contenu principal
Andrew Heller, responsable marketing

Au fil de centaines de missions menées par Lares et Damovo, les mêmes problèmes fondamentaux reviennent sans cesse, que les environnements soient principalement sur site, dans le cloud ou hybrides :

  • Mots de passe faibles et politiques de mot de passe inefficaces
  • Une gestion non sécurisée des informations sensibles et une mauvaise gouvernance des données
  • Séparation insuffisante des réseaux

Les erreurs de configuration et les vulnérabilités non corrigées sont également courantes, mais ce sont ces trois domaines qui constituent systématiquement les vecteurs d'attaque les plus destructeurs.

Les mots de passe faibles : le point de départ de nombreuses attaques

Les mots de passe faibles constituent toujours l'un des moyens les plus efficaces d'accéder aux ressources d'une entreprise, qu'il s'agisse de domaines Windows, d'applications cloud ou de tout autre système intermédiaire. Les identifiants compromis à la suite d'attaques externes de type « password spraying » ou les hachages piratés lors d'attaques de domaine restent les découvertes les plus courantes.

La réutilisation des mots de passe est un problème étroitement lié. La compromission d'un ensemble d'identifiants peut ouvrir de nombreuses portes si le même mot de passe est utilisé pour accéder à un VPN, à la messagerie électronique, à des services SaaS et aux systèmes internes. De nombreux utilisateurs n'occupant pas de poste technique ne comprennent pas pleinement pourquoi il est important d'utiliser des mots de passe forts et uniques, ni à quelle vitesse un mot de passe peut être détourné à des fins malveillantes une fois qu'il a été divulgué.

Déroulement typique d'une attaque :

  • Utilisez les données OSINT et celles issues des violations de sécurité pour identifier les mots de passe déjà exposés dans des sauvegardes de bases de données et lors d'incidents antérieurs.
  • Identifiez les schémas de mot de passe courants au sein d'une organisation : nomdel'entreprise123, des mots liés aux saisons associés à des années, ou des mots courants suivis de chiffres.
  • Effectuer des attaques par « credential stuffing » et « password spraying » contre les portails et les services utilisés par l'organisation jusqu'à ce que l'accès soit obtenu.

Lutter contre les mots de passe peu sûrs est plus facile à dire qu'à faire. Les utilisateurs ont tendance à choisir des mots de passe qu'ils peuvent retenir, même s'ils sont faciles à deviner. D'une manière générale, les mesures efficaces comprennent :

  • Mettre en place des listes de mots de passe interdits et des listes de mots à éviter afin que les mots de passe courants et prévisibles soient rejetés.
  • Vérifier régulièrement l'utilisation des mots de passe et les politiques en vigueur afin d'identifier les mauvaises pratiques.
  • Mettre l'accent sur la sensibilisation des utilisateurs et le renforcement positif plutôt que sur des mesures purement répressives, afin que chacun comprenne les conséquences d'une mauvaise gestion des mots de passe.
  • Utiliser des mesures techniques telles que Microsoft Entra Password Protection et des services similaires pour limiter l'utilisation de mots de passe courants dans les environnements hybrides.

Gouvernance des données : pour les pirates, les données valent de l'or

Outre les mots de passe peu sûrs, une mauvaise gouvernance des données constitue l’un des principaux facteurs facilitant les attaques. Le partage excessif d’informations publiques sur LinkedIn, GitHub et d’autres plateformes peut révéler l’existence de systèmes internes, de configurations et d’identifiants. Au sein même du réseau, des pratiques laxistes en matière de gestion des documents et de stockage des fichiers fournissent souvent aux attaquants tout ce dont ils ont besoin pour monter en puissance.

Une gouvernance des données défaillante résulte généralement d'habitudes et d'un souci de commodité : les administrateurs et les utilisateurs dispersent les informations sensibles dans SharePoint, les partages de fichiers, les scripts et les feuilles de calcul, car c'est la solution la plus simple sur le moment. Au fil du temps, cela crée un environnement dans lequel presque tout le monde peut trouver des informations utiles s'il sait quoi rechercher.

SharePoint

SharePoint constitue souvent une source abondante d'identifiants et de paramètres de configuration sensibles. Une fois que les pirates ont pris pied dans le système et disposent d'identifiants valides, ils peuvent rechercher des termes tels que « password », « passwd », « pwd », « credential » et d'autres variantes similaires. La documentation et les fichiers de configuration contiennent souvent des mots de passe ou des chaînes de connexion codés en dur qui permettent d'accéder à d'autres systèmes.

Les environnements hybrides accentuent ce risque. À mesure que de plus en plus de documents, d'identifiants et de paramètres de configuration sont transférés vers des plateformes de collaboration dans le cloud, les sites SharePoint mal gérés et les services similaires deviennent une voie d'accès facile à des autorisations privilégiées.

Partages de fichiers

Les partages de fichiers Windows contiennent souvent des années de données accumulées. Les principaux risques proviennent :

  • Des contrôles d'accès trop laxistes sur les partages
  • Absence de politiques de conservation et de nettoyage
  • Scripts, fichiers de configuration et feuilles de calcul contenant des identifiants actifs

Des outils tels que Snaffler ont été spécialement conçus pour tirer parti de cette situation. Ils répertorient les ordinateurs et les partages à partir d'Active Directory, indexent les fichiers et utilisent des modèles et des expressions régulières pour identifier les données « sensibles », telles que les identifiants, les clés et les secrets de configuration. Les feuilles de calcul constituent une source particulièrement courante d'identifiants, car les utilisateurs les utilisent comme des gestionnaires de mots de passe informels.

Comment adopter une meilleure approche

L'amélioration de la gouvernance des données relève à la fois de la politique, des contrôles techniques et d'un changement de culture :

  • Mettez en place des règles claires interdisant, dans la mesure du possible, de stocker des mots de passe dans des documents et des feuilles de calcul.
  • Limitez le partage des fichiers sensibles à des répertoires spécifiques avec un accès au principe du « privilège minimal », et vérifiez régulièrement qui a accès à quoi, en particulier pour les partages administratifs de grande valeur.
  • Surveillez les partages de fichiers importants afin de détecter tout comportement d'accès anormal, tel qu'un utilisateur standard qui accède soudainement à des milliers de fichiers (par exemple, en utilisant les SACL de Windows et l'ID d'événement 5145 pour un audit détaillé des partages de fichiers).
  • Refonte des scripts de maintenance et d'automatisation afin d'éviter le codage en dur des identifiants, en recourant plutôt à des référentiels de mots de passe sécurisés, à des API ou à des identités gérées lorsque cela est possible.
  • Lorsque des identifiants doivent être stockés, veillez à ce qu'ils soient spécifiques à un usage précis, sécurisés et surveillés.

Les attaquants disposent d'une multitude d'outils automatisés ; les défenseurs doivent donc être à l'aise avec l'utilisation de ces mêmes outils pour combler les lacunes en matière de détection et de correction. Des robots d'indexation tels que Snaffler ou des solutions similaires peuvent être configurés pour rechercher des types de fichiers ou des modèles spécifiques, aidant ainsi les équipes de sécurité à identifier et à résoudre les problèmes avant que les attaquants ne le fassent.

Absence de segmentation du réseau : faciliter les déplacements latéraux

Une segmentation insuffisante du réseau constitue une autre faiblesse récurrente, en particulier dans les environnements moins matures. Des réseaux mal segmentés augmentent la surface d'attaque et facilitent considérablement les mouvements latéraux.

Dans un réseau correctement segmenté :

  • Les services accessibles sont réduits au strict minimum.
  • Les systèmes sont divisés en segments en fonction de leur finalité et de leur niveau de sensibilité.
  • Une faille dans une zone ne compromet pas automatiquement tout le reste.

Dans les réseaux plats ou faiblement segmentés, les attaquants peuvent :

  • Réaliser des attaques par empoisonnement ARP et d'autres attaques de type « homme au milieu ».
  • Intercepter les services réseau (SQL, HTTP, RDP, VoIP, SMB, etc.) et le trafic vers des destinations externes.
  • Voler des identifiants et contourner ou exploiter les failles des protocoles d'authentification.
  • Lancer des attaques massives côté client et propager rapidement des logiciels malveillants tels que les ransomwares.

Même lorsque des solutions de détection et de réponse aux incidents au niveau des terminaux (EDR) sont déployées, des erreurs de configuration, des failles dans les pare-feu et l'absence de segmentation exposent souvent inutilement les systèmes sensibles. Une fois que les attaquants ont pris pied dans le système, il devient difficile de contenir la brèche, et ils ont le temps de mettre en place de multiples voies d'accès et mécanismes de persistance.

Combiner les failles pour créer de véritables vecteurs d'attaque

Lorsque des mots de passe faibles, une mauvaise gouvernance des données et l'absence de segmentation du réseau se combinent, les pirates disposent de multiples voies d'attaque qui se recoupent pour parvenir à leurs fins. Les identifiants compromis leur permettent d'obtenir un accès initial ; les identifiants et les détails de configuration stockés dans des partages de fichiers ou sur des lecteurs SharePoint facilitent l'escalade des privilèges ; enfin, les réseaux plats rendent les mouvements latéraux d'une simplicité enfantine. C'est l'une des raisons pour lesquelles les ransomwares et les attaques similaires restent si efficaces dans les environnements peu sécurisés.

Ces schémas s'appliquent aussi bien aux environnements sur site qu'aux environnements cloud. Azure et d'autres plateformes cloud limitent certains risques grâce à l'application de bonnes pratiques, mais les erreurs de configuration, les failles d'identité et un partage trop permissif peuvent encore créer des failles exploitables. Lares met à disposition des kits d'attaque publics et des travaux de recherche afin d'aider tant les testeurs que les défenseurs à comprendre ces schémas dans les environnements hybrides.

Adopter une approche ascendante de votre environnement

Une méthode pratique pour réduire ces vecteurs d'attaque consiste à adopter une approche ascendante de la posture de sécurité de l'organisation :

  • Organiser des formations de sensibilisation à la sécurité à l'intention du personnel, axées spécifiquement sur la gestion des mots de passe, le traitement des données et la reconnaissance des comportements à risque.
  • Examiner la conception du réseau et prévoir une segmentation pertinente, en particulier autour des systèmes critiques et des interfaces d'administration.
  • Examiner les environnements Windows et de cloud hybride afin d'identifier les failles en matière de gouvernance des données, et étayer les politiques par des contrôles techniques applicables.
  • Privilégiez la prévention dans la mesure du possible et, lorsque celle-ci n'est pas envisageable, veillez à ce que les mécanismes de détection et d'intervention soient adaptés et testés régulièrement.

Comment Damovo et Lares peuvent vous aider

Damovo aide les organisations à concevoir, intégrer et exploiter des réseaux sécurisés, des plateformes de collaboration et des environnements cloud, en mettant particulièrement l'accent sur la visibilité et le contrôle. Lares, qui constitue la branche de sécurité offensive de Damovo, teste ces environnements à la manière de véritables pirates informatiques, mettant en évidence les mots de passe faibles, les lacunes en matière de gouvernance des données et les failles de segmentation grâce à des tests d'intrusion, red teaming et des évaluations des menaces internes.

Ensemble, Damovo et Lares peuvent vous aider à :

  • Identifiez les voies d'accès réelles que les pirates pourraient utiliser pour compromettre votre environnement.
  • Donner la priorité aux mesures correctives dans les domaines de la gestion des identités, de la gouvernance des données et de la conception du réseau.
  • Valider les améliorations mises en œuvre au moyen de tests adversariaux, en s'appuyant sur les rapports de menaces et les référentiels tels que le « Threat Landscape » de l'ENISA et le NIST CSF.

Si vous souhaitez identifier les failles de votre environnement les plus susceptibles d'entraîner une compromission totale, et savoir comment les corriger de manière concrète, Damovo peut vous guider à travers une démarche d'évaluation adaptée à votre contexte.

parler à nos experts
Rejoignez plus de 10 000 autres personnes sur la liste de diffusion Damovo pour recevoir les dernières informations et du contenu exclusif.
Abonnez-vous dès maintenant