La conquête par les privilèges

Aucune stratégie ou mesure de sécurité ne saurait être un gage d’invincibilité. Réputé quasi insubmersible en raison de ses 16 compartiments étanches et d’un double fond, le <em>RMS Titanic</em> a pourtant coulé en moins de trois heures, en avril 1912, lorsque six de ses caissons ont été éventrés par un iceberg, dans un… mouvement latéral...

CHRONIQUE / Dans le conte du Petit Chaperon rouge, le loup dévore Mère-grand après s’être introduit dans la chaumière et se glisse dans le lit de la vieille femme; il peut alors, sous cette identité volée, abuser d’une relation de confiance et accéder à la ressource qu’il convoite. Charles Perrault décrivait ainsi, dès 1697 dans Les Contes de ma mère l’Oye, ce qu’en cybersécurité on désigne aujourd’hui comme une élévation frauduleuse de privilèges.


 Car il ne suffit pas, pour un pirate, de percer les défenses extérieures d’un système; après avoir «tiré la chevillette» et «fait choir la bobinette», encore lui faut-il faire tomber les cloisons internes qui le séparent, une fois à l’intérieur, de son objectif.

Des cloisons qui, notamment, se présentent sous la forme de droits d’accès et de privilèges variables, octroyés ou non selon l’utilisateur. De sorte qu’un premier compte compromis (au moyen d’un hameçonnage, d’un mot de passe ayant fuité lors d’une brèche antérieure, etc.) ne garantit pas d’accéder directement aux actifs informationnels de haute valeur.

Pour y parvenir, l’attaquant qui prend pied dans un réseau doit donc, le plus souvent, élever ses privilèges en usurpant d’autres identités; à plus forte raison s’il vise à s’emparer du compte détenant les pouvoirs ultimes — celui qui, tel l’Anneau unique de Tolkien, règne en maître sur tous les autres : l’administrateur de domaine.

Segmentation et moindre privilège

Cloisonner, lorsqu’il s’agit d’atténuer une menace, relève de ce qu’on nomme la défense en profondeur. On retrouve déjà cette stratégie dans l’architecture des forts militaires à enceintes multiples de l’illustre Vauban (1633-1707), qui avait très bien compris que la seule défense périmétrique des anciens murs médiévaux ne pouvait plus suffire, face à la puissance de feu des canons à boulets métalliques.

De la même façon, faire aujourd’hui reposer la sécurité d’un réseau informatique sur son périmètre seul — sur ce qu’il expose à l’externe, physiquement ou sur Internet — reviendrait à ne disposer que d’un seul niveau de protection. Bien mince, au demeurant!

D’où l’importance d’organiser ses défenses avec, pour postulat, que la menace se trouve déjà à l’intérieur des murs; en raison d’une compromission du périmètre qui adviendra tôt ou tard, et aussi pour se prémunir d’erreurs involontaires d’utilisateurs légitimes pouvant affecter le système et ses données.

Or, diviser un réseau en zones relativement étanches et n’octroyer à chaque compte que les droits minimums requis (la fameuse règle du moindre privilège) vise précisément à segmenter les pouvoirs, dans une succession de barrières permettant d’éviter des accidents, tout comme de stopper — sinon ralentir — l’ennemi.

Mouvement latéral

Aucune stratégie ou mesure de sécurité, cependant, ne saurait être un gage d’invincibilité. Réputé quasi insubmersible en raison de ses 16 compartiments étanches et d’un double fond, le RMS Titanic a pourtant coulé en moins de trois heures, en avril 1912, lorsque six de ses caissons ont été éventrés par un iceberg, dans un… mouvement latéral.

Une expression qui désigne précisément, en cybersécurité, la compromission en cascade de comptes ou machines et de leurs privilèges associés à la manière de dominos, parfois jusqu’à l’administrateur de domaine, en suivant souvent un chemin prédéterminé en amont par des activités de reconnaissance.

Ce déplacement latéral sait exploiter les faiblesses de configuration, les vulnérabilités technologiques et les mauvaises pratiques au sein d’un réseau cible. Notamment lorsque trop de comptes disposent de droits élargis; que de tels comptes se connectent à plusieurs machines, y laissant en mémoire leurs informations d’authentification; ou que des protocoles désuets et vulnérables sont toujours en usage (comme NetBIOS et LLMNR).

En outre, KPMG constate fréquemment l’absence de certains correctifs et contrôles de sécurité pourtant critiques, au risque d’une compromission par le pirate du compte administrateur de domaine — notamment par des attaques très en vogue comme Sam-the-admin/NoPac et PetitPotam.

Dans certains cas, il suffit même à l’attaquant de fouiller dans un script d’automatisation ou dans l’annuaire d’entreprise (ex. : Active Directory) pour y trouver un mot de passe en clair, ou alors de tenter un même mot de passe jugé hautement probable, une seule fois sur chaque compte, pour ne pas les bloquer après quelques essais infructueux (technique d’épandage, ou password spraying).

Évaluer, corriger, renforcer

Bref, les méthodes ne manquent pas; sans compter que certaines se retrouvent automatisées par des programmes malveillants pour se propager plus efficacement. Déjà en 2017, une vulnérabilité identifiée par la NSA et exécutant du code à distance sur une machine tierce — EternalBlue — s’était trouvée incorporée au rançongiciel WannaCry.

Si bien qu’une posture strictement défensive — quoiqu’essentielle — s’avère insuffisante, et que les plus avisés s’emploient désormais à adopter le point de vue de l’attaquant lui-même.

Il est ainsi possible d’identifier proactivement et de condamner les chemins pouvant être empruntés pour compromettre l’ensemble du système à partir d’un compte standard, à l’aide des mêmes outils de reconnaissance qu’utilise le pirate — comme BloodHound.

C’est également l’objectif des tests d’intrusion, qui simulent des attaques — notamment sur l’annuaire d’entreprise Active Directory — au moyen des mêmes méthodes que celles observées en situation réelle et catégorisées par la norme d’industrie MITRE ATT&CK.

De telles évaluations sont à la fois l’opportunité d’un apprentissage pour les analystes chargés de protéger le réseau, et d’une amélioration en continu des contrôles technologiques de sécurité. Elles contribuent significativement à une défense en profondeur, qui doit faire l’objet d’attention et de renforcement constants.

Eût été l’application de ce principe, Mère-grand aurait probablement dormi avec un mousquet, et l’issue du conte de Perrault aurait alors été bien différente.