Cyberattaque Pass the Hash : Comment s'en protéger ?
Bonjour à tous. Aujourd'hui, nous allons vous présenter un petit webinaire autour du Pass the Hash. Je vais être accompagné de Mathieu ADELAIDE, qui est notre consultant sur le sujet qui va vous présenter la partie technique, et moi-même, Jérôme BEAUNE, directeur des opérations chez PI Services. Je vais vous faire une petite introduction pour présenter PI Services très rapidement et le service managé. Je vous propose de démarrer. L'idée, c'est qu'on va vous passer tous les concepts du Pass the Hash, les principes, comment ça fonctionne, et surtout après, comment s'en protéger. Comme vous allez voir, on va vous parler un peu du service managé, et à travers le service managé, on a mis en place un ensemble de services qui vont vous permettre justement de pouvoir minimiser les risques et les impacts de ce type d'attaque. Voilà donc ça c'est effectivement l'objectif donc on en a à peu près pour 45 minutes ensemble et puis vous pourrez poser toutes vos questions à la fin. Très rapidement, l'objectif n'est pas de faire une présentation commerciale de PI Services, mais en quelques mots, on a 25 ans, c'est une société qui est spécialisée dans tout ce qui est architecture, fortement orientée Microsoft, on était vraiment spécialiste Microsoft et maintenant on s'est ouvert à d'autres technologies. On travaille sur trois types d'environnement, la partie on-prem, la partie hybride, la partie cloud, cloud privé, cloud public. Et on va graviter autour de cinq domaines d'expertise, la partie identité, tout ce qui est sécurité, donc un des points qu'on va voir aujourd'hui, la partie infrastructure, la partie collaborative, tout ce qui est communication unifiée, et la partie endpoint, tout ce qui est poste de travail et autres. Ensuite, on est une ESN, les grands classiques, on va vous accompagner autour d'audits et de conseils, autour des notes de cadrage, du design d'infrastructures, du conseil financier, des audits de sécurité. Sur ces parties-là, c'est notre premier axe de communiqué. Le deuxième, bien sûr, c'est la mise en œuvre de toutes ces parties. C'est la mise en œuvre des infrastructures, la mise en œuvre d'accompagnement, des modes SaaS, des modes GAS, de l'accompagnement de ces projets, tout ce qui est gestion du changement. Ça fait partie du deuxième axe principal. Et le troisième, c'est le service managé, sur lequel aujourd'hui, on va pouvoir vous parler d'un ensemble de services justement pour se protéger de ce type d'attaque Pass the Hash. Dans le métier du service managé, nous avons, on va dire, trois métiers principaux, qui sont la partie MCO, donc c'est du maintien en conditions opérationnelles. Dans toute cette partie maintien en conditions opérationnelles, on va travailler sur des actions, on va dire, récurrentes. Dans ces actions, elles sont très larges. Là, on va, à la fin de la présentation, vous montrer sur quel axe nous allons travailler, ce qui est mises à jour, sur tout ce qui est études de log, etc. Donc, encore une fois, orienté sur le type d'attaque Pass the Hash. Et après, il y a tout ce qui est partie support ou accompagnement, en cas de type d'attaque, au cas où. Et aussi, on peut faire des demandes, des demandes d'audit, de conseils, pour travailler sur la partie audit de sécurité, par exemple, du Tiering model, pour siloter les droits ou ce genre de choses. Tout ce qui est filtrage, tout ce qui est flux, Donc il y a tout un ensemble de pannels de services ou d'audits de travail qu'on peut vous proposer sur, encore une fois, cet axe sécurité aujourd'hui. Comme je vous le disais, les périmètres, c'est infrastructure, logiciel, réseau, sécurité, support, interpose de travail. Ça, c'est effectivement tous les périmètres techniques sur lesquels on travaille. Et pour vous présenter quelques références, la logique du service managé, c'est de travailler sur toute ou partie de l'infrastructure de nos clients. Donc là, pour vous donner des exemples sur la partie OCD, on va travailler essentiellement sur la partie support expertise. On va dire sur la partie aussi avec du support premier Microsoft. Le ministère de l'Agriculture a travaillé sur tous les axes du MCO, de vente de supports, mais uniquement sur la partie messagerie. CityOne on a travaillé sur l'ensemble des axes, on a géré de A à Z l'ensemble du SI de CityOne, Radio France pour le support, et aussi on fait de l'expertise, par exemple, sur Radio France on travaille sur des projets de Tiering model, de silotage de droits et d'isolation de comptes, qui est un des sujets qui est important aujourd'hui dans le cadre du type d'attaque qu'on vient de vous expliquer. Voici d'autres références. L'objectif n'est pas de tout détailler et surtout de vous présenter la suite. Comme je vous le disais, je suis accompagné de Mathieu. Voilà, donc il va vous présenter la suite de cette présentation sur l'attaque Pass the Hash.
Bonjour, je me présente, Mathieu ADELAIDE, je fais partie de PI Services depuis quelques années maintenant. Je travaille majoritairement autour de l'Active Directory et de l'identité. Aujourd'hui, on va essayer vulgairement de présenter le principe et le fonctionnement d'une attaque Pass the Hash. On essaiera de ne pas trop rentrer dans le détail pour ne pas perdre tout le monde. Si vous avez des questions, on regardera à la fin pour essayer d'y répondre. Si on commence au début, l'attaque Pass the Hash peut avoir différents motifs tels que l'espionnage industriel, la remonte de données, le chantage ou la demande de rançon, la volonté de nuire au SI, le départ d'un salarié qui se passe mal, ça peut arriver, ou le challenge, si on regarde, on surmonte un peu dans l'actualité, on a vu que certains groupes avaient tenté des attaques envers des sociétés juste par envie, par défi, se dire tiens, je vais y arriver. Donc, il n'y a pas forcément toujours une action ou une pensée de nuire, mais une fois que quelqu'un est dans le système, le problème c'est qu'on ne sait pas pour combien de temps et on ne pourra jamais être sûr qu'il n'y est plus jamais. À moins de reconstruire le SI, chose qu'on a tous envie d'éviter. Comment y faire face ? Ça va être la partie qui va en découler. Aujourd'hui, L'attaque, la plus facile à comprendre, on va présenter, Pass the Hash, a souvent un but. Ça peut être de l'exfiltration de données, de l'escalade de privilèges, ou de la compromission d'autres ressources dans le domaine. Souvent, ça sera dans la volonté d'avoir une escalade de privilèges. Alors, les définitions. Pour comprendre l'attaque Pass the Hash, je vais donner quelques définitions. Ça devrait être plus simple de l'appréhender. Vulgairement, l'attaque Pass the Hash, c'est une simple usurpation d'identité. Ça consiste à usurper l'identité d'un tiers, que ce soit un utilisateur standard, un administrateur ou autre, en récupérant le couple login et le Hash de 100 mots de passe. C'est bien gentil, mais peut-être que le Hash ne parle pas à tout le monde. Donc on va essayer de définir ce qu'est un Hash. Un Hash est simplement le produit d'une opération mathématique. Si je dis ça, ça n'arrête pas forcément, mais on va essayer de comprendre un peu plus loin ce que c'est réellement. D'où est-ce qu'il vient ? Durant la phase d'authentification, vous saisissez votre login et votre mot de passe, mais en réalité, ce n'est pas le mot de passe qu'elle vous a envoyé pour validation à l'Active Directory. Votre mot de passe, il n'en a aucune idée. Lui, ce qu'il stocke, ce sont des Hash de mots de passe. Lorsque vous validez votre mot de passe, ce dernier passe à travers une fonction de hachage qui va le transformer en une chaîne de texte qui sera, elle, soumise au KDC pour validation et obtention d'un ticket Kerberos. Donc, voilà. Le hash et le logging, c'est bien, mais le logging, à la limite, je peux le trouver si je comprends un peu la mécanique de la société, si j'ai trouvé l'utilisateur. Mais le hash, où est-ce que je peux le trouver ? Eh bien, tout simplement dans la machine. Une fois que la phase d'authentification est réussie, le Hash est stocké dans la mémoire, le LSASS. Ça a un but simple, c'est qu'à chaque fois que vous accédez à une ressource, vous devez soumettre vos identifiants pour accéder à une ressource. L'avantage de LSASS, c'est de pouvoir réutiliser ces identifiants à la manière d'un SSO afin de vous éviter à chaque fois de ressaisir le login et le mot de passe dès que vous cliquez sur un répertoire, sur un dossier, sur un fichier, ou quoi que ce soit. On va donc aborder le concept de l'attaque. Une fois qu'on sait tout ça, c'est un peu plus facile de le comprendre. En gros, quand une session est en cours sur un système, les informations d'identification sont stockées dans le processus "LSASS.exe". L'attaque Pass the Hash, c'est un concept tout simple, c'est prendre ce processus, le dumper, en faire un fichier, récupérer un dump de ce processus, et ensuite, récupérer le dump, l'exporter soit sur une clé USB ou ailleurs. Comme ça, je peux avoir l'occasion d'aller l'exploiter tranquillement dans mon coin et pouvoir faire une demande de ticket Kerberos au nom des Credentials que j'ai dérobés. La portée de l'attaque est simple. Elle concerne les mêmes droits que le compte que vous avez usurpé et elle va bénéficier d'une durée assez sympa, c'est que tant que l'utilisateur ne change pas le mot de passe, le hash reste inchangé, donc vous pouvez vous resservir de cette attaque autant qu'il vous plaît, tant que le mot de passe n'est pas changé. On va essayer de voir maintenant comment ça fonctionne. Le fonctionnement de l'attaque passe de hash se déroule en quatre étapes. Elles ne sont pas toutes faciles à mettre en œuvre, ça c'est sûr, mais en même temps, une fois qu'on a listé les quatre étapes, ça paraît quand même déconcertant de facilité. La première étape va consister à obtenir le droit administrateur local sur une machine. Ce n'est pas forcément la plus simple à mettre en œuvre, mais on verra que dans certains cas, ce n'est quand même pas très difficile. La deuxième, faire un dump du processus LSASS. Encore une fois, c'est une des choses les plus faciles à faire dans le sujet qui nous intéresse. Le seul inconvénient, c'est de ne pas se faire détecter par certains processus. Ensuite, un export du dump peut l'exploiter. C'est simple, une simple clé USB vous suffira. Et finalement, obtenir un ticket Kerberos. Vous allez voir qu'avec un Mimikatz, ce n'est pas difficile. Bien sûr, je ne vais pas détailler toutes les possibilités pour arriver à compromettre une machine. Ça ne serait pas très éthique de ma part, et il existe de nombreux moyens d'y parvenir, tous plus ou moins discutables. Et aujourd'hui, Internet regorge de bonnes idées si vous avez envie de vous amuser. Moi, je vais partir sur un cas simple, on va dire. Simplement, on a tous connu des services informatiques, ou même des plateaux d'utilisateurs, quelqu'un s'en va sans verrouiller sa session. Il suffit d'une clé USB, d'accéder à la machine, c'est déjà un début. Notamment si la personne est administrateur de son poste. C'est encore plus simple, je n'ai pas besoin de m'amuser à essayer de faire du contournement de l'escalade. Comment obtenir droit d'administrateur sur une machine ? Il y a des cas de figure qui vont être simples ou plus compliqués. Il y a certains produits antivirus et EDR ou des politiques de sécurité qui peuvent être renforcées dans les entreprises. Ça, je le conçois, je suis d'accord avec vous. Maintenant, si on s'appuie sur certains principes de Microsoft qui sont embarqués, tels qu'on a tous un PC portable, on rabat le capot, il passe en veille, ce qui se met en route, un fichier d'hibernation. Ça fait juste un dump de tous les processus qui sont stockés dans la machine pour récupérer le fichier d'hibernation. On a fait le dump. Ce n'était pas plus dur que ça. Il y a différentes solutions, différentes actions. On ne va pas tout détailler. On va en présenter une. Là, on va faire une petite démo. Dans la démo, on va prendre la partie la plus simple que j'arrive encore à croiser assez souvent dans certaines entreprises. Un poste d'USI avec un administrateur qui est parti simplement soit prendre un café, soit aller aux toilettes sans verrouiller sa session. On va voir ce qu'on peut faire avec. Alors, la démo. J'arrive sur un poste d'un utilisateur sur lequel j'ai juste à me connecter. Je vais vérifier. Je suis sur un poste du domaine et je suis sur le poste apparemment de Jgreen. Alors, il ne va pas falloir énormément de séquences pour être tranquille. Comme je n'ai pas envie de me faire attraper et déclencher les alarmes de partout. Je vais juste dire à Windows Defender qu'il n'a pas besoin de regarder ce que je suis en train de faire. Et donc, je vais ouvrir le gestionnaire de tâches. Je vais aller chercher le processus "lsass.exe". Je fais créer un même file. J'ouvre le répertoire. Comme j'ai demandé à Defender de ne pas scanner ici, je m'aperçois que dans le répertoire de John Green, maintenant, j'ai un processus "lsass.dmp". J'ai juste une copie à faire. Je le balance sur ma clé USB. Je ferme tout gentiment. Je ferme les fenêtres. Si vous avez le courage, vous effacez les logs de l'Event Viewer. Vous verrouillez la session si vous êtes gentil. Comme ça, la personne ne s'en rend même pas compte quand elle se revient. Et tout se passe bien. Vous partez avec votre clé USB. C'est terminé.
Et en combien de temps ça ?
On vient de faire les clics. Il a fallu 15 secondes.
Ok.
Maintenant, tranquillement, je rentre chez moi. Ou alors, je repars m'asseoir à ma place. Ça dépend si je suis dans l'entreprise. Le mieux, ça reste quand même d'être dans l'entreprise parce que ça permet quand même d'avoir accès au réseau de l'entreprise. Et là, typiquement, je vais être sur mon poste à moi qui n'est pas du tout dans le domaine. Je suis connecté avec mon compte. La seule chose que j'ai, c'est que j'arrive à accéder au réseau du domaine parce que pas très bien protégé. J'ai juste eu à brancher un câble réseau sur mon poste et j'ai pu obtenir du réseau gratuitement. C'est sympa. Du coup, j'ai copié mon dump dans mon répertoire. J'ai récupéré mes infos, j'ai plus qu'à aller m'amuser. Alors, on ne va pas perdre de temps, j'ai copié les commandes ici, ce qui nous fera gagner du temps. On va donc utiliser l'outil que tout le monde connaît, si vous ne le connaissez pas, l'outil de Benjamin Delpy et Vincent Le Toux qui s'appelle Mimikatz. Voilà, c'était sûr. Je me suis amusé avec une machine Windows, donc forcément chez Defender, et Defender, dès qu'on compile, a toujours un petit souci avec Mimikatz. Heureusement pour moi, il ne mange pas le zip. Je ne craignais pas l'effet démo, j'aurais dû. Nous voici donc revenu, j'ai donc Mimikatz qui est lancée, j'ai besoin de me mettre en privilège des bugs, il y a très bon tuto sur Mimikatz, vous trouverez des choses super si vous avez envie de chercher, vous avez notamment The Hacker Recipes, Je vais charger "sekurlsa::minidump". Je vais lui dire d'aller chercher le dump qu'on vient de compter. Il est chargé. Je vais donc maintenant extraire les identifiants présents dans le dump. Et donc, comme on peut le voir, j'ai bien le compte de Jgreen dans le domaine lab j'ai le HNTLM. Jusque là, rien de bien compliqué. On a récupéré les informations de l'utilisateur. Je peux construire ma commande. Je vais donc maintenant utiliser Mimikatz une nouvelle fois, en lui demandant de me générer une demande de ticket Kerberos basée sur une attaque Pass the Hash. J'ai donc une nouvelle fenêtre qui va me permettre d'aller chercher quelques petites infos. Je vais aller dans mon ordre de jeu, les PSTools, et on va faire un petit PSExec en essayant d'atteindre, je ne sais pas, qu'est-ce qui m'intéresse dans la société ? Le serveur de fichiers, ça peut être sympa. Et bien PSExec.exe, le nom du serveur, une invite de commande, le réseau doit être sécurisé ou pas. Je suis maintenant sur le serveur 0.1 connecté en tant que Jgreen. Effectivement, j'ai obtenu un ticket Kerberos avec les mêmes droits que Jgreen depuis une machine hors domaine. Et donc ça, sans alerter un EDR, sans alerter un Defender puisqu'il a juste fallu dire à Defender de ne pas scanner l'endroit où je déposais le dump. Voilà. C'était aussi simple que ça. Du coup, on a pu voir maintenant que c'était assez facile à exploiter. Donc, s'en prémunir, c'est très compliqué. C'est-à-dire, aujourd'hui, empêcher une attaque Pass the Hash, j'ai envie de vous dire, c'est presque pas possible. C'est pas impossible, c'est très compliqué. Tout évolue, il y a des failles de sécurité assez récurrentes. Maintenant, il y a quand même des bonnes pratiques et de bonnes choses pour essayer de limiter son exposition et la surface d'attaque. Dans un premier temps, on peut déjà s'appuyer sur les technologies natives. Par exemple, avoir un parc à jour. Le patch management reste quand même quelque chose d'important dans une société. Malheureusement, il est souvent délaissé ou mal suivi. Et un SI qui n'est pas à jour est un SI qui reste quand même vulnérable. Activer Windows Defender Credential Guard, est une bonne chose. Ça va mettre une couche de sécurité supplémentaire. C'est bien, avant de l'activer, de s'intéresser au produit, savoir ce qu'il fait, pourquoi, comment. Chaque action a quand même des impacts, activer les firewalls et bloquer le trafic inutile. Aujourd'hui, on croise beaucoup de gens qui désactivent le firewall Windows sur les serveurs parce que c'est plus simple, ça va plus vite et qu'il n'y a pas besoin de s'embêter à créer les règles. Maintenant, pour faciliter le mouvement latéral, c'est la meilleure des solutions. On peut aussi s'appuyer sur le groupe protected user. Celui-là, je vais le recommander pour les comptes avec des accès à privilèges. Maintenant, encore une fois, c'est une action qui a un très fort impact. Je vous invite à vous renseigner dessus ou à vous faire accompagner pour faire des choix vis-à-vis des comptes et de ce groupe. Il y a un impact. Adopter les bonnes pratiques, faire une séparation des droits. Un admin du serveur ne devrait pas avoir les droits sur un Workstation et inversement. Aujourd'hui, il arrive encore qu'on puisse trouver des comptes qui soient domaines admin qui se connectent sur des Workstation. Je vous laisse imaginer ce qui peut se passer dans le cas d'une attaque pareille. Ne jamais se connecter sur une machine cliente avec des accès à privilèges. Comme on vient de le dire, un compte domaine admin qui se connecte sur une machine client, si la machine est compromise ou si la personne a juste l'intention de nuire au SI, il ne suffit pas de grand-chose. C'est très rapide, et comme je vous l'ai dit, tant que le mot de passe n'est pas changé, l'attaque continue de fonctionner.
C'est à dire que pour ma compréhension, le point c'est si Domain Admin se connecte sur un poste client, ce poste client pourra récupérer tous les éléments pour avoir les droits ?
Une fois que j'ai son hash et son login, c'est simple, je vais pouvoir demander un ticket Kerberos avec ses identifiants. Je vais donc pouvoir bénéficier des mêmes droits que lui, en son nom, ce ne sera pas le mien qui va s'afficher, mais le sien, pendant toute la durée de vie de son mot de passe. C'est pareil si la politique de changement de mot de passe est de 3, 6, voire plus de mois. Effectivement, j'ai de belles heures voire semaines devant moi.
Ok, c'est clair pour moi.
Appliquer le principe de moindre privilège, c'est bien de séparer les droits, mais c'est bien aussi d'en donner le moins possible. Aujourd'hui, on a quand même pas mal de droits qui sont donnés souvent trop haut. Ça reste quand même important de revoir les droits d'essayer d'être fin et plus granulaire. Effectuer des revues d'accès régulièrement. Effectivement, souvent on va déléguer un droit, on va donner un droit, il est peut-être valable que pour un temps, il n'y a peut-être pas besoin de le garder tout le temps, et c'est bien aussi de faire un tour sur tous les accès qui sont donnés. C'est vrai que des administrateurs qui s'en vont, peut-être que les comptes sont toujours actifs, ou peut-être que les comptes sont toujours présents, toujours avec des droits, peut-être positionnés à certains endroits, si le compte a ou est compromis, on continue de bénéficier des mêmes droits aux mêmes endroits. La supervision, il y a quand même des choses à faire. Dans un premier temps, on vous invitera à activer les différents audits. Vous avez beaucoup d'audits, notamment ceux des modifications de registres, de création de process, effectivement, si quelqu'un commence à modifier les clés de registre d'un poste, il y a peut-être une idée derrière, donc ça peut aussi faire quelque chose. Attention, plus on active l'audit, plus on génère de trafic, plus on génère de logs, et il y a beaucoup de tris à faire, il y a du vrai, il y a du faux positif, il y a de tout, ça nécessite un travail derrière. Ce n'est pas simplement activer l'audit, il y a tout un travail à faire derrière. L'avantage, c'est que ça peut se coupler avec des outils de supervision. Prenez un SCOM, un Zabix, un Splunk, de l'Azure Monitor, des scripts PowerShell, vous pouvez combiner pas mal de choses ensemble qui vont vous aider à interpréter ces logs et ensuite petit à petit vous allez pouvoir affiner au moins avoir le détail du début d'une alerte. Attention, il y a des choses qui sont en train de se passer. Peut-être que ce poste-là pose problème. Tiens, on a un compte qui est en train de se connecter sur plusieurs sessions en même temps à plusieurs endroits différents. Est-ce que c'est normal ? J'ai mon admin qui se connecte la nuit. Est-ce que c'est normal ? Voilà. Il y a pas mal de choses qui peuvent se mettre en place à ce niveau-là. On vous invitera également à renforcer vos politiques de sécurité. Comme on disait, prévision des droits d'accès, en particulier les droits éditeurs. Combien d'éditeurs de logiciels aujourd'hui nous demandent des droits domaine admin ? A l'heure d'aujourd'hui, ça ne devrait plus exister. Malheureusement, on en trouve encore beaucoup. Avoir des droits très importants, ne serait-ce qu'administrateur local, avec des comptes dont le mot de passe ne doit jamais expirer parce que s'il expire le produit s'arrête et du coup ça pose problème. Mais le mot de passe faut pas qu'il soit trop long parce que s'il fait plus de 30 caractères, le logiciel sait pas le gérer et on a un souci. Tout ça, aujourd'hui, ça doit changer. Faut en discuter avec vos éditeurs, faut en discuter avec vos interlocuteurs, mais aujourd'hui on peut modifier plein de choses. Même si l'éditeur vous dit que ce n'est pas possible, si vous lui dites que vous arrêtez de payer parce que vous oubliez plus votre produit, allez voir qu'on peut trouver des solutions. Notamment l'utilisation de comptes GMSA. Un compte dont le mot de passe n'expire jamais, ce n'est pas possible. Un compte GMSA reste quand même un compte qui est très appréciable du fait qu'il peut avoir un mot de passe robuste avec une rotation automatique. Aujourd'hui, Même si ce n'est pas documenté, beaucoup d'éditeurs sont en mesure d'utiliser les comptes GMSA. Pareil, faire tourner les tâches planifiées, GMSA, ça reste une bonne chose aussi. Et après, je vous inviterais surtout et majoritairement à vider les groupes à privilège. Aujourd'hui, je considère que Schema, Enterprise, DNS Admin, voir Backup Operator ne devraient pas être peuplés. Vous pouvez avoir besoin d'actions temporaires, et dans ces cas-là avoir besoin de modifier ces droits. Maintenant, conserver le droit en permanence n'a pas d'intérêt. Aujourd'hui, je ne vois pas ce qui nécessite qu'un compte soit Enterprise Admin au quotidien, ou Schema Admin, ou autre. Ce sera pour des actions ponctuelles. Moins vous aurez de groupes qui seront peuplés, moins vous aurez de chances de donner un accès privilégié. Aujourd'hui, c'est l'une des parties sur laquelle on insiste, mais qui peuvent aussi vous permettre de vous prémunir de certaines choses. Effectivement, on l'a vu, un hash qui est dérobé, si le compte a trop de privilèges, ça pose problème. Après, il est possible de vous accompagner sur des solutions, de silotage des comptes par exemple.
Ok, c'est clair. Merci en tout cas Mathieu. Si vous avez des questions, on est disponible sur le chat en parallèle. Vous pouvez poser l'ensemble des questions. On va mettre le dernier slide. On n'hésitez pas, on est là, donc vous posez toutes vos questions, on va essayer d'y répondre. Juste en complément de ce qu'a dit Mathieu à la fin, Sur chacun des points que l'on a vu, comme le maintien des mises à jour des différents systèmes d'information, tout ce qui est études, le côté silotage, la supervision, les détections, les alertes, la personnalisation, de détection, des types d'alertes, etc. Donc ça, ça fait partie des offres que l'on a au niveau des offres sécurité du service managés PI Services. Chez certains clients, on va travailler sur toute une ordre de sécurité, à la fois sur des systèmes on-prem, des systèmes cloud, que ce soit du mode Azure ou du mode Office 35. On a développé tout un ensemble de scripts qui nous permettent de détecter des actions ou des accès qui nous paraissent anormaux. On a des revues régulières. Toutes ces revues et ces fréquences sont définies avec le client sur un niveau de sensibilité de la donnée. Tout ça a été mis en œuvre. On affine au jour le jour, comme l'expliquait Mathieu. Aujourd'hui, les systèmes, les types d'attaques évoluent tous les jours, donc on est toujours actif, à l'écoute, on revoit régulièrement notre mode de supervision, notre mode d'anticipation à ce type d'attaque. On essaie de se prémunir au maximum dans cette logique. En tout cas, on est disponible, on attend vos questions et on va y répondre dans la suite de cette présentation. En tout cas, merci à tous de nous avoir écoutés. J'espère que ça a été intéressant pour vous. Et puis, on se tient dans tous les cas à votre disposition pour répondre à travers ce chat ou ultérieurement, si vous avez des questions, pour préciser un ensemble de points. Voilà. Le dernier slide, c'est l'adresse PI Services, vous avez un ensemble de questions, vous avez un numéro de téléphone. On pourra faire une démonstration un peu plus détaillée de façon personnalisée par rapport à votre contexte. On parlait aussi d'audit avec le Tiering Model au tout début, et Mathieu vous en a parlé un petit peu. C'est un des axes principaux. C'est vraiment le silotage de comptes, la précision des comptes et d'utiliser et de mettre au droit juste ce qu'il faut pour un besoin donné. C'est le genre d'activités ou de conseils qu'on peut donner dans le cas de toute la partie audit-sécurité. Voilà, encore merci à tous, et puis on attend votre question, et puis on va essayer de répondre. Merci.
Si vous êtes intéressés par nos offres ? Contactez-nous au 01.55.85.08.92 ou sur contact@piservices.fr
Bonjour à tous. Aujourd'hui, nous allons vous présenter un petit webinaire autour du Pass the Hash. Je vais être accompagné de Mathieu ADELAIDE, qui est notre consultant sur le sujet qui va vous présenter la partie technique, et moi-même, Jérôme BEAUNE, directeur des opérations chez PI Services. Je vais vous faire une petite introduction pour présenter PI Services très rapidement et le service managé. Je vous propose de démarrer. L'idée, c'est qu'on va vous passer tous les concepts du Pass the Hash, les principes, comment ça fonctionne, et surtout après, comment s'en protéger. Comme vous allez voir, on va vous parler un peu du service managé, et à travers le service managé, on a mis en place un ensemble de services qui vont vous permettre justement de pouvoir minimiser les risques et les impacts de ce type d'attaque. Voilà donc ça c'est effectivement l'objectif donc on en a à peu près pour 45 minutes ensemble et puis vous pourrez poser toutes vos questions à la fin. Très rapidement, l'objectif n'est pas de faire une présentation commerciale de PI Services, mais en quelques mots, on a 25 ans, c'est une société qui est spécialisée dans tout ce qui est architecture, fortement orientée Microsoft, on était vraiment spécialiste Microsoft et maintenant on s'est ouvert à d'autres technologies. On travaille sur trois types d'environnement, la partie on-prem, la partie hybride, la partie cloud, cloud privé, cloud public. Et on va graviter autour de cinq domaines d'expertise, la partie identité, tout ce qui est sécurité, donc un des points qu'on va voir aujourd'hui, la partie infrastructure, la partie collaborative, tout ce qui est communication unifiée, et la partie endpoint, tout ce qui est poste de travail et autres. Ensuite, on est une ESN, les grands classiques, on va vous accompagner autour d'audits et de conseils, autour des notes de cadrage, du design d'infrastructures, du conseil financier, des audits de sécurité. Sur ces parties-là, c'est notre premier axe de communiqué. Le deuxième, bien sûr, c'est la mise en œuvre de toutes ces parties. C'est la mise en œuvre des infrastructures, la mise en œuvre d'accompagnement, des modes SaaS, des modes GAS, de l'accompagnement de ces projets, tout ce qui est gestion du changement. Ça fait partie du deuxième axe principal. Et le troisième, c'est le service managé, sur lequel aujourd'hui, on va pouvoir vous parler d'un ensemble de services justement pour se protéger de ce type d'attaque Pass the Hash. Dans le métier du service managé, nous avons, on va dire, trois métiers principaux, qui sont la partie MCO, donc c'est du maintien en conditions opérationnelles. Dans toute cette partie maintien en conditions opérationnelles, on va travailler sur des actions, on va dire, récurrentes. Dans ces actions, elles sont très larges. Là, on va, à la fin de la présentation, vous montrer sur quel axe nous allons travailler, ce qui est mises à jour, sur tout ce qui est études de log, etc. Donc, encore une fois, orienté sur le type d'attaque Pass the Hash. Et après, il y a tout ce qui est partie support ou accompagnement, en cas de type d'attaque, au cas où. Et aussi, on peut faire des demandes, des demandes d'audit, de conseils, pour travailler sur la partie audit de sécurité, par exemple, du Tiering model, pour siloter les droits ou ce genre de choses. Tout ce qui est filtrage, tout ce qui est flux, Donc il y a tout un ensemble de pannels de services ou d'audits de travail qu'on peut vous proposer sur, encore une fois, cet axe sécurité aujourd'hui. Comme je vous le disais, les périmètres, c'est infrastructure, logiciel, réseau, sécurité, support, interpose de travail. Ça, c'est effectivement tous les périmètres techniques sur lesquels on travaille. Et pour vous présenter quelques références, la logique du service managé, c'est de travailler sur toute ou partie de l'infrastructure de nos clients. Donc là, pour vous donner des exemples sur la partie OCD, on va travailler essentiellement sur la partie support expertise. On va dire sur la partie aussi avec du support premier Microsoft. Le ministère de l'Agriculture a travaillé sur tous les axes du MCO, de vente de supports, mais uniquement sur la partie messagerie. CityOne on a travaillé sur l'ensemble des axes, on a géré de A à Z l'ensemble du SI de CityOne, Radio France pour le support, et aussi on fait de l'expertise, par exemple, sur Radio France on travaille sur des projets de Tiering model, de silotage de droits et d'isolation de comptes, qui est un des sujets qui est important aujourd'hui dans le cadre du type d'attaque qu'on vient de vous expliquer. Voici d'autres références. L'objectif n'est pas de tout détailler et surtout de vous présenter la suite. Comme je vous le disais, je suis accompagné de Mathieu. Voilà, donc il va vous présenter la suite de cette présentation sur l'attaque Pass the Hash.
Bonjour, je me présente, Mathieu ADELAIDE, je fais partie de PI Services depuis quelques années maintenant. Je travaille majoritairement autour de l'Active Directory et de l'identité. Aujourd'hui, on va essayer vulgairement de présenter le principe et le fonctionnement d'une attaque Pass the Hash. On essaiera de ne pas trop rentrer dans le détail pour ne pas perdre tout le monde. Si vous avez des questions, on regardera à la fin pour essayer d'y répondre. Si on commence au début, l'attaque Pass the Hash peut avoir différents motifs tels que l'espionnage industriel, la remonte de données, le chantage ou la demande de rançon, la volonté de nuire au SI, le départ d'un salarié qui se passe mal, ça peut arriver, ou le challenge, si on regarde, on surmonte un peu dans l'actualité, on a vu que certains groupes avaient tenté des attaques envers des sociétés juste par envie, par défi, se dire tiens, je vais y arriver. Donc, il n'y a pas forcément toujours une action ou une pensée de nuire, mais une fois que quelqu'un est dans le système, le problème c'est qu'on ne sait pas pour combien de temps et on ne pourra jamais être sûr qu'il n'y est plus jamais. À moins de reconstruire le SI, chose qu'on a tous envie d'éviter. Comment y faire face ? Ça va être la partie qui va en découler. Aujourd'hui, L'attaque, la plus facile à comprendre, on va présenter, Pass the Hash, a souvent un but. Ça peut être de l'exfiltration de données, de l'escalade de privilèges, ou de la compromission d'autres ressources dans le domaine. Souvent, ça sera dans la volonté d'avoir une escalade de privilèges. Alors, les définitions. Pour comprendre l'attaque Pass the Hash, je vais donner quelques définitions. Ça devrait être plus simple de l'appréhender. Vulgairement, l'attaque Pass the Hash, c'est une simple usurpation d'identité. Ça consiste à usurper l'identité d'un tiers, que ce soit un utilisateur standard, un administrateur ou autre, en récupérant le couple login et le Hash de 100 mots de passe. C'est bien gentil, mais peut-être que le Hash ne parle pas à tout le monde. Donc on va essayer de définir ce qu'est un Hash. Un Hash est simplement le produit d'une opération mathématique. Si je dis ça, ça n'arrête pas forcément, mais on va essayer de comprendre un peu plus loin ce que c'est réellement. D'où est-ce qu'il vient ? Durant la phase d'authentification, vous saisissez votre login et votre mot de passe, mais en réalité, ce n'est pas le mot de passe qu'elle vous a envoyé pour validation à l'Active Directory. Votre mot de passe, il n'en a aucune idée. Lui, ce qu'il stocke, ce sont des Hash de mots de passe. Lorsque vous validez votre mot de passe, ce dernier passe à travers une fonction de hachage qui va le transformer en une chaîne de texte qui sera, elle, soumise au KDC pour validation et obtention d'un ticket Kerberos. Donc, voilà. Le hash et le logging, c'est bien, mais le logging, à la limite, je peux le trouver si je comprends un peu la mécanique de la société, si j'ai trouvé l'utilisateur. Mais le hash, où est-ce que je peux le trouver ? Eh bien, tout simplement dans la machine. Une fois que la phase d'authentification est réussie, le Hash est stocké dans la mémoire, le LSASS. Ça a un but simple, c'est qu'à chaque fois que vous accédez à une ressource, vous devez soumettre vos identifiants pour accéder à une ressource. L'avantage de LSASS, c'est de pouvoir réutiliser ces identifiants à la manière d'un SSO afin de vous éviter à chaque fois de ressaisir le login et le mot de passe dès que vous cliquez sur un répertoire, sur un dossier, sur un fichier, ou quoi que ce soit. On va donc aborder le concept de l'attaque. Une fois qu'on sait tout ça, c'est un peu plus facile de le comprendre. En gros, quand une session est en cours sur un système, les informations d'identification sont stockées dans le processus "LSASS.exe". L'attaque Pass the Hash, c'est un concept tout simple, c'est prendre ce processus, le dumper, en faire un fichier, récupérer un dump de ce processus, et ensuite, récupérer le dump, l'exporter soit sur une clé USB ou ailleurs. Comme ça, je peux avoir l'occasion d'aller l'exploiter tranquillement dans mon coin et pouvoir faire une demande de ticket Kerberos au nom des Credentials que j'ai dérobés. La portée de l'attaque est simple. Elle concerne les mêmes droits que le compte que vous avez usurpé et elle va bénéficier d'une durée assez sympa, c'est que tant que l'utilisateur ne change pas le mot de passe, le hash reste inchangé, donc vous pouvez vous resservir de cette attaque autant qu'il vous plaît, tant que le mot de passe n'est pas changé. On va essayer de voir maintenant comment ça fonctionne. Le fonctionnement de l'attaque passe de hash se déroule en quatre étapes. Elles ne sont pas toutes faciles à mettre en œuvre, ça c'est sûr, mais en même temps, une fois qu'on a listé les quatre étapes, ça paraît quand même déconcertant de facilité. La première étape va consister à obtenir le droit administrateur local sur une machine. Ce n'est pas forcément la plus simple à mettre en œuvre, mais on verra que dans certains cas, ce n'est quand même pas très difficile. La deuxième, faire un dump du processus LSASS. Encore une fois, c'est une des choses les plus faciles à faire dans le sujet qui nous intéresse. Le seul inconvénient, c'est de ne pas se faire détecter par certains processus. Ensuite, un export du dump peut l'exploiter. C'est simple, une simple clé USB vous suffira. Et finalement, obtenir un ticket Kerberos. Vous allez voir qu'avec un Mimikatz, ce n'est pas difficile. Bien sûr, je ne vais pas détailler toutes les possibilités pour arriver à compromettre une machine. Ça ne serait pas très éthique de ma part, et il existe de nombreux moyens d'y parvenir, tous plus ou moins discutables. Et aujourd'hui, Internet regorge de bonnes idées si vous avez envie de vous amuser. Moi, je vais partir sur un cas simple, on va dire. Simplement, on a tous connu des services informatiques, ou même des plateaux d'utilisateurs, quelqu'un s'en va sans verrouiller sa session. Il suffit d'une clé USB, d'accéder à la machine, c'est déjà un début. Notamment si la personne est administrateur de son poste. C'est encore plus simple, je n'ai pas besoin de m'amuser à essayer de faire du contournement de l'escalade. Comment obtenir droit d'administrateur sur une machine ? Il y a des cas de figure qui vont être simples ou plus compliqués. Il y a certains produits antivirus et EDR ou des politiques de sécurité qui peuvent être renforcées dans les entreprises. Ça, je le conçois, je suis d'accord avec vous. Maintenant, si on s'appuie sur certains principes de Microsoft qui sont embarqués, tels qu'on a tous un PC portable, on rabat le capot, il passe en veille, ce qui se met en route, un fichier d'hibernation. Ça fait juste un dump de tous les processus qui sont stockés dans la machine pour récupérer le fichier d'hibernation. On a fait le dump. Ce n'était pas plus dur que ça. Il y a différentes solutions, différentes actions. On ne va pas tout détailler. On va en présenter une. Là, on va faire une petite démo. Dans la démo, on va prendre la partie la plus simple que j'arrive encore à croiser assez souvent dans certaines entreprises. Un poste d'USI avec un administrateur qui est parti simplement soit prendre un café, soit aller aux toilettes sans verrouiller sa session. On va voir ce qu'on peut faire avec. Alors, la démo. J'arrive sur un poste d'un utilisateur sur lequel j'ai juste à me connecter. Je vais vérifier. Je suis sur un poste du domaine et je suis sur le poste apparemment de Jgreen. Alors, il ne va pas falloir énormément de séquences pour être tranquille. Comme je n'ai pas envie de me faire attraper et déclencher les alarmes de partout. Je vais juste dire à Windows Defender qu'il n'a pas besoin de regarder ce que je suis en train de faire. Et donc, je vais ouvrir le gestionnaire de tâches. Je vais aller chercher le processus "lsass.exe". Je fais créer un même file. J'ouvre le répertoire. Comme j'ai demandé à Defender de ne pas scanner ici, je m'aperçois que dans le répertoire de John Green, maintenant, j'ai un processus "lsass.dmp". J'ai juste une copie à faire. Je le balance sur ma clé USB. Je ferme tout gentiment. Je ferme les fenêtres. Si vous avez le courage, vous effacez les logs de l'Event Viewer. Vous verrouillez la session si vous êtes gentil. Comme ça, la personne ne s'en rend même pas compte quand elle se revient. Et tout se passe bien. Vous partez avec votre clé USB. C'est terminé.
Et en combien de temps ça ?
On vient de faire les clics. Il a fallu 15 secondes.
Ok.
Maintenant, tranquillement, je rentre chez moi. Ou alors, je repars m'asseoir à ma place. Ça dépend si je suis dans l'entreprise. Le mieux, ça reste quand même d'être dans l'entreprise parce que ça permet quand même d'avoir accès au réseau de l'entreprise. Et là, typiquement, je vais être sur mon poste à moi qui n'est pas du tout dans le domaine. Je suis connecté avec mon compte. La seule chose que j'ai, c'est que j'arrive à accéder au réseau du domaine parce que pas très bien protégé. J'ai juste eu à brancher un câble réseau sur mon poste et j'ai pu obtenir du réseau gratuitement. C'est sympa. Du coup, j'ai copié mon dump dans mon répertoire. J'ai récupéré mes infos, j'ai plus qu'à aller m'amuser. Alors, on ne va pas perdre de temps, j'ai copié les commandes ici, ce qui nous fera gagner du temps. On va donc utiliser l'outil que tout le monde connaît, si vous ne le connaissez pas, l'outil de Benjamin Delpy et Vincent Le Toux qui s'appelle Mimikatz. Voilà, c'était sûr. Je me suis amusé avec une machine Windows, donc forcément chez Defender, et Defender, dès qu'on compile, a toujours un petit souci avec Mimikatz. Heureusement pour moi, il ne mange pas le zip. Je ne craignais pas l'effet démo, j'aurais dû. Nous voici donc revenu, j'ai donc Mimikatz qui est lancée, j'ai besoin de me mettre en privilège des bugs, il y a très bon tuto sur Mimikatz, vous trouverez des choses super si vous avez envie de chercher, vous avez notamment The Hacker Recipes, Je vais charger "sekurlsa::minidump". Je vais lui dire d'aller chercher le dump qu'on vient de compter. Il est chargé. Je vais donc maintenant extraire les identifiants présents dans le dump. Et donc, comme on peut le voir, j'ai bien le compte de Jgreen dans le domaine lab j'ai le HNTLM. Jusque là, rien de bien compliqué. On a récupéré les informations de l'utilisateur. Je peux construire ma commande. Je vais donc maintenant utiliser Mimikatz une nouvelle fois, en lui demandant de me générer une demande de ticket Kerberos basée sur une attaque Pass the Hash. J'ai donc une nouvelle fenêtre qui va me permettre d'aller chercher quelques petites infos. Je vais aller dans mon ordre de jeu, les PSTools, et on va faire un petit PSExec en essayant d'atteindre, je ne sais pas, qu'est-ce qui m'intéresse dans la société ? Le serveur de fichiers, ça peut être sympa. Et bien PSExec.exe, le nom du serveur, une invite de commande, le réseau doit être sécurisé ou pas. Je suis maintenant sur le serveur 0.1 connecté en tant que Jgreen. Effectivement, j'ai obtenu un ticket Kerberos avec les mêmes droits que Jgreen depuis une machine hors domaine. Et donc ça, sans alerter un EDR, sans alerter un Defender puisqu'il a juste fallu dire à Defender de ne pas scanner l'endroit où je déposais le dump. Voilà. C'était aussi simple que ça. Du coup, on a pu voir maintenant que c'était assez facile à exploiter. Donc, s'en prémunir, c'est très compliqué. C'est-à-dire, aujourd'hui, empêcher une attaque Pass the Hash, j'ai envie de vous dire, c'est presque pas possible. C'est pas impossible, c'est très compliqué. Tout évolue, il y a des failles de sécurité assez récurrentes. Maintenant, il y a quand même des bonnes pratiques et de bonnes choses pour essayer de limiter son exposition et la surface d'attaque. Dans un premier temps, on peut déjà s'appuyer sur les technologies natives. Par exemple, avoir un parc à jour. Le patch management reste quand même quelque chose d'important dans une société. Malheureusement, il est souvent délaissé ou mal suivi. Et un SI qui n'est pas à jour est un SI qui reste quand même vulnérable. Activer Windows Defender Credential Guard, est une bonne chose. Ça va mettre une couche de sécurité supplémentaire. C'est bien, avant de l'activer, de s'intéresser au produit, savoir ce qu'il fait, pourquoi, comment. Chaque action a quand même des impacts, activer les firewalls et bloquer le trafic inutile. Aujourd'hui, on croise beaucoup de gens qui désactivent le firewall Windows sur les serveurs parce que c'est plus simple, ça va plus vite et qu'il n'y a pas besoin de s'embêter à créer les règles. Maintenant, pour faciliter le mouvement latéral, c'est la meilleure des solutions. On peut aussi s'appuyer sur le groupe protected user. Celui-là, je vais le recommander pour les comptes avec des accès à privilèges. Maintenant, encore une fois, c'est une action qui a un très fort impact. Je vous invite à vous renseigner dessus ou à vous faire accompagner pour faire des choix vis-à-vis des comptes et de ce groupe. Il y a un impact. Adopter les bonnes pratiques, faire une séparation des droits. Un admin du serveur ne devrait pas avoir les droits sur un Workstation et inversement. Aujourd'hui, il arrive encore qu'on puisse trouver des comptes qui soient domaines admin qui se connectent sur des Workstation. Je vous laisse imaginer ce qui peut se passer dans le cas d'une attaque pareille. Ne jamais se connecter sur une machine cliente avec des accès à privilèges. Comme on vient de le dire, un compte domaine admin qui se connecte sur une machine client, si la machine est compromise ou si la personne a juste l'intention de nuire au SI, il ne suffit pas de grand-chose. C'est très rapide, et comme je vous l'ai dit, tant que le mot de passe n'est pas changé, l'attaque continue de fonctionner.
C'est à dire que pour ma compréhension, le point c'est si Domain Admin se connecte sur un poste client, ce poste client pourra récupérer tous les éléments pour avoir les droits ?
Une fois que j'ai son hash et son login, c'est simple, je vais pouvoir demander un ticket Kerberos avec ses identifiants. Je vais donc pouvoir bénéficier des mêmes droits que lui, en son nom, ce ne sera pas le mien qui va s'afficher, mais le sien, pendant toute la durée de vie de son mot de passe. C'est pareil si la politique de changement de mot de passe est de 3, 6, voire plus de mois. Effectivement, j'ai de belles heures voire semaines devant moi.
Ok, c'est clair pour moi.
Appliquer le principe de moindre privilège, c'est bien de séparer les droits, mais c'est bien aussi d'en donner le moins possible. Aujourd'hui, on a quand même pas mal de droits qui sont donnés souvent trop haut. Ça reste quand même important de revoir les droits d'essayer d'être fin et plus granulaire. Effectuer des revues d'accès régulièrement. Effectivement, souvent on va déléguer un droit, on va donner un droit, il est peut-être valable que pour un temps, il n'y a peut-être pas besoin de le garder tout le temps, et c'est bien aussi de faire un tour sur tous les accès qui sont donnés. C'est vrai que des administrateurs qui s'en vont, peut-être que les comptes sont toujours actifs, ou peut-être que les comptes sont toujours présents, toujours avec des droits, peut-être positionnés à certains endroits, si le compte a ou est compromis, on continue de bénéficier des mêmes droits aux mêmes endroits. La supervision, il y a quand même des choses à faire. Dans un premier temps, on vous invitera à activer les différents audits. Vous avez beaucoup d'audits, notamment ceux des modifications de registres, de création de process, effectivement, si quelqu'un commence à modifier les clés de registre d'un poste, il y a peut-être une idée derrière, donc ça peut aussi faire quelque chose. Attention, plus on active l'audit, plus on génère de trafic, plus on génère de logs, et il y a beaucoup de tris à faire, il y a du vrai, il y a du faux positif, il y a de tout, ça nécessite un travail derrière. Ce n'est pas simplement activer l'audit, il y a tout un travail à faire derrière. L'avantage, c'est que ça peut se coupler avec des outils de supervision. Prenez un SCOM, un Zabix, un Splunk, de l'Azure Monitor, des scripts PowerShell, vous pouvez combiner pas mal de choses ensemble qui vont vous aider à interpréter ces logs et ensuite petit à petit vous allez pouvoir affiner au moins avoir le détail du début d'une alerte. Attention, il y a des choses qui sont en train de se passer. Peut-être que ce poste-là pose problème. Tiens, on a un compte qui est en train de se connecter sur plusieurs sessions en même temps à plusieurs endroits différents. Est-ce que c'est normal ? J'ai mon admin qui se connecte la nuit. Est-ce que c'est normal ? Voilà. Il y a pas mal de choses qui peuvent se mettre en place à ce niveau-là. On vous invitera également à renforcer vos politiques de sécurité. Comme on disait, prévision des droits d'accès, en particulier les droits éditeurs. Combien d'éditeurs de logiciels aujourd'hui nous demandent des droits domaine admin ? A l'heure d'aujourd'hui, ça ne devrait plus exister. Malheureusement, on en trouve encore beaucoup. Avoir des droits très importants, ne serait-ce qu'administrateur local, avec des comptes dont le mot de passe ne doit jamais expirer parce que s'il expire le produit s'arrête et du coup ça pose problème. Mais le mot de passe faut pas qu'il soit trop long parce que s'il fait plus de 30 caractères, le logiciel sait pas le gérer et on a un souci. Tout ça, aujourd'hui, ça doit changer. Faut en discuter avec vos éditeurs, faut en discuter avec vos interlocuteurs, mais aujourd'hui on peut modifier plein de choses. Même si l'éditeur vous dit que ce n'est pas possible, si vous lui dites que vous arrêtez de payer parce que vous oubliez plus votre produit, allez voir qu'on peut trouver des solutions. Notamment l'utilisation de comptes GMSA. Un compte dont le mot de passe n'expire jamais, ce n'est pas possible. Un compte GMSA reste quand même un compte qui est très appréciable du fait qu'il peut avoir un mot de passe robuste avec une rotation automatique. Aujourd'hui, Même si ce n'est pas documenté, beaucoup d'éditeurs sont en mesure d'utiliser les comptes GMSA. Pareil, faire tourner les tâches planifiées, GMSA, ça reste une bonne chose aussi. Et après, je vous inviterais surtout et majoritairement à vider les groupes à privilège. Aujourd'hui, je considère que Schema, Enterprise, DNS Admin, voir Backup Operator ne devraient pas être peuplés. Vous pouvez avoir besoin d'actions temporaires, et dans ces cas-là avoir besoin de modifier ces droits. Maintenant, conserver le droit en permanence n'a pas d'intérêt. Aujourd'hui, je ne vois pas ce qui nécessite qu'un compte soit Enterprise Admin au quotidien, ou Schema Admin, ou autre. Ce sera pour des actions ponctuelles. Moins vous aurez de groupes qui seront peuplés, moins vous aurez de chances de donner un accès privilégié. Aujourd'hui, c'est l'une des parties sur laquelle on insiste, mais qui peuvent aussi vous permettre de vous prémunir de certaines choses. Effectivement, on l'a vu, un hash qui est dérobé, si le compte a trop de privilèges, ça pose problème. Après, il est possible de vous accompagner sur des solutions, de silotage des comptes par exemple.
Ok, c'est clair. Merci en tout cas Mathieu. Si vous avez des questions, on est disponible sur le chat en parallèle. Vous pouvez poser l'ensemble des questions. On va mettre le dernier slide. On n'hésitez pas, on est là, donc vous posez toutes vos questions, on va essayer d'y répondre. Juste en complément de ce qu'a dit Mathieu à la fin, Sur chacun des points que l'on a vu, comme le maintien des mises à jour des différents systèmes d'information, tout ce qui est études, le côté silotage, la supervision, les détections, les alertes, la personnalisation, de détection, des types d'alertes, etc. Donc ça, ça fait partie des offres que l'on a au niveau des offres sécurité du service managés PI Services. Chez certains clients, on va travailler sur toute une ordre de sécurité, à la fois sur des systèmes on-prem, des systèmes cloud, que ce soit du mode Azure ou du mode Office 35. On a développé tout un ensemble de scripts qui nous permettent de détecter des actions ou des accès qui nous paraissent anormaux. On a des revues régulières. Toutes ces revues et ces fréquences sont définies avec le client sur un niveau de sensibilité de la donnée. Tout ça a été mis en œuvre. On affine au jour le jour, comme l'expliquait Mathieu. Aujourd'hui, les systèmes, les types d'attaques évoluent tous les jours, donc on est toujours actif, à l'écoute, on revoit régulièrement notre mode de supervision, notre mode d'anticipation à ce type d'attaque. On essaie de se prémunir au maximum dans cette logique. En tout cas, on est disponible, on attend vos questions et on va y répondre dans la suite de cette présentation. En tout cas, merci à tous de nous avoir écoutés. J'espère que ça a été intéressant pour vous. Et puis, on se tient dans tous les cas à votre disposition pour répondre à travers ce chat ou ultérieurement, si vous avez des questions, pour préciser un ensemble de points. Voilà. Le dernier slide, c'est l'adresse PI Services, vous avez un ensemble de questions, vous avez un numéro de téléphone. On pourra faire une démonstration un peu plus détaillée de façon personnalisée par rapport à votre contexte. On parlait aussi d'audit avec le Tiering Model au tout début, et Mathieu vous en a parlé un petit peu. C'est un des axes principaux. C'est vraiment le silotage de comptes, la précision des comptes et d'utiliser et de mettre au droit juste ce qu'il faut pour un besoin donné. C'est le genre d'activités ou de conseils qu'on peut donner dans le cas de toute la partie audit-sécurité. Voilà, encore merci à tous, et puis on attend votre question, et puis on va essayer de répondre. Merci.
Si vous êtes intéressés par nos offres ? Contactez-nous au 01.55.85.08.92 ou sur contact@piservices.fr