Les équipes d’Aorato sont formelles : Microsoft Active Directory renferme une faille que des tiers peuvent exploiter pour changer les mots de passe des utilisateurs et ainsi usurper leur identité.
Selon l’entreprise israélienne spécialiste de la sécurité informatique, cette vulnérabilité dans l’implémentation du service d’annuaire LDAP pour les systèmes d’exploitation Windows est d’autant plus sensible que 95% des entreprises classées au Fortune 1000 ont déployé le protocole.
Au coeur du débat, on retrouve NTLM. Cette « vieille » méthode d’identification utilisée par défaut jusqu’à Windows XP Service Pack 3 (mais pour laquelle Microsoft assure encore la compatibilité avec ses OS plus récents, malgré la disponibilité de Kerberos depuis Windows 2000) présente une faille connue. Celle-ci est de type « pass-the-hash » (PtH) : elle permet de contourner la vérification de données par hachage, ouvrant ainsi la porte au vol d’informations de connexion.
D’après Aorato, les assaillants n’ont qu’à utiliser des outils de tests d’intrusion – comme Mimikatz et WCE – pour parvenir à leurs fins. La vulnérabilité ouvre par ailleurs l’accès à d’autres services du réseau de l’entreprise : le Remote Desktop Protocol (RDP ; gestion à distance des postes Windows) et Outlook Web Access (OWA ; application de messagerie professionnelle multiplateforme et mobile).
Alerté quant à l’existence de cette faille, Microsoft évoque une « limite » impossible à corriger, car directement liée à la conception du protocole d’identification NTLM, dont les spécifications sont publiquement accessibles. Bilan : les entreprises sont « pleinement conscientes » du danger qu’elles encourent.
La firme précise aussi avoir publié, en mai 2014, une mise à jour pour Windows 7/8.x et Server (à partir de la version 2008 R2) qui renforce la protection des informations d’identité et le contrôle d’identification. Sur ce dernier point, il est recommandé de passer par des cartes à puce et de supprimer RC4-HMAC, cette méthode de chiffrement implémentée dans Kerberos pour assurer la rétrocompatibilité.
Faisant référence à la taille de NTLM, à l’usage des outils de tests d’intrusion pour déterminer les identifiants de connexion et à la capacité à passer inaperçu pour quiconque les exploite, les experts d’Aorato expliquent que « c’est la combinaison [de ces] différents aspects qui fait de cette révélation une nouveauté« .
Et d’ajouter : « Puisqu’il n’y a pas de solution inhérente, la protection doit être fournie depuis l’extérieur« . Par exemple en détectant l’usage d’algorithmes de chiffrement autres que celui implémenté par défaut. Ou encore en identifiant les attaques par corrélation entre l’utilisation « anormale » de la méthode de chiffrement et son contexte (date et heure inhabituelles au regard du profil utilisateur, etc.).
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?
Crédit photo : Mopic – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…