Zffoto - stock.adobe.com
Ce que trahit une réinitialisation généralisée des mots de passe
Une telle opération est engagée en cas de compromission avérée de l’infrastructure Active Directory, ou à tout le moins en cas de fort soupçon de compromission d’un compte à privilège qui le permettrait.
Le renouvellement global de mots de passe est plus courant dans les environnements Windows que les autres. Mais dans quel contexte, une organisation est-elle amenée à réinitialiser les mots de passe de tous les comptes de son annuaire Active Directory (AD) ? Pour Benjamin Delpy, créateur de Mimikatz, « cela peut être une posture prise, par précaution, lors d’une suspicion de compromission de comptes à privilèges », susceptible d’avoir conduit, ou de conduire, à la compromission d’un contrôleur de domaine.
Dans le meilleur des cas, ce qui peut conduire à une telle décision, c’est l’observation d’un déplacement latéral, « ou même, la connaissance de la compromission d’un mot de passe à privilège, ou de l’accès à un hôte avec un compte à privilège déjà connecté ». Car les données de persistance de l’authentification sont alors stockées en mémoire vive et peuvent y être collectées avec un outil tel que Mimikatz, à l’instar d’un jeton Kerberos ou d’un condensat – ou hash – NTLM.
Benjamin Delpy
Lancer une réinitialisation des mots de passe et demander à ses utilisateurs d’en définir un nouveau rapidement peut donc constituer une mesure de précaution, « en cas de doute, même non confirmé ». Mais ce n’est pas forcément le cas le plus probable, en particulier lorsque l’opération est lancée dans une grande organisation. Car à partir d’une certaine échelle, « le coût devient énorme ».
Si donc, à tout le moins, une telle démarche trahit « de très forts soupçons sur la compromission de compte à privilège » qui pourrait conduire à celle d’un contrôleur de domaine, « de manière générale, une réinitialisation généralisée des mots de passe Active Directory trahit une compromission de cette infrastructure ».
En d’autres termes, l’organisation concernée n’est de toute façon plus face à un risque de cyberattaque, mais bien face à une attaque déjà engagée. Vu de l’extérieur, il est possible de conclure qu’une intrusion a déjà eu lieu. Mais seule l’organisation touchée peut savoir à quel stade en est effectivement l’attaque. Toutefois, si celle-ci s’avère particulièrement grande, il est probable que les assaillants soient, à tout le moins, déjà très proches de prendre la main sur un contrôleur de domaine.
Dans un scénario de cyberattaque de ransomware, à un tel stade, il reste justifié d’affirmer que les assaillants ont été déjoués. Ce qui devient plus hasardeux lorsque l’attaque n’a été détectée qu’une fois que le rançongiciel a détoné et que des hôtes ont commencé à être chiffrés. Il n’en reste pas moins que l’organisation est bel et bien confrontée à une attaque avérée.
En décembre 2019, l’université Justus-Liebig, à Gießen, avait enclenché une telle procédure, allant même jusqu’à redistribuer manuellement, sur papier, les mots de passe des comptes de ses 38 000 utilisateurs, étudiants, enseignants, chercheurs et personnels administratifs. À l’époque, pour autant, aucun chiffrement de données ni nom de maliciel n’avait encore été évoqué. Rien moins que 1 200 clés USB de démarrage, sous Linux, avaient toutefois été déployées pour identifier les postes compromis à l’aide de règles Yara, développées à partir d’échantillons découverts à l’occasion d’une première analyse de l’environnement.