lundi, juin 5, 2023

Le Blog de Teamy

En route pour l'école 2.0

AD Azure Microsoft 365 Sécurité 

La pulvérisation de mot de passe

Teamy 1618 Views Aucun commentaire

Du fait de sa popularité, la plateforme Microsoft 365 est une cible de choix pour les pirates.  La technique la plus courante pour s’attaquer à cette plateforme est le phishing (hameçonnage).  Mais ce n’est pas la seule technique.  Une technique courante est la pulvérisation de mot de passe. 

 

Lorsque vous pensez au piratage de mots de passe, on imagine souvent un pirate informatique essayant plusieurs centaines de mots de passe sur un même compte. Bien que cela se produise encore, ce n’est pas toujours ce qui se passe. 

 

Si une attaque de piratage «normale» implique l’essai de plusieurs mots de passe différents sur quelques comptes, la pulvérisation de mots de passe en est l’inverse. C’est quand un pirate informatique a accès à de nombreux noms de compte différents et tente de les y entrer en utilisant seulement quelques mots de passe afin de ne pas bloquer le compte utilisateur.


Les pirates informatiques ne réaliseront pas la méthode de piratage «normale» si la sécurité du compte est limitée. Un système sécurisé remarquera que quelqu’un tente à plusieurs reprises d’accéder à un compte et le verrouillera pour protéger la confidentialité de la cible. De cette façon, ils maximisent les chances qu’ils puissent passer à travers cette petite fenêtre d’opportunité.

Le portail d’administration Azure Active Directory vous propose un outil de détection des risques. 

Sécurité – Centre d’administration Azure Active Directory

Pour bénéficier de ces éléments de détection, il faut que vous ayez au moins une licence AD Azure Premium Plan 1, idéalement Plan 2 qui donne plus d’éléments de détails sur la détection des risques.

Azure Active Directory Premium Pl Ensemble fiable de fonctionnalités pour les organisations ayant des besoins importants en termes de gestion des identités et des accès. À partir de 5,10 € licences/mois Comparaison Détails

Azure Active Directory Premium P2 Azure Active Directory Premium P2: A comprehensive cloud Identity and access management solution with advanced identity protection for all your users and... partir de 7,60 € licences/mois Détails Co mparalson

Les risques sont classés en 3 catégories, Haute, Moyen et Bas. Les risques ‘Bas’ sont à surveiller, les risques ‘Moyen’ sont à surveiller de très près, et les risques ‘Haut’ nécessitent une action immédiate.

Les types de détection, cette liste est assez complète, cela va de la simple détection d’un navigateur suspect à la pulvérisation des mots de passe, en passant par la détection d’adresse IP jugées malveillantes.

 

Détections utilisateur Détections d'identité de charge de travail Heure de la détection 19/02/2022 19/02/2022 19/02/2022, 19/02/2022 19/02/2022, 19/02/202Z 19/02/2022, 18/02/2022 21:01 18/02/2022, 18/02/2022, 21:01:07 18/02/2022, 18/02/2022, 20:24:00 18/02/2022 utilisateur Adresse IP 52.224.2.156 403.127.50 50.29.220.9 746827.1 27.157.103.101 149202.80.59 47.109.40.23 162255.108.205 196206.34.201 107.172.6180 103.9.159.235 185.17160.114 89.169.0.126 Emplacement Washington, Virginia, US Aberdeen, Hong Kong, HK Girardville. Pennsylvania, US Queens Village, New York, US Zhangzhou, Fujian, CN Grenoble, Isere, FR Hangzhou, Zhejiang, CN Eltopia, Washington, us Rabat, Rabat-Sale-Kenitra. MA Buffalo, New York, US HO Chi Minh City, HO Chi Mi... AL Mytishchi, Moskovskaya Obi... Type de détection TJ Pulvérisation de mot de passe pulvérisation de mot de passe Pulvérisation de mot de passe pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe État à risque Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Niveau de risque Haute Haute Haute Haute Haute Haute Haute Haute Haute Haute Haute Haute Haute

 

 

Pour un risque élevé, et en fonction du type de détection, l’action à prendre sera différente !

Dans cet exemple, il s’agit de ‘Pulvérisation de mot de passe’, ce qui signifie que les comptes utilisateurs victimes ont été piratés.
 

Les actions rapides à prendre sont

  • Bloquer les comptes utilisateurs
  • Faire un reset de leur mot de passe
  • Une révocation de leurs sessions
  • Débloquer les comptes utilisateurs
  • Communiquer le nouveau mot de passe aux utilisateurs concernés

 

 

Mais ces actions n’empêcheront pas que la situation se reproduise, très rapidement.  Si ces comptes ont été piratés une première fois, il est fort à parier qu’ils seront la cible privilégiée pour de nouvelles tentatives.

Une première stratégie est de mettre en place, un accès conditionnel pour activer l’authentification forte vis-à-vis de connexions venant d’emplacements jugés à risque.  Je propose donc de créer un ‘Emplacement nommés’ reprenant tous les pays jugés à risque.  Pour faire simple, dans mon cas, excepté la Belgique, tous les autres pays sont jugés à risque.  Lorsque un utilisateur se connecte à ma plateforme Microsoft 365, si sa connexion est jugée à risque, une authentification multi facteurs lui sera demandée.  Je vous renvoies vers un article précédent qui traite des accès conditionnels et emplacements nommés : Bloquer l’accès à Microsoft 365 sur base de l’emplacement – Le Blog de Teamy

Une deuxième stratégie, est la mise en place d’un processus de détection automatique des connexions à risque.
Si une connexion à risque est identifiée, celle-ci sera bloquée automatiquement.  A vous de décider de bloquer les connexions selon le niveau de risque.

 

Identity Protection – Microsoft Azure

Nom de la stratégie Stratégie de remédiation des risques liés aux con Affectations Utilisateurs Tous les utilisateurs Risque de connexion Q) Élevé Contrôle Accès G) Bloquer l'accès

Risque de connexion x Stratégie de remédiation des risques liés aux conn... Configurez les niveaux de risque utilisateur nécessaires à l'application de la stratégie Sélectionnez les contrôles à appliquer. @ Élevé C) Moyen et supérieur O Faible et supérieur

Une troisième stratégie, est la mise en place d’un processus de détection automatique des utilisateurs à risque.

Si le comportement d’un utilisateur est jugé à risque, celui-ci sera bloqué automatiquement. A  vous de décider de bloquer les connexions selon le niveau de risque.

 

Identity Protection – Microsoft Azure

Nom de la stratégie Stratégie de remédiation des risques liés aux utilisateurs Affectations Utilisateurs Tous les utilisateurs Risque utilisateur Q) Élevé Contrôle Accès O Bloquer l'accès

Risque utilisateur x Stratégie de remédiation des risques liés aux utilis... Configurez les niveaux de risque utilisateur nécessaires à l'application de la stratégie Sélectionnez les contrôles à appliquer. @ Élevé O Moyen et supérieur O Faible et supérieur

Ces trois stratégies, sont déjà une bonne approche pour se prémunir de toute attaque malveillante envers vos utilisateurs.  Le risque zéro n’existant pas, je vous invite à régulièrement consulter le rapport de détection des risques.  Sécurité – Centre d’administration Azure Active Directory

Et pourquoi pas, épingler un raccourci sur votre tableau de bord AD Azure

Mon tableau de bord v Tableau de bord privé Nouveau tableau de bord v Azure AD Premium Utilisateurs et groupes Actualiser Plein écran Modifier Exporterv Cloner Bienvenue dans le centre d 'administration dAzu... Azure AD vous aide protéger votre entreprise et valoriser vos utilisateurs. En savoir plus Sur Azure AD Recommandé Sync with Windows Server AD Sync users and groups from your on- premises directory to your Azure AD 00000000 Connexions des utilisateurs Connexicns pour • Tous les utilisateurs • entre le 21,01/2022 et 20/0... Supprimer Tåches rapides Azur... Ajouter un utilisateur Ajouter un utilisateur i... Ajouter un groupe Rechercher un utilisateur Rechercher un groupe Rechercher une applica.__ Portail Azure portal.azurecom Détections de risques 23 janw Nouveautés go janv. E févr. 20 few. Azure AD Connect Synchronisation Journaux d'audit Afficher "activité Azure AD makes the leaders quadrant in Gartner's 2017 Magic Quadrant for Access Management Azure Information Protection (formerly Rights Management Service) is available in the Azure portal

Comment avez-vous trouvé ce billet ?

N'hésitez pas à voter !

Score moyen 5 / 5. Nombre de vote 7


guest

0 Commentaires
Inline Feedbacks
View all comments