Sécurité Active Directory, les 10 questions à se poser immédiatement : Toutes les organisations pensent avoir un très bon niveau de sécurité de leur Active Directory…avant…de discuter avec moi !

 Chaque semaine, je discute avec des dizaines d’organisations, des très grandes, des moyennes, des gigantesques… c’est assez varié. Le point commun de l’ensemble de ces organisations, c’est leur certitude d’avoir un environnement Active Directory extrêmement sécurisé, c’est assez amusant.

J’insiste, mes contacts ne veulent pas « m’abuser » ou me « faire croire »… ils sont vraiment persuadés de maintenir un environnement Active Directory sécurisé… Quand je leur demande de fournir une note entre 1 et 10 sur l’estimation du niveau de sécurité de leur Active Directory, la plupart des réponses sont positionnées entre 7 et 9 – ils sont malheureusement très loin de la réalité…plus précisément de leur réalité…

Evidemment, le nouveau paradigme IT fait que la sécurité périmétrique disparait petit à petit au profit de la sécurité de la données et de la sécurité de l’identité – Même à l’heure du Cloud public, l’Active Directory se trouve au centre de cette stratégie Data+Identity – mais – ce qui est paradoxal, c’est que la plupart des designs et infrastructures Active Directory ont été implémentés il y a une dizaine d’années, à une époque où la sécurité périmétrique été reine et le Cloud public s’appelait encore ASP… Il y a donc beaucoup de chose à revoir, quitte à bousculer les certitudes…

Il est au final assez simple de mesurer le niveau de sécurité d’un environnement Active Directory, j’utilise généralement 10 questions assez simples me permettant d’évaluer le niveau de maturité du client sur la partie Active Directory :

Lire la suite

Contrer l’attaque pass-the-hash grâce à Windows 10 et Windows Server 2016: Credential Guard

hacker-1280x600

L’attaque “pass-the-hash” est un phénomène connu depuis quelques années, Microsoft a eu quelques difficultés à trouver des solutions efficaces et universelles pour contrer ce type d’attaque. Fort heureusement Microsoft a intégré dans le couple Windows 10 / Windows Server 2016 les outils pour permettre de gérer ce type d’attaque de façon efficace, et c’est plutôt du bon boulot !

Pour en savoir un peu plus sur pass-the-hash:

Une mini-site complet sur le site de Microsoft décrivant en détails pass-the-hass: https://technet.microsoft.com/en-us/dn785092.aspx

Pass-the-Hash attack : compromise whole corporate networks P1

Pass-the-Hash attack : compromise whole corporate networks P2

Pass-the-Hash attack : compromise whole corporate networks P3

 

Credential Guard de Microsoft, permettant notamment de contrer pass-the-hash:

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/remote-credential-guard

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard

 

Si vous travaillez dans la sécurité ou si vous gérez un environnement Active Directory dans un contexte de sécurité avancé, je vous conseille de consulter et assimiler ces différents concepts.

 

 

19 & 20 Octobre 2016: OCG Identity Security Summit

ocgidentitysummit

Les 19 & 20 Octobre prochains, OCG (Oxford Computer Group) organise son évènement annuel sur la gestion des identités et la transformation digitale. Pour ceux qui ne connaissent pas OCG, il s’agit ici de l’acteur Européen principal dans le monde de l’IAM version Microsoft. Le premier jour sera consacré à la partie technique autour de la gestion des identités et de la sécurité, le deuxième jour verra un focus sur la transformation digitale liée à l’IAM.

Cette année, un invité de marque: Brad Anderson qui est VP chez Microsoft. Informations complémentaires et inscriptions [ici]

 

Microsoft annonce la suppression du support de Identity Management for Unix (IDMU) & NIS Server Role dans Windows Server 2016 Technical Preview (et après)

 

Depuis plus de dix ans, Microsoft propose le support des services NIS au sein d’Active Directory. Bon, ok, NIS c’est complètement pourri et le stockage des mots de passe NIS et leur transport sur le réseau sont un gouffre béant de sécurité sur une infrastructure d’entreprise.

Neanmoins, certaines entreprises utilisent encore NIS (et oui !) et certaines entreprises utilisent les Services for Unix sous la forme ou NIS Server Role dans Active Directory (bon, ok, pas beaucoup, mais j’en connais…)

Sur ce post, Microsoft révèle l’abandon de deux composants liés aux services Unix depuis Active Directory à partir de Windows Server 2016:

  • – NIS Server Role (rôle Windows Server)
  • – Extension IDMU pour la MMC: cette extension à la MMC permet de visualiser les attribut Posix définis dans la RFC2307 directement depuis l’interface ADUC

Pour rappel, voici un exemple d’interface IDMU:

Unix_tab

Attention, cela ne veut pas dire que la RFC2307 n’est plus supportée dans l’annuaire Active Directory, bien au contraire, cela signifie que si l’on veut modifier ces attributs, il faudra utiliser l’onglet Attribute Editor, comme pour tous les autres attributs prévu dans le schéma ou utiliser ADSIEDIT ou encore un client LDAP en écriture.

Pour rappel, voici la listes des attributs RFC2307 utilisés dans Active Directory:

RC2307

Par contre, cela signifie qu’il ne sera plus possible d’utiliser un contrôleur de domaine en émulation d’un service NIS en utilisant uniquement les technologie Microsoft.

Cela va ouvrir la porte vers les ISVs spécialistes de l’intégration Unix/Linux dans Active Directory et surtout à Centrify et Dell qui sont les seuls à proposer une NIS Gateway digne de ce nom.

Si vous êtes utilisateur SFU ou NIS Server Role, n’hésitez pas à me contacter pour définir comment anticiper ce changement majeur au niveau de Windows Server.

Grosse faille de sécurité (grub2) sur les systèmes Linux actuellement en production !

 

Une très grosse faille de sécurité a été mise en evidence sur les systèmes Linux utilisant Grub.

Pour être plus précis il s’agit de la version Grub2 et les versions touchées sont comprises entre la version 1.98 et 2.02. Plus d’information sur Grub2 ici: http://www.linuxpedia.fr/doku.php/expert/grub2

Grub2 est un boot loader utilisé par la majorité des systèmes Linux, ce boot loader intègre un mode particulier, le mode “grub rescue” – Il s’avère que ce mode st accessible simplement en executant la marche suivante:

– démarrage de l’OS (pas en mode graphique, en mode tty1)

– vous arrivez à la mire de login

– vous appuyez 28 fois sur la touche “retour arrière”

– et c’est magique, vous vous retrouvez dans le mode “grab rescue shell” vous permettant d’avoir un accès sans autentification au système

hack-linux-grub-password

Les différentes distributions Linux ont publié un correctif pour cette faille. (voir aussi ici http://git.savannah.gnu.org/cgit/grub.git/commit/)

Pour vérifier la version de grub2 que vous utilisez, il suffit d’éxécuter (debian/ubuntu): ‘grub-install –version’

grub2_version

Cette “mésaventure” nous indique à quel point il est important de:

[1] – Protéger l’accès physique aux machines

[2] – D’avoir un système de protection au boot (BIOS password, loader sécurisé, etc.)

Plus d’information sur la faille sur ces articles:

http://www.securityweek.com/password-bypass-flaw-found-grub2-linux-bootloader

http://thehackernews.com/2015/12/hack-linux-grub-password.html

Bluetooth & BlackHat

Je suis tombé un peu par « hasard » (merci @korben) sur ce site, et notamment sur cet utilitaire BlueMaho permettant, disons, d’explorer les connexions Bluetooth alentour. Il faut bien reconnaitre que l’outil est assez bluffant – bon il faut un peu bidouiller la Debian et les pilotes Bluetooth pour que cela roule, mais une fois la chose lancée, c’est assez fou toute les choses que l’on peut récupérer… Cela n’engage pas trop à activer le Bluetooth sur nos smartphones respectifs…

Quelques copies d’écran de l’utilitaire :

Plus d’information et téléchargement ici : https://wiki.thc.org/BlueMaho

Je vous invite aussi à faire un tour sur la page du projet THC Hydra, très intéressant en terme de rapidité d’exécution par rapport à d’autres utilitaires du même type.

Collusion : Tracer l’usage de votre identité et de votre comportement par des tiers pendant vos sessions web

Nous en sommes plus ou moins conscients, mais chaque connexion sur un site web génère des dizaines de liens et de connexions vers des sites « espions », que ce soit par le fait que nous sommes connectés en session sur un autre site web dans un autre onglet, que ce soit via des extensions du navigateur ou que ce soit tout simplement parce que le site web sur lequel nous naviguons intègre lui-même des plug-in tiers (Google AdWords par exemple) – bref, des dizaines de raisons techniques voulues ou non, permettent à des tiers de suivre, scruter, analyser puis revendre les informations liées à notre comportement de « surfeur Web ».

La fondation Mozilla propose un nouveau plug-in pour Mozilla nommé Collusion permettant d’analyser en temps réel les connexions vers les fameux sites « espions » ou « caché » qui scrutent la session web pendant votre connexion aux différent sites web.

Pour installer cette extension, il suffit de se rendre sur ce site : https://addons.mozilla.org/fr/firefox/addon/lightbeam/

Cliquer sur « +Add to firefox » – L’extension s’installe alors dans le navigateur. Une fois l’extension installée, une page web s’affiche dans votre navigateur Firefox :

Ensuite, lorsque vous êtes en session dans Firefox, un nouveau bouton est disponible, lorsque vous cliquez sur l’icône de l’extension, un onglet supplémentaire s’affiche afin de visualiser en temps réel les connexions vers les sites « espions ».

Deux vues sont possible, la vue de type Graph et la vue de type List.

Il est également possible d’exporter les informations collectées.

Vue Graph :

Vue List :

Encore au stade expérimental, cette extension vous permettra de suivre en temps réel les sites et services qui tracent vos activités lors de vos sessions de surf, non content de vous dresser une cartographie de ces tiers, l’extension va plus loin en montrant les interactions qui lient les sociétés entre elles.

Ne prenez pas peur, W.A.L.

Let’s Encrypt, une autorité de certification gratuite, libre et pilotable ?

J’ai découvert cet après-midi (merci Arnaud Alcabez) ce nouveau projet soutenu notamment par la fondation Mozilla, Akamai ou encore Cisco – le moins que l’on puisse dire, c’est que c’est prometteur…

En effet, Let’s Encrypt propose de fournir une infrastructure de clés publique, ouverte et gratuite pour la mise en œuvre des protocoles SSL/TLS sur les serveurs Web – La promesse est de taille, on ne paye plus, plus de démarche complexe pour obtenir un certificat, tout est gratuit et automatiser.

Le code ouvert est publié sur GitHub, le service permet de totalement automatiser la demande de certificat, la récupération du certificat et l’installation du certificat sur le serveur Web – les échanges entre le serveur Web et le service Let’s Encrypt sont basé sur ACME (Automated Certificate Management Environment). Le service est sensé démarrer été 2015. A suivre de très près !!!

Plus d’information sur le site du projet.

Une backdoor dans Linux ???

icon_linux

 

Il faut regarder cette vidéo, à partir de la 24ème minute… soudain une question du “monsieur loyal” qui amène les “panelists” à une situation inconfortable, la gène est perceptible…. et les démentis d’après conférence n’y feront rien… Si la NSA a une backdoor côté Windows, il n’y a aucune raison qu’il n’y en est pas côté Linux, Android etc… La négation orale conjointe à l’affirmation gestuelle de Linus Torvalds ne nous rassurent guère…