Qu’est-ce qu’une attaque par mot de passe ?
Une exigence pour l’authentification unique fédérée est la disponibilité des points de terminaison pour l’authentification sur Internet. La disponibilité des points de terminaison d’authentification sur Internet permet aux utilisateurs d’accéder aux applications même s’ils ne se trouvent pas sur un réseau d’entreprise.
Cela signifie également que certains acteurs malveillants peuvent tirer parti des points de terminaison fédérés disponibles sur Internet pour utiliser ces points de terminaison afin d’essayer de déterminer des mots de passe ou de créer des attaques par déni de service. L’une de ces attaques de plus en plus courante est appelée attaque par mot de passe.
Il existe deux types d’attaques de mot de passe courantes. Attaque par pulvérisation de mot de passe attaque et par force brute de mot de passe.
Attaque par pulvérisation de mots de passe
Dans une attaque par pulvérisation de mot de passe, ces acteurs malveillants essaient les mots de passe les plus courants sur de nombreux comptes et services différents pour accéder aux ressources protégées par mot de passe qu’ils peuvent trouver. Elles concernent généralement de nombreuses organisations et fournisseurs d’identité différents. Par exemple, un attaquant utilise une boîte à outils couramment disponible pour énumérer tous les utilisateurs de plusieurs organisations, puis essaie « P@$$w0rD » et « Password1 » sur tous ces comptes. Pour vous donner une idée de cette pratique, une attaque peut ressembler à ceci :
| Utilisateur cible | Mot de passe cible |
|---|---|
| User1@org1.com | Password1 |
| User2@org1.com | Password1 |
| User1@org2.com | Password1 |
| User2@org2.com | Password1 |
| ... | ... |
| User1@org1.com | P@$$w0rD |
| User2@org1.com | P@$$w0rD |
| User1@org2.com | P@$$w0rD |
| User2@org2.com | P@$$w0rD |
Ce modèle d’attaque échappe à la plupart des techniques de détection car, du point de vue d’un utilisateur individuel ou d’une entreprise, l’attaque ressemble à un échec de connexion isolé.
Pour les attaquants, c’est un jeu de chiffres : ils savent que certains mots de passe sont les plus courants. Les attaquants obtiendront quelques résultats pour chaque millier de comptes attaqués, et c’est suffisant pour être efficace. Ils utilisent les comptes pour obtenir des données à partir d’e-mails, collecter des informations de contact et envoyer des liens d’hameçonnage ou simplement développer le groupe cible de pulvérisation de mot de passe. Les attaquants ne se soucient guère de l’identité de ces cibles initiales, mais simplement du fait qu’ils obtiennent certains résultats qu’ils peuvent exploiter.
Toutefois, en effectuant quelques étapes pour configurer correctement AD FS et le réseau, les points de terminaison AD FS peuvent être sécurisés contre ce type d’attaques. Cet article englobe 3 domaines qui doivent être configurés correctement pour vous aider à vous protéger contre ces attaques.
Attaque par mot de passe par force brute
Dans cette forme d’attaque, un attaquant tente plusieurs tentatives de mot de passe sur un ensemble ciblé de comptes. Dans de nombreux cas, ces comptes sont ciblés sur les utilisateurs qui ont un niveau d’accès plus élevé au sein de l’organisation. Il peut s’agir de cadres au sein de l’organisation ou d’administrateurs qui gèrent l’infrastructure critique.
Ce type d’attaque peut également entraîner des modèles DOS. Cela peut se trouver au niveau du service où AD FS ne peut pas traiter un grand nombre de demandes en raison d’un nombre insuffisant de serveurs. Cela peut être au niveau de l’utilisateur où un utilisateur est bloqué hors de son compte.
Sécurisation d’AD FS contre les attaques de mot de passe
Toutefois, en effectuant quelques étapes pour configurer correctement AD FS et le réseau, les points de terminaison AD FS peuvent être sécurisés contre ces types d’attaques. Cet article englobe 3 domaines qui doivent être configurés correctement pour vous aider à vous protéger contre ces attaques.
- Niveau 1, Base de référence : il s’agit des paramètres de base qui doivent être configurés sur un serveur AD FS pour garantir que les acteurs malveillants ne peuvent pas attaquer par force brute les utilisateurs fédérés.
- Niveau 2, Protection de l’extranet : il s’agit des paramètres qui doivent être configurés pour que l’accès à l’extranet soit configuré pour utiliser des protocoles sécurisés, des politiques d’authentification et des applications appropriées.
- Niveau 3, Passer à un mot de passe sans mot de passe à l’accès extranet : il s’agit de paramètres et d’instructions avancés pour permettre l’accès aux ressources fédérées avec des informations d’identification plus sécurisées plutôt que des mots de passe susceptibles d’être attaqués.
Niveau 1 : Base de référence
Dans AD FS 2016, implémentez le verrouillage intelligent extranet. Le verrouillage intelligent extranet suit les emplacements familiers et permet à un utilisateur valide de passer s’il s’est précédemment connecté avec succès à partir de cet emplacement. En utilisant le verrouillage intelligent extranet, vous pouvez vous assurer que les mauvais acteurs ne seront pas en mesure d’attaquer les utilisateurs par force brute, tout en permettant aux utilisateurs légitimes d’être productifs.
Si vous n’utilisez pas AD FS 2016, nous vous recommandons vivement de passer à AD FS 2016. Il s’agit d’un chemin de mise à niveau simple à partir d’AD FS 2012 R2. Si vous utilisez AD FS 2012 R2, implémentez le verrouillage extranet. L’un des inconvénients de cette approche est que les utilisateurs valides peuvent être bloqués de l’accès à l’extranet si vous êtes dans un modèle de force brute. AD FS sur Server 2016 n’a pas cet inconvénient.
Surveiller et bloquer les adresses IP suspectes
Si vous disposez Microsoft Entra ID P1 ou P2, implémentez Connect Health pour AD FS et utilisez les notifications de rapport IP à risque qu'il fournit.
a. La licence ne s’adresse pas à tous les utilisateurs et nécessite 25 licences par serveur AD FS/WAP, ce qui peut être facile pour un client.
b. Vous pouvez maintenant examiner les adresses IP qui génèrent un grand nombre de connexions ayant échoué.
c. Pour cela, vous devez activer l’audit sur vos serveurs AD FS.
Bloquez les adresses IP suspectes. Cela bloque potentiellement les attaques DOS.
a. Si cela se produit sur le 2016, utilisez la fonctionnalité d’adresses IP extranet interdites pour bloquer toutes les demandes provenant d’adresses IP marquées d’un indicateur #3 (ou analyse manuelle).
b. Si vous utilisez AD FS 2012 R2 ou une version antérieure, bloquez l’adresse IP directement à Exchange Online et éventuellement sur votre pare-feu.
Si vous disposez de Microsoft Entra ID P1 ou P2, utilisez la protection par mot de passe Microsoft Entra pour empêcher les mots de passe détectables d'accéder dans Microsoft Entra ID.
a. Si vous avez des mots de passe devinables, vous pouvez les déchiffrer en seulement 1 à 3 tentatives. Cette fonctionnalité empêche leur définition.
b. D’après nos statistiques en préversion, près de 20 à 50 % des nouveaux mots de passe sont bloqués. Cela implique que % des utilisateurs sont vulnérables aux mots de passe facilement devinés.
Niveau 2 : Protéger votre extranet
Passez à l’authentification moderne pour tous les clients accédant à partir de l’extranet. Les clients de messagerie en sont une grande partie.
a. Vous devez utiliser Outlook Mobile pour les appareils mobiles. La nouvelle application de messagerie native iOS prend également en charge l’authentification moderne.
b. Vous devez utiliser Outlook 2013 (avec les derniers correctifs CU) ou Outlook 2016.
Activez l’authentification multifacteur pour tous les accès extranet. Cela vous offre une protection supplémentaire pour tout accès extranet.
a. Si vous avez Microsoft Entra ID P1 ou P2, utilisez des stratégies d'accès conditionnel Microsoft Entra pour contrôler cela. C’est mieux que d’implémenter les règles dans AD FS. En effet, les applications clientes modernes sont appliquées plus fréquemment. Cela se produit dans Microsoft Entra ID lors de la demande d'un nouveau jeton d'accès (généralement toutes les heures) à l'aide d'un jeton d'actualisation.
b. Si vous n'avez pas Microsoft Entra ID P1 ou P2 ou si vous avez des applications supplémentaires sur AD FS auxquelles vous autorisez l'accès basé sur Internet, implémentez authentification multifacteur Microsoft Entra et configurez une stratégie d'authentification multifacteur globale pour tous les accès extranet.
Niveau 3 : passer à un mot de passe sans mot de passe pour l’accès extranet
Accédez à Windows 10 et utilisez Hello Entreprise.
Pour d'autres appareils, s'ils sont sur AD FS 2016, vous pouvez utiliser l'authentification multifacteur OTP Microsoft Entra comme premier facteur et mot de passe comme 2e facteur.
Pour les appareils mobiles, si vous autorisez uniquement les appareils gérés par GPM, vous pouvez utiliser Certificats pour connecter l’utilisateur.
Gestion urgente
Si l’environnement AD FS fait l’objet d’une attaque active, les étapes suivantes doivent être implémentées au plus tôt :
- Désactivez les points de terminaison de nom d’utilisateur et de mot de passe dans AD FS et exigez que tout le monde utilise un VPN pour accéder ou se trouver à l’intérieur de votre réseau. Pour cela, vous devez avoir terminé l’étape Niveau 2 #1a. Sinon, toutes les requêtes Outlook internes seront toujours acheminées via le cloud via l’authentification proxy EXO.
- Si l’attaque arrive uniquement via EXO, vous pouvez désactiver l’authentification de base pour les protocoles Exchange (POP, IMAP, SMTP, EWS, etc.) à l’aide de stratégies d’authentification. Ces protocoles et méthodes d’authentification sont utilisés sur la majorité de ces attaques. En outre, les règles d’accès client dans EXO et l’activation du protocole par boîte aux lettres sont évaluées après l’authentification et n’aideront pas à atténuer les attaques.
- Offre sélectivement un accès extranet à l’aide du Niveau 3 #1-3.