Les contre-mesures techniques

Les moyens intégrés au monde Microsoft

Microsoft fait d’énormes efforts pour donner aux administrateurs les moyens de sécuriser ses systèmes. On peut dire que depuis quelques années, ces efforts sont payants et donnent aux utilisateurs finaux des outils remarquablement bien protégés. Il reste bien sûr aux administrateurs à prendre en main ces outils et à les configurer correctement. Ce livre n’est pas dédié à l’apprentissage complet de ces moyens de protection, mais davantage à l’approfondissement de certains points importants en prenant en compte le fait que vous connaissez déjà, du moins en partie, l’administration des systèmes Windows. Vous aurez avec ces éléments au moins les clés essentielles pour mieux sécuriser votre environnement.

Les moyens d’installation et de configuration des produits peuvent varier suivant la version du produit que vous utilisez. Si certaines explications vous paraissent trop brèves et peut-être insuffisantes ou ne correspondent pas à la version de logiciel que vous avez, nous vous invitons alors à consulter les nombreux ouvrages des Éditions ENI qui traitent des sujets comme Active Directory ou l’administration des serveurs Windows Server 2012. Ces livres vous donneront de plus amples informations sur la configuration des services et des moyens de défense dans le monde Windows Server.

Configurer une authentification forte

Nous avons démontré que le mot de passe n’est pas fiable car il est plus ou moins facile de l’obtenir par divers moyens : extraction de la SAM, d’AD, fausse boîte de dialogue, keylogger, faux proxy, écoute du réseau, etc. Configurer la sécurité en utilisant un mot de passe complexe réduit uniquement le risque de pouvoir le cracker s’il a été compromis dans une forme non réversible (MD4, NTLM, etc.). Dans les autres cas, le mot de passe est très souvent en clair. Il est quasiment impossible d’empêcher un hacker d’obtenir un mot de passe d’un site web, d’une application d’entreprise, de la session, si l’utilisateur clique sur un fichier infecté en entreprise ou sur son ordinateur personnel.

Les entreprises mettent de plus en plus en place un SSO (Single Sign On) qui permet, une fois la session ouverte, d’accéder à tous les fichiers et toutes les applications. Le SSO est confortable pour l’utilisateur puisque son identité n’est validée qu’une seule fois, c’est donc globalement une bonne chose.

Il y a cependant un énorme risque si le mot de passe de la session est compromis. Une personne malintentionnée aura alors accès à tous les fichiers et toutes les applications de l’entreprise sans restriction. Les applications d’entreprise qui utilisent un mot de passe fixe ont le même risque d’être compromises par un keylogger, un faux proxy, l’écoute du réseau, une fausse boîte de dialogue, etc.

Il est très important de comprendre que l’identité doit être fortement contrôlée que celui-ci un cas de SSO ou même sans SSO. C’est grâce à l’identité de l’utilisateur que celui-ci reçoit ses droits et ses accès aux fichiers et aux applications. C’est pour cela que certaines applications doivent également demander une authentification plus forte qu’un mot de passe ou un SSO afin de ne pas être accessible par une personne malintentionnée (applications de RH, finance, salaires, recherche, etc.).

Pour sécuriser au mieux une infrastructure, il faut prendre en compte que le mot de passe utilisé seul est peu fiable...

Les autres moyens techniques