Microsoft 365 et Teams sont désormais aussi répandus que MS Office. Mais avec l’arrivée du cloud, les entreprises reçoivent également Azure Active Directory gratuitement – et souvent à l’insu de leur propre service informatique. Ce service représente un risque de sécurité pour tous les utilisateurs, qui peut toutefois être maîtrisé avec quelques outils. Dans l’interview sur la nouvelle iX 4/2022 Frank Ully, auteur de la couverture, explique ce à quoi les administrateurs doivent faire attention
L’interview de l’iX 4/2022
Frank Ully est responsable de la recherche chez Oneconsult Deutschland AG à Munich. Il s’occupe de la sécurité informatique offensive.
La gestion d’un Active Directory fait partie des tâches les plus anciennes de tout administrateur Windows. Pourquoi les responsables doivent-ils maintenant se préoccuper particulièrement de la sécurité du service d’annuaire ?
Un nom plus approprié pour Azure Active Directory serait en fait Azure Identity Services, car il a si peu de choses en commun avec l’AD classique, si ce n’est sa fonction de base de service d’identité et d’annuaire. Simplement parce que l’on a maintenant affaire au cloud et aux technologies qui y sont hébergées, certaines choses sont très inhabituelles par rapport à on Premises. Dans Azure AD, il n’y a pas de protocole d’interrogation LDAP ni d’authentification Kerberos avec tickets, mais des API résiduelles et OAuth 2.0 ou OpenID Connect et des jetons web JSON.
Microsoft 365 est devenu le nouveau quasi-standard. Le service informatique doit-il s’occuper d’Azure AD et de sa sécurité même s’il ne veut qu’un bureau en nuage ?
Malheureusement oui, car Azure AD est essentiel pour tous les services cloud de Microsoft. Tant les offres SaaS comme Microsoft 365 que la plateforme Azure avec les services IaaS/PaaS comme les machines virtuelles ou les comptes de stockage utilisent un mandant Azure AD pour la gestion des utilisateurs et des droits. En tant qu’administrateur, on ne se rend peut-être pas compte que l’on doit en fait gérer – et sécuriser – non seulement un ou plusieurs abonnements à Microsoft 365 ou Azure, mais aussi un tenant Azure AD pour sa propre organisation.
Les administrateurs devraient-ils sécuriser Azure AD comme les autres services cloud essentiels, ce qui est déjà difficile, ou y a-t-il d’autres particularités à prendre en compte ?
Tout d’abord, il faut simplement modifier quelques paramètres par défaut non sécurisés dans Azure AD, avec lesquels « ça marche », mais qui peuvent créer des failles de sécurité. Il est également possible de durcir Microsoft 365 et les services Azure.
Comme Azure AD peut être relié à un Active Directory on Premises via Azure AD Connect, il faut également tenir compte de choses locales qui ont une influence sur la sécurité de son environnement cloud. Un serveur Azure AD Connect ou un serveur interconnecté sont à peu près aussi critiques pour la sécurité qu’un contrôleur de domaine et doivent être traités en conséquence.
En outre, le cloud Azure et, avec lui, Azure AD, se développent encore très rapidement, contrairement à l’AD classique. Rien que sur les mécanismes de sécurité centraux comme l’accès conditionnel, on pourrait écrire un petit livre qui serait déjà dépassé après l’impression – de nouvelles fonctions et de nouveaux paramètres y sont ajoutés en permanence. En outre, Azure AD est également un domaine intéressant pour les chercheurs en sécurité ; de nouvelles attaques telles que le phishing de code d’appareil sont régulièrement annoncées, et les propriétés de sécurité de nombreux éléments natifs du cloud doivent souvent être examinées et comprises – les autorisations sur l’API Microsoft Graph commencent tout juste à être examinées de plus près. Bref, il est difficile de suivre le rythme.
Azure Active Directory est en premier lieu conçu pour ses fonctions, l’informatique doit ensuite s’occuper elle-même des paramètres de sécurité corrects. Est-ce que Microsoft fournit déjà les bons outils pour cela ?
Microsoft essaie d’attirer l’attention des administrateurs sur les possibilités d’amélioration et les paramètres non sécurisés, avec des fonctions intégrées telles que Defender pour le Cloud – anciennement Azure Security Center. Les fonctions de base ne nécessitent pas de licences spéciales, les normes de sécurité peuvent être activées sans licence premium. Mais pour certaines fonctions de sécurité comme l’accès conditionnel ou la protection des connexions basée sur les risques, il faut au moins quelques licences plus chères.
Il existe toutefois de nombreux outils de sécurité à code source libre qui peuvent être téléchargés sur GitHub. Ils examinent soit des aspects très spécifiques, soit le potentiel d’amélioration d’Azure et d’Azure AD en général.
L’un des grands avantages de Microsoft 365 réside dans les mises à jour continues et les nouvelles fonctionnalités. Comment s’assurer que celles-ci n’apportent pas de nouvelles cibles d’attaque et de nouvelles vulnérabilités ?
Comme toujours lors de l’utilisation de nouveaux produits ou de nouvelles technologies, aussi difficile que cela puisse être dans le quotidien de l’administrateur, il faut prendre le temps de s’y intéresser : lors de l’installation, lire les textes d’aide intégrés et suivre les liens vers des informations supplémentaires, consulter la documentation en ligne très complète de Microsoft et interroger le moteur de recherche de confiance pour savoir ce qu’en disent les chercheurs en sécurité et les testeurs d’intrusion. Et de rester à l’écoute après la mise en service.
Frank, merci beaucoup. Les lecteurs trouveront dès maintenant tout ce qu’il faut savoir sur Azure Active Directory et les principaux aspects de la sécurité dans Magazine ainsi que dans heise+. Un aperçu de tous les thèmes du nouveau magazine se trouve dans la table des matières de l’iX 4/2022. Le numéro complet de mars peut être acheté dans la boutique heise en format PDF ou en version imprimée.
L’interview a été réalisée à l’origine pour le iX-a été créée. Elle est publiée chaque mois à la date de parution de chaque nouveau numéro et propose des informations de fond passionnantes sur les principaux thèmes du magazine. L’inscription est gratuite.