Vos politiques de sécurité sont-elles efficaces ?

Il existe en Australie une cellule d'audit dédiée au secteur public, OAG, qui rend ses comptes directement au Parlement Australien. Ce qui devrait lui assurer une certaine indépendance. Elle a réalisé une fois de plus cette année un audit sur les mots de passe de l'administration locale. L'audit est assez complet et je vous renvoie vers le rapport pour avoir les détails.

En résumé, sur 234 000 comptes, 25% ont des mots de passe faibles dont certains respectent la politique complexe de l'organisme. Pourquoi juste "certains" ? Et bien car définir une politique sans en forcer la mise en œuvre ni la contrôler c'est comme demander à payer des impôts par courrier anonyme dans une tirelire à Bercy : ça ne marche pas.

Et pour être complet, ces constatations ont été observées :

  • Sur les comptes utilisateurs gérés par l'AD ;
  • Sur les comptes à privilège gérés par l'AD ;
  • Sur les comptes à privilège génériques gérés localement sur les équipements ;

Je vous entends déjà me dire: "L'attaquant doit déjà avoir la base de condensat pour attaquer", oui c'est vrai, et dans le cadre de l'audit ils ont eu accès à cette base de condensat directement. Mais l'audit ne s'est pas arrêté au condensat et s'est penché sur l'architecture d'authentification mise en œuvre. Et là : Surprise !

La foret qui cache la clairière

Active Directory est un formidable outil entre de bonnes mains. Il permet de gérer des parcs gigantesques de manière relativement homogène en permettant à des collaborateurs de se déplacer au sein de l'organisme.
Oui mais voilà, encore faut-il les avoir les bonnes mains et ça n'a pas été tout le temps le cas dans notre exemple car:

  • Une agence héberge(ait?) une vieille version de la base AD qui même si elle n’est pas utilisée reste(ait ?) accessible au support et à certains fournisseurs;
  • Une autre agence partage(ait?) toute sa base AD avec un sous-traitant. L'audit ne fait pas mention de la raison pour laquelle ce partage avait lieu;

Donc en d'autres termes: des données critiques pour l'organisme sont accessibles à des personnes externes sans légitimité et ces données ne sont pas convenablement protégées.

Conclusion

Avoir une politique est un bon début mais cela ne suffit pas : il faut en contraindre la mise en œuvre et en surveiller les résultats pour s'assurer de son efficacité via des indicateurs techniques, et donc le SOC, à compléter par des audits.

Les politiques s'appuyant sur des outils, il est impératif de maitriser les architectures de ces outils pour en identifier les risques et les traiter.
Et en particulier être vigilant sur les environnements "temporaires", "de développement", "de qualification", "de tests". Qui peuvent être source de problème. Comme le prouve cette chaine d'hôtels chinoise dont les données de 130 millions de clients auraient fuitées via une de leur base publiée sur GitHub par un développeur !