Se connecter
Comment les hackers ciblent votre Active Directory à l'aide de mots de passe VPN craqués
En tant que passerelles permettant l'accès aux réseaux d'entreprises, les VPN sont une cible attractive pour les hackers qui cherchent à accéder à votre Active Directory. Et lorsque vos identifiants VPN sont compromis, par exemple suite à un acte en apparence inoffensif, comme la réutilisation d'un mot de passe par un employé, la sécurité globale de votre réseau entier peut être exposée. Voici ce qu'il faut savoir sur l'usage que font les hackers des mots de passe VPN craqués, et comment vous pouvez protéger votre entreprise.
Le rôle des VPN dans la sécurité du réseau
Un VPN, pour l'anglais Virtual Private Network (réseau privé virtuel), crée un tunnel chiffré entre le système d'un utilisateur et votre réseau d'entreprise pour permettre à l'utilisateur d'accéder à distance, en toute sécurité, à des ressources internes. Grâce aux connections chiffrées, les VPN protègent la transmission des données sur n'importe quel réseau, sécurisant ainsi toutes les communications, même sur les points d'accès internet publics.
Les entreprises ont recours aux VPN dans deux buts principaux : permettre le télétravail, et permettre un accès sécurisé aux ressources internes depuis un lieu externe. Or, la hausse du recours aux VPN crée de nouvelles problématiques de sécurité lorsque les identifiants deviennent compromis.
Comment les mots de passe VPN craqués peuvent donner accès à votre Active Directory
Les recherches récentes menées par Specops ont révélé que plus de 2,1 millions de mots de passe VPN avaient été subtilisés l'an passé. Les hackers ont recours à différentes techniques pour récupérer les identifiants VPN : déploiement de malwares sophistiqués, création de campagnes de hameçonnage convaincantes ou encore installation d'enregistreurs de frappe ou création de faux portails de connexion aux VPN.
Ensuite, les identifiants dérobés sont stockés dans d'immenses bases de données de mots de passe et revendus sur le dark web, ce qui permet aux hackers d'acheter facilement des accès aux réseaux des entreprises. Mais le risque le plus important n'est pas le vol initial des mots de passe, mais leur réutilisation. Nombreux sont les employés qui utilisent leurs identifiants Active Directory pour accéder au VPN de leur entreprise ; c'est une configuration courante, et souvent voulue comme telle. Parfois, certains réutilisent ces mêmes mots de passe sur des services VPN personnels. Les études menées ont révélé que 52 % des adultes réutilisaient leurs mots de passe sur différents comptes, et qu'un adulte sur huit utilisait le même mot de passe pour tous ses services en ligne.
La réutilisation de mots de passe crée un scénario dangereux : si les hackers parviennent à craquer un service VPN personnel, cela signifie qu'ils peuvent potentiellement accéder aux identifiants Active Directory. Même les grands fournisseurs de VPN sont vulnérables. Les utilisateurs de ProtonVPN en ont fait les frais, puisque 1,3 millions d'identifiants ont été dérobés, tandis qu'ExpressVPN et NordVPN ont perdu chacun près de 100 000 mots de passe craqués par des malwares.
Que font les hackers des mots de passe craqués ?
Une fois les identifiants VPN obtenus, les hackers jouissent d'un accès au réseau initial en se faisant passer pour des utilisateurs légitimes. Une fois entrés, ils emploient diverses techniques de mouvement latéral, notamment via des attaques dites « Pass-the-Hash » ou « Pass-the-Ticket », qui utilisent par des jetons d'identification compromis pour accéder à des systèmes complémentaires sans avoir besoin des mots de passe d'origine.
Après cela, les hackers s'affairent à augmenter leurs privilèges et exploitent les points de vulnérabilité ou utilisent l'ingénierie sociale pour obtenir des accès de type administrateur. Les identifiants d'administrateurs VPN compromis, eux, sont un véritable jackpot pour les assaillants, puisqu'ils leur permettent d'agir directement sur les contrôleurs de domaine et les paramètres de sécurité. Mais même un compte utilisateur standard vaut son pesant d'or, puisqu'il permet aux hackers de se rapprocher progressivement des accès d'administrateur de domaine via des attaques d'élévation des privilèges.
Se défendre contre les violations de mot de passe VPN
Vous cherchez à protéger votre Active Directory contre les violations d'identifiants VPN ? Votre approche doit aller plus loin que le simple respect des critères de base requis pour vos mots de passe. Les mesures de sécurité suivantes peuvent vous aider à protéger votre entreprise contre les accès non autorisés.
Renforcer vos politiques en matière de mots de passe
Les critères classiques de complexité des mots de passe ne suffisent pas à assurer une protection adéquate. Pour renforcer votre sécurité, vos politiques en matière de mots de passe devraient interdire à vos employés d'utiliser des mots de passe dont ils savent qu'ils ont été compromis, quel que soit leur niveau de complexité. Par ailleurs, exiger un changement régulier des mots de passe et mettre en place des règles relatives aux anciens mots de passe vous aidera à limiter l'impact de toute violation.
L'authentification multifacteur (MFA)
L'un des meilleurs moyens de renforcer votre sécurité est de mettre en place un système de MFA pour accéder à votre VPN. En effet, imposer un second facteur d'authentification permet d'empêcher les hackers munis d'identifiants valides d'accéder à vos systèmes. L'idée est de mettre en place la MFA via des applications d'authentification ou des tokens, et d'imposer ces systèmes pour toute connexion VPN.
Surveillance et contrôle
Les systèmes de détection des intrusions (IDS) et les systèmes de gestion des informations et des événements de sécurité (SIEM) permettent de surveiller les tentatives de connexion au VPN et l'activité des utilisateurs. Vos équipes de sécurité doivent chercher à détecter toute activité inhabituelle, telle que des accès en dehors des horaires de bureau, des tentatives répétées de connexion échouées, ou des connexions à partir d'adresses inhabituelles. N'oubliez pas également de réaliser régulièrement des audits de sécurité, car ceux-ci peuvent vous permettre d'identifier les potentiels points de vulnérabilité avant que les hackers puissent les exploiter.
Former et sensibiliser les employés
Proposer des formations régulières de sensibilisation à la sécurité axées sur l'identification des tentatives de hameçonnage et sur la compréhension des risques liés à la réutilisation de mots de passe. De plus, on peut aider les employés à reconnaître une véritable page de connexion au VPN et leur enseigner les pratiques sûres en matière de mots de passe, notamment via le recours à des gestionnaires de mots de passe pour générer et stocker des identifiants uniques.
Analyser votre Active Directory pour identifier tout mot de passe craqué
Pour parer aux failles de sécurité et déceler les potentiels points de vulnérabilité avant que les hackers puissent les exploiter, vérifiez régulièrement vos mots de passe Active Directory à l'une des bases de données recensant les identifiants compromis connus. Les outils tels que Specops Password Policy vous permettent de contrôler en continu vos mots de passe Active Directory au regard d'une base de données exhaustive recensant les identifiants compromis, afin d'empêcher toute utilisation de mots de passe volés avant qu'ils ne donnent lieu à une violation.
Réagir en cas d'identifiants compromis
Le télétravail et les services de cloud sont là pour un bon moment, ce qui renforce l'importance qui doit être accordée à la sécurité des VPN. Lorsqu'un hacker craque des identifiants VPN, il peut prendre le contrôle de tout votre environnement Active Directory.
Instaurer des politiques robustes en matière de mots de passe, mettre en place la MFA, assurer une surveillance vigilante, et vérifier régulièrement l'absence d'identifiants compromis sont des mesures qui peuvent limiter votre exposition aux attaques via VPN. Avec les bons outils et les bonnes mesures de sécurité, tels que Specops Password Policy, vous pouvez empêcher les hackers de se servir de mots de passe VPN volés pour entrer dans votre Active Directory. Contactez-nous pour un essai gratuit.
Sur le même thème
Voir tous les articles Cybersécurité
Par Clément Bohic
9 min.Par Philippe Leroy
Par Philippe Leroy
Par Julien Fournier *
Par La rédaction
