Les données de l’Azure Active Directory trop facilement exposées
Les identifiants d’un seul compte permettent d’accéder par défaut à l’ensemble des données de l’Azure Active Directory d’une entreprise, alerte la firme romande e-Xpert Solutions. Une fonctionnalité «by design» qui n’est pas sans danger.
Il suffit qu’un seul compte utilisateur soit compromis, pour que l’ensemble de l’Azure Active Directory (Azure AD) d’une entreprise soit directement exposé. Un danger sur lequel alerte e-Xpert Solutions. Senior Security Engineer chez cet intégrateur romand de solutions de sécurité, Michael Molho explique à ICTjournal avoir été surpris de constater qu’il suffit de disposer des identifiants (adresse mail et mot de passe) d’un seul compte lié au domaine d’une entreprise pour pouvoir accéder depuis internet à la console d’administration Azure AD. Il est ensuite possible de consulter via cette dernière toutes les données des utilisateurs de l’entreprise en question. Mais aussi la liste de tous les appareils utilisés et de toutes les applications d’entreprise. Un accès à Azure AD permet en outre d’inviter un utilisateur externe et de créer des groupes de sécurité. Une aubaine pour un individu malintentionné, qui aurait ainsi l’occasion de mettre la main sur toutes ces données et mener des attaques ciblant des utilisateurs ayant des droits élevés.
Une option pour restreindre l’accès
Contacté par l’expert, Microsoft a expliqué que le fait que ce mode d’accès à Azure AD est une fonctionnalité «by design», donc pensée ainsi, et qui se calque sur les modalités de la version locale d’Active Directory (AD). Un choix très surprenant, de l’avis du spécialiste d’e-Xpert, puisque les risques sont démultipliés sur le cloud. Dans le cas d’un AD local, il faut être physiquement présent dans le réseau pour accéder aux données, souligne Michael Molho, avant d’ajouter: «Le plus étonnant est surtout que cet accès totalement ouvert est activé par défaut, alors que les paramètres du portail d’administration Azure possèdent une option pour restreindre l’accès à Azure AD». De plus, même en activant cette option, l’accès reste possible sans connaissances techniques poussées: «Toutes les actions décrites précédemment sont en fait toujours faisables techniquement avec un compte lambda via PowerShell ou .NET. Seul l’accès à la console Web est en fait bloqué», détaille l’expert dans un billet de blog.
Pour se prémunir contre une intrusion dans Azure AD, les entreprises doivent impérativement activer la restriction d’accès dans les paramètres de portail Azure. Le problème soulevé souligne en outre l’importance de sensibiliser les collaborateurs sur les risques liés au phishing, risques souvent négligés selon une enquête récente menée auprès des PME vaudoises. Selon le spécialiste d’e-Xpert, la mise en place d’une authentification à deux facteurs pour se connecter à Azure AD représente une couche de sécurité supplémentaire bienvenue. Ce type d’authentification passant par un code PIN ou la reconnaissance biométrique (visage ou les empreintes digitales) est depuis peu supporté pour la gestion des identités Azure Active Directory (AD) via l’application de Authenticator de Microsoft.
Démonstration vidéo d’une intrusion dans Azure AD :
