Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

Azure AD et Sécurité : bon ménage ?


Auteur : Michael Molho

Date de publication : 21 septembre 2018 - Dernière mise à jour : 24 septembre 2018


Dans l’écosystème Microsoft Cloud, une des briques principales est l’ Azure Active Directory, aussi appelée Azure AD. Fondamentalement, il s’agit du même composant que le traditionnel Active Directory local mais dans le Cloud. De la même manière que l’AD local, l’Azure AD contient la liste de tous les utilisateurs et groupes de sécurité d’une entreprise avec tous leurs attributs respectifs tels que :

  • Nom et prénom
  • Numéro de téléphone
  • Adresse email
  • Username
  • Groupes d’appartenance
  • Etc…

L’administration de l’Azure AD se fait directement via la console Web centralisée Azure sur https://portal.azure.com/:

Azure AD et Sécurité : bon ménage ?

Une fonctionnalité « étonnante » de la solution est que n’importe quel utilisateur disposant d’une adresse email sur le domaine peut accéder à la console d’administration depuis Internet et consulter toutes les informations liées aux utilisateurs du domaine. Il peut « dumper » l’ensemble du domaine.

Il est par exemple possible de :

  • Lister tous les utilisateurs et groupes de l’Azure AD
  • Lister tous les appareils utilisés par les utilisateurs
  • Lister toutes les applications d’entreprise
  • Inviter un utilisateur externe dans l’Azure AD de l’entreprise
  • Créer des groupes de sécurité

Listing de tous les utilisateurs

Azure AD et Sécurité : bon ménage ?

Listing des groupes de sécurité

Azure AD et Sécurité : bon ménage ?

Listing de tous les appareils des utilisateurs

Azure AD et Sécurité : bon ménage ?

Tout cela représente une fuite d’information conséquente. Si un seul compte de l’entreprise est compromis, un attaquant pourrait alors accéder à toutes ces données sur les utilisateurs, les groupes et les appareils de l’entreprise.

Comment tester si je suis concerné(e) ?

C’est très simple :

Quels risques pour l’entreprise ?

Il est tout de même intéressant de mettre cela en perspective par rapport à un Active Directory local. En effet, par défaut, sur un Active Directory interne, n’importe quel utilisateur possède les permissions pour « dumper » de la même manière toutes les informations sur les utilisateurs et les groupes de l’entreprise. Quel est donc le risque dans le cas de l’Azure AD Cloud de Microsoft ?

La grande différence entre l’Azure AD et un AD interne, c’est que dans le cas de l’Azure AD Microsoft, toutes ces informations sont accessibles directement depuis Internet. Dans le cas d’un AD local, il faut être physiquement présent dans le réseau pour accéder aux données. Pour l’Azure AD, tout se passe « online » depuis Internet. Le risque est donc beaucoup plus important.

Il suffit qu’un seul compte (login/mot de passe) d’un utilisateur soit compromis, pour que l’ensemble de l’annuaire de l’entreprise soit directement exposé.

Cela peut permettre à un attaquant de cibler ses actions vers les utilisateurs ayant des droits élevés, par exemple dans des groupes de type « Admin … » ou « VPN … ». Ces informations peuvent également être utilisées pour mener une campagne de phishing massive sur tous les utilisateurs de l’entreprise. Pire que cela, en utilisant la connaissance des groupes de sécurité, il serait possible de cibler uniquement la population des ressources humaines, de la comptabilité de l’entreprise ou directement du board.

Est-il possible de bloquer cela ?

Après quelques recherches, il semble que la réponse à cette question ne soit pas si simple. Dans le portail d’administration Azure, il y a une option qui semble parfaitement adaptée :

Azure AD et Sécurité : bon ménage ?

En effet, après avoir positionné cette option à « Yes », il n’est plus possible pour un utilisateur lambda d’accéder au portail Web Azure … MAIS ! Il est toujours possible d’obtenir toutes les informations sur les utilisateurs via PowerShell pour Azure ou un programme .NET avec le framework Azure …

En utilisant par exemple Azure CLI ( https://docs.microsoft.com/en-us/cli/azure/install-azure-cli?view=azure-cli-latest), il est toujours possible d’obtenir la liste des utilisateurs, bien que l’option de blocage soit activée :

Azure AD et Sécurité : bon ménage ?

Toutes les actions décrites précédemment sont en fait toujours faisables techniquement avec un compte lambda via PowerShell ou .NET. Seul l’accès à la console Web est en fait bloqué.

En creusant encore un peu plus, il semble que deux autres pistes soient envisageables :

  • 1. Utiliser les « Conditional Access Policies » : nécessite une licence Azure Premium
  • 2. Configurer l’option « UsersPermissionToReadOtherUsersEnabled » à « False ». Cette option est cependant globale à toute l’entreprise. Elle ne permet pas de gérer des permissions par groupes d’utilisateurs.

Aucune solution ne semble vraiment idéale. C’est la raison pour laquelle nous sommes actuellement en contact avec Microsoft pour avoir leur retour. Si nous obtenons de nouvelles informations intéressantes, nous ne manquerons pas de mettre à jour cet article.

Démonstration de nos ingénieurs