Le sénateur Ron Wyden appelle la Federal Trade Commission (FTC) à enquêter sur « les pratiques de sécurité laxistes de Microsoft ». Il estime que les configurations par défaut de Windows rendent les clients vulnérables et contribuent aux ransomwares, au piratage et à d'autres menaces. Il dénonce l'utilisation par Microsoft du chiffrement obsolète RC4. Les faiblesses de cet algorithme rendent le système d'exploitation sensible à des attaques comme le Kerberoasting, qui cible le protocole Kerberos utilisé pour l’authentification. C'est la deuxième fois en deux ans qu'il utilise le mot « négligence » pour décrire les pratiques de Microsoft en matière de sécurité.Dans une lettre adressée à la FTC, le sénateur Ron Wyden a présenté les conclusions de son enquête sur la violation de données subie l'année dernière par le géant de la santé Ascension. Selon les rapports sur l'incident, il s'agit d'une attaque par ransomware qui a entraîné le vol de données personnelles, de données médicales, d'informations de paiement, d'informations d'assurance et de pièces d'identité gouvernementales de plus de 5,6 millions de patients.
Ron Wyden, dont les collaborateurs ont interrogé ou discuté avec le personnel d'Ascension et de Microsoft dans le cadre de la surveillance exercée par le sénateur, a déclaré que cette attaque « illustre parfaitement » les conséquences négatives des politiques de cybersécurité de Microsoft.
Ascension a déclaré au personnel de Ron Wyden qu'en février 2024, un sous-traitant utilisant l'un des ordinateurs portables de l'entreprise avait utilisé le moteur de recherche Microsoft Bing et le navigateur Microsoft Edge. Le sous-traitant a cliqué sur un lien de phishing, qui a infecté l'ordinateur portable et s'est propagé à l'ensemble du réseau d'Ascension. Les pirates ont obtenu des privilèges administratifs sur les comptes de l'entreprise via Active Directory.
Les pirates ont ensuite propagé le ransomware « à des milliers d'autres ordinateurs de l'organisation ». Dans sa lettre adressée au président de la FTC, Andrew Ferguson, Ron Wyden a indiqué que les pirates avaient utilisé une technique appelée « Kerberoasting » pour accéder à des comptes privilégiés sur le serveur Active Directory d'Ascension. Cette méthode exploite les faiblesses des protocoles de chiffrement obsolètes et vulnérables depuis des décennies.
Active Directory est un autre produit Microsoft qui gère les comptes utilisateurs. L'objectif principal de Microsoft Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows, macOS ou encore Linux.
Qu’est-ce que le Kerberoasting ?
Le Kerberoasting est une technique d’attaque sophistiquée post-exploitation qui cible les comptes de service au sein des environnements Active Directory en exploitant les vulnérabilités du protocole d’authentification Kerberos. Cette attaque basée sur l’identité permet aux acteurs malveillants d’obtenir les hachages de mots de passe des comptes Active Directory associés aux noms principaux de service (SPNs), qui peuvent ensuite être craqués hors ligne pour révéler les identifiants en texte clair.
Les attaques Kerberoasting sont particulièrement préoccupantes, car tout utilisateur authentifié du domaine peut demander des tickets de service Kerberos pour n’importe quel service sur le réseau, indépendamment de son autorisation à accéder à ce service. Ce qui les rend particulièrement dangereuses, c’est leur nature furtive et leur efficacité. L’attaque se déroule entièrement dans les workflows d’authentification légitimes, ce qui la rend difficile à détecter par les mesures de sécurité traditionnelles.
Une fois qu’un attaquant obtient un ticket de service, il peut travailler hors ligne pour craquer le hachage du mot de passe en utilisant des attaques par force brute, évitant ainsi les alertes de détection, les journaux ou les verrouillages de compte. Cette capacité hors ligne, combinée à l’absence de maliciels dans la chaîne d’attaque, rend de nombreuses technologies de défense traditionnelles inefficaces pour identifier et stopper ces attaques.
Microsoft exploite des algorithmes de chiffrement obsolètes
Dans sa lettre, Ron Wyden accuse Microsoft de « négligence grave en matière de cybersécurité ». « Cette technique de piratage exploite le soutien continu apporté par défaut par Microsoft à une technologie de chiffrement non sécurisée datant des années 1980, appelée RC4, dont les agences fédérales et les experts en cybersécurité, y compris ceux travaillant pour Microsoft, avertissent depuis plus d'une décennie qu'elle est dangereuse », a écrit le sénateur.
Pourtant, les organisations qui utilisent RC4 continuent d'être compromises par le Kerberoasting. En 2023, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a mis en garde contre l'exploitation de RC4 et du Kerberoasting dans le secteur de la santé. Un an plus tard, la CISA, le FBI et la NSA ont averti que des pays étrangers comme l'Iran exploitent également cette même technique pour cibler des entreprises américaines.
Ron Wyden s'est interrogé sur les raisons pour lesquelles Microsoft continue à prendre en charge RC4. Le sénateur a déclaré que le choix de Microsoft « expose inutilement ses clients à des ransomwares et autres cybermenaces » et rappelle qu'il existe de meilleures technologies de chiffrement, telles que l'Advanced Encryption Standard (AES), approuvées par le gouvernement fédéral et qui auraient pu mieux protéger les clients de Microsoft.
Envoyé par Ron Wyden
En raison des décisions dangereuses prises par Microsoft en matière d'ingénierie logicielle, que la société a largement cachées à ses clients professionnels et gouvernementaux, il suffit qu'une seule personne dans un hôpital ou une autre organisation clique sur le mauvais lien pour que l'ensemble de l'organisation soit rapidement infecté par un ransomware. Microsoft a complètement échoué à stopper ou même à ralentir le fléau des ransomwares rendus possibles par ses logiciels dangereux.
En réponse à la lettre de Ron Wyden, un porte-parole de Microsoft a déclaré : « RC4 est une ancienne norme et nous décourageons son utilisation tant dans la conception de nos logiciels que dans notre documentation destinée aux clients, ce qui explique pourquoi elle représente moins de 0,1 % de notre trafic ».
RC4 comme moyen par défaut pour sécuriser Active Directory
RC4 est l'abréviation de Rivest Cipher 4, en référence au mathématicien et cryptographe Ron Rivest de RSA Security, qui a développé ce chiffrement par flux en 1987. Il s'agissait d'un chiffrement propriétaire protégé par le secret commercial jusqu'en 1994, date à laquelle un anonyme en a publié une description technique sur la liste de diffusion Cypherpunks. En quelques jours, l'algorithme a été piraté, ce qui signifie que sa sécurité pouvait être compromise à l'aide d'attaques cryptographiques. Malgré sa vulnérabilité connue à ce type d'attaques, RC4 est resté largement utilisé dans les protocoles de chiffrement, notamment SSL et son successeur TLS, jusqu'à il y a environ dix ans.
Microsoft continue toutefois de prendre en charge RC4 comme moyen par défaut pour sécuriser Active Directory. Bien que Windows offre des options de chiffrement plus robustes, de nombreux utilisateurs ne les activent pas, ce qui oblige Active Directory à recourir à la méthode d'authentification Kerberos utilisant le chiffrement RC4 vulnérable.
Matt Green, expert en cryptographie à l'université Johns Hopkins, a déclaré que la prise en charge continue de Kerberos et de RC4, combinée à une configuration incorrecte courante qui permet aux utilisateurs non administrateurs d'accéder à des fonctions privilégiées d'Active Directory, expose les réseaux au « Kerberoasting ». Le Kerberoasting est une technique d'attaque connue depuis 2014, mais Microsoft continue de prendre en charge le chiffrement RC4.
Comme Microsoft l'a lui-même souligné en 2024, même lorsque les comptes Active Directory utilisent des mots de passe forts qui seraient normalement impossibles à pirater, le choix de RC4 comme algorithme de chiffrement sous-jacent les rend « plus vulnérables aux cyberattaques, car il n'utilise ni sel ni hachage itératif lors de la conversion d'un mot de passe en clé de chiffrement, ce qui permet aux cybercriminels de deviner plus rapidement les mots de passe ».
Une conception désastreuse qui met les utilisateurs en danger
Plus de 11 mois après avoir annoncé son intention d'abandonner RC4/Kerberos, Microsoft n'a toujours pas...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
