{"id":712807,"date":"2023-05-01T13:38:25","date_gmt":"2023-05-01T15:38:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/wanted-dead-or-alive-protection-en-temps-reel-contre-les-mouvements-lateraux\/"},"modified":"2023-05-01T13:38:28","modified_gmt":"2023-05-01T15:38:28","slug":"wanted-dead-or-alive-protection-en-temps-reel-contre-les-mouvements-lateraux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/wanted-dead-or-alive-protection-en-temps-reel-contre-les-mouvements-lateraux\/","title":{"rendered":"Wanted Dead or Alive\u00a0: protection en temps r\u00e9el contre les mouvements lat\u00e9raux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Les nouvelles des pirates<\/span><\/span><span class=\"p-tags\">Cybermenace \/ Authentification<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Il y a quelques ann\u00e9es \u00e0 peine, le mouvement lat\u00e9ral \u00e9tait une tactique r\u00e9serv\u00e9e aux principales organisations de cybercriminalit\u00e9 de l&#8217;APT et aux op\u00e9rateurs des \u00c9tats-nations.  Aujourd&#8217;hui, cependant, il est devenu un outil banalis\u00e9, bien dans les comp\u00e9tences de tout acteur de menace de ransomware.  Cela fait de la d\u00e9tection et de la pr\u00e9vention en temps r\u00e9el des mouvements lat\u00e9raux une n\u00e9cessit\u00e9 pour les organisations de toutes tailles et dans tous les secteurs.  Mais la v\u00e9rit\u00e9 troublante est qu&#8217;il n&#8217;y a en fait aucun outil dans la pile de s\u00e9curit\u00e9 actuelle qui puisse fournir cette protection en temps r\u00e9el, cr\u00e9ant ce qui est sans doute la faille de s\u00e9curit\u00e9 la plus critique dans l&#8217;architecture de s\u00e9curit\u00e9 d&#8217;une organisation. <\/p>\n<p>Dans cet article, nous allons passer en revue les questions les plus essentielles concernant le d\u00e9fi de la protection contre les mouvements lat\u00e9raux, comprendre pourquoi l&#8217;authentification multifacteur (MFA) et la protection des comptes de service sont les lacunes qui la rendent possible, et apprendre comment la plate-forme de Silverfort renverse la situation des attaquants. et rend la protection contre les mouvements lat\u00e9raux enfin \u00e0 port\u00e9e de main.<\/p>\n<blockquote><p><b>Webinaire \u00e0 venir\u00a0:<\/b> Si vous souhaitez en savoir plus sur le mouvement lat\u00e9ral et comment le pr\u00e9venir en temps r\u00e9el, nous vous invitons \u00e0 <b><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/defeat-ransomware-attacks?source=article\" target=\"_blank\">inscrivez-vous \u00e0 notre prochain webinaire<\/a><\/b>.  Des experts de l&#8217;industrie partageront des informations pr\u00e9cieuses sur le sujet et r\u00e9pondront \u00e0 toutes vos questions.<\/p><\/blockquote>\n<p>Pr\u00eat?  Commen\u00e7ons.<\/p>\n<h2><strong>Pourquoi le mouvement lat\u00e9ral est-il un risque critique pour une organisation\u00a0?<\/strong><\/h2>\n<p>Le mouvement lat\u00e9ral est l&#8217;\u00e9tape o\u00f9 la compromission d&#8217;un point de terminaison unique devient la compromission de postes de travail et de serveurs suppl\u00e9mentaires dans l&#8217;environnement cibl\u00e9.  C&#8217;est la diff\u00e9rence entre une seule machine chiffr\u00e9e et un \u00e9ventuel arr\u00eat op\u00e9rationnel.  Le mouvement lat\u00e9ral est utilis\u00e9 dans plus de 80 % des attaques de ransomwares, ce qui en fait un risque pour chaque organisation dans le monde pr\u00eate \u00e0 payer pour racheter ses donn\u00e9es aux attaquants.<\/p>\n<h2><strong>Alors, comment fonctionne r\u00e9ellement le mouvement lat\u00e9ral ?<\/strong><\/h2>\n<p>C&#8217;est en fait assez simple.  Contrairement aux logiciels malveillants, qui se pr\u00e9sentent sous de nombreuses formes diff\u00e9rentes, le processus de d\u00e9placement lat\u00e9ral est simple.  Dans un environnement organisationnel, chaque utilisateur connect\u00e9 \u00e0 un poste de travail ou \u00e0 un serveur peut acc\u00e9der \u00e0 des machines suppl\u00e9mentaires dans cet environnement en ouvrant une invite de ligne de commande et en tapant une commande de connexion, ainsi que son nom d&#8217;utilisateur et son mot de passe.  Cela signifie que tout ce qu&#8217;un adversaire doit faire pour se d\u00e9placer lat\u00e9ralement est de mettre la main sur un nom d&#8217;utilisateur et un mot de passe valides.  Une fois obtenues, l&#8217;attaquant peut alors utiliser ces informations d&#8217;identification compromises pour acc\u00e9der aux ressources comme s&#8217;il s&#8217;agissait d&#8217;un utilisateur l\u00e9gitime.<\/p>\n<h2><strong>Cela semble simple, alors pourquoi est-ce difficile \u00e0 pr\u00e9venir\u00a0?<\/strong><\/h2>\n<p>Aussi surprenant que cela puisse para\u00eetre, <strong>il n&#8217;y a en fait aucun outil dans la pile d&#8217;identit\u00e9 ou de s\u00e9curit\u00e9 qui peut d\u00e9tecter et emp\u00eacher les mouvements lat\u00e9raux en temps r\u00e9el<\/strong>.  En effet, ce qui est requis, c&#8217;est la capacit\u00e9 d&#8217;intercepter l&#8217;authentification elle-m\u00eame, o\u00f9 l&#8217;attaquant fournit les informations d&#8217;identification compromises \u00e0 Active Directory (AD).  Malheureusement, AD &#8211; en tant que logiciel h\u00e9rit\u00e9 &#8211; n&#8217;est capable que d&#8217;un seul contr\u00f4le de s\u00e9curit\u00e9\u00a0: si le nom d&#8217;utilisateur et le mot de passe correspondent.  S&#8217;ils le font, l&#8217;acc\u00e8s est accord\u00e9 ;  sinon, l&#8217;acc\u00e8s est refus\u00e9.  AD n&#8217;a pas la capacit\u00e9 de faire la diff\u00e9rence entre une authentification l\u00e9gitime et une authentification malveillante, seulement la capacit\u00e9 de valider les informations d&#8217;identification fournies.<\/p>\n<h2><strong>Mais l&#8217;AMF ne devrait-elle pas \u00eatre en mesure de r\u00e9soudre ce probl\u00e8me\u00a0?<\/strong><\/h2>\n<p>En th\u00e9orie.  Mais voici le probl\u00e8me\u00a0: vous vous souvenez de la fen\u00eatre de ligne de commande mentionn\u00e9e pr\u00e9c\u00e9demment sur la fa\u00e7on dont le mouvement lat\u00e9ral est ex\u00e9cut\u00e9\u00a0?  Devinez quoi.  L&#8217;acc\u00e8s \u00e0 la ligne de commande est bas\u00e9 sur deux protocoles d&#8217;authentification (NTLM et Kerberos) qui ne prennent pas en charge MFA.  Ces protocoles ont \u00e9t\u00e9 \u00e9crits bien avant que la MFA n&#8217;existe.  Et par &#8220;ne prend pas en charge&#8221;, nous entendons ici que vous ne pouvez pas ajouter au processus d&#8217;authentification une \u00e9tape suppl\u00e9mentaire qui dit, &#8220;ces informations d&#8217;identification sont valides mais attendons que l&#8217;utilisateur v\u00e9rifie son identit\u00e9&#8221;. <strong>C&#8217;est ce manque de protection MFA dans l&#8217;environnement AD &#8211; un angle mort cl\u00e9 &#8211; qui permet aux attaques par mouvement lat\u00e9ral de continuer \u00e0 se produire.<\/strong><\/p>\n<p>\u00c0 ce stade, vous vous demandez peut-\u00eatre pourquoi en 2023 nous utilisons encore une technologie d&#8217;il y a plus de 20 ans qui ne prend pas en charge une mesure de s\u00e9curit\u00e9 de base telle que MFA.  Vous avez raison de poser cette question, mais pour le moment, ce qui est plus important, c&#8217;est le fait que c&#8217;est la r\u00e9alit\u00e9 dans pr\u00e8s de 100 % des environnements, y compris le v\u00f4tre.  C&#8217;est pourquoi il est essentiel de comprendre ces implications en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n<div class=\"article-board\" style=\"text-align: left;\">\n<p>La cr\u00e9ation de politiques MFA faciles \u00e0 mettre en \u0153uvre pour tous vos comptes privil\u00e9gi\u00e9s est le seul moyen de s&#8217;assurer qu&#8217;ils ne sont pas compromis.  Sans avoir besoin de personnalisations ou de d\u00e9pendances de segmentation du r\u00e9seau, vous pouvez \u00eatre op\u00e9rationnel en quelques minutes avec Silverfort. <a rel=\"nofollow noopener\" data-saferedirecturl=\"https:\/\/www.google.com\/url?q=https:\/\/www.silverfort.com\/request-a-demo\/?utm_source%3DTHN%26utm_medium%3Darticle%26utm_campaign%3Dpammarch&amp;source=gmail&amp;ust=1680601833937000&amp;usg=AOvVaw1yElcmKK9-wIitE17Ts-W0\" href=\"https:\/\/www.silverfort.com\/request-a-demo\/?utm_source=THN&amp;utm_medium=article&amp;utm_campaign=may\" target=\"_blank\"><b>D\u00e9couvrez comment prot\u00e9ger vos comptes privil\u00e9gi\u00e9s<\/b><\/a>  de compromis rapidement et en toute transparence gr\u00e2ce \u00e0 des politiques d&#8217;acc\u00e8s adaptatives qui appliquent aujourd&#8217;hui la protection MFA sur toutes les ressources sur site et dans le cloud.<\/p>\n<\/div>\n<h2><strong><br \/><\/strong><\/h2>\n<h2><strong>N&#8217;oublions pas les comptes de service &#8211; invisibles, hautement privil\u00e9gi\u00e9s et presque impossibles \u00e0 prot\u00e9ger<\/strong><\/h2>\n<p>Pour ajouter une autre dimension au d\u00e9fi de la protection contre les mouvements lat\u00e9raux, gardez \u00e0 l&#8217;esprit que tous les comptes ne sont pas cr\u00e9\u00e9s \u00e9gaux.  Certains d&#8217;entre eux sont mat\u00e9riellement plus sensibles aux attaques que d&#8217;autres.  Les comptes de service, utilis\u00e9s pour l&#8217;acc\u00e8s de machine \u00e0 machine, en sont un excellent exemple.  Ces comptes ne sont associ\u00e9s \u00e0 aucun utilisateur humain, ils sont donc moins surveill\u00e9s et parfois m\u00eame oubli\u00e9s par l&#8217;\u00e9quipe informatique.  Mais ils ont g\u00e9n\u00e9ralement des privil\u00e8ges d&#8217;acc\u00e8s \u00e9lev\u00e9s et peuvent acc\u00e9der \u00e0 la plupart des machines de l&#8217;environnement.  Cela en fait une cible de compromis attrayante pour les acteurs de la menace, qui les utilisent chaque fois qu&#8217;ils le peuvent. <strong>Ce manque de visibilit\u00e9 et de protection des comptes de services est le deuxi\u00e8me angle mort sur lequel s&#8217;appuient les acteurs du mouvement lat\u00e9ral<\/strong>. <\/p>\n<h2><strong>Silverfort permet une protection en temps r\u00e9el contre les mouvements lat\u00e9raux<\/strong><\/h2>\n<p><b><a rel=\"nofollow noopener\" href=\"https:\/\/www.silverfort.com\/?utm_source=THN&amp;utm_medium=article&amp;utm_campaign=may\" target=\"_blank\">Silverfort<\/a><\/b>  lance la premi\u00e8re plate-forme de protection unifi\u00e9e de l&#8217;identit\u00e9 capable d&#8217;\u00e9tendre la MFA \u00e0 n&#8217;importe quelle ressource, qu&#8217;elle prenne en charge nativement la MFA ou non.  Utilisant une technologie sans agent et sans proxy, Silverfort s&#8217;int\u00e8gre directement \u00e0 AD.  Avec cette int\u00e9gration, chaque fois qu&#8217;AD re\u00e7oit une demande d&#8217;acc\u00e8s, il la transmet \u00e0 Silverfort.  Silverfort analyse ensuite la demande d&#8217;acc\u00e8s et, si n\u00e9cessaire, d\u00e9fie l&#8217;utilisateur avec MFA.  Sur la base de la r\u00e9ponse de l&#8217;utilisateur, Silverfort d\u00e9termine s&#8217;il doit ou non faire confiance \u00e0 l&#8217;utilisateur et transmet le verdict \u00e0 AD qui accorde ou refuse l&#8217;acc\u00e8s si n\u00e9cessaire. <\/p>\n<h3><strong>Emp\u00eacher le mouvement lat\u00e9ral \u00e0 la racine #1 : Extension de MFA \u00e0 l&#8217;acc\u00e8s en ligne de commande <\/strong><\/h3>\n<p>Silverfort peut appliquer la protection MFA \u00e0 n&#8217;importe quel outil d&#8217;acc\u00e8s en ligne de commande &#8211; PsExec, Remote PowerShell, WMI et tout autre.  Avec une politique MFA activ\u00e9e, si un attaquant tente d&#8217;effectuer un mouvement lat\u00e9ral via la ligne de commande, Silverfort enverra une invite MFA \u00e0 l&#8217;utilisateur r\u00e9el, lui demandant de v\u00e9rifier s&#8217;il a initi\u00e9 cette tentative d&#8217;acc\u00e8s.  Lorsque l&#8217;utilisateur nie cela, l&#8217;acc\u00e8s est bloqu\u00e9, ce qui laisse l&#8217;attaquant perplexe quant \u00e0 la raison pour laquelle une m\u00e9thode qui a parfaitement fonctionn\u00e9 dans le pass\u00e9 s&#8217;est maintenant heurt\u00e9e \u00e0 un mur de briques. <\/p>\n<h3><strong>Emp\u00eacher les mouvements lat\u00e9raux \u00e0 la racine #2\u00a0: Visibilit\u00e9 et protection automatis\u00e9es des comptes de service <\/strong><\/h3>\n<p>Bien que les comptes de service ne puissent pas \u00eatre soumis \u00e0 la protection MFA (en tant qu&#8217;utilisateurs non humains, ils ne peuvent pas confirmer leur identit\u00e9 avec une notification par t\u00e9l\u00e9phone portable), ils peuvent toujours \u00eatre prot\u00e9g\u00e9s.  En effet, les comptes de service (contrairement aux utilisateurs humains) affichent un comportement hautement r\u00e9p\u00e9titif et pr\u00e9visible.  Silverfort en tire parti en automatisant la cr\u00e9ation de politiques pour chaque compte de service.  Lorsqu&#8217;ils sont activ\u00e9s, ils peuvent envoyer une alerte ou bloquer compl\u00e8tement l&#8217;acc\u00e8s au compte de service chaque fois qu&#8217;une activit\u00e9 standard d\u00e9viante est d\u00e9tect\u00e9e.  L&#8217;utilisation malveillante d&#8217;un compte de service compromis cr\u00e9e in\u00e9vitablement une d\u00e9viation car m\u00eame si l&#8217;attaquant dispose des informations d&#8217;identification du compte de service, il ne conna\u00eetrait pas l&#8217;utilisation standard du compte.  Le r\u00e9sultat serait que toute tentative d&#8217;utilisation d&#8217;un compte de service compromis pour un mouvement lat\u00e9ral serait stopp\u00e9e net. <\/p>\n<p>Consid\u00e9rez-vous le mouvement lat\u00e9ral comme un risque que vous devez g\u00e9rer\u00a0? <b><a rel=\"nofollow noopener\" href=\"https:\/\/www.silverfort.com\/request-a-demo\/?utm_source=THN&amp;utm_medium=article&amp;utm_campaign=may\" target=\"_blank\">Programmer un appel<\/a> avec l&#8217;un de nos experts.<\/b><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/wanted-dead-or-alive-real-time.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 mai 2023\ue804Les nouvelles des piratesCybermenace \/ Authentification Il y a quelques ann\u00e9es \u00e0 peine, le mouvement lat\u00e9ral \u00e9tait une tactique r\u00e9serv\u00e9e aux principales organisations de cybercriminalit\u00e9 de l&#8217;APT et aux op\u00e9rateurs des \u00c9tats-nations. Aujourd&#8217;hui, cependant, il est devenu un outil banalis\u00e9, bien dans les comp\u00e9tences de tout acteur de menace de ransomware. Cela fait [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":712808,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[37972,4168,841,4158,4165,4161,205,4157,4159,4171,4170,36807,65,4167,4160,5590,4163,4162,6845,10096,4172,4169,835,4166,4164,14782],"class_list":["post-712807","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-alive","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dead","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lateraux","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-mouvements","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-protection","tag-reel","tag-securite-informatique","tag-securite-internet","tag-temps","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wanted"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/712807","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=712807"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/712807\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/712808"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=712807"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=712807"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=712807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}