De nombreuses organisations se sont félicitées de l'arrivée de l'authentification multifacteurs (AMF) en tant que panacée qui allait soudainement régler le problème des titres de compétence volés. Cependant, dans les environnements Windows, la confiance est parfois prématurée: les attaquants continuent d'accéder aux réseaux avec des comptes valides car une grande partie de l'authentification dans Windows ne passe pas par le fournisseur d'identité du cloud et ne force donc pas un second facteur.
Ce n'est pas que MFA échoue ; le problème est qu'il ne couvre pas toutes les façons dont Windows valeurs identités. Lorsque les sessions sont contrôlées contre les contrôleurs de domaine locaux en utilisant Kerberos ou NTLM, les politiques appliquées dans Azure AD, Okta ou autre IDP ne sont pas activées. Microsoft décrit ces protocoles et leurs implications dans sa documentation sur Kerberos et NTLM, qui sert de référence pour comprendre pourquoi certains démarrages de connexion sont hors de portée des solutions cloud: Kerberos et RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT.
Signer directement sur un ordinateur Windows attaché au domaine - soit un ordinateur portable utilisateur ou un serveur - est généralement un processus géré par Active Directory. Si l'organisation n'a pas intégré de mécanismes de deuxième facteur pour la connexion locale (par exemple, Windows Hello for Business ou cartes à puce), cet accès est validé avec le mot de passe ou avec le hash stocké en mémoire. Par conséquent, un attaquant qui obtient ce mot de passe ou sa représentation cryptographique peut se déplacer sur le réseau sans activer les politiques d'accès conditionnel imposées au PDI. Microsoft explique les options pour moderniser la connexion et réduire ce risque dans la documentation de Windows Bonjour pour les affaires et dans les guides sur la protection des pouvoirs Garde Crédimentaire.
Un autre vecteur habituel est les sessions Remoto Desktop (RDP). Bien que RDP ne soit pas exposé à Internet, les attaquants l'utilisent souvent pour se déplacer latéralement après l'accès initial. Une connexion RDP à un serveur ne garantit pas que la couche de contrôle d'accès de l'IDP est croisée; l'authentification est souvent résolue localement avec AD, laissant l'accès exposé aux identifiants volés. C'est pourquoi il est essentiel d'appliquer des contrôles d'accès sur le périmètre et dans la téléadministration, ainsi que des solutions qui intègrent le MFA dans ces flux.
NTLM, un héritage mais toujours présent pour la compatibilité, reste une cible attrayante. Des techniques telles que le "pass-the-hash" profitent du fait que NTLM permet d'authentifier avec le hachage au lieu du mot de passe en texte clair, de sorte qu'un attaquant n'a pas besoin de connaître le mot de passe à valider. MITRE documente ces techniques et leurs variantes, ce qui aide à comprendre les mécanismes d'abus dans les environnements Windows: Passez... et Pass-the-Ticket.
Kerberos n'est pas immunisé non plus. Au lieu de voler des mots de passe, les intrus peuvent extraire des tickets d'authentification de mémoire ou forger des tickets d'identifications privilégiées, créant des scénarios connus comme Golden Ticket ou Silver Ticket. Ces attaques permettent un accès et une latéralité persistants avec moins d'authentification visible, et peuvent survivre aux changements de mot de passe si la cause racine n'est pas dépassée. Les implications opérationnelles et de détection sont bien recueillies par MITRE et dans la littérature spécialisée sur les abus de Kerberos.
Un facteur récurrent dans les intrusions sont les comptes locaux avec des privilèges administratifs et la réutilisation des mots de passe. De nombreuses organisations tiennent des comptes locaux pour le soutien ou la récupération, et lorsque ces références sont répétées dans plusieurs équipes, une seule fuite peut ouvrir de nombreuses portes. Microsoft propose des outils pour atténuer ce problème, y compris Local Administrator Password Solution (LAPS), qui automatise la rotation des mots de passe locaux et réduit le risque dérivé des mots de passe statiques: LAPS.
Le protocole SMB, utilisé pour partager des fichiers et gérer des ressources distantes, est un autre vecteur de mouvement latéral très utilisé. Avec des références valides, un attaquant peut accéder aux ressources administratives et passer rapidement à travers le réseau. C'est pourquoi les contrôles d'authentification sur les services tels que les audits SMB et les audits internes du trafic sont essentiels; le catalogue de technologies MITRE comprend les itinéraires de service à distance et la façon dont ils sont utilisés pour la latéralité: SMB / Windows Admin partage.
Les comptes de service sont un risque discret mais grave. Ils sont conçus pour automatiser les tâches, les intégrations et les services, de sorte qu'ils ont généralement de longs mots de passe en place pendant des années et des autorisations étendues. En ne pouvant pas facilement intégrer MFA dans les processus automatisés, ces comptes deviennent des cibles privilégiées pour les attaquants. L'audit, la rotation et la réduction des privilèges dans les comptes de services sont des mesures indispensables que de nombreuses organisations reportent et qui, malheureusement, facilitent l'escalade et la persistance des menaces.
Que peuvent faire les équipes de sécurité pour fermer ces trous? La réponse va en traitant l'authentification Windows comme une surface de risque avec ses propres règles et contrôles. Commencez par resserrer les politiques de mots de passe à Active Directory, en favorisant l'utilisation de phrases de passage plus longues et en évitant la réutilisation, réduit déjà la probabilité de force brute ou de réutilisation des références. Le NIST recommande des approches modernes de la gestion des mots de passe et de la sélection des titres de compétence engagés, dont la lecture explique pourquoi les mots de passe longs et la vérification du filtrage sont des pratiques exemplaires : NIST SP 800-63B.
En outre, la mise en place de contrôles qui détectent et bloquent les mots de passe connus pour être exposés à des lacunes réduit encore la fenêtre de vulnérabilité. Des services comme Have I Been Pwned ont popularisé la vérification de mot de passe contre les grands dépôts d'identifications engagés, et de nombreuses solutions commerciales intègrent cette fonction pour empêcher les utilisateurs de choisir des clés déjà filtrées: Ai-je été pwned - Mot de passe.
Le passage à l'élimination ou à la restriction des anciens protocoles - en particulier NTLM - et des mesures permettant d'intégrer MFA dans les flux locaux (par exemple, Windows Hello for Business ou solutions tierces qui ajoutent MFA à RDP et à connexion locale) est un autre élément clé. Microsoft et d'autres fournisseurs expliquent comment combiner l'identité hybride et les contrôles de périmètre de sorte que l'accès à distance et administratif nécessite également une vérification supplémentaire: Accès conditionnel à Azure AD.
De plus, l'hygiène de l'identité demeure essentielle : inventer et vérifier les comptes de services, séparer les comptes avec des privilèges minimums, alterner régulièrement les pouvoirs et supprimer les accès inutiles sont des pratiques qui limitent la surface de l'attaque. La gestion des mots de passe et les outils d'accès privilégiés aident à automatiser un grand nombre de ces tâches et à réduire la probabilité qu'un seul compte compromette l'ensemble de l'environnement.
Enfin, la détection et la réponse rapide ne sont pas négociables. Les contrôles télémétriques qui alertent les mouvements latéraux, les utilisations atypiques des tickets Kerberos, le retrait des haches en mémoire ou l'accès aux ressources partagées des hôtes inhabituels augmentent la probabilité d'interrompre une intrusion avant qu'elle n'exploite des comptes dans plusieurs systèmes. En complétant les politiques préventives par des technologies de protection des paramètres et de surveillance du comportement, on peut faire la différence entre un incident isolé et un écart étendu.
Il existe des solutions commerciales qui visent précisément à étendre les contrôles de MFA et de mot de passe au monde Windows traditionnel, ainsi que de bloquer les mots de passe divulgués et de renforcer les politiques de mot de passe dans Active Directory. Si les produits sont évalués, ils devraient être comparés à la documentation technique et aux guides de bonnes pratiques mentionnés ici pour comprendre comment ils s'inscrivent dans la stratégie globale d'identité et d'accès. Les approches recommandées comprennent l'intégration du MFA dans les démarrages de sessions locales, l'élimination du NTLM dans la mesure du possible, la rotation automatique des mots de passe locaux et la surveillance continue des anomalies dans les flux d'authentification.
Bref, l'adoption de l'AMF est un pas en avant essentiel, mais elle ne suffit pas en soi. Il est nécessaire d'identifier et de protéger les routes d'authentification qui ne relèvent pas de la PPI, de moderniser les protocoles, de gérer rigoureusement les comptes privilégiés et de fournir à l'équipe de sécurité une détection et une médiation efficaces.. C'est la seule façon de réduire de manière durable le risque d'identifications engagées dans les environnements Windows.
Sources recommandées et lectures : Documentation Microsoft sur Kerberos et NTLM ( Kerberos, RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT), guides d'accès conditionnel en Azure AD ( Accès conditionnel), NIST SP 800-63B sur l'authentification ( NIST SP 800-63B), dépôts de mots de passe filtrés comme Est-ce que j'ai été cousu et le catalogue MITRE ATT & CK pour les abus d'identification et les techniques de mouvement latéral ( MITRE ATT & CK).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...