Quand un simple mot de passe faible suffit à briser Active Directory : de RC4 aux comptes de service mal protégés, comment un grand groupe hospitalier a été plongé dans le chaos

Quand un simple mot de passe faible suffit à briser Active Directory : comment un groupe hospitalier a été plongé dans le chaos.
de RC4 aux comptes de service mal protégés, l'attaque contre Ascension rappelle l'importance de solidifier les bases de la cybersécurité

En mai 2024, le groupe hospitalier Ascension, qui gère des dizaines d’hôpitaux et cliniques aux États-Unis, s’est retrouvé paralysé par une attaque de type ransomware. Portails patients, dossiers médicaux électroniques, outils de planification : tout a basculé en quelques heures, forçant médecins et infirmiers à revenir à la prise de notes manuelle.

Plus de 5 millions de personnes (patients, anciens patients et employés) ont été concernées par une fuite de données sensibles. L’impact financier est colossal : plus d’un milliard de dollars de pertes directes et indirectes.

Mais ce qui intrigue surtout, c’est la manière dont les assaillants ont franchi la première barrière. Pas avec une vulnérabilité inconnue ni un exploit de pointe. Non : avec un mot de passe trop faible. L’attaque contre Ascension, géant de la santé aux États-Unis, n’est pas seulement une histoire technique de cryptographie ou de ransomware. C’est aussi le récit d’une négligence accumulée, de failles ignorées et d’un manque de vigilance qui ont ouvert la porte à une catastrophe humaine, financière et organisationnelle.

Le rôle central d’Active Directory

Pour comprendre ce qui s’est passé, il faut revenir à un pilier de l’informatique d’entreprise : Active Directory (AD). Ce service de Microsoft, omniprésent dans les grandes organisations, gère l’authentification et l’autorisation des utilisateurs et des services. Chaque employé, chaque application critique, chaque serveur s’appuie sur AD pour prouver son identité et accéder aux ressources dont il a besoin.

Le problème, c’est que cette centralisation fait d’AD une cible rêvée. S’il tombe ou s’il est compromis, c’est toute l’infrastructure qui se retrouve vulnérable.

Kerberoasting : quand Kerberos devient une arme

Au cœur de l’attaque se trouve une technique connue sous le nom de Kerberoasting.

Le protocole Kerberos, utilisé par AD, attribue des tickets de service (TGS) chiffrés avec la clé dérivée du mot de passe du compte de service. En théorie, cela permet de garantir que seul le détenteur légitime peut les utiliser.

En pratique, si un attaquant a déjà un pied dans le réseau – par exemple via un poste compromis – il peut demander des tickets Kerberos pour différents services. Ces tickets, une fois récupérés, peuvent être attaqué par force brute hors ligne. Autrement dit, le pirate les exporte et essaie, avec toute la puissance de calcul dont il dispose, de retrouver le mot de passe associé.

Et c’est là que tout s’est joué chez Ascension : certains comptes de service utilisaient des mots de passe faibles. Résultat : les tickets Kerberos ont été craqués, donnant aux assaillants l’accès à des services critiques.

Pour plus de précision, notons que Kerberos a été développé dans les années 1980 afin de permettre à deux ou plusieurs appareils (généralement un client et un serveur) au sein d'un réseau non sécurisé de prouver leur identité de manière sécurisée l'un à l'autre. Le protocole a été conçu pour éviter une confiance à long terme entre différents appareils en s'appuyant sur des identifiants temporaires à durée limitée appelés « tickets ». Cette conception protège contre les attaques par rejeu qui copient une demande d'authentification valide et la réutilisent pour obtenir un accès non autorisé. Le protocole Kerberos est indépendant du chiffrement et de l'algorithme, ce qui permet aux développeurs de choisir ceux qui conviennent le mieux à l'implémentation qu'ils construisent.

La première implémentation Kerberos de Microsoft protège un mot de passe contre les attaques par craquage en le représentant sous la forme d'un hachage généré à partir d'une seule itération de la fonction de hachage cryptographique NTLM de Microsoft, qui est elle-même une modification de la fonction de hachage MD4 ultra-rapide, aujourd'hui obsolète. Il y a trois décennies, cette conception était adéquate et le matériel ne pouvait de toute façon pas bien prendre en charge les hachages plus lents. Avec l'avènement des techniques modernes de piratage de mots de passe, tous les mots de passe Kerberos, sauf les plus forts, peuvent être piratés, souvent en quelques secondes. La première version Windows de Kerberos utilise également RC4, un chiffrement symétrique désormais obsolète présentant de graves vulnérabilités qui ont été bien documentées au cours des 15 dernières années.


Le poison de la rétrocompatibilité : RC4 toujours actif

Un autre facteur aggravant est venu s’ajouter : la persistance de l’algorithme RC4 dans l’infrastructure. Cet algorithme de chiffrement, obsolète depuis longtemps, est encore activé dans de nombreux environnements AD pour des raisons de compatibilité. Or RC4 est particulièrement vulnérable au Kerberoasting : les tickets basés sur cet algorithme se craquent beaucoup plus facilement.

Le maintien de RC4 illustre un dilemme fréquent en cybersécurité : désactiver une vieille brique peut casser des applications métiers toujours en usage. Mais la laisser active expose à un risque majeur. Ascension a payé le prix fort de ce compromis.

Une accumulation de failles structurelles

Au-delà du Kerberoasting et de RC4, plusieurs éléments ont amplifié l’impact de l’attaque :

• Segmentation réseau insuffisante : une fois un compte compromis, les attaquants ont pu se déplacer latéralement sans rencontrer de barrières.
• Principe du moindre privilège ignoré : des comptes de service disposaient de droits bien plus larges que nécessaire, facilitant la compromission de systèmes critiques.
• Détection trop lente : les signaux d’alerte n’ont pas été relevés à temps, laissant aux assaillants la liberté de progresser.

En d’autres termes, la brèche initiale n’aurait peut-être pas suffi si les défenses en profondeur avaient été correctement mises en œuvre.

Le rôle joué par les failles de sécurité d'Ascension dans le piratage diminué ?

Un sénateur américain de premier plan a demandé à la Commission fédérale du commerce d'enquêter sur Microsoft pour négligence en matière de cybersécurité, en raison du rôle qu'il a joué l'année dernière dans la violation du ransomware du géant de la santé Ascension, qui a provoqué des perturbations mettant en danger la vie de 140 hôpitaux et mis les dossiers médicaux de 5,6 millions de patients entre les mains des attaquants. Mais l'attention portée à Microsoft a occulté un élément tout aussi urgent, voire plus : des détails jamais révélés jusqu'à présent qui invitent désormais à examiner de près les failles de sécurité d'Ascension.

Dans une lettre envoyée au président de la FTC, Andrew Ferguson, le sénateur Ron Wyden (Démocrate de l'Oregon) a déclaré qu'une enquête menée par son bureau avait déterminé que le piratage avait commencé en février 2024 avec l'infection de l'ordinateur portable d'un sous-traitant après que celui-ci ait téléchargé un logiciel malveillant à partir d'un lien renvoyé par le moteur de recherche Bing de Microsoft. Les pirates ont ensuite pivoté de l'appareil du sous-traitant vers l'actif réseau le plus précieux d'Ascension : Windows Active Directory, un outil utilisé par les administrateurs pour créer et supprimer des comptes d'utilisateurs et gérer les privilèges système qui leur sont attribués. Obtenir le contrôle d'Active Directory revient à obtenir une clé passe-partout qui ouvre toutes les portes d'un bâtiment à accès restreint.

Wyden a critiqué Microsoft pour son soutien continu à la mise en œuvre, vieille de trois décennies, du protocole d'authentification Kerberos qui utilise un chiffrement non sécurisé et, comme l'a fait remarquer le sénateur, expose les clients précisément au type de violation dont Ascension a été victime. Bien que les versions modernes d'Active Directory utilisent par défaut un mécanisme d'authentification plus sécurisé, elles reviennent par défaut au mécanisme plus faible si un appareil du réseau, y compris un appareil infecté par un logiciel malveillant, envoie une demande d'authentification qui l'utilise. Cela a permis aux attaquants de procéder à un « kerberoasting », une forme d'attaque qui, selon Wyden, leur a permis de passer directement de l'ordinateur portable du sous-traitant au joyau de la sécurité réseau d'Ascension.

Pour un chercheur, la principale lacune était l'incapacité à attribuer correctement les privilèges

La lettre de Wyden, tout comme les publications sur les réseaux sociaux qui en ont discuté, ne mentionnait pas le rôle joué par Ascension dans cette violation, qui, d'après le récit de Wyden, était considérable. La principale faille de sécurité suspectée est un mot de passe faible. Par définition, les attaques par Kerberoasting ne fonctionnent que lorsque le mot de passe est suffisamment faible pour être piraté, ce qui soulève des questions sur la force de celui qui a été compromis par les auteurs de l'attaque par ransomware contre Ascension.

« Fondamentalement, le problème qui conduit au Kerberoasting réside dans les mauvais mots de passe », a déclaré Tim Medin, le chercheur qui a inventé le terme Kerberoasting, lors d'une interview. « Même avec 10 caractères, un mot de passe aléatoire serait impossible à pirater. Cela me porte à croire que le mot de passe n'était pas du tout aléatoire. »

Le calcul de Medin est basé sur le nombre de combinaisons possibles pour un mot de passe de 10 caractères. En supposant qu'il s'agisse d'un assortiment aléatoire de lettres majuscules et minuscules, de chiffres et de caractères spéciaux, le nombre de combinaisons différentes serait de 95¹⁰, c'est-à-dire le nombre de caractères possibles (95) élevé à la puissance 10, le nombre de caractères utilisés dans le mot de passe. Même avec le hachage peu sécurisé de la fonction NTLM utilisée par l'ancienne authentification, il faudrait plus de cinq ans à une attaque par force brute pour épuiser toutes les combinaisons possibles d'un tel mot de passe. Épuiser tous les mots de passe possibles de 25 caractères prendrait plus de temps que l'univers n'existe.

« Le mot de passe n'a clairement pas été généré de manière aléatoire. (Ou s'il l'a été, il était beaucoup trop court... ce qui serait vraiment étrange) », a ajouté Medin. Les administrateurs d'Ascension « ont choisi un mot de passe qui pouvait être piraté et n'ont pas utilisé le compte de service géré recommandé par Microsoft et d'autres ».

On ne sait pas exactement combien de temps les pirates d'Ascension ont passé à essayer de cracker le hachage volé avant d'y parvenir. Wyden a seulement déclaré que le piratage de l'ordinateur portable avait eu lieu en février 2024. Ascension, quant à elle, a déclaré avoir remarqué les premiers signes de piratage du réseau le 8 mai. Cela signifie que la partie hors ligne de l'attaque aurait pu durer jusqu'à trois mois, ce qui indiquerait que le mot de passe était au moins modérément fort. Le décryptage a peut-être pris moins de temps, car les pirates informatiques passent souvent des semaines, voire des mois, à obtenir l'accès dont ils ont besoin pour chiffrer les systèmes.

Richard Gold, chercheur indépendant spécialisé dans la sécurité Active Directory, a convenu que la force du mot de passe était suspecte, mais il a ajouté que, d'après le récit de Wyden sur la violation, d'autres failles de sécurité étaient également probables.

« Toutes les mesures de sécurité ennuyeuses, peu attrayantes mais efficaces faisaient défaut : segmentation du réseau, principe du moindre privilège, besoin d'en connaître et même le type de hiérarchisation des actifs recommandé par Microsoft », a-t-il écrit. « Ces principes fondamentaux de l'architecture de sécurité n'étaient pas respectés. Pourquoi ? »

Selon Gold, la principale lacune était l'incapacité à attribuer correctement les privilèges, ce qui a probablement été le principal facteur ayant contribué à la violation.

« Il est évidemment regrettable que des chiffrements obsolètes soient encore utilisés et qu'ils facilitent cette attaque, mais les privilèges excessifs sont beaucoup plus dangereux », écrit-il. « C'est en quelque sorte un accident qui ne demande qu'à se produire. La compromission de l'ordinateur d'un utilisateur ne devrait pas entraîner directement la compromission du domaine. »


Un avertissement pour tout le secteur, en particulier pour ceux qui reposent massivement sur Active Directory

L’affaire Ascension illustre à quel point des pratiques basiques mais négligées peuvent ouvrir la voie à une catastrophe. Pour éviter un tel scénario, plusieurs leçons s’imposent :

• Renforcer la gestion des comptes de service : mots de passe longs, aléatoires et régulièrement renouvelés, gérés si possible par des coffres-forts numériques.
• Désactiver RC4 et autres algorithmes obsolètes : même si cela suppose de mettre à jour ou remplacer des applications vieillissantes.
• Appliquer strictement le principe du moindre privilège : limiter les droits des comptes de service aux seuls besoins opérationnels.
• Segmenter le réseau : cloisonner les environnements critiques pour éviter les mouvements latéraux faciles.
• Investir dans la détection proactive : surveiller les requêtes Kerberos anormales et l’utilisation suspecte de tickets de service.

L’attaque contre Ascension n’est pas seulement une leçon pour les hôpitaux américains. Elle est un signal d’alarme pour toutes les organisations qui reposent massivement sur Active Directory. Tant que des mots de passe faibles, des algorithmes obsolètes et des configurations trop permissives subsisteront, le scénario pourra se répéter ailleurs.

Kerberoasting n’est pas une nouveauté : les chercheurs en parlent depuis des années. Mais l’affaire Ascension rappelle que, dans la pratique, ce sont souvent les vieilles failles connues qui causent les plus gros désastres.

Sources : Tim Medin, Ascension, Attacking Microsoft Kerberos, Microsoft (1, 2, 3)

Et vous ?

Jusqu’où les hôpitaux et établissements de santé doivent-ils aller pour sécuriser leurs systèmes, et à quel coût pour leurs budgets déjà sous pression ?

Les fournisseurs de technologies comme Microsoft devraient-ils être contraints de désactiver par défaut les anciens algorithmes vulnérables, quitte à perturber la compatibilité de certains systèmes ?

Faut-il imposer des audits de cybersécurité indépendants et réguliers dans le secteur de la santé ?

Comment concilier la rapidité nécessaire dans les soins d’urgence avec les contraintes de sécurité informatique qui ralentissent parfois les processus ?

La sensibilisation des employés est-elle réellement la clé, ou bien faut-il miser davantage sur l’automatisation et la suppression des failles humaines ?