En mai 2024, le groupe hospitalier Ascension, qui gère des dizaines d’hôpitaux et cliniques aux États-Unis, s’est retrouvé paralysé par une attaque de type ransomware. Portails patients, dossiers médicaux électroniques, outils de planification : tout a basculé en quelques heures, forçant médecins et infirmiers à revenir à la prise de notes manuelle.Plus de 5 millions de personnes (patients, anciens patients et employés) ont été concernées par une fuite de données sensibles. L’impact financier est colossal : plus d’un milliard de dollars de pertes directes et indirectes.
Mais ce qui intrigue surtout, c’est la manière dont les assaillants ont franchi la première barrière. Pas avec une vulnérabilité inconnue ni un exploit de pointe. Non : avec un mot de passe trop faible. L’attaque contre Ascension, géant de la santé aux États-Unis, n’est pas seulement une histoire technique de cryptographie ou de ransomware. C’est aussi le récit d’une négligence accumulée, de failles ignorées et d’un manque de vigilance qui ont ouvert la porte à une catastrophe humaine, financière et organisationnelle.
Le rôle central d’Active Directory
Pour comprendre ce qui s’est passé, il faut revenir à un pilier de l’informatique d’entreprise : Active Directory (AD). Ce service de Microsoft, omniprésent dans les grandes organisations, gère l’authentification et l’autorisation des utilisateurs et des services. Chaque employé, chaque application critique, chaque serveur s’appuie sur AD pour prouver son identité et accéder aux ressources dont il a besoin.
Le problème, c’est que cette centralisation fait d’AD une cible rêvée. S’il tombe ou s’il est compromis, c’est toute l’infrastructure qui se retrouve vulnérable.
Kerberoasting : quand Kerberos devient une arme
Au cœur de l’attaque se trouve une technique connue sous le nom de Kerberoasting.
Le protocole Kerberos, utilisé par AD, attribue des tickets de service (TGS) chiffrés avec la clé dérivée du mot de passe du compte de service. En théorie, cela permet de garantir que seul le détenteur légitime peut les utiliser.
En pratique, si un attaquant a déjà un pied dans le réseau – par exemple via un poste compromis – il peut demander des tickets Kerberos pour différents services. Ces tickets, une fois récupérés, peuvent être attaqué par force brute hors ligne. Autrement dit, le pirate les exporte et essaie, avec toute la puissance de calcul dont il dispose, de retrouver le mot de passe associé.
Et c’est là que tout s’est joué chez Ascension : certains comptes de service utilisaient des mots de passe faibles. Résultat : les tickets Kerberos ont été craqués, donnant aux assaillants l’accès à des services critiques.
Pour plus de précision, notons que Kerberos a été développé dans les années 1980 afin de permettre à deux ou plusieurs appareils (généralement un client et un serveur) au sein d'un réseau non sécurisé de prouver leur identité de manière sécurisée l'un à l'autre. Le protocole a été conçu pour éviter une confiance à long terme entre différents appareils en s'appuyant sur des identifiants temporaires à durée limitée appelés « tickets ». Cette conception protège contre les attaques par rejeu qui copient une demande d'authentification valide et la réutilisent pour obtenir un accès non autorisé. Le protocole Kerberos est indépendant du chiffrement et de l'algorithme, ce qui permet aux développeurs de choisir ceux qui conviennent le mieux à l'implémentation qu'ils construisent.
La première implémentation Kerberos de Microsoft protège un mot de passe contre les attaques par craquage en le représentant sous la forme d'un hachage généré à partir d'une seule itération de la fonction de hachage cryptographique NTLM de Microsoft, qui est elle-même une modification de la fonction de hachage MD4 ultra-rapide, aujourd'hui obsolète. Il y a trois décennies, cette conception était adéquate et le matériel ne pouvait de toute façon pas bien prendre en charge les hachages plus lents. Avec l'avènement des techniques modernes de piratage de mots de passe, tous les mots de passe Kerberos, sauf les plus forts, peuvent être piratés, souvent en quelques secondes. La première version Windows de Kerberos utilise également RC4, un chiffrement symétrique désormais obsolète présentant de graves vulnérabilités qui ont été bien documentées au cours des 15 dernières années.
Le poison de la rétrocompatibilité : RC4 toujours actif
Un autre facteur aggravant est venu s’ajouter : la persistance de l’algorithme RC4 dans l’infrastructure. Cet algorithme de chiffrement, obsolète depuis longtemps, est encore activé dans de nombreux environnements AD pour des raisons de compatibilité. Or RC4 est particulièrement vulnérable au Kerberoasting : les tickets basés sur cet algorithme se craquent beaucoup plus facilement.
Le maintien de RC4 illustre un dilemme fréquent en cybersécurité : désactiver une vieille brique peut casser des applications métiers toujours en usage. Mais la laisser active expose à un risque majeur. Ascension a payé le prix fort de ce compromis.
Une accumulation de failles structurelles
Au-delà du Kerberoasting et de RC4, plusieurs éléments ont amplifié l’impact de l’attaque :
- Segmentation réseau insuffisante : une fois un compte compromis, les attaquants ont pu se déplacer latéralement sans rencontrer de barrières.
- Principe du moindre privilège ignoré : des comptes de service disposaient de droits bien plus larges que nécessaire, facilitant la compromission de systèmes critiques.
- Détection trop lente : les signaux d’alerte n’ont pas été relevés à temps, laissant aux assaillants la liberté de progresser.
En d’autres termes, la brèche initiale n’aurait peut-être pas suffi si les défenses en profondeur avaient été correctement mises en œuvre.
Le rôle joué par les failles de sécurité d'Ascension dans le piratage diminué ?
Un sénateur américain de premier plan a demandé à la Commission fédérale du commerce d'enquêter sur Microsoft pour négligence en matière de cybersécurité, en raison du rôle qu'il a joué l'année dernière dans...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
