Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann DuchenneIdentity Days
Nos identités numériques professionnelles et personnelles sont aujourd’hui plus que jamais dispersées, alors même que la notion de “Tiers de confiance” est sérieusement chahutée. Il est nécessaire de remettre à sa juste place la première des “Laws of Identity” de Kim Cameron en redonnant à l’utilisateur contrôle et consentement.
Au cours de cette présentation, nous présenterons les grands principes du modèle d’identité auto-souveraine ou décentralisée. Nous décrions comment ceux-ci peuvent être mis en oeuvre au travers d’une technologie en incubation chez Microsoft.
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
Lors de cette session nous vous présenterons, la simplicité d’usage du module OneLogin Desktop ainsi que les différentes fonctionnalités telles que le Multi-Factor Authentication lors de l’ouverture de session, la synchronisation du mot de passe de session avec votre portail OneLogin afin de faciliter au maximum la vie de vos employés tout en augmentant le niveau de sécurité à leurs postes professionnels.
Nous profiterons aussi de cette occasion pour mettre en avant certains retours d’expériences de nos clients sur la suppression de leur Active Directory.
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsIdentity Days
Pendant cette session, nous ferons une démonstration Live complète des différentes méthodes de hack dédiées à Active Directory. Nous parcourrons les différentes étapes d’une attaque ciblée vers Active Directory : élévation locale de privilèges, découverte de l’environnement, découvert du réseau et du design Active Directory, le mouvement latéral pour étendre l’attaque, l’élévation de privilège sur les serveurs intermédiaires et finalement la conquête du domaine et de la forêt. Nous listerons ensemble les outils nécessaires à ces attaques et aborderons conjointement les attaques volontaires et les attaques via les malwares de type ransomware. Finalement, nous fournirons les conseils principaux pour rendre votre instance Active Directory moins sensible à ces types d’attaques.
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...Identity Days
Vous utilisez certainement Azure AD ou prévoyez de l’utiliser. Découvrez comment Azure AD Identity Protection vous permet de protéger vos identités et empêche de manière proactive leur détournement !
En plus de la surveillance et des rapports, vous découvrirez comment créer des stratégies qui, lorsque un niveau de risque spécifié est atteint, répondent automatiquement aux problèmes détectés. En fait, vous pourrez bloquer ou déclencher des mesures de correction telles que, par exemple, l’activation automatique des authentifications multi-facteurs !
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...Identity Days
La messagerie est l’outil collaboratif le plus utilisé. Elle est de ce fait la première des cibles d’attaques pour y voler des données ou utilisée par rebond pour le vol d’identité et commettre des attaques de plus grandes ampleurs. Cet outil, contient des données et informations importantes à protéger (annuaires, données…) et c’est un point central d’une entreprise accessible en tout point et depuis de nombreux protocoles.
La session présentera les bonnes pratiques de sécurisation de sa messagerie contre le vol d’identité, l’accès non sollicité (à l’annuaire, aux données…) et la fuite de données.
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...Identity Days
Il s’agit de montrer comment la gestion des identités se place au centre d’une réflexion Modern Workplace Microsoft, quelles sont les problématique qu’elle adresse, quelles solution elle apporte, et d’illustrer ceci avec un cas concret dans un projet ambitieux (Organisation de plusieurs dizaines de milliers de personnes avec une désimbrication de SI en temps très contraints).
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Peter GEELEN ✔
Le but de cette session est de fournir un aperçu des meilleures pratiques de sécurité pour sécuriser votre infrastructure Identity Manager, à la fois sur site et sur le cloud. Ce document est plutôt une liste de contrôle et des consignes de sécurité qu'un guide détaillé, étape par étape. Il fournit des astuces et des conseils pratiques pour sécuriser votre configuration, avec de nombreuses considérations de conception.
À emporter, vous aurez un guide pratique et des pistes de réflexion pour sécuriser votre infrastructure de gestion des identités et vérifier votre configuration par rapport aux meilleures pratiques.
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...Identity Days
Les API traitent d’énormes quantités de données de types très variés – l’un des principaux soucis de tout fournisseur de données est donc de savoir comment sécuriser précisément ces données. L’idée que les données doivent être secrètes, qu’elles doivent rester inchangées et qu’elles doivent pouvoir être manipulées est la clé de toute conversation sur la gestion et le traitement des données API.
Revue et bonnes pratiques des méthodes d’authentification pour les APIs en fonction des protocoles utilisés (HTTP/HTTPS, MQTT, …)
Comment choisir parmi les outils disponibles ?
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...Worteks
LemonLDAP::NG est un logiciel libre d’authentification unique (SSO), contrôle d’accès et fédérations des identités pour les applications Web. Il implémente entre autres les protocoles CAS, SAMLv2 et OpenID Connect.
Disposant de nombreux connecteurs avec différents systèmes et applications, il permet en particulier de s’authentifier sur AD avec Kerberos ou via SAML sur ADFS ou AzureAD.
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
Présentation générale de MIM 2016
– Les licences MIM 2016
– Présentation de MIM 2016 Synchronization Services (inclus dans une licence Windows Server)
Vue d’ensemble du moteur de synchronisation.
– Les astuces pour démarrer avec MIM 2016 Synchronization Services
– Développer avec MIM 2016 Synchronization Services
Démo de 5 cas d’usage :
– Création, modification, suppression de l’objet identités (Metaverse rule) à partir d’un référentiel RH.
– Génération d’attributs à l’aide règles de transformations avancées (via les rules extensions)
– Réconciliation de plusieurs sources de données RH / paie.
– La mobilité inter-base RH.
– Le provisionning des autres systèmes cibles (Exchange, base de données…).
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
La sécurité comme on le sait tous est un enjeux très important pour les entreprises. Microsoft propose plusieurs outils afin de vous aider à vous protéger contres les attaques malveillantes, nous allons au travers de cette session découvrir l’outil Azure Advanced Threat Protection qui s’appuie sur le trafic réseau et journaux d’événements des contrôleurs de domaine Activé Directory pour vous protéger. Du design , de l’installation, configuration et simulation d’attaques seront au programme ! Venez nombreux !
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
Lors de cette session nous vous présenterons, la simplicité d’usage du module OneLogin Desktop ainsi que les différentes fonctionnalités telles que le Multi-Factor Authentication lors de l’ouverture de session, la synchronisation du mot de passe de session avec votre portail OneLogin afin de faciliter au maximum la vie de vos employés tout en augmentant le niveau de sécurité à leurs postes professionnels.
Nous profiterons aussi de cette occasion pour mettre en avant certains retours d’expériences de nos clients sur la suppression de leur Active Directory.
Windows 10 Next Generation Credentials (NGC) constitue une implémentation d’un nouveau principe d'authentification sans mot de passe, s'appuyant principalement sur le module matériel TPM – que l’on retrouve désormais sur la plupart des appareils – ainsi que sur des authentificateurs biométriques comme un lecteur d’empreinte digitale. Cette nouvelle approche permet de simplifier l'expérience utilisateur tout en renforçant la sécurité et en garantissant le respect de la vie privée. L'Alliance Fast IDentification Online (FIDO), dont Microsoft est membre et contributeur a récemment publié les versions finales des spécifications UAF Universal Authentication Framework qui sont au cœur de ce mode d'authentification sans mot de passe. Cette session fera la lumière sur les principes de l'authentification sans mot de passe disponibles sous Windows 10. Attention, pas de magie mais une solution astucieuse basée sur de la crypto asymétrique bien connue et des protocoles dont les spécifications sont publiques. Juste un petit un bémol : les démos ne seront possibles que si la version Consumer Preview de Windows 10 de fin janvier le permet.
Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann DuchenneIdentity Days
Nos identités numériques professionnelles et personnelles sont aujourd’hui plus que jamais dispersées, alors même que la notion de “Tiers de confiance” est sérieusement chahutée. Il est nécessaire de remettre à sa juste place la première des “Laws of Identity” de Kim Cameron en redonnant à l’utilisateur contrôle et consentement.
Au cours de cette présentation, nous présenterons les grands principes du modèle d’identité auto-souveraine ou décentralisée. Nous décrions comment ceux-ci peuvent être mis en oeuvre au travers d’une technologie en incubation chez Microsoft.
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
Lors de cette session nous vous présenterons, la simplicité d’usage du module OneLogin Desktop ainsi que les différentes fonctionnalités telles que le Multi-Factor Authentication lors de l’ouverture de session, la synchronisation du mot de passe de session avec votre portail OneLogin afin de faciliter au maximum la vie de vos employés tout en augmentant le niveau de sécurité à leurs postes professionnels.
Nous profiterons aussi de cette occasion pour mettre en avant certains retours d’expériences de nos clients sur la suppression de leur Active Directory.
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsIdentity Days
Pendant cette session, nous ferons une démonstration Live complète des différentes méthodes de hack dédiées à Active Directory. Nous parcourrons les différentes étapes d’une attaque ciblée vers Active Directory : élévation locale de privilèges, découverte de l’environnement, découvert du réseau et du design Active Directory, le mouvement latéral pour étendre l’attaque, l’élévation de privilège sur les serveurs intermédiaires et finalement la conquête du domaine et de la forêt. Nous listerons ensemble les outils nécessaires à ces attaques et aborderons conjointement les attaques volontaires et les attaques via les malwares de type ransomware. Finalement, nous fournirons les conseils principaux pour rendre votre instance Active Directory moins sensible à ces types d’attaques.
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...Identity Days
Vous utilisez certainement Azure AD ou prévoyez de l’utiliser. Découvrez comment Azure AD Identity Protection vous permet de protéger vos identités et empêche de manière proactive leur détournement !
En plus de la surveillance et des rapports, vous découvrirez comment créer des stratégies qui, lorsque un niveau de risque spécifié est atteint, répondent automatiquement aux problèmes détectés. En fait, vous pourrez bloquer ou déclencher des mesures de correction telles que, par exemple, l’activation automatique des authentifications multi-facteurs !
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...Identity Days
La messagerie est l’outil collaboratif le plus utilisé. Elle est de ce fait la première des cibles d’attaques pour y voler des données ou utilisée par rebond pour le vol d’identité et commettre des attaques de plus grandes ampleurs. Cet outil, contient des données et informations importantes à protéger (annuaires, données…) et c’est un point central d’une entreprise accessible en tout point et depuis de nombreux protocoles.
La session présentera les bonnes pratiques de sécurisation de sa messagerie contre le vol d’identité, l’accès non sollicité (à l’annuaire, aux données…) et la fuite de données.
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...Identity Days
Il s’agit de montrer comment la gestion des identités se place au centre d’une réflexion Modern Workplace Microsoft, quelles sont les problématique qu’elle adresse, quelles solution elle apporte, et d’illustrer ceci avec un cas concret dans un projet ambitieux (Organisation de plusieurs dizaines de milliers de personnes avec une désimbrication de SI en temps très contraints).
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Peter GEELEN ✔
Le but de cette session est de fournir un aperçu des meilleures pratiques de sécurité pour sécuriser votre infrastructure Identity Manager, à la fois sur site et sur le cloud. Ce document est plutôt une liste de contrôle et des consignes de sécurité qu'un guide détaillé, étape par étape. Il fournit des astuces et des conseils pratiques pour sécuriser votre configuration, avec de nombreuses considérations de conception.
À emporter, vous aurez un guide pratique et des pistes de réflexion pour sécuriser votre infrastructure de gestion des identités et vérifier votre configuration par rapport aux meilleures pratiques.
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...Identity Days
Les API traitent d’énormes quantités de données de types très variés – l’un des principaux soucis de tout fournisseur de données est donc de savoir comment sécuriser précisément ces données. L’idée que les données doivent être secrètes, qu’elles doivent rester inchangées et qu’elles doivent pouvoir être manipulées est la clé de toute conversation sur la gestion et le traitement des données API.
Revue et bonnes pratiques des méthodes d’authentification pour les APIs en fonction des protocoles utilisés (HTTP/HTTPS, MQTT, …)
Comment choisir parmi les outils disponibles ?
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...Worteks
LemonLDAP::NG est un logiciel libre d’authentification unique (SSO), contrôle d’accès et fédérations des identités pour les applications Web. Il implémente entre autres les protocoles CAS, SAMLv2 et OpenID Connect.
Disposant de nombreux connecteurs avec différents systèmes et applications, il permet en particulier de s’authentifier sur AD avec Kerberos ou via SAML sur ADFS ou AzureAD.
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
Présentation générale de MIM 2016
– Les licences MIM 2016
– Présentation de MIM 2016 Synchronization Services (inclus dans une licence Windows Server)
Vue d’ensemble du moteur de synchronisation.
– Les astuces pour démarrer avec MIM 2016 Synchronization Services
– Développer avec MIM 2016 Synchronization Services
Démo de 5 cas d’usage :
– Création, modification, suppression de l’objet identités (Metaverse rule) à partir d’un référentiel RH.
– Génération d’attributs à l’aide règles de transformations avancées (via les rules extensions)
– Réconciliation de plusieurs sources de données RH / paie.
– La mobilité inter-base RH.
– Le provisionning des autres systèmes cibles (Exchange, base de données…).
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
La sécurité comme on le sait tous est un enjeux très important pour les entreprises. Microsoft propose plusieurs outils afin de vous aider à vous protéger contres les attaques malveillantes, nous allons au travers de cette session découvrir l’outil Azure Advanced Threat Protection qui s’appuie sur le trafic réseau et journaux d’événements des contrôleurs de domaine Activé Directory pour vous protéger. Du design , de l’installation, configuration et simulation d’attaques seront au programme ! Venez nombreux !
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
Lors de cette session nous vous présenterons, la simplicité d’usage du module OneLogin Desktop ainsi que les différentes fonctionnalités telles que le Multi-Factor Authentication lors de l’ouverture de session, la synchronisation du mot de passe de session avec votre portail OneLogin afin de faciliter au maximum la vie de vos employés tout en augmentant le niveau de sécurité à leurs postes professionnels.
Nous profiterons aussi de cette occasion pour mettre en avant certains retours d’expériences de nos clients sur la suppression de leur Active Directory.
Windows 10 Next Generation Credentials (NGC) constitue une implémentation d’un nouveau principe d'authentification sans mot de passe, s'appuyant principalement sur le module matériel TPM – que l’on retrouve désormais sur la plupart des appareils – ainsi que sur des authentificateurs biométriques comme un lecteur d’empreinte digitale. Cette nouvelle approche permet de simplifier l'expérience utilisateur tout en renforçant la sécurité et en garantissant le respect de la vie privée. L'Alliance Fast IDentification Online (FIDO), dont Microsoft est membre et contributeur a récemment publié les versions finales des spécifications UAF Universal Authentication Framework qui sont au cœur de ce mode d'authentification sans mot de passe. Cette session fera la lumière sur les principes de l'authentification sans mot de passe disponibles sous Windows 10. Attention, pas de magie mais une solution astucieuse basée sur de la crypto asymétrique bien connue et des protocoles dont les spécifications sont publiques. Juste un petit un bémol : les démos ne seront possibles que si la version Consumer Preview de Windows 10 de fin janvier le permet.
Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
La fin de support prochaine de Windows Sevrer 2003 est pour de nombreux clients l’occasion de migrer leur environnement Active Directory existant. C’est aussi l’occasion de regarder les évolutions apportées par les versions 2012 / 2012 R2 d’Active Directory afin de ne pas limiter cette opération à une simple montée de version mais de l’utiliser comme une occasion de mettre en place les évolutions en terme de fonctionnalités et d’architecture qui permettront d’envisager de nouveaux scénario de mise en œuvre. De quoi faire d’une pierre deux coups en restant pleinement supporté et en apportant à vos utilisateurs de nouveaux services… de quoi permettre à votre DSI de retrouver le sourire en transformant un souci en occasion de briller…
La fin de support prochaine de Windows Sevrer 2003 est pour de nombreux clients l’occasion de migrer leur environnement Active Directory existant. C’est aussi l’occasion de regarder les évolutions apportées par les versions 2012 / 2012 R2 d’Active Directory afin de ne pas limiter cette opération à une simple montée de version mais de l’utiliser comme une occasion de mettre en place les évolutions en terme de fonctionnalités et d’architecture qui permettront d’envisager de nouveaux scénario de mise en œuvre. De quoi faire d’une pierre deux coups en restant pleinement supporté et en apportant à vos utilisateurs de nouveaux services… de quoi permettre à votre DSI de retrouver le sourire en transformant un souci en occasion de briller…
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023ChristopheVidal15
https://youtu.be/6vn12naxO1U
Rejoignez l'association pour avoir accès à l'entièreté des conférences du FoP Day 2023 ! : https://friendsofpresta.org/
La conférence "Cyberattaques PrestaShop : 1 an de harcèlement" porte sur les séries de cyberattaques qui ont visées des sites e-commerce utilisant PrestaShop. La plateforme a été ciblé par des hackers qui ont mené une campagne de harcèlement systémique, industrialisé et moral envers les sites de e-commerce.
Cette conférence va donc aborder le business du piratage, les malwares, les web skimmers, le niveau de vulnérabilité de Prestashop et Magento, FoP Security, les CVECs, remonter la piste des hackers ...
Elle a pour but de sensibiliser les e-commerçants aux risques liés aux cyberattaques et de leur fournir des informations sur les mesures de sécurité à prendre pour protéger leurs sites et leurs données. Clotaire Renaud vous présentera des études de cas, des analyses techniques et des conseils pratiques pour aider les propriétaires de sites e-commerce à mieux comprendre les risques de cyberattaques et à se protéger contre ces menaces.
En résumé, la conférence "Cyberattaques PrestaShop : 1 an de harcèlement" aborde un sujet crucial pour les e-commerçants : la sécurité en ligne. Elle met en lumière les risques de cyberattaques et fournit des conseils pratiques pour aider les propriétaires de sites e-commerce à se protéger contre ces menaces.
Retrouvez-nous l'année prochaine pour une 4ème édition du Friends Of Presta Day qui promet d'être encore plus inoubliable ! : https://friendsofpresta.org/
Présentation des différentes façon de mettre à disposition des utilisateurs des applications SaaS à l’aide du portail Azure Active Directory. Vous verrez dans cette session les différents types d’intégration et comment on les configure concrètement à l’aide de démo.
Présentation des différentes façon de mettre à disposition des utilisateurs des applications SaaS à l’aide du portail Azure Active Directory. Vous verrez dans cette session les différents types d’intégration et comment on les configure concrètement à l’aide de démo.
Sujets abordés:
L’identité Microsoft : Comprendre l’identité chez Microsoft
L’identité hybride : Étendre mon identité en toute sécurité vers Azure Active Directory
Sécurité : Sécuriser mon identité qui se retrouve dans un annuaire Cloud Azure Active Directory en dehors de mon système d’information
Retour d’expérience
Fin de support et migration des infrastructures, quels choix pour les PME ?Microsoft Technet France
Beaucoup de PME en France disposent déjà d'une infrastructure, souvent basée sur les anciennes versions de Small Business Server. Cette session passe en revue les différentes options qui s’offrent aux PME pour migrer leur existant vers des solutions de cloud privé ou public avec Microsoft Azure. Vous y découvrirez un récapitulatif des étapes importantes pour bien préparer sa migration. Quand migration peut rimer avec modernisation !
Fin de support et migration des infrastructures, quels choix pour les PME ?Microsoft Décideurs IT
Beaucoup de PME en France disposent déjà d'une infrastructure, souvent basée sur les anciennes versions de Small Business Server. Cette session passe en revue les différentes options qui s’offrent aux PME pour migrer leur existant vers des solutions de cloud privé ou public avec Microsoft Azure. Vous y découvrirez un récapitulatif des étapes importantes pour bien préparer sa migration. Quand migration peut rimer avec modernisation !
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Live Action : assistez à la récupération d’un AD compromisIdentity Days
Une conférence proposée par Matthieu Trivier & Pierre Normand
La remise en route d’une infrastructure saine n’est que la première étape dans la récupération après compromission d’un Active Directory.
Le traitement de l’identité en elle-même, reste le défi le plus important.
Rejoignez Matthieu et Pierre dans le cadre de cette session Live pour découvrir comment les solutions et les services Semperis peuvent vous aider dans cette situation.
Une conférence proposée par Hervé Thibault & Sylvain Cortès
Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ?
Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024.
Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
Une conférence proposée par Anne-Sophie Goeldner & Matthieu Masson
Pour gagner du temps dans l’exécution de leurs attaques, les adversaires utilisent des comptes valides depuis quelques années. Pour s’en emparer, ils exploitent notamment des mécanismes et des failles propres à l’AD. Une fois en possession d’identifiants compromis, leur objectif est toujours le même : réaliser des mouvements latéraux, obtenir plus de privilèges si nécessaire et compromettre un domaine pour en exfiltrer ses données.
Il est utopique de penser qu’on peut empêcher un adversaire avec des identifiants valides de s’introduire au sein d’un environnement. Et bien souvent, il est trop tard lorsqu’on arrive à détecter une attaque basée sur l’identité. Alors quelle approche adopter ? Nous pensons que la seule approche efficace consiste à entraver sa capacité à se déplacer latéralement dans l’environnement cible.
Passwordless – de la théorie à la pratiqueIdentity Days
Une conférence proposée par Fabrice de Vésian & Renato Antunes
Les mots de passe sont sur le déclin, car synonymes de faille de sécurité et de complexité. Pourtant, les entreprises craignent la conduite du changement et continuent à en souffrir avec le rallongement du nombre de caractères et les changements de mots de passe incessants.
Alors que le passwordless fait de plus en plus de bruit, il est important de le démystifier pour les équipes techniques et les utilisateurs, afin d’assurer l’adoption la plus efficace.
Au travers de quelques démonstrations, découvrez comment vous pouvez dès à présent proposer à vos utilisateurs une expérience passwordless disruptive, quelle que soit votre architecture en place, avec efficacité et simplicité.
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
Une conférence proposée par Emilie Bonnefoy & Xavier Domecq
L’accélération de la transformation digitale et l’augmentation et la complexification des attaques ont conduit à des changements de doctrine profond. Le concept de 0 trust s’est désormais imposé.
Sera-t-il suffisant pour faire face aux grandes ruptures technologiques auxquelles nous faisons déjà face ?
Intelligence artificielle, quantique, comment mieux les anticiper dans sa politique de gestion des identités ?
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
Une conférence proposée par Hervé-François Le Devehat
Dans un monde hyper-connecté, cible de cyberattaques de plus en plus industrialisées, il est essentiel de trouver des approches holistiques, qui intègrent la sécurité physique et la cybersécurité, tout en préservant la confidentialité des données et la protection de la vie privée, en renforçant l’authentification grâce à la biométrie décentralisée.
Cette conférence explorera les synergies et les opportunités offertes par cette combinaison alliée au MFA, dans le but de renforcer la protection des individus, des organisations et des infrastructures critiques. Des études de cas seront présentées pour illustrer comment la convergence de ces domaines peut améliorer la résilience des systèmes de sécurité, notamment face aux attaques de phishing, d’ingénierie sociale et d’usurpation d’identité.
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
Une conférence proposée par Christophe Maudoux
Je commencerai par présenter comment protéger des applications avec LemonLDAP::NG en mode reverse proxy, principal mode de raccordement utilisé pour protéger les applications des FSI.
J’expliquerai ensuite le principe de fonctionnement des handlers LL::NG en général et le handler DevOps en particuliers.
Enfin, je détaillerai comment mettre en œuvre une infrastructure DevOps complète basée sur le serveur Web Nginx et comment le STSISI a déployé le « SSO as a Service » pour offrir de nouvelles fonctionnalités aux équipes de développement.
Gérer les privilèges locaux en utilisant IntuneIdentity Days
Une conférence proposée par Thierry Deman et Jean-Sébastien Duchêne
Dans cette session, nous verrons les solutions disponibles pour gérer les privilèges des utilisateurs sur les machines. Au travers de démonstrations, nous passerons en revue tous les mécanismes tels que la gestion locale des utilisateurs et des groupes, Windows LAPS, Endpoint Privilege Management, etc.
Votre sécurité dépend de vos machines et des privilèges associés !
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
Une conférence proposée par Xuan Ahehehinnou, Nicolas Bonnet & Hakim Taoussi
Sur les ordinateurs et les serveurs, tout compte utilisateur/ système / de service, avec privilège d’administrateur local présente un très haut niveau de risque.
Ces risques de sécurité pouvant ouvrir la porte à des attaques pass-the-hash et autres vols d’informations d’identification, exécution de malware, mouvement latéral, désactivation des mécanismes de défense comme l’antivirus ou l’EDR, impersonation, chiffrement des données, etc.
Dans cette session, nous vous détaillerons donc les bonnes pratiques ainsi que des outils et fonctionnalités Microsoft comme : LAPS, Endpoint Privilege Management, Account protection
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
Une conférence proposée par Romaric Fayol
Le MFA, l’accès conditionnel et d’autres contrôles sur les identités sont très efficaces pour stopper les attaques. Ils sont largement utilisés dans des applications et infrastructures modernisées.
Cependant jusqu’à peu, ils ne pouvaient pas être facilement appliqués aux vielles applications, comptes de service, outils en ligne de commande, systèmes industriels et autres ressources reposant sur Active Directory. Ces angles morts sont ciblés dans presque toutes les attaques, et selon un nombre croissant de cyber assurances et régulations nécessitent des mesures de protections.
Rejoignez cette session et découvrez comment les solutions d’identités modernes et MFA peuvent être étendus aux assets connectés à l’Active Directory.
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
Une conférence proposée par Benoit Mortier
Les moteurs de workflow sont une partie importante de l’inscription, de l’accréditation, de l’habilitation et de la sécurité. Le problème courant est qu’il sont limités en fonctionnalités, trop complexes ou prévus pour certains usages seulement.
Un autre aspect est que cela doit rester utilisable par tout type d’utilisateur et donc être convivialNos recherches nous on donc amenés à implémenter un gestionnaire de workflow générique dans FusionDirectory. Ainsi, les utilisateurs peuvent créer leurs workflows et suivre leur exécution dans FusionDirectory de manière conviviale
Cette conférence montrera l’état de nos recherches actuelles et un cas d’usage concret du premier déploiement de cette solution
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
Une conférence proposée par Clément Notin
Mon Azure AD est-il à risque si mon Active Directory est piraté ? Ou l’inverse ?
De nombreuses organisations ont désormais un environnement d’identité hybride avec leur annuaire Active Directory historique, on-prem, et plus récemment Azure AD, dans le cloud. Les attaquants connaissent et savent exploiter plusieurs failles pour compromettre Active Directory (intrusion initiale, latéralisation, élévation de privilèges, persistance…), idem côté Azure AD.
Mais quid de l’isolation de ces environnements ? Un attaquant peut-il rebondir de l’un vers l’autre ?
Le piratage de SolarWinds en 2020 a confirmé que cela était possible de plusieurs manières.
Dans cette session, nous verrons :
– un éventail des techniques permettant à un attaquant de rebondir vers Azure AD depuis un Active Directory compromis
– mais aussi l’inverse !
– des démonstrations de plusieurs de ces techniques avec des outils de piratage publics
– et bien sûr des recommandations pour s’en prémunir
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
Une conférence proposée par Clément Oudot
Le projet LDAP Tool Box (LTB project) est un ensemble d’outils Open Source simplifiant la gestion de son annuaire (LDAP standard ou AD) et offrant de multiples services aux utilisateurs.
Nous présenterons quelques-uns de ces outils :
* Self Service Password : interface de changement et réinitialisation de son mot de passe
* White Pages : annuaire d’entreprise avec répertoire, carte géographique, export vCard et CSV
* Service Desk : outil pour le support permettant de débloquer des compte et forcer des mots de passe, tableaux de bord
Plusieurs exemples de projets seront mis en avant.
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
Une conférence proposée par David Coutadeur
La gestion d’identité est de plus en plus présente aujourd’hui, et les offres de SSO sont multiples.
Au coeur de ce marché, LemonLDAP::NG est une implémentation open-source robuste, complète, et adaptable de WebSSO.
Il répond aux besoins de sociétés privées et d’administrations de toutes tailles.
L’objectif de cette session est d’expliquer les concepts liés au SSO, de présenter le logiciel LemonLDAP::NG, de faire un point sur ses nouveautés, et de présenter un retour d’expérience client concret : architecture, état des lieux, difficultés rencontrées et bilan. Vous saurez tout !
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
Une conférence proposée par Loïc Veirman, Guillaume Mathieu et Jean-François Fernandez.
Au programme :
Gestion de la dette technique dans un modèle à plusieurs Tiers Active Directory
– Contextualisation : qu’est-ce que la dette technique ? Pourquoi la gestion est inévitable ?
– Deepdive : présentation des tiers legacy, isolement des DC dédiés (mnémonique, etc)
– Analyse de risque : ca ne règle pas tout !
Quand la dette technique touche le Cloud : obsolescence à grande vitesse
– Dépréciation des méthodes d’authentification héritées : Legacy MFA, Legacy SSPR
– Dépréciation des modules PowerShell AzureAD et MsOnline : présentation du module MGGraph et des outils de conversion de scripts.
– Dépréciation des API : au revoir Azure AD Graph
– Il est venu le temps de nettoyer vos applications Azure AD et supprimer les permissions API à risque
Azure AD pod Identity et son remplaçant les Azure AD Workload Identity
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
Avec l’évolution des usages et la migration vers le cloud, les systèmes d’information des entreprises sont de plus complexes et ouverts, ce qui augmente la surface d’attaque. Dans ce contexte, la gestion des identités et des accès (IAM) est essentielle pour assurer la sécurité et la conformité. En adoptant une approche Zero Trust, centrée sur les utilisateurs, les actifs et les ressources, l’IAM joue un rôle crucial en maîtrisant les identités et les autorisations pour protéger le système d’information. Dans cette présentation nous allons explorer les idées reçues, les pièges à éviter et les bonnes pratiques pour assurer le succès d’un projet IAM.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory
1. Merci à tous nos partenaires !
29 octobre 2020
@IdentityDays #identitydays2020
2. Les 5 étapes urgentes que chaque
CISO doit mettre en œuvre pour
sécuriser son Active Directory
Luc Delsalle – CTO & co-founder Alsid
29 octobre 2020
Identity Days 2020
3. Luc Delsalle
Avant de fonder Alsid, Luc a
passé 6 ans à l’ANSSI,
l’agence nationale française
en charge des questions de
cyberdéfense, où il a dirigé
plusieurs opérations de
réponse sur incident
d’échelle internationale
ainsi que de nombreuses
évaluations de sécurité
redteam.
• Pourquoi l’Active Directory est une cible
privilégiée des attaquants
• Séquence d’attaque classique visant une
organisation et son Active Directory
• Les 5 étapes du RSSI pour sécuriser son
Active Directory
• Comment Alsid peut protéger votre
organisation des malwares et attaques
visant l’Active Directory
• Questions / Réponses
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020
5. L’Active Directory
Identity Days 2020
• Un élément d’importance vital pour le système
d’information de l’entreprise
• Présent dans la grande majorité des entreprises
• Il a déjà 20 ans …
24 octobre 2020
6. Les constats
Identity Days 2020
• Les pratiques d’exploitation et de configuration ont généralement peu évoluées
• Retour du terrain:
• - de 48 h : C’est le temps nécessaire à un pentesteur pour prendre la main sur un AD
• + de 100 jours : Le délais avant de s’apercevoir d’une compromission sur AD
• + de 90% : des audits menés révèlent un niveau faible de sécurité lié à AD
• Des vulnérabilités connues et des attaques sur AD de plus en plus nombreuses.
• … Via des outillages complets … (Mimikatz, Empire, Powersploit, JohnTheRipper,
bloodHound…)
• … et parfois même parfois totalement automatisé (RYUK)
24 octobre 2020
8. Identity Days 2020
24 octobre 2020
MALWARE
INJECTION
PHISHING RECONN-
AISSANCE
CREDENTIAL
THEFT
EXPLOITATION PRIVILEGE
ESCALATION
PERSISTENCELATERAL
MOVEMENT
First part of the attack:
Target = Workstation
Second part of the attack:
Target = Active Directory
Third part of the attack:
Target = Active Directory + Business data
Targetedexternal
reconnaissance
or
Randomattacks
automatization
Fourth part of the attack:
[A] Data encryption & ransom asked
[B] Data theft & sold on the dark market
[A]
[B]
Active Directory kill chain
9. Les 5 étapes du RSSI pour sécuriser
son Active Directory
Identity Days 2020
29 octobre 2020
10. Identity Days 2020
24 octobre 2020
Etape 1:
Connaitre l’état actuel de son Active Directory
et évaluer son niveau de résilience
11. Identity Days 2020
24 octobre 2020
Ne pas se voiler la face
Tu vois un problème de
config sur notre AD ?
Non, non, tout est
absolument parfait !
• La plupart des designs Active Directory ont été réalisés il y a
plus de 10 ans, à une époque où les cryptovirus et le Tier-
Model Microsoft n’existaient pas vraiment
• La sécurité s’érode avec le temps, une photographie à un
instant T ou un pentest tous les trimestres ne permettent
pas d’évaluer les risques réels liés à Active Directory
• La sécurité Active Directory est en constante évolution
• Même avec des moyens restreints, il y a des « quick-wins »
à réaliser pour renforcer sa résilience Active Directory
12. Identity Days 2020
24 octobre 2020
Exemples de changement de paradigmes
autour de la sécurité Active Directory
Pass-the-hash
2000: Personne ne connait la faiblesse liée à la technique « pass-the-hash »
2005: On commence à voir dans quelques forums des interrogation sur le rejeux d’un hash qui serait « voler » - évidement, pas
uniquement en environnement Windows, les plateformes Unix et Linux ont un « problème » similaire
2011: Benjamin Delpy fournit la première version de Mimikatz
2012: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 1
2014: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 2
Attribut primaryGroupID
2000: Personne n’imagine l’attribut utilisateur primaryGroupID comme un problème de sécurité, il s’agit d’une fonction intégrée à AD pour
assurer un certain niveau de compatibilité avec UNIX et faciliter l’accès à l’annuaire pour l’ensemble des nouveaux comptes utilisateurs
2006: Certains forums mentionnent l’usage de cet attribut comme un moyen de masquer des actions nécessitant des privilèges en passant
sous le radar des requêtes LDAP (qui à l’époque étaient le moyen classique de vérifier certaines configurations AD)
2013: Certains ransomware embarquent cette technique pour devenir Domain admins (valeur 512)
13. Identity Days 2020
24 octobre 2020
Quelques Quick wins
• S’assurer des sauvegardes et du plan de restauration lié au service Active
Directory – Créer un lab dédié qui servira d’intégration
• Mettre à jour les contrôleurs de domaine vers Windows 2016 ou 2019
• Réduire drastiquement le nombre de comptes membres des groupes à pouvoir
(Domain admins, Enterprise admins, etc.)
• Vider le groupe Schema admins
• Changer deux fois le mot de passe du compte krbtgt
• Vérifier si certains comptes utilisateurs non privilégiés ont une valeur différente
de 513 dans l’attribut primaryGroupID
• Créer et appliquer une GPO qui désactive NTLMv1 et SMBv1 sur l’ensemble des
machines
• Vérifier si certains comptes de service ne possèdent pas la valeur de leur mot de
passe dans l’attribut Description ou autre attribut
14. Identity Days 2020
24 octobre 2020
Etape 2:
Visualiser et comprendre en temps réel les
mauvaises configurations au sein d’Active
Directory
15. Identity Days 2020
24 octobre 2020
Connaitre ses faiblesses
" le danger, ce n'est
pas ce que l'on ignore,
c'est ce que l'on tient
pour certain et qui ne
l'est pas "
Marc Twain
16. Identity Days 2020
24 octobre 2020
Pourquoi les mauvaises configurations AD
sont elles si importantes à surveiller ?
• Pour rappel, quel que soit le système (Active Directory ou autre chose) il n’y a
que deux moyens d’attaquer un système:
✓ Utiliser un faille de sécurité connue publiquement (CVE) ou non connue
(0-Day)
✓ Utiliser une mauvaise configuration du système
• La mise à jour vers les derniers OS et le patching régulier de vos contrôleurs de
domaine couvrira les failles connues – ok ce n’est pas « fancy » mais c’est
absolument nécessaire
• Vous devrez utiliser des solutions spécifiques de mise en conformité Active
Directory ou dédier deux ingénieurs spécialisés en sécurité AD à la surveillance
et correction des mauvaises configurations
• Quant aux failles 0-Day…
17. Identity Days 2020
24 octobre 2020
Pourquoi le temps réel est il si important ?
Ransomware example: RYUK
Key points:
✓ AV & EDR can be easily deactivated by the first part of the code
✓ Trickbot includes a specific piece of code to perform Active Directory domain reconnaissance
✓ Malwares can wait during hours/days/weeks/months until the AD misconfiguration occurs (=attack path)
Malicious documents
files (droppers)
distributed as
attachments through
phishing attacks
User is invited to open
the attachment, then
malicious code (1) is
run to download
additional code:
Trickbot or Emotet
Trojan.W97M.POWLOAD
TrojanSpy.Win32.TRICKBOT
Or
TrojanSpy.Win32.EMOTET
Dropper downloads
Trickbot (2) or Emotet
(2) to be used for:
▪ Stealing
credentials
▪ Active Directory
reconnaissance
Performs lateral
movement using Active
Directory:
▪ MS17-010
vulnerability (SMB
exploit)
▪ Networks shares
(compromised
accounts)
▪ PsExec, etc.
When the AD
misconfiguration
(=attack path) is
detected, the last part
of the code (3) is
downloaded and
deployed in the
organization
Upon execution, it
will perform its
encryption routine:
Local and shared
files becomes
encrypted and
ransom notes are
activated
Ransom.Win32.RYUK
Waiting for AD misconfiguration
TRICKBOT
DomainGrabber
AV & EDR deactivation
1 2 3
The DomainGrabber code is a specific
“tool” to perform the Active Directory
reconnaissance
1
2
2
3
18. Identity Days 2020
24 octobre 2020
Tweet du 2020/05/03 –
mimikatz s’execute avec
TrendMicro sur la machine
Simplement en changeant qq
entrées dans le code avant
compilation
1 seul EDR/AV
sur 60 détecte le
Payload dans le
fichier PDF
Ici SentinelOne
https://bit.ly/3deJGW2
Pourquoi le temps réel est il si important ?
20. Identity Days 2020
24 octobre 2020
Attaquer Active Directory via l’élévation de privilèges
1. Attaque sur les workstations (phishing, browser exploit,
PDF, Java)
2. Une workstation est compromise, l’attaquant utilisera
l’escala de privilèges pour récupérer les hashs de mots
de passe, les tickets Kerberos, les mots de passe des
comptes de service, etc.
3. L’attaquant utilise un compte pour réaliser le
mouvement latéral
4. L’attaquant accédera à un compte privilégié utilisé sur
une workstation ou un serveur membre (par exemple:
Domain Admins)
5. C’est fini…
22. Identity Days 2020
24 octobre 2020
Etape 4:
Gérer les comptes à pouvoir et deployer LAPS
sur les workstations
23. Identity Days 2020
24 octobre 2020
RSSI - CISO
J’adore être Superman,
je peux installer de quoi
j’ai besoin pour
travailler – Laisse moi
être Superman !System Admin
Power User
Pourquoi veux tu être
Superman alors que
tu as besoin d’être
uniquement Clark
Kent !
Attention à l’aspect psychologique !
24. Identity Days 2020
24 octobre 2020
Déployer LAPS, au moins sur les stations de W
Extension de
schéma pour
gérer les
attributs de
LAPS
Définir une GPO de
configuration et
l’appliquer sur les
stations de W (à
minima)
Interface de
gestion pour
retrouver le mot
de passe du
compte local
Administrator
25. Identity Days 2020
24 octobre 2020
Bénéfices de LAPS
• LAPS permet d’avoir un mot de passe local Administrateur différent sur
chaque station de travail (ou serveur membre)
• Le mot de passe d’administration sera utilisé uniquement par le service
Helpdesk ou IT
• LAPS permet une rotation du mot de passe et de définir une politique de mot
de passe complexe
• LAPS évite donc le mouvement latéral si une station de travail est compromise
et que la base SAM locale est compromise
26. Identity Days 2020
24 octobre 2020
Etape 5:
Intégrer votre sécurité Active Directory avec
vos briques de sécurité existantes – Le SIEM
27. Identity Days 2020
24 octobre 2020
En sécurité, l’intelligence collective est possible
• Si vous avez un SIEM, l’intégration des différentes briques de sécurité avec celui-ci est
un plus non-négligeable
• Votre équipe SOC connait son SIEM et sait s’en servir, ne rajoutez pas d’interface
supplémentaire sans nécessité
• Intégrez votre brique de sécurité Active Directory avec votre SIEM
• La brique de sécurité spécifique à Active Directory permettra d’éviter les faux positifs
et diminuera vos coûts de stockage côté SIEM
AD
Solution de
Sécurité Active
Directory
SIEM
28. Comment Alsid peut protéger
votre organisation des malwares et
attaques visant Active Directory
Identity Days 2020
29 octobre 2020
35. Identity Days 2020
24 octobre 2020
Preview: Alsid for AD DETECT
Q1 2021
Exemples
d’écrans,
soumis à
changement
36. Identity Days 2020
24 octobre 2020
Preview: Alsid for AD DETECT
Q1 2021
Exemples
d’écrans,
soumis à
changement
37. Identity Days 2020
24 octobre 2020
Pour aller plus loin…
www.alsid.com hello@alsid.com
Retrouvez
nous sur
notre stand
virtuel
pendant les
Identity Days
2020 et
posez toutes
vos
questions