1 – Publication du guide de recommandations de sécurité relatives à Active Directory

L’ANSSI publie un guide de recommandations de sécurité relatives à Active Directory. Ce guide s’adresse à toute organisation utilisant un domaine Windows géré par Active Directory.

Active Directory est un annuaire permettant de centraliser les informations relatives aux utilisateurs et aux ressources d’une entité. Cet annuaire fournit des mécanismes d’identification et d’authentification tout en sécurisant l’accès aux données. Celui-ci occupe généralement un rôle central dans le système d’information de l’entreprise et en devient donc un élément critique. En effet, l’obtention à des fins malveillantes d’un compte privilégié au sein d’Active Directory peut entraîner la compromission des secrets utilisateur, des données métier ainsi que des postes de travail et serveurs de l’infrastructure.

Ce guide a pour but de présenter :

  • les concepts relatifs à Active Directory ;
  • les bonnes pratiques en matière de configuration, d’architecture et d’administration ;
  • les éléments importants à contrôler au quotidien.

Le CERT-FR recommande aux entités possédant un domaine Active Directory de contrôler les différents éléments décrits et de mettre en œuvre les préconisations de ce guide.

Documentation

2 – Conservation des en-têtes d’un message électronique dans le cadre de l’investigation numérique

Le CERT-FR est fréquemment amené, dans le cadre de ses missions, à analyser des messages suspects transmis par des administrations ou des partenaires afin d’en déterminer la malveillance.

Afin de préserver au mieux les traces d’un message, il convient de :

  • ne pas transférer ni copier-coller le contenu du message malveillant : cela supprime les en-têtes qui contiennent des informations utiles telles que l’adresse des serveurs relais, l’expéditeur et les conditions dans lesquelles le message a été traité par le serveur SMTP ;
  • transmettre le message compressé avec un utilitaire tel que 7-zip à l’aide d’un mot de passe : cela permet la transmission des messages sans altération et empêche l’activation par erreur de l’éventuelle charge malveillante.

Dans le cadre de l’analyse, les en-têtes peuvent être affichés de la manière suivante :

  • avec le logiciel Microsoft Outlook : ouvrir le message et sélectionner «Propriétés» dans le menu fichier ;
  • avec le logiciel Mozilla Thunderbird : sélectionner le message sans l’ouvrir dans la liste des messages reçus, puis appuyer sur les touches Ctrl+U afin d’afficher la source du message ;
  • avec le logiciel Lotus Note : ouvrir le message et sélectionner «afficher la source» dans le menu affichage.

Documentation

Rappel des avis émis

Dans la période du 25 au 31 août 2014, le CERT-FR a émis les publications suivantes :