Active directory : Un ancien salarié d’Engie condamné après avoir mis à jour une vulnérabilité critique

Spread the love
  • Yum

Active directory : Un ancien salarié d’Engie condamné après avoir mis à jour une vulnérabilité critique

Août 2020. La sécurité informatique du groupe énergétique Engie s’affole. Une personne a réussi à se rendre maître brièvement d’une de ses forêts – un regroupement de plusieurs domaines – Active directory, soit 188 000 machines et 232 000 comptes utilisateurs.

Au cœur de la torpeur estivale, un ancien salarié du deuxième producteur d’électricité en France, alors en poste, a en effet réussi, grâce à une escalade de privilèges, à s’octroyer les droits les plus élevés sur l’Active directory, cet annuaire qui permet la gestion centralisée des comptes, ressources et permissions.

publicité

L’Active directory représente toujours un talon d’Achille très critique

Une découverte sensible, qui prouve que l’Active directory représente toujours un talon d’Achille très critique pour de nombreuses organisations. C’est « en quelque sorte le Graal des attaquants », rappelait ainsi en mars 2020 le CESIN, une association de professionnels, puisqu’il ouvre « de nombreux accès aux données du système d’information ». Cet annuaire est bien trop souvent mal sécurisé. Les agents de l’Anssi s’étaient ainsi émus, dans un guide publié il y a quelques mois, d’un « manque de maturité critique et récurrent sur la sécurité ».

L’intrusion de cet été s’est soldée pour l’ancien salarié d’Engie, le lundi 8 mars, par une peine de quatre mois de prison avec sursis et d’une amende de 15 000 euros, aux deux-tiers assortie d’un sursis. Jugé par le tribunal judiciaire de Paris, il était poursuivi pour accès frauduleux dans un système de traitement automatisé de données. Il devra également verser un euro de dommages et intérêts à Engie. Son ancien employeur, partie civile, n’a finalement demandé qu’une somme symbolique, alors que le coût de l’incident avait été évalué à 238 000 euros.

Une peine finalement plutôt clémente. Si son avocat, Me Gregory Siksik, avait plaidé pour une condamnation assortie d’une simple amende, le parquet a demandé un an de prison avec sursis. Un quantum important qui s’explique par les doutes de l’accusation sur le timing de la découverte de la vulnérabilité, à quelques jours du départ du prévenu de l’entreprise. Laissant planer le doute sur ses motivations : espérait-il pouvoir vendre une première prestation à son ancien employeur ou étoffer son CV technique avec cette trouvaille ?

Un mot de passe non sécurisé

Selon le récit fait devant la justice française, l’ancien salarié d’Engie avait, à la mi-août, détecté une première anomalie en se connectant, depuis son lieu de vacances, au réseau privé virtuel. Ce féru de sécurité informatique, alors agent de maîtrise dans un service de maintenance d’une des entités d’Engie dédiée aux infrastructures télécom, découvre alors l’existence d’un compte de service sécurisé par un très mauvais mot de passe. A savoir “Password”, avec la première lettre en majuscule.

« On pourrait en rire, mais au moment des faits j’étais d’une inquiétude absolue : on ne peut pas laisser un compte de service avec un tel mot de passe », expliquait-il le lundi 8 mars lors de son procès. Si “Password” est bien moins utilisé que les très peu sûrs “123456” ou “password”, cela reste en effet un mot de passe extrêmement faible. La base de données Pwned Passwords recense ainsi plus de 136 000 mentions dans sa base de données de 613 millions de mots de passe dévoilés.

« Avec ce compte de service, je me suis rendu compte que je pouvais aller sur un autre serveur, poursuit le découvreur de la vulnérabilité. Je réitère la même démarche, interroge l’annuaire, jusqu’à voir un compte administrateur qui traîne », et en prend le contrôle. Puis il révoque les privilèges obtenus et signale dans un rapport, assorti de recommandations, la vulnérabilité au responsable de la sécurité des systèmes d’information. Ce qui entraîne aussitôt un dépôt de plainte d’Engie.

L’accusé invoque un « devoir d’alerte »

Sur le plan du droit, cette découverte sauvage relève en effet d’une attaque informatique et non, comme expliqué en garde à vue, d’un « audit sans intention malveillante ». « C’était mon devoir d’alerte, il était nécessaire d’alerter Engie pour qu’il y ait un minimum de sécurité informatique », expliquera l’ancien salarié alors aux enquêteurs de la direction générale de la sécurité intérieure.

Une initiative bien éloignée des pratiques du secteur. « Lorsque nous faisons un audit, nous signons une convention de service avec notre client qui définit ses objectifs, ses limites, une fiche d’autorisation d’audit, et nous préparons des chartes déontologiques à destination de nos auditeurs », souligne ainsi Nicolas Langeard, en charge de cette activité dans le cabinet de conseil Amossys, qualifié sur ce sujet par l’Anssi depuis 2013. Contactée, Engie n’a pas souhaité réagir sur cette affaire.

Leave a Reply

%d bloggers like this: