Comprendre le concept de relais NTLM est essentiel pour quiconque s'intéresse à la cybersécurité. Cela met en lumière certaines vulnérabilités des protocoles de sécurité réseau largement utilisés dans de nombreux systèmes à travers le monde. NTLM, acronyme de NT LAN Manager, désigne un ensemble de protocoles de sécurité développés par Microsoft pour l'authentification dans ses systèmes logiciels. Le relais NTLM, quant à lui, est un type d'attaque où une authentification synthétique est créée et des informations sont envoyées d'un système à un autre.
Le relais NTLM débute lorsqu'un attaquant s'insère dans une conversation entre deux parties en se faisant passer pour le serveur. L'attaquant persuade le client qu'il communique avec le serveur. Lorsque le client envoie ses identifiants (nom d'utilisateur et mot de passe haché), l'attaquant intercepte ces informations et les utilise pour s'authentifier auprès du serveur. Le serveur, en retour, reconnaît l'attaquant comme étant le client initial.
Comment fonctionne le relais NTLM ?
Le processus de relais NTLM comprend trois étapes : l’interception, le transfert et l’établissement de session. Dans un premier temps, un attaquant doit s’interposer dans la communication entre le client (la machine demandant l’accès) et le serveur (la machine accordant l’accès). Cette phase d’interception est également connue sous le nom d’attaque de l’homme du milieu (MITM).
Lors de la phase de transmission, l'attaquant relaie les identifiants interceptés au serveur en se faisant passer pour le client. Enfin, lors de la création de session, il établit une session avec le serveur en utilisant ces identifiants. Dès lors, l'attaquant dispose des mêmes privilèges d'accès que le client dont les identifiants ont été interceptés et relaiés.
Les vulnérabilités de NTLM
Le relais NTLM exploite les vulnérabilités inhérentes au protocole NTLM. Ce dernier repose sur un processus d'authentification en trois étapes. Bien que ce processus puisse paraître sécurisé à première vue, sa vulnérabilité aux attaques par relais en fait une faille. Le processus d'authentification ne prévoit pas d'authentification mutuelle, une fonctionnalité permettant au serveur et au client de se valider mutuellement. De ce fait, un attaquant peut facilement usurper l'identité d'un serveur légitime auprès d'un client, et inversement.
Comment atténuer le relais NTLM ?
Plusieurs stratégies défensives permettent de sécuriser vos systèmes contre le relais NTLM. L'une des plus essentielles est l'utilisation de la signature SMB (Server Message Block). La signature SMB garantit l'intégrité des paquets de données transmis entre le client et le serveur. Elle exige que les paquets soient signés par l'expéditeur. Ainsi, elle réduit considérablement le risque de relais de paquets réussi par un attaquant, puisque ce dernier ne peut falsifier les signatures requises.
Une autre stratégie précieuse consiste à imposer la signature LDAP (Lightweight Directory Access Protocol) et LDAPS (LDAP sur SSL). Cette stratégie réduit le taux de réussite des attaques par relais NTLM en renforçant la sécurité des données en transit entre les contrôleurs de domaine et les serveurs LDAP.
Certaines fonctionnalités des versions récentes de Windows, comme EPA (Extended Protection for Authentication) et MIC (Message Integrity Code), offrent une protection supplémentaire contre les attaques par relais NTLM. EPA garantit l'inclusion des jetons de liaison de canal dans les requêtes d'authentification NTLM. MIC, quant à lui, assure l'intégrité du processus d'authentification.
Conclusion
En conclusion, le relais NTLM représente une menace subtile mais redoutable pour la sécurité des réseaux, exploitant les vulnérabilités inhérentes aux protocoles NT LAN Manager. Il est impératif pour les professionnels de la cybersécurité de comprendre ces vulnérabilités et de mettre en œuvre des solutions efficaces pour les atténuer. Des mesures proactives peuvent réduire considérablement le taux de réussite de telles attaques. Parmi celles-ci figurent, entre autres, la mise en place de la signature SMB, l'application de la signature LDAP et de LDAPS, ainsi que l'utilisation de fonctionnalités de sécurité telles que l'EPA et le MIC. Face au défi persistant que représente le relais NTLM pour la sécurité informatique, la maîtrise des techniques d'atténuation est essentielle pour une sécurité réseau robuste et impénétrable.