Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Qu'est-ce que l'élévation de privilège et pourquoi est-ce significatif ?

Qu'est-ce que l'élévation de privilège et pourquoi est-ce significatif ?

Sep 5, 2018

L'escalade de privilèges est une tactique courante présente dans presque toutes les cyberattaques aujourd'hui. Les initiés malveillants, les gangs de rançongiciels et autres acteurs de menaces l'utilisent souvent en combinaison avec des mouvements latéraux pour traverser le réseau d'une victime afin d'obtenir un accès non autorisé à des ressources informatiques sensibles. Les droits d'accès élevés sont essentiels pour des activités malveillantes, y compris le vol de données sensibles, la perturbation des opérations commerciales et la création de portes dérobées pour les futures étapes d'une attaque. En raison de l'utilisation répandue de Active Directory, les attaques d'escalade de privilèges sur Windows sont plus courantes que les assauts de privilèges sur Linux, mais les deux sont observés dans la nature.

Téléchargez le guide gratuit :

Pourquoi les privilèges élevés sont importants pour les attaquants

Les privilèges élevés sont les clés du royaume dont les acteurs de menaces ont besoin pour modifier les configurations système, les permissions de données et les contrôles de sécurité. Les attaquants obtiennent généralement l'accès à un réseau en utilisant un compte d'utilisateur standard compromis. L'élévation de privilège est réalisée en volant les identifiants d'un administrateur système ou d'un compte de service de haut niveau ; cela permet d'accéder à des serveurs critiques, des appareils réseau, des dépôts de données et des systèmes de sauvegarde.

Malheureusement, la capacité d'escalader les privilèges est souvent facile même pour les pirates peu sophistiqués car de nombreuses organisations manquent de mesures de sécurité adéquates. En effet, le contrôle d'accès est trop souvent configuré en privilégiant la commodité plutôt que l'application du the principle of least privilege.

Élévation de privilèges horizontale vs verticale

Les cyberattaques impliquent souvent l'exploitation d'une certaine vulnérabilité, comme un système non patché, une configuration inappropriée ou une erreur de programmation. Une fois un système compromis, l'attaquant effectue une reconnaissance pour identifier les utilisateurs privilégiés à compromettre et des moyens d'augmenter les droits d'accès des comptes qu'ils contrôlent déjà.

Il existe deux types d'escalade de privilèges que les acteurs de menaces utilisent :

  • Élévation horizontale des privilèges — Un attaquant compromet un compte puis obtient le même niveau de privilèges ou de permissions qu'un autre utilisateur ou application sur un système différent. Par exemple, après avoir compromis le compte d'un utilisateur de banque en ligne, un adversaire pourrait accéder au compte d'un autre utilisateur en apprenant son identifiant et son mot de passe.
  • Élévation verticale des privilèges (également connue sous le nom d'élévation de privilège ou EoP) — Un utilisateur malveillant accède à un compte de niveau inférieur et exploite une faiblesse du système pour obtenir un accès administratif ou de niveau racine à une ressource ou un système. L'élévation verticale des privilèges nécessite des techniques d'attaque plus sophistiquées que l'élévation horizontale des privilèges, telles que des outils de piratage qui aident l'attaquant à obtenir un accès élevé aux systèmes et aux données.

Comment se produit l'escalade des privilèges ?

Les attaquants qui tentent de réaliser des actions non autorisées utilisent souvent des exploits d'escalade de privilèges. Ces exploits impliquent des faiblesses connues ou découvertes concernant un système d'exploitation, un composant logiciel ou une mauvaise configuration de sécurité. L'attaque implique généralement ce processus en cinq étapes :

  1. Trouvez une vulnérabilité.
  2. Créez l'exploit d'escalade de privilèges associé.
  3. Utilisez l'exploit sur un système.
  4. Vérifiez si cela exploite avec succès le système.
  5. Obtenez des privilèges supplémentaires si nécessaire.

Quelles sont les principales techniques d'escalade de privilèges ?

Il existe plusieurs techniques d'escalade de privilèges que les attaquants utilisent. Trois des plus courantes sont :

  • Manipulation des jetons d'accès
  • Contournement du contrôle de compte utilisateur
  • En utilisant des comptes valides

Technique 1 : Manipulation de jeton d'accès

La manipulation de jeton d'accès tire parti de la manière dont Windows gère les privilèges d'administrateur. Un jeton d'accès est créé par un système Windows au moment de la connexion d'un utilisateur. En modifiant un jeton d'accès, un adversaire peut tromper le système pour lui permettre d'effectuer une tâche système ou d'accéder à un processus ou service en cours d'exécution qui nécessite des privilèges élevés.

Les adversaires peuvent exploiter des jetons d'accès en utilisant l'une des trois méthodes :

  • Usurper ou voler un jeton — Un adversaire peut créer un nouveau jeton d'accès qui duplique un jeton existant en utilisant la fonction DuplicateToken(Ex). Le jeton peut ensuite être utilisé avec la fonction ImpersonateLoggedOnUser pour permettre au thread appelant d'usurper le contexte de sécurité d'un utilisateur connecté, ou avec la fonction SetThreadToken pour assigner le jeton usurpé à un thread.
  • Créez un processus avec un jeton — Cela se produit lorsqu'un adversaire crée un nouveau jeton d'accès avec la fonction DuplicateToken(Ex) et l'utilise avec la fonction CreateProcessWithTokenW pour créer un nouveau processus qui s'exécute sous le contexte de sécurité de l'utilisateur impersonné. Cela peut être utile pour créer un nouveau processus sous le contexte de sécurité d'un autre utilisateur.
  • Usurpation de jeton — Ici, un adversaire dispose d'un nom d'utilisateur et d'un mot de passe, mais l'utilisateur n'est pas connecté au système. L'adversaire peut créer une session de connexion pour l'utilisateur à l'aide de LogonUser. La fonction retournera une copie du jeton d'accès de la nouvelle session, et l'adversaire peut utiliser SetThreadToken pour attribuer ce jeton à un fil d'exécution.

Comment atténuer cette menace

Les jetons d'accès sont une partie intégrante du système de sécurité Windows et ne peuvent pas être désactivés. Cependant, un attaquant doit déjà avoir un accès de niveau administrateur pour utiliser pleinement cette technique. Par conséquent, vous devez attribuer les droits d'accès conformément au principe du moindre privilège et vous assurer que tous les droits d'accès sont régulièrement révisés. Vous devez également surveiller attentivement les comptes privilégiés et répondre rapidement aux signes d'activité suspecte effectuée par ces comptes. Idéalement, vous pouvez remplacer presque tous les comptes administratifs permanents par un accès just-in-time access.

Technique 2 : Contournement du contrôle de compte d'utilisateur

La fonctionnalité de contrôle de compte d'utilisateur (UAC) de Windows sert de passerelle entre les utilisateurs normaux et les comptes avec des privilèges d'administrateur. Elle limite les logiciels d'application aux permissions d'utilisateur standard jusqu'à ce qu'un administrateur autorise une augmentation des privilèges. Elle nécessite qu'un administrateur saisisse ses identifiants pour dépasser l'invite. De cette manière, seules les applications auxquelles l'utilisateur fait confiance peuvent recevoir des privilèges administratifs, empêchant ainsi les logiciels malveillants de compromettre le système d'exploitation.

Ce mécanisme n'est pas parfait, cependant. Si le niveau de protection UAC d'un ordinateur est réglé sur autre chose que le niveau le plus élevé, certains programmes Windows sont autorisés à élever les privilèges ou à exécuter des objets du Modèle de composants (COM) qui sont élevés sans demander d'abord l'autorisation à l'utilisateur.

Comment atténuer cette menace

Vous devez vérifier régulièrement votre environnement informatique pour les faiblesses courantes de contournement de l'UAC et traiter les risques de manière appropriée. Une autre bonne pratique consiste à examiner régulièrement quels comptes se trouvent dans vos groupes d'administrateurs locaux sur tous les systèmes Windows et à retirer les utilisateurs ordinaires de ces groupes. Vous pouvez le faire en utilisant Group Policy ou Intune.

Technique 3 : Utilisation de comptes valides

Les adversaires peuvent utiliser des techniques d'accès aux identifiants telles que le bourrage d'identifiants, la manipulation de compte ou l'ingénierie sociale pour compromettre les identifiants des utilisateurs légitimes. Ils peuvent même accéder à des systèmes et services à distance en utilisant un VPN ou une connexion de bureau à distance. L'une des principales préoccupations ici est le chevauchement des identifiants et des autorisations à travers le réseau, car les adversaires pourraient être capables de basculer entre les comptes et les systèmes pour atteindre un niveau d'accès supérieur, tel que Domain Admin ou Enterprise Admin.

Comment atténuer cette menace

L’un des moyens les plus efficaces d’atténuer cette menace consiste à appliquer une stratégie de mots de passe robuste pour tous les comptes, incluant des exigences de longueur et de complexité. De plus, changez régulièrement les mots de passe de tous les comptes administratifs et utilisez des mots de passe uniques pour le compte administrateur local sur chaque système, afin d’empêcher les attaquants de se déplacer latéralement dans le réseau en compromettant un seul compte administrateur local.

Il est également important de surveiller votre environnement informatique pour détecter tout comportement utilisateur suspect qui pourrait indiquer une menace en cours. Une détection précoce est impérative.

Comment se protéger contre l'escalade des privilèges

Bien qu'il n'existe aucun moyen de sécuriser entièrement votre environnement contre les pirates et les initiés malveillants qui cherchent à augmenter leurs privilèges, vous pouvez réduire le risque d'escalade des privilèges en renforçant les surfaces d'attaque de vos systèmes d'exploitation et logiciels de points de terminaison et en appliquant le principle of least privilege pour toutes les ressources. Vous devriez également exiger une authentification multifacteur pour fournir une meilleure sécurité chaque fois que cela est justifié, en fonction du risque associé à l'activité tentée. Effectuez des évaluations régulières des risques pour détecter et évaluer les risques pour vos fichiers sensibles et prenez des mesures pour sécuriser les données conformément à leur valeur.

De nombreuses entreprises utilisent un type de solution Privileged Access Management (PAM). La Netwrix Privileged Access Management Solution vous offre une visibilité sur les privilèges à travers tous vos systèmes et applications. Elle vous alerte lorsque de nouveaux comptes privilégiés sont créés ou modifiés, et découvre des comptes privilégiés que vous pourriez même ignorer. En bref, elle vous permet de gérer les privilèges à travers votre patrimoine informatique.

L'association d'une solution de Privileged Access Management (PAM) avec le respect des meilleures pratiques de sécurité peut vous aider à bloquer l'escalade des privilèges et les mouvements latéraux pour éviter la perte de données, les interruptions d'activité et les sanctions de conformité.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Attributs Active Directory : Dernière connexion

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité