Aller au contenu principal

Pentest Cloud : Prestataire informatique

Prestataire informatique
5 jours
Microsoft Azure
Pentest Cloud

Contexte de la mission

Le défi

Contexte

Un prestataire informatique avait migré l'ensemble de son infrastructure vers Microsoft Azure (annuaire des utilisateurs, applications, stockage de fichiers). L'entreprise hébergeait des données clients et devait démontrer sa conformité sécurité pour répondre aux exigences contractuelles.

Objectifs

  • Évaluer la sécurité de l'environnement Azure après migration complète
  • Tester la possibilité de devenir administrateur depuis un compte avec des droits limités
  • Démontrer la conformité sécurité aux clients de l'entreprise

Déroulement

Découvertes clés

Périmètre testé

  • Annuaire des utilisateurs et gestion des accès (Entra ID)
  • Applications hébergées dans le cloud (App Services)
  • Coffre-fort numérique pour les mots de passe et clés (Key Vault)
  • Stockage de fichiers et réseau virtuel
  • Tests simulant un attaquant ayant obtenu un compte avec des droits limités (Reader)

Méthodologie

Approche « on simule qu'un attaquant a déjà un accès limité » : l'auditeur part d'un compte en lecture seule et tente de progresser jusqu'aux droits d'administrateur en exploitant les mauvaises configurations.

Critique

Une application disposait de droits bien trop élevés sur tout l'environnement Azure

Critique

Mots de passe et clés de connexion stockés en clair dans les paramètres des applications

Élevé

Paramètres de sécurité par défaut désactivés et règles d'accès conditionnel mal configurées

Moyen

Aucune alerte configurée sur les actions sensibles : un changement de droits ou un accès au coffre-fort passerait inaperçu

Élevé

Règles réseau trop permissives exposant des services internes à Internet

Moyen

Ressources de production supprimables sans contrôle ni validation

Résultats

Bilan et recommandations

Bilan

14 vulnérabilités : 2 critiques, 3 élevées, 4 moyennes, 5 faibles

Depuis un simple compte en lecture seule, l'auditeur a exploité une application disposant de droits trop élevés pour récupérer des mots de passe stockés en clair. Ces mots de passe ont permis d'accéder au coffre-fort numérique puis de devenir administrateur de tout l'environnement.

Le client a mis en place les corrections en un mois, lui permettant de démontrer sa conformité à ses propres clients.

Recommandations

  • Limiter les droits de chaque application au strict nécessaire
  • Stocker les mots de passe et clés dans le coffre-fort Azure (Key Vault) au lieu des paramètres
  • Réactiver les paramètres de sécurité par défaut ou corriger les règles d'accès conditionnel
  • Restreindre les connexions aux pays autorisés uniquement
  • Vérifier régulièrement les droits attribués à chaque compte et application

Enseignements

Leçons apprises

  • Lors d'une migration vers le cloud, les applications reçoivent souvent des droits trop larges « pour que ça marche » sans les restreindre ensuite
  • Des mots de passe stockés en clair dans les paramètres d'une application suffisent à compromettre tout l'environnement
  • Vérifier les droits de chaque compte et application après chaque changement d'équipe est indispensable

Continuité

Prochaines étapes

  • Audit de sécurité semestriel des configurations Azure
  • Mise en place d'alertes sur les actions sensibles (changements de droits, accès au coffre-fort, connexions inhabituelles)
  • Test d'intrusion de suivi pour valider les corrections

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services