Table des matières

Remerciements ....................................................................................................................................... 3
Présentation de l’entreprise.................................................................................................................... 4
Présentation générale ......................................................................................................................... 4
Bref historique ..................................................................................................................................... 4
Tâches effectuées .................................................................................................................................... 4
Serveur LAPS : Installation ................................................................................................................... 4
Serveur LAPS : Configuration............................................................................................................. 12
Serveur LAPS : Tests unitaires ........................................................................................................... 16
Serveur LAPS : Mise en Production ................................................................................................... 16
Conclusion ............................................................................................................................................. 17
Glossaire ................................................................................................................................................ 18

P a g e 2 | 18
 Remerciements
Je tiens à remercier tous les collaborateurs de chez Chaussea pour leur bienveillance et leur accueil.

Je remercie également Thomas DEBONI, Responsable de la Sécurité des Systèmes d’information,

mon tuteur qui m’a accompagné pendant tout mon stage.

Je le remercie de son écoute et ses conseils tout au long de ce stage.

Je remercie également Vincent Parisot pour les tâches qu’il m’a confiées et son apport d’expérience.

Merci à Aziz Messaoudi, directeur des systèmes d’information, de m’avoir permis d’intégrer son
service informatique.

P a g e 3 | 18
 Présentation de l’entreprise

Présentation générale
Chaussea est une entreprise et une chaine de magasins, leader de son secteur en France, qui vend
essentiellement des chaussures et de la maroquinerie avec près de 500 magasins en Europe.

Chaussea référence plus de 7000 produits, crée environ 500 modèles par an et vend une paire de
chaussures par seconde.

L’entreprise est également implantée en Espagne, Belgique, Luxembourg et Italie.

Le chiffre d’affaires du groupe est d’environ 500 millions d’euros.

Bref historique
La société Chaussea a été créée en 1984, par la famille Grieco, à l’origine, l’entreprise n’est qu’une
société de vente ambulante, puis c’est en Lorraine, plus précisément à Valleroy, que l’entreprise
installe son premier magasin et se développe. Au fil des années, l’enseigne change de nom, passant
de la Chausserie à Ditri-Chauss puis à Chaussea. L’enseigne rachète diverses entreprises au cours de
son évolution : Chaussurama, Multi-Chauss puis enfin la Halle il y a tout juste un an. Chaussea
devient alors le leader de la chaussure en France.

Tâches effectuées

Serveur LAPS : Installation

Dans le cadre de ce stage de troisième année, l’une de mes principales tâches a été de mettre en
place la solution LAPS1 sur les contrôleurs du domaine2 chaussea.net

Contexte :

Même dans un parc informatique avec une Active Directory3 et un contrôleur de domaine, il existe
toujours un compte sur les ordinateurs du parc : le compte administrateur local. Un compte
administrateur local ne pose pas de problème en soi et peut avoir une utilité (notamment dans le cas
où un ordinateur du parc ne peut plus se connecter au domaine). Le problème se situe plutôt dans le
fait que ce mot de passe est (très souvent) le même sur l’ensemble du parc. De plus, ce mot de passe
et généralement trop court et trop peu complexe. Cela induit d’autres problèmes : si le mot de passe
de l’administrateur local est corrompu sur une seule machine (ce qui est tout à fait faisable via la
méthode Pass the Hash, détaillé ci-dessous) alors la sécurité de l’entièreté du parc est compromise. Il
faut ajouter à cela le fait que le changement de mot de passe de l’administrateur local sur l’entièreté
du parc après compromission prend énormément de temps.

Méthode Pass the Hash:

P a g e 4 | 18
Comme son nom l’indique, la méthode Pass The Hash consiste à utiliser le hash NTLM4 d’un
utilisateur pour s’authentifier auprès d’un service. Cette attaque permet de s’authentifier sans
connaître le mot de passe en clair. Elle est notamment très utile dans les phases de
déplacement latéral5.

Cette méthode suppose que l’ensemble ou une partie du parc informatique possède un mot de passe
commun (dans le cadre d’un serveur LAPS, les mots de passe des administrateurs locaux)

La première étape de la méthode consiste à récupérer le hash administrateur sur un poste à notre
disposition, pour cela on peut utiliser secretdump.py (un script python) ou mimikatz (une application
en C). Cela suppose bien sûr d’avoir un accès sur un poste du domaine.

Récupération des hash des comptes locaux sur une machine avec secretdump.py

Les fonctions de hachage sont des fonctions à sens unique, cela veut dire que même avec le hash il
est impossible de récupérer les mots de passe en clair à partir de là. (Dans les faits, cette affirmation
dépend de la méthode de hachage6, de la complexité du mot de passe à l’origine, de l’ajout ou non
sel7…) Et c’est à ce moment-là qu’apparait tout l’intérêt de la méthode Pass the Hash : pas besoin
d’avoir le mot de passe en clair, utilisons directement le hash dans le cadre d’une authentification.

Procédure d’authentification (ou challenge), le mot de passe en clair n’est jamais directement utilisé pendant les échanges.

On remarque qu’à aucun moment le mot de passe en clair n’est utilisé. Ce qui signifie que, dans le
cadre de cette méthode, posséder un hash ou posséder le mot de passe en clair ne fais aucune
P a g e 5 | 18
différence, il suffit « simplement » de communiquer avec le serveur d’authentification en
transmettant directement le hash. Ce qui est tout à fait possible en utilisant par exemple le script
psexec.py de la suite Impacket.

Connexion à un autre appareil en connaissant uniquement le hash du mot de passe

La méthode décrite ci-dessus peut tout à fait être automatisée et s’appliquer sur un grand nombre
d’appareils.

Il est à noter que les attaques par Pass the Hash sont assez communes : 11 % des entreprises
françaises affirment avoir subi une attaque Pass-the-Hash, tandis que 23 % pensent l’avoir subie8.

Intérêts de la solution LAPS :

C’est ici qu’intervient la solution Microsoft LAPS, en lien avec l’Active Directory et utilisant la
stratégie de groupe.

Lorsqu’il est mis en œuvre via la stratégie de groupe, LAPS crée un mot de passe aléatoire d’une
longueur et d’une complexité définies, sécurisé sur le plan cryptographique et différent à chaque
fois, sur chaque ordinateur (permettant ainsi de contourner le problème des mots de passe
identiques sur tous les appareils). Il applique ensuite le mot de passe nouvellement créé au compte
de l’administrateur local et enregistre le mot de passe dans un champ sécurisé du schéma Active
Directory. Ils peuvent ensuite être récupérés lorsque l’accès au compte est nécessaire. La durée
avant l’expiration du mot de passe avant son remplacement peut aussi être définie. Les mots de
passe sont donc centralisés, différents, complexes et expirants.

Il est à noter que les mots de passe sont stockés en clair dans l’Active Directory, ce qui pourrait
donner l’impression de contrevenir à l’une des règles de base de la sécurité informatique, mais, ici,
ce n’est pas un problème vu que seuls certains comptes de l’Active Directory seront habilités à voir et
réinitialiser les mots de passe.

P a g e 6 | 18
Schéma du fonctionnement de LAPS sur le réseau

Dans le cas de Chaussea :

Chez Chaussea, les comptes administrateurs locaux ne sont pas désactivés, contrairement aux
recommandations de Microsoft8 pour les raisons évoquées plus haut. Les mots de passe ne sont
également pas identiques. Cependant ils répondent à une logique simple et facile à deviner si un mot
de passe est compromis. La mise place de la solution LAPS est donc d’utilité.

Prérequis :

– Une Active Directory avec extension de schéma sous Windows 2003 au minimum.

– Machine du parc : Windows Server 2003 SP2 au minimum ou Windows Vista au Minimum (sauf
système basé sur Itanium)

– Logiciel : .NET Framework 4.0 et PowerShell 2.0 au minimum.

Les prérequis sont donc assez larges pour permettre une intégration sur le domaine de Chaussea.

Mise en place :

Le but est dans un premier temps de mettre en place LAPS et de l’appliquer sur quelques appareils, si
aucun problème n’apparait le système sera mis en place à grande échelle.

On crée donc une unité d’organisation9 exprès à des fins de test.

Unité d’organisation LAPSTEST, avec un seul ordinateur

P a g e 7 | 18
À l’intérieur, on crée une stratégie.

Stratégie de groupe LAPS

Cette stratégie contiendra deux choses :

– Pour les machines de l’unité d’organisation, l’installation du client LAPS, qui ne fait que générer un
mot de passe et le transmettre à l’Active Directory

– Pour l’Active Directory, cela contiendra la politique de nos mots de passe pour les administrateurs
locaux

Ainsi, on peut déjà créer notre stratégie de groupe permettant l’installation du client sur les postes

Pour respecter l’architecture des postes, on ne rend pas l’application 32 bit installable sur les postes
64 bits :

On applique la stratégie et on force l’application immédiate sur le poste dans l’OU en question avec
gpupdate /force /boot

Une fois redémarré, on se rend compte que le client LAPS ne s’est pas installé.

En ouvrant l’observateur d’événements, on remarque les erreurs et avertissements suivants :

– L’affectation de l’application LAPS à partir de l’installation de la stratégie a échoué. L’erreur était :

%% 1274
P a g e 8 | 18
– La suppression de l’affectation de l’application LAPS depuis l’installation de la stratégie a échoué.
L’erreur était : %% 2

– Échec de l’application des modifications aux paramètres d’installation du logiciel. L’installation du

logiciel déployé via la stratégie de groupe pour cet utilisateur a été retardée jusqu’à la prochaine
ouverture de session, car les modifications doivent être appliquées avant l’ouverture de session de
l’utilisateur. L’erreur était : %% 1274

– L’installation du logiciel d’extension côté client de stratégie de groupe n’a pas pu appliquer un ou
plusieurs paramètres, car les modifications doivent être traitées avant le démarrage du système ou la
connexion de l’utilisateur. Le système attendra que le traitement de la stratégie de groupe se
termine complètement avant le prochain démarrage ou la prochaine ouverture de session pour cet
utilisateur, ce qui peut ralentir les performances de démarrage et d’amorçage.

Cela est dû au traitement asynchrone de certains objets de stratégie de groupe9, de ce fait, certains
logiciels peuvent ne pas s’installer. Cependant, il existe un moyen de régler le problème : spécifier le
temps de traitement de la stratégie de groupe au démarrage d’un post du parc (c’est au moment du
démarrage que les installations de logiciels se font). Il existe justement une règle de stratégie pour
spécifier cette durée de traitement.

Le paramètre est désactivé par défaut, cela correspond à une durée 30 secondes (ou définie par le
système lui-même).

P a g e 9 | 18
En doublant cette durée par défaut et en forçant à nouveau l’application de la stratégie de groupe,
l’application Local Administrator Password Solution s’installe bien sur les ordinateurs du parc de
manière automatique.

Le client est maintenant prêt, il faut maintenant s’occuper de l’Active Directory.

Il s’agit tout d’abord d’installer LAPS sur active directory. C’est le même installateur que celui qui
s’exécute côté client. Cette fois-ci, on effectue l’installation manuellement. Contrairement à
l’installation via GPO, on va installer l’ensemble des modules complémentaires à savoir :

– L’extension des objets de stratégie de groupe

– Le client de mot de passe graphique

– Le module client et administration PowerShell

P a g e 10 | 18
– Enfin, le module d’édition des modèles GPO

Le reste de l’installation s’effectue de ma même façon que n’importe quelle autre application.

Une fois l’application installée, on peut étendre le schéma Active Directory, ceci s’effectue via
PowerShell avec les droits de modifications du schéma Active Directory

Import-Module AdmPwd.PS # Importe le module installé, dédié à l’administration des mots de passe
Update-AdmPwdADSchema # Met à jour le schéma Active Directory

Note : l’extension de schéma est une action irréversible

Bien que les modèles d’administrations soient présents dans C:\Windows\PolicyDefinitions sur le
contrôleur de domaine, il n’y aucune règle concernant LAPS dans l’éditeur de stratégie de groupe.

Cet état est tout à fait normal, cela est dû au fait que Chaussea ne possède pas qu’un seul contrôleur
de domaine, mais trois.

Chaussea a donc mis en place un système de magasin central, ce magasin central permet de partager
et de synchroniser les définitions des stratégies de groupe (les fichiers .admx) et les fichiers de langue
correspondants (les fichiers .adml) et se base sur SYSVOL.

Le partage SYSVOL est expressément conçu pour contenir les stratégies de groupe et les scripts de
connexion (par exemple le montage d’un dossier partagé).

Une fois l’installation des modèles d’administration mis en place sur SYSVOL, un dossier LAPS
contenant quatre règles apparait sur l’éditeur de stratégie de groupe :

P a g e 11 | 18
Éditeur de stratégie de groupe sur le premier contrôleur de domaine

On vérifie que la réplication s’effectue bien :

Éditeur de stratégie de groupe sur le deuxième contrôleur de domaine

Serveur LAPS : Configuration

Avant de configurer ces règles, nous allons donner les droits aux ordinateurs dans LAPSTEST.

Ceci s’effectue via PowerShell :

Set-AdmPwdComputerSelfPermission -OrgUnit LAPSTEST

Ainsi, les ordinateurs pourront envoyer leur mot de passe administrateur local sur l’Active Directory.

Il faut à présent ajouter les droits aux groupes qui doivent pouvoir voir les mots de passe :

Set-AdmPwdReadPasswordPermission -Identity
"OU=Informatique,OU=Valleroy,OU=Ordinateurs,OU=Chaussea,DC=chaussea,DC=net" -
AllowedPrincipals "Gr_Admin"

Set-AdmPwdReadPasswordPermission -Identity
"OU=Informatique,OU=Valleroy,OU=Ordinateurs,OU=Chaussea,DC=chaussea,DC=net" -
AllowedPrincipals "Admins du domaine"

Note: vu qu’il existe plusieurs OU informatique chez Chaussea, nous obligé d’utiliser le nom distinct
pour éviter les erreurs.

Il en va de même pour donner les bons droits afin de pouvoir réinitialiser un mot de passe :

P a g e 12 | 18
Set-AdmPwdResetPasswordPermission -Identity
"OU=Informatique,OU=Valleroy,OU=Ordinateurs,OU=Chaussea,DC=chaussea,DC=net" -
AllowedPrincipals "Gr_Admin"

Set-AdmPwdResetPasswordPermission -Identity
"OU=Informatique,OU=Valleroy,OU=Ordinateurs,OU=Chaussea,DC=chaussea,DC=net" -
AllowedPrincipals "Admins du domaine"

Résultat :

Nous pouvons à présent définir les paramètres des différentes règles rajoutées par LAPS :

—Password Settings: Définir la complexité du mot de passe, sa longueur et sa durée de vie

—Name of administrator account to manage: Définir un compte administrateur à configurer autre

que le compte Administrateur intégré à Windows. En effet, le compte Administrateur BUILT-IN est
automatiquement détecté, grâce au SID (Identifiant de sécurité unique) même s’il est renommé.

—Do not allow password expiration longer than required by policy: Ne pas autoriser une expiration
du mot de passe plus longue que le permet la stratégie

—Enable local admin password management: Activer ou désactiver la gestion du mot de passe
administrateur avec LAPS.

Configuration de Password Settings:

P a g e 13 | 18
Configuration de Name of administrator account:

Note : le service informatique de Chaussea n’utilise pas le compte administrateur local par défaut,
mais en crée un autre nommé IT et désactive le premier. Dans ces conditions, le paramètre est à
modifier comme précédemment.

Configuration de Do not allow password expiration longer than required by policy:

Configuration de Enable local admin password management:

P a g e 14 | 18
Une fois terminé, on peut visualiser les mots de passe de différentes manières :

Via l’application graphique :

Via PowerShell avec la commande Get-AdmPwdpassword — ComputerName NomOrdi| fl :

Via les propriétés de l’objet dans l’Active Directory :

P a g e 15 | 18
Serveur LAPS : Tests unitaires

La phase d’installation inclus un premier test unitaire avec la stratégie LAPSTEST, avec un seul
ordinateur sous Windows 10 64 bits, cependant rien n’indique que cela fonctionne sur un appareil
avec un système ou une architecture différente. On va donc créer d’autres unités d’organisation où
l’on applique notre stratégie. Dans ces nouvelles unités d’organisations on y place des appareils avec
des caractéristiques différentes :

Unités d’organisation de test avec appareil 32 bits et une avec un appareil sous Windows 7

Serveur LAPS : Mise en Production

Les différents tests étant concluants, il est à présent temps d’appliquer cette stratégie de groupe à
l’échelle de l’entreprise, on supprime les différentes unités d’organisation créées pour les tests et on
remet les appareils de test dans les unités d’organisation d’origine. Enfin nous appliquons la stratégie
de groupe sur l’ensemble des appareils du siège. En fonction du réseau, les stratégies de groupe
peuvent mettre plusieurs semaines à descendre (sans compte le fait que, en période de vacances,
une partie des employés ne sont pas là pour (re)démarrer leur ordinateur. Il faut donc vérifier
régulièrement visualiser les mots de passe des ordinateurs via l’une des méthodes citées plus haut et
vérifier que de plus en plus d’ordinateurs installent LAPS et récupèrent les bons droits.

P a g e 16 | 18
 Conclusion
Ce temps passé chez Chaussea a été des plus utile.

J’ai eu le privilège d’installer des solutions de cybersécurité dans un environnement d’entreprise

en production avec toutes les contraintes que cela implique.
Pour cela, j’ai dû mettre en place plusieurs tests unitaires puis globaux toujours dans le but de ne
pas perturber le réseau.

Ce contexte, relativement éloigné de ce qui est proposé en école, est très formateur et
valorisant.

Le métier d’expert cybersécurité est un métier passionnant, qui demande autant de

connaissances techniques que de capacité d’adaptation, notamment pour faire face aux
contraintes réseau ainsi qu’à l’hétérogénéité du parc informatique.

Ce stage a donc été une très bonne expérience pour moi.

P a g e 17 | 18
 Glossaire
1 : LAPS : Local Administrator Password Solution, solution de gestion des mots de passe des
administrateurs locaux

2 : Contrôleur de Domaine : Un contrôleur de domaine est un serveur qui répond aux demandes
d’authentification et contrôle les utilisateurs des réseaux informatiques.
(https://blog.varonis.fr/controleur-de-domaine/)

3 : Active Directory: Active Directory est un service d’annuaire créé par Microsoft, Active Directory a
pour objectif premier de centraliser l’identification et l’authentification d’un réseau de postes
Windows. (https://www.journaldunet.fr/web-tech/dictionnaire-du-webmastering/1203425-active-
directory-definition-traduction-et-acteurs/)

4 : NTLM : Le protocole NTLM est un protocole d’authentification utilisé dans les environnements
Microsoft. Il permet notamment à un utilisateur de prouver qui il est auprès d’un serveur pour
pouvoir utiliser un service proposé par ce serveur. (https://beta.hackndo.com/pass-the-hash/)

5 : Mouvement latéral : On parle de mouvement latéral quand un attaquant utilise des comptes non
sensibles pour obtenir l’accès à des comptes sensibles dans votre réseau. Les attaquants utilisent le
mouvement latéral pour identifier et obtenir l’accès à des ordinateurs et des comptes sensibles de
votre réseau, qui partagent des informations d’identification stockées dans des comptes, des
groupes et des ordinateurs. (https://docs.microsoft.com/fr-fr/defender-for-identity/use-case-lateral-
movement-path)

6 : Méthode de hachage : Opération qui consiste à appliquer une fonction mathématique permettant
de créer l’empreinte ou signature numérique d’un message (d’un bloc de données), transformant le
message de taille variable en un code de taille fixe, en vue de son authentification ou de son
stockage. (https://fr.wiktionary.org/wiki/hachage)

7 : Salage : Le salage, est une méthode permettant de renforcer la sécurité des informations qui sont
destinées à être hachées (par exemple des mots de passe) en y ajoutant une donnée supplémentaire
afin d’empêcher que deux informations identiques conduisent à la même empreinte (la résultante
d’une fonction de hachage). Le but du salage est de lutter contre les attaques par analyse
fréquentielle, les attaques utilisant des rainbow tables, les attaques par dictionnaire et les attaques
par force brute. (https://fr.wikipedia.org/wiki/Salage_(cryptographie))

8 : Source : https://www.itpro.fr/la-methode-dattaque-pass-hash-cible-les-entreprises-francaises/

9 : Source : https://qastack.fr/server/44257/group-policy-installation-failed-error-1274

P a g e 18 | 18