Un des vecteurs d’attaque peu connus mais couramment exploités par les pirates est le protocole LLMNR (Link-Local Multicast Name Resolution). Cet article de blog explique pourquoi il est essentiel de désactiver LLMNR et comment procéder à cette désactivation pour améliorer la sécurité de votre réseau.
Qu'est-ce que LLMNR ?
LLMNR est un protocole réseau introduit par Microsoft pour faciliter la résolution des noms de machines dans les environnements locaux où les serveurs DNS ne sont pas disponibles. Il permet aux ordinateurs d’un réseau local de communiquer en résolvant les noms de machines sans avoir besoin d’un serveur DNS. Cela se fait en envoyant des requêtes à tous les appareils sur le réseau via des paquets multicast.
Bien que cette fonctionnalité puisse être utile dans certains cas spécifiques, elle présente des failles de sécurité significatives.
Pourquoi désactiver LLMNR ?
1. Vulnérabilité aux attaques "Man-in-the-Middle"
LLMNR est souvent exploité dans des attaques de type « Man-in-the-Middle » (MITM). Dans ce type d’attaque, un pirate peut se faire passer pour un autre appareil du réseau et intercepter les données sensibles, telles que les identifiants de connexion. En manipulant les réponses LLMNR, un attaquant peut usurper l’identité d’une machine et récupérer des informations cruciales, comme les mots de passe.
2. Renforcement des politiques de sécurité réseau
De nombreuses entreprises désactivent LLMNR afin de réduire leur surface d’attaque et d’éviter ces attaques potentielles. En désactivant ce protocole, vous limitez les opportunités pour les attaquants de compromettre vos systèmes via des failles dans la résolution de noms.
3. Modernisation des infrastructures
Les infrastructures modernes sont souvent conçues avec des services DNS plus robustes et sécurisés. LLMNR est une solution obsolète dans de nombreux environnements d’entreprise, rendant sa présence non seulement superflue mais aussi risquée. Si votre organisation utilise un serveur DNS centralisé et bien configuré, LLMNR devient redondant.
Comment désactiver LLMNR
La désactivation de LLMNR est une mesure simple qui peut considérablement améliorer la sécurité de votre réseau. Voici comment désactiver LLMNR sur les systèmes Windows.
1. Désactivation via les stratégies de groupe (GPO)
Tout d’abord, ouvrez la console de gestion des stratégies de groupe (GPMC) sur votre contrôleur de domaine.
Ensuite, créez une nouvelle stratégie de groupe ou, si nécessaire, modifiez-en une déjà existante, en veillant à ce qu’elle s’applique aux ordinateurs pour lesquels vous souhaitez l’activer.
Allez à « Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Client DNS »
Sélectionner « Désactiver la résolution de noms multicast » et faire « Propriétés ».
Sélectionnez Activé pour désactiver LLMNR puis faire « OK » pour valider.
Vous devez maintenant voir l’état « Activé » sur le paramètre.
il est préférable d’appliquer cette stratégie à la racine pour couvrir l’ensemble des machines du domaine.
2.Désactivation via le registre Windows
Vous pouvez également désactiver LLMNR via l’éditeur de registre Windows.
Ouvrer le registre Windows puis aller dans
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
Modifier la clé de registre :
Si la clé EnableMulticast n’existe pas, vous devez la créer. Faites un clic droit dans la zone vide à droite, sélectionnez Nouveau > Valeur DWORD (32 bits) et nommez-la EnabledMulticast.
Modifiez cette clé et définissez sa valeur à 0.
Redémarrer l’ordinateur :
Après avoir effectué les modifications, redémarrez l’ordinateur pour que les changements prennent effet.
Conclusion
Désactiver LLMNR est une mesure de sécurité proactive qui aide à réduire les risques d’attaques de type « Man-in-the-Middle » dans votre réseau. En renforçant les politiques de sécurité, en utilisant des serveurs DNS modernes et en éliminant les anciens protocoles vulnérables, vous pouvez protéger vos données sensibles contre les tentatives de piratage.
Si vous n’avez pas de besoin spécifique pour LLMNR, il est fortement recommandé de le désactiver dans vos environnements professionnels et domestiques. Cette étape simple peut contribuer grandement à la sécurité de votre réseau, tout en garantissant que vos systèmes utilisent des méthodes de résolution de noms plus sûres et plus fiables.
