Les analystes de sécurité et du SOC examinent régulièrement les journaux d'événements Windows afin d'identifier les menaces potentielles. L'une des alertes les plus courantes — et souvent mal comprise — est celle relative aux tentatives de connexion infructueuses, connue sous le nom d'ID d'événement Windows 4625. Compte tenu de la multitude de méthodes d'authentification utilisées aujourd'hui par les utilisateurs, les services et les systèmes, il peut s'avérer difficile, tant pour les informaticiens généralistes que pour les équipes de sécurité, d'en déterminer la cause profonde.
Pourquoi les échecs de connexion sont-ils importants ?
Les événements liés à des échecs de connexion peuvent sembler banals, mais ils sont souvent le signe de problèmes sous-jacents en matière de sécurité, d'exploitation ou de conformité. Il est important de surveiller et de trier ces événements pour plusieurs raisons essentielles :
- Sécurité – Pourdétecter les attaques par force brute ou liées aux mots de passe, ainsi que les activités malveillantes en interne.
- Hygiène informatique –Il convient de procéder à un nettoyagedes appareils qui ne parviennent pas à s'authentifier, car les comptes administratifs obsolètes ou les utilisateurs dont le mot de passe a expiré peuvent présenter des risques pour la sécurité.
- Conformité – La plupartdes réglementations sectorielles imposent la surveillance des journaux et l'audit des tentatives de connexion infructueuses.
Types de connexion
Lorsqu'on analyse un événement de connexion ayant échoué, l'une des premières questions à se poser est de savoir comment la tentative d'authentification s'est déroulée. Windows attribue un type de connexion spécifique à chaque tentative d'authentification, fournissant ainsi des informations contextuelles importantes permettant de déterminer si l'activité était interactive, en réseau, pilotée par un service ou automatisée. La compréhension de ces types de connexion permet de cibler l'enquête et de hiérarchiser les mesures à prendre.
Le tableau ci-dessous présente les types de connexion Windows les plus courants que vous rencontrerez lors de l'analyse de l'ID d'événement 4625 :
| Type de connexion | Nom d'utilisateur | Description |
| 2 | Interactif | Un utilisateur a tenté de se connecter à partir du clavier et de l'écran d'un ordinateur Windows. La cause la plus fréquente est une erreur humaine, notamment une saisie incorrecte du nom d'utilisateur et/ou du mot de passe. |
| 3 | Réseau | Un utilisateur ou un ordinateur s'est connecté à cet ordinateur depuis le réseau. Cette connexion se produit généralement lorsque vous accédez à des partages de fichiers ou à des imprimantes distants. Si IIS est impliqué, les tentatives de connexion à Internet Information Server sont également enregistrées comme des connexions réseau. |
| 4 | Lot | Le type de connexion par lots est utilisé par les serveurs de lots, sur lesquels des processus peuvent s'exécuter au nom d'un utilisateur sans intervention directe de celui-ci. Dans ce contexte, les échecs les plus courants concernent les tâches planifiées. |
| 5 | Service | Un service a été lancé par le Gestionnaire de contrôle des services. L'erreur la plus courante survient lorsque les services et les comptes de service tentent de se connecter pour démarrer un service. |
| 7 | Déverrouiller | Ce poste de travail a été déverrouillé. Cela se produit lorsque vous essayez de déverrouiller votre système Windows. |
| 8 | Réseau en clair | Un utilisateur s'est connecté à cet ordinateur depuis le réseau alors que son mot de passe était transmis au module d'authentification sous sa forme non hachée (en texte clair). La plupart des échecs de connexion surviennent dans ce cas, lorsqu'un utilisateur utilise l'authentification de base pour s'authentifier auprès d'un serveur IIS. |
| 9 | Nouvelles informations d'identification | Un utilisateur a cloné son jeton actuel et a défini de nouveaux identifiants pour les connexions sortantes. La nouvelle session de connexion conserve la même identité locale, mais utilise des identifiants différents pour les autres connexions réseau. Les événements d'échec observés ici sont principalement dus au fait qu'un utilisateur lance un programme avec RunAs /netonly. |
| 10 | À distance et interactif | Un utilisateur s'est connecté à cet ordinateur à distance via les Services Terminal Server ou le Bureau à distance. |
| 11 | En cacheInteractif | Un utilisateur s'est connecté à cet ordinateur à l'aide d'identifiants réseau enregistrés localement sur l'ordinateur. Le contrôleur de domaine n'a pas été contacté pour vérifier ces identifiants. |
D'après les observations de l'équipeRocketCyber , la plupart des tentatives de connexion infructueuses dans les petites et moyennes entreprises (PME) relèvent des types de connexion 2, 3, 4 et 5. Dans de nombreux cas, ces événements ne sont pas malveillants, mais ils peuvent néanmoins présenter un risque pour la sécurité s'ils ne sont pas traités.
Après avoir examiné de nombreuses tentatives de connexion infructueuses provenant de l'intérieur du réseau, les causes les plus courantes sont les suivantes :
- Connexions par erreur (saisie incorrecte du mot de passe ou du nom d'utilisateur)
- Identifiants obsolètes mis en cache pour accéder à des lecteurs mappés
- Tâches planifiées avec des identifiants périmés
- Fichiers batch contenant des comptes expirés
Les échecs de connexion sont inévitables, mais ils ne doivent jamais être ignorés. Une surveillance et un triage constants sont essentiels pour distinguer les erreurs humaines sans conséquence des véritables menaces de sécurité. Les types de connexion peuvent aider à hiérarchiser les mesures correctives, notamment lorsqu'il s'agit de déterminer si l'activité provient de l'intérieur ou de l'extérieur du réseau. Alors que les tentatives externes font souvent l'objet d'une attention immédiate, les échecs de connexion internes sont fréquemment négligés, alors même qu'ils peuvent révéler des erreurs de configuration, des identifiants périmés ou des activités malveillantes.
Descriptions des champs relatifs aux événements
Pour mieux comprendre comment les échecs de connexion se présentent concrètement, examinons un exemple concret d'entrée d'événement Windows ID 4625. La capture d'écran ci-dessous met en évidence les champs clés que les analystes examinent lors du triage.
Au-delà du type de connexion, plusieurs champs d'événements supplémentaires fournissent des informations contextuelles essentielles lors de l'analyse d'une connexion ayant échoué. Ces détails aident les analystes à déterminer qui a lancé la tentative, d'où elle provenait et pourquoi elle a échoué.
Objet / nom du compte– Identifie le compte qui a demandé la connexion. Il ne s'agit pas nécessairement du compte utilisateur dont l'authentification a finalement échoué.
Compte pour lequel la connexion a échoué (nom du compte et domaine)– Identifie le compte qui a tenté de s'authentifier sans succès. Dans la plupart des cas, cette information comprend à la fois le nom d'utilisateur et le domaine associé (ou le nom de l'ordinateur s'il s'agit d'un compte local).
Informations réseau– Indique d'où provient la tentative de connexion. Si la tentative a été lancée depuis le même système, cette section peut être vide ou indiquer la machine locale. Lorsqu'elle est renseignée, le nom du poste de travail et l'adresse réseau source sont particulièrement utiles pour le triage. Le port source est également indiqué, mais il est généralement moins utile, car la plupart des ports source sont attribués de manière dynamique.
Informations sur l'échec– Explique pourquoi la tentative de connexion a échoué. Ces informations comprennent une description textuelle du motif de l'échec, ainsi que des codes d'état et de sous-état (au format hexadécimal), qui fournissent des détails plus précis sur la cause de l'échec.
Informations sur le processus– Lorsque ces informations sont disponibles, cette section peut s'avérer particulièrement utile. Elle comprend l'identifiant du processus (PID) de l'application à l'origine de la tentative de connexion. Les analystes peuvent recouper ce PID avec celui indiqué dans le Gestionnaire des tâches afin d'identifier le processus associé. Notez que Windows enregistre le PID au format hexadécimal, qui doit être converti en décimal avant de procéder à la recherche.
Les 10 principaux codes de statut / sous-statut
Le tableau ci-dessous sert de référence pour les codes d'état et de sous-état les plus fréquemment observés par l'équipeRocketCyber :
| Code d'état / code de sous-état | Description |
| 0xC000006A | Le nom d'utilisateur est correct, mais le mot de passe est incorrect |
| 0000064 | Ce nom d'utilisateur n'existe pas |
| 0XC000006D | Cela est dû soit à un nom d'utilisateur incorrect, soit à des informations d'authentification erronées |
| 0XC000006E | Nom d'utilisateur inconnu ou mot de passe incorrect |
| 0000193 | Compte expiré |
| 0000070 | Tentative de connexion depuis un poste de travail non autorisé |
| 0000071 | Mot de passe expiré |
| 0000072 | Tentative de connexion au compte désactivé par l'administrateur |
| 0xc000015b | L'utilisateur ne dispose pas des droits de connexion nécessaires pour s'authentifier sur cet ordinateur |
| 0000234 | Tentative de connexion avec un compte verrouillé |
Résumé de l'analyse de l'événement 4625 du journal des événements Windows (échec de la connexion)
Bien que cet aperçu ne couvre pas tous les aspects possibles de la télémétrie, il constitue une base pratique pour les professionnels de l'informatique et de la cybersécurité chargés d'analyser les événements de connexion échouée. La surveillance de l'ID d'événement 4625 permet de renforcer le contrôle de la sécurité, d'améliorer les pratiques informatiques et de garantir la conformité réglementaire.
Pour les fournisseurs de services gérés qui accompagnent les petites et moyennes entreprises, une surveillance et un tri systématiques des échecs de connexion — ainsi que d’autres incidents de sécurité critiques — peuvent considérablement renforcer la posture de sécurité globale. Les organisations qui ne disposent pas des outils, de l’expertise ou des ressources nécessaires pour surveiller efficacement ces incidents et y répondre devraient envisager d’évaluer des solutions de sécurité modernes conçues pour offrir une visibilité continue, ainsi que des capacités de détection et de réponse aux menaces.
Pour découvrir comment la gamme de solutions de sécurité de Kaseya peut vous aider à améliorer vos capacités de surveillance, de détection et d'intervention,demandez une démonstration auprès d'un spécialiste en sécurité.
