Les comptes à privilèges sont omniprésents dans l’entreprise. Qu’ils permettent d’administrer un équipement ou de disposer de droits étendus sur une application, ces comptes ont indéniablement un pouvoir aussi indispensable que destructeur. Dans ce premier article je vous propose 6 bonnes raisons de s’en préoccuper mais aussi les risques à considérer si vous ne le faites pas.
1. L’identification des comptes à hauts privilèges est une tâche complexe
Vouloir gérer les comptes privilégiés, c’est d’abord savoir les identifier. Sous cette évidence se cache bien souvent une réalité qui s’avère plus complexe. En effet, les habilitations des administrateurs évoluent et le maintien d’une liste à jour est difficile, notamment avec la multiplication des accès privilégiés et le manque de contrôle dans la création et la gestion de ces comptes. Des mécanismes de surveillance permettent de détecter les modifications et ainsi d’identifier d’éventuels contournement (les « Backdoor ») que certains utilisateurs sont tentés de créer pour déroger à des règles d’accès trop restrictives !
2. L’identité réelle de l’utilisateur est difficilement vérifiable
Les comptes à hauts privilèges sont le plus souvent des comptes génériques et partagés entre plusieurs administrateurs. L’identité réelle est donc masquée et il en résulte l’impossibilité d’assurer l’imputabilité des accès et des actions, au grand dam des auditeurs mais pour le plus grand bonheur des attaquants ou des utilisateurs peu scrupuleux voulant effectuer des opérations en toute discrétion...
3. Le risque est souvent sous-estimé
On considère souvent que le danger est maitrisé ou a minima limité. Or sur le terrain les mots de passe sont parfois échangés en clair dans des emails ou documents, circulent sur le réseau, et peuvent ainsi se retrouver entre de mauvaises mains. Dans d’autres cas, ce sont les utilisateurs eux-mêmes qui profitent de ces comptes pour installer des outils non-autorisés, contourner des workflows de validation, ou extraire des données sans toujours avoir conscience de leur criticité.
4. Il existe (encore) des mots de passe par défaut
Les attaques n’ont jamais été aussi simples que lorsque les mots de passe sont connus à l’avance. Les mots de passe par défaut existent sur toute sorte d’accès (applications, serveurs, routeurs, équipement de sécurité…) et il suffit parfois de consulter la documentation de l’éditeur ou du fabriquant (disponible en ligne le plus souvent) pour les trouver. Et même lorsque la documentation n’est pas accessible, les mots de passe sont en général relativement simples les rendant particulièrement vulnérables aux attaques de type « brute force ».
5. Un mot de passe complexe ne suffit pas
Tout particulièrement sur les environnements Windows utilisant l’authentification NTLM, toute connexion d’un utilisateur sur une machine entraine le stockage d’un hash (version non-réversible du mot de passe), permettant d’échanger des informations d’authentification avec d’autres services sans envoyer le mot de passe en clair. Mais l’implémentation pose problème car il est possible de réutiliser le hash pour s’authentifier sur d’autres services, sans même devoir connaître le mot de passe (attaque « Pass-the-hash »). Aux yeux de l’attaquant, ce hash a donc une valeur équivalente à celle du mot de passe en clair et il suffit d’une seule machine vulnérable pour récupérer le sésame. Une solution : réduire la fenêtre de validité du mot de passe et le changer fréquemment.
6. L’image de l’entreprise, un impact collatéral
Les comptes à privilèges ne sont pas toujours des comptes techniques. Il s’agit parfois de comptes de réseaux sociaux utilisés pour relayer l’image de l’entreprise et véhiculer des messages. Il n’est pas rare que ces plateformes de communication grand public subissent des attaques. Des mots de passe trop simples ou trop rarement modifiés augmentent le risque d’usurpation d’identité. Ce fut le cas pour le compte Twitter du journal Le Monde. L’impact financier est souvent difficile à estimer mais la réputation reste durablement touchée.
On constate que les comptes à hauts privilèges qui devraient logiquement être les plus surveillés disposent rarement de mécanismes de contrôle adaptés. Pire, les mots de passe ne sont parfois jamais changés et aucun mécanisme de surveillance permanente ne permet d’assurer une réelle gestion de ces comptes. Je vous exposerai dans un prochain article les obstacles à lever pour réussir une reprise en main de la gestion de ces comptes à privilèges.
Cyril
Pour aller plus loin
Pour tout savoir sur les tendances 2016 de la cyberdéfense en 120 secondes
Orange Cyberdefense protège vos essentiels
Après une expérience de consulting en sécurité chez Atheos, j’évolue aujourd’hui au sein d’Orange Cyberdefense dans le développement de service de sécurité autour de l’identité, accès et protection des données. Passionné de cybersécurité, j’ai l’esprit disruptif et le goût du challenge.