Les personnes dotées de privilèges excessifs ne représentent pas votre seul problème de sécurité

Toutes les grandes entreprises devraient supposer qu’elles ont été attaquées. S’il y a une leçon à tirer des récentes attaques très médiatisées, la voici : dans tous les cas, qu’il s’agisse de géants de la distribution tels que Target ou d’établissements financiers tels que la Banque centrale du Bangladesh, l’attaquant était présent sur le réseau bien avant la découverte de l’attaque, cherchant à se déplacer pour atteindre son objectif ultime à l’aide de privilèges d’accès de plus en plus élevés.

Si les entreprises ne le reconnaissent pas, elles ont peu de chances d’empêcher une attaque ciblée. C’est par pur hasard qu’elles n’admettent pas, à la télévision en direct ou dans un journal national, l’étendue de l’attaque découlant de leur stratégie axée sur le « mauvais » type de sécurité informatique.

Les informations d’identification elles-mêmes sont souvent mal comprises.

Lorsqu’elles font l’objet de discussions, les informations d’identification sont souvent comprises comme étant associées à des utilisateurs standard verrouillés ou des utilisateurs dotés de privilèges plus élevés d’accès aux données et d’exploitation du réseau, c’est-à-dire des personnes.

Il est toutefois important de garder à l’esprit le fait que l’objectif des attaquants n’est pas d’usurper l’identité de personnes. Leur objectif est d’atteindre quelque chose, à savoir un certain type de données leur permettant de gagner de l’argent (cas le plus fréquent) ou d’obtenir un certain type d’avantage lié à l’information, voire même des privilèges d’exploitation, dans le seul but de faire des ravages sur le réseau.

Pour atteindre leur objectif, les attaquants sont prêts à utiliser les informations d’identification de tout type de compte. Et les comptes ne sont pas seulement utilisés par des personnes. Ils le sont également par des processus automatisés, notamment par les machines et périphériques au sein du réseau qui contrôlent les sauvegardes, les analyses, les scripts, etc.

Lorsque l’on connecte une nouvelle machine à un domaine, un compte est créé et certains services sont automatiquement définis pour cette machine. Cela permet d’établir des connexions entre la machine et d’autres ressources du réseau, par exemple pour récupérer les paramètres de configuration d’un contrôleur de domaine, et de donner accès aux partages de fichiers sur la machine elle-même.

Toute fonction automatisée est également associée à un compte. Il est important de noter que, bien que de nombreux services soient configurés à l’aide de comptes de machines, des services et des applications peuvent également être configurés à l’aide de comptes définis par l’utilisateur. Par exemple, un compte créé par une personne peut être utilisé pour un service SharePoint ou Exchange.

Et c’est là que réside le problème.

Ces types de comptes ne sont généralement pas soumis à de bonnes pratiques de sécurité telles que le remplacement régulier des mots de passe. Un autre problème est que les niveaux d’autorisation de ces comptes sont définis par des personnes. Ces niveaux (les privilèges du compte de service sur le réseau) sont souvent trop élevés. Voici un scénario courant : le service rencontre un problème et ne fonctionne pas correctement ; l’administrateur cherche une solution en ligne et tombe sur le message suivant : « vous avez probablement un problème d’autorisations, joignez tout simplement le service au groupe admins » ; des autorisations élevées sont alors accordées et jamais révoquées.

Votre PDG pourrait avoir des niveaux élevés d’autorisation sur une ressource spécifique, parce qu’il a fait toute une histoire à propos de quelque chose et qu’il était plus facile pour le personnel IT de consentir à sa demande. En revanche, il n’obtiendrait jamais un accès au niveau du domaine. Cependant, en ce qui concerne les applications, en particulier celles dont dépend le bon fonctionnement de l’entreprise, il est très important qu’elles fonctionnent. Sinon, des autorisations élevées sont nécessaires pour résoudre le problème et elles sont donc accordées.

Voici d’autres exemples de mauvaises pratiques : utiliser le même compte pour plusieurs services sur plusieurs serveurs, stocker des informations d’identification à privilèges dans des scripts sur des terminaux et utiliser des informations d’identification à privilèges au niveau du domaine pour les services de systèmes locaux, entre autres.

Tout cela est très rentable pour les attaquants. Ils peuvent analyser le réseau, trouver des informations d’identification d’administrateur de domaine intégrées dans des scripts… et la partie est jouée. À ce propos, cet outil permet aux administrateurs de réseaux ou de systèmes de sécurité de détecter les configurations de services dangereuses dans leur environnement.

Plusieurs entreprises ont été attaquées de cette façon : les attaquants se sont infiltrés dans leur réseau, ont analysé tous les disques partagés et ont trouvé des scripts VB contenant des noms d’utilisateur et des mots de passe de niveau administrateur de domaine, ce qui leur a permis de contrôler complètement le réseau et, par exemple, de dérober les informations de points de vente relatives aux cartes de crédit.

Il est donc essentiel de comprendre que tout a un compte et qu’il existe deux types de comptes : les comptes de machines et les comptes d’utilisateurs. Les comptes humains doivent être séparés des comptes de service. Les comptes ne doivent être utilisés que par un seul processus automatisé, avec des autorisations granulaires. Au lieu de leur attribuer des niveaux de privilèges trop élevés, il faut les gérer.

Mettez en place un système pour modifier régulièrement les mots de passe. Utilisez des mots de passe complexes et particuliers, et non pas de nature universelle. Protégez et surveillez tous les comptes. Allez au-delà des solutions technologiques qui détectent les comportements humains malveillants, mais pas les comportements non humains anormaux.

Ce faisant, votre PDG pourrait ne pas avoir à se lever en public pour expliquer au monde pourquoi votre entreprise n’a pas mieux protégé ses données.