Les comptes super-utilisateurs sont des comptes hautement privilégiés, utilisés surtout par des employés informatiques spécialisés dans l’administration IT. Un super-utilisateur est un utilisateur d’un compte superutilisateur. Ces superutilisateurs/comptes peuvent avoir des privilèges quasi illimités sur un système. William Culbert, directeur Europe du Sud de BeyondTrust (anciennement Bomgar), explique aux lecteurs de Solutions Numériques comment les sécuriser.
Les privilèges d’un compte de superutilisateur peuvent permettre :
- La lecture/l’écriture/l’exécution des privilèges
- La création ou l’installation de fichiers ou logiciels
- La modification de fichiers et de paramètres
- La suppression d’utilisateurs et de données
Quels sont les principaux types de comptes superutilisateurs, les implications en termes de sécurité, les meilleures pratiques de protection ? Et quelles technologies permettent de gérer et protéger les comptes superutilisateurs ?
Les comptes superutilisateurs des systèmes Windows, Linux, Unix et de type Unix
Dans les systèmes Windows, le compte administrateur détient des privilèges super-utilisateurs. Chaque ordinateur Windows a au moins un compte administrateur. Le compte administrateur permet à l’utilisateur d’installer des logiciels, de changer les configurations et paramètres locaux, et bien plus encore. Les utilisateurs standard disposent d’un ensemble de privilèges considérablement restreint et les comptes utilisateurs invités sont encore plus limités, donnant uniquement un accès basique à certaines applications et à la navigation sur Internet.
Dans les systèmes Linux et de type Unix, le compte superutilisateur, nommé « root », est quasi omnipotent, avec un accès sans aucune restriction à toutes les commandes, tous les fichiers, répertoires et ressources. Un compte root peut aussi accorder des autorisations d’accès à d’autres utilisateurs et les supprimer. Si Mac OS X est de type Unix, contrairement à Unix et Linux, on le déploie rarement comme serveur. Par défaut, les utilisateurs de Mac disposent d’un accès root. Mais en guise de meilleure pratique de sécurité, mieux vaut créer un compte non privilégié et l’utiliser pour l’informatique de routine afin de limiter le champ des menaces privilégiées.
Implications de sécurité des comptes super-utilisateurs
Mal utilisés, de façon accidentelle (en tapant par erreur une commande majeure ou en supprimant accidentellement un fichier important) ou délibérément malveillante, les comptes superutilisateurs peuvent provoquer des dommages catastrophiques à un système ou toute une entreprise.
La plupart des technologies de sécurité échouent à se protéger des super-utilisateurs car elles ont été développées avec l’objectif de protéger le périmètre, or les super-utilisateurs sont déjà à l’intérieur. Les superutilisateurs peuvent changer les configurations des pare-feu, créer des portes dérobées et contourner les paramètres de sécurité, tout en effaçant toute trace de leur activité.
Des règles et des contrôles insuffisants du provisioning des super-utilisateurs, de la ségrégation et de la surveillance viennent encore renforcer les risques. Par exemple, les administrateurs de base de données, les ingénieurs réseau et les développeurs d’application se voient souvent attribuer un accès complet de niveau super-utilisateur. Le partage des comptes de superutilisateur entre plusieurs individus est aussi une pratique courante, qui porte atteinte à la visibilité, à la traçabilité et au reporting. Et dans le cas des PC Windows, les utilisateurs se connectent souvent avec des privilèges de comptes admin, bien plus fréquemment que nécessaire.
Les cybercriminels, quelles que soient leurs motivations de départ, recherchent activement les comptes super-utilisateurs, sachant qu’une fois qu’ils compromettent ces comptes, ils deviennent instantanément un insider hautement privilégié. De plus, un malware qui infecte un compte superutilisateur peut profiter des mêmes droits privilégiés du compte pour se propager, provoquer des dommages et dérober des données.
On se rappelle le cas célèbre d’Edward Snowden, ce sous-traitant informatique de la NSA qui a abusé des privilèges de super-utilisateur pour avoir accès, copier et faire fuiter plus d’1 million de fichiers ultra sensibles de la NSA. A la suite de cette affaire, la NSA a éliminé les droits de 90% de ses administrateurs système pour établir un modèle de sécurité fondé sur le moindre privilège.
La protection et la surveillance des comptes de superutilisateur
Les entreprises qui souhaitent reprendre le contrôle et protéger les comptes de superutilisateur ont intérêt à mettre en place quelques-unes des meilleures pratiques suivantes :
- Instaurer l’accès selon le moindre privilège : il s’agit de limiter autant que possible le nombre de personnes bénéficiant de droits super-utilisateurs. Il convient de s’assurer que chaque utilisateur a les privilèges minimums absolus dont il a besoin pour faire son travail. Cela peut induire d’élever temporairement les privilèges au besoin (pour l’accès à une application par exemple), mais sans accorder l’ensemble des droits super-utilisateur au compte utilisateur. Dans les systèmes Unix et Linux, la commande sudo (superuser do) autorise un utilisateur normal à élever temporairement les privilèges au niveau root, mais sans avoir d’accès direct au compte et au mot de passe root.
- Segmenter les systèmes et les réseaux : en partitionnant les utilisateurs et les processus selon différents degrés de confiance, de besoins et de privilèges, vous pouvez encadrer le champ et les conditions d’action d’un superutilisateur.
- Instaurer la séparation des privilèges : ceci suppose de séparer les fonctions superutilisateurs des exigences liées aux comptes standard, de séparer les fonctionnalités d’audit/de consignation au sein des comptes admin, et même de séparer les fonctions système (lire, éditer, écrire, exécuter, etc.).
- Instaurer la sécurité et la rotation des mots de passe des super-utilisateurs : les mots de passe devraient observer les standards de sécurité les plus rigoureux. Il convient de les modifier régulièrement, voire même après chaque utilisation des comptes les plus puissants.
- Surveiller et auditer toutes les sessions des superutilisateurs : enregistrez, stockez, indexez, auditez et contrôlez l’activité des sessions des super-utilisateurs pour établir les responsabilités et vous conformer aux obligations.
Des technologies pour gérer et sécuriser les super-utilisateurs
La gestion des accès privilégiés, également appelée Privilege Access Management (PAM), Privileged Identity Management (PIM) ou simplement Privilege Management, suppose la création et le déploiement de solutions et de stratégies pour gérer le superutilisateur et d’autres types de comptes/accès privilégiés au sein d’un environnement IT. Ainsi, les solutions PAM aident à identifier et à contrôler les superutilisateurs et à renforcer la politique de sécurité des accès privilégiés.