Accès des utilisateurs

Comment se défendre contre les identifiants utilisateurs faibles ou divulgués

Version imprimable, PDF et e-mail

Les pirates informatiques ont aussi des patrons. Même en période de crise, ils ont des objectifs à atteindre. Une pandémie mondiale a peu d'incidence sur un secteur qui fonctionne déjà à distance. Là où nous voyons une occasion d'unir nos efforts, ils y voient une occasion de s'enrichir.

Tels des cambrioleurs sillonnant les rues et inspectant les portes et les fenêtres des habitations, les pirates informatiques parcourent constamment Internet en quête de systèmes accessibles. Une fois trouvés, ils recherchent les points faibles qui leur permettront de s'y introduire, par exemple des identifiants utilisateur faibles ou divulgués, des vulnérabilités non corrigées ou des erreurs de configuration.

Dans cet article, nous allons voir comment se défendre contre la faiblesse ou la divulgation des identifiants utilisateur. Notez que les mesures de protection présentées ici dépassent le simple cadre de la sécurisation des mots de passe. Les identifiants utilisateur sont seulement l'un des aboutissements du processus de contrôle d'accès. En effet, plusieurs étapes sont nécessaires avant qu'un utilisateur ne reçoive ses identifiants : approbation de l'accès, vérification de son identité, création du mot de passe et octroi des autorisations au système. Vous trouverez dans cet article les éléments constitutifs d'un système de contrôle d'accès complet.

Mettre en place un système de contrôle d'accès complet exige de la persévérance. Cela dit, vous pouvez commencer à optimiser votre système dès maintenant. Les informations détaillées ci-dessous s'adressent aux techniciens chargés de sécuriser les réseaux et les applications d'entreprise. Si vous souhaitez aller à l'essentiel, je vous invite à parcourir la page à la recherche des « Bonnes pratiques ». Pour la visite complète en revanche, accrochez votre ceinture et laissez-vous guider.

« Mettre en place un système de contrôle d'accès complet exige de la persévérance. Cela dit, vous pouvez commencer à optimiser votre système dès maintenant. » #ContrôledAccès #cybersécuritéCliquez pour tweeter

Menace sur les comptes utilisateur

Les attaques visant les identifiants sont monnaie courante : force brute, credential stuffing, identifiants par défaut. Même si les attaques sur les mots de passe sont dangereuses, il existe des moyens simples de protéger vos comptes utilisateur contre le piratage.

Avant tout, vérifiez que vous appliquez les bonnes pratiques en matière de mots de passe pour chacun d'entre eux. En plus d'être complexes, les mots de passe ne doivent jamais être réutilisés sur d'autres systèmes ni être partagés. Si vous ne prévoyez rien d'autre pour protéger vos systèmes, veillez à ce que vos mots de passe, en particulier ceux des comptes profitant de droits d'accès élevées, soient robustes, uniques et confidentiels. CETTE ÉTAPE EST PRIMORDIALE.

Créer des mots de passe sécurisés partout peut être un véritable parcours du combattant. Même en respectant les exigences de complexité, il est encore possible de créer des mots de passe faciles à deviner. Plusieurs systèmes que j'utilise nécessitent les mêmes identifiants pour y accéder, et certains comptes doivent être partagés. Quelles sont les bonnes pratiques dans ces cas là ?

Consultez ce webinaire pour sécuriser davantage votre entreprise 

Complexité des mots de passe

Internet regorge de conseils pour créer des mots de passe sécurisés. Toutefois, même en suivant les recommandations en matière de complexité, il arrive que des utilisateurs choisissent des mots de passe trop faciles à deviner. En effet, les normes de complexité actuelles n'empêchent pas de tels choix.

Prenons par exemple une politique de mots de passe exigeant 16 caractères dont au moins une majuscule, un chiffre et un caractère spécial, le tout accompagné d'un renouvellement tous les 90 jours. Figurez-vous que le mot de passe « Barracuda2020Q1! » remplit ces exigences. Et il est facile à retenir.

Les normes de complexité n'empêchent pas les utilisateurs de choisir des mots de passe qui restent faciles à deviner #PasswordSecurityCliquez pour tweeter

Il est également facile à deviner si un pirate informatique connaît les exigences en matière de complexité et de renouvellement des mots de passe. Dans le cadre de leur travail, des amis pentesters du secteur m'ont affirmé obtenir un taux de réussite supérieur à la moyenne sur ce genre de devinettes. Bien souvent, les mots de passe restent faciles à deviner même s'ils respectent la politique de sécurité en vigueur.

Entre les mots de passe élémentaires et ceux ayant été divulgués lors de violations antérieures – aussi complexes soient-ils –, les attaques automatisées sur les mots de passe sont si fructueuses qu'elles sont systématiquement utilisées lors des premières phases des opérations de piratage.

Le meilleur moyen de se protéger contre les risques liés à la faiblesse ou à la divulgation des mots de passe est l'authentification multifacteur (MFA). Une fois mise en place, même si un pirate informatique a découvert une combinaison d'identifiants qui fonctionne, l'utilisateur sera invité à confirmer l'ouverture de la session et aura donc la possibilité de bloquer l'intrusion.

Bonne pratique : Associer mots de passe sécurisés et authentification multifacteur contribue grandement à neutraliser les attaques sur les mots de passe.

Réutilisation des mots de passe

Les attaques par « password stuffing » utilisent des combinaisons d'identifiants provenant de violations passées et les testent sur d'autres services. À titre d'exemple, mon nom d'utilisateur et mon mot de passe LinkedIn ont été volés lors de l'attaque qui a touché le réseau social en 2012. On peut imaginer que de nombreuses personnes ont essayé cette combinaison sur tous les sites bancaires d'Internet. Cela pourrait effectivement marcher. Néanmoins, je suis heureux de leur avoir fait perdre leur temps car ce mot de passe fonctionnait seulement sur LinkedIn. Suite à l'attaque, j'ai simplement changé mon mot de passe avant de me remettre tranquillement à mes occupations, comme tous ceux qui utilisent un mot de passe unique sur chaque site.

Au travail en revanche, je me connecte à notre système de suivi des bugs, à notre Wiki, à notre système de contrôle du code source, entre autres, avec le même nom d'utilisateur et le même mot de passe. Mon gestionnaire de mots de passe déteste cela. Il me reproche de les réutiliser. Mais est-ce le cas ?

Pas vraiment. Tous ces systèmes sont reliés à notre fournisseur d'identité (IDP) centralisé : Active Directory (AD). Donc, même s'il semblerait que je réutilise les mots de passe, il s'agit en réalité d'un mot de passe unique lié à une même identité.

Parmi ses nombreux avantages, un IDP permet de centraliser l'octroi et la révocation des accès utilisateur. Il s'agit d'une fonctionnalité essentielle pour limiter efficacement la surface d'attaque de vos applications.

Lorsque de nombreux systèmes sont reliés à un fournisseur d'identité centralisé, il est d'autant plus important de renforcer l'authentification. Ainsi, une combinaison d'identifiants valide permettra d'accéder à de nombreux systèmes plutôt qu'à un seul.

Bonne pratique : Ne réutilisez jamais les mots de passe entre différents services.

Bonne pratique : En milieu professionnel, centralisez les accès de vos utilisateurs à l'aide d'un fournisseur d'identité tel qu'Active Directory afin de minimiser le nombre de mots de passe dont ils ont besoin et de centraliser la révocation des accès.

Bonne pratique : Mettez en place l'authentification multifacteur si vous utilisez un fournisseur d'identité centralisé.

Rappel : Ne réutilisez jamais les mots de passe entre différents services. Les cybercriminels misent sur la paresse des gens et sur la réutilisation de mots de passe compromis. #PasswordSecurityCliquez pour tweeter

Comptes partagés

Les comptes partagés constituent un autre point d'attaque en raison du grand nombre de personnes ayant accès au même mot de passe. Notez en outre que mettre en place la MFA sur un compte partagé est une autre paire de manches.

En 2020, on ne devrait plus avoir à partager des comptes utilisateur, en particulier ceux profitant de droits d'accès élevés. Car des solutions existent. Chez Barracuda par exemple, les utilisateurs accèdent à nos comptes cloud publics tels qu'AWS et Azure via le service Active Directory de l'entreprise. Pour accéder à un compte cloud spécifique, il me suffit de faire une demande écrite au département informatique, qui m'ajoute alors au groupe de sécurité approprié. Dès que je n'ai plus besoin de cet accès, on me retire du groupe et mon accès est révoqué. Si je quitte l'entreprise, l'accès à tous les systèmes peut être supprimé en désactivant ou en supprimant mon compte AD. Cette méthode fonctionne bien pour la grande majorité des comptes dans notre environnement.

Notez toutefois qu'un super-utilisateur (root) est défini lors de la création de chaque compte AWS, et que les bonnes pratiques préconisent de ne pas s'en servir pour les tâches quotidiennes. En effet, il est réservé aux cas d'urgence, par exemple en cas de panne de l'intégration AD ou de l'accès habituel.

Le mot de passe du compte root doit être accessible aux utilisateurs autorisés de l'entreprise. Autrement, nous courons le risque de perdre cette protection si son détenteur venait à nous quitter. Nous suivons une approche analogue pour la gestion de nos serveurs. Les activités courantes sont menées par le biais de comptes utilisateur individuels contrôlés par un fournisseur d'identité centralisé. En cas d'urgence, l'accès se fait par le compte root du système.

Compte tenu de la sensibilité de ces comptes, il est très important de contrôler l'accès à ces identifiants, et d'en consigner et surveiller la moindre activité. Leur recours doit être exceptionnel et donner lieu à une alerte.

« Les comptes partagés constituent un autre point d'attaque en raison du grand nombre de personnes ayant accès au même mot de passe. » #ContrôledAccèsCliquez pour tweeter

Bonnes pratiques :

  • Minimisez l'utilisation des comptes partagés
  • Sécurisez le stockage des mots de passe partagés
  • Limitez l'accès aux mots de passe partagés
  • Surveillez les comptes partagés et donnez l'alerte en cas d'utilisation
  • Vérifiez régulièrement les accès
  • Changez le mot de passe lorsque des utilisateurs autorisés quittent l'entreprise

Remarque sur le provisionnement d'utilisateurs

Que vous ayez mis en place un IDP centralisé ou que vous utilisiez l'outil intégré à vos applications pour gérer vos utilisateurs, protéger votre entreprise ne se limite pas à empêcher les connexions non autorisées. Un système de gestion des accès complet comporte plusieurs autres éléments.

L'accès aux systèmes doit obéir à des processus de demande et d'approbation précis, avec des consignes permettant de limiter les accès inutiles et de faire appliquer le principe de moindre privilège. Plus le nombre de personnes pouvant accéder à un système est faible, plus le risque qu'un utilisateur compromis y accède est limité. Il convient de définir un processus pour chaque système stockant ou traitant des données sensibles, lequel doit être vérifié par vos équipes chargées de la conformité et de la confidentialité des données.

En règle générale, le processus d'approbation des accès repose sur l'approbation d'une personne faisant partie de la hiérarchie du demandeur. Pour en garantir l'efficacité, il est important de former les approbateurs aux processus et aux critères de demande et d'octroi des accès. Ces formations doivent prévoir des discussions sur les données traitées et sur les droits des utilisateurs y ayant accès. De même, les responsables système, c'est-à-dire les personnes chargées de fournir les nouveaux comptes, doivent connaître les conditions d'accès en vigueur et être habilités par la direction à refuser les demandes d'accès lorsque les conditions ne sont pas satisfaites.

Les administrateurs doivent parfaitement maîtriser la gestion des autorisations au sein du système (autorisation) une fois que l'accès a été accordé (authentification). Les autorisations sont-elles gérées via les groupes AD ou au sein de l'application ? Par exemple, se connecter à Salesforce peut nécessiter d'appartenir à un groupe AD spécifique, tandis que les autorisations au sein de l'environnement peuvent être définies par l'application Salesforce elle-même, indépendamment des groupes AD. Afin d'assurer le suivi des accès, il est essentiel de garder à l'esprit le décalage possible entre authentification et autorisation et de savoir précisément où sont définies les autorisations. Le simple contrôle des groupes AD s'avère souvent insuffisant.

On néglige souvent de vérifier régulièrement les accès. Voici un cas pour lequel un tel suivi peut être utile. Toutes les personnes ayant accès au système l'utilisent-elles ? Si ce n'est pas le cas, il est recommandé de supprimer les accès non utilisés. Envisagez donc de révoquer les accès après 90 jours d'inactivité. Si une personne en avait besoin, vous le saurez bien assez tôt. Mais en cas de suppression, veillez à ce que les utilisateurs préalablement autorisés puissent facilement récupérer leur accès. Le but de ce processus est de supprimer les accès dont les employés n'ont pas besoin, et non de les empêcher de faire leur travail.

Prévoyez un dispositif permettant de révoquer rapidement les accès. Qu'il s'agisse du départ d'un employé ou du piratage d'un compte, votre système de gestion des accès doit permettre de facilement révoquer l'accès d'une personne donnée à l'ensemble de vos systèmes.

Enfin, la journalisation centralisée des accès permet de surveiller les comportements inhabituels des utilisateurs.

Bonnes pratiques : Un système de gestion des accès complet permet de :

  • Définir les processus régissant l'accès au système
  • Former les responsables système et les approbateurs d'accès aux processus et critères de contrôle d'accès
  • Savoir où sont définies les autorisations relatives au système
  • Consigner et surveiller le comportement des utilisateurs
  • Vérifier régulièrement les habitudes d'accès et les autorisations des utilisateurs
  • Supprimer les accès dont les utilisateurs n'ont plus besoin
  • Prévoir un dispositif permettant de révoquer rapidement les accès

Résumé

Les produits et services que nous utilisons sont aujourd'hui distribués dans le monde entier sur une multitude de réseaux qui échappent à notre contrôle direct. Les concepteurs de ces produits et services prévoient des contrôles pour garantir la sécurité de vos informations, et dispensent même les bonnes pratiques à appliquer. Néanmoins, vos fournisseurs ne peuvent pas tout faire à votre place. Espérons que cet article vous aura donné quelques pistes pour optimiser l'efficacité de ces contrôles et assurer la sécurité de vos clients, utilisateurs, employés et systèmes.

Consultez ce webinaire pour sécuriser davantage votre entreprise 

Remonter en haut de page
Tweeter
Partager
Partager