Evolution des accès à privilèges : des menaces internes et attaquants externes aux machines
Gartner a récemment dévoilé le premier Magic Quadrant dédié à la gestion des accès à privilèges (PAM). Il considère aussi que la sécurité des accès à privilèges est le projet de sécurité numéro un.
Ainsi, selon le rapport, "les RSSI devraient se concentrer, parmi dix projets de sécurité, pour réduire les risques et avoir un impact important sur l’entreprise".L’adoption d’infrastructures innovantes et la transformation digitale ont considérablement développé la présence des privilèges – ou accès administrateurs – dans les applications critiques, les objets connectés, les outils d’automatisation des processus robotiques ou ceux des DevOps. Dans ce contexte, le besoin d’éducation en entreprises, autour des risques encourus si les accès à privilèges ne sont pas protégés, est indéniable. Aujourd’hui, les professionnels de la sécurité informatique comprennent ce risque bien mieux qu’il y a dix ans. En cause, l’exploitation des accès à privilèges qui s’est retrouvée au centre de presque toutes les attaques majeures perpétrées sur cette période.
Les accès à privilèges étaient autrefois une préoccupation liée à la conformité reposant principalement sur des comptes à hauts pouvoirs gérés par des humains, à savoir les comptes d’administrateurs système et utilisés par le service IT pour gérer la technologie et le réseau. Il était communément admis que ces comptes étaient les plus puissants de toute l’entreprise : ils pouvaient accéder à toutes les ressources d’un réseau sans laisser d’empreintes.
Le pouvoir des comptes d’administrateur système (Sys-Admin) s’est ainsi retrouvé au centre de l’attention en 2008 durant la faille Terry Childs. Cet ingénieur opérait au service informatique de San Francisco et était en charge du réseau de fibre optique Wide Area Network (FiberWAN) pour les services clés de la ville et du comté. Afin de protéger son réseau, il avait pris le contrôle de l’ensemble des mots de passe des comptes administrateurs système utilisés pour accéder et gérer le réseau de San Francisco. Or, en 2008, suite à une altercation, et sous couvert de vouloir protéger le réseau, Terry Childs avait verrouillé ce dernier et refusé de partager les identifiants des comptes utilisés pour gérer le réseau, provoquant alors l’arrêt de l’intégralité de l’infrastructure informatique de la ville.
Si cet exemple ne suffit pas à sensibiliser les organisations au niveau de dommages que peuvent causer des accès à privilèges tombés entre de mauvaises mains, Edward Snowden, animera quelques années plus tard une masterclass sur le pouvoir des comptes à privilèges. En exploitant ses propres comptes administrateur système et ceux de ses collègues, Snowden, lui-même contracteur sys-admin, a pu accéder, télécharger et exfiltrer des millions d’enregistrements classifiés de la NSA. Selon ses propres mots : « Lorsque vous êtes dans une position d'accès à privilèges, comme un administrateur système, pour ce type d'agences de renseignement, vous êtes exposé à beaucoup plus d'information à une échelle plus large que l'employé moyen…Toute personne occupant un poste d'accès et possédant les capacités techniques qui étaient les miennes était alors en mesure de récupérer des secrets. »
Depuis ce temps, la notion de privilège s’est étendue au-delà des utilisateurs humains à hauts pouvoirs, bien que le pouvoir de ces points d’accès reste le même. Les identifiants à privilèges se trouvent partout, dans chaque technologie, serveur, poste de travail, application, base de données, appareil réseau, etc. de Yahoo !, à l’attaque contre l’United States Office of Personnel Management, en passant par faille contre la Banque Centrale du Bangladesh, celle contre le réseau électrique ukrainien, jusqu’à l’attaque plus récente contre Uber, le dénominateur commun de chacune de ces violations était l’exploitation de privilèges pour planifier, coordonner, et perpétrer les cyberattaques. Les pirates informatiques continuent de compromettre inlassablement les identifiants à privilèges et à les utiliser pour se déplacer latéralement à travers le réseau dans le but d’atteindre une cible spécifique.
Gartner a réaffirmé qu’une sécurité renforcée commence par une bonne cyber-hygiène et par la sécurisation des identifiants et des comptes utilisés par les attaquants afin d’atteindre leurs objectifs. Nous encourageons les responsables IT et de la sécurité à prendre davantage conscience des dangers d’un accès à privilèges non sécurisé. C’est pourquoi nous mettons le rapport Gartner à disposition au téléchargement. Pour accéder à la version gratuite du rapport Gartner, rendez-vous sur le site de CyberArk.
(i) Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Dale Gardner, Justin Taylor, Abhyuday Data, Michael Kelley, 3 December 2018
(ii) Gartner, Smarter with Gartner, Gartner Top 10 Security Projects for 2018, June 6, 2018. https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/.
Gartner ne soutient aucun fournisseur, produit ou service dépeint dans ses publications. Leur présence dans ces publications ne signifie pas que Gartner conseille aux utilisateurs de choisir uniquement les fournisseurs avec les meilleures notes ou tout autre critère. Les publications de Gartner expriment les opinions de l’organisme de recherche Gartner et ne doivent pas être interprétées comme des représentations factuelles. Gartner décline toute garantie, expresse ou implicite, en ce qui concerne ces recherches, notamment les garanties de valeur commerciale et d’adéquation à une fin spécifique.