Peut-on vraiment encore se passer d’un outil de PMAD non sécurisé ?

Face aux risques de sécurité IT, est-il envisageable de n’apporter que les recommandations suivantes : protéger le BIOS par un mot de passe, complexe de préférence, ou désactiver la fonction AMT ?

Harry Sintonen, un chercheur en sécurité de F-Secure, a récemment dévoilé qu’une mauvaise configuration d’Intel AMT, technologie embarquée dans les puces du fabricant qui permet aux services informatiques de gérer à distance leurs parcs informatiques, pouvait permettre à un cybercriminel, en quelques clics et quelques minutes, d’"ouvrir une redoutable porte dérobée". 

Sans avoir besoin de connaitre le mot de passe du BIOS, le pirate peut ainsi "activer une option d’accès à distance, ce qui lui permettra de se connecter à l’appareil s'il se trouve sur le même réseau que la cible" ou même de «"se connecter depuis n’importe où en définissant dans MEBx son propre serveur relais Intel CIRA" pour prendre le totale contrôle de l’appareil et de son contenu (logiciels, réseaux, applications, données etc.).

Alors que cette faille, liée à un mauvais paramétrage, serait constatée sur plusieurs millions d’ordinateurs dans le monde et pourrait avoir comme conséquence une nouvelle attaque massive, est-il vraiment envisageable de n’apporter que les recommandations suivantes : protéger le BIOS par un mot de passe - complexe de préférence, ou désactiver la fonction AMT ?

Outre la multiplication et la sophistication des attaques auxquelles sont actuellement confrontées les entreprises et l’entrée en vigueur de réglementations telles que le RGPD, n’oublions pas que les outils d’accès et de prise en main à distance sont les moyens préférés des cybercriminels pour s’immiscer dans un système puis sur un réseau informatique*.

Il devient donc indispensable pour les organisations de se doter d’une solution de PMAD sécurisée pour garantir la sécurité des accès lors d’opérations de prise en main à distance et ainsi la protection de leurs données et systèmes sensibles. Revenons sur les fonctionnalités que devraient rechercher les entreprises :

  • Architecture sécurisée : quel que soit le mode de déploiement choisi (physique, virtuelle, cloud etc.), chaque client possède un environnement segmenté et unique. Ses données ne sont jamais et en aucun cas "mélangées" avec celles d'autres clients.
  • Authentification : La solution doit s’intégrer avec les annuaires externes tels que LDAPS pour une gestion des utilisateurs simplifiée et sécurisée. Il est possible d’utiliser les annuaires LDAPS, Kerberos, Smart Card, RADIUS existants. Ainsi, si l’on modifie un compte dans l'Active Directory, les changements s'appliqueront également dans la solution.
  • Authentification native à deux facteurs : l'authentification à deux facteurs renforce la sécurité des accès distants. Elle nécessite de renseigner un second facteur (mot de passe à usage unique), en plus du mot de passe, pour se connecter.
  • Granularité des droits et des accès : contrairement au VPN, les solutions dont il est question ici doivent proposer un grand panel de niveaux de permissions pour contrôler à quelles fonctionnalités un technicien aura accès. Le juste niveau de droits sera ainsi accordé à la personne qui en aura besoin. Des règles doivent pouvoir être fixées pour les utilisateurs, groupes ou sessions, donnant ainsi aux administrateurs davantage de flexibilité et de contrôle. Les règles de groupe doivent s'intégrer en toute simplicité aux répertoires externes afin de donner des permissions selon la structure en place et les règles de permissions de sessions permettre de renforcer la sécurité pour chaque scénario de support. Il doit également être possible de limiter les connexions à certaines plages horaires.
  • Chiffrement des données : La solution doit pouvoir être configurée de sorte à imposer l'utilisation de SSL à chaque connexion au site. La solution chiffre toutes les données en transit en utilisant TLSv1 et les données stockées peuvent être activées avec la solution de gestion installée. Des méthodes de chiffrement peuvent être activées, désactivées ou réorganisées selon les besoins de l’entreprise.
  • Enregistrement des sessions et forensics : enregistrer les sessions permet d'avoir un historique des interactions entre le client et le technicien du support. Tous les évènements d'une session sont listés et enregistrés. Sont enregistrés les noms des techniciens ayant pris part à la session, les autorisations données par le client, les transcriptions du chat, les informations système et toute autre action entreprise par le technicien. L'enregistrement vidéo des sessions est un plus.

En s’assurant que leur solution de prise en main à distance remplit ses fonctionnalités, les décideurs IT sécurisent les accès au réseau de leur entreprise et peuvent se consacrer à leurs diverses tâches sans se préoccuper de surveiller les interventions de tierces parties.

* 2017 Trustwave Global Security Report