Peut-on vraiment encore se passer d’un outil de PMAD non sécurisé ?
Face aux risques de sécurité IT, est-il envisageable de n’apporter que les recommandations suivantes : protéger le BIOS par un mot de passe, complexe de préférence, ou désactiver la fonction AMT ?
Harry Sintonen, un chercheur en sécurité de F-Secure, a récemment dévoilé qu’une mauvaise configuration d’Intel AMT, technologie embarquée dans les puces du fabricant qui permet aux services informatiques de gérer à distance leurs parcs informatiques, pouvait permettre à un cybercriminel, en quelques clics et quelques minutes, d’"ouvrir une redoutable porte dérobée".
Sans avoir besoin de connaitre le mot de passe du BIOS, le pirate peut ainsi "activer une option d’accès à distance, ce qui lui permettra de se connecter à l’appareil s'il se trouve sur le même réseau que la cible" ou même de «"se connecter depuis n’importe où en définissant dans MEBx son propre serveur relais Intel CIRA" pour prendre le totale contrôle de l’appareil et de son contenu (logiciels, réseaux, applications, données etc.).
Alors que cette faille, liée à un mauvais paramétrage, serait constatée sur plusieurs millions d’ordinateurs dans le monde et pourrait avoir comme conséquence une nouvelle attaque massive, est-il vraiment envisageable de n’apporter que les recommandations suivantes : protéger le BIOS par un mot de passe - complexe de préférence, ou désactiver la fonction AMT ?
Outre la multiplication et la sophistication des attaques auxquelles sont actuellement confrontées les entreprises et l’entrée en vigueur de réglementations telles que le RGPD, n’oublions pas que les outils d’accès et de prise en main à distance sont les moyens préférés des cybercriminels pour s’immiscer dans un système puis sur un réseau informatique*.
Il devient donc indispensable pour les organisations de se doter d’une solution de PMAD sécurisée pour garantir la sécurité des accès lors d’opérations de prise en main à distance et ainsi la protection de leurs données et systèmes sensibles. Revenons sur les fonctionnalités que devraient rechercher les entreprises :
- Architecture sécurisée : quel que soit le mode de déploiement
choisi (physique, virtuelle, cloud etc.), chaque client possède un
environnement segmenté et unique. Ses données ne sont jamais et en aucun cas "mélangées" avec celles d'autres clients.
- Authentification : La solution doit s’intégrer avec les
annuaires externes tels que LDAPS pour une gestion des utilisateurs simplifiée
et sécurisée. Il est possible d’utiliser les annuaires LDAPS, Kerberos, Smart
Card, RADIUS existants. Ainsi, si l’on modifie un compte dans l'Active
Directory, les changements s'appliqueront également dans la solution.
- Authentification native à deux facteurs : l'authentification à
deux facteurs renforce la sécurité des accès distants. Elle nécessite de
renseigner un second facteur (mot de passe à usage unique), en plus du mot de
passe, pour se connecter.
- Granularité des droits et des accès : contrairement au VPN, les
solutions dont il est question ici doivent proposer un grand panel de niveaux
de permissions pour contrôler à quelles fonctionnalités un technicien aura
accès. Le juste niveau de droits sera ainsi accordé à la personne qui en
aura besoin. Des règles doivent pouvoir être fixées pour les utilisateurs,
groupes ou sessions, donnant ainsi aux administrateurs davantage de flexibilité
et de contrôle. Les règles de groupe doivent s'intégrer en toute simplicité aux
répertoires externes afin de donner des permissions selon la structure en place
et les règles de permissions de sessions permettre de renforcer la sécurité
pour chaque scénario de support. Il doit également être possible de limiter les
connexions à certaines plages horaires.
- Chiffrement des données : La solution doit pouvoir être
configurée de sorte à imposer l'utilisation de SSL à chaque connexion au site.
La solution chiffre toutes les données en transit en utilisant TLSv1 et les
données stockées peuvent être activées avec la solution de gestion installée.
Des méthodes de chiffrement peuvent être activées, désactivées ou réorganisées
selon les besoins de l’entreprise.
- Enregistrement des sessions et forensics : enregistrer les
sessions permet d'avoir un historique des interactions entre le client et le
technicien du support. Tous les évènements d'une session sont listés et
enregistrés. Sont enregistrés les noms des techniciens ayant pris part à la
session, les autorisations données par le client, les transcriptions du chat,
les informations système et toute autre action entreprise par le technicien. L'enregistrement
vidéo des sessions est un plus.
En s’assurant que leur solution de prise en main à distance remplit ses fonctionnalités, les décideurs IT sécurisent les accès au réseau de leur entreprise et peuvent se consacrer à leurs diverses tâches sans se préoccuper de surveiller les interventions de tierces parties.
* 2017 Trustwave Global Security Report