Accueil > Actualités informatiques & logiciels > Les administrateurs techniques abuseraient de leurs pouvoirs
Dernières actualités
- Télécharger les meilleurs logiciels de la semaine
- Don à 300 000 $ pour la bibliothèque multimédia de
- Toyota présente un fauteuil roulant pilotable par la
- Maxthon : nouvelle version pour le navigateur Web
- Numericable : 161 000 clients pour le triple play à 4
- BitDefender : deux outils gratuits à télécharger
- FBackup : nouvelle version de l'outil de sauvegarde
- Google Update adopte un nouveau comportement
- Net : bisbille autour de la notation des médecins et
- Facebook prépare deux nouvelles fonctionnalités
- Winamp : nouvelle version 5.56 pour le lecteur
- Windows 7 : rumeur autour d'un pack familial
- France : 33 millions d'internautes en mai
- Messenger Plus! Live : le support complet pour Windows
- Firefox 3.5 sera corrigé à la mi-juillet
Derniers dossiers
Produit du jour : Je passe mon Bac S 2003 à partir de 2.00 € (Logiciel)
16/06/2007 17:04 par Bruno C. |
7 commentaire(s) 7 nouveau(x)
E-mails des salariés, fichiers de ressources humaines, informations salariales, données personnelles de tiers... les administrateurs techniques utiliseraient leurs droits et mots de passe privilégiés pour 'fouiner' hors du strict champs de leur responsabilité, selon un sondage effectué par Cyber-Ark Software auprès de 200 professionnels de l'informatique.
Nos confrères du site Vulnérabilité.com, spécialisé dans la sécurité informatique, nous apprennent que publié pour la troisième année consécutive, les points abordés cette fois-ci par le sondage vont bien au-delà du nombre de mots de passe manipulés quotidiennement par les Administrateurs techniques ou le fait de savoir si les droits sont mémorisés dans la tête des informaticiens ou notés sur des Post-It. On y apprend également qu’un tiers des personnes sondées parie sur le fait qu’elles conserveraient sans problème leurs droits si elles quittaient leur entreprise. D’ailleurs, ils sont 28% à connaître d’anciens collaborateurs qui sont dans ce cas, dont certains ont même accès au fichier clients.
Cette étude confirme donc la situation très inconfortable des administrateurs techniques, qui sont soumis aux consignes de leur hiérarchie en tant que salariés et qui doivent assurer leur fonction dans le respect des règles juridiques existantes sous peine de voir leur responsabilité personnelle engagée. L’exercice de la fonction d’administrateur est à la croisée de ces deux obligations. Un document intitulé Administrateurs Techniques, Droits & Devoirs, publié sur le site de l’AFCDP rappelle une jurisprudence qui avait abouti à la condamnation d’un responsable réseau et de son responsable hiérarchique, et dans laquelle la cour avait relevé un abus de la part de ces professionnels de leur position « et des possibilités techniques dont ils disposaient ». L’Association Française des Correspondants à la protection des Données à caractère Personnel recommande d’ailleurs de faire établir une charte spécifique à cette catégorie professionnelle et de les sensibiliser d’avantage au cadre juridique.
Des règles de sécurité à respecter
Si les professionnels de l’informatique ne donnent pas l’exemple en matière de confidentialité, on apprend aussi qu’ils sont toujours une majorité à noter les mots de passe les plus critiques sur de petites pages jaunes et que 8% avouent avoir laissé les mots de passe éditeurs…connus de tous les hackers, comme le confirme Gary McKinnon. Surnommé « The most prolifigate military hacker of all time » pour avoir pénétré 97 ordinateurs du département américain de la défense (il fait actuellement l’objet d’une demande d’extradition et risque 70 ans de prison), ce britannique dont le nom de code est Solo a déclaré dans une interview accordée à la BBC « La façon la plus simple de s’infiltrer dans le réseau d’une entreprise est de chercher les mots de passe de type admin laissés en blanc ou avec la valeur par défaut de l’éditeur. Une fois que vous les avez trouvés – ce qui est incroyablement facile et rapide – vous êtes dans la place et bénéficiez du plus haut niveau d’autorisation, Bingo ! Vous contrôlez l’ensemble du système ».
Ces risques sont confirmés dans l’étude publiée en décembre 2006 par le CERT du Carnegie Mellon University Software Engineering Institute et les services secrets américains et intitulée Comparing Insider IT Sabotage and Espionage : dans 86% des cas, l’attaquant interne serait un homme, occupant un poste technique. Pour 92% d’entre eux, la vengeance était la première motivation. Le rapport confirme que « dans les cas de sabotages étudiés, les auteurs étaient souvent les Administrateurs systèmes ou les utilisateurs privilégiés [qui] ont un accès total à des segments stratégiques du système d’information ou du réseau ». L’un des trente cas étudiés fait état d’un Administrateur ayant accédé au NOC un vendredi soir : « Il a effacé la totalité des données, écrasé les programmes applicatifs, arrêté l’ensemble des ressources et volé les supports de sauvegarde… ». Le rapport précise que « dans 28 des 30 cas de sabotage et d’espionnage, le défaut de contrôle d’accès a facilité ces actes illégitimes ». Plus près de nous, la CNIL a récemment pointé les failles de sécurité du Dossier Médical Personnel (DMP), dont des mots de passe trop facilement réductibles.
Dans le même ordre d’idée, on apprend dans l’étude de Cyber-Ark Software que 20% des administrateurs reconnaissent ne pas modifier les mots de passe les plus critiques assez fréquemment ; « Aucune idée ! », « Pas souvent », « Quand la hiérarchie nous y oblige », « Chaque année », « Jamais » sont quelques-unes des réponses fournies. Aussi est on surpris de découvrir que ces mêmes professionnels informatiques estiment à 68% pouvoir passer avec succès un audit de sécurité inopiné ! D’incorrigibles optimistes ?
Cette étude confirme donc la situation très inconfortable des administrateurs techniques, qui sont soumis aux consignes de leur hiérarchie en tant que salariés et qui doivent assurer leur fonction dans le respect des règles juridiques existantes sous peine de voir leur responsabilité personnelle engagée. L’exercice de la fonction d’administrateur est à la croisée de ces deux obligations. Un document intitulé Administrateurs Techniques, Droits & Devoirs, publié sur le site de l’AFCDP rappelle une jurisprudence qui avait abouti à la condamnation d’un responsable réseau et de son responsable hiérarchique, et dans laquelle la cour avait relevé un abus de la part de ces professionnels de leur position « et des possibilités techniques dont ils disposaient ». L’Association Française des Correspondants à la protection des Données à caractère Personnel recommande d’ailleurs de faire établir une charte spécifique à cette catégorie professionnelle et de les sensibiliser d’avantage au cadre juridique.
Des règles de sécurité à respecter
Si les professionnels de l’informatique ne donnent pas l’exemple en matière de confidentialité, on apprend aussi qu’ils sont toujours une majorité à noter les mots de passe les plus critiques sur de petites pages jaunes et que 8% avouent avoir laissé les mots de passe éditeurs…connus de tous les hackers, comme le confirme Gary McKinnon. Surnommé « The most prolifigate military hacker of all time » pour avoir pénétré 97 ordinateurs du département américain de la défense (il fait actuellement l’objet d’une demande d’extradition et risque 70 ans de prison), ce britannique dont le nom de code est Solo a déclaré dans une interview accordée à la BBC « La façon la plus simple de s’infiltrer dans le réseau d’une entreprise est de chercher les mots de passe de type admin laissés en blanc ou avec la valeur par défaut de l’éditeur. Une fois que vous les avez trouvés – ce qui est incroyablement facile et rapide – vous êtes dans la place et bénéficiez du plus haut niveau d’autorisation, Bingo ! Vous contrôlez l’ensemble du système ».
Ces risques sont confirmés dans l’étude publiée en décembre 2006 par le CERT du Carnegie Mellon University Software Engineering Institute et les services secrets américains et intitulée Comparing Insider IT Sabotage and Espionage : dans 86% des cas, l’attaquant interne serait un homme, occupant un poste technique. Pour 92% d’entre eux, la vengeance était la première motivation. Le rapport confirme que « dans les cas de sabotages étudiés, les auteurs étaient souvent les Administrateurs systèmes ou les utilisateurs privilégiés [qui] ont un accès total à des segments stratégiques du système d’information ou du réseau ». L’un des trente cas étudiés fait état d’un Administrateur ayant accédé au NOC un vendredi soir : « Il a effacé la totalité des données, écrasé les programmes applicatifs, arrêté l’ensemble des ressources et volé les supports de sauvegarde… ». Le rapport précise que « dans 28 des 30 cas de sabotage et d’espionnage, le défaut de contrôle d’accès a facilité ces actes illégitimes ». Plus près de nous, la CNIL a récemment pointé les failles de sécurité du Dossier Médical Personnel (DMP), dont des mots de passe trop facilement réductibles.
Dans le même ordre d’idée, on apprend dans l’étude de Cyber-Ark Software que 20% des administrateurs reconnaissent ne pas modifier les mots de passe les plus critiques assez fréquemment ; « Aucune idée ! », « Pas souvent », « Quand la hiérarchie nous y oblige », « Chaque année », « Jamais » sont quelques-unes des réponses fournies. Aussi est on surpris de découvrir que ces mêmes professionnels informatiques estiment à 68% pouvoir passer avec succès un audit de sécurité inopiné ! D’incorrigibles optimistes ?
Source : Par la rédaction de Vulnérabilité
Voir les 7 commentaires - Poster un commentaire
- 16-06-2007 Les administrateurs techniques abuseraient ...
- 05-07-2009 Rumeur : Sony Ericsson Rachael, smartphone ...
- 05-07-2009 Glu / HandyGames : Townsmen 6 fait sa ...
- 05-07-2009 Risen dispose d'une date de sortie française
- 05-07-2009 Grease revient en... jeu vidéo
- 05-07-2009 Top 3 des meilleurs téléphones portables ...
- 05-07-2009 Top 3 des meilleurs produits high-tech de la ...
- 05-07-2009 Télécharger les meilleurs logiciels de la ...
- 05-07-2009 Batman Arkham Asylum présente son journal ...
- 05-07-2009 Resident Evil Darkside Chronicles : images ...
| Lun | Mar | Mer | Jeu | Ven | Sam | Dim |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | ||
- 18:34 Problème maj win 2k / update.exe
- 17:53 il n'y a rien à faire mon système reboot tt le ...
- 17:06 Windows mails et MS Outlook
- 15:55 instalation vista familial
- 12:34 Changement de serveur 2003 vers 2008
- 15:23 Un controleur de domaine sous debian
- 10:22 ? Réveiller toute une salle de PC ?
- 10:21 Synchronisation de deux AD 2003 vers un autre en ...
- 10:17 Distribution de correctifs
- 17:27 Linux Fedora
- 16:21 probleme instalation window vista
- 18:50 Suppression de fichiers trop anciens
- 12:24 master boot record
- 11:05 Linux Diagnostique
-
NecroVision : patch 1.2
NecroVision est une nouvelle fois mis à jour. De nombreuses modifications sont apportées au titre de 505 Games.
-
Céville : démo
Au lendemain de la sortie en France de Ceville, Focus Home Interactive offre aux joueurs amateurs de jeu d'aventure la démo de ce titre bourré ...
-
Free Internet Window Washer
Free Internet Window Washer est une application pour effacer les traces d'utilisation sur votre PC, et ainsi garantir votre vie privée.
- 6.00 € Photo Albums
- 2.00 € Super pochoir
- 4.00 € Les boucles d'oreilles en perles
- 39.00 € Encyclopédie Universelle Larousse 2007
- 49.00 € Encyclopédie Universelle Larousse 2009 prestige
- 3.00 € Jardinage pratique
- 15.00 € Boule et Bill - Poney Club - José
- 95.00 € CorelDRAW X4 Graphics Suite
- 29.00 € Le Petit Larousse 2009
- 79.00 € Sony Vegas Movie Studio 9 Platinum Pro