Les administrateurs techniques abuseraient de leurs pouvoirs

Le par  |  7 commentaire(s) Source : Par la rédaction de Vulnérabilité

E-mails des salariés, fichiers de ressources humaines, informations salariales, données personnelles de tiers... les administrateurs techniques utiliseraient leurs droits et mots de passe privilégiés pour 'fouiner' hors du strict champs de leur responsabilité, selon un sondage effectué par Cyber-Ark Software auprès de 200 professionnels de l'informatique.

Nos confrères du site Vulnérabilité.com, spécialisé dans la sécurité informatique, nous apprennent que publié pour la troisième année consécutive, les points abordés cette fois-ci par le sondage vont bien au-delà du nombre de mots de passe manipulés quotidiennement par les Administrateurs techniques ou le fait de savoir si les droits sont mémorisés dans la tête des informaticiens ou notés sur des Post-It. On y apprend également qu’un tiers des personnes sondées parie sur le fait qu’elles conserveraient sans problème leurs droits si elles quittaient leur entreprise. D’ailleurs, ils sont 28% à connaître d’anciens collaborateurs qui sont dans ce cas, dont certains ont même accès au fichier clients.

Cette étude confirme donc la situation très inconfortable des administrateurs techniques, qui sont soumis aux consignes de leur hiérarchie en tant que salariés et qui doivent assurer leur fonction dans le respect des règles juridiques existantes sous peine de voir leur responsabilité personnelle engagée. L’exercice de la fonction d’administrateur est à la croisée de ces deux obligations. Un document intitulé Administrateurs Techniques, Droits & Devoirs, publié sur le site de l’AFCDP rappelle une jurisprudence qui avait abouti à la condamnation d’un responsable réseau et de son responsable hiérarchique, et dans laquelle la cour avait relevé un abus de la part de ces professionnels de leur position « et des possibilités techniques dont ils disposaient ». L’Association Française des Correspondants à la protection des Données à caractère Personnel recommande d’ailleurs de faire établir une charte spécifique à cette catégorie professionnelle et de les sensibiliser d’avantage au cadre juridique.


Des règles de sécurité à respecter
Si les professionnels de l’informatique ne donnent pas l’exemple en matière de confidentialité, on apprend aussi qu’ils sont toujours une majorité à noter les mots de passe les plus critiques sur de petites pages jaunes et que 8% avouent avoir laissé les mots de passe éditeurs…connus de tous les hackers, comme le confirme Gary McKinnon. Surnommé « The most prolifigate military hacker of all time » pour avoir pénétré 97 ordinateurs du département américain de la défense (il fait actuellement l’objet d’une demande d’extradition et risque 70 ans de prison), ce britannique dont le nom de code est Solo a déclaré dans une interview accordée à la BBC « La façon la plus simple de s’infiltrer dans le réseau d’une entreprise est de chercher les mots de passe de type admin laissés en blanc ou avec la valeur par défaut de l’éditeur. Une fois que vous les avez trouvés – ce qui est incroyablement facile et rapide – vous êtes dans la place et bénéficiez du plus haut niveau d’autorisation, Bingo ! Vous contrôlez l’ensemble du système ».

Ces risques sont confirmés dans l’étude publiée en décembre 2006 par le CERT du Carnegie Mellon University Software Engineering Institute et les services secrets américains et intitulée Comparing Insider IT Sabotage and Espionage : dans 86% des cas, l’attaquant interne serait un homme, occupant un poste technique. Pour 92% d’entre eux, la vengeance était la première motivation. Le rapport confirme que « dans les cas de sabotages étudiés, les auteurs étaient souvent les Administrateurs systèmes ou les utilisateurs privilégiés [qui] ont un accès total à des segments stratégiques du système d’information ou du réseau ». L’un des trente cas étudiés fait état d’un Administrateur ayant accédé au NOC un vendredi soir : « Il a effacé la totalité des données, écrasé les programmes applicatifs, arrêté l’ensemble des ressources et volé les supports de sauvegarde… ». Le rapport précise que « dans 28 des 30 cas de sabotage et d’espionnage, le défaut de contrôle d’accès a facilité ces actes illégitimes ». Plus près de nous, la CNIL a récemment pointé les failles de sécurité du Dossier Médical Personnel (DMP), dont des mots de passe trop facilement réductibles.

Dans le même ordre d’idée, on apprend dans l’étude de Cyber-Ark Software que 20% des administrateurs reconnaissent ne pas modifier les mots de passe les plus critiques assez fréquemment ; « Aucune idée ! », « Pas souvent », « Quand la hiérarchie nous y oblige », « Chaque année », « Jamais » sont quelques-unes des réponses fournies. Aussi est on surpris de découvrir que ces mêmes professionnels informatiques estiment à 68% pouvoir passer avec succès un audit de sécurité inopiné ! D’incorrigibles optimistes ?


Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #174697
Note : on doit tjs signer un contrat de non divulgation de données lors de l'embauche pour un job informatique donc logiquement "on est couvert par le secret informatique"

Et qd on part, il faut changer les pass etc
Mais sinon c'est vrai qu'on peut un peu faire ce qu'on veut.

Dreamer
Le #174703
C'est un métier comme un autre, il faut avant tout connaître le cadre légal de ses activités, et c'est vrai que même en sortant (cette année) d'une formation scolaire, j'ai encore beaucoup à apprendre en ce domaine.
Alors je préfère même pas imaginer un administrateur en postes depuis des années, c'est sûrement le cadet de ses soucis de s'occuper de la veille juridique.
Le #174708
Bon alors l'article est excellent et montre bien les problèmes de hiérarchie.

Pas plus tard que l'année dernière, on m'a quasiment ordonné de faire un état des lieux des PCs de mon entreprise au niveau des logiciels "non souhaités" installé sur nos machines (on venait de déménager ... certains comptes étaient encore en admin sur les XP ...). Jusque là rien de bien méchant. Par contre, on m'a ensuite demandé de dire qu'elle personne travaillait sur ces dites machines. J'ai eu un mal de chien à expliquer que je n'avais pas le droit selon ma vision de mon boulot de le faire. J'ai réussi à passer outre cet ordre mais je ne suis pas sûr que la hiérarchie ait réellement compris mon attitude.

Idem pour les mots de passes. On les changes quasiment pas (bon ok, on est (moi et mon chef) des espèces de malades de la passaphrase qu'on arrive à peine à écrire nous même deux fois de suite ... mais bon c'est pas bien de garder les même).

Quant aux utilisateurs ... c'est du grand n'importe quoi. "Un mot de passe pour votre accès s'il vous plait" =>"0603" ... " Ah vous êtes né le 6 mars ... cool ... je veux un vrai mot de passe pas facile à trouver" =>"maison" ... " Ouais bon ok ça ira mais c'est pas un mot de passe " =>"Ben matthieu ça fait un mot de passe non ?" ... lamentable ...

Les adresses mails ... là aussi on a un gros soucis ... quand quelqu'un se fait virer ... on doit permettre l'accès à la boite aux supérieurs pour qu'ils puissent voir les mails qu'il faut recevoir sous peu et qui sont importants (clients ou contrat). On archive les anciennes boites outlook ... Bref ... c'est pas facile tous les jours.

Voilà ... c'est mon vécu en 1 an et demi de boulot ... et encore, ya pas tout
Le #174711
@Snake-II :
Concernant le dernier point sur les adresses courriel, tout dépend si elles sont nominatives ou non. S'il s'agit d'adresses génériques, pas de problème : la hiérarchie peu consulter sans modération.
En revanche, toute adresse courriel mentionnant explicitement le nom du salarié qui part de l'entreprise doit être fermée définitivement au soir de son départ, voire à l'heure près. Si cette consigne n'est pas respectée, l'Administrateur, au même titre que la hiérarchie qui exigerait avoir accès à ladite messagerie, risquerait jusqu'à 2 ans de prison, je ne sais plus combien de milliers d'euro d'amende, et pour l'entreprise, jusqu'à 5 ans d'impossibilité d'émettre de chèques.
J'en sais quelque chose : j'ai dit NON au plus haut responsable de la holding dont je faisais partie, et j'ai eu les services juridiques à mes basques pendant plusieurs semaines.
Et j'ai réussi à ne pas être viré à l'époque pour avoir refusé d'obéir à un ordre direct.

Dans ce métier, je dirais que le maître mot est de conserver TOUTES les traces des actions demandées ou réalisées de son propre chef. Ca aide à se prémunir de ce genre d'ennui...
Le #174712
concernant les courriel je ne connait que la regle de confidentialité avec le mot "personnel" en objet du mail pour pas l'ouvrir c'est tout le reste est de la propriété de l'entreprise.
j'ai jamais entendu ce genre d'histoire concernant une boite mail qui doit etre fermé à l'heure meme du depart de l'entreprise du salarié :?
Le #174713
Celà fait 7 maintenant que je bosse dans le métier, et j'en ai vu aussi des pas mal.
Entre les mots de passe ridiculement court ou facile à trouver, les gens qui te supplient (!) de leur installer tel ou tel logiciel,...

Pour les comptes de courrier, lors de la fin du contrat de l'employé on lui fait signer un document comme quoi il autorise l'entreprise à accéder à son compte (une loi est écrite pour cela)

Concernant les mots de passe, nous avons fini par demander au gens d'utiliser un outil sur notre Intranet leur générant un mot de passe suffisamment complexe.

Enfin, l'éthique de la personne est aussi à prendre en compte. Si on a pas un minimum de sens moral, tout est possible et n'importe quelle données est à la merci de ce dernier. Dans les grands groupes, il est possible de créer des chaines de contrôle, des sécurités nécessitant plusieurs personnes mais comment l'appliquer dans une PME-PMI ?

PS : je rejoins la remarque de gcore, sans trace j'ai du mal à me souvenir des demandes de mes supérieurs
Le #174869
Administrateur technique ??
Administrateur de surveillance, .. la majorité d'entre eux ne savent plus tapez 2 commandes Unix ou utiliser un éditeur type Vi
La fonction se dégrade, heureusement que les linuxiens arrivent en force sur le marché.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]