Nos confrères du site Vulnérabilité.com, spécialisé dans la sécurité informatique, nous apprennent que publié pour la troisième année consécutive, les points abordés cette fois-ci par le sondage vont bien au-delà du nombre de mots de passe manipulés quotidiennement par les Administrateurs techniques ou le fait de savoir si les droits sont mémorisés dans la tête des informaticiens ou notés sur des Post-It. On y apprend également qu’un tiers des personnes sondées parie sur le fait qu’elles conserveraient sans problème leurs droits si elles quittaient leur entreprise. D’ailleurs, ils sont 28% à connaître d’anciens collaborateurs qui sont dans ce cas, dont certains ont même accès au fichier clients.

Cette étude confirme donc la situation très inconfortable des administrateurs techniques, qui sont soumis aux consignes de leur hiérarchie en tant que salariés et qui doivent assurer leur fonction dans le respect des règles juridiques existantes sous peine de voir leur responsabilité personnelle engagée. L’exercice de la fonction d’administrateur est à la croisée de ces deux obligations. Un document intitulé Administrateurs Techniques, Droits & Devoirs, publié sur le site de l’AFCDP rappelle une jurisprudence qui avait abouti à la condamnation d’un responsable réseau et de son responsable hiérarchique, et dans laquelle la cour avait relevé un abus de la part de ces professionnels de leur position « et des possibilités techniques dont ils disposaient ». L’Association Française des Correspondants à la protection des Données à caractère Personnel recommande d’ailleurs de faire établir une charte spécifique à cette catégorie professionnelle et de les sensibiliser d’avantage au cadre juridique.


Des règles de sécurité à respecter
Si les professionnels de l’informatique ne donnent pas l’exemple en matière de confidentialité, on apprend aussi qu’ils sont toujours une majorité à noter les mots de passe les plus critiques sur de petites pages jaunes et que 8% avouent avoir laissé les mots de passe éditeurs…connus de tous les hackers, comme le confirme Gary McKinnon. Surnommé « The most prolifigate military hacker of all time » pour avoir pénétré 97 ordinateurs du département américain de la défense (il fait actuellement l’objet d’une demande d’extradition et risque 70 ans de prison), ce britannique dont le nom de code est Solo a déclaré dans une interview accordée à la BBC « La façon la plus simple de s’infiltrer dans le réseau d’une entreprise est de chercher les mots de passe de type admin laissés en blanc ou avec la valeur par défaut de l’éditeur. Une fois que vous les avez trouvés – ce qui est incroyablement facile et rapide – vous êtes dans la place et bénéficiez du plus haut niveau d’autorisation, Bingo ! Vous contrôlez l’ensemble du système ».

Ces risques sont confirmés dans l’étude publiée en décembre 2006 par le CERT du Carnegie Mellon University Software Engineering Institute et les services secrets américains et intitulée Comparing Insider IT Sabotage and Espionage : dans 86% des cas, l’attaquant interne serait un homme, occupant un poste technique. Pour 92% d’entre eux, la vengeance était la première motivation. Le rapport confirme que « dans les cas de sabotages étudiés, les auteurs étaient souvent les Administrateurs systèmes ou les utilisateurs privilégiés [qui] ont un accès total à des segments stratégiques du système d’information ou du réseau ». L’un des trente cas étudiés fait état d’un Administrateur ayant accédé au NOC un vendredi soir : « Il a effacé la totalité des données, écrasé les programmes applicatifs, arrêté l’ensemble des ressources et volé les supports de sauvegarde… ». Le rapport précise que « dans 28 des 30 cas de sabotage et d’espionnage, le défaut de contrôle d’accès a facilité ces actes illégitimes ». Plus près de nous, la CNIL a récemment pointé les failles de sécurité du Dossier Médical Personnel (DMP), dont des mots de passe trop facilement réductibles.

Dans le même ordre d’idée, on apprend dans l’étude de Cyber-Ark Software que 20% des administrateurs reconnaissent ne pas modifier les mots de passe les plus critiques assez fréquemment ; « Aucune idée ! », « Pas souvent », « Quand la hiérarchie nous y oblige », « Chaque année », « Jamais » sont quelques-unes des réponses fournies. Aussi est on surpris de découvrir que ces mêmes professionnels informatiques estiment à 68% pouvoir passer avec succès un audit de sécurité inopiné ! D’incorrigibles optimistes ?