Ethan Hunt, Sydney Bristow, Simon Templar, Jack Ryan, Jack Reacher, ou encore Jack Bauer sont autant de personnages de fiction connus du grand public qui ont pour particularité de s’appuyer sur les technologies pour mener leurs missions à bien et lutter contre des actions malveillantes diverses et variées en vue de sauver le monde. Héros ou méchants, tous sont capables de s’introduire n’importe où insidieusement et cela grâce à des « skeleton keys » ou passe-partout physiques ou électroniques visant à leur permettre d’ouvrir n’importe quelle porte. Avant eux, MacGyver faisait déjà appel à ses propres ressources et avec les moyens à sa disposition. Si ces scénarios fictifs alimentent l’imaginaire collectif et fascinent, la réalité, a depuis plusieurs années rattrapé la fiction. Le digital est devenu un vaste terrain de jeu pour les cybercriminels et la skeleton key s’est elle-même virtualisée, devenant un outil unique d’une diabolique efficacité.
Contrairement aux clés ordinaires, conçues pour des serrures spécifiques, ce passe-partout peut actionner les mécanismes internes d’un grand nombre de serrures différentes. Cet outil indispensable à certains usages légitimes par les facteurs, les livreurs ou encore les agents ferroviaires, par exemple, peut aussi rendre de précieux services à des personnes moins bien intentionnées.
Comme dans les fictions, les véritables malfaiteurs ont souvent recours à des skeleton keys pour accéder à des boîtes aux lettres, ouvrir des valises, s’introduire dans des appartements ou des chambres d’hôtel, voire dévaliser des banques.
La skeleton key physique ou numérique est bien connue des équipes de sécurité modernes, entre gestion du risque et facilité d’utilisation. Elle a l’avantage d’être un outil extrêmement pratique pour ouvrir rapidement de nombreuses serrures et accéder à différents espaces verrouillés sans s’encombrer d’un énorme trousseau de clés. Cependant, si elle tombe entre de mauvaises mains, la skeleton key pose un risque de sécurité important, puisqu’elle permet un grand nombre d’accès non autorisés au sein d’un espace compromis.
Naturellement, il existe également une version numérique de ce type d’outil, très prisée des cybercriminels.
Un danger croissant pour les entreprises
Les skeleton keys numériques peuvent avoir des effets dévastateurs sur les systèmes de sécurité, car en cas de détournement, elles peuvent être utilisés très facilement et à très grande échelle.
Par exemple, l’administration de systèmes de grandes entreprises comptant des dizaines de milliers de point d’accès, tels que des postes de travail et des serveurs physiques et/ou virtuels, disséminés dans des bureaux et des datacenters sur site et des environnements cloud, repose trop souvent sur l’utilisation quotidienne de comptes d’administration locaux fréquemment associés à un même mot de passe, version numérique d’une skeleton key. Si cette approche est pratique pour les administrateurs, elle génère une un très haut niveau de vulnérabilité, puisqu’elle revient à donner à tout détenteur de la skeleton key un accès illimité aux chambres et aux couloirs dérobés de cet hôtel virtuel. Il s’agit d’un phénomène aux conséquences potentiellement très graves pour la sécurité informatique.
Dans le paysage complexe des entreprises actuelles, l’utilisation généralisée de skeleton key numériques par des comptes d’administrateurs locaux représente en effet un risque majeur. Lorsque presque tous les terminaux d’un système sont associés à au moins un de ces comptes d’administrateur local, ils deviennent autant de portes d’entrée potentielles pour les accès non autorisés.
Facteur aggravant : ces comptes locaux ne peuvent pas être protégés par une authentification forte, ce qui les rend vulnérables face aux attaques les moins sophistiquées. De plus, les équipes de sécurité ne peuvent pas utiliser l’authentification multifacteurs (MFA) pour protéger ces comptes. En effet, ces deux méthodes nécessitent la mise en place d’une « source unique de vérité » et des systèmes de contrôle pour bloquer les attaques et les tentatives de contournement.
Gérer les privilèges
L’authentification locale, cependant, est par définition sa propre autorité. Elle est aussi généralement limitée par les systèmes existants. Par exemple, Windows utilise toujours NTLM pour l’authentification locale. De plus, en l’absence d’une méthode prête à l’emploi pour la gestion centralisée, les entreprises doivent gérer une multitude de points d’accès dispersés et non surveillés. Ces lacunes soulignent l’urgence d’une approche globale et sécurisée de la gestion des privilèges des terminaux (EPM) et de la sécurisation des privilèges des terminaux (EPS).
Ce constat s’applique à la situation actuelle d’un trop grand nombre d’entreprises, pour qui les mesures indispensables à la sécurité des accès ne seront adoptées, dans le meilleur des cas, que dans le cadre d’un futur plan stratégique de protection des systèmes. Force est de constater que la communauté des équipes de cybersécurité ne brille pas par sa proactivité.
Mesures stratégiques et systèmes de sécurité pour réduire les risques
Ainsi, afin de limiter les risques associés à l’utilisation abusive d’un compte local à privilèges, les entreprises peuvent mettre en place des bonnes pratiques.
Tout d’abord, il est important de mettre un terme à la réutilisation des mots de passe pour des comptes d’administrateurs locaux. Les équipes IT ne doivent en effet pas créer eux-mêmes une skeleton key pour l’ensemble de leur infrastructure de points d’accès. Chaque compte local de chaque terminal doit impérativement être associé à un mot de passe unique.
Il est également essentiel de superviser étroitement l’utilisation des comptes d’administrateurs locaux et de définir ce qu’est l’administrateur local, par exemple, et déterminer s’il s’agit d’un membre de l’équipe IT, d’un utilisateur final, ou bien d’une personne qui a obtenu le mot de passe et se trouve déjà dans un système du réseau. La réponse est simple : il s’agit de tout détenteur du mot de passe concerné. C’est d’ailleurs l’une des principales raisons pour lesquelles il faut impérativement intégrer une solide composante de sécurité des identités dans toute stratégie de cybersécurité. Enfin, renouveler les mots de passe des comptes d’administrateurs locaux après chaque utilisation, permettra de lutter plus efficacement contre leur compromission.
Ces mesures assez simples souffrent toutefois de nombreux écueils à éviter lors du choix d’un outil, car celui-ci doit impérativement être complet et respecter certains principes de base en matière de contrôles et de capacités, dont voici quelques exemples :
* La gestion de tous les comptes à privilèges sur les appareils et machines, et pas seulement du compte d’administrateur local intégré ;
* Le stockage chiffré et sécurisé des mots de passe ;
* La conservation assurée des mots de passe précédents, actuels et suivants ;
* La communication fiable avec le service et renouvellement des mots de passe basé sur les transactions ;
* La prise en charge des principaux systèmes d’exploitation, types de workloads et types de déploiements ;
* La détection en continu de tout nouveau compte à privilèges local afin de l’intégrer à la politique de renouvellement des mots de passe ;
* Les workflows fiables pour le déploiement et la récupération.
La réutilisation des mots de passe des comptes d’administrateurs locaux constitue une véritable épée de Damoclès dans les infrastructures actuelles, car ces mots de passe se retrouvent dans tous les terminaux où aucune mesure plus fiable d’authentification (telles que la MFA adaptative) ne peut être déployée. Les entreprises qui ne prennent pas des mesures proactives s’exposent ainsi à de graves failles de sécurité.
Une protection efficace repose sur des principes simples, comme l’implémentation de protocoles de sécurité rigoureux (incluant la supervision et l’audit réguliers de ces comptes), l’application de politiques de mots de passe complexes et la séparation des privilèges pour limiter les accès. Toutefois, ces principes doivent avoir pour finalité d’accroître la sécurité et la fiabilité de l’infrastructure.
Favoriser le recours à la sécurisation des privilèges
Le moment est venu de repenser notre approche pour faire face aux nouvelles réalités des activités en ligne et éviter les incidents impliquant des skeleton key numériques. Pour relever le défi posé par la gestion des mots de passe de comptes d’administrateurs locaux, les entreprises ont besoin de solutions à la fois efficaces et fiables. Les entreprises peuvent en effet limiter ces risques en persistant en appliquant des contrôles de sécurité des terminaux aux appareils qui se connectent de façon intermittente à leur réseau. Pour une protection adéquate, elles doivent privilégier la détection automatisée des comptes locaux à privilèges et l’application stricte de politiques de renouvellement des mots de passe. Cette approche permet de renforcer la sécurité, même pour les terminaux ayant une connectivité limitée à internet.
Les entreprises peuvent optimiser leur efficacité opérationnelle en concentrant leur attention sur les appareils qui se connectent de façon intermittente à leur réseau et en renforçant leurs systèmes de sécurité. Ceci implique un changement radical dans la façon dont elles gèrent et protègent les terminaux. Une telle démarche est gagnante à de nombreux égards. D’une part, la sécurité est renforcée, puisque chaque terminal dispose désormais d’un mot de passe unique jamais utilisé auparavant et donc 100 % sûr. D’autre part, elle offre la commodité, car même s’il n’existe pas de skeleton key pour les terminaux des utilisateurs, les administrateurs disposent d’un moyen simple et sécurisé de s’authentifier chaque fois que cela est nécessaire.
____________________________
Par Jean-Christophe Vitu, VP Solutions Engineer chez CyberArk
puis