On ne cesse de répéter que le mot de passe d’un utilisateur est un point clé de la sécurité du système d’information. L’étude menée par Cyber-Ark révèle que les administrateurs ne sont pas plus sérieux quant aux changements des mots de passe que les utilisateurs.

On entend par mot de passe administrateur ceux qui ont un rapport avec la production du SI, on y trouve donc les équipements réseaux (routeur et commutateur), les serveurs (Unix et Microsoft), les applications et les bases de données. Ne jamais changer ces mots de passe rend plus facile les opérations de production, certes, mais mettent nettement plus en péril la structure de la compagnie que les mots de passes utilisateurs. En plus de donner accès aux informations (le contenu), ils permettent de rendre inopérant le système (le contenant).

Il existe des fort heureusement de nombreuses solutions pour se sortir de cette ornière:

• obliger les utilisateurs à s’authentifier de façon individuelle (radius, tacacs pour Cisco, LDAP, …), il est ainsi plus simple de supprimer un compte d’administrateur lorsque cela est nécessaire
• utiliser les outils de changement d’identité, type sudo sous Unix pour l’execution de commandes spécifiques
• changer simplement le mot de passe des serveurs ou équipement de façon régulière, les administrateurs pourront utiliser des outils comme PasswordSafe pour éviter d’avoir à les retenir en permanence
• effectuer des audits systématiques de son site, par des intervenants différents à chaque fois
• utiliser les différents niveaux d’accès aux services, tout le monde n’a pas besoin d’avoir un accès super-utilisateur pour effectuer des actions simples d’administration

Souvent le bon sens est la première des bonnes règles en matière de sécurité et le quotidien de l’administration ne tend pas vers l’usage de pratiques visant à changer les habitudes, là est le principal risque.

Pour l’anecdote, j’ai eu l’occasion de retourner une dizaine d’années après chez un client et assez surpris sur une station de travail que j’utilisais à l’époque de voir que le mot de passe n’avait pas changer, alors que la station avait été maintes fois remaniée. Cet exemple est flagrant de ce phénomène d’empathie dans la sécurité des systèmes d’informations, même si moi-même ne me souvenait pas du mot de passe mis à ce moment sur ma station…

Article rédigé pour CIS Consultants