La suppression des droits admin pourrait limiter l'impact de 97% des vulnérabilités critiques des produits Microsoft
Selon Avecto

Le , par Michael Guilloux, Chroniqueur Actualités
La question des privilèges accordés aux utilisateurs a souvent suscité des interrogations au sein des organisations. D’un côté, les administrateurs système et réseau et autres responsables IT veulent limiter les droits accordés aux utilisateurs, qui sont souvent accusés d’ouvrir la porte qui permet aux menaces de s’inviter dans les systèmes informatiques. Et de l’autre côté, les utilisateurs des outils et matériels informatiques qui se sentent limités dans leurs actions à cause des différentes restrictions.

Que les restrictions imposées par les administrateurs soient sévères ou non, elles semblent toutefois justifiées. En effet, une analyse des bulletins de sécurité « Patch Tuesday » de Microsoft, au cours de l’année 2014, a révélé que 97 % des vulnérabilités critiques des produits de Microsoft auraient pu être atténuées par la suppression des droits d'administrateur. L’étude a été menée par le cabinet de sécurité Avecto basé au Royaume-Uni.

Pour son analyse, Avecto a compilé tous les bulletins de sécurité pour l’année 2014, que Microsoft émet le deuxième mardi de chaque mois. Chaque bulletin contient des correctifs pour les vulnérabilités des produits Microsoft qui ont été découvertes depuis le bulletin précédent.

Dans chaque rapport, une vulnérabilité est classée comme pouvant être atténuée par la suppression des droits d'administrateur si dans la note sur la vulnérabilité, se trouve la phrase « les clients/utilisateurs dont les comptes sont configurés avec peu de privilèges utilisateurs sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur ». C’est à partir de cet indice que le cabinet de sécurité a pu recenser les vulnérabilités pouvant être atténuées par la suppression des droits d'administrateur, pour faire son analyse.

En 2013, le même rapport a révélé un total de 147 vulnérabilités critiques où 92 % auraient pu être atténuées par la suppression des droits d'administrateur. Pour 2014, les résultats confirment également la même tendance pour une augmentation année sur année de 63 % dans le nombre total de vulnérabilités critiques.

L’analyse des vulnérabilités signalées par produit Microsoft a révélé que pour Windows, 300 vulnérabilités ont été signalées et 78 % d’entre elles étaient classées critiques. Parmi ces vulnérabilités critiques, 98 % auraient pu être atténuées par la suppression des droits d'administrateur. Tous les OS Windows depuis XP jusqu’à Windows 8 sont inclus.


Chez Office, la suppression des droits administrateur aurait permis d’atténuer 95 % des vulnérabilités rapportées et 100 % des vulnérabilités critiques. Office a enregistré 20 vulnérabilités en 2014, et toutes les versions sont prises en compte depuis Office 2003 à 2013.


Chez Internet Explorer, les tendances sont les mêmes pour les versions 6 à 11. Pour un total de 245 vulnérabilités rapportées, 99,5 % d’entre elles pourraient être atténuées par la suppression des droits admin.


En se déplaçant vers Windows Server, les résultats sont restés inchangés pour Windows Server 2003, 2008 et 2012. Sur les 304 vulnérabilités Windows Server qui ont été signalées dans les bulletins de sécurité de Microsoft, 233 ont été notées critiques et 98 % d’entre elles se sont révélées comme pouvant être atténuées par la suppression des droits administrateur.


L’analyse par impact des vulnérabilités reportées confirme également que la suppression des droits admin pourrait limiter la vulnérabilité des produits Microsoft.
Les vulnérabilités d'exécution de code à distance ont fortement dominé les vulnérabilités reportées en 2014, et 93 % d’entre elles ont été classées critiques. Parmi ces vulnérabilités critiques, on note encore que 97 % auraient pu être atténuées par la suppression des droits d'administrateur.


En somme, l’analyse d’Avecto montre que la suppression des droits d'administrateur aurait non seulement permis de limiter l’impact des vulnérabilités critiques, mais également celui des vulnérabilités des produits Microsoft en général. Cela s’explique par le fait que les comptes d'utilisateurs avec des privilèges d'administrateur sont les principales cibles à des fins d'exploitation par des logiciels malveillants, car ils fournissent un accès sans restriction à un terminal, a dit Paul Kenyon, vice-président d’Avecto.

Il semble donc logique que les entreprises adoptent cette pratique, mais ce n’est pas le cas comme le souligne Kenyon. « La suppression des droits d'administration s'avère une stratégie simple et efficace d'atténuation de la menace - et pourtant, de nombreuses entreprises passent encore sur cette pratique fondamentale », a-t-il dit.

Source : Microsoft Vulnerabilities Report 2014 (pdf)

Et vous ?

Que pensez-vous de l’analyse d’Avecto ?

Pourquoi certaines entreprises ne retirent-elles pas les privilèges d'administrateur aux utilisateurs ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Daïmanu Daïmanu - Membre chevronné https://www.developpez.com
le 03/04/2015 à 11:59
Pourquoi certaines entreprises ne retirent-elles pas les privilèges d'administrateur aux utilisateurs ?
Parce que la politique de tout autoriser est nettement plus rapide et simple à appréhender que de tout bloquer puis autoriser au compte-goutte. Et il y a l’éternel problème du manque de budget mais surtout de temps.

Mais les PC personnels ne sont pas en reste AMHA.

Tous ces chiffres juste disent que les malwares profitent pleinement de la non connaissance des utilisateurs dans l'informatique.
Une solution simple serait de limiter par défaut l'ajout des droits admin lors de l'installation / l'achat d'un PC. Mais il faudrait alors enseigner aux utilisateurs lambda et en entreprise comment gérer deux comptes avec des droits différents, comment installer des softwares, pourquoi certaines actions sont limitées, etc…

D'après moi, cette problématique est liée à une autre question : Doit on se diriger vers un permis informatique de la même nature que le permis automobile ?
Avatar de Matthieu Vergne Matthieu Vergne - Expert éminent https://www.developpez.com
le 03/04/2015 à 15:28
Citation Envoyé par Michael Guilloux Voir le message
une analyse des bulletins de sécurité « Patch Tuesday » de Microsoft, au cours de l’année 2014, a révélé que 97 % des vulnérabilités critiques des produits de Microsoft auraient pu être atténuées par la suppression des droits d'administrateur.
Mais atténuer n'est pas éviter. Atténué à quel point ? Si l'attaquant a pu supprimer des tas de fichiers, et que retirer les droits admins aurait permis de garder quelques fichiers systèmes tout en perdant des tonnes de fichiers critiques appartenant à l'utilisateur, le retrait des droits admin ne serait pas significatif. Et par extension, si parmis ces 97%, seulement 1%-5% seraient significativement atténués, ça serait difficile de justifier un tel retrait vu le manque de rentabilité. Alors, comment cet impact est-il mesuré ?

Citation Envoyé par Michael Guilloux Voir le message
Dans chaque rapport, une vulnérabilité est classée comme pouvant être atténuée par la suppression des droits d'administrateur si dans la note sur la vulnérabilité, se trouve la phrase « les clients/utilisateurs dont les comptes sont configurés avec peu de privilèges utilisateurs sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur ».
Ah... donc on n'en sait rien et on se base sur des "il a dit que" sans même une analyse technique. Super l'étude. {-_-}
Avatar de Greg-dev Greg-dev - Membre régulier https://www.developpez.com
le 03/04/2015 à 15:53
Faut dire que sur Windows, par défaut quand tu as les droits Administrateur tu dois juste cliquer sur "OK" quand quelque chose veut s'installer
Et si ce quelque chose clique tout seul sur le "OK", ben...
Avatar de RyzenOC RyzenOC - Membre extrêmement actif https://www.developpez.com
le 03/04/2015 à 16:04
Question: On fait quoi sans les droits d'admin ?

Exemple ce matin, j'ai du travailler sur un nouveau pc en entreprise, heureusement que j'ai les droits pour installer tous et n'importe quoi, sinon j'aurais pas pu installer Python ni notepad++, et donc j'aurais du attendre Lundi-Mardi pour travailler.

Pour ma part j'ai toujours été en admin, au bureau et chez moi, pourtant mes pc n'a jamais été infecté.

Le problème ne viens du droit admin, mais de l'utilisateur qui n'y connait rien.

Je préfère un système a la windows ou je tous faire, que Linux ou je dois taper mon mots de passe a chaque commande, c'est gonflant a la longue et inutile dans 80% des cas. (Installation d'un logiciel fiable, mise a jour...)
Avatar de JML19 JML19 - Expert éminent sénior https://www.developpez.com
le 03/04/2015 à 16:33
Bonjour

Pendant les 6 premières années, je n'ai créé sur des postes NT4 station que des profils avec le droit d'administrateur.

Je n'ai eu aucun problème.

Ensuite à la demande de la direction informatique, j'ai créé des postes en XP qui étaient utilisateurs avec pouvoir, les serveurs étaient sous Unix AIX et sur NT4 serveur.

Tous les postes étaient en domaine NT.

On a eu des virus comme le ver Blaster et j'ai beaucoup marché.

Au départ seul les utilisateurs pouvaient me poser des problèmes.

Ensuite c'était le réseau Intranet (WAN SNCF) qui c'est trouvé connecté à Internet et là les ennuis sont arrivés.
Avatar de Matthieu Vergne Matthieu Vergne - Expert éminent https://www.developpez.com
le 03/04/2015 à 16:54
Citation Envoyé par sazearte Voir le message
Question: On fait quoi sans les droits d'admin ?
Tout ce qu'on veut tant que ça ne touche pas au système lui-même. Ce qui inclus d'installer des programmes dans un dossier perso (plutôt que dans Program Files). Il est d'ailleurs commun de voir des étudiants installer les programmes qu'ils veulent sur les PC scolaires qui sont bridés jusqu'à la moëlle : suffit de l'installer sur le bureau.

Citation Envoyé par sazearte Voir le message
Exemple ce matin, j'ai du travailler sur un nouveau pc en entreprise, heureusement que j'ai les droits pour installer tous et n'importe quoi, sinon j'aurais pas pu installer Python ni notepad++, et donc j'aurais du attendre Lundi-Mardi pour travailler.
Certes, les programmes qui nécessitent des droits admins à l'utilisation sont inexploitables, mais en dehors de ces programmes là tu peux faire ce que tu veux. En particulier N++ dont je sais que tu peux l'installer même sur clé USB, autrement dit indépendamment du système. Si tu ne l'as jamais fait, je te conseille donc de regarder du côté des applications dites portables, et tu devrais trouver tout ton bonheur. Ma recommendation perso :
http://portableapps.com/

Si vraiment tu ne savais pas, je pense que tu vas être heureux de le savoir et je ne peux que te conseiller de le mettre dans tes favoris.

Citation Envoyé par sazearte Voir le message
Pour ma part j'ai toujours été en admin, au bureau et chez moi, pourtant mes pc n'a jamais été infecté.
Ce n'est pas parce que tu n'a jamais infecté que personne ne l'a été, donc ne prend pas ton cas pour une référence. Il y a des tas de gens lambda qui se font infecter, même si je me doute que c'est une minorité. Il n'en reste pas moins que c'est une minorité significative, et il est même fort probable qu'il y ait une grosse part de gens qui pensent ne pas être infectés alors qu'ils le sont, toi inclus (un antivirus silencieux et pas de problème apparent ne veut pas dire PC 100% clean).

Citation Envoyé par sazearte Voir le message
Le problème ne viens du droit admin, mais de l'utilisateur qui n'y connait rien.
Et un utilisateur lambda n'a pas à être un expert non plus. Si pour utiliser la moindre chose il fallait être un expert, on ne ferait pas grand chose de notre vie. Les PC (Personal Computer), a contrario des serveurs, sont fait pour être utilisés par le grand public, ce qui implique de cacher les détails de fonctionnement en simplifiant les interactions. Tu ne peux pas reprocher à un utilisateur de ne pas être un connaisseur. Et c'est une remarque générale : ne pas savoir est normal, c'est pour ça qu'on apprend, mais ce n'est pas parce que tu sais que tout le monde doit savoir. On appelle ça du dénigrement.

Citation Envoyé par sazearte Voir le message
Je préfère un système a la windows ou je tous faire, que Linux ou je dois taper mon mots de passe a chaque commande, c'est gonflant a la longue et inutile dans 80% des cas. (Installation d'un logiciel fiable, mise a jour...)
1 - Windows tu peux pas tout faire même avec les droits admins (mais je te rassure, Linux non plus), mais à ce niveau là on joue sur les mots
2 - Linux ne te demande pas un mot de passe pour chaque commande, seulement celles requérant les droits root, et si tu es capable de le fournir une fois, alors tu es capable de passer en root pour ne plus être embêté. De plus, depuis un certain temps il sait gérer la mise en cache : il te le demande une fois et ne te le redemande pas avant 5min ou quelque chose du genre, donc même plus besoin de passer root, qui est déconseillé pour des raisons de sécurité. Il serait temps de te mettre à jour.
3 - Si tu ne comprends pas que qualifier un logiciel de fiable n'est pas du ressort d'un utilisateur lambda et qu'une mise à jour peut mal tourner, impliquant des actions plus drastiques et heureusement limitées à un administrateur, alors c'est normal que tu ne comprennes pas pourquoi on te demande un mot de passe. Mais ça ne fait que confirmer ton statut d'utilisateur lambda.

En bref, tu as ton avis et ton expérience, mais tu parles visiblement sans considérer autre chose que le côté pratique, ce qui est typique d'un utilisateur lambda qui se fera (peut-être) avoir un jour sans comprendre pourquoi. En sécurité, c'est pas le jour où on fait une connerie qu'il faut se demander comment faire pour l'éviter.
Avatar de DarkHylian DarkHylian - Membre habitué https://www.developpez.com
le 03/04/2015 à 16:59
Citation Envoyé par sazearte Voir le message
Question: On fait quoi sans les droits d'admin ?

Exemple ce matin, j'ai du travailler sur un nouveau pc en entreprise, heureusement que j'ai les droits pour installer tous et n'importe quoi, sinon j'aurais pas pu installer Python ni notepad++, et donc j'aurais du attendre Lundi-Mardi pour travailler.

Pour ma part j'ai toujours été en admin, au bureau et chez moi, pourtant mes pc n'a jamais été infecté.

Le problème ne viens du droit admin, mais de l'utilisateur qui n'y connait rien.

Je préfère un système a la windows ou je tous faire, que Linux ou je dois taper mon mots de passe a chaque commande, c'est gonflant a la longue et inutile dans 80% des cas. (Installation d'un logiciel fiable, mise a jour...)
Je suis d'accord sur la sensibilité de l'utilisateur à l'utilisation de son PC (comme quand on apprend à manier une pioche, il y a un risque de se blesser ou de blesser quelqu'un d'autre).
Cela dit, la gestion des droits sous Windows reste un peu du domaine du farfelue. Et je conserve une nette préférence pour la gestion des droits sous Linux.

Ma Debian est toute simple, avec les outils intégrés que je n'ai pas eu à chercher un peu partout sur le net, juste dans les dépôt.
Alors que Windows, le moindre truc que tu veux faire, il faut passer du temps dans un navigateur à chercher le programme qui va bien, faire attention à l'installeur qu'on t'a fourni (pourri de malwares assez souvent), et derrière il faut toujours faire un coup d'antivirus (cela dit, quand on connait les pièges on arrive à les éviter, mais ça prend à chaque fois du temps).

Je vais pas faire l'apologie de Linux contre Windows : chacun a ses défauts, chacun a ses qualités, tout un chacun trouve ce qui lui convient là où il va.
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 03/04/2015 à 17:08
Citation Envoyé par Daïmanu Voir le message
D'après moi, cette problématique est liée à une autre question : Doit on se diriger vers un permis informatique de la même nature que le permis automobile ?
Jusqu'à preuve du contraire, utiliser un PC, même maladroitement, ne met pas la vie de l'utilisateur en danger ni celles des personnes qui l'entourent

Faut arrêter le délire sur des permis ceci et permis cela
Les gens responsables se forment et les autres assument et puis c'est tout
Faut arrêter l'assistanat à tout va
Avatar de Squisqui Squisqui - En attente de confirmation mail https://www.developpez.com
le 03/04/2015 à 19:50
D'un point de vue particulier, travailler avec un compte restreint rend la plupart des malwares inefficaces (ceux ne faisant pas appel à un exploit pour s'accorder une élévation de privilège). Dans la pratique, les droits administrateurs ne sont nécessaires que le temps de configurer son OS et installer des softs qui ne se contentent pas que de tenir dans %localAppData%. Une fois ces étapes réalisées, une élévation de privilège n'est nécessaire qu'une fois par mois pour le patch Tuesday et encore... On peut l'automatiser et ne jamais en avoir besoin.

Citation Envoyé par Saverok Voir le message
Les gens responsables se forment et les autres assument et puis c'est tout
Faut arrêter l'assistanat à tout va
C'est justement pour protéger les utilisateurs d'eux-mêmes que des restrictions doivent être mises en place. Dans ma boîte (non IT), les PCs à problèmes sont ceux et uniquement ceux dont l'utilisateur a les droits d'administrateurs dessus (copinage avec le service informatique).
Alors voilà, lorsqu'il s'agit d'une machine commune. Ça me fait bien chier de voir un Xeon à genoux parce qu'un rigolo avec les droits administrateurs a fait de la merde avant. Je sais parfaitement entretenir un PC sous Windows, mais ça ne m'empêche pas d'avoir un minimum d'humilité envers l'équipe informatique qui essaie d'établir un cadre de travail sain pour tout le monde en acceptant simplement quelques règles simples.
Avatar de RyzenOC RyzenOC - Membre extrêmement actif https://www.developpez.com
le 03/04/2015 à 20:51
Certes, les programmes qui nécessitent des droits admins à l'utilisation sont inexploitables, mais en dehors de ces programmes là tu peux faire ce que tu veux. En particulier N++ dont je sais que tu peux l'installer même sur clé USB, autrement dit indépendamment du système. Si tu ne l'as jamais fait, je te conseille donc de regarder du côté des applications dites portables, et tu devrais trouver tout ton bonheur. Ma recommendation perso :
http://portableapps.com/

Oui mais tes programmes portables ne s'intègre pas au système (pas de menu dans l'explorateur de fichier, pas de variable d'environnement...), je perd pas mal de confort.

Et un utilisateur lambda n'a pas à être un expert non plus. Si pour utiliser la moindre chose il fallait être un expert, on ne ferait pas grand chose de notre vie. Les PC (Personal Computer), a contrario des serveurs, sont fait pour être utilisés par le grand public, ce qui implique de cacher les détails de fonctionnement en simplifiant les interactions. Tu ne peux pas reprocher à un utilisateur de ne pas être un connaisseur. Et c'est une remarque générale : ne pas savoir est normal, c'est pour ça qu'on apprend, mais ce n'est pas parce que tu sais que tout le monde doit savoir. On appelle ça du dénigrement.
Une voiture c'est comme un pc, mal utilisé tu peu "blesser" (dans les sens infecter) d'autre utilisateurs, aujourd'hui on ne peut comparer un pc avec un frigo, un pc c'est une part non négligeable de ta vie (que fais tu aujourd'hui sans un pc ? pas grand chose...), un utilisateur qui a télécharger le dernier jeu X avec le crack et le fou sur le réseau ou qui clique sur les pop-up "votre pc est infecter" ou sur "télécharger gratuitement", ce genre de comportement ne devrait jamais arriver, sa montre que ces utilisateur sont des abruti (a moins d'avoir moins de 12ans ou aucune expérience même bureautique avec un ordinateur) qui ne réfléchisse jamais.

1 - Windows tu peux pas tout faire même avec les droits admins (mais je te rassure, Linux non plus), mais à ce niveau là on joue sur les mots
Qu'es ce que tu ne peut pas faire ? (a part recompiler le noyaux, paint et IE) ?, j'arrive a supprimer dans fichiers syteme, comme hal.dll par exemple sous windows8.

2 - Linux ne te demande pas un mot de passe pour chaque commande, seulement celles requérant les droits root, et si tu es capable de le fournir une fois, alors tu es capable de passer en root pour ne plus être embêté. De plus, depuis un certain temps il sait gérer la mise en cache : il te le demande une fois et ne te le redemande pas avant 5min ou quelque chose du genre, donc même plus besoin de passer root, qui est déconseillé pour des raisons de sécurité. Il serait temps de te mettre à jour.
C'est vrai, j'ai été de mauvaise fois, faut dire que quand j'utilise Linux c'est pas vraiment pour démarrer libre office, mais plutôt pour configurer/administrer des serveurs.

3 - Si tu ne comprends pas que qualifier un logiciel de fiable n'est pas du ressort d'un utilisateur lambda et qu'une mise à jour peut mal tourner, impliquant des actions plus drastiques et heureusement limitées à un administrateur, alors c'est normal que tu ne comprennes pas pourquoi on te demande un mot de passe. Mais ça ne fait que confirmer ton statut d'utilisateur
Les maj qui plante le système c'est très rare, je parle d'un particulier, en entreprises c'est différent je te l'accorde.
Un logiciel "fiable" c'est un programme qui a été télécharger depuis le site de l'éditeur, et qui n'a pas comme réputation de faire chier le monde, mais qui rend un service précis.
Un logiciel fiable par exemple VirtualBox, Filezilla, Firefox..., ce sont des logiciels éprouvé qui ne contienne pas de malware.

J'ai scanner complètement la semaine dernière mon pc avec Kaspersky et Nod32 (avec la License de ma boite...), aucun virus détecter chez les 2.
Donc oui j'ai peut être un virus, mais en tous cas il n'est pas encore été découvert.
Contacter le responsable de la rubrique Accueil