Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La suppression des droits admin pourrait limiter l'impact de 97% des vulnérabilités critiques des produits Microsoft
Selon Avecto

Le , par Michael Guilloux

44PARTAGES

3  1 
La question des privilèges accordés aux utilisateurs a souvent suscité des interrogations au sein des organisations. D’un côté, les administrateurs système et réseau et autres responsables IT veulent limiter les droits accordés aux utilisateurs, qui sont souvent accusés d’ouvrir la porte qui permet aux menaces de s’inviter dans les systèmes informatiques. Et de l’autre côté, les utilisateurs des outils et matériels informatiques qui se sentent limités dans leurs actions à cause des différentes restrictions.

Que les restrictions imposées par les administrateurs soient sévères ou non, elles semblent toutefois justifiées. En effet, une analyse des bulletins de sécurité « Patch Tuesday » de Microsoft, au cours de l’année 2014, a révélé que 97 % des vulnérabilités critiques des produits de Microsoft auraient pu être atténuées par la suppression des droits d'administrateur. L’étude a été menée par le cabinet de sécurité Avecto basé au Royaume-Uni.

Pour son analyse, Avecto a compilé tous les bulletins de sécurité pour l’année 2014, que Microsoft émet le deuxième mardi de chaque mois. Chaque bulletin contient des correctifs pour les vulnérabilités des produits Microsoft qui ont été découvertes depuis le bulletin précédent.

Dans chaque rapport, une vulnérabilité est classée comme pouvant être atténuée par la suppression des droits d'administrateur si dans la note sur la vulnérabilité, se trouve la phrase « les clients/utilisateurs dont les comptes sont configurés avec peu de privilèges utilisateurs sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur ». C’est à partir de cet indice que le cabinet de sécurité a pu recenser les vulnérabilités pouvant être atténuées par la suppression des droits d'administrateur, pour faire son analyse.

En 2013, le même rapport a révélé un total de 147 vulnérabilités critiques où 92 % auraient pu être atténuées par la suppression des droits d'administrateur. Pour 2014, les résultats confirment également la même tendance pour une augmentation année sur année de 63 % dans le nombre total de vulnérabilités critiques.

L’analyse des vulnérabilités signalées par produit Microsoft a révélé que pour Windows, 300 vulnérabilités ont été signalées et 78 % d’entre elles étaient classées critiques. Parmi ces vulnérabilités critiques, 98 % auraient pu être atténuées par la suppression des droits d'administrateur. Tous les OS Windows depuis XP jusqu’à Windows 8 sont inclus.


Chez Office, la suppression des droits administrateur aurait permis d’atténuer 95 % des vulnérabilités rapportées et 100 % des vulnérabilités critiques. Office a enregistré 20 vulnérabilités en 2014, et toutes les versions sont prises en compte depuis Office 2003 à 2013.


Chez Internet Explorer, les tendances sont les mêmes pour les versions 6 à 11. Pour un total de 245 vulnérabilités rapportées, 99,5 % d’entre elles pourraient être atténuées par la suppression des droits admin.


En se déplaçant vers Windows Server, les résultats sont restés inchangés pour Windows Server 2003, 2008 et 2012. Sur les 304 vulnérabilités Windows Server qui ont été signalées dans les bulletins de sécurité de Microsoft, 233 ont été notées critiques et 98 % d’entre elles se sont révélées comme pouvant être atténuées par la suppression des droits administrateur.


L’analyse par impact des vulnérabilités reportées confirme également que la suppression des droits admin pourrait limiter la vulnérabilité des produits Microsoft.
Les vulnérabilités d'exécution de code à distance ont fortement dominé les vulnérabilités reportées en 2014, et 93 % d’entre elles ont été classées critiques. Parmi ces vulnérabilités critiques, on note encore que 97 % auraient pu être atténuées par la suppression des droits d'administrateur.


En somme, l’analyse d’Avecto montre que la suppression des droits d'administrateur aurait non seulement permis de limiter l’impact des vulnérabilités critiques, mais également celui des vulnérabilités des produits Microsoft en général. Cela s’explique par le fait que les comptes d'utilisateurs avec des privilèges d'administrateur sont les principales cibles à des fins d'exploitation par des logiciels malveillants, car ils fournissent un accès sans restriction à un terminal, a dit Paul Kenyon, vice-président d’Avecto.

Il semble donc logique que les entreprises adoptent cette pratique, mais ce n’est pas le cas comme le souligne Kenyon. « La suppression des droits d'administration s'avère une stratégie simple et efficace d'atténuation de la menace - et pourtant, de nombreuses entreprises passent encore sur cette pratique fondamentale », a-t-il dit.

Source : Microsoft Vulnerabilities Report 2014 (pdf)

Et vous ?

Que pensez-vous de l’analyse d’Avecto ?

Pourquoi certaines entreprises ne retirent-elles pas les privilèges d'administrateur aux utilisateurs ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de JML19
Expert éminent sénior https://www.developpez.com
Le 03/04/2015 à 16:33
Bonjour

Pendant les 6 premières années, je n'ai créé sur des postes NT4 station que des profils avec le droit d'administrateur.

Je n'ai eu aucun problème.

Ensuite à la demande de la direction informatique, j'ai créé des postes en XP qui étaient utilisateurs avec pouvoir, les serveurs étaient sous Unix AIX et sur NT4 serveur.

Tous les postes étaient en domaine NT.

On a eu des virus comme le ver Blaster et j'ai beaucoup marché.

Au départ seul les utilisateurs pouvaient me poser des problèmes.

Ensuite c'était le réseau Intranet (WAN SNCF) qui c'est trouvé connecté à Internet et là les ennuis sont arrivés.
1  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 03/04/2015 à 19:50
D'un point de vue particulier, travailler avec un compte restreint rend la plupart des malwares inefficaces (ceux ne faisant pas appel à un exploit pour s'accorder une élévation de privilège). Dans la pratique, les droits administrateurs ne sont nécessaires que le temps de configurer son OS et installer des softs qui ne se contentent pas que de tenir dans %localAppData%. Une fois ces étapes réalisées, une élévation de privilège n'est nécessaire qu'une fois par mois pour le patch Tuesday et encore... On peut l'automatiser et ne jamais en avoir besoin.

Citation Envoyé par Saverok Voir le message
Les gens responsables se forment et les autres assument et puis c'est tout
Faut arrêter l'assistanat à tout va
C'est justement pour protéger les utilisateurs d'eux-mêmes que des restrictions doivent être mises en place. Dans ma boîte (non IT), les PCs à problèmes sont ceux et uniquement ceux dont l'utilisateur a les droits d'administrateurs dessus (copinage avec le service informatique).
Alors voilà, lorsqu'il s'agit d'une machine commune. Ça me fait bien chier de voir un Xeon à genoux parce qu'un rigolo avec les droits administrateurs a fait de la merde avant. Je sais parfaitement entretenir un PC sous Windows, mais ça ne m'empêche pas d'avoir un minimum d'humilité envers l'équipe informatique qui essaie d'établir un cadre de travail sain pour tout le monde en acceptant simplement quelques règles simples.
1  0 
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 04/04/2015 à 19:21
Citation Envoyé par sazearte Voir le message

Un logiciel fiable par exemple VirtualBox, Filezilla, Firefox...,
Raté pour filezilla, il ont basculé du coté obscur de l'adware, pas du malware, mais c'est pas non plus génial. Cette page (par exemple) en parle https://forum.filezilla-project.org/...ic.php?t=31127

Et que dire de java (Oracle tout de même, pas le premier petit développeur dans son garage) qui te propose gentiment d'installer des trucs que personne n'a demandé, faudrait peut être que les éditeurs montrent l'exemple :/

Si on ne peut plus faire confiance à un installeur officiel pour qu'il n'installe que ce qui est nécessaire, ça va devenir compliqué ^^
1  0 
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 05/04/2015 à 11:20
Et depuis quand l'installateur ne fait pas parti du package complet qui comprend pour la plupart installateur et logiciel ? ^^
1  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 05/04/2015 à 22:19
Ça me rappelle les discussions sur l'expertise. Le fait est que c'est bien joli de dire il faut ceci ou il faut cela, mais la pratique n'est pas un doux rêve où il existe des règles de bonnes pratiques pour éviter de se faire avoir. C'est l'inverse : il y a une manière naturelle de faire et ceux qui veulent en profiter font des coups bas. Quand on sait que telle manière de faire est à risque, on en invente une autre, l'idée se propage, à force d'en parler ça fini par faire partie des bonnes pratiques et des habitudes, y compris chez les esprits mal placés qui s'en inspirent pour mettre en place un nouveau type de coup bas qui s'appuie dessus.

La sécurité, c'est un jeu de stratégie : tu gagnes si ta stratégie considère un coup d'avance sur ton adversaire. Et ça n'a rien de trivial comme une liste de règles de bonnes pratiques à appliquer.
1  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 09/04/2015 à 17:08
Citation Envoyé par sazearte Voir le message
Si le logiciel et connu et a bonne réputation, (le cas de filezilla), je considère ce logiciel comme "sain".
Ah, dans ce cas tu devrais savoir que le téléchargement recommandé de Filezilla (via Sourceforge) incluait jusqu'à il y a peu un virus en cadeau bonus : http://www.developpez.com/actu/82986...-des-plaintes/
1  0 
Avatar de Excellion
Membre averti https://www.developpez.com
Le 15/04/2015 à 14:09
C'est avant tout un problème de culture d'entreprise.

Combien de fois j'ai eu à faire à "Je suis responsable (directeur-trice...), je dois avoir accès à tout...(ou en tout cas plus que les subordonnés)" (version gentille, qui peut se transformer en convocation, avec lettre recommandée, puis licenciement en cas d'objections réitérées).
Arrivé à un certain niveau, on a tendance à confondre accès informatiques et prérogatives dans l'entreprise.
Plus on a de droits, plus on est important dans l'entreprise.
Oubliant par la même occasion qu'au moindre problème celui-ci se trouve démultiplié par les droits d'accès.

Donner les bons droits à la bonne personne n'existe pas dans les entreprises (françaises).
Des fois, on marque même un air surpris, quand on apprend que vous avez plus de droits que le PDG.
Vous êtes en sous-ordre avec une dénomination de poste miteuse.
Impossible que vous soyez aussi important !

Par ailleurs, il existe des logiciels, quasi-artisanaux, qui nécessitent clairement des droits d'administration élevés pour fonctionner.
Soit on met l'utilisateur admin de sa machine, soit il se passe de ses logiciels pour travailler.
Ce qui peut poser un sérieux cas de conscience, des heures de négociations, et de sérieuses migraines en perspectives pour ouvrir les droits adéquats.
Et bien sûr ce logiciel est le logiciel fétiche de la personne qui en a A-BSO-LU-MENT besoin pour travailler (et les concurrents sont évidemment tous moins bien).

En clair, ce qui est dit est sûrement vrai, mais de là à l'appliquer en entreprise, il existe une marge infranchissable...
1  0 
Avatar de ec
Membre averti https://www.developpez.com
Le 13/05/2015 à 11:35
Je suis indépendant et cela fait belle lurette que je travaille systématiquement dans un compte standard. Quand j'ai besoin de faire une opération qui exige le droit d'admin, soit je tape le mot de passe demandé, soit j'ouvre l'utilisateur admin. C'est une sécurité que j'ai adoptée et je m'en porte très bien.

Il serait beaucoup plus sûr pour les entreprises dont les utilisateurs sont en admin de les mettre tous en utilisateur standard et de leur donner le mot de passe admin de leur poste. En plus il réfléchiraient un peu plus avant de saisir le mot de passe admin plutôt que de cliquer si facilement sur OK à la moindre demande d'autorisation.
1  0 
Avatar de Daïmanu
Membre chevronné https://www.developpez.com
Le 03/04/2015 à 11:59
Pourquoi certaines entreprises ne retirent-elles pas les privilèges d'administrateur aux utilisateurs ?
Parce que la politique de tout autoriser est nettement plus rapide et simple à appréhender que de tout bloquer puis autoriser au compte-goutte. Et il y a l’éternel problème du manque de budget mais surtout de temps.

Mais les PC personnels ne sont pas en reste AMHA.

Tous ces chiffres juste disent que les malwares profitent pleinement de la non connaissance des utilisateurs dans l'informatique.
Une solution simple serait de limiter par défaut l'ajout des droits admin lors de l'installation / l'achat d'un PC. Mais il faudrait alors enseigner aux utilisateurs lambda et en entreprise comment gérer deux comptes avec des droits différents, comment installer des softwares, pourquoi certaines actions sont limitées, etc…

D'après moi, cette problématique est liée à une autre question : Doit on se diriger vers un permis informatique de la même nature que le permis automobile ?
1  1 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 03/04/2015 à 15:28
Citation Envoyé par Michael Guilloux Voir le message
une analyse des bulletins de sécurité « Patch Tuesday » de Microsoft, au cours de l’année 2014, a révélé que 97 % des vulnérabilités critiques des produits de Microsoft auraient pu être atténuées par la suppression des droits d'administrateur.
Mais atténuer n'est pas éviter. Atténué à quel point ? Si l'attaquant a pu supprimer des tas de fichiers, et que retirer les droits admins aurait permis de garder quelques fichiers systèmes tout en perdant des tonnes de fichiers critiques appartenant à l'utilisateur, le retrait des droits admin ne serait pas significatif. Et par extension, si parmis ces 97%, seulement 1%-5% seraient significativement atténués, ça serait difficile de justifier un tel retrait vu le manque de rentabilité. Alors, comment cet impact est-il mesuré ?

Citation Envoyé par Michael Guilloux Voir le message
Dans chaque rapport, une vulnérabilité est classée comme pouvant être atténuée par la suppression des droits d'administrateur si dans la note sur la vulnérabilité, se trouve la phrase « les clients/utilisateurs dont les comptes sont configurés avec peu de privilèges utilisateurs sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur ».
Ah... donc on n'en sait rien et on se base sur des "il a dit que" sans même une analyse technique. Super l'étude. {-_-}
0  0