La suppression des droits admin pourrait limiter l'impact de 97% des vulnérabilités critiques des produits Microsoft
Selon Avecto

Le , par Michael Guilloux

21PARTAGES

3  1 
La question des privilèges accordés aux utilisateurs a souvent suscité des interrogations au sein des organisations. D’un côté, les administrateurs système et réseau et autres responsables IT veulent limiter les droits accordés aux utilisateurs, qui sont souvent accusés d’ouvrir la porte qui permet aux menaces de s’inviter dans les systèmes informatiques. Et de l’autre côté, les utilisateurs des outils et matériels informatiques qui se sentent limités dans leurs actions à cause des différentes restrictions.

Que les restrictions imposées par les administrateurs soient sévères ou non, elles semblent toutefois justifiées. En effet, une analyse des bulletins de sécurité « Patch Tuesday » de Microsoft, au cours de l’année 2014, a révélé que 97 % des vulnérabilités critiques des produits de Microsoft auraient pu être atténuées par la suppression des droits d'administrateur. L’étude a été menée par le cabinet de sécurité Avecto basé au Royaume-Uni.

Pour son analyse, Avecto a compilé tous les bulletins de sécurité pour l’année 2014, que Microsoft émet le deuxième mardi de chaque mois. Chaque bulletin contient des correctifs pour les vulnérabilités des produits Microsoft qui ont été découvertes depuis le bulletin précédent.

Dans chaque rapport, une vulnérabilité est classée comme pouvant être atténuée par la suppression des droits d'administrateur si dans la note sur la vulnérabilité, se trouve la phrase « les clients/utilisateurs dont les comptes sont configurés avec peu de privilèges utilisateurs sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur ». C’est à partir de cet indice que le cabinet de sécurité a pu recenser les vulnérabilités pouvant être atténuées par la suppression des droits d'administrateur, pour faire son analyse.

En 2013, le même rapport a révélé un total de 147 vulnérabilités critiques où 92 % auraient pu être atténuées par la suppression des droits d'administrateur. Pour 2014, les résultats confirment également la même tendance pour une augmentation année sur année de 63 % dans le nombre total de vulnérabilités critiques.

L’analyse des vulnérabilités signalées par produit Microsoft a révélé que pour Windows, 300 vulnérabilités ont été signalées et 78 % d’entre elles étaient classées critiques. Parmi ces vulnérabilités critiques, 98 % auraient pu être atténuées par la suppression des droits d'administrateur. Tous les OS Windows depuis XP jusqu’à Windows 8 sont inclus.


Chez Office, la suppression des droits administrateur aurait permis d’atténuer 95 % des vulnérabilités rapportées et 100 % des vulnérabilités critiques. Office a enregistré 20 vulnérabilités en 2014, et toutes les versions sont prises en compte depuis Office 2003 à 2013.


Chez Internet Explorer, les tendances sont les mêmes pour les versions 6 à 11. Pour un total de 245 vulnérabilités rapportées, 99,5 % d’entre elles pourraient être atténuées par la suppression des droits admin.


En se déplaçant vers Windows Server, les résultats sont restés inchangés pour Windows Server 2003, 2008 et 2012. Sur les 304 vulnérabilités Windows Server qui ont été signalées dans les bulletins de sécurité de Microsoft, 233 ont été notées critiques et 98 % d’entre elles se sont révélées comme pouvant être atténuées par la suppression des droits administrateur.


L’analyse par impact des vulnérabilités reportées confirme également que la suppression des droits admin pourrait limiter la vulnérabilité des produits Microsoft.
Les vulnérabilités d'exécution de code à distance ont fortement dominé les vulnérabilités reportées en 2014, et 93 % d’entre elles ont été classées critiques. Parmi ces vulnérabilités critiques, on note encore que 97 % auraient pu être atténuées par la suppression des droits d'administrateur.


En somme, l’analyse d’Avecto montre que la suppression des droits d'administrateur aurait non seulement permis de limiter l’impact des vulnérabilités critiques, mais également celui des vulnérabilités des produits Microsoft en général. Cela s’explique par le fait que les comptes d'utilisateurs avec des privilèges d'administrateur sont les principales cibles à des fins d'exploitation par des logiciels malveillants, car ils fournissent un accès sans restriction à un terminal, a dit Paul Kenyon, vice-président d’Avecto.

Il semble donc logique que les entreprises adoptent cette pratique, mais ce n’est pas le cas comme le souligne Kenyon. « La suppression des droits d'administration s'avère une stratégie simple et efficace d'atténuation de la menace - et pourtant, de nombreuses entreprises passent encore sur cette pratique fondamentale », a-t-il dit.

Source : Microsoft Vulnerabilities Report 2014 (pdf)

Et vous ?

Que pensez-vous de l’analyse d’Avecto ?

Pourquoi certaines entreprises ne retirent-elles pas les privilèges d'administrateur aux utilisateurs ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 03/04/2015 à 16:54
Citation Envoyé par sazearte Voir le message
Question: On fait quoi sans les droits d'admin ?
Tout ce qu'on veut tant que ça ne touche pas au système lui-même. Ce qui inclus d'installer des programmes dans un dossier perso (plutôt que dans Program Files). Il est d'ailleurs commun de voir des étudiants installer les programmes qu'ils veulent sur les PC scolaires qui sont bridés jusqu'à la moëlle : suffit de l'installer sur le bureau.

Citation Envoyé par sazearte Voir le message
Exemple ce matin, j'ai du travailler sur un nouveau pc en entreprise, heureusement que j'ai les droits pour installer tous et n'importe quoi, sinon j'aurais pas pu installer Python ni notepad++, et donc j'aurais du attendre Lundi-Mardi pour travailler.
Certes, les programmes qui nécessitent des droits admins à l'utilisation sont inexploitables, mais en dehors de ces programmes là tu peux faire ce que tu veux. En particulier N++ dont je sais que tu peux l'installer même sur clé USB, autrement dit indépendamment du système. Si tu ne l'as jamais fait, je te conseille donc de regarder du côté des applications dites portables, et tu devrais trouver tout ton bonheur. Ma recommendation perso :
http://portableapps.com/

Si vraiment tu ne savais pas, je pense que tu vas être heureux de le savoir et je ne peux que te conseiller de le mettre dans tes favoris.

Citation Envoyé par sazearte Voir le message
Pour ma part j'ai toujours été en admin, au bureau et chez moi, pourtant mes pc n'a jamais été infecté.
Ce n'est pas parce que tu n'a jamais infecté que personne ne l'a été, donc ne prend pas ton cas pour une référence. Il y a des tas de gens lambda qui se font infecter, même si je me doute que c'est une minorité. Il n'en reste pas moins que c'est une minorité significative, et il est même fort probable qu'il y ait une grosse part de gens qui pensent ne pas être infectés alors qu'ils le sont, toi inclus (un antivirus silencieux et pas de problème apparent ne veut pas dire PC 100% clean).

Citation Envoyé par sazearte Voir le message
Le problème ne viens du droit admin, mais de l'utilisateur qui n'y connait rien.
Et un utilisateur lambda n'a pas à être un expert non plus. Si pour utiliser la moindre chose il fallait être un expert, on ne ferait pas grand chose de notre vie. Les PC (Personal Computer), a contrario des serveurs, sont fait pour être utilisés par le grand public, ce qui implique de cacher les détails de fonctionnement en simplifiant les interactions. Tu ne peux pas reprocher à un utilisateur de ne pas être un connaisseur. Et c'est une remarque générale : ne pas savoir est normal, c'est pour ça qu'on apprend, mais ce n'est pas parce que tu sais que tout le monde doit savoir. On appelle ça du dénigrement.

Citation Envoyé par sazearte Voir le message
Je préfère un système a la windows ou je tous faire, que Linux ou je dois taper mon mots de passe a chaque commande, c'est gonflant a la longue et inutile dans 80% des cas. (Installation d'un logiciel fiable, mise a jour...)
1 - Windows tu peux pas tout faire même avec les droits admins (mais je te rassure, Linux non plus), mais à ce niveau là on joue sur les mots
2 - Linux ne te demande pas un mot de passe pour chaque commande, seulement celles requérant les droits root, et si tu es capable de le fournir une fois, alors tu es capable de passer en root pour ne plus être embêté. De plus, depuis un certain temps il sait gérer la mise en cache : il te le demande une fois et ne te le redemande pas avant 5min ou quelque chose du genre, donc même plus besoin de passer root, qui est déconseillé pour des raisons de sécurité. Il serait temps de te mettre à jour.
3 - Si tu ne comprends pas que qualifier un logiciel de fiable n'est pas du ressort d'un utilisateur lambda et qu'une mise à jour peut mal tourner, impliquant des actions plus drastiques et heureusement limitées à un administrateur, alors c'est normal que tu ne comprennes pas pourquoi on te demande un mot de passe. Mais ça ne fait que confirmer ton statut d'utilisateur lambda.

En bref, tu as ton avis et ton expérience, mais tu parles visiblement sans considérer autre chose que le côté pratique, ce qui est typique d'un utilisateur lambda qui se fera (peut-être) avoir un jour sans comprendre pourquoi. En sécurité, c'est pas le jour où on fait une connerie qu'il faut se demander comment faire pour l'éviter.
2  2 
Avatar de Daïmanu
Membre chevronné https://www.developpez.com
Le 03/04/2015 à 11:59
Pourquoi certaines entreprises ne retirent-elles pas les privilèges d'administrateur aux utilisateurs ?
Parce que la politique de tout autoriser est nettement plus rapide et simple à appréhender que de tout bloquer puis autoriser au compte-goutte. Et il y a l’éternel problème du manque de budget mais surtout de temps.

Mais les PC personnels ne sont pas en reste AMHA.

Tous ces chiffres juste disent que les malwares profitent pleinement de la non connaissance des utilisateurs dans l'informatique.
Une solution simple serait de limiter par défaut l'ajout des droits admin lors de l'installation / l'achat d'un PC. Mais il faudrait alors enseigner aux utilisateurs lambda et en entreprise comment gérer deux comptes avec des droits différents, comment installer des softwares, pourquoi certaines actions sont limitées, etc…

D'après moi, cette problématique est liée à une autre question : Doit on se diriger vers un permis informatique de la même nature que le permis automobile ?
1  1 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 03/04/2015 à 16:04
Question: On fait quoi sans les droits d'admin ?

Exemple ce matin, j'ai du travailler sur un nouveau pc en entreprise, heureusement que j'ai les droits pour installer tous et n'importe quoi, sinon j'aurais pas pu installer Python ni notepad++, et donc j'aurais du attendre Lundi-Mardi pour travailler.

Pour ma part j'ai toujours été en admin, au bureau et chez moi, pourtant mes pc n'a jamais été infecté.

Le problème ne viens du droit admin, mais de l'utilisateur qui n'y connait rien.

Je préfère un système a la windows ou je tous faire, que Linux ou je dois taper mon mots de passe a chaque commande, c'est gonflant a la longue et inutile dans 80% des cas. (Installation d'un logiciel fiable, mise a jour...)
1  2 
Avatar de JML19
Expert éminent sénior https://www.developpez.com
Le 03/04/2015 à 16:33
Bonjour

Pendant les 6 premières années, je n'ai créé sur des postes NT4 station que des profils avec le droit d'administrateur.

Je n'ai eu aucun problème.

Ensuite à la demande de la direction informatique, j'ai créé des postes en XP qui étaient utilisateurs avec pouvoir, les serveurs étaient sous Unix AIX et sur NT4 serveur.

Tous les postes étaient en domaine NT.

On a eu des virus comme le ver Blaster et j'ai beaucoup marché.

Au départ seul les utilisateurs pouvaient me poser des problèmes.

Ensuite c'était le réseau Intranet (WAN SNCF) qui c'est trouvé connecté à Internet et là les ennuis sont arrivés.
1  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 03/04/2015 à 19:50
D'un point de vue particulier, travailler avec un compte restreint rend la plupart des malwares inefficaces (ceux ne faisant pas appel à un exploit pour s'accorder une élévation de privilège). Dans la pratique, les droits administrateurs ne sont nécessaires que le temps de configurer son OS et installer des softs qui ne se contentent pas que de tenir dans %localAppData%. Une fois ces étapes réalisées, une élévation de privilège n'est nécessaire qu'une fois par mois pour le patch Tuesday et encore... On peut l'automatiser et ne jamais en avoir besoin.

Citation Envoyé par Saverok Voir le message
Les gens responsables se forment et les autres assument et puis c'est tout
Faut arrêter l'assistanat à tout va
C'est justement pour protéger les utilisateurs d'eux-mêmes que des restrictions doivent être mises en place. Dans ma boîte (non IT), les PCs à problèmes sont ceux et uniquement ceux dont l'utilisateur a les droits d'administrateurs dessus (copinage avec le service informatique).
Alors voilà, lorsqu'il s'agit d'une machine commune. Ça me fait bien chier de voir un Xeon à genoux parce qu'un rigolo avec les droits administrateurs a fait de la merde avant. Je sais parfaitement entretenir un PC sous Windows, mais ça ne m'empêche pas d'avoir un minimum d'humilité envers l'équipe informatique qui essaie d'établir un cadre de travail sain pour tout le monde en acceptant simplement quelques règles simples.
1  0 
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 04/04/2015 à 19:21
Citation Envoyé par sazearte Voir le message

Un logiciel fiable par exemple VirtualBox, Filezilla, Firefox...,
Raté pour filezilla, il ont basculé du coté obscur de l'adware, pas du malware, mais c'est pas non plus génial. Cette page (par exemple) en parle https://forum.filezilla-project.org/...ic.php?t=31127

Et que dire de java (Oracle tout de même, pas le premier petit développeur dans son garage) qui te propose gentiment d'installer des trucs que personne n'a demandé, faudrait peut être que les éditeurs montrent l'exemple :/

Si on ne peut plus faire confiance à un installeur officiel pour qu'il n'installe que ce qui est nécessaire, ça va devenir compliqué ^^
1  0 
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 05/04/2015 à 11:20
Et depuis quand l'installateur ne fait pas parti du package complet qui comprend pour la plupart installateur et logiciel ? ^^
1  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 05/04/2015 à 22:19
Ça me rappelle les discussions sur l'expertise. Le fait est que c'est bien joli de dire il faut ceci ou il faut cela, mais la pratique n'est pas un doux rêve où il existe des règles de bonnes pratiques pour éviter de se faire avoir. C'est l'inverse : il y a une manière naturelle de faire et ceux qui veulent en profiter font des coups bas. Quand on sait que telle manière de faire est à risque, on en invente une autre, l'idée se propage, à force d'en parler ça fini par faire partie des bonnes pratiques et des habitudes, y compris chez les esprits mal placés qui s'en inspirent pour mettre en place un nouveau type de coup bas qui s'appuie dessus.

La sécurité, c'est un jeu de stratégie : tu gagnes si ta stratégie considère un coup d'avance sur ton adversaire. Et ça n'a rien de trivial comme une liste de règles de bonnes pratiques à appliquer.
1  0 
Avatar de Chuck_Norris
En attente de confirmation mail https://www.developpez.com
Le 09/04/2015 à 17:08
Citation Envoyé par sazearte Voir le message
Si le logiciel et connu et a bonne réputation, (le cas de filezilla), je considère ce logiciel comme "sain".
Ah, dans ce cas tu devrais savoir que le téléchargement recommandé de Filezilla (via Sourceforge) incluait jusqu'à il y a peu un virus en cadeau bonus : http://www.developpez.com/actu/82986...-des-plaintes/
1  0 
Avatar de Excellion
Membre averti https://www.developpez.com
Le 15/04/2015 à 14:09
C'est avant tout un problème de culture d'entreprise.

Combien de fois j'ai eu à faire à "Je suis responsable (directeur-trice...), je dois avoir accès à tout...(ou en tout cas plus que les subordonnés)" (version gentille, qui peut se transformer en convocation, avec lettre recommandée, puis licenciement en cas d'objections réitérées).
Arrivé à un certain niveau, on a tendance à confondre accès informatiques et prérogatives dans l'entreprise.
Plus on a de droits, plus on est important dans l'entreprise.
Oubliant par la même occasion qu'au moindre problème celui-ci se trouve démultiplié par les droits d'accès.

Donner les bons droits à la bonne personne n'existe pas dans les entreprises (françaises).
Des fois, on marque même un air surpris, quand on apprend que vous avez plus de droits que le PDG.
Vous êtes en sous-ordre avec une dénomination de poste miteuse.
Impossible que vous soyez aussi important !

Par ailleurs, il existe des logiciels, quasi-artisanaux, qui nécessitent clairement des droits d'administration élevés pour fonctionner.
Soit on met l'utilisateur admin de sa machine, soit il se passe de ses logiciels pour travailler.
Ce qui peut poser un sérieux cas de conscience, des heures de négociations, et de sérieuses migraines en perspectives pour ouvrir les droits adéquats.
Et bien sûr ce logiciel est le logiciel fétiche de la personne qui en a A-BSO-LU-MENT besoin pour travailler (et les concurrents sont évidemment tous moins bien).

En clair, ce qui est dit est sûrement vrai, mais de là à l'appliquer en entreprise, il existe une marge infranchissable...
1  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web