William Culbert, directeur EMEA Sud de BeyondTrust, invite les CISO et professionnels de la sécurité parmi nos lecteurs « à rechercher proactivement les comptes de service aux 4 coins de leurs réseaux. Ce ne sont pas les comptes connus qui posent le plus de problèmes, ce sont ceux dont on ignore l’existence. Et tout compte lié à un accès privilégié peut potentiellement ouvrir une porte dérobée sur des aspects sensibles de l’environnement. »
Dans sa forme la plus simple, un compte de service est utilisé en remplacement d’un compte humain. Les comptes de service ont des rôles spécialisés et des types d’accès différents. Il existe une infinité de cas d’utilisation parmi lesquels l’exécution de services, les tâches programmées, les applications, les processus, l’automatisation et les scripts.
La gestion des comptes de service peut apparaître laborieuse. Les meilleures pratiques supposent avant tout de réaliser constamment des audits du SI pour identifier tous les comptes de service et de savoir à tout moment où et comment les comptes sont utilisés. Certains peuvent être en place depuis des décennies et ne pas bénéficier des process mis en place pour les nouveaux comptes de service. J’invite systématiquement les CISO et professionnels de la sécurité à rechercher proactivement les comptes de service aux 4 coins de leurs réseaux. Ce ne sont pas les comptes connus qui posent le plus de problèmes, ce sont ceux dont on ignore l’existence. Et tout compte lié à un accès privilégié peut potentiellement ouvrir une porte dérobée sur des aspects sensibles de l’environnement.
Comptes de service et privilèges
Il existe de multiples applications et conditions d’utilisation des comptes de service, depuis la forme la plus basique, d’exécution d’une tâche programmée ou d’un service, jusqu’aux formes plus complexes, applications, intégrations, bases de données et scripts. Chaque fois, il faut définir une forme de privilège dans l’environnement, localement sur le serveur, dans l’application voire dans le domaine pour que les opérations se déroulent avec fluidité et sans interruption. Savoir où et quand un compte de service est utilisé est donc primordial pour la sécurité.
Il est fréquent que les comptes de service résident dans Active Directory. Dans le cas contraire, il est difficile de savoir dans le détail comment et où les comptes sont utilisés. Certains diront qu’ils ont un process documenté à ce sujet, mais je crois que nous serons tous d’accord que la documentation, même mise à jour, pose systématiquement problème un jour ou l’autre. Dans les grandes entreprises, ce sont des centaines voire des milliers de comptes de service pour lesquels il faut rationaliser le suivi, le reporting, la gestion, les privilèges et les capacités d’audit pour en suivre tout le cycle de vie.
Conditions d’escalade des privilèges et suppression des droits admin
L’accès à distance demeure le vecteur d’attaque n°1 des cybercriminels. Bien sûr, la pandémie et la généralisation du télétravail ne font qu’accentuer la tendance. De plus, 80% des compromissions[1] consistent en une utilisation abusive ou détournée des identifiants privilégiés.
Les cybercriminels savent très bien que les entreprises peinent à bien gérer leurs comptes de service surtout dans le contexte de la multiplication excessive des privilèges et des droits. Ils savent aussi que les comptes de service sont souvent configurés pour être ajoutés au groupe « Domain Admins » faute de contrôle d’accès basé sur le rôle (RBAC, role-based access control) ou de modèle de délégation de droits à la source.
Il suffit donc aux auteurs de cybermenaces de s’emparer du compte de service pour installer des malwares, des ransomwares ou des virus espions. Ils peuvent ensuite progresser latéralement dans l’environnement, sonder des systèmes, installer des logiciels et supprimer des comptes ou des données, sans aucune restriction. Aussi, il est moins question de se demander « si » on va être compromis que « quand » !
Il est essentiel d’accorder suffisamment de temps et d’attention à aux comptes de service de l’entreprise et à leur possible impact négatif sur l’organisation s’ils venaient à être exploités. L’identification et la gestion des comptes de service, de même que les efforts de limitation des droits et des privilèges constituent une pratique de sécurité à ne surtout pas négliger.
