Incidences des comptes superutilisateurs sur la sécurité
S’ils sont mal utilisés, soit par erreur (ex. supprimer par inadvertance un fichier important ou taper par erreur une commande puissante), ou avec une intention malveillante, les comptes superutilisateurs peuvent infliger des dommages catastrophiques à un système/une organisation.
Alors que la plupart des technologies de sécurité sont développées pour protéger le périmètre, les superutilisateurs sont déjà à l’intérieur. Les superutilisateurs peuvent être en mesure de modifier les configurations des pare-feu, de créer des portes dérobées et de passer outre les paramètres de sécurité, tout en effaçant les traces de leur activité.
Les politiques et les contrôles inadéquats autour du provisionnement, de la ségrégation et de la surveillance des superutilisateurs augmentent encore les risques. Les administrateurs de bases de données, les ingénieurs réseau et les développeurs d’applications se voient fréquemment accorder un accès complet au superutilisateur. Les utilisateurs partagent souvent les comptes superutilisateurs entre eux, ce qui brouille la piste d’audit. Dans le cas des PC Windows, les utilisateurs se connectent souvent avec des privilèges de compte administratif – bien plus larges que ce qui est nécessaire.
Dans l’une des histoires les plus notoires d’un initié véreux, Edward Snowden, un contractuel informatique pour la NSA, a abusé de ses privilèges de superutilisateur pour accéder, copier et divulguer plus d’un million de fichiers hautement sensibles de la NSA. À la suite de ce scandale, la NSA a ciblé 90 % de ses administrateurs système pour les éliminer, afin de mieux établir un modèle de sécurité à moindre privilège.
Les pirates convoitent les comptes superutilisateurs sachant qu’une fois qu’ils les assument, ils deviennent essentiellement des initiés hautement privilégiés. En outre, les logiciels malveillants qui infectent un compte de superutilisateur, peuvent exploiter les mêmes droits de privilège de ce compte pour causer des dommages et voler des données.