Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’indispensable gestion des comptes de service

août 2018 par William Culbert, Directeur Commercial Europe du Sud de Bomgar

Souvent, les gens à qui je parle de la gestion des identités privilégiées pensent en
premier lieu à la gestion des comptes locaux. Je leur explique alors que cela va
bien au-delà : la gestion des identités privilégiées inclut la gestion des comptes
privilégiés, mais aussi les emplacements où ils sont utilisés. Cela suppose de
localiser chaque compte, de savoir où, pourquoi et comment les comptes sont utilisés
et de savoir modifier l’ensemble de leurs identifiants – le tout sans provoquer de
bugs et d’interruptions des opérations.

De nombreux serveurs utilisent des comptes locaux, comme root sous Linux et
administrator sous Windows, afin de faire tourner les applications persistantes,
qu’un opérateur se connecte à la machine ou pas. Un site web est ainsi un bon
exemple d’une application persistante. De même qu’une base de données ou une autre
application métier interne.

C’est là qu’interviennent les comptes de service. Les applications persistantes en
ont besoin pour effectuer des actions pour le compte des utilisateurs de
l’application. Dans les faits, ces comptes sont des proxies qui effectuent des
actions limitées pour les utilisateurs n’ayant pas accès aux données et systèmes
sensibles.

Dans de nombreux cas, la mécanique de ces comptes de service fait qu’un compte doit
être connu et vérifiable par l’application, mais aussi par tout ce avec quoi
l’application interagit. Par conséquent, le compte de service est généralement un
domaine Windows puissant, Kerberos, LDAP ou un identifiant d’accès à une base de
données.

Changer régulièrement les identifiants des comptes de service

Les applications utilisant des comptes de service doivent conserver une copie des
identifiants nécessaires pour réaliser leurs actions. Ces identifiants sont
généralement chiffrés ou obfusqués. Mais ils doivent être disponibles à la demande
de l’application ou du service.

De par sa structure, chaque changement de mot de passe d’un super-utilisateur doit
donc se faire non seulement dans le système d’authentification (ex. Active
Directory), mais aussi dans chaque service/application qui stocke le mot de passe
pour ce même identifiant. Il faut non seulement mettre à jour l’authentifiant, mais
aussi toutes les références. La mise à jour de tous les emplacements où un compte de
service est stocké s’appelle la propagation.

Pourquoi les comptes de service peuvent gêner les équipes IT

Pour réussir à changer le mot de passe d’un compte, il faut le changer là où il est
stocké, mais aussi partout où il est fait référence à ce compte. Si on omet un
endroit où un mot de passe est stocké, le mauvais mot de passe sera utilisé et le
service ne fonctionnera pas correctement. Dans certains cas, l’utilisation d’un mot
de passe incorrect par un service peut amener le système d’exploitation à penser que
le compte est attaqué et à le bloquer. Ce dernier scénario signifie que tout service
qui utilisera ce compte bloqué échouera également.

Le premier challenge en matière de gestion des comptes de service concerne la
découverte et la corrélation. Ceci suppose de comprendre quels identifiants sont
présents dans les systèmes et où ils sont utilisés. Le second challenge est celui de
la propagation : comprendre comment changer les références à ces identifiants sans
n’en manquer aucune.

La solution pour une gestion efficace et automatisée des comptes de service

Si changer régulièrement les identifiants engendre systématiquement des problèmes
parce que ces changements provoquent des pannes, il ne faut pas perdre espoir. Il
existe des solutions, même s’il y en a peu, pour automatiser la gestion des comptes
de service et ainsi faire gagner du temps aux équipes IT et éliminer les
interruptions.

Ces solutions analyseront automatiquement les comptes de service et l’endroit où ils
se trouvent, et injecteront automatiquement de nouveaux mots de passe sur l’ensemble
des instances sans que cela n’impacte les processus.

Dans les grandes et très grandes entreprises ayant plusieurs milliers de comptes de
service, automatiser ces opérations à grande échelle génère des gains de temps et de
ressources considérables puisque ce type de solutions se substitue à leur gestion et
à leur maintenance manuelle, sans interaction humaine.


Voir les articles précédents

    

Voir les articles suivants