Huit lacunes dans les contrôles de connexion Windows

Windows possède plus de fonctionnalités sécuritaires que la plupart des autres systèmes d'exploitation, mais est bizarrement démuni des contrôles de connexion classiques et fondamentaux que l'on retrouve couramment dans d'autres environnements informatiques comme les grands systèmes, Unix et Netware.

Il manque en effet à Windows :

• le contrôle des connexions simultanées
• un reporting de l'activité de connexions/déconnexions
• une surveillance temps réel de l'activité de connexions/déconnexions
• la capacité de déconnecter à distance un poste de travail
• des restrictions d'accès temporelles (plage horaire ou durée totale de connexion) par groupe
• des restrictions d'accès par poste de travail et par groupe d'utilisateurs
• la possibilité de forcer une déconnexion à distance à l'issue d'une durée impartie
• l'affichage lors de chaque connexion de l'heure de la connexion précédente et du système à partir duquel elle a été effectuée

Il s'agit pourtant de contrôles de sécurité importants et dont l'implémentation est requise afin qu'un système d'information soit en conformité avec les grandes contraintes réglementaires internationales (HIPAA, SOX, PCI, NISPOM, DCID 6/3, GLBA, US Patriot Act, FISMA…) et puisse être efficacement protégé contre les menaces internes.

Les menaces internes

La menace que constitue les attaques menées de l'intérieur d'une organisation est réelle et importante. D'après la E-Crime Watch Survey 2007 menée conjointement par l'université de Carnegie Mellon et le Secret Service américain, 34% des attaques informatiques sont commises par des personnels internes à l'organisation qui en est la victime.

39% de ces «insiders» malveillants ont utilisé des comptes utilisateurs détournés afin de commettre leurs délits informatiques, parmi lesquels des accès prohibés à des informations confidentielles, des détournements de propriété intellectuelle, des vols d'information (fichiers financiers, bases de données clients, …) et des fraudes (cartes de crédit, etc.).

Le Common Sense Guide to Prevention and Detection of Insider Threats publié par le CyLab de l'université de Carnegie Mellon recommande d'ailleurs la mise en place d'une batterie de mesures destinées à détecter et à prévenir ces attaques menées depuis l'intérieur, parmi lesquelles :

• restreindre l'accès des personnels aux seules ressources réellement nécessaires à l'accomplissement de leurs fonctions, dans la mesure où la plupart des incidents sont facilités par une politique d'accès trop laxiste
• la journalisation et la surveillance des accès à toutes les ressources informatiques critiques de l'organisation, de telle manière que tout accès suspect puisse être détecté et analysé
• faire en sorte que toute activité informatique puisse être attribuée à son véritable auteur
• permettre aux auditeurs et aux enquêteurs d'assurer la traçabilité de l'activité de tout compte utilisateur vers un utilisateur unique
• utiliser des techniques permettant d'éviter toute usurpation d'identité afin de pouvoir attribuer toute activité informatique à son véritable auteur
• suivre des procédures rigoureuses de résiliation de contrat de travail (licenciement et démission) qui permettent en particulier d'empêcher très rapidement tout accès aux systèmes, aux applications et aux informations de l'organisation
• collecter et sauvegarder toute preuve pouvant être utilisée, en particulier dans le cadre d'actions en justice

Des lacunes majeures dans le système natif de contrôle de connexions de Windows empêchent malheureusement une implémentation efficace de telles mesures de protection.