Déjà Membre?
 La référence technique on-line des professionnels de l'informatique |
Certaines DSI tentent de faire disparaître les mots de passe de leurs utilisateurs au profit de formes d'authentification plus sûres ou plus modernes (biométrie, badge RFID etc.). Néanmoins, elles restent confrontées à la gestion d'un large parc de comptes partagés qui ne sauraient fonctionner autrement qu'avec ces illustres sésames. Ironie de ces comptes des Mille et Une Nuits, ce sont bien souvent eux qui ouvrent les portes de la production, dans le cœur sensible du Système d'Information. L’arrivée du Shared Account Password Management va-telle simplifier les choses ?
L'histoire du mot de passe est presque aussi ancienne que celle de l'art militaire. Il y a plus de deux mille ans, les légions romaines en faisaient déjà un usage intensif et disposaient même d'une fonction dédiée à sa gestion. Dans chaque camp Romain, un tessarius (sorte de sergent de l'époque) était ainsi chargé de distribuer aux patrouilles et aux gardes, le code qui permettrait à ces derniers de contrôler l'identité des légionnaires rentrant dans le camp.
Plus proche de nous, il s'agit du premier et du plus illustre des paradigmes de sécurité informatique. De son compte mail personnel à son poste de travail professionnel, tout un chacun connaît et utilise aujourd'hui au moins un secret contrôlant l'accès à un service informatique. Bien entendu, à l'heure du passeport biométrique, le mot de passe revêt une certaine allure de grand-père. Toutefois, force est de constater qu'il reste encore aujourd'hui pour le grand public la forme d'authentification la plus répandue.
En entreprise, l'utilisateur informatique est également loin d'en avoir fini avec lui. Rares sont en effet les entreprises à fournir à l'ensemble de leurs salariés un mode d'authentification sans mot de passe. Au point souvent d'en écœurer certains utilisateurs, submergés par le nombre de codes confidentiels à retenir, et qui ne trouvent d'autres remèdes qu'un appel régulier au helpdesk ou l'espérance d'une solution de Single Sign-On.
Par ailleurs, même les entreprises les plus en avance en matière de SSO, d'authentification forte ou de biométrie, ne sont pas totalement débarrassées de toute problématique liée aux mots de passe. En effet, dans le Système d'Information, un village d'irréductibles résiste encore et toujours - et probablement pour très longtemps encore - aux vagues de renforcement du contrôle d'accès.
Ce village, c'est celui des comptes techniques partagés : logins root des serveurs Unix, administrateurs locaux des machines Windows, sysadmin des bases de données Oracle, comptes admin des routeurs Cisco etc. Contrairement à ceux des utilisateurs usuels - qui par essence sont nominatifs -, ces comptes ont la particularité de ne pouvoir être liés à aucune personne physique spécifique. Plusieurs administrateurs (mais parfois aussi quelques stagiaires !) en partagent ainsi la connaissance. Alors, comment protéger les mots de passe reliés à ces comptes ?
D'aucuns prétendent que les informaticiens adorent la récursivité. En la matière, et au regard des premières initiatives mises en œuvre pour répondre à cette problématique, on serait effectivement tenté de leur donner raison. En effet, quoi de plus naturel pour protéger des mots de passe... que d'utiliser un mot de passe ? C'est l'option jusqu'ici retenue par beaucoup, au travers de logiciels libres tels que KeePass ou Password Safe de Bruce Schneier, star de la sécurité informatique outre-Atlantique. Ces logiciels permettent de créer des coffres, chiffrés par des algorithmes de cryptographie tels qu'AES ou Twofish, et renfermant les mots de passe à protéger. Pourquoi parler de récursivité ? Et bien parce que l'ouverture du coffre s'effectue par la fourniture d'un mot de passe, non nominatif et global au coffre.
Si l'option des coffres à la Keepass ou Password Safe s'avère séduisante pour une utilisation domestique, elle atteint rapidement ses limites dans un véritable environnement de production. Difficile en effet d'imaginer 10 administrateurs Unix, 15 administrateurs Oracle et 12 exploitants Réseau (soit 37 personnes) partager un unique mot de passe leur permettant d'accéder à l'ensemble des ressources serveurs du Système d'Information.
La réponse la plus naturelle à cette problématique de partage revient à scinder ce coffre unique en autant de coffres qu'il y a d'équipes d'administrateurs et d'exploitants, soit dans l'exemple précédent un coffre pour l'équipe Unix, un autre pour l'équipe Oracle et enfin un dernier pour l'équipe Réseau. Le problème de cette réponse est que les architectures informatiques modernes sont loin de ressembler aux blocs monolithiques des années 1980. De nos jours une application n'est généralement plus portée par un serveur unique, mais bien par un ensemble de briques interconnectées. Ainsi, un administrateur Unix configurant un serveur Tomcat dans cet environnement devra vraisemblablement renseigner un login/mot de passe Oracle pour paramétrer la connexion de son serveur d'applications à la base de données applicative. De même, l'équipe Réseau pourra vouloir installer une sonde sur un serveur Unix, nécessitant ainsi la connaissance d'un compte technique pour cet environnement, etc.
Bref, la stratégie du « diviser pour régner », chère à l'antique Sénat romain, atteint parfois ses limites dans le XXIème siècle informatique.
Partager |
|
 Bruno Vincent, cofondateur du cabinet de conseil ITekia  ITekia est un cabinet de conseil indépendant, spécialiste de l'Architecture, du Pilotage et de la Sécurité des Systèmes d'Information. ITekia conseille et accompagne les grands comptes et les PME, dans leurs projets de rationalisation, d’innovation et de refonte de leurs Systèmes d’Information. |
