Quand j’évalue la sécurité d’installations i5/OS, je trouve souvent de graves failles qui compromettent la sécurité et l’intégrité de tout le système. Bien entendu, je ne peux pas énumérer ici tous ces risques potentiels, mais il en est un qui peut coûter cher et qui sévit de plus en plus
Alerte de sécurité – Exposition imposée par le fournisseur
dans les sites i5.
Le risque en question se glisse dans votre système à l’occasion de l’installation d’un logiciel vendu par un fournisseur. En effet, un petit nombre de fournisseurs de logiciels i5/OS réputés mettent peut-être votre système en danger. Je ne les nommerai pas ici, mais si vous recherchez les symptômes que je décris et si vous les trouvez chez vous, vous les reconnaîtrez.
Certains fournisseurs de logiciels installent de puissants profils utilisateur sur votre système ; puissants certes, mais pas bien sécurisés. Pendant l’installation, des profils utilisateur provenant de fournisseurs et présentant les caractéristiques d’un responsable de sécurité système sont créés. Les autorités spéciales du genre *ALLOBJ, *SECADM et *IOSYSCFG sont inhérentes à ces profils utilisateur. Ces profils sont généralement livrés avec un mot de passe par défaut, mais là n’est pas le problème car il est facile de changer les mots de passe. Le problème est que l’autorité publique (*PUBLIC) sur ces profils est *USE ou *CHANGE au lieu de l’autorité correcte *EXCLUDE. Cela permet en fait à n’importe quel utilisateur de votre système, connaissant la manoeuvre, de s’introniser responsable sécurité ou utilisateur racine.
Les utilisateurs peuvent facilement exploiter la faille en utilisant une simple commande SBMJOB et en spécifiant le paramètre USER, comme dans les lignes qui suivent :
SBMJOB CMD(CPYF FROMFILE(PAYROLL) TOFILE(*PRINT) USER(Vendor-User-Profile)
Cette commande va présenter le contenu de votre fichier de paie ! La commande exécutée peut être n’importe quelle commande, même si l’utilisateur exécutant SBMJOB n’est pas autorisé à exécuter l’action du paramètre CMD. Quand un profil utilisateur n’est pas sécurisé, il permet à un utilisateur de s’emparer des puissantes autorités du profil donné par le fournisseur. Remarque : Des commandes comme CRTUSRPRF ne peuvent pas être utilisées dans le paramètre CMD de la commande SBMJOB si l’utilisateur final n’a pas l’autorité spéciale *SECADM. Pour contourner cette restriction, vous pouvez utiliser le paramètre RQSDTA au lieu du paramètre CMD, comme dans ce qui suit :
SBMJOB RQSDTA(CPYF FROMFILE(PAYROLL) TOFILE(*PRINT) USER(Vendor-User-Profile)
Pour savoir si vous souffrez de ce problème, suivez les étapes ci-après :
1. Affichez le profil utilisateur pour le profil donné par le fournisseur : DSPUSRPRF Vendor-Profile-Name
2. Vérifiez l’information sur les autorités spéciales. Si ce n’est pas *NONE, continuez. (Des autorités spéciales peuvent être nécessaires au profil utilisateur et cela n’indique pas un problème sauf en cas d’échec au test suivant.)
3. Affichez l’autorité objet du profil utilisateur donné par le fournisseur :
DSPOBJAUT Vendor-Profile-Name *USRPRF
Si vous voyez *PUBLIC avec autre chose que *EXCLUDE, votre sécurité est exposée. Dans ce cas, demandez à votre fournisseur de corriger la situation. S’il vous répond « C’est comme ça et vous ne pouvez pas le changer », faites-le moi savoir en m’envoyant un courriel à clubtech@SystemiNetwork. com. En fait, je souhaite connaître tout logiciel provenant d’un fournisseur, présentant ce problème.
Il est grand temps de mettre nos fournisseurs devant leurs responsabilités quand ils introduisent subrepticement des risques de sécurité et d’intégrité dans nos systèmes !
Par Dan Riehl
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
