par Dan Riehl, Mis en ligne le 15/O3/2006 - Publié en Septembre 2005
PAA (Program Adoption of Authority) est une technique qui permet d’élever temporairement les autorités de certains utilisateurs pour leur permettre des actions normalement interdites par leur autorité naturelle. Par exemple, supposons que vous vouliez que les gens du help desk puissent redéfinir le mot de passe de l’utilisateur. C’est une fonction sensible pour laquelle le personnel du help desk a besoin de niveaux d’autorité supérieurs (*ALLOBJ, *SECADM, par exemple). Mais si vous octroyez ces hauts niveaux d’autorité aux profils utilisateur des servants du help desk, ils pourront en permanence toucher à vos données sensibles, une situation pour le moins dangereuse.Il faut dans ce cas un petit programme aux fonctions limitées permettant à de tels utilisateurs d’adopter la puissante autorité dont ils ont besoin pour réinitialiser le mot de passe. Dès que le programme adoptant se termine, le haut niveau d’autorité disparaît. C’est exactement ce qu’accomplit PAA.
PAA est une fonction utile que vous auriez tort d’ignorer. Tout en sachant que, dans de mauvaises mains, PAA peut servir de porte dérobée pour obtenir de hauts niveaux d’autorité sans la supervision et le contrôle appropriés.
Lors de mes évaluations des vulnérabilités sur OS/400, j’ai souvent constaté qu’un programme adoptant un haut niveau d’autorité avait été subrepticement créé sur le système et utilisé comme méthode d’infiltration d’un système de sécurité par ailleurs bien conçu. Grâce à l’un de ces programmes adoptants, un utilisateur avisé peut facilement s’octroyer l’autorité d’un utilisateur puissant, comme QSECOFR, et devenir virtuellement QSECOFR chaque fois qu’il le désire.
Impression
Comment pourrais-je donc m’immiscer dans votre système avec PAA? Voici le code source d’un programme CL fort simple, MYPGM, qui, bien préparé, me permet de travailler sous l’autorité QSECOFR quand bon me semble. Mais le seul code source ne suffit pas.
PGM
GO MAIN
ENDPGM
Une fois que je possède le code source, il me faut simplement l’occasion de créer le programme et d’établir l’adoption de QSECOFR pour ce programme.
Voyons cela… J’ai une situation d’urgence concernant la production au milieu de la nuit et je dois obtenir le mot de passe QSECOFR pour corriger le problème. Quand j’ai le mot de passe, je signe en tant que QSECOFR et je règle le problème de production.
A présent, pour obtenir le programme détourné, j’exécute les deux commandes suivantes :
CRTCLPGM PGM(Library-Name/MYPGM)
SRCFILE(Library-Name/QCLSRC)
SRCMBR(MYPGM)
USRPRF(*OWNER)
AUT(*EXCLUDE)
Cette commande crée le programme CL MYPGM. Le paramètre USRPRF(*OWNER) indique au système que quand ce programme s’exécute, il adopte l’autorité du propriétaire du programme. Ici, comme QSECOFR a créé le programme, QSECOFR est le propriétaire.
GRTOBJAUT OBJ(Library-Name/MYPGM) OBJTYPE(*PGM USER(ME) AUT(*USE) REPLACE(*YES)
Cette commande donne au profil utilisateur ME l’autorité d’exécuter le programme à tout moment. Et que fait donc le programme ?
Il adopte l’autorité QSECOFR et m’envoie au menu principal OS/400. Une place de choix d’où je peux mener n’importe quelle action. J’ai tous les moyens !
Désormais, dans mon travail quotidien, quand je voudrai avoir l’autorité QSECOFR, je n’aurai plus besoin du mot de passe QSECOFR. Il me suffira d’appeler MYPGM. Et je peux même définir le mot de passe QSECOFR à ma guise.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
- Afficher les icônes cachées dans la barre de notification
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Chiffrements symétrique vs asymétrique
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
Les plus consultés sur iTPro.fr
- Analyse Patch Tuesday Mars 2026
- Et si la sécurité de nos villes se jouait aussi… en orbite ?
- Forum INCYBER : les 4 lauréats du Prix de la Start-up 2026
- Mises à jour Microsoft : quand l’automatisation du cloud redéfinit la gouvernance IT
Articles les + lus
Coder vite, mais coder juste : trouver l’équilibre à l’ère de l’IA
Mixité dans la Tech : en 2026, un choix de souveraineté stratégique
Analyse Patch Tuesday Mars 2026
Confiance et curiosité : les clés pour entrer (et grandir) en tant que femme dans la tech
Portails développeurs internes : accélérer l’innovation sans alourdir les budgets
À la une de la chaîne Tech
- Coder vite, mais coder juste : trouver l’équilibre à l’ère de l’IA
- Mixité dans la Tech : en 2026, un choix de souveraineté stratégique
- Analyse Patch Tuesday Mars 2026
- Confiance et curiosité : les clés pour entrer (et grandir) en tant que femme dans la tech
- Portails développeurs internes : accélérer l’innovation sans alourdir les budgets
