PowerTech Security, Gare aux configurations par défaut sur IBM i

Le document dresse un état des lieux des serveurs sous IBM i à partir de l’étude de 101 systèmes présents dans des entreprises de secteurs variés (Finance, santé, communication, transport,…).

PowerTech Security

Premier enseignement, la version V5R4 du système d’exploitation se porte bien. Sortie début 2006, elle équipe encore aujourd’hui 41 % des serveurs IBMi, soit autant que la V6R1 lancée en 2008. L’IBMi 7.1, dernière version en date, n’est présente que sur 18 % des machines. L’occasion de rappeler que la V5R4 ne sera plus supportée à partir du 30 septembre 2013 et qu’IBM recommande à tous ses utilisateurs de migrer directement vers la V7R1.

En ce qui concerne la sécurité, PowerTech souligne que 37 % des serveurs ont encore un niveau 30 ou moins. La configuration des serveurs IBM i est basée sur une échelle de sécurité (QSECURITY) à 5 niveaux (10, 20, 30, 40 et 50). IBM livre aujourd’hui tous ses serveurs avec un niveau 40 par défaut et conseille à ses clients de ne pas descendre en dessous pour éviter certaines vulnérabilités connues. Plus d’un tiers sont donc actuellement sous cette barre.

Gare aux configurations par défaut sur IBM i

L’étude attire également l’attention sur les mots de passes créés par défaut. Lors de la création d’un profil, le password associé par défaut est identique au nom d’utilisateur. Et il s’est avéré lors de l’audit des 101 systèmes que 51 d’entre eux avait plus de 30 utilisateurs utilisant toujours ce mot de passe. L’un des serveurs en comptait même 368, soit 20 % de ses 1 711 utilisateurs. « Beaucoup de compagnies nomment les comptes utilisateurs avec un format standard comme la première lettre du prénom suivi du nom, comme jsmith ou tjones par exemple, indique le rapport. Un pirate ou un employé malintentionné peut facilement deviner un nom d’utilisateur et essayer le mot de passe par défaut ». Une situation renforcée par le fait que 31 % des systèmes n’obligent pas les utilisateurs à modifier leur mot de passe régulièrement.

7 millions de tentatives d’accès à un compte

À noter par ailleurs que 9 serveurs n’intégraient aucune limitation dans le nombre de tentatives d’accès, que l’un d’entre eux avait enregistré 516 772 essais invalides et qu’une évaluation de conformité sur un autre a révélé que 6,9 millions de tentatives d’accès avait été effectuées sur un unique profil sans que l’organisation ne s’en rende compte.

« Chaque année, je m’attends à ce que les résultats s’améliorent, indique Robin Tatam, Responsable des technologies de sécurité PowerTech et auteur de l’étude. « Mais 10 ans après la première édition, nous découvrons toujours des vulnérabilités dues à une mauvaise gestion des profils ou à l’absence de sécurité dans le réseau IBM i ». PowerTech insiste en effet sur les risques générés par des profils utilisateurs mal définis. Là encore, les paramétrages par défaut ne suffisent pas et laissent de trop larges autorisations d’accès aux données. Côté réseau, l’étude relève que 79 % des serveurs ne surveillent pas les accès.

« Il est primordial de prendre conscience que la sécurité du serveur n’est pas préconfigurée. L’IBM i est une des plateformes les plus sécurisables mais cette impression de « prêt à l’emploi » fait courir aux organisations des risques de perte de données, de fraude ou pire.

Pour télécharger l’étude complète : PowerTech