par Dan Riehl - Mis en ligne le 15/06/2005 - Publié en Septembre 2004
En tant que conseiller en sécurité OS/400, j'aide les entreprises à déceler
les failles dans leur système de sécurité et à déterminer les meilleurs
moyens d'y remédier. L'un des principaux risques que j'observe le plus
souvent dans des entreprises de toutes tailles est celui des objets profil
utilisateur non sécurisés. Le but de cet article est d'expliquer ce risque et
comment l'éliminer ...Supposons un instant que je sois un programmeur ou un sous-traitant
inquisiteur dans vos bureaux. Je veux examiner des objets ou conduire des
actions que la sécurité OS/400 m'interdit normalement, comme examiner le
fichier de paye ou, pis encore, modifier ses enregistrements. Comme mon
profil utilisateur n'a même pas le droit d'examiner le fichier, je dois trouver
un moyen d'obtenir un haut niveau d'autorité afin qu'OS/400 me permette
d'accéder au fichier. Un moyen particulièrement facile de faire cela, dans la
plupart des installations OS/400, consiste à usurper les autorités d'un profil
utilisateur plus puissant que le mien, comme QSECOFR.
Pouvoir élever ma propre autorité au moyen de ce que j'appelle « l'usurpation
de profil » est facile au niveau de sécurité système 30. Même au niveau
40, c'est probablement faisable. Dès lors que j'ai usurpé un profil plus
puissant, j'ai élevé mon autorité et peux, par conséquent, accéder au fichier
de paye.
Vos profils utilisateur sont-ils vulnérables ?
L’un des rapports que j’aime exécuter pour évaluer la vulnérabilité est le
« rapport des autorités publiques » pour les objets profil utilisateur. Ce
rapport m’indique si certains profils utilisateur ont une autorité autre que
*PUBLIC *EXCLUDE. La commande permettant d’exécuter ce rapport est
PRTPUBAUT (Print Public Authority), précisément :
PRTPUBAUT OBJTYPE(*USRPRF)
La figure 1 montre une sortie classique obtenue avec cette commande.
Un autre rapport de même nature que j’exécute est le « rapport des autorités
privées » pour les objets profil utilisateur, qui utilisent la commande
PRTPVTAUT (Print Private Authority). La figure 2 montre un exemple de
sortie produite par ce rapport qui me dit si des profils individuels ou des
profils de groupes ont l’autorité explicite sur d’autres profils utilisateur. La
forme de la commande est la suivante :
PRTPVTAUT OBJTYPE(*USRPRF)
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Afficher les icônes cachées dans la barre de notification
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Activer la mise en veille prolongée dans Windows 10
- Et si les clients n’avaient plus le choix ?
Les plus consultés sur iTPro.fr
- Le trilemme de la souveraineté : le coût caché du cloud qui freine l’IA en Europe
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Semperis : gouverner l’identité à l’ère des agents IA
- Analyse Patch Tuesday Mars 2026
Articles les + lus
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
À la une de la chaîne Tech
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
