> Tech > Vos profils utilisateur sont-ils vulnérables ?

Vos profils utilisateur sont-ils vulnérables ?

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Dan Riehl - Mis en ligne le 15/06/2005 - Publié en Septembre 2004

En tant que conseiller en sécurité OS/400, j'aide les entreprises à  déceler les failles dans leur système de sécurité et à  déterminer les meilleurs moyens d'y remédier. L'un des principaux risques que j'observe le plus souvent dans des entreprises de toutes tailles est celui des objets profil utilisateur non sécurisés. Le but de cet article est d'expliquer ce risque et comment l'éliminer ...Supposons un instant que je sois un programmeur ou un sous-traitant inquisiteur dans vos bureaux. Je veux examiner des objets ou conduire des actions que la sécurité OS/400 m'interdit normalement, comme examiner le fichier de paye ou, pis encore, modifier ses enregistrements. Comme mon profil utilisateur n'a même pas le droit d'examiner le fichier, je dois trouver un moyen d'obtenir un haut niveau d'autorité afin qu'OS/400 me permette d'accéder au fichier. Un moyen particulièrement facile de faire cela, dans la plupart des installations OS/400, consiste à  usurper les autorités d'un profil utilisateur plus puissant que le mien, comme QSECOFR.
Pouvoir élever ma propre autorité au moyen de ce que j'appelle « l'usurpation de profil » est facile au niveau de sécurité système 30. Même au niveau 40, c'est probablement faisable. Dès lors que j'ai usurpé un profil plus puissant, j'ai élevé mon autorité et peux, par conséquent, accéder au fichier de paye.

L’un des rapports que j’aime exécuter pour évaluer la vulnérabilité est le
« rapport des autorités publiques » pour les objets profil utilisateur. Ce
rapport m’indique si certains profils utilisateur ont une autorité autre que
*PUBLIC *EXCLUDE. La commande permettant d’exécuter ce rapport est
PRTPUBAUT (Print Public Authority), précisément :

PRTPUBAUT OBJTYPE(*USRPRF)

La figure 1 montre une sortie classique obtenue avec cette commande.
Un autre rapport de même nature que j’exécute est le « rapport des autorités
privées » pour les objets profil utilisateur, qui utilisent la commande
PRTPVTAUT (Print Private Authority). La figure 2 montre un exemple de
sortie produite par ce rapport qui me dit si des profils individuels ou des
profils de groupes ont l’autorité explicite sur d’autres profils utilisateur. La
forme de la commande est la suivante :

PRTPVTAUT OBJTYPE(*USRPRF)

Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité

État des lieux de la réponse à incident de cybersécurité

Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.

Tech - Par iTPro.fr - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT