Discussion :

[Katleen Erna]

Désactiver les privilèges d'admin sécuriserait les ordinateurs, en empêchant l'installation de malwares

Une étude orchestrée par BeyondTrust s'est penchée sur les failles de sécurité atteignant les systèmes Microsoft.

Elle montre que les dangers des vulnérabilités peuvent être minimisés si les utilisateurs concernés attendent que les administrateurs des systèmes y appliquent les patchs mensuels fournis par Microsoft.

La découverte clé de ce travail est le fait qu'un système soit plus sûr si les droits d'administrateur sont supprimés.

Ces droits permettent à un individu d'endosser le rôle de responsable du système, et de l'administrer. Il peut alors contrôler quels logiciels et composants peuvent être installés sur l'ordinateur de l'utilisateur.

Malheureusement, les paramètres par défaut offrent ces privilèges à l'utilisateur sur sa propre machine. Comme certains malwares arrivent à pièger le système pour forcer un utilisateur avec de tels droits à l'installer, on comprend les menaces d'une telle organisation des choses.

Source : BeyondTrust 2009 Microsoft Vulnerability Analysis (en anglais)

[gulain]

Ce n'est vraiment pas nouveau.

La découverte clé de ce travail est le fait qu'un système soit plus sûr si les droits d'administrateur sont supprimés.

Parfois, je me dis que je devrais écrire un rapport dans lequel je pourrais découvrir que la ceinture de sécurité dans une voiture sauve des vies et qu'une porte fermée à clef laisse moins passer les voleurs qu'une porte ouverte.

[jaimepaslesmodozélés]

Un gigantesque +1.
Et dire que des gens sont payés pour pondre ce genre de rapport...
Bon, ils ont au moins le mérite de ne pas dire d'ânerie (contrairement aux gars d'Olféo, par exemple ^^).

[Jérémie A.]

La découverte clé de ce travail est le fait qu'un système soit plus sûr si les droits d'administrateur sont supprimés.

C'est ironique le "découverte clé" ?
Parce que bon, c'est ultra-évident et tout à fait connu que limiter les privilèges des utilisateurs diminuent les risques potentiels pour la machine.

[Marco46]

La découverte clé de ce travail est le fait qu'un système soit plus sûr si les droits d'administrateur sont supprimés.

Eh beh ... On est pas au courant de tout

[MigouW]

+1 rien à dire de plus que ce qui a déjà été dit.

[Nebulix]

Si l'utilisateur n'avait plus du tout accès à sa propre machine, ce serait encore plus sûr

[Lyche]

Un gigantesque +1.
Et dire que des gens sont payés pour pondre ce genre de rapport...
Bon, ils ont au moins le mérite de ne pas dire d'ânerie (contrairement aux gars d'Olféo, par exemple ^^).

Tu sais, dans mon boulot j'ai vu des études de plusieurs millions d'€ sur plusieurs années pour comprendre des trucs qu'on nous apprend en cours.. Quand on pense que des grands patrons ont cautionnés ces études, c'est plus qu'a la limite du ridicule. Même concept ici ^^, c'est sur, ils disent pas de bêtise, mais en même temps, mis à part eux, tout le monde le savait déjà

[dams78]

En gros ils vont inventer un gestionnaire de paquets

[Invité]

Elle montre que les dangers des vulnérabilités peuvent être minimisés si les utilisateurs concernés attendent que les administrateurs des systèmes y appliquent les patchs mensuels fournis par Microsoft.

"attendent" c'est là le problème , faut tout faire à leur place, autant que MS si colle...

[benzoben]

Attention, ça me parait être un poisson d'avril tellement c'est gros!

[LSRouge]

Ha, ca c'est possible!!

[Médinoc]

Vraiment un scoop, en effet.

Widnows Vista est quand même sorti depuis 2007, et les recommendations "ne tournez pas en Admin" datent de bien avant...

[ogaby]

Vraiment un scoop, en effet.

Widnows Vista est quand même sorti depuis 2007, et les recommendations "ne tournez pas en Admin" datent de bien avant...

Hein?

J'ai vu ces recommandations dans des magazines spécialisés ou des forums mais pas dans les messages pendant l'installation.

A la maison j'ai un XP boite avec les SP1. Quand tu fais l'installation à un moment donné, XP dit qu'il a créé un compte administrateur puis te demande si tu veux créer d'autres comptes et là ils seront tous admins. Il faut en fait en créer un seul puis quand l'installation est finie, il faut créer les comptes avec le profil "utilisateur".

Maintenant quelqu'un qui ne connait pas l'astuce installera des comptes admins.

[Franck SORIANO]

Hein?

J'ai vu ces recommandations dans des magazines spécialisés ou des forums mais pas dans les messages pendant l'installation.

A la maison j'ai un XP boite avec les SP1. Quand tu fais l'installation à un moment donné, XP dit qu'il a crée un compte administrateur puis te demande si veux créer d'autres comptes et là ils seront tous admins. Il faut en fait en créer un seul puis quand l'installation est finie, il faut créer les comptes avec le profil "utilisateur".

Maintenant quelqu'un qui ne connait pas l'astuce installera des comptes admins.

C'est plus compliqué que ça. Car même si ne pas utiliser un compte admin pour l'usage courant de son Ordi semble une évidence, il y a très peu de développeurs qui ont appliqué ce principe dans leur applications.
Pendant des années, les logiciels qui ne considéraient pas que l'utilisateur avaient tous les droits, et qui de facto, n'obligent pas l'utilisateur à être administrateur pour travailler, ont été rarissimes (au moins pour le grand publique).

Maintenant c'est en train de changer avec l'UAC. Et Microsoft a poussé le bouchon jusqu'à faire en sorte que les administrateurs n'ont pas les droits administrateurs !
Ce qui d'ailleurs entraine également la conséquence "désactiver les droits administrateurs ne sécurisent pas la machine davantage, puisque de toute façon, les administrateurs n'ont déjà pas les droits admin".

[dams78]

Hein?

J'ai vu ces recommandations dans des magazines spécialisés ou des forums mais pas dans les messages pendant l'installation.

A la maison j'ai un XP boite avec les SP1. Quand tu fais l'installation à un moment donné, XP dit qu'il a crée un compte administrateur puis te demande si veux créer d'autres comptes et là ils seront tous admins. Il faut en fait en créer un seul puis quand l'installation est finie, il faut créer les comptes avec le profil "utilisateur".

Maintenant quelqu'un qui ne connait pas l'astuce installera des comptes admins.

A l'époque où ma mère utilisait Xp je lui avais mis un compte utilisateur pour pas qu'elle fasse de conneries, du coup elle pouvait même pas imprimer...

[Médinoc]

Surtout que sous XP, le moyen le plus simple d'afficher un calendrier nécessite un privilège administrateur, et la version familiale ne contient pas l'IHM permettant de régler les privilèges...

Ni l'IHM permettant de donner aux non-administrateurs le droit d'écrire dans un sous-dossier de Program Files (exemple, les sauvegardes d'un jeu comme Starcraft), qui n'est disponible qu'en mode sans échec...

En gros, si l'on n'a pas les compétences d'un administrateur pour corriger cela (outils en ligne de commande, voire écriture d'un programme en C dans le cas des privilèges), trop de facteurs poussent à utiliser un compte admin dans la vie de tous les jours.

[JeromeBcx]

En gros, si l'on n'a pas les compétences d'un administrateur pour corriger cela (outils en ligne de commande, voire écriture d'un programme en C dans le cas des privilèges), trop de facteurs poussent à utiliser un compte admin dans la vie de tous les jours.

+1, et c'est le gros problème... En installant deux profils utilisateur/administrateur, on se retrouve très vite à basculer plusieurs fois par jours d'une session à l'autre, donc bon, au bout d'un moment, ça

Mais bon les utilisateurs s'y font... j'ai basculer mon chef en droit utilisateurs après plusieurs infections; les premiers jours ont été difficile, mais maintenant il s'y est fait

Cela reste tout de même une aberration qu'aucune information claire n'aiguille monsieur et madame lors de la création de comptes.