Qu'est ce qu'un compte fantôme et comment les détecter sur votre Active Directory

Articles
>
Cybersécurité
>
Qu'est ce qu'un compte fantôme et comment les détecter sur votre Active Directory
Youzer vous explique comment détecter et éliminer les comptes fantômes qui sont toujours sur votre Active Directory malgré le départ d'un collaborateur ou autre...

Les comptes fantômes sont des comptes de votre Active Directory qui ne sont utilisés par personne et qui sont susceptibles d’être une porte d’entrée dans votre SI pour des hackers mal intentionnés.

On appelle aussi cela l’informatique fantôme, ces comptes déployés dans votre entreprise ne sont plus sous le contrôle des services informatiques.

Qu'est-ce que c'est un compte fantôme AD ?

Les comptes fantômes peuvent être de plusieurs catégories :

  • comptes «  systèmes » : ce sont des comptes qui ont été créés par des applications ou des systèmes tiers et qui ne sont plus utilisés car le système n’est plus en place. Un bon exemple est le compte « BESAdmin », bien connu des administrateurs systèmes (moins connu du public). Ce type de compte avait généralement été créé à la grande époque des BlackBerry et qui n’est maintenant plus utilisé.
  • comptes utilisateurs orphelins : les utilisateurs de ces comptes ont quitté l’entreprise et sont toujours actifs.
  • comptes devant être très rarement utilisés et donc ‘vacant’ depuis plus d’un an comme des comptes de secours.

Il existe en moyenne 25% de comptes dormants dans chaque Active Directory !

Détectez les comptes fantôme de votre active directory

En quoi ces comptes sont-ils dangereux ?

Ces comptes représentent un risque car ils ne sont utilisés par personne, ils ne sont pas dans le scope du service IT ( qui est déjà bien occupé à gérer les comptes des utilisateurs présents).

Les hackers peuvent en toute discrétion utiliser ces comptes pour s’introduire sur les serveurs, dans les fichiers de l’entreprise etc… d’autant plus que dans ces comptes dormants vous en aurez un certain nombre aux droits utilisateurs élevés ce qui augmente l’importance de la faille.

Un ancien collaborateur peut également continuer à avoir accès aux données de l’entreprise alors qu’il est par exemple parti chez un concurrent.

De plus, ici on ne parle que des comptes fantômes dans l’Active Directory et non dans la globalité de l’entreprise mais la génération digital native n’hésite plus à installer et utiliser des applications personnelles, SaaS et non sécurisées pour stocker des données de l’entreprise. Alors comment gérer ce 2ème aspect si déjà son propre AD n’est pas exemplaire ?

Planifier ma démo

Comment détecter ces comptes ?

Ces comptes sont difficilement détectables car c’est un croisement de plusieurs informations, disponibles auprès de différents départements de l’entreprise, qui permettra de les identifier.

  • la date de dernière utilisation : c’est une première bonne indication qui permet d’identifier les comptes inutilisés ( par exemple depuis plus de 3 mois) donc potentiellement fantômes. On considère que le compte pose vraiment un gros problème au bout d’un an d’inactivité totale.
  • tous les comptes dont le mot de passe a expiré depuis plusieurs mois mais qui n’a pas été renouvelé.

⚠️ Attention toutefois aux absences longues durées : il ne faut pas forcément désactiver un compte d’une personne en congés maternité ou maladie.

Par ailleurs, si le compte est utilisé par un pirate, il ne sera pas dans cette liste…

  • la liste des collaborateurs présents, fournie par le service RH, peut se révéler très utile. Les comptes qui ne sont pas présents dans cette liste sont susceptibles d’être « à risque ».
    Il faut donc pour cela recouper le fichier RH et le fichier des comptes de l’IT. C’est donc une opération de rapprochement : utilisateurs et comptes, on appelle cela la réconciliation.

Il y a néanmoins beaucoup d’exceptions : les comptes qui ont été créés pour des prestataires ou tout simplement des comptes systèmes.

Comment traiter ces comptes dormants dans votre AD ?

A ce stade vous devez comprendre l’intérêt de mettre en place une politique de gestion des comptes dans votre entreprise. Alors quelle est la marche à suivre pour obtenir un AD assaini ? Vous pouvez les supprimer totalement ou les désactiver proprement. Quelle différence entre les deux solutions ? Celle de la traçabilité. Si vous avez un besoin de traçabilité de vos anciens comptes nous vous conseillons la désactivation sinon la suppression complète, ce qui est plus simple.

Pour la désactivation réalisée correctement nous vous conseillons les étapes suivantes :

  • identifiez les comptes dormants avec les étapes vues précédemment ;
  • désactivez les comptes ;
  • vérifiez l’appartenance de ces comptes dans des groupes. Vous avez sûrement structuré votre AD en division, peut-être même créé des groupes pour des projets importants, des accès à certains locaux etc … Supprimez donc les accès à ces groupes ;
  • modifiez le mot de passe du compte avec un outil de votre choix pour générer de manière aléatoire un mot de passe fort ;
  • déplacez ce compte dans un répertoire de ces comptes suspendus afin de les retrouver facilement (surtout dans le cadre d’une traçabilité) ;
  • mettez à jour leurs fiches description de leurs comptes afin de bien préciser que ces comptes sont suspendus depuis quand, par qui et pour quelles raisons.
Réserver ma démo

Comment s'y retrouver alors s'il y a des exceptions dans chaque méthode ?

En effet, vous devez, à ce stade de la lecture, vous dire de :
1) ce qu’il me propose est fastidieux à mettre en place
2) les méthodes n’assurent pas un 100% de détection des comptes fantômes !

Les comptes dormants peuvent être de plusieurs catégories comme nous l’avons vu et pour cela il y a une solution simple et surtout propre et conforme avec les règles de sécurité : une solution de gestion des accès et des identités (IAM).

La puissance d’un IAM réside dans sa capacité à croiser des données techniques (les comptes Active Directory) avec des données RH.
Ainsi chaque compte doit être associé à un individu qui lui même est associé à l’entreprise avec un lien contractuel (collaborateur, prestataire…).

Les comptes fantômes sont donc très facilement identifiables grâce à l’intervention croisée des RH et de l’IT.
Avec un outil d’IAM vous êtes alerté s’il y a un compte « orphelin » c’est-à-dire associé à aucun utilisateur.

Reliez vos comptes active directory à vos utilisateurs

Grâce au Connecteur Active Directory (très facilement installable sur notre plateforme), votre Active Directory est toujours à jour et vous visualisez directement vos comptes sans avoir à effectuer d’action particulière.
Vous obtenez ainsi une ‘photo’ en temps réel de l’ensemble de vos comptes actifs et de leur association ou non à un utilisateur. Ainsi, vous pouvez traiter chaque compte n’étant rattaché à aucun compte. Pratique !

Qu'est ce qu'un compte fantôme et comment les détecter sur votre Active Directory
Mélanie Lebrun
Responsable marketing chez Youzer
lire l'article suivant :
Shadow IT et anciens utilisateurs : le cauchemar des DSI

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Demander une démoDécouvrir Youzer