Comment détecter les comptes fantôme de votre Active Directory ? - Youzer

Comment et pourquoi détecter les comptes fantômes de votre Active Directory 

Les comptes fantômes sont des comptes de votre Active Directory qui ne sont utilisés par personne et qui sont susceptibles d’être une porte d’entrée dans votre SI pour des hackers mal intentionnés.

Qu’est-ce que c’est un compte fantôme ? 

Les comptes fantômes peuvent être de plusieurs catégories : 

– comptes «  systèmes » : ce sont des comptes qui ont été crées par des applications ou des systèmes tiers et qui ne sont plus utilisés car le système n’est plus en place. Un bon exemple est le compte « BESAdmin », bien connu des administrateurs systèmes (moins connu du public). Ce type de compte avait généralement été crée à la grande époque des BlackBerry et qui n’est maintenant plus utilisé.

– comptes utilisateurs orphelins : les utilisateurs de ces comptes ont quitté l’entreprise et sont toujours actifs.

En quoi ces comptes sont-ils dangereux ? 

Ces comptes représentent un risque car ils ne sont utilisés par personne, ils ne sont pas dans le scope du service IT( qui est déjà bien occupé à gérer les comptes des utilisateurs présents).

Les hackers peuvent en toute discrétion utiliser ces comptes pour s’introduire sur les serveurs, dans les fichiers de l’entreprise etc…

Un ancien collaborateur peut également continuer à avoir accès aux données de l’entreprise alors qu’il est par exemple parti chez un concurrent.

Comment détecter ces comptes ? 

Ces comptes sont difficilement détectables car c’est un croisement de plusieurs informations, disponibles auprès de différents départements de l’entreprise, qui permettra de les identifier.

– la date de dernière utilisation : c’est une première bonne indication qui permet d’identifier les comptes inutilisés ( par exemple depuis plus de 3 mois) donc potentiellement fantômes. Attention toutefois aux absences longues durées : il ne faut pas forcément désactiver un compte d’une personne en congés maternité.

Par ailleurs, si le compte est utilisé par un pirate, il ne sera pas dans cette liste…

– la liste des collaborateurs présents, fournie par le service RH, peut se révéler très utile. Les comptes qui ne sont pas présents dans cette liste sont susceptibles d’être « à risque ».

Il y a néanmoins beaucoup d’exceptions : les comptes qui ont été crées pour des prestataires ou tout simplement des comptes systèmes.

Comment identifier les comptes fantômes avec Youzer

Les comptes fantômes peuvent être de plusieurs catégories : 

La puissance de Youzer réside dans sa capacité à croiser des données techniques (les comptes Active Directory) avec des données RH.

Ainsi chaque compte doit être associé à un individu qui lui même est associé à l’entreprise avec un lien contractuel (collaborateur, prestataire…).

Les comptes fantômes sont donc très facilement identifiables grâce à l’intervention croisée des RH et de l’IT.

Youzer vous alerte s’il y a un compte « orphelin » c’est-à-dire associé à aucun utilisateur.

Grâce au Connecteur Active Directory (téléchargeable dans la page de configuration de la ressource AD), votre Active Directory est toujours à jour et vous visualisez directement vos comptes sur Youzer.

Tél : +33 9 71 180 100

contact@youzer.net

126 rue de Charenton, 75012 Paris

© 2019 Youzer