Contrôler les accès fantômes : pourquoi le contrôle des sessions simultanées est fondamental

Le contrôle des sessions simultanées — c’est-à-dire la capacité à gérer qui peut se connecter simultanément à plusieurs applications ou serveurs à l’aide d’un seul compte utilisateur, est une mesure de sécurité dont l’importance est souvent sous-estimée.

Les comptes utilisateurs constituent une cible privilégiée pour les attaquants cherchant à contourner les défenses d’une organisation. Permettre aux utilisateurs de se connecter à plusieurs ordinateurs en même temps, ce que l’on appelle les accès fantômes, élargit considérablement la surface d’attaque, au point de devenir rapidement impossible à surveiller ou à maîtriser.

Une session peut être légitime, tandis qu’une deuxième ou une troisième ne l’est pas. Comment les équipes de sécurité peuvent-elles faire la différence entre un accès normal et un accès malveillant ? Sans mécanisme de contrôle des sessions simultanées, la réalité est simple : elles ne le peuvent pas.

Il est donc inévitable que la capacité à limiter les sessions et connexions simultanées dans Active Directory soit un pilier de toute stratégie de sécurité efficace, en particulier dans les environnements Active Directory on-premise. Dans le secteur public, cela fait également partie des exigences implicites de la plupart des cadres de sécurité, réglementations et bonnes pratiques.

Autoriser un utilisateur à ouvrir plusieurs connexions simultanées accroît le risque associé à son compte en cas de compromission des identifiants. Un attaquant peut alors se connecter à plusieurs ressources sous couvert d’un accès simultané apparemment légitime.

Les sessions simultanées compliquent la détection des comportements malveillants. Une session peut sembler suspecte tandis qu’une autre paraît normale, ce qui brouille l’analyse et la supervision.

Lorsque plusieurs personnes partagent les mêmes identifiants (deux utilisateurs ou plus ouvrant des sessions simultanées à partir d’un même compte), il devient difficile d’attribuer une action à une personne précise, ce qui est pourtant une exigence réglementaire, notamment dans le secteur financier.

Le contrôle des sessions simultanées fait partie de la plupart des réglementations et cadres applicables aux organisations gouvernementales et à leurs chaînes d’approvisionnement, même si cela varie selon les pays et n’est pas toujours formulé explicitement. Le plus souvent, le contrôle des accès simultanés est implicite dans d’autres exigences, par exemple celles liées à la restriction des privilèges.

Bien que des cadres comme le NIST ne soient pas des réglementations à proprement parler, le respect de leurs recommandations est néanmoins requis dans de nombreux contextes gouvernementaux.

• NIST 800-53 (révision 5) : exigence obligatoire pour les agences fédérales américaines et les fournisseurs traitant des informations non classifiées contrôlées (CUI). La section AC-10 sur le contrôle des sessions simultanées précise clairement que les organisations doivent définir une limite au nombre de sessions simultanées pour chaque utilisateur, en particulier pour les administrateurs à privilèges.

  Pour les organisations américaines, le NIST est requis afin de répondre aux exigences du DFARS (Defense Federal Acquisition Regulation Supplement) 252.204-7012 et du CMMC (Cybersecurity Maturity Model Certification) niveau 2.

• NIST SP 800-171 : bien que non obligatoire, le contrôle des accès simultanés est implicitement couvert par d’autres exigences, telles que la prévention du partage de comptes, l’usage abusif des identifiants et l’application du principe du moindre privilège.

• FISMA (Federal Information Security Modernization Act) : loi américaine imposant l’adhésion aux recommandations du NIST en matière de contrôle des accès simultanés.

• ISO 27001 : fait référence au contrôle des sessions simultanées à travers plusieurs exigences, notamment la sécurisation des connexions, la limitation de l’usage abusif des comptes à privilèges et le maintien d’une traçabilité des accès, tous impactés par les sessions simultanées.

• NIST Cybersecurity Framework (CSF) : ce cadre de bonnes pratiques et de résultats attendus n’impose pas de contrôles spécifiques. Cependant, il recommande de limiter le partage d’identifiants, de réduire l’usage abusif des comptes et d’appliquer le principe du moindre privilège, autant de recommandations qui impliquent le contrôle des sessions.

Historiquement, les utilisateurs étaient souvent autorisés à ouvrir plusieurs sessions simultanées, par souci de commodité, notamment lorsqu’ils travaillaient depuis différents appareils ou sites. Progressivement, les organisations ont pris conscience que cela créait des risques inutiles, mais beaucoup ne disposaient pas des moyens techniques pour les limiter.

Malgré cela, certaines situations nécessitent toujours d’autoriser un utilisateur à ouvrir deux sessions ou plus avec un même compte. L’exemple le plus évident concerne les comptes administrateurs, pour lesquels la possibilité d’ouvrir des sessions simultanées sur plusieurs machines fait partie intégrante du travail.

À l’ère des environnements fixes, distants et mobiles, même les utilisateurs standard peuvent parfois avoir besoin de plusieurs sessions simultanées. Tout l’enjeu consiste à identifier les cas légitimes et à trouver un moyen de les contrôler sans entraver les activités normales.

Le contrôle des sessions simultanées ne se limite pas à autoriser ou bloquer des connexions supplémentaires. Lorsqu’un utilisateur ouvre une nouvelle session, il est essentiel de pouvoir distinguer la session principale des sessions secondaires.

Malheureusement, les contrôles natifs d’Active Directory (AD) ne permettent pas de suivre les sessions utilisateurs à travers différents appareils ou connexions.

UserLock résout ce problème en analysant les sessions en temps réel et en identifiant la session parente parmi celles ouvertes ultérieurement. Cela permet à UserLock d’appliquer la politique de sécurité appropriée à la bonne session, conformément aux règles définies.

La mise en place du contrôle des sessions simultanées passe par la création de politiques d’accès, applicables à un utilisateur AD spécifique, à un type d’utilisateur, à un groupe ou à une unité organisationnelle (OU), de manière temporaire ou permanente.

Les administrateurs peuvent également définir des limites de sessions simultanées par canal (VPN, Wi-Fi, IIS, SaaS), ce qui, dans le cas d’un VPN, est généralement limité à une seule session.

UserLock permet également d’appliquer des restrictions d’accès granulaires basées sur les sessions, telles que :

• type de session (poste de travail, terminal, Wi-Fi, VPN et IIS)

• plage horaire

• origine de la connexion (poste de travail, appareil, plage d’adresses IP, unité organisationnelle (OU), service et pays)

Lorsqu’un utilisateur tente d’ouvrir une session simultanée, les administrateurs peuvent bloquer la connexion, forcer la déconnexion de la session précédente ou verrouiller automatiquement les sessions existantes (la session reste ouverte mais suspendue).

Les utilisateurs peuvent également se voir proposer de fermer une session précédente afin d’éviter toute perte de documents.