Support informatique : vérifiez l’identité des utilisateurs avec Specops Secure Service Desk
Sommaire
I. Présentation
Dans cet article, je vous propose de découvrir une solution de sécurisation pour le support informatique dont l'objectif est de faciliter l'identification des utilisateurs : Specops Secure Service Desk. L'objectif est clair : éviter l'usurpation d'identité, ce qui peut mener à la compromission de l'infrastructure de l'entreprise.
Pour comprendre l'intérêt de Secure Service Desk, prenons un exemple très simple. Vous travaillez au sein du service support informatique d'une entreprise qui compte 100 salariés répartis sur plusieurs sites, et vous assurez le support auprès des utilisateurs. Ce jour-là, un utilisateur vous contacte par téléphone pour une demande de support : il a besoin que son mot de passe Active Directory soit réinitialisé, car il ne s'en souvient plus. Cela est dans vos attributions, vous avez les compétences et les accès pour effectuer cette action.
Néanmoins, comment êtes-vous sûr que c'est bien la bonne personne au bout du fil ? Comment êtes-vous sûr que ce n'est pas une personne malveillante qui essaie d'usurper l'identité de l'utilisateur pour récupérer un accès à son compte ? Vous ne connaissez pas forcément l'ensemble des utilisateurs, surtout si certains sont à l'autre bout de la France ou d'un autre pays, et quand bien même vous connaissez bien l'un de ces utilisateurs, il pourrait être victime d'une tentative d'usurpation d'identité.
Ce jour-là, si vous faites l'erreur de réinitialiser le mot de passe alors qu'il s'agit d'une personne malveillante, l'entreprise pour laquelle vous travaillez risque d'être victime d'une attaque informatique pouvant mener jusqu'à une attaque par ransomware. La solution Secure Service Desk répond à cette problématique puisqu'elle permet de vérifier l'identité d'un utilisateur avant de procéder à la réinitialisation de son mot de passe Active Directory, de déverrouiller son compte, ou toute autre action, car en soit il n'y a pas de limites. Nous verrons également que Secure Service Desk sert à authentifier la personne du support informatique.
A. Specops Secure Service Desk en quelques mots
Avant de passer à l'installation et l'utilisation de la solution, faisons le point sur les fonctionnalités principales :
- Vérification de l'identité de l'utilisateur avant la réinitialisation du mot de passe ou le déblocage du compte.
- Prise en charge de différentes méthodes de vérification, du simple code par SMS ou e-mail à l'utilisation de solutions comme Okta et Duo Security.
- Prise en charge de différentes langues, aussi bien pour les personnes du support informatique que pour les utilisateurs.
- Audit de l'utilisation du système grâce à des rapports
- Récupération des clés BitLocker lorsque la solution complémentaire Specops Key Recovery est en place
Vous pouvez obtenir plus d'informations ou demander une version d'essai sur le site officiel :
B. Nos autres articles sur les solutions Specops Software
Découvrez également nos autres articles au sujet des solutions Specops Software :
- Specops Auditor (gratuit) - Identifiez les mots de passe vulnérables dans l'Active Directory
- Specops Password Policy - Politiques de mots de passe avancées pour l'Active Directory
- Specops uReset - Réinitialisation du mot de passe en libre-service pour les utilisateurs Active Directory
II. L'installation de Specops Secure Service Desk
Cet article ne s'attarde pas sur l'intégralité de l'installation de la solution en elle-même, mais uniquement sur certaines parties. Cette solution ne nécessite pas énormément de ressources pour fonctionner puisqu'elle s'appuie sur une console Cloud gérée par Specops Software. Néanmoins, vous devez disposer d'un Active Directory opérationnel et d'un serveur sur lequel le rôle "Gatekeeper" va être mis en place, car on part du principe que le contrôleur de domaine ne communique pas directement avec Internet, ce serveur avec le rôle "Gatekeeper" sert de relais. Il est à noter que ce serveur peut avoir d'autres fonctions et qu'il n'est pas nécessaire de le réserver à la fonction de Gatekeeper.
La récupération des sources d'installation s'effectue à partir du portail Specops. Lorsque la solution Specops uReset est en place, le même serveur Gatekeeper peut être utilisé et les fonctions de Secure Service Desk viendront en complément de celles de Specops uReset.
L'installation s'effectue assez rapidement, en quelques clics, disons.
Pour l'utilisation de Secure Service Desk (SSD), la section "Active Directory Settings" sera particulièrement intéressante. Le reste de la configuration s'effectue en ligne à partir du portail Specops. Durant l'installation, un compte gMSA est mis en place pour l'exécution du service.
Au-delà des choisir les utilisateurs qui entrent dans le périmètre de la solution, il faut configurer les membres du groupe "Service Desk Agent group" afin de choisir un ou plusieurs groupes de sécurité Active Directory qui contiennent les techniciens du support qui ont un accès à la console Secure Service Desk. Il faut être membre de ce groupe pour exploiter la solution SSD. Cela signifie aussi qu'un technicien peut avoir accès à la solution Secure Service Desk sans pour autant avoir les droits directement sur l'annuaire Active Directory en lui-même.
Dans cet exemple, le groupe "Admins du domaine" est membre de "Service Desk Agent", ainsi que l'utilisateur "florian" du domaine "it-connect.local".
L'installation de base est terminée. Nous reviendrons sur d'autres paramètres un peu plus loin dans cet article. En attendant, nous allons pouvoir effectuer un premier test pour vérifier l'identité d'un utilisateur.
III. Support informatique : vérifier l'identité d'un utilisateur
Voilà, nous y sommes, nous allons vérifier l'identité d'un utilisateur. Pour cela, on se remet dans le même contexte que tout à l'heure : un utilisateur appelle le support informatique, car il souhaite que l'on réinitialise son mot de passe.
A. Exemple concret
Tout d'abord, il faut se connecter sur la console Specops. Un lien rapide est disponible dans la console sur le serveur Gatekeeper.
Sur cette interface, il faut s'authentifier. Ici, je me connecte avec le compte "florian" (qui est un compte standard sur mon domaine AD). Puisque j'ai utilisé le lien personnalisé, je peux préciser uniquement "florian" sans mettre l'e-mail : l'utilisateur sera reconnu.
Me voici connecté sur la console Service Desk. La zone de recherche en haut à droite permet de rechercher l'utilisateur pour lequel on souhaite vérifier l'identité. Prenons le cobaye habituel : Guy Mauve. En le recherchant, j'arrive sur la page de son profil avec la mention en haut à droite "Non vérifié" : c'est normal, je n'ai pas encore vérifié son identité. Désormais, il faut cliquer sur le bouton "Vérifier l'identité".
Plusieurs méthodes de vérification sont disponibles, notamment la vérification par SMS que je prends ici comme exemple. En cliquant sur "Envoyer" sous "Message texte", cela va envoyer un code par SMS à l'utilisateur. Comment Secure Service Desk parvient-il à récupérer le numéro de téléphone ? Simplement à partir de l'Active Directory donc cela implique que la fiche de l'utilisateur soit correctement renseignée.
C'est à ce moment-là que l'utilisateur à l'autre bout du téléphone doit vérifier son téléphone pour vous communiquer le code reçu par SMS. C'est ce code qui va servir à identifier l'utilisateur ! Si le code est bon, on considère que c'est le bon interlocuteur. On saisit le code et on appuie sur "Vérifier".
Voilà, Guy Mauve vient de s'authentifier auprès du service informatique, donc sa demande de support peut être prise en charge, car elle est légitime.
Ensuite, en basculant sur l'onglet "Réinitialiser le mot de passe", on va pouvoir changer le mot de passe de l'utilisateur Guy Mauve et lui communiquer par e-mail ou SMS. Il devra, ou non, le modifier à la prochaine ouverture de session selon l'option "<utilisateur> doit changer de mot de passe à sa prochaine connexion" (il est possible de préconfigurer et verrouiller cette option dans les paramètres de SSD).
B. Configuration de Secure Service Desk
Vous n'avez peut-être pas fait attention, mais avant même d'avoir authentifié l'utilisateur, le technicien pouvait accéder à l'option de réinitialisation du mot de passe de cet utilisateur. Cela signifie que si le compte du technicien est compromis, qu'une personne malveillante dispose d'un accès à ce compte (ce qui implique de connaître l'identifiant, le mot de passe et de valider un second facteur d'authentification), elle pourrait réinitialiser le mot de passe d'un autre compte et l'utiliser.
Si vous souhaitez que le technicien soit en mesure d'agir sur le compte de l'utilisateur uniquement après la phase de vérification de l'identité, il faut cocher l'option "Forcer la vérification d'identité" dans les options de Secure Service Desk. Ainsi, il y a comme une sorte d'authentification mutuelle : d'une part on vérifie l'identité de l'utilisateur final, et d'autre part, on s'assure que le technicien ne puisse pas agir sur le compte de l'utilisateur sans avoir eu "l'accord" de l'utilisateur.
Suite à l'activation de cette option, lorsque l'identité n'est pas vérifiée, on peut voir que l'option est grisée. On peut également ajuster la durée pendant laquelle on considère que l'identité est vérifiée : 15 minutes par défaut.
Specops Secure Service Desk offre des options pour personnaliser les SMS et e-mails, mais également ajuster les options de notifications et réinitialisation du mot de passe comme le montre l'exemple ci-dessous.
C. Identifier l'utilisateur via son responsable
Dans certains cas, il peut être nécessaire de s'appuyer sur une autre personne pour vérifier l'identité de quelqu'un. Imaginons que l'utilisateur n'ait pas accès à ses e-mails et qu'il n'a pas son téléphone, comment faire ? On peut prendre un autre exemple : le responsable de service souhaite donner son accord avant la réinitialisation d'une action spécifique, on le sollicite, en plus de vérifier l'identité de l'utilisateur en lui-même.
Secure Service Desk offre la possibilité de solliciter le responsable de cette personne, selon la configuration définie dans l'Active Directory. Dans l'exemple ci-dessous, l'utilisateur "florian" est défini comme étant le gestionnaire de "Guy Mauve".
Afin d'utiliser cette fonction, il suffit de cliquer sur le bouton "Identification du gestionnaire" dans l'interface de SSD au sein de la fiche de l'utilisateur.
Ensuite, sur le même principe que pour vérifier l'identité de l'utilisateur, on peut envoyer un e-mail ou un SMS au gestionnaire.
IV. Conclusion
Specops Secure Service Desk est une solution très intéressante et pertinente pour sécuriser les activités du support informatique et lutter contre l'usurpation d'identité. Par ailleurs, c'est aussi un moyen d'être certain qu'un mot de passe est réinitialisé par le support informatique uniquement lorsque l'utilisateur a donné son accord, via le processus de vérification.
Selon l'organisation de votre entreprise, le nombre de salariés et l'emplacement géographique de ces salariés (télétravail à prendre en compte également), une solution comme celle-ci prend tout son sens. Pour renforcer la sécurité de son système d'information, SSD est une réelle solution qui s'attaque à une vraie problématique, mais on peut imaginer plusieurs scénarios un peu plus spécifiques :
- Une PME avec un service informatique situé sur un site unique et une multitude de sites distants à gérer
- Une PME ou une grande entreprise avec un nombre important de salariés
- Une société de service qui assure le support informatique de plusieurs clients
- Etc.
Vous pouvez obtenir plus d'informations ou demander une version d'essai sur le site officiel :