L'administrateur, bête noire pour la sécurité des IBM System i
Si les System i d'IBM (ex-AS/400) ont longtemps joui d'une réputation de fiabilité à toute épreuve, ils sont de plus en plus vulnérables à des attaques du fait des pratiques de sécurité contestables de leurs administrateurs. Selon une étude portant sur 188 System i réalisée par le PowerTech Group, une société de sécurité de l'Etat de Washington, nombre d'entreprises n'ont pas assez de mécanismes de contrôle interne en place pour protéger les données sur leurs serveurs.
Par exemple, 90% des systèmes audités n'avaient aucun contrôle en place pour prévenir ou auditer des modifications de données depuis un PC externe. 95% des systèmes disposaient au moins de 10 utilisateurs avec des droits d'accès administrateur et 43 % avait plus de 30 utilisateurs avec des droits "root". 77% des systèmes avaient aussi au moins 20 utilisateurs dont les mots de passe étaient les mêmes que leur login.
En bref, le sentiment de sûreté qu'inspire les System i n'encourage pas leurs administrateurs à la prudence... C'est d'ailleurs ce que confirme John Earl, le CTO de PowerTech en indiquant que "trop souvent les questions de sécurité sur System i ne sont pas traitées avec le niveau de priorité requis car les systèmes sont considéré comme intrinsèquement sûrs".
Le System i est un système propriétaire de milieu de gamme lancé par IBM en 1988 sous la marque AS/400. A l'origine basé sur la gamme System 38 d'IBM, il a connu plusieurs évolutions en profondeur au cours des 20 dernières années. Au fil du temps, le système a notamment vu sa connectivité améliorée avec le support de TCP/IP mais aussi de protocoles tels que FTP (file transfer protocol), ODBC (Open Database Connectivity) ou JDBC (Java Database Connectivity). Autant de protocoles qui l'ont ouvert à des attaques extérieures. Le problème est que nombre d'administrateurs System i ont conservé leurs habitudes et leurs certitudes quant à l'inviolabilité de la machine. Une attitude qui expose la machine à bien des problèmes à l'heure de l'Internet.
Adapté d'un article en anglais de Jaikumar Vijayan, Computerworld US