Demandez au technicien moyen du support technique ce qu’il fait toute la journée, et il répondra probablement en disant qu’il réinitialise les mots de passe. Bien sûr, les techniciens du helpdesk font beaucoup d’autres choses aussi, mais dans de nombreuses organisations, un nombre disproportionné d’appels au helpdesk est lié à la réinitialisation des mots de passe.
En surface, avoir un technicien du support technique réinitialise le mot de passe d’un utilisateur ne semble probablement pas un gros problème. Après tout, le technicien ouvre simplement Utilisateurs et ordinateurs Active Directory, clique avec le bouton droit sur le compte d’utilisateur et choisit la commande Réinitialiser le mot de passe dans le menu contextuel. La réinitialisation d’un mot de passe de cette manière est un processus simple. Les organisations peuvent même choisir d’utiliser un outil alternatif tel que le centre d’administration Windows ou même PowerShell si elles le souhaitent.
Une chose à laquelle la plupart des gens ne s’arrêtent probablement pas et ne pense pas, cependant, est que même si les étapes impliquées dans le processus de réinitialisation du mot de passe sont assez simples, le le processus dans son ensemble constitue un risque de sécurité majeur.
Sécurité et service desk
La première étape du processus de réinitialisation du mot de passe implique qu’un utilisateur décroche le téléphone et appelle le service d’assistance pour demander une réinitialisation de mot de passe. Le problème avec cela est que le technicien du service d’assistance qui répond au téléphone n’a aucun moyen de savoir si l’utilisateur est vraiment celui qu’il prétend être.
L’établissement positif de l’identité d’un appelant était moins problématique lorsque pratiquement tous les utilisateurs travaillaient au siège social, car les informations d’identification de l’appelant d’un utilisateur pouvaient parfois être utilisées comme outil de validation. Bien que l’utilisation de l’identification de l’appelant de cette manière n’élimine pas complètement les chances qu’un utilisateur usurpe l’identité d’un autre utilisateur, cela fait en sorte qu’un utilisateur qui souhaite usurper l’identité d’un autre utilisateur doive appeler le service d’assistance à partir du bureau de cet utilisateur.
Aujourd’hui, bien sûr, les choses sont bien différentes de ce qu’elles étaient autrefois. Alors que la pandémie se prolonge, de nombreux travailleurs continuent de travailler à domicile. Même lorsque le jour arrive où les gens peuvent retourner au bureau en toute sécurité, un pourcentage important d’employés continuera probablement à travailler à distance.
Malheureusement, l’identification de l’appelant n’est pas un outil efficace pour valider l’identité d’un utilisateur distant. Lorsqu’un utilisateur distant contacte le service d’assistance de l’organisation, il appelle depuis une ligne extérieure. Il est incroyablement facile pour un appelant externe d’usurper les informations d’identification de l’appelant. Les télévendeurs et les fraudeurs par téléphone utilisent cette technique tout le temps. Les fraudeurs modifient souvent, par exemple, leurs informations d’identification de l’appelant pour donner l’impression qu’ils appartiennent à une agence gouvernementale ou à une grande entreprise. En termes simples, l’identification de l’appelant n’est pas fiable pour les appels provenant de l’extérieur de l’organisation.
Ainsi, si les informations d’identification de l’appelant ne sont pas fiables, les organisations doivent réfléchir à la meilleure façon de valider l’identité d’un utilisateur lorsqu’elles appellent le support technique pour demander une réinitialisation de mot de passe.
Une technique de validation particulièrement courante consiste à poser une question de sécurité à l’utilisateur. Le technicien peut par exemple demander à l’appelant quel est le nom de son animal ou dans quelle ville il est né. Malheureusement, cette méthode pose également un risque pour la sécurité.
Le risque le plus évident posé par les questions de sécurité est qu’Internet facilite la collecte d’informations personnelles sur quelqu’un. Un attaquant peut appeler le service d’assistance d’une organisation dans le seul but de découvrir les types de questions de sécurité qu’il pose. Une fois que l’attaquant connaît les questions les plus susceptibles d’être posées, il peut utiliser les moteurs de recherche et les réseaux sociaux pour rechercher les réponses d’un utilisateur particulier à ces questions.
L’autre gros problème lié à l’utilisation des questions de sécurité est que le technicien du support technique apprend la réponse à la question. Un technicien peu scrupuleux pourrait alors utiliser ces informations à des fins illicites.
Cela soulève un point important. Rien n’empêche un technicien du support non éthique d’effectuer une réinitialisation de mot de passe non demandée. Le technicien peut se rendre compte qu’un utilisateur particulier va être en vacances pendant une semaine, puis réinitialiser le mot de passe de l’utilisateur afin que lui-même ou quelqu’un d’autre puisse accéder au compte pendant l’absence de l’employé.
Bonnes pratiques pour la réinitialisation du mot de passe du Service Desk
Inutile de dire que le processus de réinitialisation du mot de passe présente des défis majeurs. La meilleure façon de surmonter ces défis est d’adopter une solution de mot de passe tiers qui peut vérifier en toute sécurité l’identité d’un utilisateur avant d’effectuer une réinitialisation de mot de passe. Le logiciel Specops peut le faire de plusieurs manières. Un exemple consiste à envoyer un code à usage unique à l’appareil mobile d’un utilisateur. De plus, la solution Specops empêche les techniciens du support de réinitialiser arbitrairement les mots de passe. Un technicien du support technique ne peut pas réinitialiser un mot de passe tant que l’utilisateur n’a pas validé son identité, ce qui empêche un technicien d’effectuer une réinitialisation de mot de passe non autorisée.
En savoir plus sur la façon dont Specops peut augmenter la sécurité de réinitialisation du mot de passe.
