- Les comptes administrateurs représentent moins de 5 % des comptes d'une organisation mais figurent dans plus de 60 % des incidents de sécurité significatifs comme vecteur de propagation ou d'exfiltration.
- Uber (2022) : un attaquant de 18 ans a obtenu un accès complet à des dizaines de systèmes critiques après avoir découvert des identifiants administrateurs en clair dans des scripts PowerShell accessibles depuis un compte prestataire compromis par MFA fatigue.
- T-Mobile (2021) : une API non sécurisée exposée en périphérie du réseau a permis l'accès à 50 millions de comptes clients — la propagation a été facilitée par l'absence de segmentation entre les couches réseau et applicative.
- Les comptes de service avec des mots de passe permanents et des droits administrateurs sont parmi les actifs les plus exposés : rarement surveillés, jamais en rotation, souvent partagés entre plusieurs systèmes.
- La gestion des accès à privilèges (PAM) — rotation automatique des secrets, enregistrement des sessions, accès just-in-time — est le contrôle de référence pour réduire la surface d'attaque des comptes admins.
Les comptes administrateurs et à privilèges élevés occupent une place particulière dans l'architecture de risque des systèmes d'information. Par définition, leur compromission donne à un attaquant la capacité d'agir avec les mêmes droits que l'administrateur légitime — modifier des configurations, exfiltrer des données en masse, créer de nouveaux comptes backdoor ou désactiver les contrôles de sécurité. C'est la raison pour laquelle ces comptes constituent la cible finale de la quasi-totalité des attaques sophistiquées.
La maîtrise des comptes à privilèges est un domaine à part entière — la gestion des accès à privilèges (PAM, Privileged Access Management) — qui dépasse la gestion des accès standard par son niveau d'exigence et la spécificité de ses contrôles. Les organisations qui traitent les comptes admins avec les mêmes processus que les comptes utilisateurs standard créent une asymétrie de risque critique.
Les vecteurs d'attaque spécifiques aux comptes à privilèges
Le premier vecteur est le credential harvesting : les identifiants administrateurs stockés de façon non sécurisée — fichiers de configuration, scripts, variables d'environnement en clair, partages réseau accessibles, gestionnaires de mots de passe mal configurés — constituent des cibles d'opportunité pour un attaquant ayant un premier pied dans le réseau. La découverte d'un seul identifiant admin en clair suffit souvent à compromettre plusieurs systèmes par réutilisation.
Le deuxième vecteur est le pass-the-hash et le pass-the-ticket : dans les environnements Windows, un attaquant ayant accès à la mémoire d'un processus peut extraire des hashes d'authentification NTLM ou des tickets Kerberos et les utiliser pour s'authentifier sur d'autres systèmes sans connaître le mot de passe en clair. Ce vecteur est particulièrement efficace contre les comptes de service locaux ou de domaine avec des droits administrateurs étendus.
L'attaque SolarWinds a compromis les systèmes de build de la plateforme Orion en insérant un backdoor dans les mises à jour logicielles distribuées à 18 000 organisations, dont des agences gouvernementales américaines et des entreprises du Fortune 500. Le système de build compromis disposait de droits d'accès directs au code source de production et aux pipelines de signature des binaires, sans isolation ni surveillance active. Les attaquants — identifiés comme le groupe Cozy Bear — ont opéré pendant neuf mois sans déclencher d'alerte. L'enquête post-incident a mis en lumière l'absence de contrôles PAM sur les comptes de service du pipeline de build, et l'absence de surveillance des accès aux ressources les plus sensibles du pipeline de développement.
Comptes de service : la surface d'attaque négligée
Les comptes de service — comptes techniques utilisés par des applications, des scripts ou des processus automatisés — constituent une catégorie particulièrement exposée. Leurs caractéristiques les rendent dangereuses : mots de passe permanents non soumis à rotation, droits souvent excessifs accordés pour la commodité du développeur, absence de MFA, utilisation partagée entre plusieurs systèmes. Un seul compte de service compromis peut ouvrir l'accès à l'ensemble des systèmes sur lesquels il est configuré.
Les solutions PAM modernes adressent cette problématique via la rotation automatique des mots de passe des comptes de service, l'injection de credentials à la demande (just-in-time), et la surveillance des sessions. L'adoption de ces solutions nécessite cependant un inventaire exhaustif préalable des comptes de service existants — exercice rarement réalisé de façon rigoureuse, qui révèle invariablement des comptes oubliés aux droits excessifs.
MFA comme contrôle compensatoire
L'activation de l'authentification multi-facteurs sur tous les comptes à privilèges est le contrôle compensatoire le plus efficace à court terme. Elle ne supprime pas la surface d'attaque liée aux droits excessifs, mais elle élève significativement le coût d'exploitation pour l'attaquant. Les solutions MFA résistantes au phishing (FIDO2, clés matérielles) sont à privilégier sur les comptes les plus critiques, car les MFA basés sur les notifications push restent vulnérables aux attaques par fatigue — comme l'a illustré l'incident Uber de 2022.
En juillet 2020, des attaquants ont compromis les outils d'administration internes de Twitter via une attaque d'ingénierie sociale ciblant des employés du support client. L'accès aux outils admin a permis de prendre le contrôle de 130 comptes à forte audience — dont ceux d'Elon Musk, Bill Gates et Barack Obama — pour diffuser une escroquerie Bitcoin. L'enquête a révélé que les outils d'administration étaient accessibles à un trop grand nombre d'employés et sans contrôles d'accès granulaires ni surveillance des actions effectuées depuis ces interfaces.
L'attaque WannaCry a paralysé plusieurs usines Renault en mai 2017, forçant l'arrêt de la production dans les sites de Sandouville et Douai. La propagation du ransomware a été facilitée par l'absence de segmentation réseau entre les systèmes de production industrielle et les réseaux bureautiques, et par la présence de comptes administrateurs locaux avec des mots de passe identiques sur de nombreuses machines Windows. WannaCry a exploité EternalBlue pour se propager latéralement, mais la vitesse de propagation a été directement conditionnée par l'absence de contrôle des droits administrateurs locaux.
Air India a annoncé en mai 2021 une violation affectant 4,5 millions de passagers, résultant d'une attaque contre SITA, son prestataire de gestion des données de passagers. Les données exposées incluaient noms, dates de naissance, coordonnées et informations de cartes Fréquence Plus. L'incident a mis en évidence les risques liés aux comptes d'accès des prestataires aux systèmes de données sensibles : SITA, qui gérait des données pour plusieurs compagnies aériennes mondiales, a constitué un point de compromission unique à fort impact. L'absence de segmentation fine des droits d'accès par client a amplifié le périmètre de la violation.