- Le partage d'identifiants est une pratique documentée dans la quasi-totalité des organisations auditées — souvent justifiée par la commodité ou l'absence de licences individuelles suffisantes.
- Twitter/X (2020) : l'accès aux outils d'administration était partagé entre trop d'employés sans contrôle granulaire, ce qui a facilité l'attaque d'ingénierie sociale et rendu l'attribution post-incident difficile.
- SingHealth (2018) : un compte utilisateur aux droits larges sur la base de données patients a été compromis, donnant accès à 1,5 million de dossiers — l'absence de comptes nominatifs distincts a empêché une attribution précise des accès légitimes.
- Le partage d'identifiants supprime la traçabilité : dans un compte générique utilisé par cinq personnes, il est impossible de déterminer qui a effectué quelle action à quel moment lors d'un audit ou d'une investigation.
- La suppression des comptes partagés nécessite souvent une résolution d'un problème de licences ou d'architecture applicative — pas seulement une décision de politique de sécurité.
Le partage d'identifiants est l'une des pratiques les plus répandues et les moins bien maîtrisées en gestion des accès. Sa persistance s'explique par des raisons pratiques : coût des licences applicatives, applications ne supportant pas la gestion d'utilisateurs multiples, situations d'urgence où la rapidité prime sur la procédure, culture d'équipe où le partage est normalisé. Ces justifications sont compréhensibles d'un point de vue opérationnel, mais elles créent des risques de sécurité et d'audit directs.
Le problème du partage d'identifiants est double. D'une part, il élargit la surface d'attaque en multipliant le nombre de personnes pouvant être ciblées pour obtenir les credentials concernés. D'autre part, il détruit la traçabilité des actions effectuées via ces comptes — ce qui rend impossible toute investigation post-incident précise et tout audit de conformité rigoureux.
Les formes du partage d'identifiants
Le partage prend plusieurs formes dans les organisations. Les comptes génériques ou fonctionnels : [email protected], support@système, root utilisés par plusieurs membres d'une équipe. Les comptes d'application partagés : un seul compte de connexion pour plusieurs utilisateurs d'une application SaaS non intégrée à l'annuaire. La transmission de mots de passe : un manager partage temporairement ses identifiants avec un collaborateur pour une tâche urgente — temporaire qui devient permanent. Les comptes d'urgence (break-glass) non correctement contrôlés, dont les credentials sont connus de trop nombreuses personnes.
Dans les environnements industriels et de production, les comptes partagés sont particulièrement prévalents : les équipes postées accèdent à des systèmes de contrôle avec des credentials communs car les systèmes SCADA anciens ne supportent pas la gestion d'utilisateurs nominatifs multiples. Cette contrainte technique doit être adressée via des solutions de proxy ou de vault qui injectent les credentials sans les exposer directement.
Lors de l'analyse post-incident de la violation Yahoo de 2013, les enquêteurs ont identifié des pratiques de gestion des accès défaillantes sur les systèmes d'authentification et de gestion des utilisateurs. Des comptes techniques aux droits larges étaient utilisés par plusieurs équipes d'ingénierie sans segmentation ni surveillance, facilitant la propagation de l'accès non autorisé une fois les premiers systèmes compromis. L'absence de comptes nominatifs distincts sur les systèmes sensibles a rendu l'investigation post-incident particulièrement complexe — il était impossible de distinguer les accès légitimes des accès malveillants dans les logs, car plusieurs personnes utilisaient les mêmes identifiants techniques.
L'impact sur la traçabilité et la conformité
La traçabilité des actions est une exigence directe de nombreux référentiels réglementaires : le RGPD impose de pouvoir démontrer qui a accédé à quelles données personnelles et quand. ISO 27001 (A.12.4) exige la journalisation des activités des utilisateurs et des administrateurs. PCI-DSS impose un identifiant unique par utilisateur accédant aux données de cartes. En cas de compte partagé, ces exigences ne peuvent pas être satisfaites — les logs existent mais ne permettent pas l'attribution individuelle requise pour l'audit ou l'investigation.
Pour les organisations soumises à ces référentiels, le maintien de comptes partagés constitue une non-conformité explicite. La correction passe par la création de comptes individuels avec authentification nominative pour chaque utilisateur des systèmes concernés — y compris quand cela implique un investissement en licences supplémentaires ou une migration vers une solution supportant la gestion multi-utilisateurs.
Gestion des comptes d'urgence
Les comptes d'urgence (break-glass accounts) — comptes administrateurs d'accès en dernier recours — nécessitent une approche spécifique. Ils doivent exister mais leur utilisation doit être rare et entièrement tracée. Les bonnes pratiques incluent : credentials stockés dans un coffre-fort physique ou un vault avec double custody, notification automatique à l'équipe sécurité à chaque utilisation, rotation immédiate des credentials après usage, et journalisation exhaustive de toutes les actions effectuées. Ces contrôles transforment un compte partagé à haut risque en un mécanisme d'urgence maîtrisé.
LastPass a subi en 2022 une violation en deux phases. La seconde phase, plus critique, a impliqué la compromission du poste personnel d'un développeur senior via une vulnérabilité dans un logiciel tiers. Ce poste avait accès à l'environnement de stockage cloud de LastPass et aux clés de déchiffrement des sauvegardes. Les attaquants ont exfiltré les vaults chiffrés de millions de clients. L'incident a mis en lumière les risques liés à l'attribution de droits d'accès à des environnements de production depuis des postes personnels non gérés — une forme de partage d'accès entre un contexte professionnel contrôlé et un contexte personnel non contrôlé.
L'impact catastrophique de NotPetya sur Maersk — 300 millions de dollars de pertes, reconstruction complète de l'infrastructure — a été amplifié par la présence de comptes administrateurs locaux avec des credentials identiques sur de nombreuses machines Windows du réseau mondial. Cette pratique de comptes partagés ou de mots de passe standardisés a permis au malware d'utiliser les techniques pass-the-hash pour se propager sans friction entre les systèmes. La reconstruction a nécessité l'installation de 45 000 postes, 4 000 serveurs et 2 500 applications en dix jours — un exercice de déprovisioning et de reprovisioning massif en conditions de crise.
L'attaque contre Sony Pictures Entertainment, attribuée au groupe Lazarus, a abouti à l'exfiltration de 100 téraoctets de données internes incluant des films non publiés, des scénarios, des données RH et des échanges d'emails de dirigeants. L'enquête post-incident a révélé des pratiques de gestion des accès particulièrement défaillantes, notamment un fichier texte nommé "passwords" stocké sur des serveurs internes contenant des centaines d'identifiants partagés de systèmes critiques. Ces credentials ont facilité la propagation rapide de l'attaquant dans l'ensemble du réseau de Sony Pictures une fois l'accès initial établi.