Qu'est-ce qu'un superutilisateur ?

Read in English (Lire en Anglais).

Un superutilisateur est un compte d'utilisateur disposant du plus haut niveau d'accès et de privilèges au sein d'un système ou d'une application logicielle. En fonction du rôle et de la responsabilité associés à un compte d'utilisateur, celui-ci dispose de capacités et de restrictions différentes.

Le National Institute of Standards and Technology (NIST), une agence du ministère américain du commerce, indique qu'un superutilisateur a le pouvoir « d'exécuter des fonctions relatives à la sécurité que les utilisateurs ordinaires ne sont pas autorisés à exécuter » [1].

Outre les opérations de sécurité, un compte superutilisateur peut également disposer de privilèges administratifs, y compris, mais sans s'y limiter :

• Lire et écrire dans les systèmes de fichiers

• Régir tous les aspects des paramètres des comptes d'utilisateurs

• Installer des logiciels et du matériel essentiel 

• Modifier les paramètres de sécurité

Comptes de superutilisateur dans différents systèmes d'exploitation

L'appellation d'un superutilisateur peut varier en fonction du système d'exploitation. La liste suivante couvre Windows, Linux et macOS.

• Windows : Windows fait généralement référence à un compte superutilisateur sous le nom de « compte administrateur ». Ce compte vous permet d'exercer un contrôle administratif complet sur le système et d'installer des logiciels et du matériel, de modifier les paramètres de sécurité, etc.

• Linux : Linux et d'autres systèmes de type Unix, comme Ubuntu, appellent le compte superutilisateur « root ». La fonction « sudo » d'Unix vous permet d'obtenir temporairement des autorisations de superutilisateur, ce qui vous permet d'effectuer des tâches administratives sans passer définitivement au compte root.

• macOS : Construit sur Unix, macOS appelle également le compte superutilisateur « root ». Lorsque le superutilisateur modifie des fichiers sur un Mac, vous devez réinstaller macOS pour annuler ces modifications.

Compte tenu des vastes privilèges d'accès d'un compte superutilisateur, vous devez comprendre ses implications en matière de sécurité pour les entreprises et les organisations fédérales.

Par exemple, Edward Snowden, un ancien contractant informatique de la National Security Agency (NSA ou « agence de sécurité nationale » américaine), a exploité ses privilèges de superutilisateur pour divulguer des fichiers classifiés. L'entité fédérale a réagi en réduisant de 90 % le nombre de ses administrateurs système [2].

5 façons de renforcer la sécurité des comptes de superutilisateurs

Voici quelques conseils pour limiter les risques d'utilisation abusive des comptes ou d'accès non autorisé aux comptes de superutilisateurs :

1. Restreindre l'appartenance à un superutilisateur.

Plutôt que d'accorder des droits de superutilisateur à plusieurs utilisateurs, adoptez une stratégie permettant un accès temporaire aux privilèges. Par exemple, dans les systèmes Unix et Linux, la commande sudo (pour « superuser do » ou « faire en tant que superutilisateur ») donne des privilèges sélectifs aux comptes ordinaires.

2. Subdiviser les systèmes et les réseaux.

Utilisez la segmentation du système et des réseaux en divisant les utilisateurs et les processus en groupes distincts sur la base d'exigences et de niveaux de privilèges spécifiques. Cela vous permet de gérer efficacement les accès. En retour, cela peut également réduire les effets négatifs d'éventuelles failles de sécurité ou d'actions non autorisées.

3. Créer un mot de passe fort.

Essayez de créer un mot de passe qui soit non seulement unique, mais aussi difficile à deviner. L'utilisation d'une combinaison variée de lettres majuscules et minuscules, de caractères spéciaux et de chiffres peut renforcer le mot de passe root/administrateur.

4. Modifier régulièrement le mot de passe du superutilisateur.

Des changements réguliers de mot de passe, y compris après chaque utilisation, peuvent réduire considérablement les risques de sécurité associés aux comptes de superutilisateur. Une authentification à deux facteurs (2FA) ou une authentification multifactorielle (MFA) ajoute des mesures de sécurité supplémentaires pour mieux protéger les comptes de superutilisateurs.

5. Rechercher les tentatives de mot de passe infructueuses.

Appliquer une politique de verrouillage des comptes afin de désactiver automatiquement les comptes de superutilisateurs après un certain nombre de tentatives infructueuses de saisie du mot de passe dans un laps de temps défini. Cette mesure de sécurité peut réduire considérablement la probabilité d'attaques par force brute.

Termes connexes

• Administrateur système

• Administrateur réseau

• Administrateur de base de données

• Administrateur Salesforce

Se lancer avec Coursera

Améliorez vos compétences en matière d'assistance informatique avec le Certificat de Professionnel de l'assistance informatique de Google sur Coursera. Ce cours de débutant vous aidera à maîtriser les technologies essentielles, notamment le code binaire, les systèmes de noms de domaine, et plus encore.