Superieur hierarchique et compte "administrateu

[Krapno]

Bonjour,

je suis administrateur réseau responsable du service informatique dans une PME. Mon superieur hierarchique, qui n'a aucune formation ni en réseau ni même en developpement me demande la liste complete des comptes et les accès admin.

Je sais que cetet personne a un "mauvais fond" derrière cette requête, que puis-je faire? Est-ce bien légal?

Merci de votre aide.

[Timil]

Tu peux lui donner la liste des comptes, mais pas les mots de passe (puisque tu ne les a pas).

Pour le mot de passe du compte administrateur, il faut que la personne soit formée et/ou signe une décharge d'usage. De plus, il faut que chaque administrateur utilise SON compte d'administration pour des besoins de loggin des usages.

Mon conseil donc:
Export de la liste des comptes AD (légal).
Ajout d'un mot de passe complexe au compte admin courant et fin de l'usage de ce compte (légal).
Création d'un compte admin pour toi (légal).
Création d'un compte admin identique pour lui, avec un autre nom (légal).
Cession de ce dernier compte pour lui et force le à mettre SON mot de passe (légal).
Mise en place d'un audit de TOUT avec des journaux très larges (légal).

Ainsi il a les droits d'admins, mais toi et lui seront fliqués par le systèmes d'audit... donc relativement sur pour toi puisque la suppression des journaux entraine l'ajout d'un événement de suppression nommant l'admin qui a fait la suppression (et donc permettent de prouver la responsabilité).

Toi tu es planqués puisque tu peux tout prouver, lui pas puisqu'il n'a pas les compétences pour cacher ses éventuelles traces que tu as créer avec ce système.

J'adore ce metier

EDIT PS: Ne lui donne JAMAIS le compte administrateur. Donne lui les mêmes droits sur son compte, mais JAMAIS le compte admin. Ainsi tout action pourra être loggué. Le but est de différencier qui fait quoi en permanence... et de voir si jamais il change le mdp de l'admin pour faire des trucs, ca apparaitra!

[Krapno]

Merci beaucoup pour vos suggestions, je vais procéder ainsi en "uppant" son compte et communiquer la liste des logins.

NB: Chaque utilisateur est-ils obligé de communiquer son mot de passe?

Je recherche des articles légaux via Internet car expliquer les choses de vive voix ne sert à rien, cette personne pense que je fais un blocage personnel.



Extrait d'un email de la personne:

Je souhaite une copie de tous les mots de passe et tous les accès possibles, à tous les postes….. que tu crées au nom de la société. Tu peux éventuellement y ajouter des commentaires quand à leur utilisation.
Tout changement doit m’être signalé ainsi que toute initiative de changement et ce, en amont. Or ce n’est pas le cas aujourd’hui il me semble…
Je ne t’empêche pas de travailler mais je dirige en partie cette société et je pense être dans mon droit de posséder ces informations que j’utiliserai si besoin et à bon escient.
De toute façon, nous allons avoir l’occasion d’en parler
Merci

Ceci constitute-t-il un "abus d'autorité" ?

Merci de votre aide,

[Timil]

Non, il est interdit de connaitre les mdp des utilisateurs, puisque le couple login/mdp permet de certifier de l'usage des droits.

De plus, c'est particulièrement spécieux puisque l'admin (et autres utilisateurs délégué de ces droits) a le droit de modifier tout mot de passe à la volé, sans jamais avoir la possibilité de connaitre les mots de passe (cryptage non réversible).

C'est comme demander le code et la carte bleu des gens...

Le couple login/mdp est le seul moyen de savoir qui fait quoi, donc le donner c'est donner le droit à la personne de faire des anneries en son nom (possibilité d'usage en tant que preuve devant la justice, surtout si un réglement intérieur spécifie que le mot de passe en doit pas être divulgué).

Up lui simplement son compte en admin, et met tout les audits en place en augmentant la taille des journaux d'audits (et fait des sauvegardes journalieres de ceux ci)... il aura de fait les mêmes droits que si les gens lui avait donner leur mdp, mais l'impunité en moins.

EDIT réponse à ton édit (pas de mal)

Je souhaite une copie de tous les mots de passe et tous les accès possibles, à tous les postes….. que tu crées au nom de la société.

Les postes n'ont pas d'accès à quoi que ce soit, ce sont les users (il est légal d'être con). Tu n'as aucun accès aux mots de passe, les users ont le droit de le changé, donc tu peux répondre que tu n'as pas accès toi même à cette information.
Pour les droits d'accès, utilises xcalcs pour extraire la liste des droits d'accès à chaque répertoire des serveurs de l'entreprise.

Tu peux éventuellement y ajouter des commentaires quand à leur utilisation.

Tu n'es pas l'utilisateur, tu n'as donc aucune idée de l'usage réel.

Tout changement doit m’être signalé ainsi que toute initiative de changement et ce, en amont. Or ce n’est pas le cas aujourd’hui il me semble…

Tu peux effectivement mettre en place une demande d'approbation de changement de droit à ta hierarchie, en plus ca te couvre en cas de problème (puisqu'ils sont éclairés). Par contre, les changements de mots de passe n'ont pas à passer par la hierarchie, mais dans le cas le plus extreme tu peux interdires aux users de changer leur mot de passe et leur demander A EUX de fournir à ton chef leur mot de passe, en les informants que dans ce cas il a la possibilité d'accéder à leur données perso et pro (sachant qu'il peut le faire mais que c'est puni de 1 an de prison et 100.000€ d'amende).

Je ne t’empêche pas de travailler mais je dirige en partie cette société et je pense être dans mon droit de posséder ces informations que j’utiliserai si besoin et à bon escient.

C'est à dire jamais, puisque tout usage sans en avertir les users finaux (de leur compte je parle) est puni de 1 à 3 ans de prison et de 100 à 300k€. (en france)

[Krapno]

Merci beaucoup, si vous avez des liens législatifs vers lesquels je pourrais me diriger cela pourrait apporter des éléments plus "parlants" à la personne.

Bonne journée

[Timil]

Non j'ai rien, juste une vieille formation en DUT où l'on m'a seriné les articles (que j'ai pas noté)... et comme quoi dès qu'on a la formation on est considéré comme "au courant" et donc on a plus les circonstances aténuantes.

Tu ne peux pas lui opposé une fin de non-recevoir de toute façon, il a le droit de demander et si tu veux garder ta place de toute façon tu dois être arangeant avec tes chefs. Mais bon, si tu mets en place ce que j'ai indiqué et que tu précises bien par écrit que tu ne peut être tenu responsable des maigres informations que tu donnes (puisque tu n'as pas les mdp).

Précise simplement que pour des mesures de sécurité des audits sont actifs en permanence sur les serveurs et tu es couvert, puisque tu as ainsi le droit d'utiliser ces informations en cas de problème pour te couvrir. (toujours garder traces de TOUT).

[blackjack]

J'ai retiré la mention urgent du titre.
Merci de lire les règles.

Je déplace également ce post : il ne s'agit pas d'un pb avec AD mais plus d'un aspect pro/juridique.

Je déplace vers Dépannage et remarques.

[bigstyle]

C'est formellement interdit.

Regardes du coté de la CNIL.
J'essaie de te retrouver les articles si j'ai un peu de temps

[Krapno]

Ok vu pour le déplacement.

Je cherche aussi sur le site de la CNIL mais c'est trop "fouillis"...

[Timil]

C'est formellement interdit.

Ca dépends quoi.

Avoir les loggin du domaine induisent une responsabilité, que nous acceptons de par notre contrat et pour laquel nous sommes avertis par notre formation (pour ceux qui ont une formation... pas sur le tas).

Qu'un chef nous les demandes et demande la liste des ACLs, c'est ok. Logguer les actions c'est aussi de la tache admin normale et légale.

Par contre, c'est le risque induit de piratage/violation de la vie privée qui concerne la CNIL, et donc pour couper court à tous problèmes (considérant que tu es probe bien sur) il faut que tu logs tout