Utilisateurs sans privilèges jamais utilisés

Un utilisateur jamais utilisé est un compte utilisateur créé dans Okta qui ne s'est jamais authentifié avec succès auprès du dashboard Okta pendant un certain nombre de jours (90 jours par défaut, personnalisable) depuis sa création.

Ce type de compte utilisateur augmente la surface d'attaque pour diverses raisons, telles que :

• Un compte de porte dérobée autorise l'accès à des personnes qui n'en ont plus l'utilité (par exemple, d'anciens employés ou stagiaires n'ayant jamais utilisé ce compte).
• Le mot de passe par défaut continue d'être utilisé, exposant ainsi le compte à un risque de compromission potentiel plus élevé. Par exemple, une alerte CISA a signalé que :

  Des campagnes ont également ciblé des comptes dormants appartenant à des utilisateurs qui ne travaillent plus dans une organisation victime mais dont les comptes sont toujours présents sur le système

Et que :

Suite à une réinitialisation de mot de passe appliquée à tous les utilisateurs lors d'un incident, des acteurs du SVR ont également été observés en train de se connecter à des comptes inactifs et de suivre des instructions pour réinitialiser le mot de passe. Cela a permis aux attaquants d'obtenir à nouveau un accès après des activités d'éviction en réponse à un incident.

• Gaspillage de ressources, et notamment de licences. L'identification, la désactivation ou la suppression régulière des utilisateurs inutiles permet aux organisations d'optimiser l'allocation des ressources et d'éviter des coûts inutiles.

Tenez également compte de l'IoE connexe « Utilisateurs dormants » qui identifie tous les utilisateurs précédemment actifs qui sont devenus inactifs depuis. Voir aussi l'IoE connexe, « Utilisateurs avec privilèges jamais utilisés », pour les utilisateurs avec privilèges.

Remarque : l'IOE s'appuie sur la propriété lastLogin, qui présente une limitation connue : Okta met à jour cette valeur uniquement lorsqu'un utilisateur accède au dashboard Okta. Par conséquent, les authentifications initiées par SP, par exemple lorsque des utilisateurs accèdent directement à une application et sont rapidement redirigés vers Okta pour s'authentifier, ne mettent pas à jour cette propriété. Pour cette raison, l'IOE peut signaler des faux positifs pour des utilisateurs qui n'ont jamais accédé au dashboard Okta mais qui se sont authentifiés avec succès auprès d'applications. Okta a documenté une solution alternative, mais celle-ci n'est actuellement pas compatible avec Tenable Identity Exposure. Par conséquent, ces faux positifs doivent être exclus manuellement.

Tenable recommande de vérifier régulièrement ces utilisateurs jamais utilisés, et de les désactiver ou les supprimer. Après les avoir identifiés, prenez les mesures suivantes :

1. Désactivez les utilisateurs.
2. Attendez suffisamment longtemps, par exemple quelques mois, afin de garantir aucun impact involontaire.
3. Passé ce délai, si aucun problème n'est signalé et si la stratégie de sécurité des informations de l'organisation le permet, supprimez-les.

Nom: Utilisateurs sans privilèges jamais utilisés

Nom de code: NEVER-USED-NON-PRIVILEGED-USER-OKTA

Sévérité: Low

Type: Okta Indicator of Exposure