Bonjour,

Teamviewer est un outil plutôt pratique et qui est donc pas mal déployé.
Dernièrement je rencontre un cadre d'entreprise qui m'indique qu'il bosse de manière moderne, 3.0, etc. et qu'il a donc l'habitude de laisser son portable allumé au bureau et d'utiliser Teamviewer pour s'y connecter d'où bon lui semble (son PC@home, celui de sa maitresse, l'ordi public en vacances au Guatemala, etc.).
Exit le fait de se balader avec son portable pro et le VPN d'entreprise. Pour lui c'est l'informatique de papa.

Sauf que tout cela ne me parait pas satisfaire aux exigences de sécurité d'une entreprise digne de ce nom, non ?

En sus de permettre une connexion au réseau de l'entreprise non gérée par l'IT et non centralisée, qu'en est-il de la récupération possible des ID et MDP Teamviewer (trojan sur PC@home, vengeance de sa maitresse jalouse, keylogger sur l'ordi en vacances, etc.) ?
Également le piratage des serveurs Teamviewer ou encore une faille dans l'appli avec gestion approximative de sa correction ? Exemple : https://www.nextinpact.com/brief/te [...] e-1687.htm

Comment percevez-vous Teamviewer niveau sécu dans une PME/Entreprise ?
Si vous l'utilisez, restreignez-vous techniquement son utilisation ?

Bonjour,
 
"En sus de permettre une connexion au réseau de l'entreprise non gérée par l'IT et non centralisée, qu'en est-il de la récupération possible des ID et MDP Teamviewer (trojan sur PC@home, vengeance de sa maitresse jalouse, keylogger sur l'ordi en vacances, etc.) ?"
 
Il y a ce risque là effectivement mais aussi celui que du côté de TeamViewer fuite et/ou il y ait une faille/bug dans leur process d'auth.
TeamViewer personnellement c'est bien pour les besoins ponctuels et particuliers sinon c'est Gateway RDS.

Merci du retour.
j'avais fait, juste avant de te lire, un petit edit pour rajouter cet aspect

Le plus gros risque en fait c'est simplement que quelqu'un voit ce qu'il fait a l'ecran... Ou qu'il se fasse pirater son pc a la maison.
Niveau secu c'est pas a 100% ideal surtout que t'as aucun logs, mais faut pas exagerer le risque de piratage non plus chez teamviewer lui même c'est pas là oú ça peche le plus je pense.
Et puis la gateway RDS, si la chaine firewall, dmz, serveur sont mal securisés bah c'est pas forcément mieux.

ShonGail : Tout accés distant doit pouvoir être tracé par l'entreprise.
Je ne pense pas qu'avec teamviever tu peux tracer quel utilisateur c'est connecté ou.
Chez nous, tout equipement ou logiciel de prise de main à distance autre que celui que nous proposons est interdit.
Nous l'interdisons cela (via IPS) et beaucoup de grosse entreprise le font.  
 
j'utilise ce référentiel
http://esante.gouv.fr/sites/defaul [...] v1.0_0.pdf
Peu être que tu peux en trouver un plus généraliste

 
Le risque, à mon sens, est que tu peux accéder à un matériel sur le LAN depuis n'importe où sur Internet, via une appli publique et très facile d'accès, avec une gestion des MDP laissée à l'utilisateur.
Et que ces accès ne sont pas centralisés pour l'entreprise, permettant ainsi leur journalisation, monitoring, révocation et soumission à des ACL particulières.
 
Qui plus est, Teamviewer est une solution, elle, centralisée et donc nettement plus susceptible d'attaques et de vols massifs de données permettant l'accès à X réseaux d'entreprises.
Là où même ta propre solution VPN/RDS Gateway, même si elle peut comporter des failles, nécessite que des pirates s'y intéressent spécifiquement.

 
Merci bien
Je vais lire ce document. Il m’intéresse

C'est la grande tendance de travailler depuis n'importe ou, sur n'importe quelle machine, si l'entreprise accepte ça (car il y a forcement un risque de keylogger etc) il faut mettre des solutions plus appropriés que Teamviewer.
 
Office 365 et double authentification me parait bien plus pratique et sécurisé pour accéder au emails, agendas, fichiers.

 
Pas besoin de s'y intéresser "spécifiquement" non, des scripts qui scannent les failles de sécu sur des plages ip IP et tentent de rentrer  ça existe  (j'en vois passer tous les jours sur mon Firewall, d'ailleurs c'est rigolo de voir que la plupart du temps les IP -réelles ou pas d'ailleurs- viennent de chine, russie, brésil).
 
Ta réflexion sur teamviewer vaut donc pour tes autres services applicatifs qui seraient dans le cloud hin

 
Oui et non.
Il est sûr que si la faille sur son VPN ou son RDS Gateway c'est que l'OS/firmware n'est pas à jour des failles critiques depuis belle lurette ou qu'on a des MDP de 4 caractères sans blocage du brute force, alors on est à la merci de scripts automatiques.
 
Mais Teamviewer, j'imagine qu'ils font face à d'autres types d'attaques, bien humaines et nettement plus sophistiquées. Clairement ciblées sur leur service.
 
Quant au "Cloud", tu ne parles pas à un adepte de la secte
Tout foutre dans le même panier au même endroit, c'est pour moi un risque.

En dehors de la politique de laisser son pc allumé et de prendre le controle via teamviewer ou autre pour bosser à distance (quid du monsieur lamba qui passe par la et utilise la session du monsieur ayant laissé son pc ouvert?), il y a aussi la question de comment sont consignés les infos sur ces plateformes etc...
 
Une des solutions qui peut se présenter est de choisir une solution semblable via appliance dédiée dans ton SI. (une boite française propose cette solution et elle est en test chez nous si ca t'interesse -> MP)
 
Comme le dis skoizer, on a aussi interdit chez nous tous logiciels de PMAD autre que les notres via IPS et on ne se porte que mieux

+1 Av3k
l'ultra mobilité ne veut pas dire, "on fait ce que l'on veut" !  
Ce n'est pas le FarWEST

Bonjour. Pour ma part je suis totalement d accord avec les divers propos autour du shadow it et du fait que certains utilisateurs d un SI d entreprise se croient tout permis. Je bosse a la gestion d un parc de 580 PCs sur un site de 42 hectares.  J ai participé a la mise en place d un team viewer enterprise avec licence 6 canaux. Nous avons blindés le system de facon à ce que nos users ne puissent pas modifier les paramètres de connexion a team viewer. Je n ai jamais constaté d intrusion sur notre environnement par une quelque conque faille de sécurité de team viewer. Mais par contre nous avons bloqué les connexions via le mod web. Nous utilisons exclusivement en mode LAN. Le mode RDS est bien peut etre plus securisé mais moins pratique que team viewer.

 
vous avez restreint via la management console Teamviewer ou en descendant sur les postes de clés de BDR ?

TeamViewer est très pénible niveau sécurité.
Si tu changes de navigateur pour aller sur la console, il t'envoie un mail pour te demander une confirmation que c'est bien toi.
En plus c'est du captcha à fond dès que c'est une nouvelle connexion.
Si tu ajoutes à ça des restrictions, les risques sont vraiment très faibles.

Exactement nous avons exporté nos profils de config souhaités en point reg Et via GPO et MSI installer nous avons paramétré nos clients . J ai effectivement aussi accès au dashbord de team viewer pour la creation des cannaux de techniciens. Mais nous n utilisons pas le mode management console pour les pcs.

 
Les risques d'utiliser Teamviewer en Entreprise pour se connecter depuis le WAN sur le LAN ?

Teamviewer quand il n'est pas bridé, c'est bien pour nous les prestas, car on peut se servir de n'importe quel TeamViewer pour se connecter chez le client.
Dans un grand groupe ou si tu veux un maximum de sécurité, tu brides l'accès et les autres n'ont pourront plus s'y connecter.

Ce qui me parait important c'est de brider Teamviewer afin :
 
- que le process se ferme après utilisation
- que son service ne soit pas actif
- que le mot de passe soit aléatoire et d'au moins 6 caractères
 
Après on peut aussi brider à une liste blanche.
 
Cela n'empêche pas d'utiliser si besoin le module Quick Support pour donner accès à des prestas qui ne seraient pas dans la liste blanche.

Tu peux aussi l'authentification par token et tu n'as plus de mots de passe et tu peux laisser le service tourner.
Si un presta souhaite se connecter, il faut quitter le TV host et lancer le quick support du presta.
A moins d'une faille, si tu le configures bien, les risques sont très faibles.

Oui enfin pour revenir au post initial, le problème ce n'est pas les prestas mais le salarié qui plutôt que de prendre son portable pro et monter le VPN d'entreprise va laisser son portable pro au bureau et s'y connecter via Teamviewer depuis où bon lui semble.

Si les restrictions sont en place, je ne vois pas où est le problème.

Ben le problème est que s'il y arrive, c'est que les restrictions que j'ai mentionnées ne sont pas en place
 
Et la question initiale est de savoir si cette utilisation de Teamviewer, en gros un contournement de la solution laptop professionnel sécurisé+VPN, vous parait acceptable ou non ?
 
Doit-on permettre à un salarié de se connecter sur son laptop resté au bureau depuis n'importe quel PC sur le WAN via Teamviewer ?

Je lui dirais que non, car des solutions sont en place avec le VPN.
Ca doit être la version gratuite qu'il utilise et qui est limité dans le temps.
Ca va être le coup à ce qu'il ouvre un ticket pour dire qu'il a besoin de bosser mais que Teamviewer ne veut plus le connecter car il était trop souvent connecté.

Non il ne faut pas que cela soit permis car n'importe qui passant devant le pc peut très bien arreter le teamviewer pour utiliser tranquillement la session de Benard qui travaillait sur son poste via teamviewer...
 
Pour moi, si tu acceptes ces solutions, autant ne pas mettre de session en place et foutre des pc en libre services, ca revient au même...

 
Ouh c'est intéressant ce point !
Cela pose un problème de confidentialité !
Merci

Je te l'avais soulevé déjà dans mon 1ier post mais pas de soucis

Oui ca me semblait tellement évident également.

perso je l'utilise en quicksupport (intervention obligatoire de l'utilisateur, droit limité a sa session sauf autorisation de sa part, couple clé/motdepasse changeant a chaque fois) parcequ'on on est une equipe it limité et que tout le monde nous connaits  
 
si vous souhaitez un service de ce type sécurisé je preconise bomgar :
https://www.bomgar.com/fr/
 
meme presta que teamviewer sauf que le serveur de relai se trouve chez vous.

 
Idem par ici, nous utilisons teamviewer (surtout depuis qu'ils sont enfin passés sur une facturation "maintenance" annuelle) pour le support de nos users. Via quicksupport, pour éviter les râleries du style "le SI nous espionne !!" Ce sont eux qui lance leur session ponctuellement. Principalement utilisé pour nos user nomades (300 personnes partout en france sur PC portable ou tablette) qui tous connaissent notre petite équipe de 3 personnes Pour le Lan, aucun accès depuis l'extérieur, ou ponctuellement sur certain serveur pour les presta, mais là aussi, je lance les sessions (et ouvre les ports FW pour la machine en question)
Mais hors de question que des users non cadres, non équipés de PC portable, travaillent en dehors des heures de bureau depuis la maison en prenant la main sur leur PC.

Cette semaine, j'ai vu un technicien helpdesk qui autorisait un employé à se connecter à son poste de travail depuis son domicile avec teamviewer. J'en suis resté bouche bée  

Quel est le problème ?

J'imagine qu'au delà de ne pas respecter l'éventuelle procédure d'entreprise en la matière (ce qui permet à cette dernière de gérer, journaliser et monitorer les accès) , c'est de se connecter sur un élément du LAN de l’entreprise depuis un PC n'appartenant pas à l’entreprise, sur lequel l'entreprise n'a aucun contrôle et dont l’innocuité n'est pas assurée.

Avec le byod, on ne peut plus plus avoir une politique de sécurité très stricte.
Même Microsoft a arrêté le NAP car cela ne correspondait plus aux nouvelles habitudes.

Si c'est dans une PME comme solution de dépannage, cela ne me choque pas.
Teamviewer peut aussi remplacer un VPN, on a les logs de connexion des  utilisateurs.
Et comme disait Flash_gordon sur un autre post, l'avantage de TV par rapport au VPN, c'est qu'on ne se connecte pas directement au LAN de l'entreprise.

Même pour travail à distance TV est bien, le seul problème est qu'il faut laisser son poste de travail allumé.

Enfin le BYOD on n'est pas obligé d'y souscrire.
Et cela m'apparait même passé de mode car complètement à la ramasse face aux défis de sécurité des entreprises.
 
Ensuite TV, tu te connectes au réseau de l'entreprise puisque sur un PC sur le LAN.
A partir de là, tu es full sur le réseau de l'entreprise.
Qui plus est, tu n'es pas limité qu'au seul bureau à distance, tu peux faire du VPN ou du transfert de fichiers.
 
Les logs de connexion ne sont pas centralisés.
Tu ne maitrises pas si la personne se connecte depuis la France ou la Corée du Nord.
 
Au final tu ne maitrises plus grand chose des connexions extérieures à ta propre entreprise.
Alors c'est sûr que c'est toujours mieux qu'un RDP ouvert via du NAT sans plus de sécu.
Mais c'est franchement moins sécu qu'une vrai passerelle VPN avec un vrai client VPN apte à limiter les connexions selon différents critères (plages horaires, appartenance du PC à l'entreprise, MAJ OK de Windows et AV, etc.)

Avec TV, tu es sur ton poste en entreprise, mais il n'y a pas de connexion entre le lan de chez toi et celui de ton entreprise.
Ton poste chez toi peut contenir des malwares, ils ne pourront pas accéder à ton poste en entreprise via le réseau.
 
Les logs de TV sont centralisés sur la console.
Tu sais qui se connecte, a quel moment, avec quel compte.
Il n'y aucun problème de sécurité (avec un paramétrage qui n'est pas open bar).

 
il est bien là, le soucis, parfois
- admin qui veut pas s'enquiquiner à ouvrir unitairement les accès TV pour son support ("aller, on ouvre tout le réseau pour TV, on va pas se faire ieche !" )
- petit malin qui lance un Quick Support sur son poste de travail au boulot (pas celui de la boite, bien sur. accès non loggué, dans ce cas)
- TV en mode VPN, et là...........
 
Après, je ne vois pas trop l’intérêt de permettre l'utilisation de TV à des users. Ceux qui ont à bosser de l'extérieur chez nous passent par VPN et ont des portables entreprise (encadrement, etc), les autres n'ont aucun besoin de bosser en dehors des heures. C'est d'ailleurs hors charte. Et je ne parle pas de l'inverse....le gars qui se connecte depuis le boulot sur son PC perso pour surveiller ses cultures de plantes sur je ne sais quel jeu, ou le minage de ses crypto à distance. (ou contourner le proxy du boulot, etc, etc)
 
TeamViewer, on à notre licence pour le support de nos 200 Pc portables, et surtout les 200 tablettes de notre population un peu "technologie refractaire". En mode QS, c'est l'utilisateur qui le lance quand il en a besoin. Idem pour les presta devant accéder à nos serveurs. Avant, ils avaient un VPN et on activait les comptes uniquement lorsqu'ils devaient bosser. Depuis que l'on a plus nos ASA en interne, on leur ouvre les sessions TV à la demande. (je ne supporte pas trop l'idée qu'un presta puisse se connecter sans que quelqu'un de l'IT soit au courant....)

Bonjour
 
de mon coté j'ai interdit teamviewer pour ce type de connexion (par contre toujours valable pour du partage d'écran, ce qui est utile pour des demos techniques ou commerciales).
 
Si connexion à distance nécessaire (depuis chez soit) c'est VPN + guacamole, rien d'autre.