ISTA Mohamed EL FASSI - Errachidia

Filire : Techniques de Rseaux Informatiques

Support de formation Module : Notions de scurit des rseaux informatiques

Elabor par : A. EL GHATTAS

Septembre 2008

table des matieres

I. Introduction la scurit et les risques menaant les sites informatiques... 1. Introduction. 2. Objectifs de la scurit informatique 3. Classification des risques 4. Exemples de menaces. a. Risque naturels. b. Les virus... c. Spam. d. Spyware II. Attaques informatiques 1. Introduction 2. Typologies de pirates.. 3. Types dattaques. 4. Techniques dattaque.. a. Attaque des mots de passe b. Attaque man in the middle... c. Attaque par rejeu.. d. Attaque par dni de service.. e. Attaque par rflexion (Smurf) ... f. Attaque SYN. g. Spoofing IP.. h. Vol de session TCP (hijacking) .. i. Analyseurs rseau (sniffers) . j. Scanners de vulnrabilits. k. Ingnierie sociale. l. Phishing m. Attaques sur diffrents protocoles i. DHCP ii. DNS.. iii. FTP.. iv. HTTP III. Mesures pour la protection 1. Protection des donnes a. RAID b. Cryptographie.. i.Vocabulaire. ii. Algorithmes de chiffrement faibles (cassables facilement)....................... iii. Algorithmes de cryptographie symtrique ( cl secrte)....................... iv. Algorithmes de cryptographie asymtrique ( cl publique et prive).......... v. Exemple de cryptosystmes vi. La signature lectronique. vii. Les certificats.. viii. SSL 2. Protection contre les intrusions rseau a. Pare-feu (FireWall).. 4 4 4 4 5 5 6 9 10 10 10 11 12 13 13 15 16 16 16 17 18 21 21 22 22 23 23 23 24 25 26 27 27 27 30 30 30 31 31 31 33 35 36 37 37 5

b. Proxy c. VPN.. IV. Audit de Vulnrabilits.. 1. Introduction 2. Le concept de l'audit de vulnrabilits,,,, 3. COBIT. V. La disponibilit des donnes 1. Sauvegarde et archivage.. a. Introduction.. b. Stratgies de sauvegarde.. c. Mode de sauvegarde. d. Types de sauvegarde e. Topologies de sauvegarde 2. Plans de relve. a. Plan de relve informatique.. b. Plan de relve corporatif.. c. Continuit des affaires.. VI. Politique de scurit de l'information... 1. Qu'est ce qu'une politique de scurit de l'information ? ... 2. Mthodes.

41 42 44 44 44 45 46 46 46 46 48 49 50 53 53 53 54 57 57 62

I. Introduction la scurit et les risques menaant les sites informatiques 1. Introduction Au fil des dernires dcennies, les outils informatiques ont acquis une grande importance dans tous les domaines de la vie professionnelle et prive, du fait quils permettent daccomplir un nombre croissant de tches de toute nature et du fait quils deviennent de plus en plus maniables et aiss utiliser. Cependant, limportance acquise par les systmes informatiques dans le traitement de donnes les transforme galement en cibles prfres pour des attaques et des tentatives dintrusion sur diffrents niveaux. Ce risque est dautant plus accru par louverture progressive des systmes lextrieur par la connexion Internet. Sy ajoutent les risques classiques tels que le manque de vigilance de la part de certains usagers ou des sinistres comme le feu, linondation et la coupure de courant. Les systmes voluent dans des conditions changes, exigeant une scurisation plus fondamentale et plus efficace. Cette scurisation ne doit pas se limiter uniquement laspect purement technique, mais elle doit impliquer tous les acteurs concerns (responsables du traitement, employs excutants et sous-traitants, personne dont des donnes sont traites). Il sagit donc de combiner des mesures techniques et logiques des mesures organisationnelles, impliquant une organisation bien structure, la sensibilisation et la vigilance de tous les acteurs. 2. Objectifs de la scurit informatique La scurit informatique vise gnralement cinq principaux objectifs : La confidentialit La confidentialit consiste rendre l'information inintelligible d'autres personnes que les seuls acteurs de la transaction. L'intgrit Vrifier l'intgrit des donnes consiste dterminer si les donnes n'ont pas t altres durant la communication (de manire fortuite ou intentionnelle). La disponibilit L'objectif de la disponibilit est de garantir l'accs un service ou des ressources. La non-rpudiation La non-rpudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction. L'authentification L'authentification consiste assurer l'identit d'un utilisateur, c'est--dire de garantir chacun des correspondants que son partenaire est bien celui qu'il croit tre. Un contrle d'accs peut permettre (par exemple par le moyen d'un mot de passe qui devra tre crypt) l'accs des ressources uniquement aux personnes autorises. 3. Classification des risques Le risque en terme de scurit est gnralement caractris par l'quation suivante : La menace reprsente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnrabilit reprsente le niveau d'exposition face la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prvention de la menace. Afin de pouvoir scuriser un systme, il est ncessaire d'identifier les menaces potentielles, et donc de connatre et de prvoir la faon de procder de l'ennemi.

Les principales menaces effectives auxquelles on peut tre confront sont : l'utilisateur : l'norme majorit des problmes lis la scurit d'un systme d'information est l'utilisateur (par insouciance ou malveillance) les programmes malveillants : un logiciel destin nuire ou abuser des ressources du systme est install (par mgarde ou par malveillance) sur le systme, ouvrant la porte des intrusions ou modifiant les donnes l'intrusion : une personne parvient accder des donnes ou des programmes auxquels elle n'est pas cense avoir accs un sinistre (vol, incendie, ) : une mauvaise manipulation ou une malveillance entranant une perte de matriel et/ou de donnes.

Nombre dincidents connus lis la scurit informatique rpertoris par le CERT

(source : http://www.cert.org/)

CSI/FBI 2004 Computer Crime and Security Survey Results (source : http://www.gocsi.com) 4. Exemples de menaces a. Risque naturels Plusieurs risques peuvent menacer la scurit dun systme informatique : inondation, tremblement de terre, foudre mais le principal risque reste les incendies surtout celles dorigine lectrique. En effet, un incendie sur trois est d'origine lectrique. Les principales causes de ces incendies sont : L'chauffement par surintensit : dgagement de chaleur li la rsistance du rcepteur et l'intensit ; La surintensit par surcharge : une intensit suprieure ce que peut supporter un circuit ; Le court-circuit . 8

Certains facteurs peuvent aggraver les chauffements : Une ventilation insuffisante ; L'accumulation de poussire ou de dpts de graisse ; Le stockage de matriaux inflammables proximit d'installations lectriques ; b. Les virus Nous dirons ici que tout Code Parasite Autopropageable (CPA) est un virus informatique (dfinition de Mark Ludwig, tire de The Little Book of Computers Viruses, 1991). Le terme code fait bien videmment rfrence des instructions rdiges dans un langage de programmation volu ou non. Le mot parasite souligne le caractre insidieux du code viral : il est l o on ne devrait normalement pas le trouver. Il constitue un ajout non-voulu par l'utilisateur. Quant autopropageable , il renvoie cette caractristique de duplication qu'ont les virus : la capacit se multiplier en infectant d'autres fichiers. Ils recopient leurs propres instructions (code) au sein de celles d'un autre programme. L'efficacit de la duplication se mesure au fait que l'excution du programme hte n'est pas altre, alors que ses fonctionnalits ont t modifies. C'est une dfinition parmi tant d'autre d'un virus informatique mais intressons nous maintenant aux diffrents types qui existent. Notion d'antivirus Un antivirus est un programme capable de dtecter la prsence de virus sur un ordinateur et, dans la mesure du possible, de dsinfecter ce dernier. On parle ainsi d' radication de virus pour dsigner la procdure de nettoyage de l'ordinateur. Il existe plusieurs mthodes d'radication : La suppression du code correspondant au virus dans le fichier infect ; La suppression du fichier infect ; La mise en quarantaine du fichier infect, consistant le dplacer dans un emplacement o il ne pourra pas tre excut. La dtection des virus Les virus se reproduisent en infectant des "applications htes", c'est--dire en copiant une portion de code excutable au sein d'un programme existant. Or, afin de ne pas avoir un fonctionnement chaotique, les virus sont programms pour ne pas infecter plusieurs fois un mme fichier. Ils intgrent ainsi dans l'application infecte une suite d'octets leur permettant de vrifier si le programme a pralablement t infect : il s'agit de la signature virale. Les antivirus s'appuient ainsi sur cette signature propre chaque virus pour les dtecter. Il s'agit de la mthode de recherche de signature (scanning), la plus ancienne mthode utilise par les antivirus. Cette mthode n'est fiable que si l'antivirus possde une base virale jour, c'est--dire comportant les signatures de tous les virus connus. Toutefois cette mthode ne permet pas la dtection des virus n'ayant pas encore t rpertoris par les diteurs d'antivirus. De plus, les programmeurs de virus les ont dsormais dots de capacits de camouflage, de manire rendre leur signature difficile dtecter, voire indtectable; il s'agit de "virus polymorphes". Certains antivirus utilisent un contrleur d'intgrit pour vrifier si les fichiers ont t modifis. Ainsi le contrleur d'intgrit construit une base de donnes contenant des informations sur les fichiers excutables du systme (date de modification, taille, et ventuellement une somme de contrle). Ainsi, lorsqu'un fichier excutable change de caractristiques, l'antivirus prvient l'utilisateur de la machine.

Types de virus On peut classer les virus selon leur mode de dclenchement ou leur mode de propagation. On distingue alors plusieurs catgories de virus : Les vers : il s'agit de programmes possdant la facult de s'autoreproduire et de se dplacer travers un rseau en utilisant les mcanismes rseau, sans avoir rellement besoin d'un support physique ou logique (disque dur, programme hte, fichier ...) pour se propager. Un ver (en anglais worm) est donc un virus rseau. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se rpandre grande vitesse, en s'envoyant automatiquement des personnes prsents dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent galement avoir des actions destructrices pour les ordinateurs contamins. Ils sont particulirement redoutables, car le fait de recevoir un mail d'une personne connue diminue la mfiance du destinataire, qui ouvre alors plus facilement le fichier joint contamin. Les bombes logiques : elles sont de vritables bombes retardement. Ce sont de petits programmes restant inactifs tant qu'une condition n'est pas remplie, une fois la condition remplie (une date par exemple), une suite de commandes est excute (dont le but, le plus souvent, hlas, est de faire le plus de dgts possible). Les bombes logiques sont gnralement utilises dans le but de crer un dni de service en saturant les connexions rseau d'un site, d'un service en ligne ou d'une entreprise ! Les chevaux de Troie : (en anglais trojan horse) par analogie avec la mythologie grecque, ce sont des programmes dont l'aspect malveillant est cach au premier abord. Un cheval de Troie permet gnralement de prparer une attaque ultrieure de la machine infecte. Par exemple, ils agissent en laissant ouverts des ports de communication qui peuvent tre ensuite utiliss par des programmes d'attaque. Ils sont difficiles dtecter par un utilisateur non averti. Un cheval de Troie est donc un programme cach dans un autre qui excute des commandes sournoises, et qui gnralement donne un accs la machine sur laquelle il est excut. Un cheval de Troie peut par exemple : voler des mots de passe copier des donnes sensibles excuter tout autre action nuisible ... Les macrovirus : ce sont des virus crits sous forme de macros (une macro est une srie de commandes destine effectuer automatiquement quelques tches d'une application spcifique) excutables dans des applications bureautiques (traitement de texte, tableur, etc.) ou des logiciels clients de messagerie lectronique. Ces macrovirus vont dtourner tous les appels des macros standards. La propagation se fait gnralement par l'opration de sauvegarde. Comme de plus en plus de logiciels intgrent ces notions de macros, les macrovirus sont devenus les virus les plus frquents et les plus redoutables pouvant malheureusement causer de grands dgts (formatage du disque dur par exemple). Un tel virus peut tre situ l'intrieur d'un banal document Word ou Excel, et excuter une portion de code l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accder au systme d'exploitation (gnralement Windows).

10

 Les virus de secteur d'amorce (aussi appels virus boot sector ) : cette catgorie regroupe les virus infectant le secteur d'amorage du disque (disque dur, disquettes...). Il s'agit d'un type de virus infectant la partie faisant dmarrer l'ordinateur. Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infect, il doit tre dmarr avec un secteur d'amorage infect, ce qui tait courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc charg chaque allumage de l'ordinateur. Le secteur d'amorage du disque est le premier secteur lu au dmarrage de l'ordinateur. Les virus fichiers : Virus Non rsidents : C'taient les virus les plus rpandus il y a quelques annes. Lors de l'infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoute en fin de programme. Au moment de l'excution du fichier, c'est le code viral qui est d'abord lanc. Ce code viral cherche d'autres programmes infecter, il les infecte. Ensuite il restitue la premire section du programme infect et l'excute celui-ci. La boucle est boucle. Le virus a pu se propager de faon tout fait invisible. Il s'agit donc d'un virus fort contagieux. La dtection de ce genre de virus est pourtant assez aise, le fichier infect tant plus grand que le fichier sain, puisqu'il contient le virus en plus du programme. Virus rsidents : Il s'agit de virus qui restent prsent dans la mmoire de l'ordinateur (RAM, ne pas confondre avec le disque dur qui peut aussi tre appel mmoire). Fonctionnement : Une fois un fichier infect excut (NB : ce fichier infect vient soit d'une source infecte, une source douteuse, soit d'un autre fichier infect prcdemment), le virus se loge dans la mmoire vive, ou il reste actif. Ds qu'un programme est excut et qu'il n'est pas infect, le virus l'infecte. La diffrence avec celui vu prcdemment est qu'il n'y a pas besoin de procdure pour trouver une cible, puisque c'est l'utilisateur qui la dsigne en excutant le programme cible. Ce genre de virus est actif partir du moment o un programme infect est excut jusqu' l'arrt complet de la machine. Virus multiformes : Virus regroupant les caractristiques des virus parasites et des virus du secteur d'amorage. Les autres caractristiques des virus sont : Virus furtifs (intercepteurs d'interruptions) : ce sont des virus modifiant compltement le fonctionnement du systme d'exploitation. Ces virus le modifient tellement qu'il semble sain aux antivirus. Ceci les rend trs difficiles dtecter, puisque les antivirus sont tromps, croyant le systme d'exploitation sain. Virus polymorphes (mutants) : ce virus est diffrent chaque infection. Il doit ceci son encryption (Il existe un algorithme reprenant une valeur au hasard, permettant d'avoir un fichier crypt chaque fois diffrent ne drangeant cependant pas le dcryptage). Le programme entier et le virus sont encrypts, except le premier segment destin la dcryption. Ce genre de virus est donc beaucoup plus difficile dtecter que les prcdents et presque impossible dtruire sans supprimer le fichier infect, vu qu'il est crypt. Virus flibustiers (Bounty hunters) : virus visant la modification des antivirus les rendant non - oprationnels. Ce genre de virus est trs rare mais trs efficace.

11

Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractristiques vues ci-dessus. Plus le virus a de caractristiques, plus il sera dangereux, compliqu, vorace en ressources de l'ordinateur (d sa complexit). Ce qui signifie gnant sans mme tre actif, et surtout difficile dtecter par un antivirus (tromp, rendu inactif, ...) mais aussi plus facilement reprable, et ce, d la baisse des performances de la machine. Les virus VBS script : Ce type de virus se propage par mail l'aide d'un fichier attach (type exe, vbs etc..) bien souvent en ayant un nom vocateur. Ces nombreux virus sont en langage Visual Basic. Ils sont de type Vbs (Visual Basic Script) ou plus simplement script . Par exemple, le dsormais clbre I Love You est crit dans ce langage. Les canulars : Depuis quelques annes un autre phnomne est apparu, il s'agit des canulars (en anglais hoax), c'est--dire des annonces reues par mail propageant de fausses informations (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilit de gagner un tlphone portable gratuitement,...) accompagnes d'une note prcisant de faire suivre la nouvelle tous ses proches. Ce procd a pour but l'engorgement des rseaux ainsi que la dsinformation. Ainsi, de plus en plus de personnes font suivre des informations reues par courriel sans vrifier la vracit des propos qui y sont contenus. Le but des hoax est simple : provoquer la satisfaction de son concepteur d'avoir bern un grand nombre de personnes. c. Spam Le spam, mot anglais du jargon informatique, dsigne les communications lectroniques massives, notamment de courrier lectronique, sans sollicitation des destinataires, des fins publicitaires ou malhonntes. En guise de remplacement, certains pays francophones proposent d'utiliser les mots pourriel (de poubelle et courriel) et polluriel (de pollution et courriel), ainsi que d'autres variantes. Le mot pourriel est d'usage assez courant. Le verbe spammer est souvent utilis dans le langage familier pour qualifier l'action d'envoyer du spam, le spamming. Le mot spammeur dsigne celui qui envoie du spam. Cibles du pourriel : Le pourriel peut s'attaquer divers mdias lectroniques : les courriels, les forums de discussion, les moteurs de recherche, . Par courrier lectronique : Le pourriel par courrier lectronique est le type de pollupostage le plus rpandu. Le cot d'envoi d'un courrier lectronique tant ngligeable, il est facile d'envoyer un message des millions de destinataires. Les destinataires assument le cot de rception et de stockage en bote aux lettres, ce qui peut causer des cots non ngligeables aux prestataires de services, cause du volume pris par le pourriel. Les forums de discussion sont une cible facile du spam. En effet, un message envoy un forum touche tous les lecteurs du forum. Certains groupes de discussion ne reoivent pratiquement plus que du pollupostage (c'est l'une des raisons pour lesquelles de nombreux forums sont modrs, c'est--dire surveills par un humain ou un robot qui effectue un tri parmi les articles proposs). Par des fentres pop-up de Windows. .

12

d. Spyware Spyware ou logiciel espion (se dit galement espiogiciel) est un logiciel malveillant qui infecte un ordinateur dans le but de collecter et de transmettre des tiers des informations de l'environnement sur lequel il est install sans que l'utilisateur n'en ait connaissance. L'essor de ce type de logiciel est associ celui d'Internet, qui sert de moyen de transmission des donnes. Fonctionnement Un logiciel espion est compos de trois mcanismes distincts : Le mcanisme d'infection. Par exemple, le spyware Cydoor utilise le logiciel grand public Kazaa. Le mcanisme assurant la collecte d'information. Pour le mme exemple, la collecte consiste enregistrer tout ce que l'utilisateur recherche et tlcharge via le logiciel Kazaa. Le mcanisme assurant la transmission un tiers. Ce mcanisme est gnralement assur via le rseau Internet. Le tiers peut tre le concepteur du programme ou une entreprise. O trouve-t-on des logiciels espions ? Le logiciel espion est trs rpandu sur les systmes Microsoft, sur lesquels il n'est gnralement pas dtectable par les logiciels antivirus ni les anti-espiogiciels actuels. Certaines pages web peuvent, lorsqu'elles sont charges, installer l'insu de l'utilisateur un logiciel espion, gnralement en utilisant des failles de scurit du navigateur Internet Explorer. Ils sont souvent prsents dans des gratuiciels afin de rentabiliser leur dveloppement. Il est possible que la suppression de l'espiogiciel d'un gratuiciel empche celui-ci de fonctionner. En gnral les logiciels code source libre comme Mozilla FireFox n'en contiennent aucun. On en trouve galement dans les logiciels d'installation de pilotes fournis avec certains priphriques. Ainsi, les fabricants d'imprimantes peuvent s'en servir pour savoir en combien de temps une cartouche d'encre est vide. Plus gnralement, tous les logiciels propritaires peuvent en cacher puisque leurs sources ne sont pas accessibles. Enfin, certains administrateurs systmes ou rseaux installent eux-mmes ce type de logiciel pour surveiller distance l'activit de leurs ordinateurs, sans avoir se connecter dessus. II. Attaques informatiques 1. Introduction Tout ordinateur connect un rseau informatique peut potentiellement vulnrable une attaque. Sur Internet des attaques ont lieu en permanence, raison de plusieurs attaques par minute sur chaque machine connecte. Ces attaques sont en ralit gnralement lances automatiquement partir de machines infectes (virus, chevaux de Troie, vers, etc.), l'insu de leur propritaire et plus rarement par des pirates informatiques. On appelle attaque rseau l'exploitation d'une faille (du systme d'exploitation, d'un logiciel communiquant par le rseau ou bien mme de l'utilisateur) des fins non connues par la victime et gnralement prjudiciables. Le but peut tre de diffrentes sortes : obtenir un accs au systme obtenir des informations personnelles sur l'utilisateur s'informer sur l'organisation (entreprise de l'utilisateur, etc.) faire dysfonctionner un service.

13

2. Typologies de pirates Qu'est-ce qu'un hacker ? Le terme hacker est souvent utilis pour dsigner un pirate informatique. Ce terme a eu plus d'une signification depuis son apparition la fin des annes 50. A l'origine ce nom dsignait d'une faon mliorative les programmeurs mrites, puis il servit au cours des annes 70 dcrire les rvolutionnaires de l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes entreprises informatiques. C'est au cours des annes 80 que ce mot a t utilis pour catgoriser les personnes impliques dans le piratage de jeux vidos, en dsamorant les protections de ces derniers, puis en en revendant des copies. Aujourd'hui ce mot est souvent utilis tort pour dsigner les personnes s'introduisant dans les systmes informatiques Les diffrents types de pirates En ralit il existe de nombreux types d'"attaquants" catgoriss selon leur exprience et selon leurs motivations : Les white hat hackers, hacker au sens noble du terme, dont le but est d'aider l'amlioration des systmes et technologies informatiques, sont gnralement l'origine des principaux protocoles et outils informatiques que nous utilisons aujourd'hui. Le courrier lectronique en est un exemple Les black hat hackers, plus couramment appels pirates (ou appels galement crackers par extension du terme), c'est--dire des personnes s'introduisant dans les systmes informatiques dans un but nuisible Les Script Kiddies (traduisez gamins du script, parfois galement surnomms crashers, lamers ou encore packet monkeys, soit les singes des paquets rseau) sont de jeunes utilisateurs du rseau utilisant des programmes trouvs sur Internet, gnralement de faon maladroite, pour vandaliser des systmes informatiques afin de s'amuser. Les phreakers sont des pirates s'intressant au rseau tlphonique commut (RTC) afin de tlphoner gratuitement grce des circuits lectroniques connects la ligne tlphonique dans le but d'en falsifier le fonctionnement. Les carders s'attaquent principalement aux systmes de cartes puces (en particulier les cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles. Les crackers sont des personnes dont le but est de crer des outils logiciels permettant d'attaquer des systmes informatiques ou de casser les protections contre la copie des logiciels payants. Un crack est ainsi un programme cr excutable charg de modifier (patcher) le logiciel original afin d'en supprimer les protections. Les hacktivistes (contraction de hackers et activistes que l'on peut traduire en cybermilitant ou cyberrsistant), sont des hackers dont la motivation est principalement idologique. Ce terme a t largement port par la presse, aimant vhiculer l'ide d'une communaut parallle (qualifie gnralement de underground, par analogie aux populations souterraines des films de science-fiction).

3. Types dattaques

14

Les systmes informatiques mettent en oeuvre diffrentes composantes, allant de l'lectricit pour alimenter les machines au logiciel excut via le systme d'exploitation et utilisant le rseau. Les attaques peuvent intervenir chaque maillon de cette chane, pour peu qu'il existe une vulnrabilit exploitable. Le schma ci-dessous rappelle trs sommairement les diffrents niveaux pour lesquels un risque en matire de scurit existe :

Attaques directes

C'est la plus simple des attaques raliser : Le pirate attaque directement sa victime partir de son ordinateur par des scripts dattaques faiblement paramtrable les programmes de piratage qu'ils utilisent envoient directement les paquets la victime. Dans ce cas, il est possible en gnral de remonter l'origine de l'attaque, identifiant par la mme occasion l'identit de l'attaquant. Attaques par rebond

15

Lors d'une attaque, le pirate garde toujours l'esprit le risque de se faire reprer, c'est la raison pour laquelle les pirates privilgient habituellement les attaques par rebond (par opposition aux attaques directes), consistant attaquer une machine par l'intermdiaire d'une autre machine, afin de masquer l'adresse IP relle du pirate et d'utiliser les ressources de la machine servant de rebond. Cela montre l'intrt de protger son rseau ou son ordinateur personnel, car celui-ci se retrouve complice contre son gr de l'attaque et en cas de plainte de la victime, la premire personne interroge sera le propritaire de la machine ayant servi de rebond. Avec le dveloppement des rseaux sans fils, ce type de scnario risque de devenir de plus en plus courant car si le rseau sans fils est mal scuris, un pirate situ proximit peut l'utiliser pour lancer des attaques ! Les attaques indirectes par rponse

Cette attaque est un driv de l'attaque par rebond. Elle offre les mmes avantages, du point de vue du pirate. Mais au lieu d'envoyer une attaque l'ordinateur intermdiaire pour qu'il la rpercute, l'attaquant va lui envoyer une requte. Et c'est cette rponse la requte qui va tre envoye l'ordinateur victime. 4. Techniques dattaque a. Attaque des mots de passe Introduction Lorsque vous vous connectez un systme, celui-ci vous demande un identifiant (en anglais login ou username) et un mot de passe (en anglais password) pour y accder. Ce couple identifiant/mot de passe forme ainsi la cl permettant d'avoir accs au systme. Si l'identifiant est gnralement automatiquement attribu par le systme ou son administrateur, le choix du mot de passe est souvent laiss libre l'utilisateur. Ainsi, la plupart des utilisateurs, estimant qu'ils n'ont rien de vraiment secret protger, se contentent d'utiliser un mot de passe facile retenir (par exemple leur identifiant ou leur date de naissance). Or, si les donnes sur le compte de l'utilisateur n'ont pas de caractres stratgiques, l'accs au compte de l'utilisateur peut constituer une porte ouverte vers le systme tout entier pour tout pirate un tant soit peu expriment. En effet, ds lors qu'un pirate obtient un accs un compte d'une machine, il lui est possible d'largir son champ d'action en obtenant la liste des utilisateurs autoriss se connecter la machine. A l'aide d'outils de gnration de mots de passe, le pirate peut essayer un grand nombre de mots de passe gnrs alatoirement ou l'aide d'un dictionnaire (ventuellement une combinaison des deux). S'il trouve par hasard le mot de passe de l'administrateur, il obtient alors toutes les permissions sur la machine ... De plus, le pirate peut ventuellement obtenir un accs sur le rseau local de la machine, ce qui signifie qu'il peut dresser une cartographie des autres serveurs ctoyant celui sur lequel il a obtenu un accs. Les mots de passe des utilisateurs reprsentent donc la premire dfense contre les attaques envers un systme, c'est la raison pour laquelle tout utilisateur se doit de choisir un mot de passe suffisamment compliqu pour qu'il ne puisse pas tre devin.

16

Mthodes d'attaque La plupart des systmes sont configurs de manire bloquer temporairement le compte d'un utilisateur aprs un certain nombre de tentatives de connexion infructueuses. Ainsi, un pirate peut difficilement s'infiltrer sur un systme de cette faon. En contrepartie, un pirate peut se servir de se mcanisme d'auto-dfense pour bloquer l'ensemble des comptes utilisateurs afin de provoquer un dni de service. Sur la plupart des systmes les mots de passe sont stocks de manire chiffre ( crypte ) dans un fichier ou une base de donnes. Nanmoins, lorsqu'un pirate obtient un accs au systme et obtient ce fichier, il lui est possible de tenter de casser le mot de passe d'un utilisateur en particulier ou bien de l'ensemble des comptes utilisateurs. Attaque par force brute On appelle ainsi attaque par force brute (en anglais brute force cracking , parfois galement attaque exhaustive) le cassage d'un mot de passe en testant tous les mots de passe possibles. Il existe un grand nombre d'outils, pour chaque systme d'exploitation, permettant de raliser ce genre d'opration. Ces outils servent aux administrateurs systme prouver la solidit des mots de passe de leurs utilisateurs mais leur usage est dtourn par les pirates informatiques pour s'introduire dans les systmes informatiques. Attaque par dictionnaire Les outils d'attaque par force brute peuvent demander des heures, voire des jours, de calcul mme avec des machines quipes de processeurs puissants. Ainsi, une alternative consiste effectuer une attaque par dictionnaire . En effet, la plupart du temps les utilisateurs choisissent des mots de passe ayant une signification relle. Avec ce type d'attaques, un tel mot de passe peut tre craqu en quelques minutes. Attaque hybride Le dernier type d'attaques de ce type, appeles attaques hybrides , vise particulirement les mots de passe constitu d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que reseau2 ). Il s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire. Il existe enfin des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs : Les keyloggers (littralement enregistreurs de touches ), sont des logiciels qui, lorsqu'ils sont installs sur le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par l'utilisateur. Les systmes d'exploitation rcents possdent des mmoires tampon protges permettant de retenir temporairement le mot de passe et accessibles uniquement par le systme. L'ingnierie sociale consiste exploiter la navet des individus pour obtenir des informations. Un pirate peut ainsi obtenir le mot de passe d'un individu en se faisant passer pour un administrateur du rseau ou bien l'inverse appeler l'quipe de support en demandant de rinitialiser le mot de passe en prtextant un caractre d'urgence ; L'espionnage reprsente la plus vieille des mthodes. Il suffit en effet parfois un pirate d'observer les papiers autour de l'cran de l'utilisateur ou sous le clavier afin d'obtenir le mot de passe. Par ailleurs, si le pirate fait partie de l'entourage de la victime, un simple coup d'oeil par dessus son paule lors de la saisie du mot de passe peut lui permettre de le voir ou de le deviner. Choix du mot de passe

17

Il est aisment comprhensible que plus un mot de passe est long, plus il est difficile casser. D'autre part, un mot de passe constitu uniquement de chiffres sera beaucoup plus simple casser qu'un mot de passe contenant des lettres : Un mot de passe de 4 chiffres correspond 10 000 possibilits (10 4). Si ce chiffre parat lev, un ordinateur dot d'une configuration modeste est capable de le casser en quelques minutes. On lui prfrera un mot de passe de 4 lettres, pour lequel il existe 456972 possibilits (26 4). Dans le mme ordre d'ide, un mot de passe mlant chiffres et lettres, voire galement des majuscules et des caractres spciaux sera encore plus difficile casser. Mots de passe viter : Votre identifiant, votre nom, votre prnom ou celui d'un proche (conjoint, enfant, etc.) ; Un mot du dictionnaire ; Un mot l'envers (les outils de cassage de mots de passe prennent en compte cette possibilit) ; Un mot suivi d'un chiffre, de l'anne en cours ou d'une anne de naissance (par exemple tri2008 ). Politique en matire de mot de passe L'accs au compte d'un seul employ d'une entreprise peut compromettre la scurit globale de toute l'organisation. Ainsi, toute entreprise souhaitant garantir un niveau de scurit optimal se doit de mettre en place une relle politique de scurit de matire de mots de passe. Il s'agit notamment d'imposer aux employs le choix d'un mot de passe conforme certaines exigences, par exemple : Une longueur de mot de passe minimale La prsence de caractres particuliers Un changement de casse (minuscule et majuscules) Par ailleurs, il est possible de renforcer cette politique de scurit en imposant une dure d'expiration des mots de passe, afin d'obliger les utilisateurs modifier rgulirement leur mot de passe. Cela complique ainsi la tche des pirates essayant de casser des mots de passe sur la dure. Par ailleurs il s'agit d'un excellent moyen de limiter la dure de vie des mots de passe ayant t casss. Enfin, il est recommand aux administrateurs systme d'utiliser des logiciels de cassage de mots de passe en interne sur les mots de passe de leurs utilisateurs afin d'en prouver la solidit. Ceci doit nanmoins se faire dans le cadre de la politique de scurit et tre crit noir sur blanc, afin d'avoir l'approbation de la direction et des utilisateurs. Mots de passe multiples Il n'est pas sain d'avoir un seul mot de passe, au mme titre qu'il ne serait pas sain d'avoir comme code de carte bancaire le mme code que pour son tlphone portable et que le digicode en bas de l'immeuble. Il est donc conseill de possder plusieurs mots de passe par catgorie d'usage, en fonction de la confidentialit du secret qu'il protge. Le code d'une carte bancaire devra ainsi tre utilis uniquement pour cet usage. Par contre, le code PIN d'un tlphone portable peut correspondre celui du cadenas d'une valise. b. Attaque man in the middle L'attaque man in the middle (littralement attaque de l'homme au milieu ) est un scnario d'attaque dans lequel un pirate coute une communication entre deux interlocuteurs et falsifie les changes afin de se faire passer pour l'une des parties. La plupart des attaques de type man in the middle consistent couter le rseau l'aide d'un outil appel sniffer.

18

c. Attaque par rejeu Les attaques par rejeu (en anglais replay attaque ) sont des attaques de type man in the middle consistant intercepter des paquets de donnes et les rejouer, c'est--dire les retransmettre tels quel (sans aucun dchiffrement) au serveur destinataire. Ainsi, selon le contexte, le pirate peut bnficier des droits de l'utilisateur. Imaginons un scnario dans lequel un client transmet un nom d'utilisateur et un mot de passe chiffrs un serveur afin de s'authentifier. Si un pirate intercepte la communication (grce un logiciel d'coute) et rejoue la squence, il obtiendra alors les mmes droits que l'utilisateur. Si le systme permet de modifier le mot de passe, il pourra mme en mettre un autre, privant ainsi l'utilisateur de son accs. d. Attaque par dni de service Une attaque par dni de service (en anglais Denial of Service ) est un type d'attaque visant rendre indisponible pendant un temps indtermin les services ou ressources d'une organisation. Il s'agit la plupart du temps d'attaques l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent tre utiliss et consults. Les attaques par dni de service sont un flau pouvant toucher tout serveur d'entreprise ou tout particulier reli Internet. Le but d'une telle attaque n'est pas de rcuprer ou d'altrer des donnes, mais de nuire la rputation de socits ayant une prsence sur Internet et ventuellement de nuire leur fonctionnement si leur activit repose sur un systme d'information. D'un point de vue technique, ces attaques ne sont pas trs compliques, mais ne sont pas moins efficaces contre tout type de machine possdant un systme d'exploitation Windows (95, 98, NT, 2000, XP, etc.), Linux (Debian, Mandrake, RedHat, Suse, etc.), Unix commercial (HP-UX, AIX, IRIX, Solaris, etc.) ou tout autre systme. La plupart des attaques par dni de service exploitent des failles lies l'implmentation d'un protocole du modle TCP/IP. On distingue habituellement deux types de dnis de service : Les dnis de service par saturation, consistant submerger une machine de requtes, afin qu'elle ne soit plus capable de rpondre aux requtes relles ; Les dnis de service par exploitation de vulnrabilits, consistant exploiter une faille du systme distant afin de le rendre inutilisable. Le principe des attaques par dni de service consiste envoyer des paquets IP ou des donnes de taille ou de constitution inhabituelle, afin de provoquer une saturation ou un tat instable des machines victimes et de les empcher ainsi d'assurer les services rseau qu'elles proposent. Pour se protger de ce type d'attaque, il est ncessaire de mener une veille active sur les nouvelles attaques et vulnrabilits et de rcuprer sur Internet des correctifs logiciels (patchs) conus par les diteurs de logiciels ou certains groupes spcialiss. e. Attaque par rflexion (Smurf) La technique dite attaque par rflexion (en anglais smurf ) est base sur l'utilisation de serveurs de diffusion (broadcast) pour paralyser un rseau. Un serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer toutes les machines prsentes sur le mme rseau.

Le scnario d'une telle attaque est le suivant :

19

la machine attaquante envoie une requte ping (ping est un outil exploitant le protocole ICMP, permettant de tester les connexions sur un rseau en envoyant un paquet et en attendant la rponse) un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source (adresse laquelle le serveur doit thoriquement rpondre) et en fournissant l'adresse IP d'une machine cible. le serveur de diffusion rpercute la requte sur l'ensemble du rseau ; toutes les machines du rseau envoient une rponse au serveur de diffusion, le serveur broadcast redirige les rponses vers la machine cible. Ainsi, lorsque la machine attaquante adresse une requte plusieurs serveurs de diffusion situs sur des rseaux diffrents, l'ensemble des rponses des ordinateurs des diffrents rseaux vont tre routes sur la machine cible.

De cette faon l'essentiel du travail de l'attaquant consiste trouver une liste de serveurs de diffusion et falsifier l'adresse de rponse afin de les diriger vers la machine cible. f. Attaque SYN L' attaque SYN (appele galement TCP/SYN Flooding ) est une attaque rseau par saturation (dni de service) exploitant le mcanisme de poigne de main en trois temps du protocole TCP. Le mcanisme de poigne de main en trois temps est la manire selon laquelle toute connexion fiable Internet (utilisant le protocole TCP) s'effectue.

20

Lorsqu'un client tablit une connexion un serveur, le client envoie une requte SYN, le serveur rpond alors par un paquet SYN/ACK et enfin le client valide la connexion par un paquet ACK (acknowledgement, qui signifie accord ou remerciement). Une connexion TCP ne peut s'tablir que lorsque ces 3 tapes ont t franchies. L'attaque SYN consiste envoyer un grand nombre de requtes SYN un hte avec une adresse IP source inexistante ou invalide. Ainsi, il est impossible que la machine cible reoive un paquet ACK. Les machines vulnrables aux attaques SYN mettent en file d'attente, dans une structure de donnes en mmoire, les connexions ainsi ouvertes, et attendent de recevoir un paquet ACK. Il existe un mcanisme d'expiration permettant de rejeter les paquets au bout d'un certain dlai. Nanmoins, avec un nombre de paquets SYN trs important, si les ressources utilises par la machine cible pour stocker les requtes en attente sont puises, elle risque d'entrer dans un tat instable pouvant conduire un plantage ou un redmarrage g. Spoofing IP L' usurpation d'adresse IP (en anglais spoofing IP) est une technique consistant remplacer l'adresse IP de l'expditeur d'un paquet IP par l'adresse IP d'une autre machine. Cette technique permet ainsi un pirate d'envoyer des paquets anonymement. Il ne s'agit pas pour autant d'un changement d'adresse IP, mais d'une mascarade de l'adresse IP au niveau des paquets mis. Attaque par usurpation La technique de l'usurpation d'adresse IP peut permettre un pirate de faire passer des paquets sur un rseau sans que ceux-ci ne soient intercepts par le systme de filtrage de paquets (pare-feu). En effet, un systme pare-feu (en anglais firewall) fonctionne la plupart du temps grce des rgles de filtrage indiquant les adresses IP autorises communiquer avec les machines internes au rseau.

Ainsi, un paquet spoof avec l'adresse IP d'une machine interne semblera provenir du rseau interne et sera relay la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejet par le pare-feu. Modification de l'en-tte TCP Sur Internet, les informations circulent grce au protocole IP, qui assure l'encapsulation des donnes dans des structures appeles paquets (ou plus exactement datagramme IP). Voici la structure d'un datagramme :

Version Longueur Type de service

Longueur totale 21

d'en-tte Identification Dure de vie Protocole

Dcalage fragment Somme de contrle en-tte Adresse IP source Adresse IP destination Donnes

Drapeau

Usurper une adresse IP revient modifier le champ source afin de simuler un datagramme provenant d'une autre adresse IP. Toutefois, sur Internet, les paquets sont gnralement transports par le protocole TCP, qui assure une transmission dite fiable . Avant d'accepter un paquet, une machine doit auparavant accuser rception de celui-ci auprs de la machine mettrice, et attendre que cette dernire confirme la bonne rception de l'accus. Les liens d'approbation Le protocole TCP est un des principaux protocoles de la couche transport du modle TCP/IP. Il permet, au niveau des applications, de grer les donnes en provenance (ou destination) de la couche infrieure du modle (c'est--dire le protocole IP). Le protocole TCP permet d'assurer le transfert des donnes de faon fiable, bien qu'il utilise le protocole IP (qui n'intgre aucun contrle de livraison de datagramme) grce un systme d'accuss de rception (ACK) permettant au client et au serveur de s'assurer de la bonne rception mutuelle des donnes. Les datagrammes IP encapsulent des paquets TCP (appels segments) dont voici la structure : Port destination Numro d'ordre Numro d'accus de rception rserve<TD URG <TD ACK <TD Dcalage PSH Fentre donnes <TD RST <TD SYN <TD FIN Somme de contrle Pointeur d'urgence Options Remplissage Donnes Lors de l'mission d'un segment, un numro d'ordre (appel aussi numro de squence) est associ, et un change de segments contenant des champs particuliers (appels drapeaux, en anglais flags) permet de synchroniser le client et le serveur. Ce dialogue (appel poigne de mains en trois temps) permet d'initier la communication, il se droule en trois temps, comme sa dnomination l'indique: Port Source

22

Dans un premier temps, la machine mettrice (le client) transmet un segment dont le drapeau SYN est 1 (pour signaler qu'il s'agit d'un segment de synchronisation), avec un numro d'ordre N, que l'on appelle numro d'ordre initial du client. Dans un second temps la machine rceptrice (le serveur) reoit le segment initial provenant du client, puis lui envoie un accus de rception, c'est--dire un segment dont le drapeau ACK est non nul (accus de rception) et le drapeau SYN est 1 (car il s'agit l encore d'une synchronisation). Ce segment contient un numro de squence gal au numro d'ordre initial du client. Le champ le plus important de ce segment est le champ accus de rception (ACK) qui contient le numro d'ordre initial du client, incrment de 1. Enfin, le client transmet au serveur un accus de rception, c'est--dire un segment dont le drapeau ACK est non nul, et dont le drapeau SYN est zro (il ne s'agit plus d'un segment de synchronisation). Son numro d'ordre est incrment et le numro d'accus de rception reprsente le numro de squence initial du serveur incrment de 1. La machine spoofe va rpondre avec un paquet TCP dont le drapeau RST (reset) est non nul, ce qui mettra fin la connexion.

Annihiler la machine spoofe Dans le cadre d'une attaque par usurpation d'adresse IP, l'attaquant n'a aucune information en retour car les rponses de la machine cible vont vers une autre machine du rseau (on parle alors d'attaque l'aveugle).

De plus, la machine spoofe prive le pirate de toute tentative de connexion, car elle envoie systmatiquement un drapeau RST la machine cible. Le travail du pirate consiste alors invalider la machine spoofe en la rendant injoignable pendant toute la dure de l'attaque. Prdire les numros de squence Lorsque la machine spoofe est invalide, la machine cible attend un paquet contenant l'accus de rception et le bon numro de squence. Tout le travail du pirate consiste alors deviner le numro de squence renvoyer au serveur afin que la relation de confiance soit tablie. Pour cela, les pirates utilisent gnralement le source routing , c'est--dire qu'ils utilisent le champ option de l'en-tte IP afin d'indiquer une route de retour spcifique pour le paquet. Ainsi, grce au sniffing, le pirate sera mme de lire le contenu des trames de retour...

23

Ainsi, en connaissant le dernier numro de squence mis, le pirate tablit des statistiques concernant son incrmentation et envoie des accuss de rception jusqu' obtenir le bon numro de squence. h. Vol de session TCP (hijacking) Le vol de session TCP (galement appel dtournement de session TCP ou en anglais TCP session hijacking) est une technique consistant intercepter une session TCP initie entre deux machine afin de la dtourner. Dans la mesure o le contrle d'authentification s'effectue uniquement l'ouverture de la session, un pirate russissant cette attaque parvient prendre possession de la connexion pendant toute la dure de la session. Source-routing La mthode de dtournement initiale consistait utiliser l'option source routing du protocole IP. Cette option permettait de spcifier le chemin suivre pour les paquets IP, l'aide d'une srie d'adresses IP indiquant les routeurs utiliser. En exploitant cette option, le pirate peut indiquer un chemin de retour pour les paquets vers un routeur sous son contrle. Attaque l'aveugle Lorsque le source-routing est dsactiv, ce qui est le cas de nos jours dans la plupart des quipements, une seconde mthode consiste envoyer des paquets l'aveugle (en anglais blind attack ), sans recevoir de rponse, en essayant de prdire les numros de squence. Man in the middle Enfin, lorsque le pirate est situ sur le mme brin rseau que les deux interlocuteurs, il lui est possible d'couter le rseau et de faire taire l'un des participants en faisant planter sa machine ou bien en saturant le rseau afin de prendre sa place. i. Analyseurs rseau (sniffers) L'analyse de rseau Un analyseur rseau (appel galement analyseur de trames ou en anglais sniffer) est un dispositif permettant d' couter le trafic d'un rseau, c'est--dire de capturer les informations qui y circulent. En effet, dans un rseau non commut, les donnes sont envoyes toutes les machines du rseau. Toutefois, dans une utilisation normale les machines ignorent les paquets qui ne leur sont pas destins. Ainsi, en utilisant l'interface rseau dans un mode spcifique (appel gnralement mode promiscuous) il est possible d'couter tout le trafic passant par un adaptateur rseau (une carte rseau ethernet, une carte rseau sans fil, etc.).

24

Utilisation du sniffer Un sniffer est un formidable outil permettant d'tudier le trafic d'un rseau. Il sert gnralement aux administrateurs pour diagnostiquer les problmes sur leur rseau ainsi que pour connatre le trafic qui y circule. Ainsi les dtecteurs d'intrusion (IDS, pour intrusion detection system) sont bass sur un sniffeur pour la capture des trames, et utilisent une base de donnes de rgles (rules) pour dtecter des trames suspectes. Malheureusement, comme tous les outils d'administration, le sniffer peut galement servir une personne malveillante ayant un accs physique au rseau pour collecter des informations. Ce risque est encore plus important sur les rseaux sans fils car il est difficile de confiner les ondes hertziennes dans un primtre dlimit, si bien que des personnes malveillantes peuvent couter le trafic en tant simplement dans le voisinage. La grande majorit des protocoles Internet font transiter les informations en clair, c'est--dire de manire non chiffre. Ainsi, lorsqu'un utilisateur du rseau consulte sa messagerie via le protocole POP ou IMAP, ou bien surfe sur Internet sur des sites dont l'adresse ne commence pas par HTTPS, toutes les informations envoyes ou reues peuvent tre interceptes. C'est comme cela que des sniffers spcifiques ont t mis au point par des pirates afin de rcuprer les mots de passe circulant dans le flux rseau. j. Scanners de vulnrabilits Un scanner de vulnrabilit (parfois appel analyseur de rseaux ) est un utilitaire permettant de raliser un audit de scurit d'un rseau en effectuant un balayage des ports ouverts (en anglais port scanning) sur une machine donne ou sur un rseau tout entier. Le balayage se fait grce des sondes (requtes) permettant de dterminer les services fonctionnant sur un hte distant. Un tel outil permet de dterminer les risques en matire de scurit. Il est gnralement possible avec ce type d'outil de lancer une analyse sur une plage ou une liste d'adresses IP afin de cartographier entirement un rseau. En analysant trs finement la structure des paquets TCP/IP reus, les scanners de scurit volus sont parfois capables de dterminer le systme d'exploitation de la machine distante ainsi que les versions des applications associes aux ports. Utilit d'un scanner Les scanners de scurit sont des outils trs utiles pour les administrateurs systme et rseau afin de surveiller la scurit du parc informatique dont ils ont la charge. A contrario, cet outil est parfois utilis par des pirates informatiques afin de dterminer les brches d'un systme. k. Ingnierie sociale Le terme d' ingnierie sociale (en anglais social engineering ) dsigne l'art de manipuler des personnes afin de contourner des dispositifs de scurit. Il s'agit ainsi d'une technique consistant obtenir des informations de la part des utilisateurs par tlphone, courrier lectronique, courrier traditionnel ou contact direct. L'ingnierie sociale est base sur l'utilisation de la force de persuasion et l'exploitation de la navet des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc. D'une manire gnrale les mthodes d'ingnierie sociale se droulent selon le schma suivant : Une phase d'approche permettant de mettre l'utilisateur en confiance, en se faisant passer pour une personne de sa hirarchie, de l'entreprise, de son entourage ou pour un client, un fournisseur, etc.

25

Une mise en alerte, afin de le dstabiliser et de s'assurer de la rapidit de sa raction. Il peut s'agir par exemple d'un prtexte de scurit ou d'une situation d'urgence ; Une diversion, c'est--dire une phrase ou une situation permettant de rassurer l'utilisateur et d'viter qu'il se focalise sur l'alerte. Il peut s'agir par exemple d'un remerciement annonant que tout est rentr dans l'ordre, d'une phrase anodine ou dans le cas d'un courrier lectronique ou d'un site web, d'une redirection vers le site web de l'entreprise. L'ingnierie sociale peut prendre plusieurs formes : Par tlphone, Par courrier lectronique, Par courrier crit, Par messagerie instantane

l. Phishing Le phishing (contraction des mots anglais fishing , en franais pche, et phreaking , dsignant le piratage de lignes tlphoniques), traduit parfois en hameonnage , est une technique frauduleuse utilise par les pirates informatiques pour rcuprer des informations (gnralement bancaires) auprs d'internautes. La technique du phishing est une technique d' ingnierie sociale c'est--dire consistant exploiter non pas une faille informatique mais la faille humaine en dupant les internautes par le biais d'un courrier lectronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce. Le mail envoy par ces pirates usurpe l'identit d'une entreprise (banque, site de commerce lectronique, etc.) et les invite se connecter en ligne par le biais d'un lien hypertexte et de mettre jour des informations les concernant dans un formulaire d'une page web factice, copie conforme du site original, en prtextant par exemple une mise jour du service, une intervention du support technique, etc. Dans la mesure o les adresses lectroniques sont collectes au hasard sur Internet, le message a gnralement peu de sens puisque l'internaute n'est pas client de la banque de laquelle le courrier semble provenir. Mais sur la quantit des messages envoys il arrive que le destinataire soit effectivement client de la banque. Ainsi, par le biais du formulaire, les pirates russissent obtenir les identifiants et mots de passe des internautes ou bien des donnes personnelles ou bancaires (numro de client, numro de compte en banque, etc.). Grce ces donnes les pirates sont capables de transfrer directement l'argent sur un autre compte ou bien d'obtenir ultrieurement les donnes ncessaires en utilisant intelligemment les donnes personnelles ainsi collectes. m. Attaques sur diffrents protocoles Cette partie dcrit les failles intrinsques de diffrents protocoles. Intrinsques par le fait quelles ne sont pas lies une faille applicative du client ou du serveur grant ce protocole, mais plutt sa conception. i. DHCP Le protocole DHCP est utilis pour dlivrer dynamiquement une adresse IP unique pour chaque machine le demandant sur le rseau interne. En clair, si un client interne veut obtenir une adresse IP pour bnficier des services rseau, il envoie un message DHCP tout le rseau (broadcast) pour trouver le serveur DHCP. Le serveur DHCP rpondra en lui envoyant tous les paramtres de configuration rseau.

26

Ce service permet dallger la gestion du rseau en vitant davoir des configurations statiques maintenir sur chaque machine. Malheureusement, le protocole DHCP comporte diverses failles que nous allons vous prsenter. Attaque par puisement de ressources Comme il la t dcrit, un serveur DHCP possde un stock dadresses IP quil distribue aux diffrents clients. Ce stock est bien sr limit. Il y aura seulement un nombre dfini de clients pouvant disposer des diffrentes adresses IP en mme temps. Si le serveur est bien administr avec une liste ferme de correspondances entre adresses MAC et IP aucune attaque par puisement nest possible. Si le service est mal administr ; cest dire que les correspondances entre adresses MAC et IP se font dynamiquement partir dune plage dadresses IP vacantes, le scnario suivant est possible : si un pirate gnre un grand nombre de requtes DHCP semblant venir dun grand nombre de clients diffrents, le serveur puisera vite son stock dadresses. Les vrais clients ne pourront donc plus obtenir dadresse IP : le trafic rseau sera paralys. Faux serveurs DHCP Cette attaque vient en complment de la premire. Si un pirate a russi saturer un serveur DHCP par puisement de ressources, il peut trs bien en activer un autre la place. Ainsi il pourra ainsi contrler tout le trafic rseau. ii. DNS Le protocole DNS assure la correspondance entre le nom dune machine et son adresse IP. Un serveur DNS est en coute par dfaut sur le UDP port 53. Les attaques dcrites ici concernent les faiblesses du protocole DNS. Le DNS ID spoofing Cest la premire attaque que nous allons dcrire. Elle aboutit un dtournement de flux entre deux machines lavantage du pirate. Imaginons quun client A veuille tablir une connexion avec une machine B. La machine A connat le nom de la machine B mais pas son adresse IP, ce qui lui empche pouvoir communiquer avec. La machine A va donc envoyer une requte au serveur DNS du rseau de B pour connatre ladresse IP de B, cette requte sera identifie par un numro didentification (ID). Le serveur rpond cette requte en fournissant ladresse IP de B et en utilisant le mme numro dID. Ce numro a une valeur comprise entre 0 et 65535. Le DNS ID spoofing a pour but de denvoyer une fausse rponse une requte DNS avant le serveur DNS. De cette faon, le pirate peut rediriger vers lui le trafic destination dune machine quil lintresse. Dans notre exemple, un pirate C doit rpondre A avant le serveur DNS (D) du rseau de B. Ainsi, il envoie A son adresse IP associe au nom de la machine B. A communiquera alors avec le pirate C au lieu de la machine B. Nanmoins, pour implmenter cette attaque, le pirate doit connatre lID de requte DNS. Pour cela, il peut utiliser un sniffer sil est sur le mme rseau, soit prdire les numros dID par lenvoi de plusieurs requtes et lanalyse des rponses.

27

Le DNS cache poisoning Pour gagner du temps dans la gestion des requtes, le serveur DNS possde un cache temporaire contenant les correspondances adresses IP - noms de machine. En effet, un serveur DNS na que la table de correspondance des machines du rseau sur lequel il a autorit. Pour des machines distantes, il doit interroger dautres serveurs DNS. Pour viter de les interroger chaque requte, il garde en mmoire (dans un cache), le rsultat des prcdentes requtes. Lobjectif du pirate est dempoisonner ce cache avec de fausses informations. Pour cela, il doit avoir un nom de domaine sous contrle et son serveur DNS. Imaginons quun pirate (A) possde le nom de domaine attaquant.com, et son serveur DNS (C) et quil veuille empoisonner le cache du serveur DNS (B) du rseau cible.net. Le pirate envoie une requte au serveur DNS (B) du rseau cible.net demandant la rsolution du nom de domaine attaquant.com. Le serveur DNS (B) de cible.net va donc envoyer une requte sur le serveur DNS (C) de lattaquant (cest lui qui a autorit sur le domaine attaquant.com). Celui-ci rpondra et joindra des informations additionnelles falsifies par le pirate (un nom de machine (D) associ ladresse IP (A) du pirate). Ces informations seront mises en cache sur le serveur DNS (B) de cible.net. Si un client quelconque (E) demande ladresse IP pour le nom de la machine (D), il recevra ladresse du pirate (A) en retour. iii. FTP FTP (File Transfert Protocol, en coute par dfaut sur les ports 20 et 21) est le service utilis pour assurer le transfert de fichiers. Il y a deux types de serveurs FTP : les serveurs FTP avec authentification par mots de passe et les serveurs anonymes. Pour les premiers, le client dsirant se connecter devra fournir un login accompagn dun mot de passe pour authentification. Dans le cas du serveur FTP anonyme, tout le monde peut sy connecter librement. Le premier dfaut du protocole FTP est de ne pas encrypter les mots de passe lors de leur transit sur le rseau. Les mots de passe associs aux logins circulent en clair la merci des sniffers. Voici lexemple dune interception par un sniffer dune authentification FTP : Le logiciel utilis est tcpdump .
22:10:39.528557 192.168.1.3.1027 192.168.1.4.ftp: P 1:12(11) ack 47 win 5840 nop,nop,timestamp 441749 100314 (DF) [tos 0x10] 0x0000 4510 003f 88d6 4000 4006 2e7b c0a8 0103 E.. ?..@.@....... 0x0010 c0a8 0104 0403 0015 e351 3262 8d6a dd80 .........Q2b.j.. 0x0020 8018 16d0 68da 0000 0101 080a 0006 bd95 ....h........... 0x0030 0001 87da 5553 4552 2061 6c65 780d 0a00 ....0,1,0USER.adil... 22:10:57.746008 192.168.1.3.1027 192.168.1.4.ftp: P 12:23(11) ack 80 win 5840 nop,nop,timestamp 443571 101048 (DF) [tos 0x10] 0x0000 4510 003f 88d8 4000 4006 2e79 c0a8 0103 E.. ?..@.@..y.... 0x0010 c0a8 0104 0403 0015 e351 326d 8d6a dda1 .........Q2m.j.. 0x0020 8018 16d0 5ba1 0000 0101 080a 0006 c4b3 ....[........... 0x0030 0001 8ab8 5041 5353 2074 6f74 6f0d 0a00 ....0,1,0PASS.soso...

On peut voir facilement que lutilisateur adil a le mot de passe soso . Le serveur FTP anonyme Le serveur FTP anonyme pose de plus gros problmes. Le premier est quune mauvaise gestion des droits daccs peut savrer tre une erreur fatale. Laisser trop de rpertoires en droit dcriture et/ou dexcution est plus que dangereux pour la sret du systme. Le pirate

28

pourrait y installer ou y excuter des codes malveillants lui permettant daccrotre son pouvoir sur la machine. Boucing attack - Attaque par rebonds Les serveurs FTP anonymes peuvent tre sujets des attaques par rebonds. Ces attaques consistent utiliser un serveur FTP anonyme comme relais pour se connecter dautres serveurs FTP. Imaginons quun pirate se voit refuser laccs par un serveur FTP dont laccs est allou seulement un certain groupe dadresses IP. Imaginons que le pirate ne fait pas partie de ce groupe, mais quun serveur FTP anonyme y appartienne. Le pirate peut trs bien se connecter sur le serveur FTP anonyme, utiliser les commandes assurant la connexion sur le serveur FTP protg et y rcuprer des fichiers. iv. HTTP Un serveur HTTP est en coute sur le port 80. Le protocole HTTP est srement le plus utilis sur le web pour les pages html. Ce protocole ne comporte pas de failles intrinsques majeures. Par contre, les applications assurant son traitement sont souvent bourres de failles. Cela vient du fait que le web devient de plus en plus demandeur en terme de convivialit et cela gnre une complexit plus grande des applications, do un risque de failles plus important. Les serveurs trop bavards Parfois, les bannires des serveurs web sont trop explicites. Exemple sur un serveur Apache :
[root@nowhere /root]# telnet 127.0.0.1 80 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is ^]. HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Sun, 04 Jan 2004 15:07:06 GMT Server: Apache/1.3.29 (Debian GNU/Linux) Last-Modified: Sat, 24 Nov 2001 16:48:12 GMT ETag: "17082-100e-3bffcf4c" Accept-Ranges: bytes Content-Length: 4110 Connection: close Content-Type: text/html; charset=iso-8859-1 Connection closed by foreign host.

Lors de lenvoi de la commande HEAD / HTTP/1.0, trop dinformations sont donnes. Les pages derreurs (404 : page non trouve) peuvent aussi contenir des informations sur le systme. Vulnrabilits lies aux applications web La complexit des serveurs ou des navigateurs (clients) web pose de gros problmes de scurit. Ces applications sont vulnrables de nombreux bugs. Chaque application a son type de faille. Netscape par exemple devient vulnrable lors du traitement de certaines chanes de caractres. Cela peut permettre de remonter toute larborescence des fichiers du serveur. Les serveurs IIS peuvent renvoyer un shell systme pour un envoi de commandes particulires. Les langages comme Javascript, Perl, PHP, ASP pour la ralisation de scripts peuvent se rvler dangereux. Lorigine dune faille dans une application web peut apparatre cause de deux problmes. Le premier est la fiabilit de la conception du script, le second est la fiabilit des fonctions utilises. Si un script est mal conu, il peut tre la source de nombreuses failles.

29

De mme, si sa conception est bonne mais quil utilise des fonctions bogues, il peut se rvler encore plus dangereux. III. Mesures pour la protection 1. Protection des donnes Il existe plusieurs mesures pour protger les donnes dans un systme informatique on cite surtout la technologie RAID et la cryptographie. a. RAID La technologie RAID (acronyme de Redundant Array of Inexpensive Disks, parfois Redundant Array of Independent Disks, traduisez Ensemble redondant de disques indpendants) permet de constituer une unit de stockage partir de plusieurs disques durs. L'unit ainsi cre (appele grappe) a donc une grande tolrance aux pannes (haute disponibilit), ou bien une plus grande capacit/vitesse d'criture. La rpartition des donnes sur plusieurs disques durs permet donc d'en augmenter la scurit et de fiabiliser les services associs. Les disques assembls selon la technologie RAID peuvent tre utiliss de diffrentes faons, appeles Niveaux RAID. L'Universit de Californie en a dfini 5, auxquels ont t ajouts les niveaux 0 et 6. Chacun d'entre-eux dcrit la manire de laquelle les donnes sont rparties sur les disques : Niveau 0: appel striping Niveau 1: appel mirroring, shadowing ou duplexing Niveau 2: appel striping with parity (obsolte) Niveau 3: appel disk array with bit-interleaved data Niveau 4: appel disk array with block-interleaved data Niveau 5: appel disk array with block-interleaved distributed parity Niveau 6: appel disk array with block-interleaved distributed parity Niveau 0 Le niveau RAID-0, appel striping consiste stocker les donnes en les rpartissant sur l'ensemble des disques de la grappe. De cette faon, il n'y a pas de redondance, on ne peut donc pas parler de tolrance aux pannes. En effet en cas de dfaillance de l'un des disques, l'intgralit des donnes rparties sur les disques sera perdue. Toutefois, tant donn que chaque disque de la grappe a son propre contrleur, cela constitue une solution offrant une vitesse de transfert leve. Le RAID 0 consiste ainsi en la juxtaposition logique (agrgation) de plusieurs disques durs physiques. En mode RAID-0 les donnes sont crites par "bandes" (en anglais stripes) : Disque 1 Disque 2 Disque 3 Bande 1 Bande 2 Bande 3 Bande 4 Bande 5 Bande 6 Bande 7 Bande 8 Bande 9 On parle de facteur d'entrelacement pour caractriser la taille relative des fragments (bandes) stocks sur chaque unit physique. Le dbit de transfert moyen dpend de ce facteur (plus petite est chaque bande, meilleur est le dbit). Si un des lments de la grappe est plus grand que les autres, le systme de remplissage par bande se trouvera bloqu lorsque le plus petit des disques sera rempli. La taille finale est ainsi gale au double de la capacit du plus petit des deux disques : deux disques de 20 Go donneront un disque logique de 40 Go.

30

un disque de 10 Go utilis conjointement avec un disque de 27 Go permettra d'obtenir un disque logique de 20 Go (17 Go du second disque seront alors inutiliss). Remarque : Il est recommand d'utiliser des disques de mme taille pour faire du RAID-0 car dans le cas contraire le disque de plus grande capacit ne sera pas pleinement exploit.

Niveau 1 Le niveau 1 a pour but de dupliquer l'information stocker sur plusieurs disques, on parle donc de mirroring, ou shadowing pour dsigner ce procd. Disque1 Disque2 Disque3 Bande 1 Bande 1 Bande 1 Bande 2 Bande 2 Bande 2 Bande 3 Bande 3 Bande 3 On obtient ainsi une plus grande scurit des donnes, car si l'un des disques tombe en panne, les donnes sont sauvegardes sur l'autre. D'autre part, la lecture peut tre beaucoup plus rapide lorsque les deux disques sont en fonctionnement. Enfin, tant donn que chaque disque possde son propre contrleur, le serveur peut continuer fonctionner mme lorsque l'un des disques tombe en panne, au mme titre qu'un camion pourra continuer rouler si un de ses pneus crve, car il en a plusieurs sur chaque essieu... En contrepartie la technologie RAID1 est trs onreuse tant donn que seule la moiti de la capacit de stockage n'est effectivement utilise. Niveau 2 Le niveau RAID-2 est dsormais obsolte, car il propose un contrle d'erreur par code de Hamming (codes ECC - Error Correction Code), or ce dernier est dsormais directement intgr dans les contrleurs de disques durs. Cette technologie consiste stocker les donnes selon le mme principe qu'avec le RAID-0 mais en crivant sur une unit distincte les bits de contrle ECC (gnralement 3 disques ECC sont utiliss pour 4 disques de donnes). La technologie RAID 2 offre de pitres performances mais un niveau de scurit lev. Niveau 3 Le niveau 3 propose de stocker les donnes sous forme d'octets sur chaque disque et de ddier un des disques au stockage d'un bit de parit. Disque 1 Disque 2 Disque 3 Disque 4 Octet 1 Octet 2 Octet 3 Parit 1+2+3 Octet 4 Octet 5 Octet 6 Parit 4+5+6 Octet 7 Octet 8 Octet 9 Parit 7+8+9 De cette manire, si l'un des disques venait dfaillir, il serait possible de reconstituer l'information partir des autres disques. Aprs "reconstitution" le contenu du disque dfaillant est de nouveau intgre. Par contre, si deux disques venaient tomber en panne simultanment, il serait alors impossible de remdier la perte de donnes.

31

Niveau 4 Le niveau 4 est trs proche du niveau 3. La diffrence se trouve au niveau de la parit, qui est faite sur un secteur (appel bloc) et non au niveau du bit, et qui est stocke sur un disque ddi. C'est--dire plus prcisment que la valeur du facteur d'entrelacement est diffrente par rapport au RAID 3. Disque 1 Disque 2 Disque 3 Disque 4 Bloc 1 Bloc 2 Bloc 3 Parit 1+2+3 Bloc 4 Bloc 5 Bloc 6 Parit 4+5+6 Bloc 7 Bloc 8 Bloc 9 Parit 7+8+9 Ainsi, pour lire un nombre de blocs rduits, le systme n'a pas accder de multiples lecteurs physiques, mais uniquement ceux sur lesquels les donnes sont effectivement stockes. En contrepartie le disque hbergeant les donnes de contrle doit avoir un temps d'accs gal la somme des temps d'accs des autres disques pour ne pas limiter les performances de l'ensemble. Niveau 5 Le niveau 5 est similaire au niveau 4, c'est--dire que la parit est calcule au niveau d'un secteur, mais rpartie sur l'ensemble des disques de la grappe. Disque 1 Bloc 1 Bloc 4 Parit 7+8+9 Disque 2 Bloc 2 Parit 4+5+6 Bloc 7 Disque 3 Bloc 3 Bloc 5 Bloc 8 Disque 4 Parit 1+2+3 Bloc 6 Bloc 9

De cette faon, RAID 5 amliore grandement l'accs aux donnes (aussi bien en lecture qu'en criture) car l'accs aux bits de parit est rparti sur les diffrents disques de la grappe. Le mode RAID-5 permet d'obtenir des performances trs proches de celles obtenues en RAID-0, tout en assurant une tolrance aux pannes leve, c'est la raison pour laquelle c'est un des modes RAID les plus intressants en terme de performance et de fiabilit. Remarque : L'espace disque utile sur une grappe de n disques tant gal n-1 disques, il est intressant d'avoir un grand nombre de disques pour "rentabiliser" le RAID-5. Niveau 6 Le niveau 6 a t ajout aux niveaux dfinis par Berkeley. Il dfinit l'utilisation de 2 fonctions de parit, et donc leur stockage sur deux disques ddis. Ce niveau permet ainsi d'assurer la redondance en cas d'avarie simultane de deux disques. Cela signifie qu'il faut au moins 4 disques pour mettre en oeuvre un systme RAID-6. Comparaison Les solutions RAID gnralement retenues sont le RAID de niveau 1 et le RAID de niveau 5. Le choix d'une solution RAID est li trois critres : la scurit : RAID 1 et 5 offrent tous les deux un niveau de scurit lev, toutefois la mthode de reconstruction des disques varie entre les deux solutions. En cas de panne du systme, RAID 5 reconstruit le disque manquant partir des informations stockes sur les autres disques, tandis que RAID 1 opre une copie disque disque. Les performances : RAID 1 offre de meilleures performances que RAID 5 en lecture, mais souffre lors d'importantes oprations d'criture.

32

Le cot : le cot est directement li la capacit de stockage devant tre mise en oeuvre pour avoir une certaine capacit effective. La solution RAID 5 offre un volume utile reprsentant 80 90% du volume allou (le reste servant videmment au contrle d'erreur). La solution RAID 1 n'offre par contre qu'un volume disponible reprsentant 50 % du volume total (tant donn que les informations sont dupliques).

Mise en place d'une solution RAID : Il existe plusieurs faons diffrentes de mettre en place une solution RAID sur un serveur : de faon logicielle : il s'agit gnralement d'un driver au niveau du systme d'exploitation de l'ordinateur capable de crer un seul volume logique avec plusieurs disques (SCSI ou IDE). de faon matrielle o avec des matriels DASD (Direct Access Stockage Device) : il s'agit d'units de stockage externes pourvues d'une alimentation propre. De plus ces matriels sont dots de connecteurs permettant l'change de disques chaud (on dit gnralement que ce type de disque est hot swappable). Ce matriel gre luimme ses disques, si bien qu'il est reconnu comme un disque SCSI standard. o avec des contrleurs de disques RAID : il s'agit de cartes s'enfichant dans des slots PCI ou ISA et permettant de contrler plusieurs disques durs. b. Cryptographie La cryptographie est une des disciplines de la cryptologie, s'attachant protger des messages (assurant confidentialit et/ou authenticit), en s'aidant souvent de secrets ou cls. Elle est utilise depuis l'antiquit, mais certaines de ses mthodes les plus importantes, comme la cryptographie asymtrique, n'ont que quelques dizaines d'annes d'existence. i.Vocabulaire chiffrement et dchiffrement : le chiffrement est la transformation l'aide d'une cl de chiffrement d'un message en clair en un message incomprhensible si on ne dispose pas d'une cl de dchiffrement chiffre : anciennement code secret, par extension, algorithme utilis pour le chiffrement cryptogramme : message chiffr dcrypter : retrouver le message clair correspondant un message chiffr sans possder la cl de dchiffrement ou mme retrouver la cl de dchiffrement (terme que ne possde pas les anglophones, qui eux cassent des codes secrets) cryptographie : tymologiquement criture secrte, est devenue par extension l'tude de cet art. C'est donc aujourd'hui la science visant crer des chiffres cryptanalyse : science analysant les cryptogrammes en vue de les casser ii. Algorithmes de chiffrement faibles (cassables facilement) Les premiers algorithmes utiliss pour le chiffrement d'une information taient assez rudimentaires dans leur ensemble. Ils consistaient notamment au remplacement de caractres par d'autres. La confidentialit de l'algorithme de chiffrement est donc la pierre angulaire de ce systme pour viter un cassage rapide. Exemple : ROT13 (rotation de 13 caractres, sans cl) Chiffre de Vigenre (chiffrement polyalphabtique) iii. Algorithmes de cryptographie symtrique ( cl secrte)

33

Les algorithmes de chiffrement symtrique se basent sur une mme cl (ou presque) pour chiffrer et dchiffrer un message. Le problme de cette technique est qu'il faut que toutes les cls soient parfaitement confidentielles. Et lorsqu'un grand nombre de personnes dsirent communiquer ensemble, le nombre de cls augmente de faon importante (une pour chaque couple communicant). Ce qui pose des problmes de gestions des cls (pour un groupe de n personnes utilisant un cryptosystme cls secrtes, il est ncessaire de distribuer n (n-1) / 2 cls). Quelques algorithmes de chiffrement symtrique trs utiliss : DES (Data Encryption System) AES (Advanced Encryption System) RC4 iv. Algorithmes de cryptographie asymtrique ( cl publique et prive) Pour rsoudre en partie le problme de la gestion des cls, la cryptographie asymtrique a t mise au point dans les annes 1970. Elle se base sur le principe de deux cls : une publique, permettant le chiffrement une prive, permettant le dchiffrement

Comme son nom l'indique, la cl publique est mise la disposition de quiconque dsire chiffrer un message. Ce dernier ne pourra tre dchiffr qu'avec la cl prive, qui elle doit tre confidentielle. Quelques algorithmes de cryptographie asymtrique trs utiliss : RSA (Rivest Shamir Adleman) DSA (Digital Signature Algorithm) v. Exemple de cryptosystmes Le chiffrement de Vigenre Le chiffrement de Vigenre est un cryptosystme symtrique, ce qui signifie qu'il utilise la mme cl pour le chiffrement et le dchiffrement. Le chiffrement de Vigenre ressemble beaucoup au chiffrement de Csar, la diffrence prs qu'il utilise une clef plus longue afin de pallier le principal problme du chiffrement de Csar: le fait qu'une lettre puisse tre code d'une seule faon. Pour cela on utilise un mot clef au lieu d'un simple caractre. On associe dans un premier temps chaque lettre un chiffre correspondant. A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 Il consiste coder un texte avec un mot en ajoutant chacune de ses lettres la lettre d'un autre mot appel cl. La cl est ajoute indfiniment en vis--vis avec le texte chiffrer, puis le code ASCII de chacune des lettres de la cl est ajout au texte crypter.

34

Par exemple le texte "rendezvousamidi" avec la cl "bonjour" sera cod de la manire suivante: Texte original: r e n d e z v o u s a m i d i 114 101 110 100 101 122 118 111 117 115 97 109 105 100 105 Cl: b o n j o u r 98 111 110 106 111 117 114 Texte crypt r+b e+o n+n d+j e+o z+u v+r o+b u+o s+n a+j m+o i+u d+r i+b 101 110 100 101 122 118 117 115 105 100 114 111 97 + 109 + 105 + + + + + + + + + + + 98 + 98 106 111 + 98 111 110 106 111 117 114 111 110 117 114 Pour dchiffrer ce message il suffit d'avoir la cl secrte et faire le dchiffrement inverse, l'aide d'une soustraction. Bien que ce chiffrement soit beaucoup plus sr que le chiffrement de Csar, il peut encore tre facilement cass. En effet, lorsque les messages sont beaucoup plus longs que la clef, il est possible de reprer la longueur de la clef et d'utiliser pour chaque squence de la longueur de la clef la mthode consistant calculer la frquence d'apparition des lettres, permettant de dterminer un un les caractres de la clef... Pour viter ce problme, une solution consiste utiliser une clef dont la taille est proche de celle du texte afin de rendre impossible une tude statistique du texte crypt. Ce type de systme de chiffrement est appel systme cl jetable. Le problme de ce type de mthode est la longueur de la cl de cryptage (plus le texte crypter est long, plus la clef doit tre volumineuse), qui empche sa mmorisation et implique une probabilit d'erreur dans la cl beaucoup plus grande (une seule erreur rend le texte indchiffrable...). RSA Le fonctionnement du cryptosystme RSA est bas sur la difficult de factoriser de grands entiers. Soit deux nombres premiers p et q, et d un entier tel que d soit premier avec (p-1)(q-1)). Le triplet (p,q,d) constitue ainsi la cl prive. La cl publique est alors le doublet (n,e) cr l'aide de la cl prive par les transformations suivantes : n=pq e = 1/d mod((p-1)(q-1)) Soit M, le message envoyer. Il faut que le message M soit premier avec la cl n. En effet, le dchiffrement repose sur le thorme d'Euler stipulant que si M et n sont premiers entre eux, alors : Mphi(n) = 1 mod(n) Phi(n) tant l'indicateur d'Euler, et valant dans le cas prsent (p-1) (q-1). Il est donc ncessaire que M ne soit pas un multiple de p, de q, ou de n. Une solution consiste dcouper le message M en morceaux Mi tels que le nombre de chiffres de chaque Mi soit strictement infrieur celui de p et de q. Cela suppose donc que p et q soient grand, ce qui est le cas en pratique puisque tout le principe de RSA rside dans la difficult trouver dans un temps raisonnable p et q connaissant n, ce qui suppose p et q grands. Exemple : Cration de la paire de cls: 35

Soient deux nombres premiers au hasard: p = 29, q = 37, on calcule n = pq = 29 37 = 1073. On doit choisir e au hasard tel que e n'ai aucun facteur en commun avec (p-1)(q-1) : (p-1)(q-1) = (29-1)(37-1) = 1008 On prend e = 71 On choisit d tel que 71d mod 1008 = 1, on trouve d = 1079. On a maintenant les cls : La cl publique est (e,n) = (71,1073) (=cl de chiffrement) La cl prive est (d,n) = (1079,1073) (=cl de dchiffrement) Chiffrement du message 'HELLO' : On prend le code ASCII de chaque caractre et on les met bout bout: M = 7269767679 Il faut dcouper le message en blocs qui comportent moins de chiffres que n. n comporte 4 chiffres, on dcoupe notre message en blocs de 3 chiffres: 726 976 767 900 (on complte avec des zros) On chiffre chacun de ces blocs : 726^71 mod 1073 = 436 976^71 mod 1073 = 822 767^71 mod 1073 = 825 900^71 mod 1073 = 552 Le message chiffr est 436 822 825 552. On peut le dchiffrer avec d: 436^1079 mod 1073 = 726 822^1079 mod 1073 = 976 825^1079 mod 1073 = 767 552^1079 mod 1073 = 900 C'est dire la suite de chiffre 726976767900. On retrouve notre message en clair 72 69 76 76 79 : 'HELLO' ! vi. La signature lectronique Le paradigme de signature lectronique (appel aussi signature numrique) est un procd permettant de garantir l'authenticit de l'expditeur (fonction d'authentification) et de vrifier l'intgrit du message reu. La signature lectronique assure galement une fonction de non-rpudiation, c'est--dire qu'elle permet d'assurer que l'expditeur a bien envoy le message (autrement dit elle empche l'expditeur de nier avoir expdi le message). Qu'est-ce qu'une fonction de hachage ? Une fonction de hachage (parfois appele fonction de condensation) est une fonction permettant d'obtenir un condens (appel aussi condensat ou hach ou en anglais message digest) d'un texte, c'est--dire une suite de caractres assez courte reprsentant le texte qu'il condense. La fonction de hachage doit tre telle qu'elle associe un et un seul hach un texte en clair (cela signifie que la moindre modification du document entrane la modification de son hach). D'autre part, il doit s'agir d'une fonction sens unique (one-way function) afin qu'il soit impossible de retrouver le message original partir du condens. Sil existe un moyen de retrouver le message en clair partir du hach, la fonction de hachage est dite brche secrte .

36

Ainsi, le hach reprsente en quelque sorte l'empreinte digitale (en anglais finger print) du document. Les algorithmes de hachage les plus utiliss actuellement sont : MD5 (MD signifiant Message Digest). Dvelopp par Rivest en 1991, MD5 cre une empreinte digitale de 128 bits partir d'un texte de taille arbitraire en le traitant par blocs de 512 bits. Il est courant de voir des documents en tlchargement sur Internet accompagns d'un fichier MD5, il s'agit du condens du document permettant de vrifier l'intgrit de ce dernier. SHA (pour Secure Hash Algorithm, pouvant tre traduit par Algorithme de hachage scuris) cre des empreintes d'une longueur de 160 bits. SHA-1 est une version amliore de SHA datant de 1994 et produisant une empreinte de 160 bits partir d'un message d'une longueur maximale de 264 bits en le traitant par blocs de 512 bits. Vrification d'intgrit En expdiant un message accompagn de son hach, il est possible de garantir l'intgrit d'un message, c'est--dire que le destinataire peut vrifier que le message n'a pas t altr (intentionnellement ou de manire fortuite) durant la communication.

Lors de la rception du message, il suffit au destinataire de calculer le hach du message reu et de le comparer avec le hach accompagnant le document. Si le message (ou le hach) a t falsifi durant la communication, les deux empreintes ne correspondront pas. Le scellement des donnes L'utilisation d'une fonction de hachage permet de vrifier que l'empreinte correspond bien au message reu, mais rien ne prouve que le message a bien t envoy par celui que l'on croit tre l'expditeur. Ainsi, pour garantir l'authentification du message, il suffit l'expditeur de chiffrer (on dit gnralement signer) le condens l'aide de sa cl prive (le hach sign est appel sceau) et d'envoyer le sceau au destinataire.

37

A rception du message, il suffit au destinataire de dchiffrer le sceau avec la cl publique de l'expditeur, puis de comparer le hach obtenu avec la fonction de hachage au hach reu en pice jointe. Ce mcanisme de cration de sceau est appel scellement. vii. Les certificats Introduction Les algorithmes de chiffrement asymtrique sont bass sur le partage entre les diffrents utilisateurs d'une cl publique. Gnralement le partage de cette cl se fait au travers d'un annuaire lectronique ou bien d'un site web. Toutefois ce mode de partage a une grande lacune : rien ne garantit que la cl est bien celle de l'utilisateur a qui elle est associe . En effet un pirate peut corrompre la cl publique prsente dans l'annuaire en la remplaant par sa cl publique. Ainsi, le pirate sera en mesure de dchiffrer tous les messages ayant t chiffrs avec la cl prsente dans l'annuaire. Ainsi un certificat permet d'associer une cl publique une entit (une personne, une machine, ...) afin d'en assurer la validit. Le certificat est en quelque sorte la carte d'identit de la cl publique, dlivr par un organisme appel autorit de certification (souvent note CA pour Certification Authority). L'autorit de certification est charge de dlivrer les certificats, de leur assigner une date de validit (quivalent la date limite de premption des produits alimentaires), ainsi que de rvoquer ventuellement des certificats avant cette date en cas de compromission de la cl (ou du propritaire). Qu'est-ce qu'un certificat ? Les certificats sont des petits fichiers diviss en deux parties : La partie contenant les informations La partie contenant la signature de l'autorit de certification La structure des certificats est normalise par le standard X.509 de l'UIT, qui dfinit les informations contenues dans le certificat : Le nom de l'autorit de certification Le nom du propritaire du certificat La date de validit du certificat L'algorithme de chiffrement utilis La cl publique du propritaire L'ensemble de ces informations (informations + cl publique du demandeur) est sign par l'autorit de certification, cela signifie qu'une fonction de hachage cre une empreinte de ces 38

informations, puis ce condens est chiffr l'aide de la cl prive de l'autorit de certification; la cl publique ayant t pralablement largement diffuse afin de permettre aux utilisateurs de vrifier la signature avec la cl publique de l'autorit de certification.

Lorsqu'un utilisateur dsire communiquer avec une autre personne, il lui suffit de se procurer le certificat du destinataire. Ce certificat contient le nom du destinataire, ainsi que sa cl publique et est sign par l'autorit de certification. Il est donc possible de vrifier la validit du message en appliquant d'une part la fonction de hachage aux informations contenues dans le certificat, en dchiffrant d'autre part la signature de l'autorit de certification avec la cl publique de cette dernire et en comparant ces deux rsultats.

viii. SSL SSL (en anglais Secure Sockets Layers, que l'on pourrait traduire par couche de sockets scurise) est un procd de scurisation des transactions effectues via Internet. Il repose sur un procd de cryptographie par cl publique afin de garantir la scurit de la transmission de donnes sur Internet. Le systme SSL est indpendant du protocole utilis, ce qui signifie qu'il peut aussi bien scuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, POP ou IMAP. De cette manire, SSL est transparent pour l'utilisateur (entendez par l qu'il peut ignorer qu'il utilise SSL). Par exemple un utilisateur utilisant un navigateur Internet pour se connecter un site de commerce lectronique scuris par SSL enverra des donnes chiffres sans avoir s'en proccuper.

39

La quasi intgralit des navigateurs supporte dsormais le protocole SSL. Netscape Navigator affiche par exemple un cadenas verrouill pour indiquer la connexion un site scuris par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion un site scuris par SSL. sous Internet Explorer sous Mozilla

Un serveur scuris par SSL possde une URL commenant par https://, o le "s" signifie bien videmment secured (scuris). Fonctionnement de SSL 2.0 La scurisation des transactions par SSL 2.0 est base sur un change de cls entre client et serveur. La transaction scurise par SSL se fait selon le schma suivant: Dans un premier temps, le client, se connecte au site marchand scuris par SSL et lui demande de s'authentifier. Le client envoie galement la liste des cryptosystmes qu'il supporte, trie par ordre dcroissant de la longueur des cls. Le serveur a rception de la requte envoie un certificat au client, contenant la cl publique du serveur, signe par une autorit de certification (CA), ainsi que le nom du cryptosystme le plus haut dans la liste avec lequel il est compatible (la longueur de la cl de chiffrement - 40 bits ou 128 bits - sera celle du cryptosystme commun ayant la plus grande taille de cl). Le client vrifie la validit du certificat (donc l'authenticit du marchand), puis cre une cl secrte alatoire (plus exactement un bloc prtendument alatoire), chiffre cette cl l'aide de la cl publique du serveur, puis lui envoie le rsultat (la cl de session). Le serveur est en mesure de dchiffrer la cl de session avec sa cl prive. Ainsi, les deux entits sont en possession d'une cl commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire l'aide de cl de session, garantissant l'intgrit et la confidentialit des donnes changes. Remarque : la notion de cl de session est un compromis entre le chiffrement symtrique et asymtrique permettant de combiner les deux techniques. Le principe de la cl de session est simple : il consiste gnrer alatoirement une cl de session de taille raisonnable, et de chiffrer celle-ci l'aide d'un algorithme de chiffrement cl publique (plus exactement l'aide de la cl publique du destinataire). Le destinataire est en mesure de dchiffrer la cl de session l'aide de sa cl prive. Ainsi, expditeur et destinataires sont en possession d'une cl commune dont ils sont seuls connaisseurs. Il leur est alors possible de s'envoyer des documents chiffrs l'aide d'un algorithme de chiffrement symtrique.

2. Protection contre les intrusions rseau a. Pare-feu (FireWall) Introduction

40

Chaque ordinateur connect sur Internet (ou sur n'importe quel rseau) est susceptible d'tre victime d'intrusion pouvant compromettre l'intgrit du systme ou des donnes. Les pirates informatiques s'introduisent dans les systmes en recherchant des failles de scurits dans les protocoles, les systmes d'exploitations et les applications. Ils scrutent les rseaux dans l'espoir de trouver un ordinateur mal protg dans le quel, ils pourront s'introduire pour voler les donnes ou dposer des virus. Cette menace est encore plus importante si l'ordinateur est connect en permanence Internet. Il est donc ncessaire, pour les entreprises, les tablissements publics et les particuliers connectes Internet avec une connexion de type rseau local, cble ou modem ADSL, de se protger des intrusions en installant un systme pare-feu. Qu'est-ce qu'un pare-feu ? Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un systme permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment Internet). Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivants : une interface pour le rseau protger (rseau interne) ; une interface pour le rseau externe.

Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseaux externes. Il est possible de mettre un systme pare-feu sur n'importe quelle machine et avec n'importe quel systme pourvu que : La machine soit suffisamment puissante pour traiter le traffic ; Le systme soit scuris ; Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur. Le fonctionnement d'un systme firewall Un systme pare-feu contient un ensemble de rgles prdfinies permettant : D'autoriser la connexion (allow ou accept) ; De bloquer la connexion (deny) ; De rejeter la demande de connexion sans avertir l'metteur (drop). L'ensemble de ces rgles permet de mettre en oeuvre une mthode de filtrage dpendant de la politique de scurit adopte par l'entit. On distingue habituellement deux types de politiques de scurit permettant : soit d'autoriser uniquement les communications ayant t explicitement autorises : soit d'empcher les changes qui ont t explicitement interdits. La premire mthode est sans nul doute la plus sre, mais elle impose toutefois une dfinition prcise et contraignante des besoins en communication. Le filtrage de paquets

41

Un systme pare-feu fonctionnant sur le principe du filtrage de paquets analyse les en-ttes des paquets (aussi appels datagrammes) changs entre deux machines. En effet les machines d'un rseau reli Internet sont repres ladresse IP. Ainsi, lorsqu'une machine de l'extrieur se connecte une machine du rseau local, et viceversa, les paquets de donnes passant par le firewall contiennent les en-ttes suivants, qui sont analyss par le firewall: L'adresse IP de la machine mettrice L'adresse IP de la machine rceptrice Le type de paquet (TCP, UDP, ...) Le numro de port (rappel: un port est un numro associ un service ou une application rseau) Les adresses IP contenues dans les paquets permettent d'identifier la machine mettrice et la machine cible, tandis que le type de paquet et le numro de port donnent une indication sur le type de service utilis. Certains ports sont associs des service courants (les ports 25 et 110 sont gnralement associs au courrier lectronique, et le port 80 au Web) et ne sont gnralement pas bloqus. Toutefois, il est ncessaire de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue). Le tableau ci-dessous donne des exemples de rgles de pare-feu :
Rgle 1 2 3 4 Action Accept Accept Accept Deny IP source 192.168.10.20 any 192.168.10.0/24 any IP dest 194.154.192.3 192.168.10.3 any any Protocol tcp tcp tcp any Port source any any any any Port dest 25 80 80 any

Un des ports les plus critiques est le port 23 car il correspond l'utilitaire Telnet qui permet d'muler un accs par terminal une machine distante de manire pouvoir excuter des commandes saisies au clavier distance... Le filtrage applicatif Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une connaissance de l'application, et notamment de la manire de laquelle elle structure les donnes changes. Un firewall effectuant un filtrage applicatif est appel passerelle applicative car il permet de relayer des informations entre deux rseaux en effectuant un filtrage fin au niveau du contenu des paquets changs. Les limites des firewalls Le fait d'installer un firewall n'est bien videmment pas signe de scurit absolue. Les firewalls ne protgent en effet que des communications passant travers eux. Ainsi, les accs au rseau extrieur non raliss au travers du firewall sont autant de failles de scurit. C'est par exemple le cas des connexions effectues l'aide d'un modem. D'autre part, le fait d'introduire des supports de stockage provenant de l'extrieur sur des machines internes au rseau peut tre fort prjudiciable pour la scurit de ce dernier. La mise en place d'un firewall doit donc se faire en accord avec une vritable politique de scurit. D'autre part la mise en place d'un systme pare-feu n'exempt pas de se tenir au courant des failles de scurit et d'essayer de les minimiser... DMZ Notion de cloisonnement 42

Les systmes firewall permettent de dfinir des rgles d'accs entre deux rseaux. Nanmoins, dans la pratique, les entreprises ont gnralement plusieurs sous-rseaux avec des politiques de scurit diffrentes. C'est la raison pour laquelle il est ncessaire de mettre en place des architectures de systmes pare-feux permettant d'isoler les diffrents rseaux de l'entreprise : on parle ainsi de cloisonnement des rseaux (le terme isolation est parfois galement utilis). Architecture DMZ Lorsque certaines machines du rseau interne ont besoin d'tre accessibles de l'extrieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent ncessaire de crer une nouvelle interface vers un rseau part, accessible aussi bien du rseau interne que de l'extrieur, sans pour autant risquer de compromettre la scurit de l'entreprise. On parle ainsi de zone dmilitaris (note DMZ pour DeMilitarized Zone) pour dsigner cette zone isole hbergeant des applications mises disposition du public.

La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante : Trafic du rseau externe vers la DMZ autoris ; Trafic du rseau externe vers le rseau interne interdit ; Trafic du rseau interne vers la DMZ autoris ; Trafic du rseau interne vers le rseau externe autoris ; Trafic de la DMZ vers le rseau interne interdit ; Trafic de la DMZ vers le rseau externe refus. La DMZ possde donc un niveau de scurit intermdiaire, mais son niveau de scurisation n'est pas suffisant pour y stocker des donnes critiques pour l'entreprise. Il est noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le rseau interne selon diffrents niveaux de protection et ainsi viter les intrusions venant de l'intrieur.

b. Proxy Introduction

43

Un serveur proxy (traduction franaise de proxy server, appel aussi serveur mandataire) est l'origine une machine faisant fonction d'intermdiaire entre les ordinateurs d'un rseau local et Internet. La plupart du temps le serveur proxy est utilis pour le web, il s'agit alors d'un proxy HTTP. Toutefois il peut exister des serveurs proxy pour chaque protocole applicatif (FTP, ...).

Le principe de fonctionnement d'un proxy Le principe de fonctionnement basique d'un serveur proxy est assez simple : il s'agit d'un serveur "mandat" par une application pour effectuer une requte sur Internet sa place. Ainsi, lorsqu'un utilisateur se connecte Internet l'aide d'une application cliente configure pour utiliser un serveur proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui donner sa requte. Le serveur proxy va alors se connecter au serveur que l'application cliente cherche joindre et lui transmettre la requte. Le serveur va ensuite donner sa rponse au proxy, qui va son tour la transmettre l'application cliente.

Les fonctionnalits d'un serveur proxy Dsormais, avec l'utilisation de TCP/IP au sein des rseaux locaux, le rle de relais du serveur proxy est directement assur par les passerelles et les routeurs. Pour autant, les serveurs proxy sont toujours d'actualit grce un certain nombre d'autres fonctionnalits. La fonction de cache La plupart des proxys assurent ainsi une fonction de cache (en anglais caching), c'est--dire la capacit garder en mmoire (en "cache") les pages les plus souvent visites par les utilisateurs du rseau local afin de pouvoir les leur fournir le plus rapidement possible. En effet, en informatique, le terme de "cache" dsigne un espace de stockage temporaire de donnes (le terme de "tampon" est galement parfois utilis). Un serveur proxy ayant la possibilit de cacher (nologisme signifiant "mettre en mmoire cache") les informations est gnralement appel "serveur proxy-cache". Cette fonctionnalit implmente dans certains serveurs proxy permet d'une part de rduire l'utilisation de la bande passante vers Internet ainsi que de rduire le temps d'accs aux documents pour les utilisateurs. Toutefois, pour mener bien cette mission, il est ncessaire que le proxy compare rgulirement les donnes qu'il stocke en mmoire cache avec les donnes distantes afin de s'assurer que les donnes en cache sont toujours valides. Le filtrage

44

D'autre part, grce l'utilisation d'un proxy, il est possible d'assurer un suivi des connexions (en anglais logging ou tracking) via la constitution de journaux d'activit (logs) en enregistrant systmatiquement les requtes des utilisateurs lors de leurs demandes de connexion Internet. Il est ainsi possible de filtrer les connexions Internet en analysant d'une part les requtes des clients, d'autre part les rponses des serveurs. Lorsque le filtrage est ralis en comparant la requte du client une liste de requtes autorises, on parle de liste blanche, lorsqu'il s'agit d'une liste de sites interdits on parle de liste noire. Enfin l'analyse des rponses des serveurs conformment une liste de critres (mots-cls, ...) est appel filtrage de contenu. L'authentification Dans la mesure o le proxy est l'intermdiaire indispensable des utilisateurs du rseau interne pour accder des ressources externes, il est parfois possible de l'utiliser pour authentifier les utilisateurs, c'est--dire de leur demander de s'identifier l'aide d'un nom d'utilisateur et d'un mot de passe par exemple. Il est ainsi ais de donner l'accs aux ressources externes aux seules personnes autorises le faire et de pouvoir enregistrer dans les fichiers journaux des accs identifis. Reverse-proxy On appelle reverse-proxy (en franais le terme de relais inverse est parfois employ) un serveur proxy-cache "mont l'envers", c'est--dire un serveur proxy permettant non pas aux utilisateurs d'accder au rseau Internet, mais aux utilisateurs d'Internet d'accder indirectement certains serveurs internes.

Le reverse-proxy sert ainsi de relais pour les utilisateurs d'Internet souhaitant accder un site web interne en lui transmettant indirectement les requtes. Grce au reverse-proxy, le serveur web est protg des attaques directes de l'extrieur, ce qui renforce la scurit du rseau interne. D'autre part, la fonction de cache du reverse-proxy peut permettre de soulager la charge du serveur pour lequel il est prvu, c'est la raison pour laquelle un tel serveur est parfois appel "acclrateur" (server accelerator). Enfin, grce des algorithmes perfectionns, le reverse-proxy peut servir rpartir la charge en redirigeant les requtes vers diffrents serveurs quivalents; on parle alors de "rpartition de charge", ou en anglais "load balancing". c. VPN Le concept de VPN Les rseaux locaux d'entreprise sont des rseaux internes une organisation, c'est--dire que les liaisons entre machines appartiennent l'organisation. Ces rseaux sont de plus en plus souvent relis Internet par l'intermdiaire d'quipements d'interconnexion. Il arrive ainsi souvent que des entreprises prouvent le besoin de communiquer avec des filiales, des clients ou mme des personnels gographiquement loigns via Internet. Pour autant, les donnes transmises sur Internet sont beaucoup plus vulnrables que lorsqu'elles circulent sur un rseau interne une organisation car le chemin emprunt n'est pas 45

dfini l'avance, ce qui signifie que les donnes empruntent une infrastructure rseau publique appartenant diffrents oprateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le rseau soit cout par un utilisateur indiscret ou mme dtourn. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise. La premire solution pour rpondre ce besoin de communication scuris consiste relier les rseaux distants l'aide de liaisons spcialises. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux rseaux locaux distants par une ligne spcialise, il est parfois ncessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste utiliser Internet comme support de transmission en utilisant un protocole d'"encapsulation" (en anglais tunneling) c'est--dire encapsulant les donnes transmettre de faon chiffre. On parle alors de rseau priv virtuel (VPN, acronyme de Virtual Private Network) pour dsigner le rseau ainsi artificiellement cr. Ce rseau est dit virtuel car il relie deux rseaux "physiques" (rseaux locaux) par une liaison non fiable (Internet), et priv car seuls les ordinateurs des rseaux locaux de part et d'autre du VPN peuvent "voir" les donnes. Le systme de VPN permet donc d'obtenir une liaison scurise moindre cot, si ce n'est la mise en oeuvre des quipements terminaux. En contrepartie il ne permet pas d'assurer une qualit de service comparable une ligne loue dans la mesure o le rseau physique est public et donc non garanti. Fonctionnement d'un VPN Un rseau priv virtuel repose sur un protocole, appel protocole de tunnelisation (tunneling), c'est--dire un protocole permettant aux donnes passant d'une extrmit du VPN l'autre d'tre scurises par des algorithmes de cryptographie.

Le terme de "tunnel" est utilis pour symboliser le fait qu'entre l'entre et la sortie du VPN les donnes sont chiffres (cryptes) et donc incomprhensible pour toute personne situe entre les deux extrmits du VPN, comme si les donnes passaient dans un tunnel. Dans le cas d'un VPN tabli entre deux machines, on appelle client VPN l'lment permettant de chiffrer et de dchiffrer les donnes du ct utilisateur (client) et serveur VPN (ou plus gnralement serveur d'accs distant) l'lment chiffrant et dchiffrant les donnes du ct de l'organisation. De cette faon, lorsqu'un utilisateur ncessite d'accder au rseau priv virtuel, sa requte va tre transmise en clair au systme passerelle, qui va se connecter au rseau distant par l'intermdiaire d'une infrastructure de rseau public, puis va transmettre la requte de faon chiffre. L'ordinateur distant va alors fournir les donnes au serveur VPN de son rseau local qui va transmettre la rponse de faon chiffre. A rception sur le client VPN de l'utilisateur, les donnes seront dchiffres, puis transmises l'utilisateur ... Les protocoles de tunnelisation

46

Les principaux protocoles de tunneling sont les suivants : PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 dvelopp par Cisco, Northern Telecom et Shiva. Il est dsormais quasi-obsolte L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP. IV. Audit de Vulnrabilits 1. Introduction L'audit de vulnrabilit permet d'adopter une approche automatise et exhaustive des tests de scurit. En aucun cas il remplace le test d'intrusion qui lui intervient en amont de tout projet scurit car il permet de dceler des faiblesses sur les architectures. De plus, le test d'intrusion permet galement de sensibiliser la direction aux problmatiques scurit et aide dans bien des cas obtenir des budgets pour la scurit. L'audit de vulnrabilits possde une approche plus rgulire que le test d'intrusion, il doit permettre de mesure le niveau de scurit et de contrler l'impermabilit du rseau. Dans le cas ou les rsultats ne sont pas satisfaisants, l'audit de vulnrabilits doit conduire un processus de remediation des vulnrabilits dcouvertes. En entreprise, on s'attache aujourd'hui davantage la gestion des vulnrabilits qui contient la phase d'audit mais aussi tous les processus permettant la distribution des informations pour la remediation et le contrle rcurent des installations. 2. Le concept de l'audit de vulnrabilits Aujourd'hui, votre rseau informatique possde un niveau de scurit lev. Vos serveurs et machines sont jour, aucune vulnrabilit connue touche vos systmes, mais demain ? En effet, tous les jours de nouvelles vulnrabilits sont dcouvertes. Ces failles peuvent toucher les systmes d'exploitation ou services que vous possdez au sein de votre infrastructure. Comment tre alert au plus tt de la prsence d'une vulnrabilit qui affecte vos quipements ? Cette problmatique trouve sa rponse dans les audits de vulnrabilits rcurrents et l'adoption d'une dmarche proactive. Pourquoi attendre que votre service de veille vous avertisse de la sortie d'une nouvelle faille alors que vous pourriez, a peine quelques heures aprs sa dcouverte, en tester la prsence relle sur vos machines et dtecter instantanment si vous tes vulnrable ou non ? De nombreuses solutions d'audits de vulnrabilits automatiss existent. Les technologies ont beaucoup volue et il est dsormais possible de dtecter avec une grande prcision les vulnrabilits connues. L'audit automatis et rcurrent permet d'adopter une dmarche proactive dans la gestion des vulnrabilits qui peuvent toucher vos rseaux. Pour garantir dans le temps un niveau de scurit lev, il est impratif de tester de manire rcurrente et rapproche l'ensemble des lments critiques qui constituent votre infrastructure. Une approche proactive Une dmarche proactive dans la gestion des vulnrabilits est la cl du maintien d'un niveau de scurit lev sur vos systmes. Il faut aller au devant des vulnrabilits et les traiter le plus rapidement possible avant un incident. Un audit de vulnrabilits se droule gnralement en quatre phases. Ces phases sont les piliers de la dmarche proactive de gestion de vulnrabilits.

47

Phase de dcouverte La premire phase d'un audit de vulnrabilits est la dcouverte des machines auditer. Il faut connatre avec prcision son primtre rseau aussi bien interne que externe. Certaines solutions offrent des fonctionnalits de mapping qui permet d'effectuer un inventaire du parc interne ou externe et de choisir les machines tester. videmment les machines dites "sensibles" sont les premires auditer mais il ne faut pas nanmoins ngliger les autre y compris les stations de travail qui, nous l'avons vu avec l'arriver de vers comme "sasser" ou "blaster", sont des cibles de choix pour les dveloppeurs de virus. Phase de dtection La phase de dtection ou "Assessment" correspond la dtection des vulnrabilits prsentes sur les machines testes. Cette phase doit tre opre de manire rcurrente et automatise. A partir de la base de connaissance de la solution d'audits, celle-ci va dterminer les vulnrabilits prsentes sur une ou plusieurs machines ou lments actifs. En fonction de la solution utilise, cette phase peut tre plus ou moins intrusive. Certains diteurs de solutions d'audit de vulnrabilits adoptent une politique "non intrusive" afin de pouvoir tester sans risques des serveurs en production. Phase d'analyse des rsultats Cette phase correspond l'exploitation des rsultats de la phase de test. La solution d'audits de vulnrabilits doit tre mme de fournir un reporting prcis pour les quipes techniques, dtaillant les problmes rencontrs, l'impact sur les machines et les solutions pour corriger les failles. Certains solutions offrent galement des rapport dits "Executive" qui n'tant pas techniques, s'adressent plus une direction informatique faisant un tat des lieux du niveau de scurit global du systme informatique et fournis galement des rapports d'analyse de tendance sur une priode donne. Cela permet en outre aux directions de visualiser l'efficacit de leurs quipes scurit et de pouvoir visualiser leurs retours sur investissements dans le domaine de la protection de l'infrastructure informatique de l'entreprise. Phase de remediation Cette dernire phase a pour but de grer au mieux les interventions qui font suite aux dcouvertes. Certaines solutions d'audits de vulnrabilits fournissent une plateforme d'attribution de ticket lors de la dcouverte d'une vulnrabilit. Le ticket adress un technicien lui permet de mettre en place une action curative et de tracer les vnements de remediation. Le processus de remediation doit tre l'aboutissement d'un audit de vulnrabilits. 3. COBIT Le rfrentiel COBIT (Control Objectives for Information and related Technologies, traduisez contrler les objectifs des technologies de l'information) est une mthode de matrise des systmes dinformation et d'audit de systmes d'information, dite par lInformation System Audit & Control Association (ISACA) en 1996. C'est un cadre de contrle qui vise aider le management grer les risques (scurit, fiabilit, conformit) et les investissements. Il y a un certain nombre d'outils qui ont t mis en place afin de coller aux besoins des entreprises selon leur importance et la complexit de leurs systmes dinformations. Lobjectif du COBIT tait de faire le lien entre les risques mtiers, les besoins de contrle et les questions techniques en se basant sur les meilleures pratiques en audit informatique et systmes dinformations. Les outils mis notre disposition :

48

COBIT QuickStart : propose une premire approche aux nombreuses PME et autres entits pour lesquelles les technologies dinformation ne sont ni un enjeu stratgique ni un lment cl de leur survie ; pour d'autres entreprises il constitue un point de dpart dans leur volution vers un niveau de contrle et de gouvernance des technologies dinformation adapt leurs besoins. COBIT ONLINE est un site web ralis par lIT Governance Institute accessible par abonnement ladresse : www.isaca.org/cobitonline Il offre diverses fonctionnalits comme la possibilit de pouvoir consulter et tlcharger le contenu de COBIT en ligne, de raliser des analyses comparatives (benchmark) et dchanger avec dautres utilisateurs (forum). COBIT Advisor : ce logiciel facilite la conduite dun audit informatique et la gnration de rapports et de reprsentations graphiques des rsultats.

V. La disponibilit des donnes 1. Sauvegarde et archivage a. Introduction Il paratrait presque normal de confondre sauvegarde et archivage. Aprs tout, il sagit dans les deux cas de stocker des donnes sur un support de masse afin de les conserver. Ce serait cependant une erreur ! Et comprendre la diffrence qui existe entre une sauvegarde et une archive permet de mieux apprhender le cycle de vie de la donne dans l'entreprise et le choix des solutions techniques. Pour cela, un retour historique simpose. Les vtrans de linformatique parlaient plus volontiers de stockage "chaud" ou "froid" plutt que de sauvegarde ou darchivage. Le stockage dit chaud tait la donne immdiatement accessible et facilement modifiable. A loppos, le stockage dit froid dsignait la donne archive sur un support trs forte capacit de stockage, mais dont linconvnient tait de ne pas permettre une rcupration rapide et granulaire des informations. Ainsi, une fois les enregistrements descendus sur une bande magntique, la rcupration dun fichier particulier situ en milieu de bande pouvait prendre plusieurs heures et ntait de ce fait utilise quen dernier recours. De cette distinction finalement technique dcoulent les notions de sauvegarde et darchivage. Les donnes sauvegardes sont susceptibles dtre rcupres rapidement et peuvent tre modifies volont. Mais au del dun certain dlai, ou lorsque la donne a t consomme et traite, elle est enregistre sur une bande o elle ne sera plus modifie (archive, donc) afin dtre conserve en ltat. En rsum: on naccde quasiment jamais aux archives tandis que lon passe son temps modifier des sauvegardes, ne serait-ce que pour les mettre jour ! b. Stratgies de sauvegarde Un certain nombre de facteurs sont prendre en compte lors de la planification de la solution : sauvegarde des lments ncessaires seulement, planification soigneuse des sauvegardes et choix du type appropri de sauvegarde excuter. Ncessit d'viter les sauvegardes superflues

49

Lorsque vous concevez une stratgie de sauvegarde, vous pouvez tre tent d'excuter une sauvegarde intgrale de chaque serveur de l'environnement. Gardez l'esprit cependant que votre objectif est de restaurer correctement l'environnement aprs une panne ou une catastrophe. Votre stratgie de sauvegarde doit donc se concentrer sur les objectifs suivants : les donnes restaurer doivent tre aisment localisables ; la restauration doit s'avrer aussi rapide que possible. Si vous sauvegardez tous les serveurs sans distinction, vous aurez un gros volume de donnes restaurer. Bien que les produits de sauvegarde et de restauration permettent une restauration rapide des donnes, le temps d'arrt peut s'allonger si vous devez tout restaurer partir d'une bande. Ainsi, la plupart des produits de sauvegarde ncessitent l'excution des tapes suivantes : rinstallation du systme d'exploitation ; rinstallation du logiciel de sauvegarde ; restauration des donnes sauvegardes sur bande. Plus vous sauvegardez de fichiers, plus la sauvegarde est longue, et surtout, plus la restauration des fichiers prend de temps. Aprs une catastrophe, le facteur temps est une donne majeure. C'est pourquoi il importe que le processus de restauration soit aussi court que possible. En outre, les grosses sauvegardes effectues de manire rgulire ont un effet nfaste sur les performances du rseau moins que vous ne mettiez en place un rseau de sauvegarde ddi. Une fois que vous avez dtermin la stratgie de sauvegarde optimale pour votre environnement, il est indispensable d'effectuer une restauration-test sur la globalit du rseau test. Cet essai permet d'identifier les zones problme et constitue une exprience utile en matire de restauration des systmes dans l'environnement sans subir la pression de la remise en ligne du systme de production. Choix du moment appropri pour les sauvegardes Chaque type d'environnement prsente diffrentes opportunits pour effectuer une sauvegarde efficace en interrompant le moins possible les utilisateurs. Ainsi, la sauvegarde d'un environnement de commerce lectronique n'a pas la mme implication que la sauvegarde de l'infrastructure d'un rseau local d'entreprise. Sur un rseau LAN d'entreprise, l'utilisation est moindre en dehors des principales heures de travail. Dans un environnement de commerce lectronique, l'utilisation augmente gnralement en dbut de soire et peut se poursuivre ainsi jusqu'aux premires heures de la matine, particulirement si la base de clients couvre plusieurs fuseaux horaires. C'est pour cette raison qu'il n'est pas possible de dterminer l'heure idale de sauvegarde de votre environnement. Choix du support de stockage le mieux adapt Aprs avoir dtermin le type de sauvegarde effectuer et le moment appropri pour cette opration, vous devez galement tudier les types de supports de stockage disponibles et slectionner le support le mieux adapt. Lorsque vous choisissez un support de stockage, tenez compte des points suivants : quantit de donnes sauvegarder ; type de donnes sauvegarder ; distance entre les systmes sauvegarder et le priphrique de stockage ; budget de votre entreprise ; .

50

Le tableau suivant rcapitule les avantages et inconvnients des types de supports de sauvegarde les plus courants. Type de Avantages Inconvnients support de sauvegarde Bande Assure une sauvegarde rapide et S'use plus rapidement et se rvle plus sujet une longue conservation des aux erreurs que les disques magntiques et donnes. magnto-optiques. Offre une capacit de stockage Difficile configurer et maintenir, tendue. particulirement dans une configuration de Plus conomique que les rseau de stockage (SAN). disques magntiques et Requiert un nettoyage priodique des magnto-optiques. priphriques. Facile configurer et entretenir. Utilisable pour les donnes intermdiaires. Support le plus onreux pour un stockage initial.

Disque magntique

Disque magntooptique

Affiche la plus longue dure de Ralentit la sauvegarde et la restauration des vie sans dgradation du support. donnes. Limite le choix du matriel.

c. Mode de sauvegarde Le mode de sauvegarde dtermine la faon dont la sauvegarde a lieu en fonction des donnes sauvegarder. Il existe deux mthodes pour sauvegarder les donnes : Sauvegardes en ligne : les sauvegardes s'effectuent pendant que les donnes restent accessibles tous les utilisateurs. Sauvegardes hors ligne : les sauvegardes concernent les donnes qui sont d'abord mises hors de porte des utilisateurs. Sauvegardes en ligne Les sauvegardes en ligne ont lieu pendant que le systme est en ligne. C'est la stratgie de l'interruption la plus courte. Ce type de sauvegarde est gnralement utilis pour les applications devant tre disponibles 24 heures/24, telles que Microsoft Exchange Server et Microsoft SQL Server, les deux prenant en charge les sauvegardes en ligne. Avantages Parmi les avantages des sauvegardes en ligne, on retient : Pas d'interruption de service : Les applications et les donnes restent entirement accessibles aux utilisateurs pendant le processus de sauvegarde. La sauvegarde hors des heures de travail n'est plus ncessaire : Les sauvegardes en ligne peuvent tre programmes pendant les heures normales de bureau. Sauvegarde partielle ou totale : Les sauvegardes peuvent tre partielles ou totales. Inconvnients Parmi les inconvnients des sauvegardes en ligne, on retient : Performances du serveur : Au cours du processus de sauvegarde, il est possible que les performances des serveurs de production se dgradent. Fichiers ouverts Si certaines applications sont actives pendant le processus de sauvegarde, il est possible que les fichiers de donnes ouverts ne soient pas sauvegards. 51

Sauvegardes hors ligne Les sauvegardes hors ligne sont effectues en mettant hors ligne le systme et les services. Vous pouvez les utiliser si vous avez besoin d'un instantan du systme ou si l'application ne prend pas en charge les sauvegardes en ligne. Avantages Parmi les avantages des sauvegardes hors ligne, on retient : Sauvegarde partielle ou totale : Avec les sauvegardes hors ligne, vous pouvez choisir entre une sauvegarde partielle ou totale. Performances : Les sauvegardes hors ligne offrent de meilleures performances de sauvegarde car le serveur peut tre ddi la tche de sauvegarde. Sauvegarde de tous les fichiers : Toutes les donnes sont sauvegardes dans la mesure o aucune application n'est en cours d'excution et donc qu'aucun fichier n'est ouvert pendant le processus de sauvegarde. Inconvnient Interruption du service : Linconvnient des sauvegardes hors ligne est que les donnes ne sont pas accessibles l'utilisateur pendant l'excution du processus de sauvegarde. d. Types de sauvegarde Les diffrents types de sauvegarde peuvent tre utiliss pour des sauvegardes hors ligne ou en ligne. Ce sont les exigences d'accord sur le niveau de sauvegarde de l'environnement, de fentre de sauvegarde et de dure de restauration qui dterminent la mthode ou la combinaison de mthodes optimales pour cet environnement. Sauvegardes intgrales L'objectif de la sauvegarde intgrale (parfois sauvegarde complte ou en anglais full backup) est de raliser une copie conforme des donnes sauvegarder sur un support spar. Vous pouvez utiliser une bande de sauvegarde intgrale jour pour restaurer entirement le serveur un instant t. Sauvegardes incrmentielles Une sauvegarde incrmentielle (en anglais incremental backup) capture la moindre donne qui a t modifie depuis la dernire sauvegarde intgrale ou incrmentielle. Vous devez utiliser une bande de sauvegarde intgrale (son anciennet importe peu) et tous les jeux suivants de sauvegardes incrmentielles pour restaurer un serveur. Avantages Parmi les avantages des sauvegardes incrmentielles, on retient : Optimisation du temps : Le processus de sauvegarde prend moins de temps dans la mesure o ne sont copies sur la bande que les donnes modifies ou cres depuis la dernire sauvegarde incrmentielle ou intgrale. Optimisation du support de sauvegarde : La sauvegarde incrmentielle utilise moins de bande puisque ne sont copies sur la bande que les donnes modifies ou cres depuis la dernire sauvegarde incrmentielle ou intgrale. Inconvnients Parmi les inconvnients des sauvegardes incrmentielles, on retient : Complexit de la restauration complte : La restauration d'un systme complet doit passer par la restauration d'un ensemble incrmentiel de plusieurs bandes. Restaurations partielles chronophages : Une restauration partielle implique de rechercher sur plusieurs bandes les donnes requises.

52

Sauvegardes diffrentielles Une sauvegarde diffrentielle (en anglais differential backup) capture les donnes qui ont t modifies depuis la dernire sauvegarde intgrale. Pour effectuer une restauration du systme, vous aurez besoin de la bande de sauvegarde intgrale et de la bande de sauvegarde diffrentielle la plus rcente. Avantage Restauration rapide : L'avantage que prsentent les sauvegardes diffrentielles tient dans le fait que leurs restaurations sont plus rapides que celles des sauvegardes incrmentielles car elles impliquent moins de bandes. Une restauration complte ncessite deux jeux de bandes au plus : la bande de la dernire sauvegarde intgrale et celle la dernire sauvegarde diffrentielle. Inconvnients Parmi les inconvnients des sauvegardes diffrentielles, on retient : Des sauvegardes plus volumineuses et plus longues : Les sauvegardes diffrentielles demandent plus d'espace sur la bande et plus de temps que les sauvegardes incrmentielles car plus la priode qui vous spare de la dernire sauvegarde intgrale est longue, plus il y aura de donnes copier sur la bande diffrentielle. Augmentation de la dure de la sauvegarde : Le volume de donnes sauvegarder augmente chaque jour qui suit une sauvegarde intgrale. e. Topologies de sauvegarde l'origine, le seul type de technologie de stockage qui ncessitait une sauvegarde impliquait l'utilisation de disques durs connects directement aux adaptateurs de stockage sur les serveurs. Aujourd'hui, ce type de stockage est connu sous le nom de stockage direct connect (DAS). Le paysage de la sauvegarde et de la restauration a nettement volu avec le dveloppement de technologies telles que les SAN et NAS. Les environnements SAN en particulier fournissent un moyen intressant d'optimiser et de simplifier le processus de sauvegarde et de restauration. Les topologies de sauvegarde et de restauration peuvent tre classes en fonction de la technologie de stockage (DAS, NAS ou SAN) sauvegarder. Les topologies couvrant chaque type de stockage sont respectivement la sauvegarde par serveur local, les sauvegardes NAS lies un rseau LAN et les systmes sur SAN. Sauvegarde et restauration par serveur local Dans le cadre d'une configuration de sauvegarde par serveur local, chaque serveur se connecte son propre dispositif de sauvegarde, via gnralement un bus SCSI. La bande passante du rseau local (LAN) n'est pas utilise ici, mais vous devez grer manuellement le support de stockage sur le serveur local. La figure suivant prsente un mcanisme type de sauvegarde et restauration par serveur local.

53

Avantages Parmi les avantages de la sauvegarde et de la restauration par serveur local, on retient : Ressources rseau non consommes : Les configurations de sauvegarde et de restauration par serveur local n'utilisent pas la bande passante du rseau car les serveurs sont gnralement connects aux dispositifs bandes par une interface SCSI. Une sauvegarde et une restauration plus rapides : Ces sauvegardes peuvent tre plus rapides que toute autre configuration de sauvegarde dans la mesure o les donnes n'ont pas transiter sur le rseau. Inconvnients Parmi les inconvnients de la sauvegarde et de la restauration par serveur local, on retient : Capacit limite de gestion centralise et d'volution possible : La configuration de sauvegarde et de restauration par serveur local n'offre pas de possibilits d'volution ni de gestion centralise car les supports de stockage doivent tre grs localement, au niveau de chaque serveur. Des cots plus levs en termes de logiciels de sauvegarde et de bandes : Cette configuration peut augmenter considrablement les cots en licences de logiciel de sauvegarde et en priphriques bandes dans la mesure o vous devez configurer une sauvegarde par serveur et les grer individuellement. Sauvegarde et restauration par rseau LAN Les installations de sauvegarde par rseau LAN constituent une solution courante dans les entreprises et sont utilises depuis un certain temps dj. Un logiciel de sauvegarde LAN de l'entreprise fait appel une architecture multi-couche selon laquelle certains serveurs de sauvegarde dmarrent leur activit et collectent des mta-donnes (galement appeles donnes de contrle) sur les donnes sauvegardes pendant que d'autres serveurs (appels serveurs de support) grent effectivement les donnes transfres sur les lecteurs de bandes. Les technologies de sauvegarde LAN de l'entreprise sont gnralement composes de trois lments : Un serveur central de sauvegarde : Ce serveur hberge le moteur de sauvegarde qui contrle l'environnement de sauvegarde. Un serveur de support : Ce serveur gre le mouvement des donnes et contrle les ressources des supports. Des agents clients : Il s'agit des agents spcifiques d'applications, tels que pour les donnes Exchange, les donnes SQL Server et les donnes du systme de fichiers. La figure qui suit illustre un systme de sauvegarde et de restauration logique LAN :

54

Avantages Parmi les avantages de la sauvegarde et de la restauration par rseau LAN, on retient : Les lecteurs de bandes n'ont plus besoin d'tre connects directement aux serveurs pour la sauvegarde. L'application de sauvegarde s'excute sur des serveurs de sauvegarde ddis. Les agents clients dirigent les donnes du LAN vers un serveur de sauvegarde. Meilleures possibilits d'volution et partage des dispositifs bandes. Inconvnients Parmi les inconvnients de la sauvegarde et de la restauration par rseau LAN, on retient : Les lots volumineux de donnes peuvent entraner une dgradation des performances des serveurs et du rseau. Le trafic supplmentaire gnr par la sauvegarde consomme la bande passante du rseau. La planification des sauvegardes et des restaurations peut devenir critique. Sauvegarde et restauration sur SAN La possibilit d'intgrer des sous-systmes d'espace disque la sauvegarde et la restauration vous offre un certain nombre d'options pour dployer les solutions de protection des donnes dans des environnements SAN. Les technologies sous-jacentes SAN fournissent plusieurs alternatives de sauvegarde et de restauration des donnes rsidant sur un stockage SAN. La figure ci dessous illustre un scnario de sauvegarde sur SAN

Avantages Parmi les avantages de la sauvegarde et de la restauration sur SAN, on retient : Une charge rduite du serveur : Le chemin entre le dispositif de stockage et celui de sauvegarde n'implique pas la prsence d'un serveur, ce qui signifie que la charge du serveur est rduite. Une charge rduite du rseau : Les sauvegardes peuvent s'effectuer sans avoir faire transiter les donnes sur le rseau LAN. Une solution de stockage optimise : Les rseaux SAN sont conus pour optimiser l'efficacit des transferts de donnes et permettre ainsi d'acclrer les processus de sauvegarde et de restauration.

55

Inconvnients Parmi les inconvnients de la sauvegarde et de la restauration sur SAN, on retient : Les dpenses : Les sauvegardes sur SAN ncessitent un rseau SAN, dont la conception et le dploiement s'avrent coteux. La compatibilit des dispositifs : Les quipements de sauvegarde et de restauration doivent tre compatibles SAN. 2. Plans de relve a. Plan de relve informatique Les plans de relve informatiques sont les prcurseurs des plans de relve corporatifs. Longtemps considre comme une fonction essentielle des entreprises, celles ci se rendent compte aujourd'hui que l'informatique est rarement leur raison d'tre. C'est ce qui explique que plusieurs grandes entreprises se tournent vers la sous-traitance ou l'impartition. Plusieurs stratgies s'offrent nous et des choix clairs doivent tre faits afin de maintenir les cots de continuit un niveau acceptable. Le choix du site de relve (interne ou commercial) et du type de site dsir (quip compltement, partiellement ou non quip) influence grandement le cot de la relve. L'avnement des liens de tlcommunications trs haut dbit, cot modr permet d'tre beaucoup plus imaginatif qu'il y a 10 ans. La distance entre le site de production et de relve est de moins en moins un critre de slection. Les donnes critiques peuvent maintenant tre protges jusqu' la dernire transaction sur des distances impressionnantes. La protection des donnes par de simples prises de copies, suivi d'une sortie manuelle dans une vote devient presque dsute puisque souvent ils peuvent tre pris distance, offrant ainsi une protection instantane. Notons que la possibilit de prendre des copies distance est disponible maintenant pour toutes les entreprises, grandes ou petites. Plusieurs plans de relve ne comportent qu'une suite de procdures techniques destines relever l'environnement informatique. La portion administrative est souvent laisse de cot, tors. Un processus clair et document d'valuation des dommages et d'activation du plan permet d'acclrer la prise de dcision, donc la mise en place de l'environnement de relve. Un plan devrait comporter un processus d'valuation, d'activation et d'escalade, une procdure de mise en place au site de relve, les procdures de remonte des environnements de base et des applications, diffrentes listes (personnel, quipement, liens, fournisseurs, documentation, etc), et une section dcrivant le manuel, sa structure et son processus de maintenance b. Plan de relve corporatif Un plan de relve corporatif permet de protger une entreprise contre tout vnement qui pourrait engendrer un arrt de ses oprations. Quand on pense arrt des oprations on a tendance penser aux sinistres majeurs tel feu, inondation et tremblement de terre. Un bon plan de relve doit adresser ces alternatives, mais doit principalement tre cibl vers les risques potentiels. Pour se protger contre ces risques potentiels, des stratgies de relve ou plans d'actions seront labors. Ces stratgies identifieront un ou des sites de production alternatifs, les composantes requises ainsi que des processus de remplacement de ces composantes court, moyen ou long terme et les ressources humaines et informationnelles requises pour que l'entreprise puisse continuer d'oprer. Des mesures de protection seront mises en place afin de protger les donnes informatiques ou oprationnelles contre un bris ou un sinistre. La structure du plan de relve corporatif est similaire au plan de relve informatique. La diffrence entre ces 2 plans provient du fait qu'un plan de relve informatique est un sousensemble du plan de relve corporatif.

56

Le plan de relve corporatif sera constitu des processus et procdures suivants : un processus d'valuation du sinistre ; une procdure d'activation du plan une procdure d'appel et d'escalade une procdure d'activation et de mise en place du ou des sites alternatifs ; une procdure de recouvrement des environnements informatiques et bureautiques affects une procdure pour rediriger les liens de tlcommunications voix et donnes au(x) site(s) alternatif(s) les procdures de rcupration des donnes informatiques et oprationnelles les procdures administratives un processus de maintenance afin d'viter la dsutude du plan Les listes utiles (ressources humaines, ressources physiques, liens de tlcommunications, quipements requis, papeterie et formulaires, donnes vitales). Afin de grer toutes ces informations, il existe des outils spcialiss qui faciliteront le dveloppement et le maintien des plans de relve. Certains outils sont valables alors que d'autres n'ont que peu de valeur ajoute. L'utilisation d'un bon traitement de texte, jumel une structure de plan bien dfinie peuvent trs bien faire l'affaire. L'utilisation d'experts en continuit des affaires permet d'acclrer les tapes de dveloppement d'un plan de relve et ainsi donc, de rduire les cots de dveloppement et d'acclrer la protection de l'entreprise. c. Continuit des affaires Au Qubec, l'intrt des grandes entreprises pour les plans de relve s'est rveill suite au feu de la Plaza Alexis Nihon, la fin des annes 1980, o taient tablis les locaux informatiques de chane alimentaire Steinberg. Cette firme, venait de complter l'laboration de son plan de relve informatique et de terminer un test dans son site de relve. C'est ce moment l que plusieurs dirigeants qubcois ont ralis leur niveau de dpendance envers leur centre informatique et qu'ils ont dmarr l'laboration des premiers plans de relve informatique. Une fois ces plans raliss, une autre question de posait : Mon application est maintenant protge, mais qu'adviendrait-il si un sinistre affectait le client de cette application ? Et c'est en rponse cette question que les plans de relve corporatifs sont apparus. Depuis, plusieurs socits importantes se sont dotes de plans afin de rpondre un sinistre majeur. Mais, est-ce uniquement ce type d'vnement qui peut vous affecter ? L'industrie de la relve tend de plus en plus utiliser le concept de Continuit des affaires . Par ce concept, nous analysons tout type d'vnements qui pourraient entraver la bonne marche d'une entreprise, donc la continuit de ses affaires. L'utilisation d'une telle tude, de concert avec une analyse d'impacts commerciale, nous permet de produire un plan d'action afin de mettre en place des mesures prventives et correctrices qui sont adaptes aux besoins de l'entreprise. Avec en main un programme de prvention adapt, un plan de relve adquat pour pallier tout type d'interruption de services, un plan de maintenance formel, des tests complets et frquents et un programme de formation adquat, vous pourrez dormir paisiblement sans vous demander si votre entreprise sera l demain, ou la semaine prochaine...

57

Etapes de la mise en place d'un plan de continuit Pour quun plan de continuit soit rellement adapt aux exigences de lentreprise, il doit reposer sur une analyse de risque et une analyse dimpact : Lanalyse de risque dbute par une identification des menaces sur linformatique. Les menaces peuvent tre dorigine humaine (attaque dlibre ou maladresse) ou dorigine naturelle ; elles peuvent tre internes lentreprise ou externes. On dduit ensuite le risque qui dcoule des menaces identifies; on mesure limpact possible de ces risques. Enfin, on dcide de mettre en uvre des mesures dattnuation des risques en se concentrant sur ceux qui ont un impact significatif. Par exemple, si le risque de panne dun quipement risque de tout paralyser, on installe un quipement redondant. Les mesures dattnuation de risque qui sont mises en uvre diminuent le niveau de risque, mais elles ne lannulent pas: il subsiste toujours un risque rsiduel, qui sera couvert soit par le plan de continuit, soit par dautres moyens (assurance, voire acceptation du risque) Lanalyse dimpact consiste valuer quel est limpact dun risque qui se matrialise et dterminer partir de quand cet impact est intolrable, gnralement parce quil met en danger les processus essentiels (donc, la survie) de lentreprise. Lanalyse dimpact se fait sur base de dsastres: on considre des dsastres extrmes, voire improbables (par exemple, la destruction totale du btiment) et on dtermine les impacts financiers, humains, lgaux, etc., pour des dures dinterruption de plus en plus longues jusqu ce quon atteigne limpact maximal tolrable. Le rsultat principal de lanalyse dimpact est donc une donne temporelle: cest la dure maximale admissible dune interruption de chaque processus de lentreprise. En tenant compte des ressources informatiques (rseaux, serveurs, PCs) dont chaque processus dpend, on peut en dduire le temps maximal dindisponibilit de chacune de ces ressources, en dautres termes, le temps maximal aprs lequel une ressource informatique doit avoir t remise en fonction Une analyse de risque russie est le rsultat d'une action collective impliquant tous les acteurs du systme d'information : techniciens, utilisateurs et managers. Choix de la stratgie de scurisation Il existe plusieurs mthodes pour assurer la continuit de service d'un systme d'information. Certaines sont techniques (choix des outils, mthodes de protection d'accs et de sauvegarde des donnes), d'autres reposent sur le comportement individuel des utilisateurs (extinction des postes informatiques aprs usage, utilisation raisonnable des capacits de transfert d'informations, respect des mesures de scurit), sur des rgles et connaissances collectives (protection incendie, scurit d'accs aux locaux, connaissance de l'organisation informatique interne de l'entreprise) et de plus en plus sur des conventions passes avec des prestataires (copie des programmes, mise disposition de matriel de secours, assistance au dpannage). Les mthodes se distinguent entre prventives (viter la discontinuit) et curatives (rtablir la continuit aprs un sinistre). Les mthodes prventives sont souvent privilgies, mais dcrire les mthodes curatives est une ncessit car aucun systme n'est fiable 100 %. Mesures prventives La sauvegarde des donnes La prservation des donnes passe par des copies de sauvegarde rgulires. Il est important de ne pas stocker ces copies de sauvegarde ct du matriel informatique, voire dans la mme pice car elles disparatraient en mme temps que les donnes sauvegarder en cas d'incendie, de dgt des eaux, de vol, etc. Lorsqu'il est probable que les sauvegardes disparaissent avec le matriel, le stockage des copies de sauvegarde peut alors tre ncessaire dans un autre lieu diffrent et distant.

58

 Les systmes de secours Il s'agit de disposer d'un systme informatique quivalent celui pour lequel on veut limiter l'indisponibilit : ordinateurs, priphriques, systmes d'exploitation, programmes particuliers, etc. Une des solutions consiste crer et maintenir un site de secours, contenant un systme en ordre de marche capable de prendre le relais du systme dfaillant. Selon que le systme de secours sera implant sur le site d'exploitation ou sur un lieu gographiquement diffrent, on parlera d'un secours in situ ou d'un secours dport. Pour rpondre aux problmatiques de recouvrement de dsastre, on utilise de plus en plus frquemment des sites dlocaliss, c'est--dire physiquement spars des utilisateurs, de quelques centaines de mtres plusieurs centaines de kilomtres : plus le site est loign, moins il risque d'tre touch par un dsastre affectant le site de production. Mais la solution est d'autant plus chre, car la bande passante qui permet de transfrer des donnes d'un site vers l'autre est alors gnralement plus coteuse et risque d'tre moins performante. Cependant la gnralisation des rseaux longues distances et la baisse des cots de transmission rendent moins contraignante la notion de distance : le cot du site ou la comptence des oprateurs (leur capacit dmarrer le secours rapidement et rendre l'accs aux utilisateurs) sont d'autres arguments de choix. Les sites de secours (in situ ou dports) se classent selon les types suivants : Salle blanche (une salle machine protge par des procdure d'accs particulires, gnralement secourue lectriquement). Par extension, on parle de salle noire pour une salle blanche entirement pilote distance, sans aucun oprateur l'intrieur. Site chaud : site de secours o l'ensemble des serveurs et autres systmes sont allums, jour, interconnects, paramtrs, aliments partir des donnes sauvegardes et prt fonctionner. Le site doit aussi fournir l'ensemble des infrastructures pour accueillir l'ensemble du personnel tout moment et permet une reprise d'activit dans des dlais relativement courts (quelques heures). Un tel site revient quasiment doubler les capacits informatiques de l'entreprise (on parle de redondance) et prsente donc un poids budgtaire non ngligeable. Site froid : site de secours qui peut avoir une autre utilisation en temps normal (ex : gymnase). Les serveurs et autres systmes sont stocks mais non installs, connects, etc. Lors d'un sinistre, un important travail doit tre effectu pour mettre en service le site ce qui conduit des temps de reprise long (quelques jours). Mais son cot de fonctionnement, hors priode d'activation, est faible voire nul. Site tide : site de secours intermdiaire. En gnral on trouve des machines installes (mise jour dcale par rapport au site de production) avec les donnes sur bande mais non importes dans les systmes de donnes. Il est aussi possible d'utiliser des systmes distribus sur plusieurs sites (diminution du risque de panne par effet de foisonnement) ou un site de secours mobile qui correspond un camion transportant des serveurs et autres systmes, permettant de n'avoir besoin que d'un systme de secours pour plusieurs sites, en tablant sur l'improbabilit qu'une panne touche simultanment plusieurs sites. Plus les temps de rtablissement garantis sont courts, plus la stratgie est coteuse. Il faut donc choisir la stratgie qui offre le meilleur quilibre entre le cot et la rapidit de reprise.

Mesures curatives Selon la gravit du sinistre et la criticit du systme en panne, les mesures de rtablissement seront diffrentes. La reprise des donnes Dans cette hypothse, seules des donnes ont t perdues. L'utilisation des sauvegardes est ncessaire et la mthode, pour simplifier, consiste rimplanter le dernier jeu de sauvegardes.

59

Cela peut se faire dans un laps de temps court (quelques heures), si l'on a bien identifi les donnes reprendre et si les mthodes et outils de rimplantation sont accessibles et connus. Le redmarrage des applications A un seuil de panne plus important, une ou des applications sont indisponibles. L'utilisation d'un site de secours est envisageable, le temps de rendre disponible l'application en cause. Le redmarrage des machines VI. Politique de scurit de l'information 1. Qu'est ce qu'une politique de scurit de l'information? Chaque entreprise ou organisme doit se doter d'un ensemble de rgles de bon usage et de principes de contrles visant protger ses biens matriels et immatriels (information). Dans le contexte des TIC, la description de ce code de bonnes pratiques et des principes de contrle s'appelle "politique de scurit de l'information" (Security Policy). Il s'agit galement d'une question de crdibilit face ses clients, fournisseurs, partenaires et actionnaires ou autorits de tutelle. En incitant les employs respecter des procdures de scurit, l'organisation dicte une ligne de conduite en matire de scurit de l'information et des systmes informatiques mis en place. Les politiques de scurit drives de normes reconnues, se dclinent en fonction de deux chelles de recommandations: Light Information Security Policy: une politique de scurit de l'information modeste, Reinforced Information Security Policy: une politique de scurit de l'information renforce. Light Information Security Policy: Matriel, priphriques et quipement divers Fournir une alimentation lectrique continue aux quipements critiques. Utiliser des modems RTC/ISDN ou des lignes DSL avec prcaution: toute transmission d'information critique ou confidentielle via ces systmes de communication doit tre rflchie si aucun outil de protection (cryptographie) n'est utilis. Contrler l'infrastructure d'interconnexion informatique (cblage rseau). Toutes les portes d'accs au rseau doivent tre identifies. Supprimer les donnes sur les matriels obsoltes qui ne sont plus utiliss. Les systmes d'exploitation et applications installs peuvent tre conservs. Verrouiller chaque station de travail (par exemple via un cran de veille avec verrou) lorsque son utilisateur n'est pas son poste. Toute station serveur doit imprativement tre verrouille lorsqu' aucun responsable de sa gestion ne l'utilise. Travail en dehors de locaux de l'organisation et utilisation de personnel externe Dfinir correctement le cadre associ la mission d'un prestataire de services informatiques externe. Le prestataire de services ne doit avoir accs qu'aux systmes ou informations qui sont lis aux tches relatives sa mission. En outre, le prestataire de services doit garantir la confidentialit des informations qu'il devra manipuler. Sensibiliser le personnel quant aux risques lis l'utilisation d'ordinateurs portables par le personnel. Sensibiliser le personnel quant aux risques lis l'utilisation d'un accs distant (VPN, tltravail, etc.). En effet, le site de travail distant reprsente une entre dont le contrle est plus difficile.

60

Contrle de l'accs aux systmes d'information et aux contenus qui y sont prsents Mettre en place une mthode d'authentification uniforme, matrise et gre de manire centralise. Dans la mesure du possible, il est important de ne pas rpliquer les comptes informatiques sur chaque poste de travail. Classifier chaque information mise disposition sur l'infrastructure informatique et l'associer des profils d'utilisation. Chaque profil identifi sera dot d'un ensemble de droits d'accs lui permettant l'usage des informations qui lui sont lies. Interdire aux utilisateurs "standards" de s'identifier sur leur poste de travail en utilisant un compte d'administrateur local ou rseau. Si un besoin d'accs des fonctionnalits "systme" est ncessaire (par exemple pour installer un programme), le compte propre l'utilisateur peut tre insr dans le groupe "administrateurs locaux" de son poste de travail, mais en aucun cas de chaque poste de travail de l'organisation. En outre, le mot de passe de l'administrateur local ou rseau doit obligatoirement rester confidentiel au sein du groupe de gestion informatique. Dfinir une politique de slection de mot de passe pour les comptes informatiques. Si ncessaire, un compte gnrique peut tre associ un groupe d'utilisateurs ayant la mme fonction. Les mots de passe vides peuvent tre tolrs dans certains contextes. Placer les systmes informatiques sensibles (serveur, router, commutateur, etc.) dans des locaux accs restreint. L'accs physique ces locaux sera limit au personnel autoris. Traitement de l'information Rserver l'installation et la gestion de l'infrastructure rseau du personnel qualifi. Une attention particulire sera apporte aux points d'accs sans fil ouverts et aux technologies lies au travail distant (VPN sans firewall interne). Rserver tous les actes d'administration systme du personnel qualifi. Faute de personnel qualifi au sein de l'organisation, on fera appel une entreprise comptente en la matire dans le cadre d'un contrat bien dfini. Messagerie lectronique et accs Internet/Intranet/Extranet Soumettre tout mail (entrant et sortant) et tout document tlcharg partir d'une source non fiable (Internet par exemple) une dtection des virus et code malicieux. Un outil de protection doit donc tre prsent sur chaque poste de travail. Une mise jour quotidienne de celui-ci est indispensable. Utiliser des outils de confidentialit (zip [zip. Format de fichier obtenu aprs compression] encrypt par exemple) pour l'change de courriers lectroniques concernant des informations sensibles. Mettre en place un firewall. Cette mise en place se fera suivant le principe de la fermeture globale de toutes les entres, suivie de l'ouverture des services requis. Traiter avec prcaution tout courrier lectronique non sollicit. Tout document reu depuis une source non identifie doit tre considr comme suspect et immdiatement supprim. Vrifier les adresses de destinations lors de l'envoi ou du suivi d'un courrier lectronique. Envoyer avec discernement les courriers lectroniques dont la taille est imposante (plusieurs Mb). Il convient de prendre en compte la capacit de transmission disponible sur le rseau et la capacit potentielle de rception du destinataire afin de ne pas bloquer toute autre transmission.

61

Reinforced Information Security Policy : Matriel, priphriques et quipement divers Fournir une alimentation lectrique continue aux quipements critiques (UPS). Prvoir une gnratrice de courant comme relais aux UPS. Limiter l'utilisation du fax (appareil ou modem) afin de rduire la potentialit de fuite d'information. Utiliser des modems PSTN/ISDN ou des lignes DSL avec prcaution: toute transmission d'information critique ou confidentielle via ces systmes de communication doit tre rflchie si aucun outil de protection (cryptographie) n'est utilis. Contrler l'utilisation des outils d'impression (imprimante locale, imprimante rseau, etc.). Aucune information critique ou confidentielle ne doit tre imprime sans avoir l'assurance que la transmission n'est pas scurise. De plus l'utilisation de ressources d'impression distante doit prendre en compte qu'un individu non autoris peut potentiellement s'emparer des documents imprims. Contrler l'infrastructure d'interconnexion informatique (cblage rseau). Toutes les portes d'accs au rseau doivent tre identifies et chaque porte non utilise doit tre formellement identifie, voire mme dconnecte. Supprimer les donnes sur les matriels obsoltes qui ne sont plus utiliss. Verrouiller chaque station de travail (par exemple via un cran de veille avec verrou) lorsque son utilisateur n'est pas son poste. Les mesures ncessaires (par exemple un verrouillage automatique aprs une certaine priode d'inactivit) seront mise en place afin de palier un ventuel manquement de l'utilisateur. Toute station serveur doit imprativement tre verrouille lorsqu' aucun responsable de sa gestion ne l'utilise. Vrifier lors de la mise en place d'un Intranet/Extranet qu'aucune porte drobe n'a t ouverte. En effet, une telle faille permettrait le contournement des systmes d'identification mis en place. Travail en dehors de locaux de l'organisation et utilisation de personnel externe Dfinir correctement le cadre associ la mission d'un prestataire de services informatiques externe. Un "Service Level Agreement" doit dfinir les rles, droits et obligations auquels le prestataire de service doit se conformer pour garantir le bon fonctionnement des tches qui lui sont confies, ainsi que la confidentialit des informations qu'il pourrait tre amen manipuler. Contrler l'attribution des ordinateurs portables au personnel. L'utilisation de cet ordinateur portable doit tre restreinte aux seules applications autorises dans le cadre de la fonction professionnelle. Pour ce faire, une administration systme robuste devra tre mise en oeuvre sur le systme informatique portable afin de garantir que la rgle ne peut tre contourne. Finalement, les mesures ncessaires (encryption du disque local, droits utilisateur restreints, systme d'authentification forte, etc.) devront tre mises en oeuvre afin d'assurer la confidentialit de l'information pouvant tre disponible en cas de perte ou de vol de l'quipement mobile. Contrler l'accs distant (VPN, tltravail, etc.) par le personnel aux ressources informatiques. Les mesures ncessaires (droits utilisateur restreints, systme authentification forte, filtrage du trafic rseau non opportun, etc.) devront tre mise en oeuvre afin d'assurer une protection complte de l'antenne distante de l'organisation.

62

Contrle de l'accs aux systmes d'information et aux contenus qui y sont prsents Mettre en place une mthode d'authentification uniforme, matrise et gre de manire centralise. De plus, il est conseill de pouvoir utiliser cette mme infrastructure d'authentification avec les diffrents systmes ncessitant une identification d'utilisateur (single sign-on). Classifier chaque information mise disposition sur l'infrastructure informatique et l'associer des profils d'utilisation. Chaque profil identifi sera dot d'un ensemble de droits d'accs lui permettant l'usage des informations qui lui sont lies. De plus, les informations identifies comme critiques ou confidentielles feront l'objet de mesures particulires assurant la scurit ncessaire (encryption de certains contenus sur leur support de stockage et lors de leur transfert sur le rseau de communication, introduction d'un systme d'audit de consultation, etc.). Associer l'accs aux ressources rseau (imprimante, scanner, unit de stockage, Internet, etc.) un mcanisme d'identification et d'audit. Le matriel ncessaire aux ressources rseau sera en outre protg contre des accs en mode direct, c'est--dire sans passer par le systme de contrle d'accs (file d'impression sur serveur obligatoire, proxy pour Internet, etc.). Rserver les droits "administrateur" aux membres du groupe d'administration informatique. Tous les postes de travail doivent tre administrs de telle sorte qu'aucune opportunit d'obtention de tels droits systme ne soit possible par du personnel non autoris. Ceci inclut l'impossibilit pour un utilisateur de modifier (ajout/suppression de programme) la configuration et la stabilit de son poste de travail. De plus chaque poste de travail ne comportera que les applications indispensables la ralisation des tches associes la fonction de l'utilisateur de ce poste. Dfinir une politique de slection de mot de passe pour les comptes informatiques. Aucun compte gnrique ne pourra tre associ un groupe d'utilisateurs ayant la mme fonction. Les mots de passe vides ne sont pas tolrs et la dure de validit sera dtermine, avec un systme de renouvellement forc. Pour le groupe d'administration informatique, chaque responsable aura son propre compte associ aux droits d'administrateur systme et toutes les actions d'administration seront ralises sous l'identit effective du responsable. De plus, un systme d'audit sera mis en place pour permettre la tracabilit des actions ralises. Placer les systmes informatiques sensibles (serveur, router, commutateur, etc.) dans des locaux accs restreint. L'accs physique ces locaux sera limit au personnel autoris. Le local sera ferm et un mcanisme d'identification (bagde lectronique, code personnel, etc.) sera mis en place, de mme qu'un systme d'audit, si cela est possible. Une attention particulire sera accorde au panneau d'interconnexion rseau (patch pannel). Son accs sera de prfrence limit par une armoire ferme rserve aux responsables rseau. Raliser toutes les oprations d'administration distante via des communications scurises (par exemple SSH, terminal serveur, etc.). L'objectif est de ne pas transmettre de paramtres d'authentification de compte d'administration en clair et sans protection.

63

Traitement de l'information Rserver l'installation et la gestion de l'infrastructure rseau du personnel qualifi. Aucune connexion l'infrastructure ne doit tre possible sans l'intervention du personnel responsable (filtrage d'adresse ethernet MAC [MAC (Media Access Control). Adresse qui est associe une interface qui se situe au niveau de la couche liaison de donnes, comme le protocole ethernet. Cette adresse identifie univoquement l'interface au sein d'un rseau local], dsactivation des portes non-utilises sur le commutateur, instauration de rgles de filtrage firewall pour le trafic interne l'organisation, etc.). En outre tout ajout de systmes de communication sans fil (WiFi) devra tre associ une encryption forte (WPA et non WEP) et les accs distants (VPN) seront soumis un contrle strict. Enfin, tout matriel de communication n'tant pas sous le contrle total du gestionnaire sera proscrit (par exemple un modem sur les stations de travail). Rserver l'administration "systme" du personnel qualifi appoint par l'organisation. Enregistrer toute tentative d'accs infructueux des documents ou au systme d'information (log [log (log file, fichier log). Fichier gnr par le serveur contenant l'ensemble des informations relatives un site Web, notamment pour sa frquentation (hits, pages vues, visiteurs, etc)]). Analyser intervalles rguliers les enregistrements des fichiers de logs (access log, error log, authorisation log, etc.). Cette analyse sera ralise par du personnel comptent. En outre, il est indispensable que chaque systme informatique synchronise son horloge avec une horloge de rfrence (serveur ntp). Messagerie lectronique et accs Internet/Intranet/Extranet Soumettre tout mail (entrant et sortant) et tout document tlcharg partir d'une source non fiable (Internet par exemple) une dtection des virus et code malicieux. Un outil de protection doit donc tre prsent sur chaque poste de travail. En outre, une centralisation de la gestion de ces outils doit imprativement tre ralise par les responsables informatiques et la mise jour du logiciel doit tre imprativement ralise plusieur fois par jour. Raliser les changes de courriers lectroniques concernant des informations et documents caractre sensible au moyen d'outils permettant l'encryption des messages suivant un systme cl publique/cl prive. Tout change de ce type devra en outre tre associ une signature lectronique. L'administration des certificats se ralisera d'une manire centralise par les gestionnaires informatiques. Vrifier lors de la mise en place d'un Intranet/Extranet qu'aucune porte drobe n'a t ouverte. Avant toute mise en place d'un Extranet, une ingnierie des communications rseau doit tre ralise afin de restreindre l'accs aux ressources exclusivement internes l'organisation des partenaires disposant des droits d'accs suffisants. De plus, un systme d'audit doit tre mis en place. Mettre en place un firewall. Cette mise en place se fera suivant le principe de la fermeture globale de toutes les entres, suivie de l'ouverture des services requis. Le firewall devra tre de type "statefull" et les messages de notification enregistrs et conservs (syslog [Syslog. Service rseau offrant des facilits de collecte de logs informatiques. Ce service permet une centralisation de toutes les sources d'informations de logs, ce qui autorise une meilleure administration "systme]). Traiter avec prcaution tout courrier lectronique non sollicit. L'administration informatique devra mettre en oeuvre des outils (filtre anti-spam) au niveau du serveur de courrier afin de minimiser au maximum ce type de sollicitations.

64

Tout document reu depuis une source non identifie doit tre considr comme suspect et immdiatement supprim. La direction informatique doit en tre informe. Vrifier les adresses de destinations lors de l'envoi ou du suivi d'un courrier lectronique. Mettre en place des systmes vitant l'envoi de courriers lectroniques de grande taille. Ces messages pourraient en effet bloquer toute autre transmission. C'est l'administration informatique qui est charge de cette tche (par exemple via une rgle sur le serveur de courrier). Mettre en oeuvre des outils d'analyse rseau (par exemple IDS) afin d'identifier tout trafic ou comportement anormal. C'est l'administration informatique qui est charge de cette tche.

2. Mthodes Il existe de nombreuses mthodes permettant de mettre au point une politique de scurit. Voici une liste non exhaustive des principales mthodes : MEHARI (MEthode Harmonise dAnalyse de Risques) ; MARION (Mthodologie dAnalyse de Risques Informatiques Oriente par Niveaux) ; EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) ; La norme ISO 17799 . MEHARI La mthode MEHARI est une mthode d'analyse des risques. Elle a t conue pour tre adaptable au contexte de l'entreprise (bote outils avec possibilit d'adapter la dmarche) mais elle ne dispose pas de dclinaison par typologie d'entreprise ou mtier. MEHARI existe en Franais et en Anglais et est maintenue par le CLUSIF (club de la scurit des systmes dinformation franais). Elle est drive des mthodes Marion et Melisa (qui eux n'voluent plus depuis plusieurs annes). MEHARI est utilise par de nombreuses structures publiques et prives en France mais galement au Qubec. MEHARI se nourrit des enjeux et des objectifs de l'entreprise afin de livrer un rsultat business quant aux mesures de scurit mettre en ouvre. Les diffrentes phases sont d'tablir le contexte d'entreprise, d'identifier les actifs et les menaces, d'analyser les risques et enfin de dfinir les mesures de scurit (traitement du risque). La mthode MEHARI a t conue pour les grandes entreprises et organismes (qui sont galement les principaux demandeurs de mthodologie de risques) et prvoit la dmarche de scurit de l'information 2 niveaux : Niveau stratgique : niveau lie au(x) mtier(s) de l'entreprise et indpendantes des processus et technologies mis en ouvre. Ce niveau fixe les objectifs de scurit et le mtrique des risques. Niveau oprationnel : entit, filiale, branche, business unit qui met en ouvre cette politique et la dcline en analyse prcise des risques, dfinition des mesures de scurit mettre en ouvre et pilotage de la scurit dans le temps (contrles et tableaux de bord) Cette architecture de MEHARI deux niveaux est bien adapte pour des grands groupes qui veulent conserver une cohrence entre entits (exemple banque internationales). Un logiciel de gestion des risques Risicare (de la socit BUC SA) est propos en complment de la mthode MEHARI pour laborer des reprsentations graphiques, des tableaux de cotations, des moyens de reporting et une assistance la mthode. Cet outil, si il est bien utilis, permet de simplifier une analyse MEHARI et ainsi d'tre intressant pour les moyennes entreprises.

65