Scurit _________________________________________________________________________ 2002

LA SCURIT INFORMATIQUE
1 PRINCIPES DE LA SCURIT ....................................................................................3
1.1 1.2 1.3 1.4 1.5 1.6 EXIGENCES FONDAMENTALES ..........................................................................................................................3 TUDE DES RISQUES .........................................................................................................................................3 TABLISSEMENT DUNE POLITIQUE DE SCURIT..............................................................................................3 LMENTS DUNE POLITIQUE DE SCURIT.......................................................................................................4 PRINCIPAUX DFAUTS DE SCURIT .................................................................................................................5 LMENTS DE DROITS ......................................................................................................................................5

FAILLES DE SCURIT SUR INTERNET ................................................................6

2.1 DFINITIONS.....................................................................................................................................................6 2.1.1 IP spoofing ............................................................................................................................................6 2.1.2 DNS spoofing.........................................................................................................................................6 2.1.3 Flooding ................................................................................................................................................6 2.1.4 smurf ......................................................................................................................................................6 2.1.5 Web bug .................................................................................................................................................6 2.1.6 Hoax (rumeur) .......................................................................................................................................7 2.1.7 Hacker et cracker ..................................................................................................................................7 2.2 PRINCIPALES ATTAQUES ...................................................................................................................................7 2.2.1 Virus ......................................................................................................................................................7 2.2.2 Dni de service (DoS)............................................................................................................................7 2.2.3 coute du rseau (sniffer)......................................................................................................................8 2.2.4 Intrusion ................................................................................................................................................8 2.2.5 Cheval de Troie .....................................................................................................................................8 2.2.6 social engeneering ...........................................................................................................................8 2.3 ESPIONNAGE................................................................................................................................................8 2.3.1 Lhomme du milieu ................................................................................................................................8 2.3.2 Espiogiciels............................................................................................................................................9 2.3.3 Cookies ..................................................................................................................................................9

PROTECTIONS .............................................................................................................10
3.1 FORMATION DES UTILISATEURS..........................................................................................................10 3.2 POSTE DE TRAVAIL..................................................................................................................................10 3.3 ANTIVIRUS .................................................................................................................................................10 3.4 PARE-FEU (FIRE WALL) OU GARDE BARRIRE .......................................................................................11 3.4.1 Architecture classique .........................................................................................................................11 3.4.2 Architecture concentre.......................................................................................................................12 3.4.3 Logiciels ..............................................................................................................................................12 3.4.4 Filtrage de sites ...................................................................................................................................12 3.5 AUTHENTIFICATION ET CRYPTAGE ....................................................................................................13 3.5.1 Cryptage symtrique............................................................................................................................13 3.5.2 Cryptage asymtrique..........................................................................................................................13 3.5.3 Protocoles courants.............................................................................................................................13 3.5.4 PKI (Public Key Infrastructure) .........................................................................................................14 3.6 MESSAGERIES ...........................................................................................................................................14 3.6.1 Attaques ...............................................................................................................................................14 3.6.2 Scurit des messages..........................................................................................................................15 3.6.3 Spamming ............................................................................................................................................15 3.7 DTECTION DINTRUSION......................................................................................................................15 3.7.1 Surveillance du trafic rseau ...............................................................................................................16 3.7.2 Analyse du comportement de lutilisateur ...........................................................................................16 3.7.3 Site pot de miel ..............................................................................................................................16 3.8 O AGIR ......................................................................................................................................................16 3.9 TESTS...........................................................................................................................................................18 3.9.1 Tests de maintenance...........................................................................................................................18

LESCOP Yves [V1.6]

1/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

3.9.2 3.9.3

Logiciels de test de la scurit d'une installation ................................................................................18 Certification des produits de scurit..................................................................................................19

DOCUMENTATIONS ...................................................................................................20
4.1 4.2 INFORMATIONS SUR LA SCURIT...................................................................................................................20 ACRONYMES ..................................................................................................................................................21

LESCOP Yves [V1.6]

2/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

1 PRINCIPES DE LA SCURIT
1.1 Exigences fondamentales La scurit informatique cest lensemble des moyens mis en uvre pour rduire la vulnrabilit dun systme contre les menaces accidentelles ou intentionnelles. Il convient d'identifier les exigences fondamentales en scurit informatique. Elles caractrisent ce quoi s'attendent les utilisateurs de systmes informatiques en regard de la scurit : 1. disponibilit : demande que l'information sur le systme soit disponible aux personnes autorises. 2. Confidentialit : demande que l'information sur le systme ne puisse tre lue que par les personnes autorises. 3. Intgrit : demande que l'information sur le systme ne puisse tre modifie que par les personnes autorises. La scurit recouvre ainsi plusieurs aspects : intgrit des informations (pas de modification ni destruction) confidentialit (pas de divulgation des tiers non autoriss) authentification des interlocuteurs (signature) respect de la vie prive (informatique et libert). Du point de vue de la scurit informatique, une menace est une violation potentielle de la scurit. Cette menace peut-tre accidentelle, intentionnelle (attaque), active ou passive.

1.2

tude des risques Les cots d'un problme informatique peuvent tre levs et ceux de la scurit le sont aussi. Il est ncessaire de raliser une analyse de risque en prenant soin d'identifier les problmes potentiels avec les solutions avec les cots associs. L'ensemble des solutions retenues doit tre organis sous forme d'une politique de scurit cohrente, fonction du niveau de tolrance au risque. On obtient ainsi la liste de ce qui doit tre protg. Il faut cependant prendre conscience que les principaux risques restent : cble arrach , coupure secteur , crash disque , mauvais profil utilisateur , test du dernier CD Bonux Voici quelques lments pouvant servir de base une tude de risque: Quelle est la valeur des quipements, des logiciels et surtout des informations ? Quel est le cot et le dlai de remplacement ? Faire une analyse de vulnrabilit des informations contenues sur les ordinateurs en rseau (programmes d'analyse des paquets, logs). Quel serait limpact sur la clientle d'une information publique concernant des intrusions sur les ordinateurs de la socit ?

1.3

tablissement dune politique de scurit Suite ltude des risques et avant de mettre en place des mcanismes de protection, il faut prparer une politique l'gard de la scurit. Cest elle qui fixe les principaux paramtres, notamment les niveaux de tolrance et les cots acceptable. Voici quelques lments pouvant aider dfinir une politique :
LESCOP Yves [V1.6] 3/21 Post BTS R2i

Scurit _________________________________________________________________________ 2002

Quels furent les cots des incidents informatiques passs ? Quel degr de confiance pouvez vous avoir envers vos utilisateurs interne ? Quest-ce que les clients et les utilisateurs esprent de la scurit ? Quel sera limpact sur la clientle si la scurit est insuffisante, ou tellement forte quelle devient contraignante ? Y a-t-il des informations importantes sur des ordinateurs en rseaux ? Sont-ils accessible de lexterne ? Quelle est la configuration du rseau et y a-t-il des services accessibles de lextrieur ? Quelles sont les rgles juridiques applicables votre entreprise concernant la scurit et la confidentialit des informations (ex: loi informatique et libert , archives comptables) ?

1.4

lments dune politique de scurit Il ne faut pas perdre de vue que la scurit est comme une chane, gure plus solide que son maillon le plus faible. En plus de la formation et de la sensibilisation permanente des utilisateurs, la politique de scurit peut tre dcoupe en plusieurs parties : ! Dfaillance matrielle : Tout quipement physique est sujet dfaillance (usure, vieillissement, dfaut) L'achat d'quipements de qualit et standard accompagns d'une bonne garantie avec support technique est essentiel pour minimiser les dlais de remise en fonction. Seule une forme de sauvegarde peut cependant protger les donnes. ! Dfaillance logicielle : Tout programme informatique contient des bugs. La seule faon de se protger efficacement contre ceux-ci est de faire des copies de l'information risque. Une mise jour rgulire des logiciels et la visite des sites consacrs ce type de problmes peut contribuer en diminuer la frquence. ! Accidents (pannes, incendies, inondations) : Une sauvegarde est indispensable pour protger efficacement les donnes contre ces problmes. Cette procdure de sauvegarde peut combiner plusieurs moyens fonctionnant des chelles de temps diffrentes : disques RAID pour maintenir la disponibilit des serveurs. copie de scurit via le rseau (quotidienne) copie de scurit dans un autre btiment (hebdomadaire) La disposition et linfrastructure des locaux peut aussi fournir une protection intressante. Pour des sites particulirement important (site informatique central dune banque) il sera ncessaire de prvoir la possibilit de basculer totalement et rapidement vers un site de secours (ventuellement assur par un sous-traitant spcialis). Ce site devra donc contenir une copie de tous les logiciels et matriels spcifiques lactivit de la socit. ! Erreur humaine : Outre les copies de scurit, seule une formation adquate du personnel peut limiter ce problme. ! Vol via des dispositifs physique (disques et bandes) : Contrler l'accs ces quipements : ne mettre des units de disquette, bandes que sur les ordinateurs o cest essentiel. Mettre en place des dispositifs de surveillances. ! Virus provenant de disquettes : Ce risque peut-tre rduit en limitant le nombre de lecteur de disquettes en service. Linstallation de programmes antivirus peut savrer une protection efficace mais elle est coteuse, diminue la productivit, et ncessite de frquentes mises jour. ! Piratage et virus rseau : Cette problmatique est plus complexe et lomniprsence des rseaux, notamment lInternet, lui confre une importance particulire. Les problmes
LESCOP Yves [V1.6] 4/21 Post BTS R2i

Scurit _________________________________________________________________________ 2002

de scurit de cette catgorie sont particulirement dommageables et font lobjet de ltude qui suit.

1.5

Principaux dfauts de scurit Les dfauts de scurit dun systme dinformation les plus souvent constats sont : Installation des logiciels et matriels par dfaut. Mises jours non effectues. Mots de passe inexistants ou par dfaut. Services inutiles conservs (Netbios). Traces inexploites. Pas de sparation des flux oprationnels des flux dadministration des systmes. Procdures de scurit obsoltes. Elments et outils de test laisss en place dans les configurations en production. Authentification faible. Tlmaintenance sans contrle fort.

1.6

lments de droits

Intrusions informatiques : loi Godfrain du 5/1/88 Art. 323-1. Le fait daccder ou de se maintenir frauduleusement dans tout ou partie dun systme de traitement automatis de donnes est puni dun an demprisonnement et de 15 000 damende. Lorsquil en est rsult soit la suppression ou la modification de donnes contenues dans le systme, soit une altration du fonctionnement de ce systme, la peine est de deux ans demprisonnement et de 30 000 damende. Art. 323-2. Le fait dentraver ou de fausser le fonctionnement dun systme de traitement automatis de donnes est puni de trois ans demprisonnement et de 45 000 damende. Art. 323-3. Le fait dintroduire frauduleusement des donnes dans un systme de traitement automatis, ou de supprimer ou de modifier frauduleusement des donnes quil contient est puni de trois ans demprisonnement et de 45 000 damende. Loi 78/17 du 6/01/78 relative linformatique, aux fichiers et aux liberts Article 29 Toute personne ordonnant ou effectuant un traitement dinformations nominatives sengage de ce fait, vis--vis des personnes concernes, prendre toutes les prcautions utiles afin de prserver la scurit des informations et notamment dempcher quelles ne soient dformes, endommages ou communiques des tiers non autoriss. Voir aussi la Directive 95/46/CE du 24 octobre 1995 article 17 (scurit des traitements) LSQ (Loi sur la Scurit Quotidienne) dont on attend les dcrets

LESCOP Yves [V1.6]

5/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

2 FAILLES DE SCURIT SUR INTERNET

En entreprise, cest le rseau local qui est connect Internet. Il est donc indispensable de contrler les communications entre le rseau interne et l'extrieur. De plus une formation du personnel est indispensable (rgles de scurit, dontologie, attention aux participations aux forums qui sont archives ...). Les problmes de scurit quon peut rencontrer sur un rseau d'entreprise ou sur l'Internet relvent d'abord de la responsabilit des victimes avant d'tre imputables aux hackers. Une menace qui a sensiblement augment au cours de ces dernires annes, nous indique la dernire tude du Computer Security Institute, un institut professionnel de San Francisco qui ralise chaque anne un sondage auprs des entreprises en collaboration avec le FBI. Dans cette tude, plus de 40 % des socits interroges ont dclar que des intrus staient introduits dans leurs systmes depuis l'Internet, 38 % des socits ont dtect des attaques de type dni de service, et 94 % ont t infectes par un virus en 2000. Dautre part, votre scurit peut dpendre dautres entreprises dont vous pensez, parfois tort, quelles ont assur leur propre scurit. Alors que le gouvernement et les forces de lordre cherchent interpeller les intrus, les socits ne se proccupent trop souvent que de relancer leurs rseaux aprs une attaque. Le secteur priv ne cherche pas savoir qui est responsable, tout ce qui intresse les entreprises, cest que lattaque cesse. .

2.1

Dfinitions 2.1.1 IP spoofing Usurpation dadresse IP, on fait croire que la requte provient dune machine autorise. Une bonne configuration du routeur dentre permet dviter quune machine extrieure puisse se faire passer pour une machine interne. 2.1.2 DNS spoofing Pousse un serveur de DNS accepter lintrus. Solution : sparer le DNS du LAN de celui de lespace public. 2.1.3 Flooding Raid massif de connexions non termines. 2.1.4 smurf Saturation de la bande passante. 2.1.5 Web bug Un mail publicitaire est envoy en HTML (mme si lapparence est normale) avec une image transparente gif dun pixel par un lien du type : <img src="http://www.serveur.xx/image.gif ?email=utilisateur@adresse"> Si le courrier est ouvert pendant la connexion, la requte de tlchargement de limage vient confirmer la lecture du message et la validit de votre adresse. Conseil : ne pas valider louverture automatique du format HTML ou ne pas ouvrir ses courriers en ligne. Un utilitaire de dtection de web bug BUGNOSIS est disponible sur www.bugnosis.org .

LESCOP Yves [V1.6]

6/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

2.1.6 Hoax (rumeur) Un hoax est une rumeur que lon transmet par mail. Ces rumeurs colportent souvent des problmes de scurit soit disant dcouverts par des services officiels ou clbres Elles peuvent causer un vritable prjudice certaines socits et de toute faon encombrent le rseau. Avant de retransmettre un tel message il est prudent de vrifier son authenticit. www.hoaxbuster.com (site franais) recense la plupart des messages bidons. 2.1.7 Hacker et cracker Il existe une communaut, une culture partage, de programmeurs expriments et de spcialistes des rseaux, dont l'histoire remonte aux premiers mini-ordinateurs multiutilisateurs, il y a quelques dizaines d'annes, et aux premires expriences de l'ARPAnet. Les membres de cette culture ont cr le mot "hacker''. Ces informaticiens sont gnralement discrets, anti-autoritaristes et motivs par la curiosit. Il y a un autre groupe de personnes qui sautoproclament des "hackers''. Ces gens (principalement des adolescents de sexe masculin) prennent leur pied en sintroduisant distance dans les systmes informatiques et en piratant les systmes tlphoniques, gnralement laide doutils crit par dautres et trouvs sur Internet. Ils publient sur alt.2600. Les vrais hackers appellent ces gens des "crackers'' et ne veulent rien avoir faire avec eux. Les vrais hackers pensent que les crackers sont des gens paresseux, irresponsables et pas trs brillants.

2.2

Principales attaques 2.2.1 Virus Les virus est un excutable qui va excuter des oprations plus ou moins destructrices sur votre machine. Les virus existent depuis que linformatique est ne et se propageaient initialement par disquettes de jeux ou logiciels divers... Sur Internet, les virus peuvent contaminer une machine de plusieurs manires : Tlchargement de logiciel puis excution de celui-ci sans prcautions, Ouverture sans prcautions de documents contenant des macros, Pice jointe de courrier lectronique (excutable, script type vbs), Ouverture dun courrier au format HTML contenant du javascript exploitant une faille de scurit du logiciel de courrier (normalement javascript est sans danger). Exploitation dun bug du logiciel de courrier (effectuer rgulirement les mises jour). Les virus peuvent tre trs virulent mais ils cotent aussi beaucoup de temps en mise en place dantivirus et dans la rparation des dgts causs. On peut malheureusement trouver facilement des logiciels capables de gnrer des virus et donc permettant des amateurs (aussi appels crackers) dtaler leur incomptence. La meilleure parade est lutilisation dun antivirus jour et deffectuer les mises jour des logiciels (pour viter lexploitation des bugs). 2.2.2 Dni de service (DoS) Le but d'une telle attaque n'est pas de drober des informations sur une machine distante, mais de paralyser un service ou un rseau complet. Les utilisateurs ne peuvent plus alors accder aux ressources. Les deux exemples principaux, sont le ping flood ou

LESCOP Yves [V1.6]

7/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

lenvoi massif de courrier lectroniques pour saturer une bote aux lettre (mailbombing). La meilleure parade est le firewall ou la rpartition des serveurs sur un rseau scuris. 2.2.3 coute du rseau (sniffer) Il existe des logiciels qui, limage des analyseurs de rseau, permettent dintercepter certaines informations qui transitent sur un rseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing). Cest lune des raisons qui font que la topologie en toile autour d'un hub nest pas la plus scurise, puisque les trames qui sont mises en broadcast sur le rseau local peuvent tre interceptes. De plus, lutilisateur na aucun moyen de savoir quun pirate a mis son rseau en coute. Lutilisation de switches (commutateurs) rduit les possibilits dcoute mais en inondant le commutateur, celui-ci peut se mettre en mode HUB par scurit ! La meilleure parade est lutilisation de mot de passe non rejouable, de carte puce ou de calculette mot de passe. 2.2.4 Intrusion L'intrusion dans un systme informatique a gnralement pour but la ralisation dune menace et est donc une attaque. Les consquences peuvent tre catastrophiques : vol, fraude, incident diplomatique, chantage Le principal moyen pour prvenir les intrusions est le coupe-feu ("firewall"). Il est efficace contre les frquentes attaques de pirates amateurs, mais dune efficacit toute relative contre des pirates expriments et bien informs. Une politique de gestion efficace des accs, des mots de passe et ltude des fichiers log (traces) est complmentaire. 2.2.5 Cheval de Troie Limage retenue de la mythologie est parlante; le pirate, aprs avoir accd votre systme ou en utilisant votre crdulit, installe un logiciel qui va, votre insu, lui transmettre par Internet les informations de vos disques durs. Un tel logiciel, aussi appel troyen ou trojan, peut aussi tre utilis pour gnrer de nouvelles attaques sur dautres serveurs en passant par le votre. Certains dentre eux sont des key logger cest dire quils enregistrent les frappes faites au clavier. La premire mesure de protection face aux attaques, et de scuriser au maximum laccs votre machine et de mettre en service un antivirus rgulirement mis jour. Un nettoyeur de troyens peut aussi savrer utile. Attention : sous Windows, un partage de fichiers actif et trop permissif offre les mmes possibilits sans que le visiteur nai besoin dinstaller un logiciel ! 2.2.6 social engeneering En utilisant les moyens usuels (tlphone, email) et en usurpant une identit, un pirate cherche obtenir des renseignements confidentiels auprs du personnel de lentreprise en vue dune intrusion future. Seule une formation du personnel permet de se protger de cette attaque.

2.3

ESPIONNAGE 2.3.1 Lhomme du milieu

LESCOP Yves [V1.6]

8/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

Lorsquun pirate, prenant le contrle dun quipement du rseau, se place au milieu dune communication il peut couter ou modifier celle-ci. On parle alors de lhomme du milieu (man in the middle). Les point sensibles permettant cette technique sont : DHCP : ce protocole nest pas scuris et un pirate peut fournir une victimes des paramtres rseau quil contrle. Solution : IP fixe. ARP : si le pirate est dans le mme sous rseau que la victime et le serveur (mme si commutateur), il peut envoyer rgulirement des paquets ARP signalant un changement dadresse MAC aux deux extrmits. Solution : ARP statique. ICMP : Un routeur peut mettre un ICMP-redirect pour signaler un raccourci, le pirate peut alors demander de passer par lui. Solution : refuser ICMP-redirect ou seulement vers des routeurs identifis. RIP : Le pirate envoie une table de routage un routeur indiquant un chemin moindre cot et passant par un routeur dont il a le contrle. Solution : nouvelle version de RIP qui intgre une identification des routeurs de confiance. DNS : par ID spoofing un pirate peut rpondre le premier la requte de la victime et par cache poisoning il corrompt le cache dun serveur DNS. Solution : proxy dans un rseau diffrent des clients, dsactivation de la rcursivit, vidage du cache DNS rgulier. Proxy HTTP : Par dfinition un proxy est en situation dhomme du milieu. Une confiance dans son administrateur est ncessaire de mme quun contrle du proxy lors de son dpart ! Virus : un virus, ventuellement spcifique la victime et donc indtectable, peut crire dans le fichier hosts Solution : bloquer les .vbs et .exe

2.3.2 Espiogiciels Ces logiciels espions sont aussi appels spyware . Ils ne posent pas, priori, de problme de scurit mais plutt celui du respect de la vie prive. Plusieurs logiciels connus se permettent de renvoyer vers lditeur des informations concernant lusage du logiciel mais aussi sur les habitudes ou la configuration de lutilisateur, et ceci au mpris de la loi informatique et libert . Il sagit souvent de freewares qui trouvent ainsi une source de revenus mais pas toujours ! Exemples : Real Networks (requte vers lditeur chaque insertion de CD-audio avec n GUID, adresse mail), CuteFTP Une liste des programmes suspects et un outil gratuit (Ad-Aware) est disponible sur www.lavasoft.com . Logiciel pour supprimer des espions recenss : optout.exe sur //grc.com 2.3.3 Cookies Un cookies est une chane de caractre quun serveur dpose sur votre disque dur, via votre navigateur, afin normalement dacclrer ou dautoriser votre prochaine visite. On trouvera des infos sur les cookies www.epic.org/privacy/internet/cookies Des logiciels permettant le tri des cookies sont disponibles : cookie crusher sur www.thelimitsoft.com et cache & cookiewasher sur www.webroot.com

LESCOP Yves [V1.6]

9/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

3 PROTECTIONS
3.1 FORMATION DES UTILISATEURS

On considre gnralement que la majorit des problmes de scurit sont situs entre la chaise et le clavier ...! ;-) Discrtion : la sensibilisation des utilisateurs la faible scurit des outils de communication et limportance de la non divulgation dinformations par ces moyens est indispensable. En effet il est souvent trop facile dobtenir des mots de passe par tlphone ou par e-mail en se faisant passer pour un membre important de la socit. Virus : plusieurs tudes rcentes (2001) montrent que 1/3 des utilisateurs ouvriraient encore une pice jointe dun courrier nomme i love you et que la moiti ouvriraient une pice nomme ouvrez-a ou similaire ! Linformation rgulire du personnel est ncessaire, attention toutefois aux rumeurs (hoax). Charte : lintrt principal dune charte dentreprise est dobliger les employs lire et signer un document prcisant leurs droits et devoirs et par la mme de leur faire prendre conscience de leur responsabilit individuelle.

3.2

POSTE DE TRAVAIL Le poste de travail reste un maillon faible de la scurit. Le projet TCPA (Trusted Computing Platform Alliance) a pour but damliorer sa scurit en dotant le PC dune puce ddie la scurit. Elle sera charge de vrifier lintgrit du BIOS, du chargement de lOS, de sauvegarder les cls et certificats (PKI) et connatra les protocoles de cryptage (RSA, DES). ! Plusieurs carte mre possdent un cavalier interdisant la reprogrammation du BIOS (flashage), vrifier et mettre en place ce cavalier sur tous les postes ! ! Lecteur de disquette : Interdire le Boot disquette (BIOS) voire inhiber compltement le fonctionnement du lecteur. ! Lecteur de CD-ROM : les virus de Boot sont trs rares sur CD, mais avec la gnralisation des graveurs et la simplification des logiciels de gravure ! Backup rgulier et scuris des informations essentielles. ! Multi-boot : viter au maximum car la scurit globale du poste est celle de lOS le plus fragile et de plus il existe des logiciels permettant de lire sous un OS les autres partitions en ignorant alors les scurits (exemple : lecture de fichiers NTFS sans tenir compte des droits).

3.3

ANTIVIRUS Principale cause de dsagrment en entreprise, les virus peuvent tre combattus plusieurs niveaux. La plupart des antivirus sont bass sur lanalyse de signature des fichiers, la base des signatures doit donc tre trs rgulirement mise jour sur le site de lditeur (des procdures automatiques sont gnralement possibles). Deux modes de protection : Gnralisation de lantivirus sur toutes les machines, il faut absolument prvoir une mise jour automatique de tous les postes via le rseau.

LESCOP Yves [V1.6]

10/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

Mise en place dun antivirus sur les points dentre/sortie de donnes du rseau aprs avoir parfaitement identifis tous ces points. La rigueur de tout le personnel pour les procdures doit tre acquise.

Messagerie : la plupart des virus actuels utilisent ce vecteur de transmission. Les vers sinstallent et sexcutent sans lintervention de lutilisateur (excutable ouvert automatiquement, exploitation dune faille du logiciel de messagerie). La protection contre les virus en provenance de la messagerie doit tre effectue, non pas au niveau du poste de travail, mais du serveur. Ainsi certains antivirus agissent au niveau du coupefeu, les deux outils cooprant via le protocole CVP (Content Vectoring Protocol) qui normalise leur communication. Les clients de messagerie de Microsoft sont victimes de leurs enrichissements en recourant Word ou au HTML pour diter le message, ils rendent possible lexcution de macrovirus. La parade la plus simple consiste nutiliser ces clients de messagerie quen mode texte. Attention, la mise en place dun antivirus sur le firewall nest daucun secours en cas de fichiers crypts ! 3.4 PARE-FEU (fire wall) ou GARDE BARRIRE C'est une machine ddie au routage entre LAN et Internet. Consulter la RFC2196. Le trafic est analys au niveau des datagrammes IP (adresse, utilisateur, contenu...). Un datagramme non autoris sera simplement dtruit, IP sachant grer la perte d'information. Une translation dadresse pourra ventuellement tre effectue pour plus de scurit (protocole NAT Network Address Translation RFC 1631+2663). Attention : un firewall est inefficace contre les attaques ou les bvues situes du cot intrieur et qui reprsentent 70% des problmes de scurit ! 3.4.1 Architecture classique

LESCOP Yves [V1.6]

11/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

3.4.2 Architecture concentre

3.4.3 Logiciels Par scurit on dsactivera tous les services inutiles (TELNET, ...) et on fermera tous les ports TCP/UDP inutiliss (ex TCP 139=Netbios pour partage de dossiers ! ...) (Un outil de protection personnel gratuit zonealarm est propos par www.zonelabs.com ou bien kerio personnal chez www.kerio.com ) En logiciel libre on utilisera Ipchain (noyau Linux) ou Netfilter (similaire au produit de checkpoint). Pour ceux qui tournent sous MacOS, il en existe aussi quelques uns dont Netbarrier (intego.com) et DoorStop (opendoor.com). Dans certains sites on place les serveurs lis aux services Internet dans une zone dmilitarise (DMZ), les accs en provenance dInternet ne peuvent voir que ces machines et les utilisateurs de lentreprise doivent passer par les machines de la DMZ pour accder Internet. Au niveau rseau local, un programme correctement crit (sniffer) peut quand mme observer le trafic et saisir noms et mots de passe qui circuleraient sur le rseau diffusion (Ethernet via Hubs) ! Dans le domaine commercial, les logiciels firewall les plus rputs sont VPN1 de checkpoint et e-trust de Computer Associates. Il existe aussi des botiers tout compris du type firebox de Watchguard ou Instagate de Techniland. 3.4.4 Filtrage de sites Pour les coles (protection des mineurs) ou bloquer les publicits On peut tlcharger un fichier rpertoriant plusieurs milliers de serveurs sur www.accsnet.com/hosts, un outils libre sur ce mme site (eDeexer) permet de remplacer le carr blanc de la publicit manquante par limage de son choix.

LESCOP Yves [V1.6]

12/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

3.5

AUTHENTIFICATION ET CRYPTAGE

Lauthentification est base sur les 3 principes : Savoir : login, mot de passe tre : biomtrie (empreintes) Avoir : cls USB, carte puce, token . Une authentification est dite forte lorsquelle utilise deux mcanismes diffrents (carte puce avec mot de passe par exemple). "Nom + mot de passe + date" sont crypts avec des cls publiques et prives (RFC 1510). Le cryptage de la date vite la rutilisation ventuelle du message par un pirate. Par le cryptage on peut identifier de manire sre l'utilisateur connect. Pour viter lespionnage, la modification du contenu, lajout de message... on pourra utiliser la signature lectronique (CRC crypt en fin de message) ou crypter toute linformation. Les infrastructures PKI (Public Key Infrastructure) devraient se dvelopper. Pour linstant, le protocole SSL (Secure Socket Layer) domine toujours largement le march de lauthentification sur les sites marchands. Radius, Tacacs ou IPSec (qui comporte un processus dauthentification dans son en-tte) constituent encore la solution retenue par la majorit des entreprises. 3.5.1 Cryptage symtrique Une mme cl est utilise pour crypter et dcrypter le message, trs efficace et assez conome en ressources CPU cette technique pose le problme de la distribution des cls dans un rseau tendu (exemple DES, triple DES ou le rcent AES). 3.5.2 Cryptage asymtrique Chaque utilisateur dispose dun jeu unique de cls, dont lune est prive (secrte) et lautre publique (exemple RSA). Pour recevoir des documents protgs, le dtenteur d'un jeu de cls envoie sa cl publique ses interlocuteurs, qui lutilisent pour chiffrer les donnes avant de les lui envoyer. Seul le destinataire et dtenteur des cls peut lire les informations en associant sa cl prive sa cl publique. Cette technique ncessite des cls plus longues pour une scurit quivalente. 3.5.3 Protocoles courants SSL (Secure Socket Layer) de Netscape est le protocole le plus rpandu pour tablir une connexion scurise entre client et serveur. Il est situ entre les couches TCP et HTTP. Ce protocole public utilise une cl de 40 bits (version dexportation) avec lalgorithme RSA pour chiffrer toute la transaction. Ce protocole ne peut garantir lidentit de linterlocuteur ! SET (Secure Electronic Transaction) : est la convergence des deux procdures de scurisation STT (Secure Transaction Technology) de Visa et Microsoft et SEPP (Secure Electronic Payment Protocol) de Mastercard, IBM et Netscape. Il permet de scuriser les transactions par cartes bancaires (chiffrement par cls publiques/prives et authentification des parties). C-SET (Chip Secure Electronic Transaction) : est ladaptation du protocole SET la carte puce franaise. S/MIME (Secure Multipurpose Internet Mail Extension) est le protocole le mieux accept pour la scurisation des courriers lectroniques.
LESCOP Yves [V1.6] 13/21 Post BTS R2i

Scurit _________________________________________________________________________ 2002

PGP (Pretty Good Privacy) :. Le cryptage de toute l'information par une cl publique ncessitant un temps de calcul lev, PGP (www.pgpi.com ) utilise une technique plus rapide : Le document est compress (pour viter les redondances) puis crypt avec une cl de session alatoire (cryptage rapide), seule la cl de session est crypte par la cl publique du destinataire et ajoute au document. Le destinataire utilise sa cl prive pour dcrypter la cl de session et peut ainsi dcrypter le document et le dcompresser. 3.5.4 PKI (Public Key Infrastructure) L'infrastructure PKI repose sur la notion de chiffrement asymtrique. Pour sauthentifier, en revanche, le dtenteur des cls utilise un certificat, sorte de document lectronique faisant office de carte didentit lectronique. Insr dans un message, lors d'un paiement sur Internet par exemple, ce certificat joue le rle de signature numrique. Il contient des informations relatives lidentit du dtenteur, son champ dapplication (date de validit, types dapplications, etc.) et la cl publique. Un tiers de confiance garantit lassociation ente un individu et les donnes contenues dans le certificat. La gestion des certificats en interne implique des infrastructures lourdes afin denregistrer les demandes, de vrifier la validit des certificats, de grer les pertes ou les vols (risques d'autant plus importants lorsque le certificat est inclus dans un support physique tel quune carte puce). Il faudra, de plus, assurer la protection des serveurs contre le piratage. Difficile en interne, la gestion des infrastructures PKI peut tre confie des prestataires spcialiss, tels que Certplus (en France) et Verisign (aux tats-Unis), ou encore auprs d'une banque. Typiquement, un Franais, client d'une banque franaise jouant le rle de tiers certificateur, qui achte sur un site amricain, aura du mal imposer son certificat si son organisme bancaire nest pas reconnu aux tats-Unis comme un prestataire digne de confiance.

3.6

MESSAGERIES

Les messageries sont trs utilises et posent quelques problmes de scurit particuliers. De plus la majorit des virus utilisent actuellement ce vecteur. 3.6.1 Attaques Spamming et mailbombing sont deux techniques, rprouves par la Ntiquette, qui prennent pour cible votre bote aux lettres, et peuvent vous faire perdre du temps, voire des donnes. Sont notamment considrs comme tant des actes de spamming : le fait dcrire un inconnu pour lui demander par exemple de venir visiter votre site web; le fait dinclure un individu dans une liste de diffusion sans son consentement; le fait de diffuser des messages sur un forum de discussion qui soient sans rapport avec le thme ou le contenu de ce dernier. Le mailbombing est une variante belliqueuse du spamming qui consiste encombrer volontairement la bote aux lettres dun destinataire par l'envoi de centaines de courriers lectroniques vides, insultants ou volumineux, potentiellement accompagns de virus en pice jointe.

LESCOP Yves [V1.6]

14/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

En pluchant len-tte des messages on tentera de retrouver ladresse de lmetteur ou au moins du premier serveur layant relay puis en crivant postmaster@trucccc.com ou abuse@truccc.com (d'aprs le nom du serveur SMTP utilis par le spammer). Les administrateurs de relais peuvent filtrer certaines adresses en cas dabus rpts. Bien que ce soit interdit par la RFC, certains message sont transmis avec les champs to et cc vides, votre adresse tant en bcc rsultat, vous obtenez to :Undisclosed.recipient@truc.com remplis par le premier relais ! 3.6.2 Scurit des messages Confidentialit : seul le chiffrement peut lassurer. Intgrit : le message reu est identique celui mis, le scellement et la signature lectronique sont ncessaire. Contrle daccs : uniquement les personnes autorises peuvent mettre des messages Non rpudiation : utilisation dun tiers de confiance. 3.6.3 Spamming On appelle spam la diffusion en masse de messages, publicitaires gnralement, non dsirs par les destinataires. Originellement spam dsigne du jambon en conserve de basse qualit (Shoulder of Pork and hAM). Il est souvent inutile de rpondre rageusement lmetteur car il a souvent disparu. Pour ventuellement retrouver le FAI metteur on pluchera lentte du message ou on consultera spamcop.net . Ladresse abuse@nom_du_fai.com doit exister et pourra servir alerter le FAI. Les adresse utilises dans les forums sont souvent exploites pour du spam, il pourra tre judicieux dutiliser alors une adresse provisoire (chez www.spammotel.com par exemple). ATTENTION : Un serveur SMTP ne devrait jamais tre laiss en open relay car il est alors ouvert et cette configuration est facilement dtectable. Les spammer pourront alors lutiliser votre insu et vous risquez dtre boycott par les autres sites ! Collectif anti spam www.cspam.org Les serveurs envoyant du spam sont rpertoris par www.mail-abuse.org . DSBL (Distributed Sender Boycott List) liste des serveurs SMTP ouverts www.dsbl.org www.mailwasher.net dite un logiciel qui bloque les spam avant tlchargement et envoie automatiquement un message derreur lexpditeur.

3.7

DTECTION DINTRUSION

Mme si lintrus parvient franchir les barrires de protection (coupe-feu, systme d'authentification, etc.), il est encore possible de larrter avant qu'il nattaque. Placs sur le rseau de lentreprise, les outils de dtection d'intrusion dclent tout comportement anormal ou trafic suspect. Malgr la mise en place de solutions dauthentification, charges de filtrer et de contrler les accs au rseau, il arrive que des intrus y pntrent. Cest mme le propre des pirates que de contourner les serveurs dauthentification, coupe-feu et autres barrires de protection des systmes. Une fois entrs, plus rien ne les empche de saboter, de voler et dendommager les applications. Interviennent alors les systmes de dtection d'intrusion. En auscultant en permanence le trafic, ils reprent le hacker et alertent aussitt ladministrateur. Protgeant
LESCOP Yves [V1.6] 15/21 Post BTS R2i

Scurit _________________________________________________________________________ 2002

l'entreprise des attaques externes, ces systmes sont galement capables de dtecter le pirate interne qui reprsente encore entre 70 80% des actes de malveillance auxquels sont confrontes les socits. Il existe deux catgories doutils sur le march : la premire analyse le trafic rseau, la seconde tudie le comportement des utilisateurs au niveau dun systme ou dune application. Dans tous les cas, des ressources humaines devront tre affectes la supervision des systmes de dtection dintrusion pour grer les alertes, mais aussi pour dtecter ce que les outils nauront peut-tre pas vu. Coteuses, ces ressources freineraient aujourd'hui les entreprises dans ladoption de ces solutions. 3.7.1 Surveillance du trafic rseau Baptiss sondes ou encore sniffer, ce sont des outils de dtection dintrusion qui sinstallent un point stratgique du rseau. Ils analysent en permanence le trafic la recherche dune signature connue de piratage dans les trames. Ces systmes ne reprent que les attaques qui figurent dj dans leur base de signatures. Ces sondes doivent tre : - Puissantes (dbits des rseaux levs) pour analyser toutes les trames. - Capables de conserver un historique (actes de malveillance diviss sur plusieurs trames). - Fiable, cest dire tolrante aux pannes (retour ltat initial aprs une interruption). 3.7.2 Analyse du comportement de lutilisateur Installe sur les OS ou sur les applications, lanalyse du comportement scrute les fichiers dvnements et non plus le trafic. Cette technique est encore trop coteuse car trop de comptences sont ncessaires. Des agents sont placs sur le systme ou lapplication superviss. Ces agents autonomes disposent de capacit dapprentissage. Leur mission consiste reprer tout abus (personne qui cherche outrepasser ses droits et atteindre des applications auxquelles elle na pas accs) ou comportement suspect (personne qui, par exemple, scanne toute une base de donnes alors quen temps normal, elle neffectue que deux trois requtes par jour). De mme, le transfert de certains courriers peut tre bloqu lorsque ces documents comportent certains mots (pralablement dtermins par ladministrateur) pouvant indiquer la fuite dinformations. Pour tre efficaces, ces solutions doivent bnficier dune puissance suffisante afin danalyser tous les vnements en temps rel, mais aussi de mcanismes qui les protgent des attaques. 3.7.3 Site pot de miel Ces sites honey pot sont senss dtourner les pirates des zones sensibles en leur donnant limpression quils sont entrs au cur du site de lentreprise vise. Lefficacit reste dmontrer, il semblerait que ce soit suffisant pour se protger des amateurs (les plus nombreux !).

3.8

O AGIR Exemple sur un rseau avec routeurs Unix (source J-L Archimbaud / UREC)

LESCOP Yves [V1.6]

16/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

architecture physique et logique du rseau rseau G "inconnu" annoncer uniquement R et B Garde-barrire filtrer le rseau E ne router que R et B, filtrer / applications et stations ne router que R et B installer un "bon" sendmail pas de ifconfig pas de "route default" filtres et trace ---> tcpd, xinetd inetd.conf applications scurises : PGP surveiller - contrler : COPS, CRACK sensibiliser, charte

Une protection efficace utilisera un Firewall , un antivirus, un IDS, un VAT, une politique dadministration, des locaux protgs, une formation des utilisateurs la confidentialit

LESCOP Yves [V1.6]

17/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

3.9

TESTS 3.9.1 Tests de maintenance PING : permet de vrifier l'accessibilit une machine spcifie. Si le ping est correct et pas l'accs Web, il y a probablement un problme de port ou de rpertoire non valide. (www.fr.net/internet/ping.html ). TRACEROUTE : permet de dterminer le chemin d'un point un autre avec les dlais (envoi de 3 paquets ICMP peu prioritaires donc les temps ne sont pas toujours trs significatifs). Windows95 propose l'utilitaire DOS "TRACERT" et www.fr.net/trace.html donne l'adresse de sites offrant ce test. FINGER : permet de connatre les caractristiques d'un utilisateur connect (normalement ce service est filtr !). www.samspade.org propose un outil (libre) pour retrouver ladresse dun expditeur (anonyme ?) et divers outils. HPING, Nemesis, SPAK : ces outils permettent dmettre des requtes TCP simples ou de crer ses propres paquets IP (test de ports) www.hping.org SNMP : Attention, si ce service est mont en community string =public, toutes les informations sur le rseau sont disponibles ! SMTP : la commande vrfy permet de recenser les utilisateurs avec leur adresse et expn permet de vrifier les alias et listes. 3.9.2 Logiciels de test de la scurit d'une installation Au del de 200 machines une automatisation des tests est ncessaire. On pourra utiliser des logiciels de dtection de vulnrabilit (VAT : Vulnerability Assessment Tools). Ils ont le mme point faible que les antivirus : leur base de signatures. Celle-ci doit tre mise jour rgulirement, sans quoi le rapport de vulnrabilit risque fort d'tre erron.. La dtection des vulnrabilits s'effectue via des scnarios. Ces derniers, proposs par les diteurs, sont modifiables afin de coller aux spcificits de l'entreprise. Les systmes de dtection dintrusions peuvent tre classs selon leur position : ! NIDS : Network Intrusion Detection System, cousins des analyseurs rseaux (Snort, Netsecure), inefficace sur VPN ou VLAN (cryptage) voire sur Gigabit. ! HIDS : Host based IDS, similaire aux outils dadministration de service, vrifie lusage dune ressource ou dun service par un utilisateur (Intruder alert, dragon squire). ! NNIDS : Network Node IDS, complmentaire dun OS, effectue un IDS sur la machine hte et vite ainsi les problmes de cryptage ou de rapidit du rseau (Black Ice, Tiny CMDS). Quelques logiciels courants : SATAN : freeware permettant le test de machines UNIX sur un rseau (ftp://ftp.cert.dfn.de/pub/tools/net/satan) produit prim. COPS (Computer Oracle and Password System) : test de la machine Unix sur lequel le logiciel est install. (ftp://ftp.cert.org/pub/tools/cops). Crack : freeware testant les mots de passe Unix (etc/password). Lophtcrack (NT) cracker et sniffeur de mot de passe. John the ripper (free, Win/Unix) crack de mot de passe.

LESCOP Yves [V1.6]

18/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

ISS (Internet Security System) : Logiciel public, historiquement, ISS, avec son outil Internet Scanner, disposait de la base de signatures la plus riche. Depuis, il ne cesse de perdre du terrain. La solution d'ISS se compose de trois modules : Internet Scanner (logiciel test), System Scanner et Database Scanner, ils dtectent respectivement les vulnrabilits rseaux, systmes et applicatives (bases de donnes) www.iss.net . Nessus freeware rcent de test dintrusion (www.nessus.org ). NetRecon (Axent Technology) : scanner classique (install sur un poste). Security Analyzer (Web trend) : WebTrends a opt pour une technologie de type agents/manager/console. Les agents ne sont pas indispensables au fonctionnement du produit, mais vivement recommands si l'on souhaite obtenir une valuation exhaustive. Ces agents sont dploys sur les quipements surveiller CyberCop Scanner (Network Associates) : Network Associates s'enorgueillit de proposer une base de signatures rfrenant plus de 730 vulnrabilits avres Snort : logiciel de dtection dintrusion www.snort.org 3.9.3 Certification des produits de scurit A lorigine, seule la certification europenne itsec (drive du orange book du DOD amricain) avec ses 6 niveaux E1..E6 est disponible (cartes puces). La norme ISO 15408 dfinit les fonctionnalits et garanties scuritaires dun produit. Il y a 7 niveaux dvaluation EAL1 (tests fonctionnels) EAL7 (produits stratgiques avec vrification de chaque dtail). Les certificats sont dlivrs sous couvert de la DCSSI (Direction Centrale de la Scurit des Systmes dInformation) via des laboratoires agrs appels CESTI (Centre de certification de la scurit des technologies de linformation). La norme ISO 17799, issue de la norme Anglaise BS7799, est ddie la mise en uvre dune scurit des systmes dinformation et permet de certifier une entreprise. Elle est compatible ISO 9001.

LESCOP Yves [V1.6]

19/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

4 DOCUMENTATIONS
4.1 Informations sur la scurit CRU (comit rseau des universits) www.cru.fr UREC-CNRS www.urec.cnrs.fr/securite CNIL (commission nationale de linformatique et des liberts) permet de vrifier les informations quun site peut obtenir sur vous lors de votre navigation (adresse, nom) www.cnil.fr . Secuser (fr) : infos sur les virus et autres www.secuser.com Scurit des systmes : www.secusys.com Portail scurit (fr), logiciels libres : www.securite.org CLUSIF (Club de la scurit des systmes dinformation Franais) www.clusif.asso.fr . DCSSI (Direction Centrale de la Scurit des Systmes dInformation) www.scssi.gouv.fr . AURIF (association des utilisateurs de rseaux le de France) www.aurif.fr OSSIR (Observatoire de la scurit des systmes dinformation et des rseaux) www.ossir.org SUR (scurit Unix et rseaux) www.ossir.org/sur Web securit http://websec.arcady.fr Veille et conseil : www.cartel-securite.fr Consultant en scurit : www.hsc.fr MISCMAG (revue ddie la scurit) www.miscmag.com CERT (Computer Emergency Response Team) organisme officiel amricain publiant des alertes de scurit. www.cert.org, www.eurocert.net Bugtraq : mailing list des problmes de scurit. Collectif anti spam www.cspam.org DSBL (Distributed Sender Boycott List) liste des serveurs SMTP ouverts www.dsbl.org EICAR (European Institute for Computer Antivirus Research) www.eicar.com NT bug traq (scurit sur Windows NT) www.ntbugtraq.com . NCSA (National Computer Security Association) www.ncsa.com SANS (System Administration, Networking & Security) www.sans.org Security focus www.securityfocus.com NITC (National Infrastructure Protection Center) www.nitc.gov NIST (National Institute of Standards and Technology) pour le cryptage AES http://csrc.nist.gov/encryption/aes ISS (Internet Security System) www.iss.net CIS www.cisecurity.org outils daudit gratuits. PGP (cryptage) www.pgp.com ou www.pgpi.com Infos Underground www.zataz.com , www.phrack.com www.attrition.org rpertorie les attaques et bugs. les "crackers" publient dans www.2600.com ou sur les news (alt.2600). RFC 2196 Site Security Handbook : scurit des informations et des installations. RFC 2504 Users' Security Handbook : scurit utilisateur.

LESCOP Yves [V1.6]

20/21

Post BTS R2i

Scurit _________________________________________________________________________ 2002

4.2

Acronymes : Advanced Encryption Standard (cryptage). : Data Encryption Standard (cryptage). : Intrusion Detection System. : Managed Security Service Providers (fournisseurs de services de scurit). : Pretty Good Privacy (Protocole de cryptographie double cl). : Public Key Infrastructure (chiffrement). : Remote Access Dial In User Server (authentification dun abonn). : Redundancy Array of Inexpensive/Independent Disk (archivage). : Rivest Shamir and Adleman (algorithme de cryptage). : Shoulder of Pork and hAM (jambon en conserve), email publicitaire. : System Administration, Networking & Security. : Secure Socket Layer (protocole de scurit sur HTML). : Terminal Access Controller Access Control System (authentification). : Vulnerability Assessment Tools (outils de vrification de vulnrabilit). : Virtual Private Network. (tunnel sur rseaux publics).

AES DES IDS MSSP PGP PKI RADIUS RAID RSA SPAM SANS SSL TACACS VAT VPN

LESCOP Yves [V1.6]

21/21

Post BTS R2i