Guide Securite

Guide de la scurit
des systmes dinformation
lusage
des directeurs
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
Guide de la scurit

lusage des directeurs
Cet ouvrage a t conu et rdig par
Robert Longeon
Charg de mission la scurit
des systmes dinformation du CNRS
Jean-Luc Archimbaud
Charg de mission la scurit
des rseaux du CNRS
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
Avant-propos
Pourquoi protger les produits

de la recherche scientifique
La mission principale du CNRS est de faire effectuer toutes recherches prsentant
un intrt pour lavancement de la science ainsi que pour le progrs conomique,
social et culturel du pays. Il a aussi pour vocation de contribuer lapplication et
la valorisation des rsultats de la recherche (Dcret n82-993 JO du 25
novembre 1982).
Quils soient ou non susceptibles de conduire des applications industrielles ou
commerciales, les rsultats de la recherche constituent un bien commun, un patrimoine de la communaut nationale qui, juste titre, peut prtendre tre la premire en tirer profit. Ce patrimoine scientifique, confi de plus en plus des circuits lectroniques chargs de le traiter, transformer, prsenter, transmettre et
conserver, chacun se doit de veiller son intgrit face aux menaces, accidentelles
ou malveillantes, qui pourraient laltrer.
Laccs, par Internet notamment, une masse en forte croissance dinformations

scientifiques actualises en temps rel ainsi que la possibilit de la traiter automatiquement, permet nombre dorganisations, officielles ou prives, de disposer
dindicateurs sur lmergence de linnovation et ainsi de mieux orienter leurs
recherches. Linnovation scientifique et technologique est donc devenue lenjeu
dun march stratgique de la connaissance o il ny a plus gure damis ni dallis.
Il est donc indispensable dassurer la protection physique de linformation scientifique labore par les laboratoires qui, lorsquelle est stocke sans prcautions
sur le disque dur dun ordinateur reli lInternet, peut tre lue, copie, modifie
ou dtruite partir dun poste de travail situ aux antipodes sans que, trop souvent hlas, le propritaire sen aperoive.
Avant-propos
Comment les protger

Pour se prmunir contre une utilisation des rseaux qui viserait sapproprier
indment des informations, il est ncessaire dappliquer strictement les recommandations de ce guide. Il nest pas inutile den rappeler quelques-unes :
Adopter une architecture du rseau apte interdire, ou tout au moins
compliquer, toute tentative frauduleuse de pntration.
Assurer une surveillance permanente des connexions extrieures afin de
dtecter au plus tt tout accs anormal.
Grer rigoureusement les logins et les mots de passe en veillant plus particulirement naccorder aux chercheurs non permanents que les facilits strictement indispensables leurs travaux et les leur retirer ds la
fin de leur sjour.
Imposer des prcautions supplmentaires aux chercheurs souhaitant se
connecter de lextrieur et a fortiori lors dun sjour ltranger , par
exemple lemploi de mots de passe usage unique.
Utiliser, en cas de ncessit, les nouveaux procds de chiffrement pour
assurer la discrtion des changes de messagerie et de donnes.
Neffectuer les travaux les plus sensibles et ne stocker les fichiers confidentiels que sur des machines physiquement dconnectes du rseau.
Mais les systmes informatiques ne sont pas vulnrables quaux attaques extrieures. Lincendie, lexplosion ou le dgt des eaux, linsouciance, la maladresse
ou la malveillance dun collgue, peuvent perturber gravement le fonctionnement
de cet incomparable outil de travail et de communication. Il faut donc, outre les
mesures dtailles plus haut, sauvegarder en un lieu sr et distant les informations
et les donnes que lunit ne peut se permettre de perdre.
Il vous appartient en tant que directeur de dfinir et mettre en uvre la politique
de scurit de votre laboratoire, dinciter chacun de vos collaborateurs en
prendre conscience et sy impliquer. Ce guide est le fruit de lexprience de toute
la communaut scientifique et nous comptons sur vous pour lenrichir des cas
concrets auxquels vous pourriez tre confronts.
Philippe Schreiber
Fonctionnaire de Dfense du CNRS
Sommaire
Introduction ................................................................................................................ 7
1. Les menaces de lInternet ......................................................................... 9
1.1 La scurit des systmes dinformation .................................................. 10
1.2 Lagression par lInternet .............................................................................. 11
1.3 Comment se manifeste une agression ...................................................... 12
1.4 Les Techniques dagression utilises......................................................... 13
2. Le rle du management dans la scurit .................................. 19

2.1 quoi sert la scurit ? ................................................................................ 20
2.2 Vulnrabilit et insouciance des laboratoires ....................................... 23
2.3 La scurit est une fonction de management ........................................ 26
3. Sur quelles organisations sappuyer ?........................................... 29

3.1 La scurit dans lorganisation gouvernementale ............................... 30
3.2 Protection du patrimoine scientifique
et technologique au CNRS........................................................................... 30
3.3 Lorganisation de la SSI au CNRS ............................................................ 32
3.4 Les actions scurit au CNRS .................................................................... 33
4. Quelques recommandations lmentaires ............................... 35

4
4.1 Organiser, prvoir et sensibiliser............................................................... 36

4.2 Procdures de gestion des ressources informatiques ........................... 38
4.3 Moyens de protection active ....................................................................... 40
4.4 Avoir une approche mthodologique ........................................................ 42
4.5 Les phases dune mthode adapte aux laboratoires .......................... 43
4.6 La mthode de lUREC ................................................................................. 47
4.7 Une architecture structure et cohrente ................................................ 48
Sommaire
5. Les rgles de bon usage ........................................................................... 53

5.1 Respect des rgles crites et non crites ................................................. 54
5.2 Le bon usage des moyens de communication ....................................... 55
6. La vulnrabilit des autocommutateurs .................................... 61

6.1 Les responsabilits ......................................................................................... 62
6.2 Recommandations dadministration......................................................... 63
7. Virus informatiques et autres malignits .................................. 65

7.1 Un peu de vocabulaire .................................................................................. 66
7.2 La prvention ................................................................................................... 67
7.3 Principes de lutte contre les macrovirus................................................. 69
7.4 Que faire en cas dinfection par un virus ? ............................................ 71
7.5 O trouver antivirus et documentation ? ................................................ 73
8. Les aspects juridiques de la SSI ........................................................ 75

8.1 Les traitements automatiss dinformations nominatives................. 76
8.2 Quelques lments de droit se rappeler............................................... 77
Conclusion ................................................................................................................ 81
Annexes
Annexe A : La charte utilisateur ....................................................................... 85
Annexe B : Vocabulaire abrg des techniques de piratage...................... 89
Annexe C : Serveurs dinformations utiles ..................................................... 91
Bibliographie thmatique abrge ......................................................... 93
Introduction
La qualit de nos recherches dpend troitement des changes et des dbats que
nous pouvons mener au sein de notre communaut scientifique. Cette dpendance est telle, quon considre de plus en plus la capacit de communiquer
comme un indicateur significatif de dynamisme . Le rseau Renater et lInternet
ont constitu une volution majeure. Ils sont maintenant si naturels, quon croirait quils ont toujours exist. Les facilits offertes pour les transferts de fichiers, le
courrier lectronique, les listes de diffusion, les webs, les forums entre autres
ont permis un dveloppement spectaculaire et fructueux des changes scientifiques. Mais, paralllement la mutation extraordinaire de nos mthodes de travail qua induit cette volution, nous assistons des phnomnes parasitaires
inquitants notamment depuis louverture dInternet des activits prives ou
commerciales qui confirment la ncessit, pour les organismes qui veulent pouvoir librement communiquer, stocker et traiter les donnes, de protger leurs systmes dinformation.
De nouvelles formes de malveillance ont rcemment fait leur apparition ; elles risquent de perturber gravement le fonctionnement des laboratoires. Certaines de ces
malveillances constituent des crimes ou des dlits et peuvent entraner des poursuites judiciaires ; dautres provoquent une entrave la communication scientifique. Plus inquitante encore est lapparition dune dlinquance organise qui
cherche pntrer les systmes pour sapproprier de linformation et la monnayer
aux plus offrants. Linformation, mme dapparence anodine, constitue aprs compilation, recoupements et traitements, une valeur marchande pour des groupes de
mieux en mieux structurs. De ce point de vue, nous avons dpass lpoque du
vulgaire bricoleur solitaire qui, par jeu ou par dfi, cherche pntrer les systmes
les mieux protgs. Les pirates daujourdhui oprent en bande, plus ou moins
infiltre par les mafias ; ils utilisent des recettes toutes prtes quils rcuprent sur
des sites spcialiss et, contrairement la lgende, ne sont guids par aucune
thique. Pour ces prdateurs dun nouveau type, les laboratoires universitaires et
les diffrents instituts de recherche constituent des cibles privilgies. Nos principaux partenaires dans les collaborations internationales, quils soient amricains,
Guide de la scurit des systmes dinformation
europens ou japonais, prennent trs au srieux ces menaces ; il arrive mme quils
nous montrent du doigt pour ce quils considrent comme du laxisme de notre
part. lvidence, notre organisme ne peut rester plus longtemps lcart de cette
mobilisation et ignorer ces dangers, sans courir les risques graves de voir nos systmes dinformation se dgrader progressivement, notre patrimoine scientifique se
faire piller et nos partenaires internationaux se dtourner de nous, de crainte de
compromettre leur propre scurit.
La scurit des systmes dinformation (SSI) au CNRS sest toujours prsente
dans un contexte spcifique difficile. Nagure encore, les mots mmes de scurit ou de protection du patrimoine scientifique taient tabous. Le rle du
Fonctionnaire de Dfense restait trs obscur et pour certains inquitant. Les
correspondants scurit taient jugs comme accessoires, souvent inutiles. Les
mises en garde sur les risques des rseaux ouverts ne suscitaient trop souvent
quindiffrence. La rgle tait la science exclusivement . Aujourdhui, ce seuil est
pour lessentiel dpass ; la grande majorit des personnels, dans la plupart des
laboratoires, est prte simpliquer activement dans la mise en uvre dune vritable politique de scurit pourvu quil trouve auprs de leur Direction un soutien
et des orientations. Ce guide est fait pour aider les directeurs dans ce rle.
1
Les menaces de lInternet
En quoi linterconnexion des rseaux le rseau mondial modifie-t-elle
les exigences de scurit ? Quelles sont les nouvelles menaces qui guettent
nos systmes dinformation depuis louverture des services dInternet au
grand public ? Ce sont des questions quaujourdhui personne, surtout
pas un responsable, ne peut ignorer.
1.1 La scurit des systmes dinformation

Tout dabord, quentendons-nous par scurit des systmes dinformation ?
Systmes dinformation
Linformation se prsente sous trois formes : les donnes, les connaissances et les
messages. On a lhabitude de dsigner par systme dinformation lensemble
des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre linformation. De fait, on confond souvent, mme si ce nest pas trs exact,
la notion de systmes et rseaux informatiques et celle de systmes dinformation (SI) . On dira donc quun systme dinformation est tout moyen dont le
fonctionnement fait appel dune faon ou dune autre llectricit et qui est destin
laborer, traiter, stocker, acheminer, prsenter ou dtruire linformation (AGI
n900/SGDN).
Scurit
Le concept de scurit des systmes dinformation recouvre un ensemble de
mthodes, techniques et outils chargs de protger les ressources dun systme
dinformation afin dassurer :
la disponibilit des services : les services (ordinateurs, rseaux, priphriques, applications) et les informations (donnes, fichiers) doivent
tre accessibles aux personnes autorises quand elles en ont besoin ;
la confidentialit des informations : les informations nappartiennent pas
tout le monde ; seuls peuvent y accder ceux qui en ont le droit ;
lintgrit des systmes : les services et les informations (fichiers, messages) ne peuvent tre modifis que par les personnes autorises
(administrateurs, propritaires).
10
La politique de scurit du laboratoire est lexpression de ces objectifs. Elle

indique lensemble des mesures prendre, des structures dfinir et lorganisation mettre en place afin :
dempcher (ou tout au moins freiner) la dtrioration, lutilisation anormale ou la pntration des systmes et rseaux ;
de dtecter toute atteinte, malveillante ou non, lintgrit, la disponibilit et la confidentialit des informations ;
dintervenir afin den limiter les consquences et, le cas chant, poursuivre lauteur du dlit.
Valeur et proprits dune information

On ne protge bien que ce quoi on tient, cest--dire ce quoi on associe une
valeur . La trilogie confidentialit, intgrit, disponibilit, dtermine la valeur
dune information. La scurit des systmes dinformation (SSI) a pour but de
garantir la valeur des informations quon utilise. Si cette garantie nest plus assure, on dira que le systme dinformation a t altr (corrupted). Une altration
Les menaces dInternet
nest pas uniquement le fait de malveillances. Il est plus souvent encore, la consquence de pannes, de maladresses, daccidents ou derreurs humaines dont les
plus frquentes sont les erreurs de conception. Ces phnomnes relvent de la
sret de fonctionnement qui est une autre manire dapprhender la scurit
globale. Les sauvegardes, le fonctionnement en mode de repli, la redondance, etc.
font aussi partie de la trousse outils traditionnelle de la scurit prise dans son
sens gnral.
Avec le dveloppement de linformatisation des changes (courriers officiels, transactions financires, commerciales), la simple affirmation de la valeur de linformation nest plus suffisante. Il est ncessaire dy adjoindre des proprits nouvelles comme lauthentification (garantie de lorigine dun message, de lauteur
dun document), la paternit (linformation ne peut pas tre rpudie par son
auteur), la traabilit (on connat le circuit qua suivi une information), etc. La prservation et la garantie de ces proprits ressortent encore de la fonction scurit .
1.2 Lagression par lInternet

Les sources de dysfonctionnement des systmes dinformation sont diverses et
varies. Elles ont le plus souvent des causes dorigine humaines :
les sauvegardes sont mal faites ou mal gres et rendent le systme sensible aux pannes, aux maladresses et aux sinistres ;
labsence dune vision globale de la scurit, traite par petits morceaux,
au cas par cas dbouche immanquablement sur un manque dorganisation (qui fait quoi dans quelle structure ?) et plus spcialement sur de
mauvaises architectures rseaux ;
le manque de consignes claires qui permettraient chacun de savoir ce
quil a faire, ce quil peut faire et ce quil na pas le droit de faire.
Mais le nouvel environnement cr par lInternet agit galement sur la scurit.
Les rseaux mettent en relation entre eux des millions dindividus aux motivations
trs diffrentes. Il convient den connatre les dangers pour se protger.
Les laboratoires sont raccords lInternet par le rseau Renater, lui-mme fdration de rseaux rgionaux gre dans la forme juridique dun GIP. Internet est le
rseau des rseaux. Il est mondial et ouvert. Il est bti sur un protocole de communication normalis (TCP/IP) et offre un ensemble de services distribus, dont
les plus connus sont WWW alias HTTP pour la consultation des serveurs web,
SMTP pour la messagerie, FTP pour le transfert de fichiers, TELNET pour laccs
interactif. Il en existe encore de nombreux autres, plusieurs dizaines Les agressions par le rseau utilisent la plupart du temps une faille de scurit dans lun de
ces services.
11
Lagression peut tre opportuniste . Lagresseur a repr (par un programme de

balayage dInternet) une possibilit de rentrer dans votre systme, il en profite.
Dans ce cas, cest loccasion qui fait le larron. Cest ce profil dagression que nous
dbusquons le plus frquemment dans nos systmes, uvre souvent de nophytes.
Une autre forme dagression est lagression cible, elle est luvre de professionnels. Un professionnel du piratage est guid par son avidit (intellectuelle, politique, religieuse, financire). Son souci, cest la discrtion, la rapidit et lefficacit. Il a lavantage de linitiative : il sait quand, o et comment porter son attaque.
Il dispose souvent dinformation sous forme lectronique (donnes). Il ne connat
pas les frontires (sauf pour sinstaller sous la protection dune lgislation laxiste).
Il sait ne pas laisser de traces ou les effacer. Cette forme dagression suit des principes prcis :
Lagresseur vous connat ou commencera par effectuer une recherche de
renseignements (caractristiques de votre systme dinformation, quipements informatiques, centres de comptence, horaire de travail, effectifs).
Il a ses propres procdures et nutilise pas forcment lune des nombreuses mthodes dattaque qui sont disponibles sur Internet.
Lattaque porte surtout sur les maillons les plus faibles de la chane de
traitement de linformation (personnel, tltraitement, maintenance).
Contre ces attaques, lingnieur systme est dans la situation dun gardien de but
qui on aurait band les yeux. Exception faite de quelques virtuoses (il y en a dans
nos laboratoires !) qui ont affich de belles prises leur tableau de chasse, ce
type dagression reste la plupart du temps indtecte.
1.3 Comment se manifeste une agression
12
Du temps o linformatique tait centralise, les menaces physiques (pntration dans des locaux informatiques sans autorisation, vol, vandalisme) reprsentaient les menaces majeures. En ces temps bnis, la protection pouvait se rsumer en quelques mesures de contrle daccs : grosses serrures, sas et gardiens
taient la panoplie usuelle. La situation est aujourdhui bien diffrente. Certes, il
y a toujours les vols de matriel, lutilisation de la console matresse pour pntrer
un systme ou le pigeage dun rseau Ethernet ou public pour le mettre sur
coute ; mais globalement, la dangerosit de ce type de menaces, dont les remdes
sont connus et prouvs, est sans commune mesure avec les agressions menes
par le rseau, qui se ralisent sans la prsence physique de lagresseur. Ces agressions par le rseau ont maintenant trs largement atteint un seuil critique et ont
ne sait pas toujours quelle parade leur opposer. Dans le palmars de cette nouvelle
dlinquance, on retrouve ple-mle :
Tout ce qui porte atteinte lintgrit du systme

Le pigeage de systmes (bombes logiques, cheval de Troie, sniffeurs) afin
de nuire au laboratoire ou de se donner les moyens de revenir plus tard.
La modification des informations afin de porter atteinte limage du
laboratoire (exemple : modification des pages web du laboratoire).
Lutilisation des ressources du site vis.
Une intrusion en vue dattaques par rebond , cest--dire quune autre
cible est vise, votre systme servant seulement de point de passage .
Le laboratoire est alors complice involontaire du piratage.
Tout ce qui porte atteinte la confidentialit des informations

La rcupration dinformations sensibles (mot de passe, articles avant
publications, donnes personnelles, etc.).
La fouille des messages, des donnes, des rpertoires, des ressources
rseaux
Lusurpation didentit.
Tout ce qui porte atteinte la disponibilit des services

La paralysie du systme (considr ensuite comme un exploit par les
pirates qui lont ralise).
La saturation dune ressource (serveur, imprimante).
Les virus et vers informatiques.
1.4 Les techniques dagression utilises

Quelques exemples des techniques dagressions par Internet, parmi les plus courantes, utilises contre nos laboratoires, illustreront mieux notre propos. Les
pirates commencent la plupart du temps par une recherche systmatique des sites
mal administrs.
La recherche de trous de scurit sur les serveurs

Tout logiciel comporte des bogues dont certains sont des trous de scurit, des
anomalies qui permettent de violer le systme sur lequel tourne le programme. Si
cest un programme dapplication rseau, ces trous peuvent tre exploits distance via Internet. Les pirates recherchent systmatiquement les sites mal administrs en procdant un balayage de lInternet avec des programmes appels
scan . Ces programmes dcouvrent distance toutes les stations du rseau local
et testent la prsence de vieilles versions des logiciels rseau sur ces stations
avec des trous de scurit connus. Les vieilles versions de sendmail , le serveur
de courriers lectroniques, sont les plus testes. Cest pourquoi, veillez bien avoir
toujours la dernire version dun logiciel (surtout pour le sendmail) et filtrez les
applications sur le routeur dentre et sur les serveurs (cf. chapitre 4.5).
13
Une fois le site mal administr repr, lexploitation des vulnrabilits est la porte de nimporte quel malfrat : on trouve sur Internet des sites proposant des programmes tout prts accompagns de toutes les explications dtailles pour pntrer les systmes en utilisant les trous de scurit connus.
Blocage des systmes ou de la liaison dentre

Des mthodes (concrtement des programmes) sont trs connues pour perturber
fortement les systmes et les rseaux et ont t trs souvent utilises ces derniers
mois pour :
Bloquer un systme (par exemple en ouvrant distance un grand nombre de
connexions ou en mettant certains messages, pings longs). Les constructeurs ont corrig ces erreurs dans les nouvelles versions de leurs systmes.
Une version rcente installe sur chaque systme constitue le remde.
Surcharger la liaison daccs lInternet dun site (jusqu la bloquer) en
envoyant des messages (echo broadcast) auxquels toutes les stations
locales rpondent engendrant ainsi un surcrot trs volumineux de trafic.
Un filtre adapt sur le routeur dentre est une bonne solution.
SPAM Relais de messagerie

Un autre type de dlit consiste utiliser le serveur de messagerie dun site pour
envoyer des messages souvent publicitaires un grand nombre de destinataires,
en cachant son identit. Ce site sert alors de relais sans avoir donn son accord
et son nom apparat dans lorigine des messages. Cette attaque bloque la messagerie du site utilis son insu (surcharge des files dattente dans le serveur), nuit
limage du laboratoire (cela engendre des centaines de messages de protestation
des victimes de ces publicits) et peut engager la responsabilit du laboratoire.
Cette utilisation dtourne est en trs forte hausse ces derniers temps. Peut-tre ce
succs est-il d sa facilit de mise en uvre et lanonymat quelle assure
(cf. http://www.isoc.asso.fr/AUTRANS98/at-abus.htm).
Pour se protger contre ce type de malveillance, il faut avoir un seul serveur de
messagerie par laboratoire, bien administr, avec une version du logiciel serveur
(sendmail) rcente o la fonction relay est invalide.
14
Intrusion dans un systme

Pour prendre le contrle dun systme, les agresseurs doivent commencer par sy
introduire. Il faut donc que quelquun (ou quelque chose) leur ouvre une porte :
un identificateur (login/passwd) a t prt ou rcupr (vol de
mot de passe) ;
un compte a t laiss labandon (sans mot de passe par exemple) ;
une application rseaux installe a t mal matrise (configuration mauvaise ou trop ouverte) ;
une ancienne version dun logiciel dont les failles de scurit ont t
publies est encore en service sur une machine ;
un logiciel install en mode debug , dont on oublie trop quil ouvre

bant un trou de scurit ;
un utilisateur interne a aid volontairement lagresseur.
Un systme qui a t pntr on dira que le systme est compromis ou
viol nest plus fiable : il faut le rinstaller ainsi que tous les systmes du
mme partitionnement rseau. Lintrusion dans un sous-rseau complet ou dans
un systme, est mre de toutes les malveillances . Elle constitue la menace principale. Le milieu de la recherche y est extrmement vulnrable.
Il nest pas question, dans le cadre de ce guide, de rentrer dans les dtails des
diverses techniques dintrusion, mais penchons-nous quelques instants sur celle
qui reste, dans le palmars des diverses techniques tabli par Renater, lincident le
plus recens : le vol de mot de passe.
La plupart des pirates informatiques sont loin dtre les petits gnies dcrits par
une littrature complaisante. Leurs mthodes sont classiques. La plus utilise commence par la rcupration dun couple login-password leur permettant de se
connecter au systme comme simple utilisateur. Ce premier pas franchi, le reste
nest souvent plus que jeu denfant ! Il y a sur lInternet tout ce quil faut, programmes, modes demploi dtaills, description des mthodes, etc., pour lui permettre, une fois un compte utilisateur vol, dacqurir les droits de ladministrateur (root, super utilisateur) en quelques minutes !
Quelles sont les mthodes utilises pour dcouvrir un couple nom mot de
passe ?
La premire et la plus banale est la recherche des comptes sans mots de

passe (guests, visitors) qui sont installs par dfaut sur certaines
machines. Des programmes de balayage automatique de sites (les scans)
permettent de trouver ces comptes.
Des mthodes opportunistes dans lesquelles lagresseur cherche tirer

profit dune circonstance favorable :
Le mot de passe a t prt.
Le mot de passe a t trouv (par hasard ou non) sur un autocollant
sous le clavier, dans le tiroir dun bureau, dans un agenda, ou bien
repr la drobe au moment de la frappe.
Le mot de passe a pu tre devin grce aux informations recueillies sur
un utilisateur.
Des mthodes systmatiques dans lesquelles lagresseur commence par

la rcupration du fichier des mots de passe chiffrs qui par dfaut est
accessible tous sur les machines Unix. Une fois ce vol accompli, le
pirate a tout son temps pour rechercher sur son PC, tranquillement chez
lui, les mots de passe faibles du fichier. Avec CRACK, le programme bien
15
connu des initis, un mot de passe tir dun dictionnaire (il y en a de

toutes sortes quon peut tlcharger partir de lInternet en diffrentes
langues et sur diffrents thmes), ou dune composition proche dun mot
du dictionnaire, ne rsiste pas trs longtemps.
La scurit commence donc par des mesures de prcautions lmentaires pour
limiter toute usurpation didentit dun utilisateur connu du systme :
Il faut avoir une procdure de rception des machines qui inclut la suppression des comptes sans mot de passe.
Il faut sensibiliser les utilisateurs pour quils adoptent des bons mots de
passe et quils les gardent secrets
(cf. http://www.urec.cnrs.fr/securite/docs/92.07.mot.de.passe.txt).
Ladministrateur doit mettre en uvre des fonctionnalits du systme :
pour cacher le fichier des mots de passe chiffrs (shadow password) et
pour limiter la validit dun mot de passe. Il doit tester la robustesse des
mots de passe avec le logiciel CRACK (celui-l mme quutilisent les
pirates).
coute du rseau Ethernet

Un rseau Ethernet est fondamentalement un rseau diffusion ; toute information qui circule sur ce rseau peut tre capte par toutes les stations du rseau
(mme celles qui ne sont pas destinataires des messages). On peut donc espionner un rseau Ethernet. Un sniffeur est un programme install sur une machine
pour couter le rseau et collecter tous les couples login/password qui transitent en clair sur lEthernet local. Ce programme peut tre install distance, et
on le retrouve dans presque tous les cas dintrusion.
16
Quelques recommandations pour limiter ce problme dcoute :

Quand vous tes en dplacement , vous ne pouvez jamais tre sr
quun sniffeur nest pas install sur le rseau sur lequel vous travaillez.
Cest pourquoi, si vous devez vous connecter votre laboratoire lors
dune invitation ltranger, utilisez plutt un mot de passe provisoire ou
un compte particulier.
Quand vous tes prvenu dune intrusion, demandez que soit vrifi
rapidement si un sniffeur na pas t install. Si cest le cas, il est indispensable de changer tous les mots de passe, sur toutes les stations. Sans
cette prcaution, vous pouvez tre certain que l alien y est toujours, et
quaprs stre fait oublier pendant quelques semaines, il rapparatra !
Le directeur doit intervenir pour faire comprendre chacun cette
mesure.
On peut limiter la diffusion dun rseau Ethernet (et ainsi rduire
lcoute possible) en utilisant des commutateurs, des routeurs, des
concentrateurs (hubs) scuriss. Cela fait partie dune bonne architecture
de rseau.
La charte utilisateur est loccasion de sensibiliser les personnels du laboratoire sur le caractre dlictueux de ce comportement et de diminuer
ainsi la menace interne .
Attaques des services rseau

Les serveurs web ou FTP anonyme ou de messagerie peuvent tre facilement attaqus sils sont mal configurs ou mal administrs. Cette vulnrabilit, mais aussi
la ncessit de contrler la diffusion dinformations faite par le laboratoire, rendent imprative la matrise de tous les serveurs rseau. Il ne faut pas tolrer que
des utilisateurs aux vellits individualistes installent des serveurs sauvages . Ils
sont toujours mal administrs, donc vulnrables et mettent la scurit de lensemble du rseau en pril. La charte et un rseau structur sont les bons moyens
darriver faire comprendre et appliquer cette rgle.
Comportements dlictueux de certains utilisateurs de nos laboratoires

Certains utilisateurs ont des comportements inadmissibles qui doivent tre corrigs ou sanctionns :
changes de mots de passe (fichiers de mots de passe) ou dinformations
sur les failles ventuelles dun site (entre tudiants de diffrents tablissements).
Envoi de message caractre injurieux, raciste, pdophile, etc. ou mise
disposition (par des liens vers des URL indsirables) de ceux-ci sur des
serveurs ftp ou web du laboratoire.
Rcupration (stockage et [re]diffusion) de logiciels connus pour tre
pirats (sur sites warez*), de contenus protgs par un droit dauteur et
dupliqus, ou de tous autres contenus rprhensibles au vu de la loi.
Ces comportements dlictueux doivent tre sanctionns avec la plus grande dtermination.
17
* Un site warez est gnralement un FTP-anonyme, ouvert en criture, squatt par des pirates
qui y ont cr une arborescence cache pour y dposer des binaires illicites (textes, photos, programmes pirats,), afin de pouvoir les changer anonymement dans des forums de discussions. Le laboratoire est ainsi compromis dans des trafics qui sont parfois extrmement graves !
2
Le rle du management
dans la scurit
La dtermination et la supervision de la politique de scurit sont des
fonctions de direction. Rien de valable ne peut se faire sans le directeur :
encore faut-il quil en connaisse tous les enjeux. Largument la scurit,
cest le problme dun administrateur systme nest-il pas une forme de
dmission ? Nest-ce pas avouer quon cherche des solutions techniques
des problmes qui sont dabord organisationnels ? Certes, avec davantage
de moyens, nous ferions plus et mieux. Certains laboratoires en savent
quelque chose ! Cependant, un moment ou un autre, il faut bien faire
avec ce quon a le mieux possible. Cet autre argument, la scurit, a
cote trop cher , nest-il pas lexcuse facile au laxisme ?
19
2.1 quoi sert la scurit ?

Nous avons mentionn au dbut du chapitre prcdent les causes diverses de dysfonctionnement dun systme dinformation en prcisant que le plus souvent elles
taient dorigines accidentelles ou avaient pour cause des dfaillances techniques ou
humaines. La SSI comporte donc une composante sret de fonctionnement dont
lobjectif est dagir sur les causes de ces dysfonctionnements et den rduire les
consquences. Mais nous avons vu que les menaces nouvelles, plus particulirement
celles lies lInternet, nous obligent nous prmunir sur un autre plan : celui de la
protection contre la criminalit informatique . Cest une proccupation qui va
croissante. Les statistiques sont parlantes. Elles montrent que la dlinquance informatique est en forte hausse. Aux tats-Unis (source : Ernst & Young), 42 % des sites
informatiques ont signal des attaques en 1997, contre moins de 16 % lanne prcdente. Cette hausse signifie probablement aussi, une meilleure prise en compte de
la scurit (les sites signalent des piratages quils ne voyaient pas auparavant). On
remarque galement une hausse significative de lespionnage industriel : 38 % des
attaques contre 6 % lanne prcdente. Dautres tudes, ralises partir de simulations, ont montr que plus de 80 % des attaques ne sont pas dtectes. Ces rsultats sont significatifs de leffort qui reste accomplir en matire de scurit.
En France, dans notre organisme en particulier, les statistiques fiables sur la dlinquance informatique sont rares. Cette carence prsente incontestablement un
avantage, celui de masquer les problmes et donc de permettre de les ignorer. Malheureusement, elle prsente aussi linconvnient de laisser supposer que la situation nest pas plus brillante quailleurs. En particulier, pouvons-nous lgitimement
supposer que notre milieu universitaire est mieux loti ?
Mieux quun long dveloppement thorique ou incantatoire, quelques anecdotes,
tires dhistoires vcues dans les laboratoires, feront comprendre la diversit des
problmes rencontrs.
Prter, cest donner !
20
Dans ce laboratoire, un gros effort avait t fait pour faciliter la connexion aux systmes informatiques partir de lextrieur. Les chercheurs peuvent se connecter
de chez eux sur leur station et travailler comme sils taient leur bureau. Cest
pratique, dautant que, en se faisant rappeler par le modem du labo, cela ne leur
cote que le prix dune communication locale. La tentation est grande, cependant,
de confier la famille les mots de passe, et donc laccs aux moyens informatiques de cet important laboratoire. Pour le gamin lycen, cest loccasion de naviguer sur le web dans des conditions idales et sans que les parents se fchent la
rception des factures tlphoniques. Mais, trs rapidement, les joies de la navigation sur le web saffadissent, et, apprenant plutt vite, le bambin passe dautres
activits beaucoup moins innocentes. Le laboratoire travaille dans des domaines
qui intressent apparemment beaucoup de monde, car lenfant se fait contacter
par un groupe de pirates internationaux pour changer des informations .
Le rle du management dans la scurit
Laffaire est grave car elle touche la scurit de ltat. Que risque le gamin ? Le
pre est-il complice sans le savoir ? Quelle est la responsabilit du laboratoire ?
Receleur malgr soi !

Les sites warez, vous connaissez ? Il sagit de sites sur lesquels des pirates internationaux dposent travers lInternet, linsu de ladministrateur du systme, des
logiciels pirats, des images pornographiques souvent pdophiles, des documents rvisionnistes, etc. Les FTP anonymes en criture libre (souvent le rpertoire incoming ) mal grs sont lune des cibles les plus frquentes. Les sites
warez servent de bourses dchange entre pirates. Les victimes (de nombreux laboratoires CNRS en sont) sont ainsi transformes leur insu en receleurs ou distributeurs de logiciels pirats, de photos pdophiles ou de textes rvisionnistes. Ces
dlits peuvent se poursuivre pendant de longs mois avant que quelquun commence se douter de quelque chose Cest souvent pendant le week-end que les
pirates mettent en place leur dispositif : le site warez est ouvert le vendredi soir
vers minuit et referm le lundi tt dans la matine. Tout le week-end, il a fonctionn plein rgime, mais le lundi matin, tout est redevenu calme . Une affaire
grave a, il y a quelque temps, touch un grand laboratoire. Le soir du dpart en
vacances de Nol de lingnieur systme, 700 Mo de photos pdophiles sont tlchargs dans le FTP anonyme du laboratoire. Elles vont y rester pendant les dix
jours des vacances. Paralllement, sur de nombreuses listes de diffusion, dans les
forums de discussion, apparat linformation : Si vous tes intress par des photos hard-sex , allez sur . Pendant ces dix jours, le FTP du laboratoire a eu de
trs nombreux visiteurs la fin des vacances, les enregistrements journaliers de
lactivit du site contenant les noms et les adresses de tous ceux qui ont extrait des
photos pdophiles ont t rcuprs par les pirates. Quel tait leur but ? Se constituer un carnet de contacts intressants ? Rechercher des noms de personnalits pour, ventuellement, exercer un chantage ? Compromettre le laboratoire ?
Dtournement de sites
Un serveur web, quand il est administr par des personnes aux intentions malveillantes, peut servir pirater les systmes clients qui utilisent des navigateurs
mal configurs. Cest la raison pour laquelle il faut tre trs prudent quand vous
autorisez lexcution dapplet Java, dactiveX ou mme simplement quon vous
demande de remplir un formulaire. Vous serez dautant plus prudent que le site
que vous visitez ne prsente pas de garanties dintgrit suffisantes. Mais
lorsque le serveur est celui dune honorable institution (comme un laboratoire),
vous avez toute confiance et vous avez bien raison. Mais parfois Nombreux sont
les serveurs web qui se font pirater et sur lequel on retrouve des sniffeurs (dispositif permettant dcouter les mots de passe). Pour installer un sniffeur sur
une machine, il faut avoir les privilges du super administrateur. Cela signifie que,
outre que le pirate rcupre tous les couples login/password qui circulent en clair
(cas standard) sur le rseau, il a pris le contrle total de votre machine serveur et
quil pourra faire subir vos clients tous les derniers outrages la mode .
Quelle est votre responsabilit juridique si la victime porte plainte ? Dans tous les
21
cas de figure, quelle est votre responsabilit morale, si vous navez pas pris toutes
les mesures ncessaires pour prvenir ce type de dlit ?
Histoire dun courrier trop bien diffus

Le courrier lectronique, cest facile, ce nest pas cher et a peut coter gros. Un
cas rcent le prouve une fois encore. La scne se droule dans un laboratoire o
campent de lourds conflits de personnes, malgr laction nergique de son directeur qui essaye de reconstituer une dynamique dquipe. Ce faisant, il est entirement dans son rle, mais il sattire ainsi des rancurs pugnaces. Certains nont pas
hsit espionner son courrier lectronique et diffuser pour information , aux
personnes concernes , des changes de courriers confidentiels. But recherch :
pourrir latmosphre du laboratoire. Objectif atteint ! Mais ces personnes qui se
sont laisses entraner par la dynamique de leur rancur, savent-elles quelles ont
commis un dlit grave puni de trois ans de prison et 300 000 F damende
(Art. 311-1 du nouveau code pnal) ? Si elles ont agi en groupe, la peine est encore
aggrave au motif dassociation de malfaiteurs (cinq ans et 500 kF) ! Que peut
faire un directeur dans cette situation ? Comment peut-il la prvenir ?
Combien a cote ?
Le CNRS traite tous les ans plusieurs dizaines daffaires de piratage ayant entran
des dommages graves. Les cas courants sont ceux relatifs aux vols de rsultats de
recherche dbouchant sur des produits industriels. Il est difficile de chiffrer le
prjudice global par manque de remonte dinformations , mais tout laisse supposer quil est considrable Un laboratoire constate des incursions de pirates sur
une machine sensible, souponne une entreprise aux murs lgres , et,
quelques jours aprs, retrouve dans la presse lannonce dun accord entre un grand
diteur de logiciel et lentreprise en question sur la cession dun produit trs
proche du leur. Montant de la transaction : 39 M$. Cette intrusion a cot cher en
manque gagner ! Quant vous, comment auriez-vous ragi ? Peut-on se faire
aider ou conseiller ? Ne faut-il pas mieux garder pour soi lincident ?
La confiance oui, mais pas nimporte quel prix !

22
De trs nombreuses fois, lorsquune machine a t pntre dans un laboratoire,

on retrouve, dpos par le pirate dans cette machine, un sniffeur. Ce programme
qui tourne en permanence, coute toutes les donnes qui transitent sur le rseau
et en extrait les triplets nom/mot de passe/machine. Cette coute inclut les
connexions locales de machines machines, mais aussi les connexions depuis ou
vers lextrieur qui ont transit par le rseau. Le pirate peut ensuite utiliser ces
donnes pour pntrer les machines distantes dun autre site.
Une cole dingnieur se fait attaquer par des pirates, les dgts sont normes :
rinstallation du systme sur les machines pouvant avoir t compromises (en fait,
la plupart des machines), plusieurs mois de surveillance soutenue, des donnes
importantes perdues, etc. Lcole en question tait bien protge, la scurit srieusement prise en compte, le personnel comptent et bien form, mais le pirate est
pass par un chemin dtourn pour attaquer sa cible : il sest servi dun laboratoire
laxiste comme rebond. Ce sont donc des collgues, par leur inconscience, qui
ont ouvert les portes aux malfrats. Pourquoi investir dans la scurit si des collgues moins rigoureux peuvent tout faire chouer ? Ne faut-il pas plutt refuser
les demandes de connexions venant de sites risque ?
Ce que sauvegarder veut dire

Un brillant tudiant arrivait la fin de sa thse : trois ans dun dur et passionnant
travail ; des jours, des soires, des week-ends passs en tte tte avec son ordinateur. La rdaction tait enfin termine, il ne restait plus que quelques corrections de principe. Tout tait sur le disque dur : les six chapitres, les annexes, les
programmes, les calculs et les rsultats soigneusement classs. Mais aussi tous les
courriers lectroniques : les avis critiques, les commentaires, les encouragements,
les contacts pour un post-doc et les recommandations. Trs prudent, il faisait ses
sauvegardes soigneusement quil rangeait mticuleusement dans un tiroir de son
bureau ferm cl. Et pourtant Un matin, quand il est arriv son laboratoire,
on avait vol son ordinateur et forc les tiroirs de son bureau pour voler les bandes
de sauvegarde. La catastrophe, tout avait disparu !
Encore une mauvaise fiction ? Erreur ! Mme si elle ne se termine pas toujours
dune manire aussi dramatique, cette histoire avec de nombreuses variantes
arrive plusieurs fois par an. Le destin naturel dun disque dur est de tomber en
panne. Ce nest quune question de temps Circonstance aggravante, il tombe en
panne toujours quand on sen sert, cest--dire quand on en a besoin ! Faire des
sauvegardes est donc une prcaution lmentaire. lmentaire mais insuffisante,
comme le montre lhistoire de cet tudiant. Dans combien de laboratoires, les
micro-ordinateurs des secrtariats, sur lesquels il y a parfois toute la comptabilit
ou dautres informations tout aussi vitales, sont-ils sauvegards correctement ?
2.2 Vulnrabilit et insouciance des laboratoires

Combien cote la scurit ?
On dit souvent la scurit, a cote cher , mais on oublie que labsence de scurit cote plus cher encore. Ces quelques anecdotes le montrent amplement ! Tout
lart de la gestion du risque est de trouver le juste compromis entre ce que a
cote et ce que a rapporte . La SSI nest donc pas une recherche mythique
du risque zro , mais plutt la recherche de lorganisation offrant la meilleure
efficacit. Le bon niveau de scurit, cest celui au-del duquel tout effort supplmentaire a un cot plus important que les avantages quon peut en attendre. Le
cot de la prvention est donc mettre en relation avec celui dun ventuel incident de scurit. Cette valuation ncessite une claire conscience des dommages
que peuvent causer les malveillances informatiques et des avantages quon retire
dune organisation adapte.
23
Le retour sur investissement dune politique de prvention est dabord financier. Il svalue en dommages directs vits : pertes de donnes, de proprits intellectuelles, de savoir-faire, dinformations
Ces dommages sont souvent cits car leurs cots sont visibles ; mais il ne faut pas
oublier le cot en organisation des malveillances informatiques. Elles sexpriment par exemple en pertes de capacit et de productivit :
indisponibilit des machines gnrant des pertes de temps (une intrusion peut coter une coupure des services de plusieurs jours) ;
immobilisation du personnel pour rparer ou pour attendre le retour
une situation normale (une intrusion cote un quasi temps complet dingnieur systme pendant prs dune semaine et un travail supplmentaire dobservation de lactivit pendant plusieurs mois).
Cest aussi une altration de limage du laboratoire et, par contrecoup, de la
confiance de partenaires industriels ou de collaborations de recherche, surtout si
elles sont internationales. Les pertes dimage peuvent provoquer des ruptures de
contrat, des pertes de crdit ou la mise en place, par les partenaires inquiets ,
de procdures plus contraignantes de connexion sur leur site (dgradation de souplesse organisationnelle).
Sur lInternet on voit aussi apparatre des black list, liste des domaines avec lesquels
il est risqu dchanger du courrier lectronique, des rseaux avec lesquels on ne doit
plus communiquer. Un laboratoire peut tre inclus dans ces listes noires par dnonciation, si un de ses utilisateurs a mis trop de courriers publicitaires par exemple,
ou si ses quipements sont mal configurs (comme le serveur de messagerie o la
fonction relais nest pas invalide) et peuvent servir de tremplin des pirates. Ds
lors, ce laboratoire aura des difficults de communication avec certains sites.
Ces pertes, souvent sous-estimes, parfois mme ignores, sont considrables
prises globalement.
A contrario, une bonne politique de scurit permet damliorer lorganisation, la
recherche et les services. Le retour sur investissement svalue alors comme le
prix quon est prt payer pour atteindre cet tat.
24
Nos 100 millions damis

Nous sommes actuellement 100 millions dinternautes dans le monde : tous des
amis ? Beaucoup de choses ont chang depuis louverture dInternet au grand
public , et cest un euphmisme de dire que la grande fraternit des habitus
du rseau nest pas toujours bien respecte. Cest cette volution que nous navons
pas vu venir et qui nous dpasse encore trs largement. Nous continuons agir
avec les rgles qui taient celles du temps o lInternet tait exclusivement le
domaine de lenseignement et de la recherche. Pourquoi des pirates sen prendraient-ils nos laboratoires ? Qui sont-ils ? O voudraient-ils en venir ? Quels
risques courrons-nous ?
Depuis quelque temps, les actes dlictueux sont en forte augmentation et nous
nen dtectons qu peine 10 % ! Ceux que nous reprons le plus facilement sont
perptrs par des pirates suffisamment maladroits pour laisser des traces flagrantes. Ils sont luvre de non-spcialistes aux mobiles varis qui tentent leur
chance partir de recettes connues et publies sur Internet.
Figure 1 : Le Figaro 20/03/98
On retrouve parmi ceux-ci :

le mobile ludique : cest celui des nophytes quon repre le plus frquemment. Il aboutit parfois des actes de malveillance, comme la destruction de donnes, pour tenter deffacer les traces de lintrusion ;
le mobile de pure malveillance : la destruction des donnes est le but
fix. Cela peut tre luvre dun collgue irascible ou jaloux, ou lacte
purement gratuit dun malade qui cherche simplement nuire (en hausse).
Les autres mobiles de la dlinquance sont la recherche dinformations dans un but
mercantile ou de concurrence et le piratage pour exploiter des ressources ou pour
compromettre une machine (activit semble-t-il, en trs forte hausse). Elles
naboutissent pas, sauf maladresse de lintrus, la destruction des donnes.
Dautres types de piratage (les services spciaux trangers, les mafias, certains
industriels) laissent peu de traces visibles car ils sont luvre de professionnels.
Le monde des rseaux a donc bien chang depuis quelques annes et le gentleman pirate vant par certains mdias complaisants nest quun mythe destin
endormir notre mfiance. Nous devons nous protger !
Le devoir de se protger
Le besoin de scurit augmente avec le rle de plus en plus essentiel des systmes
dinformation. Pourtant leur vulnrabilit va croissant et volue de pair avec leur
25
complexit. Plus notre dpendance est grande vis--vis de ces systmes, plus ils
sont devenus fragiles :
la technique avance plus vite que la scurit ;
la diversification des domaines dapplication aboutit une complexit
accrue ;
le savoir-faire et les moyens techniques se gnralisent ;
les mafias tentent dorganiser dans lInternet des zones de non-droit .
Face ces dfis, il y a de grandes faiblesses : la mconnaissance des protections
existantes, les comportements moutonniers, les effets de modes Dans un pass
encore proche, la menace principale contre les systmes dinformation tait de
nature physique. Aujourdhui, avec laugmentation des interconnexions, cest une
menace virtuelle et omniprsente laquelle nous devons nous opposer.
Le rseau est notre outil de travail commun. Il est devenu indispensable une
recherche de qualit. Il ne dpend que de nous quil ne soit pas facile de porter
atteinte sa fiabilit, ses performances, lintgrit et laccessibilit des informations transportes. Il ne dpend que de nous de refuser une dgradation de cet
outil, notre outil, afin quil reste au service dune bonne recherche et que nous ne
soyons pas montrs du doigt par nos partenaires. La scurit est ainsi un devoir
collectif. Il revient chacun de nous de se protger pour ne pas mettre en danger
la scurit de tous.
Dans cet effort, les responsables, de tous niveaux, ont un rle particulier jouer.
2.3 La scurit est une fonction de management

Un problme de gnralistes
qui agissent avec le soutien du directeur
26
La scurit des systmes dinformation est une discipline transversale qui recouvre
des aspects trs varis. Elle est donc de la responsabilit de gnralistes qui ont
su acqurir plusieurs spcialits adaptes concrtement linstallation dont ils ont
la responsabilit. Ces gnralistes spcialiss ne peuvent mener bien leur mission quavec le soutien sans faille de leur directeur. Le directeur doit tre inform
des risques et des vulnrabilits de son systme dinformation ; il doit tre
conscient des enjeux pour quil puisse, avec laide de ces hommes de lart , dfinir la politique de scurit du laboratoire et la faire appliquer.
Or quobservons-nous dans notre organisme ? Peu de responsables, quel que soit
leur niveau, savent si leur site a dj t attaqu, si des donnes les leurs peut-tre
ont t voles. Cest un signe (qui ne trompe pas) de limportance quils accordent
aux problmes de scurit. Mais comment peuvent-ils, dans ces conditions, dsigner
les menaces, mobiliser leur personnel, faire accepter lensemble des acteurs la mise
en place dune politique de prvention et demander den vrifier lefficacit ? Faut-il
quils attendent dtre confronts des situations pires encore que celles que nous
venons de dcrire pour quils prennent la juste mesure des enjeux ?
Cest le directeur qui dcide !

Certains directeurs croient que ce nest pas dans leur rle de connatre leur systme
dinformation ou les risques qui psent sur lui, pourvu que a marche . Quils
sachent que dautres verront ce quils ne veulent pas voir : ils prendront leur temps,
mais ils le verront et sauront en profiter ! Quils sachent aussi que personne dautre
queux ne peut prendre les dcisions dorganisation quimplique la scurit .
Lorganisation est au service dun objectif global. Les choix dorganisation exigent
donc une intelligence densemble. Le systme dinformation est lpine dorsale de
lorganisation, il est son service, mais en mme temps il la structure. Organisation et systme dinformation sont en troite interdpendance. Faire des choix sur
les structures, cest placer les acteurs dans le systme dinformation. Inversement,
agir sur le systme dinformation, cest modifier, de fait, lorganisation.
La dfinition dune politique de scurit nimplique pas seulement des choix dorganisation, mais aussi de stratgie et de mobilisation du personnel. Il faut mettre
en place des structures, distribuer des rles (qui fait quoi ? ) et fixer des objectifs. Il faut faire des arbitrages budgtaires, choisir le niveau du risque rsiduel,
juste compromis entre les vulnrabilits acceptes et les moyens quon est prt
mettre pour les rduire. Est-ce la tche du gnraliste spcialis dont nous
avons parl plus haut ? Non, car il na ni les perspectives globales, ni lautorit
ncessaire pour le faire. La dfinition de la politique de scurit nest pas un problme seulement technique, le rle de lhomme de lart est en aval : appliquer
la politique qui a t dfinie, avec son conseil, par le directeur.
La scurit des systmes dinformation est donc une fonction de direction, les
aspects techniques ne venant quen second lieu. Sans limplication personnelle du
directeur, la scurit va vau-leau. Elle nest plus alors, suivant les cas, quun discours incantatoire, une somme de vux pieux rpondant des besoins hypothtiques ou une fuite en avant dans la recherche de solutions techniques des problmes de management.
Cest une dmarche qualit globale

La scurit est une partie de la sret de fonctionnement et rciproquement, suivant le point de vue que lon adopte. Il faut laborder avec les mmes mthodes.
Par exemple, un systme qui a t mal conu (ou mont au fil de leau ) ne fonctionnera pas bien ; il ne rpondra pas correctement aux besoins et comportera des
failles de scurit plus ou moins bantes. Les problmes de scurit dgraderont
davantage les conditions de fonctionnement qui agiront nouveau sur la scurit et ainsi de suite. Un systme dinformation qui na pas t correctement
conu est impossible scuriser proprement. Une approche mthodologique doit
donc tre adopte ds la phase de conception.
Cette ncessit dune approche mthodologique rejoint un autre impratif, la
dmarche qualit , rendue ncessaire par le caractre collectif de la recherche
qui fait travailler ensemble des milliers de personnes, bien au-del du laboratoire.
La recherche nest pas (la-t-elle jamais t ?) une entreprise solitaire et individua-
27
liste. Elle participe et dpend de la transmission des connaissances et des savoirfaire travers les gnrations et par-del les frontires.
La norme AFNOR NF X50120 dfinit la qualit comme laptitude dun produit
ou dun service satisfaire les besoins des utilisateurs . Cette conception
exige non seulement une claire conscience de ces besoins, mais galement une
mtrologie permettant dapprcier le comportement du produit ou du service et
de vrifier quil est conforme ses spcifications. Cest ce quon appelle le processus de contrle de la qualit . Il intervient de plus en plus en amont du cycle
de vie des produits et services, ce qui impose une mthodologie dans leur
conception et leur valuation (mthodes formelles).
Le contrle et lvaluation de la qualit dun systme au sein dune organisation
partent de ces principes et ont donn lieu des techniques spcifiques :
laboration de la politique de scurit (rglement intrieur, chartes, dfinition des objectifs, utilisation des ressources) ;
laboration du schma directeur ;
matrise de mthodes, techniques et outils utiliss pour la ralisation de
projets (conduite de projet, AGL, gestion des configurations) ;
matrise des procdures dexploitation ;
etc.
La qualit des systmes dinformation participe de la qualit globale du processus de recherche, au sens de la norme ISO 9000. Cette norme simposera bientt tous. Ainsi est-il prvoir, dans un avenir imminent, quelle intgrera rglementairement des contraintes de scurit. On voit dj merger outre-Atlantique
lexigence dune certification un niveau de scurit donn, comme pr-requis
toute collaboration, surtout lorsquil faut interconnecter des systmes entre partenaires. Cette tendance se dessine trs clairement dans les milieux de la recherche
nord-amricaine. Cest le cas, entre autres, du Stanford Linear Accelerator Center .
28
3
Sur quelles organisations
sappuyer ?
Qui, au CNRS, soccupe de scurit ? Que font-ils ? Quelle aide puis-je en
attendre ? Au-del de notre organisme, quelles sont les structures qui
soccupent de scurit ? Ces questions ne sont pas sans intrt car elles
montrent quil y a une relle mobilisation, dabord dans notre organisme,
mais aussi lchelle de ltat, pour prendre en considration la scurit
des systmes dinformation.
29
3.1 La scurit dans lorganisation gouvernementale
PREMIER MINISTRE
Secrtariat gnral
de la Dfense nationale
MINISTRES
SCSSI
Service central de la scurit
Ministre
de lIntrieur
Autres ministres
CESSSI
Centre dtudes suprieures
de la scurit des systmes
dinformation
Direction gnrale de la
Police nationale
Haut fonctionnaire
de Dfense
Surveillance
du Territoire
Police judiciaire
SEFTI
Fonctionnaire
de Dfense
Figure 2
3.2 Protection du patrimoine scientifique

et technologique au CNRS
Le Fonctionnaire de Dfense du CNRS
30
La recherche publique franaise doit se nourrir dchanges avec lensemble de la

communaut scientifique internationale, mais elle doit simultanment protger
son patrimoine scientifique et technologique pour que la communaut nationale
en soit le premier bnficiaire.
Cest pourquoi, auprs du Directeur Gnral du CNRS comme auprs de tous les
tablissements publics scientifiques et techniques, se trouve un Fonctionnaire de
Dfense , charg de veiller qu loccasion de cooprations internationales, de
contrats, de missions hors de France ou daccueils de chercheurs trangers, ne se
crent les conditions de transferts inopportuns de savoir, de savoir-faire ou de
technologies.
Le patrimoine scientifique et technologique sensible

lorigine, et dans un contexte mondial de guerre froide, les prcautions prendre
concernaient principalement les domaines scientifiques susceptibles de dbou-
Sur quelles organisations sappuyer ?
cher sur des applications militaires et, plus particulirement, sur la technologie
des armes de destruction massive et de leurs vecteurs. Depuis dix ans, la menace
dune agression arme majeure contre le territoire national stant dilue au
rythme o se mondialisaient les changes, notre vigilance doit surtout sexercer
lgard des pays, potentiellement instables, qui cherchent se doter darmements
nuclaires, biologiques et chimiques, ainsi qu lgard de ceux qui les aideraient
dans leur entreprise.
Figure 3 : Le Figaro 10/04/98
Par les temps qui courent, cest sur le terrain de lconomie et de la matrise des
rseaux dinformation que laffrontement international devient le plus proccupant. Les services de renseignement ont suivi cette volution pour consacrer
dsormais 60 % de leurs activits la recherche de linformation scientifique, conomique et technologique. Paralllement lapparition du concept dintelligence
conomique se sont cres des entreprises prives, spcialises dans le recueil, le
traitement et la diffusion commerciale de telles informations.
Le patrimoine scientifique et technologique sensible dun laboratoire est donc
tout ce qui ne doit pas tre mis la libre disposition de tout un chacun, que ce
soit pour des raisons stratgiques, conomiques, voire dans le souci lgitime de
protger la confidentialit dinformations nominatives.
31
Les vulnrabilits des laboratoires

Les mthodes traditionnelles de recueil (cooprations internationales, envoi de
stagiaires et de visiteurs, photos et photocopies, vol de documents ou dchantillons) gardent leur attrait et nous imposent de rester vigilants lorsque la relation
entre le projet de recherche et la nationalit du partenaire prsente une sensibilit particulire. Cest la raison pour laquelle un contrle pralable est effectu
sur les demandes de stages de chercheurs trangers et sur les projets de coopration internationale.
Il est pourtant une manire bien plus discrte, rapide et efficace de sapproprier
de linformation scientifique. Pourquoi se dplacer sur des milliers de kilomtres
lorsque lon peut, par les rseaux, pntrer sur le systme informatique dun
laboratoire et aller scruter la machine dun chercheur particulier pour y consulter
tout ce quil pense ingnument y avoir mis labri. Si lenvironnement des laboratoires de recherche publique (ouverture sur le monde, multiplicit des tutelles,
nombreux utilisateurs non-permanents) les rend particulirement vulnrables
aux attaques venues de lextrieur, il ne faut pas pour autant baisser les bras.
3.3 Lorganisation de la SSI au CNRS

Le CNRS a pris conscience progressivement des enjeux : cest pourquoi il a mis en
place des structures et dsign des responsables. Ces moyens sont mis en uvre
sur les trois niveaux traditionnels de notre organisme :
Au niveau central
32
Au niveau central existent une structure fonctionnelle et une structure oprationnelle. La structure fonctionnelle est constitue par le service du Fonctionnaire de
Dfense aid de ses deux chargs de mission : un charg de mission la scurit
des systmes dinformation, Robert Longeon ; un charg de mission pour la scurit des rseaux ( mi-temps), Jean-Luc Archimbaud. Le Fonctionnaire de Dfense
participe aux travaux des instances charges dorienter la politique de ltablissement en matire de systmes dinformation.
La structure oprationnelle est constitue au sein de lUREC (Unit Rseaux du
CNRS) dune petite quipe anime par Jean-Luc Archimbaud, aid de Nicole
Dausque.
Au niveau rgional
Au niveau rgional a t mis en place un rseau de correspondants de scurit
informatique rgionaux, en liaison troite avec les correspondants scurit des
laboratoires. Ils ont t nomms sur la base du volontariat pour assumer, en plus
de leurs tches de service, un rle de relais pour la diffusion de linformation et
dalarme en cas de problmes, et organisent les formations scurit dans leur
rgion.
Sur quelles organisations sappuyer ?
Au niveau des laboratoires

Au niveau du terrain , le directeur de lunit est responsable de la scurit des
moyens dinformation de son unit. Il dtermine la politique de scurit de son
laboratoire et les mesures tenir en cas dincidents. Il peut dsigner parmi ses collaborateurs un agent charg de la scurit des systmes dinformation (ce quont
fait les units dune certaine taille) qui est alors correspondant scurit du laboratoire. Les directeurs suivent, leur prise de fonction, une formation qui comprend un module sur la protection du patrimoine scientifique.
Ces structures collaborent troitement avec le CERT (Computer Emergency Response
Team) Renater, cellule qui assure la coordination entre les membres de Renater et
la liaison avec les rseaux trangers dans la diffusion dinformation, les alarmes, la
recherche de lorigine des attaques et les mesures de prventions.
3.4 Les actions scurit au CNRS

Plusieurs actions ont t menes et se poursuivent pour aider les laboratoires
CNRS amliorer leur scurit.
La diffusion dinformations et de recommandations

La diffusion dinformations et de recommandations a t faite de manire varie.
Citons pour mmoire :
Le bulletin Scurit informatique, bimestriel trs largement diffus dans
les laboratoires et lextrieur du CNRS : (http://www.cnrs.fr/
Infosecu/Revue.html).
Des serveurs dinformation de lUREC (http://www.urec.cnrs.fr/securite/)
et du Fonctionnaire de dfense (http://www.cnrs.fr/Infosecu/accueil.
html). Ces serveurs mettent en ligne des cours, des articles, des recommandations gnrales et officielles CNRS, des outils logiciels, et donnent
diffrents pointeurs vers des serveurs spcialiss en scurit.
Des listes de diffusions lectroniques fermes (140 correspondants scurit de laboratoire) ou accs contrl (sur les virus : http://www.services.
cnrs.fr/Listes/liste.cgi?liste=sos-virus).
Lorganisation de diffrents cours en collaboration avec le SCSSI, les universits et la formation permanente du CNRS.
La diffusion dantivirus
La diffusion dantivirus (http://www.cnrs.fr/Infosecu/AVP.html) et de logiciels
libres (http://www.urec.cnrs.fr/securite/outils/index.html).
Ldition de diffrentes recommandations

Ldition de diffrentes recommandations : charte utilisateur, installation et gestion
dun serveur WEB (http://www.urec.cnrs.fr/securite/).
33
Les oprations scurit

La mise en place doprations scurit dans les dlgations de Sophia, Marseille,
Toulouse, Grenoble, Nancy, Gif et bientt Orlans (cf. http://www.urec.cnrs.fr/
securite/articles/ope.secu.html). Avec une mthodologie adapte aux laboratoires,
ces oprations ont pour but de sensibiliser les units, les aider faire un bilan de
leurs vulnrabilits, amliorer et organiser leur scurit, proposer des actions
correctrices et des outils de scurisation. Elles se poursuivront.
34
4
Quelques recommandations
lmentaires
Aucune mesure qui permette damliorer la scurit du systme dinformation du laboratoire ne doit tre nglige, mme si parfois elle parat
drisoire par rapport limportance des besoins. Tout ne peut tre fait en
un jour. Une approche mthodologique nous aidera dterminer le niveau
de vulnrabilit accept en mme temps quelle nous permettra dtaler
dans la dure les investissements quexige la politique de scurit. Bien
souvent, quelques mesures lmentaires qui ne cotent que le mal quon
se donne pour y rflchir un peu suffisent pour amliorer considrablement une situation qui paraissait dsespre : grer le parc de matriel,
grer les comptes utilisateurs, mettre en place une architecture rseau
adapte
35
Que voyons-nous, quand on tudie les causes des vulnrabilits dans les laboratoires ? Citons ple-mle, parmi les plus importantes :
labsence de mthodologie de scurit ;
labsence de structure de scurit ;
labsence de plan de secours (ou sil y en a, il na jamais t test) ;
labsence de formation : Les utilisateurs savent ;
la mconnaissance de la rglementation.
Sattaquer ces causes de vulnrabilit permettrait dviter au moins 80 % des
problmes. Cela signifie :
Mieux organiser, mieux prvoir et mieux sensibiliser.
Appliquer des procdures de gestion des ressources informatiques.
Mettre en place des moyens de protection active.
Avoir une approche mthodologique.
Concevoir une architecture structure et cohrente.
4.1 Organiser, prvoir et sensibiliser

La scurit, cest dabord sorganiser. Cest aussi prvoir les incidents et cest informer.
Les structures de scurit
36
Le directeur doit diriger les hommes et grer les moyens. Il agit en dlguant ses
pouvoirs et en distribuant les responsabilits, desquelles on lui rend compte. Pour
la scurit, dont fonctionnellement il est le responsable, il nomme quand cest
possible un correspondant de la scurit informatique et rseaux qui linformera,
le conseillera et fera appliquer ses directives. Ce correspondant a une dlgation
de pouvoir sur tout ce qui concerne la scurit et il en rend compte au directeur.
Il est linterlocuteur, mandat sur ce problme, du laboratoire auprs des autorits et des entits lies au systme dinformation : la Direction scientifique, la Dlgation, lUREC, le service du fonctionnaire de dfense, Renater, Il participe
linformation et la sensibilisation des utilisateurs. En particulier, il fait connatre
les consignes sur ce que chacun doit faire sil est victime ou sil est tmoin dun
incident de scurit. Pour mener bien lensemble de cette mission, le correspondant scurit doit tre lui-mme particulirement motiv et correctement
form.
En cas dincident, savoir que faire et le faire savoir !

Un incident de scurit est toujours, a priori, un vnement grave. Si un utilisateur dcouvre des traces permettant de suspecter une malveillance quelconque sur
une machine, il doit dabord, et avant toute chose, en informer le directeur. Mais
ce nest pas tout. Il faut aussi empcher que le mal stende en prvenant ceux dont
la charge est dessayer de garder la scurit au rseau. Il faut galement isoler les
Quelques recommandations lmentaires
systmes qui ont t viols, faire le bilan des dgts et enregistrer tout ce qui peut
permettre de retrouver lorigine de lagression. Ce nest quaprs tout cela que, finalement, on peut commencer rparer.
En rsum, lors dun incident, il faut :
1. Dconnecter du rseau, la ou les machines suspectes, ou mettre un
filtre qui empche tout accs de lextrieur.
2. Effectuer une sauvegarde du systme pour conserver les traces de lincident.
3. Avertir le CERT Renater http://www.urec.fr/securite/chartes/fiche_
suivi_incident.txt.
et envoyer une copie mayday@urec.cnrs.fr (message qui arrivera
dans la bote lettres de N. Dausque, R. Longeon, et J.-L. Archimbaud)
4. Faire le bilan des dgts :
http://www.cru.fr/securite/Documents-generaux/Recommandations.
html
En particulier il faut vrifier toutes les machines du rseau et contrler
sil y a un sniffeur install. Si cest le cas, changer les mots de passe de
tous les utilisateurs sur toutes les stations.
5. Rinstaller le systme et les comptes utilisateurs.
6. Ne donner aucune information sur lincident des tiers non habilits.
Si vous dsirez dposer une plainte, contacter le Fonctionnaire de dfense
(p.schreiber@cnrs-dir.fr, tl. : 01 44 96 41 88).
Ne pas avoir honte de stre fait pirater !

Certains hsitent faire partager leur exprience dun incident de scurit par peur
dtre mal jugs. Cest une erreur, car se faire pirater arrive aux meilleurs dentre
nous. Au contraire, ils peuvent tre fiers de sen tre aperus, cest la marque dun
systme bien gr ; si de surcrot ils font remonter linformation ceux qui en ont
besoin pour assurer la scurit lchelle de lorganisme tout entier, ils rendent un
service inestimable la collectivit. Les mesures de scurit qui sont prises par lorganisme dpendent de ces remontes dincidents.
Les incidents de scurit sont trs nombreux dans nos laboratoires. Globalement,
leurs cots budgtaires, au niveau des units comme au niveau de lorganisme,
sont loin dtres ngligeables. Mais le plus grave, cest quils compromettent galement la qualit de la recherche, cest--dire la raison dtre de notre organisme.
On value que moins de 10 % des incidents de scurit sont actuellement dtects. Parmi ceux-ci, moins dun tiers nous est signal. Parmi ceux qui nous ont t
signals en 1997, nous avons considr que prs de cinquante cas prsentaient un
caractre gravissime, soit un cas sur deux. Trois plaintes, dont une avec constitution de partie civile, ont t dposes auprs des services de police comptents.
Elles concernaient cinq units propres du CNRS, travaillant sur des domaines sen-
37
sibles et victimes de pntrations malveillantes. Lun des cas pourrait, si lenqute

de police le confirmait, couvrir une action dintelligence conomique mene
depuis un pays tranger.
4.2 Procdures de gestion des ressources informatiques

Veiller au respect de la lgislation en vigueur
Parmi les rgles lmentaires de bonne gestion, la premire est de veiller ce que
les lois, le code gnral de la fonction publique et le rglement intrieur du laboratoire soient respects scrupuleusement par chacun. Les textes lgislatifs les plus
importants connatre sont rappels au chapitre 5.1.
Rappelons plus particulirement quil est de la responsabilit du directeur de
veiller ce que :
toutes les mesures soient effectivement prises, pour empcher le piratage
ou lutilisation de logiciels pirats dans son laboratoire ;
tous les fichiers nominatifs aient t dclars la CNIL suivant la procdure adquate (cf. chapitre 8.1) ;
les webs du laboratoire ne violent pas la lgislation sur la proprit intellectuelle, respectent les recommandations du Comit web du CNRS
(cf. chapitre 5.2.) et ne portent pas atteinte limage du CNRS (pas de
pages personnelles nayant rien voir avec les missions du laboratoire
par exemple) ;
les moyens informatiques du laboratoire, en particulier le rseau qui est
une ressource rare et chre , ne soient pas exagrment dtourns de
leurs finalits professionnelles.
Pour que lensemble de ces contraintes qui simposent tous soit bien clair et
port la connaissance de chacun, il est indispensable de proposer chaque utilisateur, une charte du bon usage des moyens informatiques . Elle doit tre
annexe au rglement intrieur (cf. annexe A et http://www.cnrs.fr/Infosecu/
Charte.html).
38
Une gestion du parc informatique

Ladministrateur systme doit avoir la connaissance et la matrise de tous les quipements informatiques (mme personnels ) et rseaux. Il doit tenir jour la liste
des quipements (stations, routeurs, imprimantes), des prises rseaux (localisation, utilisateur connect sur cette prise). Il doit tenir la liste jour des espaces
disques, de leur type de montage, de leur protection et de leur affectation.
Dans les petites units o il ny a pas dITA, une personne du laboratoire doit nanmoins centraliser toutes les informations concernant ces quipements et faire
office de responsable informatique mme si ce nest pas son travail de base.
Une procdure dinstallation des nouvelles machines

Mme sagissant dune station personnelle o lutilisateur administre sa propre
machine, il faut appliquer une procdure dinstallation.
1. Faire une sauvegarde des fichiers de configuration et une empreinte du
systme en utilisant un logiciel tel que tripwire (cf. http://
www.urec.cnrs.fr/securite/outils/index.html). Automatiser cette procdure pour pouvoir la refaire aprs les mises jour ou linstallation de
correctifs.
2. Tenir jour la liste des logiciels (systmes de base, applications, services) avec leurs implantations, leur fournisseur et numro de
licence. Il est prfrable que cette liste soit centralise.
3. Supprimer les services rseaux dclars et inutiles (demons).
4. Installer ce qui est ncessaire pour avoir des accs journaliss et contrls (tcpwrapper par exemple).
Installez les correctifs de scurit ?

Ds quune faille de scurit est annonce par les CERT, elle est immdiatement
exploite. Il faut donc passer les correctifs (patchs) le plus tt possible, car cest
alors une course poursuite entre ladministrateur systme qui doit mettre jour
ses machines en permanence et les pirates qui esprent, en utilisant la toute dernire faille, prendre en dfaut un certain nombre de machines.
Cependant la plus grande prudence est de mise dans le choix du serveur lorsque
vous voulez tlcharger un logiciel. Certains sites pigent les logiciels quils proposent (cheval de Troie, bombe logique, etc. Cf. chapitre 7). Alors ne faites
confiance quaux sites connus et reconnus et vrifiez les signatures* . Cette prcaution est utile pour tous les outils de scurit dont il faut se mfier a priori.
Elle lest plus encore pour les correctifs systmes.
La gestion des comptes des utilisateurs

Chaque compte doit appartenir un utilisateur clairement identifi.
Proscrire les accs banaliss (guest, visitor, invit).
Pour chaque nouvel utilisateur, mettre en service une procdure dentre : signature de la charte, attribution despace disque, machine,
compte, ressources alloues.
Vrifier rgulirement que tous les comptes ouverts sont encore dactualit. Les comptes inutiliss depuis plus de trois mois doivent tre ferms.
Vrifier rgulirement la solidit des mots de passe (avec un logiciel tel
que crack : cf. http://www.urec.cnrs.fr/securite/outils/index.html). Il
* Valeur permettant de vrifier si le contenu dun fichier t modifi.
39
est recommand que les utilisateurs changent rgulirement leurs mots

de passe (cela implique une procdure mettre en place et grer).
Crer une procdure de sortie de lutilisateur: ladministrateur systme doit
tre inform immdiatement du dpart dun utilisateur, les comptes provisoires (thsards, stagiaires, visiteurs) ne peuvent tre laisss vau-leau.
La gestion du libre-service
Le libre-service est gr, et les consignes impratives, telles que la dconnexion
aprs usage, sont clairement affiches. Les stations en libre-service sont sur un
sous-rseau particulier, avec des droits restreints et trs contrls. Toute machine
en libre-service doit tre considre comme aussi dangereuse quune machine
externe au laboratoire.
4.3 Moyens de protection active

Contrle des accs physiques dans certaines parties du laboratoire
40
Certains fichiers peuvent prsenter un degr particulier de confidentialit. Cest le

cas des fichiers nominatifs dans certaines recherches mdicales par exemple. On
trouve aussi cette particularit dans des collaborations industrielles o des clauses
de confidentialit sont imposes par contrat, ou dans des laboratoires qui utilisent
des matriels particuliers. Le responsable doit alors proposer des moyens spcifiques pour mettre en uvre des mesures de scurit particulires. Ce peut tre
des contrles daccs plus stricts, ou bien de chiffrement des donnes et/ou des
communications ; ce peut tre aussi la dcision de ne pas connecter une machine
sensible au rseau. Associ un contrle des accs, lisolement dune machine
est le moyen le plus sr que lon connaisse pour protger les donnes quelle
contient. Sil faut que certains serveurs soient physiquement protgs et placs
dans des locaux accs scuriss, il peut tre judicieux de dfinir diffrentes zones
dans le laboratoire : une zone accs libre et une zone o laccs est contrl.
Plus particulirement, il ne faut pas perdre de vue quun ordinateur, surtout un
PC, est une proie tentante pour les voleurs. Il ny a gure dautre moyen de le protger que de fermer les portes des bureaux cl et de contrler les entres dans le
laboratoire.
Les sauvegardes
Il faut effectuer rgulirement des sauvegardes, on ne le dira jamais assez. Le
mieux est ddicter des rgles prcises qui permettent dtre sr quelles sont faites
correctement : quest-ce quon sauvegarde ? Avec quelle priodicit ? Avec quels
recouvrements ? Ces rgles dfinissent aussi o doivent tre rangs les supports
des sauvegardes, de faon que :
en cas de sinistre ou de vol, elles ne soient pas perdues avec la (ou les)
machine(s). Ne pas laisser la sauvegarde proximit du systme quelle
est sense protger est une vidence qui nest pas toujours partage ;
elles ne soient pas porte de main du premier venu, surtout si elles

contiennent des fichiers confidentiels : rien ne sert de bien protger son
systme si les sauvegardes sont en accs libre pour tous !
Noubliez pas quil faut vrifier les sauvegardes. On sait dexprience que des sauvegardes jamais testes en restauration rvlent de grosses surprises. Comme par
hasard (mais est-ce vraiment un hasard ?), cest le jour o on en a rellement
besoin quon saperoit des problmes et de la catastrophe que reprsente la
perte dun travail de parfois plusieurs mois.
Dans les secrtariats des laboratoires, domaine de la bureautique par excellence,
il est trs frquent quil nexiste aucun moyen de sauvegarde. Il y a pour cela des
raisons historiques : les documents importants taient jusqu prsent sauvegards
sur disquettes. Les disques durs des machines de bureau ont atteint aujourdhui
de telles capacits quil est devenu impossible de les sauvegarder par ce moyen. Il
faut donc associer, aux machines de bureau, des dispositifs de sauvegarde spcifiques. Rappellerons-nous quun disque dur est destin tomber en panne un jour
ou lautre mme celui de votre secrtaire !
Dtection des attaques

Une protection efficace ne peut se limiter renforcer la solidit des systmes.
Il faut savoir que, tt ou tard, il sera attaqu avec succs, souvent de faon totalement inattendue et avec des consquences imprvues. Il faut tre capable de dtecter ces attaques, de les contrler et dassurer que les dommages seront rduits.
Lenregistrement de lactivit rseau anormale permet une premire possibilit de
dtection :
il faut installer des dispositifs de dtection des tentatives dintrusion au
niveau des quipements dentre (alarmes gnres par les filtres sur les
routeurs) et des stations (messages de tcp_wrapper par exemple,
cf. http://www.urec.cnrs.fr/securite/outils/index.html) ;
il faut veiller lexamen quotidien de ces alarmes.
Sur les stations :
il faut veiller ce que la comptabilit soit effectivement vrifie afin de
reprer les comptes qui ne consomment plus de ressources et les fermer,
ainsi que ceux dont les consommations sont insolites ;
il faut sassurer que les systmes sont vrifis rgulirement de faon
dtecter leurs modifications anormales. Ces vrifications doivent tre
faites plus attentivement en priodes dalertes (annonces dintrusions sur
des sites avec lesquels on est en relation, par exemple).
Procdure dalerte
Il faut dfinir la conduite tenir en cas dintrusion ou de malveillance informatique. Un utilisateur qui dtecte un fait anormal doit avertir le correspondant
41
scurit du laboratoire. Ce dernier doit coordonner, avec le directeur, les mesures

prendre en suivant les recommandations Que faire en cas dincidents ?
dcrites chapitre 4.1.
Existence dune procdure de repli

et de remise en service aprs sinistre
Il ny a rien de plus angoissant quun incident de scurit lorsque vous ne savez
pas quoi faire ; cest pourquoi il faut avoir rflchi lavance la conduite tenir.
Il est bon davoir envisag les consquences de quelques incidents types et davoir
tudi les rponses possibles. Dans certains laboratoires, les consquences de dysfonctionnement peuvent tre trop graves pour tre ngliges : il est parfois ncessaire de maintenir un certain niveau de service, mme dgrad, pendant la phase
de restaurations du bon fonctionnement du systme. Cette question se pose, par
exemple, pour les serveurs vitaux du laboratoire tels que les serveurs de fichiers
ou de messagerie.
4.4 Avoir une approche mthodologique

Pour savoir comment faire
Bon nombre de responsables ne savent pas comment aborder la scurit .
Nayant pas de mthode, ils procdent au coup par coup, errant du de toute faon,
a ne sert rien , au vaut mieux en faire de trop que pas assez . Ainsi mal pense,
la scurit aboutit tantt au verrouillage complet du systme tout en laissant des
vulnrabilits bantes , tantt une dmobilisation totale et un laxisme irresponsable.
42
Une approche mthodologique consiste laborer des modles, dfinir des

procdures, caractriser les cycles de vie Un systme se construit toujours
suivant des modles. Quand il ny en a pas, ils sont en ralit implicites. Alors chacun dans lorganisation projette inconsciemment les siens propres. Les dcisions
sont prises au coup par coup, dune manire erratique en fonction des rapports de
force, des humeurs du jour, des modes et souvent de la pression commerciale des
constructeurs. En revanche, si les modles sont explicites, les dcisions sont cohrentes et raisonnes. Elles peuvent tre mauvaises si la modlisation est fausse,
mais on peut alors ladapter, ce quon ne peut videmment pas faire avec une
modlisation implicite .
Pour savoir ce quon veut

Les modles dfinissent, chaque moment du cycle de vie du systme dinformation, des rgles sur les ressources , les contraintes , les fonctions et les
produits . Ils expriment :
ce quon veut protger et pourquoi,
le niveau de protection dont on a besoin,
contre quoi protger,

comment protger,
leffort quon est prt faire pour assurer cette protection.
Pour savoir o on va
Nous avons vu au chapitre 2 que la qualit dun produit est dfinie comme ladquation de celui-ci sa fonction et que, dans la dmarche qualit globale , on
fixe cet objectif ds la phase de conception, pour le systme tout entier. Or une
mauvaise apprciation des menaces (maladresse, malveillances, dfaillances, accidents, sinistres) est une cause majeure du dysfonctionnement des systmes dinformation dont lorigine se situe bel et bien dans la conception du systme luimme. Cest pourquoi la scurit dun systme et la qualit globale sont
deux approches similaires se confondant en bien des points de vue. En particulier, on cherchera intgrer la scurit ds la phase de conception dun systme,
comme dans lapproche qualit .
La scurit se dgrade dans le temps ; on ne peut pas croire quon va faire un
coup et sen tenir quitte pour plusieurs annes. Leffort doit tre permanent ! La
reconnaissance des cycles de vie dun systme permet, entre autres choses,
dapprhender son volution et de planifier sur plusieurs annes cet effort en
moyens et en organisation.
Pour savoir limiter le problme

La scurit, entend-on parfois, est tout ce qui permet de rendre sans effet une
menace sur des biens sensibles . Mais la scurit absolue nexiste pas et il faut souhaiter bon courage ceux qui se fixent de tels objectifs ! Plus prosaquement, lapproche mthodologique permet de dterminer le niveau de scurit efficace, grce
des critres qui permettent de faire des choix en comparant simplement des
investissements des rendements. Au fond, cest bien le seul critre qui vaille,
quand il faut grer des moyens
4.5 Les phases dune mthode adapte aux laboratoires

Les trois phases dune approche mthodologique qui nous importent ici sont :
llaboration dun modle ;
llaboration dune politique de scurit ;
llaboration dun tableau de bord.
Toutes les mthodes ont leurs originalits, mais toutes partent dun modle qui est
une manire de poser correctement le problme. Elles aboutissent toutes ce quil
faut faire (la politique de scurit) et donnent les moyens de mesurer les carts
entre ce que lon souhaite et ce que lon a rellement (le tableaux de bord ).
43
Dans la plupart des mthodes classiques, le modle est formel ou semi-formel. Ce

type de modlisation est bien adapt aux systmes dinformation quon appelle complexes, parce que les lments y sont fortement dpendants (exemple : les grandes
units administratives). En revanche, il constitue, nous semble-t-il, un frein ladoption dune approche mthodologique quand il faut lappliquer des structures plus
simples comme celle dun laboratoire. Pour ces organisations lgres, nous prconisons les modles rels dans lesquels le systme physique est dcrit sans formalisme, tel quil est peru. Ce type de modlisation a ses limites : les interrelations
chappent au modle et restent donc implicites (les combinaisons de vulnrabilits par exemple). Cest le prix payer pour conserver la simplicit, condition sine
qua non pour quune mthodologie soit accepte dans les laboratoires.
Concept de modle rel

Ce type de modlisation permet de dcrire prcisment ce que lon veut avec
les moyens dont on dispose dans le cadre des contraintes existantes. Elle donne
une vision (ou une mesure) des menaces, des risques et des vulnrabilits, ce
qui permet de dgager des critres de matrise de la scurit (gestion du risque)
et dviter derrer entre les deux attitudes extrmes, intgriste ou laxiste, que nous
avons vues prcdemment.
Quest-ce quune menace ?
Une menace (Mi) est un danger qui existe dans lenvironnement dun systme
indpendamment de celui-ci : accident, erreur, malveillance. Une malveillance est
laction dindividus et/ou dorganisations qui exploitent des vulnrabilits dans les
systmes dinformation. Une malveillance peut tre :
passive : elle ne modifie pas linformation et porte essentiellement sur la
confidentialit ;
active : elle modifie le contenu de linformation ou le comportement des
systmes de traitement.
La vulnrabilit
44
Une vulnrabilit (Vi) est une faiblesse du systme qui le rend sensible une
menace :
bogues dans les logiciels,
mauvaises configurations,
erreurs humaines,
services permis et non utiliss,
virus ou chevaux de Troie,
saturation de la liaison daccs lInternet,
logiciels en mode debug ,
Pour dterminer les vulnrabilits dun systme dinformation, on vrifiera donc :
si le systme fait tout ce quil doit faire, sil le fait correctement et sil ne
fait que ce quil doit faire,
sil est bien impossible au systme de faire ce quil ne doit pas faire.
Il nest videmment jamais possible dapporter des rponses sres et compltes

ces questions. La difficult vient de la complexit* des systmes.
Le risque
Le risque est la probabilit quune menace particulire puisse exploiter une vulnrabilit donne du systme. Pour les habitus du formalisme mathmatique, on
pourrait crire :
j
Risque = i
(Mi x j Vi )
Traiter le risque, cest prendre en compte les menaces et les vulnrabilits.
Une information prsente une certaine vulnrabilit. On lui assure un niveau de
protection, qui a un certain cot. Lcart entre la menace virtuelle et son niveau de
protection correspond au risque (accept ou rsiduel).
Il y a des risques spcifiques dans les milieux de recherche, lis aux menaces de
lenvironnement exprimental des laboratoires : risque chimique, risque incendie,
risque inondation (surtout pour le laboratoire de ltage du dessous), risque
lectrique, etc. Contre ce type de risque qui menace lintgrit physique de nos
systmes dinformation, la seule planche de salut, rptons-le, cest une sauvegarde
correctement effectue et correctement stocke.
La politique de scurit
Dterminer une politique de scurit, cest dfinir des objectifs (ce quil faut protger), des procdures, une organisation en fonction de moyens. La dmarche est
rcursive : aprs un problme de scurit, la politique est ajuste. Les procdures,
les moyens et parfois lorganisation sont adapts. Parfois, il faut rviser la baisse
les objectifs.
Il est important de dfinir correctement les rgles du modle : ce qui est autoris
et ce qui ne lest pas (il est interdit de lire le courrier de son voisin sans y tre
invit, mme si celui-ci na pas su le protger correctement). Il est absurde
mais on le voit souvent de vouloir verrouiller les entres, dfinir des interdictions alors quon na pas su dfinir les rgles auxquelles devraient se rfrer ces
actions.
La politique de scurit est labore partir du modle dfini prcdmment :
analyse des menaces potentielles ou relles ;
identification et lanalyse des vulnrabilits (audit, contrle qualit) ;
valuation des risques et la dtermination du niveau de risque admissible.
* Un systme complexe est un systme compos dun trs grand nombre dlments en interrelation les uns avec les autres.
45
Elle se ralise par :

lintgration doutils et de services de scurit systme ou rseau (audit,
contrle daccs, identification, logiciel antivirus, systmes experts,
noyau de scurit) ;
la validation logiciel/systme (techniques formelles, analyse qualimtrie,
tests statiques et dynamiques, etc.) ;
lvaluation et la certification des systmes et des produits.
La scurit ne doit pas rester statique car toute dfense peut tre contourne ; cest
pourquoi une bonne politique de scurit comprend toujours deux volets :
1. La scurit a priori (politique dite passive ) : cest le blindage du systme. Elle se caractrise par llaboration dune politique de scurit
explicite, une organisation adapte cette politique, des procdures
des mthodes de travail, des techniques et des outils
2. La scurit a posteriori (politique dite active ) : cest la dfense en
profondeur Elle consiste par exemple :
surveiller les moyens de protection pour contrler leur efficacit
(mais aussi lefficacit de la politique de scurit) ;
dtecter les attaques et les mauvaises configurations en enregistrant
les accs aux services sensibles, en mettant en place des automatismes de dtection dintrusion, etc. ;
rpondre par des actions correctives : arrt de session, reconfiguration dynamique des systmes de contrle daccs, enregistrement des
sessions ;
mettre en place des leurres.
Le tableau de bord
46
Il faut concevoir des indices statistiques afin de constituer des tableaux de bord
qui permettent dvaluer limpact de la politique de scurit sur la qualit de la
recherche, lorganisation et le management. Ces tableaux de bord constituent une
vritable mtrique de la scurit.
Ils mesurent la vulnrabilit rsiduelle dun systme dinformation et
permettent dapprcier son volution.
Ils valuent lefficacit de la politique de scurit.
Ils indiquent les modifications de lenvironnement.
Ils alertent sur lapparition de nouvelles faiblesses.
Cette mtrique permet de piloter la politique de scurit en mettant en vidence les adaptations qui savrent ncessaires au fil du temps. Elles sont aussi des
aides la dcision indispensables. En effet, ils donnent les moyens de faire de
vritables bilans sur le bien-fond des choix qui ont t faits et donc de justifier les investissements consentis en mettant en regard les gains raliss. Sans eux,
la scurit ne peut tre vue que comme une charge inutile par les dcideurs .
4.6 La mthode de lUREC

LUREC (Unit Rseaux du CNRS) a labor une approche mthodologique de la
scurit adapte aux laboratoires (http://www.urec.cnrs.fr/securite/articles/
ope.secu.html). Elle a t dabord exprimente sur trois rgions. Cela a permis de
laffiner et de confirmer son grand intrt. Elle est maintenant rode et est utilise
en moyenne sur une dlgation rgionale par trimestre, dans ce qui est appel une
opration scurit .
laboration du modle
Un groupe dexperts a tabli a priori une liste (appele liste de contrles) de vulnrabilits techniques, structurelles (architectures, qui fait quoi ?) et organisationnelles, adapte notre milieu de recherche. Cette liste a t labore en fonction de la connaissance des pratiques informatiques des laboratoires et des
problmes de scurit qui sont remonts lUREC. Pour chaque vulnrabilit, une
action correctrice est propose, donnant ainsi au laboratoire les moyens de rsorber ses vulnrabilits. Un petit ensemble doutils installer (contrles daccs,
traces) complte cette liste. Le document est assez succinct pour tre appliqu
pendant un temps raisonnable par ladministrateur systme dun laboratoire. Il est
mis jour aprs chaque utilisation et lorsquapparaissent de nouvelles attaques ou
de nouveaux bogues qui touchent les laboratoires.
Procdure dintervention
Une mthode dintervention a aussi t spcifiquement labore pour ces oprations et se dcline en cinq tapes :
tape 1 Prparation de lopration (gnralement sur une douzaine de laboratoires dans une rgion) avec le Dlgu rgional et un coordinateur
local de lopration (ingnieur connaissant bien les laboratoires de la
rgion) : liste des laboratoires impliquer, des directeurs et des
administrateurs informatiques, personnes externes associer (universits), planning, Chaque opration est adapte lenvironnement : gros ou petits laboratoires, regroups (campus
universitaire/CNRS), disperss,
tape 2 Intervention (2 jours) :
Sensibilisation et prsentation de lopration aux directeurs et aux
administrateurs informatiques pendant une demi-journe.
Interviennent le Dlgu, lUREC, le service du fonctionnaire de
dfense, la DST.
Pour les administrateurs informatiques : tour de table, prsentation
dtaille de la liste de contrles, cours spcifiques si besoin.
47
tape 3 Travail (20 jours) des administrateurs dans leur laboratoire pour
appliquer cette liste de contrle, ceci coordonn par le correspondant local (liste de diffusion lectronique, ).
tape 4 Bilan (un jour).
tape 5 Rapport indiquant les principales lacunes (en personnel, organisation, techniques) releves dans les laboratoires et les propositions
dactions correctrices.
Intrt de la mthode
Cette mthode trs pragmatique aide la modlisation du systme dinformation
dune manire non formelle et permet dlaborer toute la partie scurit passive
de la politique de scurit du laboratoire et en partie la scurit active (avec les
outils installs). Elle permet en outre de crer une dynamique rgionale et un
groupe sur lequel pourra sappuyer une organisation scurit CNRS.
Point trs important dans la dmarche : elle nest pas destine valuer le niveau
de scurit des laboratoires, mais les aider amliorer leur scurit.
Un dveloppement test actuellement consiste ajouter a posteriori cette
mthode manuelle un outil automatique de tests de vulnrabilits par le rseau,
outil de scurit active qui permet la mise en place des indicateurs dvaluation de
la politique de scurit et de lvolution des vulnrabilits.
4.7 Une architecture structure et cohrente

Les concepts
Le rseau du laboratoire est gnralement connect au reste du monde par un
routeur, travers un rseau de campus (ou un rseau dtablissement), raccord
un point dentre de renater. Le rseau du laboratoire souvre ainsi vers lextrieur.
Le laboratoire devient branch . Il peut communiquer plus largement, bnficier de multiples services et travailler en coopration. Mais il soffre aussi aux
convoitises des prdateurs, comme nous lavons vu prcdemment.
48
Il faut alors mieux protger encore laccs aux informations du laboratoire, cest-dire contrler les flux venant de lextrieur pour que les services (ordinateurs,
rseaux, priphriques, applications) et les informations (donnes, fichiers)
soient accessibles aux personnes autorises quand elles en ont besoin mais
quelles ne le soient pas (ou le moins possible) pour le reste du monde . On
aborde ainsi le concept darchitecture rseau de scurit.
En effet toutes les architectures rseau ne sont pas quivalentes. Il y a des architectures recommandes parce quil est possible, moindres cots, dy adapter des
mesures de prvention et de scurit active. Dautres ne le permettent pas dune
manire raliste. Cest le cas des rseaux dits Ethernet plat o toutes les stations sont connectes sur un mme rseau de diffusion. Cette architecture prsente
plusieurs inconvnients majeurs :
Il est possible dcouter, depuis nimporte quelle station, toutes les transactions sur le rseau. Un utilisateur malveillant peut ainsi dcouvrir trs
rapidement les mots de passe de tous les utilisateurs.
Il nest pas possible deffectuer un quelconque tri en fonction du niveau
de protection ou douverture que lon veut donner une station. Certains
serveurs ncessitent plus de protection que dautres, certaines stations
nont pas besoin dtre accessibles depuis lInternet,
INTERNET
Serveurs
Routeur
Clients
Figure 4 : un rseau plat
Il faut ainsi prfrer la commutation (ventuellement les concentrateurs scuriss) qui limite les possibilits de lcoute et le partitionnement (un sous-rseau
par service, ou type dactivit, ou type de serveurs, ou) qui est le dbut de la
structuration.
Puisquon peut pntrer galement dans le laboratoire par le rseau, il va falloir
mettre, l aussi, une porte dentre . Pour tre utile, cette porte doit tre pourvue de serrures permettant de restreindre les accs ceux qui y sont autoriss,
et il peut y avoir galement un concierge qui veille sur les entres et les sorties
du laboratoire, note les noms des visiteurs trangers et vrifie que les demandes
de services sont bien conformes aux instructions quil a reues.
Les concepts darchitecture rseau suivent loffre commerciale qui est, elle-mme,
dpendante de lvolution de la technique. Cette offre a vritablement explos ces
dernires annes et a renouvel compltement les concepts qui avaient encore
cours au dbut des annes 90. Il nest pas possible, dans le cadre de ce guide, de
passer en revue lensemble des matriels existant. Nous ne retiendrons donc que
quelques solutions types permettant de raliser ces trois fonctions :
49
le filtrage des accs et des services (le concierge vrifie les entres) ;
la journalisation de lactivit (le concierge tient un registre) ;
lauthentification forte (la serrure de la porte).
La sparation des trafics

1. Brins physiques et brins logiques
Une architecture rseau de scurit est une architecture dans laquelle on a su sparer les diffrents flux dinformation, au moins un sous-rseau physique (un brin
ou un rseau virtuel) par type dutilisation de machines : machines de services,
machines denseignement, machines de recherche, machines de gestion. Lidal est
dorganiser les sous-rseaux en groupes de travail cohrents qui constituent autant
de compartiments tanches en cas de piratage. Il faut associer ces sous-rseaux
physiques des sous-rseaux logiques IP (cf. figure 5 (c)).
Router dentre
Zone banalise
(DMZ)
(b)
(c)
Sous rseau N
Garde barrire
(a)
Sous rseau 2
OU
Zone protge
Serveur FTP, WWW,

SMPT, DNS
Sous rseau 1
INTERNET
Router filtrant
Figure 5 : un rseau structur
50
2. Installer les services rseau sur des machines ddies
Les services comme le DNS, la messagerie, le web, le FTP anonyme sont les services les plus utiliss depuis lextrieur. Il est plus prudent de les installer sur des
machines ddies, sur lesquelles il ny a pas (ou trs peu) de connexion interactive possible et surtout ne pas y installer de rpertoires utilisateur. Regrouper ces
machines dans un sous-rseau particulier (appel parfois DMZ) isol du rseau
interne par un lment filtrant, routeur ou garde-barrire (cf. figure 5 (b)).
Mettre des filtres et des alarmes sur le routeur dentre

Un routeur, quipement qui initialement avait pour seule fonction linterconnexion
de rseaux, intgre maintenant de plus en plus les fonctions de scurit qui sont
devenues indispensables. Il est recommand dinstaller un quipement de ce type
la porte Internet de chaque laboratoire et den faire assurer ladministration par
son propre personnel afin de toujours rester matre de sa scurit (cf. figure 5 (a)).
Sur ce routeur dentre, il vaut mieux interdire (sauf pour des besoins spcifiques)
les services suivants : bootp, tftpd, syslog, sunrpc, snmp, xdmcp, rlogin, rsh, lpr,
openwin, imap, nfs, x11, irc, netbios, sqlserver, ipx, wins, ica et ica browser, rdp,
back orifice, netbus. Ce sont actuellement des services problme potentiel : certains ont des versions bogues, dautres sont trs dangereux quand ils sont mal
configurs sur les stations. Mais cette liste ne sera jamais jour. Le mieux est donc
davoir une politique de filtrage o tout ce qui nest pas explicitement autoris est
interdit . On ne laisse alors passer que les services que lon utilise (exemple : SMTP,
protocole de messagerie, entrant uniquement vers le serveur de messagerie).
Linstallation dun systme de journalisation sur le routeur dentre, transmettant
une station protge toutes les alarmes quil gnre, en particulier lactivation
dun filtre, est le complment indispensable pour surveiller lactivit rseau.
Structurez vos rseaux

Les gardes-barrires et routeurs filtrants permettent de partitionner le rseau
(cf. figure 5 (c)). Le garde-barrire (firewall) permet de concentrer la scurit en un
point (normalement le point dentre dans un rseau ou un sous-rseau) et de
contrler tout le trafic. Le routeur filtrant permet de filtrer les paquets, les demandes
de service rseau, et denregistrer les traces dans un but de vrifications, de diagnostics des incidents et ventuellement dtablissement de preuves en cas de piratage. Plus complets, les gardes-barrires applicatifs, qui intgrent des fonctions de
relayage dapplications, permettent dauthentifier les utilisateurs, de contrler tous
les accs, de journaliser lactivit dun sous-rseau et, ventuellement, dintgrer des
systmes de chiffrement ou de faire un contrle antivirus du flux entrant. En
revanche, le routeur filtrant permet dabsorber des dbits beaucoup plus importants
que les gardes-barrires qui constituent trs rapidement un goulet dtranglement.
51
Il faut tre trs attentif dans le choix des solutions : avant dacheter un matriel, il
faut faire une tude technique, organisationnelle et financire. Une configuration
facile base dicnes cliquables nest pas une assurance de fonctionnalits ni de
robustesse ! Outre ces critres fonctionnels ou financiers (il y a des gardes-barrires
tous les prix), le critre quil ne faut jamais oublier cest le critre humain :
quelle personne soccupera du matriel et aura-t-elle une formation suffisante ? Il
vaut mieux ne pas installer un garde-barrire applicatif si on ne sait pas comment
il sera administr. Ce type dquipement ne peut tre laiss dans un placard
sans que personne nen ait explicitement la charge. Noubliez pas : une scurit
illusoire est pire que pas de scurit du tout !
Interdire les connexions modem sauvages

Les connexions modem sauvages (non contrles par ladministrateur informatique) sont de vritables calamits du point de vue de la scurit, car elles contournent toutes les mesures officielles . Il ne faut donc accepter les connexions par
modem via le rseau tlphonique que dans le cadre de procdures bien contrles.
Contrle daccs et journalisation de lactivit rseau sur les serveurs

Nous avons vu quil fallait contrler et enregistrer les activits rseau. On doit
le faire sur le routeur dentre, il faut aussi le faire sur chaque serveur.
Le problme des serveurs (NT ou Unix) est quils sont souvent livrs avec de nombreuses applications rseaux lances en mode serveur, applications inutiles et dangereuses. La premire chose faire est donc de faire du mnage (dans
/etc./inetd.conf par exemple sous Unix) et ne garder que ce qui sert.
Il existe un logiciel libre tcp_wrapper qui permet de journaliser les connexions
rseau et de les filtrer (cf. http://www.urec.cnrs.fr/securite/outils/index.html).
Celui-ci est installer sur tous les serveurs.
Lauthentification forte par carte puce

Le mot de passe nest pas une technique fiable dauthentification. Il peut tre
cout sur le rseau, il peut tre dcouvert, il peut tre facilement prt Une
technique dauthentification plus forte est la carte puce. Cest une technique qui
tend se dvelopper. Son cot reste ( la date davril 1999) encore lev : environ
350 F par machine + le logiciel de gestion sur le serveur. Cest certainement le
meilleur produit en rapport qualit/prix pour la fonction dauthentification (peuttre est-ce la raison de son utilisation comme moyen de paiement par le milieu
bancaire). Par contre, elle ncessite la connexion dun lecteur sur chaque poste utilisateur.
Les autres aspects de la scurit
52
Il y a dautres aspects de la scurit comme la confidentialit des donnes, lintgrit, la non-rpudiation. Il existe des solutions simples pour assurer ces services base de produits de chiffrements. On tudie actuellement les moyens de
les dployer dabord dans des cercles restreints puis, plus tard, dans les laboratoires.
5
Les rgles de bon usage
Les rseaux donnent le moyen de diffuser nimporte quelle information sur
la plante entire en un instant. Cette extraordinaire capacit impose
chacun dentre nous le respect de certaines rgles et un peu dautodiscipline. Un comportement responsable est essentiel pour que notre organisme garde cohrence et crdibilit. Ces rgles sappliquent toute
personne qui utilise les moyens informatiques dun laboratoire directement, distance, ou en cascade.
53
5.1 Respect des rgles crites et non crites

Respecter la loi !
Lobservance des rgles commence en tout premier lieu par le respect des lois. Toute
personne se trouvant sur le territoire franais est tenue de respecter la lgislation en
vigueur. Par exemple si, dans laccomplissement de son travail, un utilisateur est
amen constituer des fichiers nominatifs relevant de la loi Informatique et
Liberts , il devra auparavant faire une demande dautorisation, sous couvert de
son directeur de laboratoire, auprs de la CNIL. Cette autorisation nest valable que
pour le traitement dfini dans la demande et pas pour le fichier lui-mme.
Dune manire gnrale, on peut trouver sur le web les textes des lois qui
se rapportent plus ou moins directement la scurit informatique :
la loi du 6/1/78 dite informatique et libert (cf. http://www.cnil.fr/) ;
la loi du 5/1/88 relative la fraude informatique, complte par la loi du
22/7/92 dite loi Godfrain
(cf. http://www.legifrance.gouv.fr/citoyen/code.cgi
et http://www.cnrs.fr/Infosecu/10godfr1.html) ;
la lgislation relative la proprit intellectuelle
(cf. : http://www.legifrance.gouv.fr/citoyen/code.cgi
et http://www.sg.cnrs.fr/internet/droitauteur.htm
ou http://www.cnrs.fr/Infosecu/10droits.html) ;
la loi du 04/08/1994 relative lemploi de la langue franaise,
(cf. http://www.culture.fr/culture/dglf/) ;
la lgislation applicable en matire de cryptologie
(cf. http://www.telecom.gouv.fr/francais/activ/techno/crypto0698_1.htm) ;
Web SCSSI : http://www.scssi.gouv.fr/
liste des derniers dcrets et arrts sur la cryptologie ainsi que les liens vers
les documents complets :
http://www.internet.gouv.fr/francais/commerce/textesref.htm#1 ainsi qu
http://www.internet.gouv.fr/francais/textesref/cryptodecret99199.htm et
http://www.internet.gouv.fr/francais/textesref/cryptodecret99200.htm ou
encore http://www.clusif.asso.fr/rubriques/crypto/crypto.htm
54
Respecter les autorisations daccs aux fichiers

Un utilisateur ne peut accder aux informations dun systme (fichiers, journalisations, bases de donnes) que si elles lui appartiennent ou sont publiques. Ceci
signifie concrtement quil na pas le droit :
dutiliser ou essayer dutiliser des comptes autres que le sien ;
de tenter de lire, modifier, copier ou dtruire dautres fichiers que les siens.
En particulier, il lui est interdit de modifier le ou les fichiers contenant des informations comptables ou didentification ou bien de prendre connaissance dinfor-
mations dtenues par dautres utilisateurs sans leur consentement explicite, quand
bien mme ceux-ci ne les auraient pas (ou les auraient mal) protges. Cette dernire rgle sapplique galement aux correspondances prives de type courrier
lectroniques dont lutilisateur nest destinataire ni directement, ni en copie. Toutefois, dans le cadre de sa responsabilit sur lutilisation des moyens mis la disposition du laboratoire, le directeur un droit de contrle et peut lexercer en cas
dincident particulier ou denqute.
La scurit et le bon usage sont la charge de tous !

Chaque utilisateur est responsable de lemploi des ressources informatiques et du
rseau du laboratoire, et il a pour devoir de contribuer, son niveau, la scurit
gnrale. Il doit :
appliquer les recommandations de scurit du laboratoire et signer la
charte dsormais obligatoire ;
choisir des mots de passe srs, gards secrets, et ne les communiquer en
aucun cas des tiers ;
sengager ne pas mettre la disposition dutilisateurs non autoriss un
accs aux systmes ou aux rseaux travers des matriels dont il a
lusage ;
assurer la protection de ses informations pour lesquelles il est responsable des droits quil donne aux autres utilisateurs ;
signaler toute tentative de violation de son compte et, de faon gnrale,
toute anomalie quil peut constater.
Linstallation des logiciels doit suivre les rgles en vigueur dans le laboratoire. En
particulier, il est interdit dinstaller un logiciel pouvant mettre en pril la scurit
ou pour lequel aucun droit de licence na t concd.
Ces rgles de bons usages, que rappelle opportunment la Charte utilisateur
pour lusage de ressources informatiques et de services Internet parue au Bulletin Officiel du CNRS (on peut la consulter en format pdf : http://www.cnrs.fr/
Infosecu/Charte.pdf ou en format html : http://www.cnrs.fr/Infosecu/Charte.html)
sont le reflet, au fond, du dsir de chacun de pouvoir travailler dans les meilleures
conditions possibles. Une socit sans rgle nest-elle pas aussi une socit sans
droit ? La charte nonce les devoirs de chacun pour assurer les droits de tous.
5.2 Le bon usage des moyens de communication

Quand Guillaume Martin, chercheur au CNRS ou Alexandra Dupuis, thsard au
laboratoire de Gense des particules , sexpriment en tant que tel sur le rseau,
ils engagent leur laboratoire, mais aussi lensemble de lorganisme. Ils nexpriment
pas une simple opinion personnelle , ils expriment des ides que cautionnent
leur titre et leur fonction dans lorganisme. Quand ils le font partir du site de leur
unit (site web, ftp, courrier lectronique), ils participent limage que donne
55
notre Centre National et dont dpend la confiance quon lui accorde. Ils engagent
sa responsabilit juridique. Il nest donc pas possible de faire nimporte quoi :
ne pas confondre serveur web et tribune de dbats sur le sexe des anges ;
rester modr et courtois dans ses propos ;
observer le devoir de rserve qui simpose tout fonctionnaire en particulier sur le plan politique.
Tout laxisme sur ce sujet aboutirait tt ou tard des drives incontrlables qui
mettraient en cause lexistence mme de notre organisme.
Accs aux ressources informatiques et rseau

Lutilisation des ressources informatiques partages du laboratoire et la connexion
dun quipement sur le rseau ne sont pas des droits, mais sont soumises lautorisation du directeur. Ces autorisations sont strictement personnelles et ne peuvent en aucun cas tre cdes, mme temporairement, un tiers. Elles ne valent
que pour des activits conformes la lgislation en vigueur et dans le cadre exclusif de lactivit professionnelle de leurs bnficiaires. Lapplication de ces rgles est
soumise lapprciation, au cas par cas, du responsable de lunit qui a rpondre
de la bonne utilisation de ces moyens.
Ces autorisations peuvent tre retires tout moment. Toute autorisation prend
fin lors de la cessation, mme provisoire, de lactivit professionnelle qui la justifie.
Accs aux sites Internet
56
Les connexions aux sites distants doivent se faire en respectant les rgles du bon
usage traditionnelles des rseaux et, bien entendu, dans le respect de la lgislation
en vigueur.
Il est interdit de rentrer (ou de tenter de le faire) dans des systmes, sans
en avoir les autorisations explicites.
Il est interdit de se livrer des actions mettant sciemment en pril la
scurit ou le fonctionnement dun site. En particulier, les oprations de
reprsailles, quelles quen soient les raisons, ne doivent pas tre tolres.
Toutes tentatives dusurpation didentit et dinterception de communications entre tiers doivent tre sanctionnes.
La plus grande correction est de mise dans les changes lectroniques
par courrier, forums de discussions
Un utilisateur ne doit pas ouvrir ou dposer des documents sur un serveur du laboratoire sans autorisation du directeur responsable administrativement de son contenu.
Cration, administration et gestion des serveurs FTP anonymes

Les rpertoires ouverts en criture des ftp anonymes, installs dans des systmes
mal configurs, peuvent tre utiliss dans les tentatives de pntration du rseau
des laboratoires. Ils peuvent galement servir des provocations, paralyser les systmes dinformation en saturant les serveurs, diffuser des documents illicites, ou
plus simplement, exploiter indment des ressources informatiques du CNRS.
Cest pourquoi lattention des directeurs de laboratoires et des gestionnaires de serveur est attire sur quelques points importants de la gestion des serveurs ftp.
1. Il est recommand, dans la mesure du possible, dviter la mise en place,
dans un ftp anonyme, dun rpertoire ouvert tous en criture.
Lexprience montre que cela est souvent possible. Si lutilisation dun tel
rpertoire est incontournable, ladministrateur doit vrifier chaque jour
son contenu. Ce rpertoire doit tre systmatiquement ferm lorsque
cette vrification quotidienne nest pas ou nest plus possible.
2. Pour ladministration dun serveur ftp anonyme, il est recommand de
suivre les mmes rgles de saine gestion que pour un serveur web :
dsignation dun administrateur, contrle du contenu, journalisation
des transactions, etc.
3. Il est rappel quun serveur ftp doit toujours tre administr. Pendant les
absences de ladministrateur rgulier, lunit de recherche peut soit nommer un administrateur de remplacement, soit interrompre ce service.
Installation et gestion dun serveur web

Rappelons les 12 recommandations du Comit web du CNRS sur cette question.
1. Le directeur de lunit est responsable de linformation dlivre par le
serveur de son laboratoire. Comme pour une publication traditionnelle, un serveur doit avoir un directeur de publication qui assure la
responsabilit de linformation qui est accessible sur le serveur. Cette
fonction ne peut tre assure que par le directeur du laboratoire.
2. Ne dposer sur le serveur que les informations que lon a le droit dy
mettre. Un serveur doit respecter les lois sur la presse et tous les moyens
de diffusion plus classiques. Il faut notamment faire trs attention :
aux informations nominatives (dclaration la CNIL),
aux contrats comportant des clauses de confidentialit,
aux droits dauteurs (copyright) sur les textes, images, sons, vidos
3. Ne mettre sur le serveur que des informations qui valorisent limage du
laboratoire. Les informations doivent tre opportunes, claires,
attrayantes, et mises jour autant que de besoin. Le serveur ne doit pas
tre librement utilis par le personnel pour y satisfaire ses hobbies
propres ou pour y introduire des donnes qui nont strictement rien
voir avec lactivit de lunit.
57
4. Ne pas omettre de prciser, dans la page daccueil du serveur, lappartenance au CNRS. Cette prcision est importante pour votre organisme
et vos interlocuteurs.
5. Veiller dclarer lexistence du serveur auprs du CNRS.
Cette dclaration consiste en un simple dpt ladresse lectronique :
webinfo@cnrs-dir.fr. Veillez galement informer de lexistence du serveur:
le directeur de dpartement scientifique dont relve le laboratoire ;
le dlgu rgional.
Important : cette dclaration est complmentaire et ne se substitue pas
celle effectue auprs de lInternet.
6. Dsigner un responsable de web charg du fonctionnement du serveur et de la surveillance de ce quil contient. Cet agent, proche du
directeur de lunit, distinct de ladministrateur du rseau mais ventuellement assist par une petite quipe nommment dsigne, est
charg de contrler, valider et installer tous les fichiers (informations)
sur le serveur. Il faut veiller ce quaucune autre personne de lunit
ninstalle librement des donnes sur le serveur.
7. Installer ce service sur une machine o il ny a pas de donnes sensibles
(au sens large). En effet, la machine qui hberge ce service est de fait
connue et accessible par tout lInternet. Cest donc la premire cible
pour les pirates qui, si la machine est mal configure, pourront rapidement accder toutes les donnes quelle contient. Il ne faut donc pas
mettre le serveur sur lordinateur principal du laboratoire, mais lui
ddier une petite station de travail. Cela permet aussi de faciliter les
mesures de contrle daccs qui peuvent tre installes lentre du
rseau (garde-barrire ou filtre dans le routeur).
8. Les fichiers et les rpertoires doivent y tre en lecture seule .
Laccs en criture doit tre strictement rserv au responsable de web.
Nul ne doit pouvoir introduire des modifications ou des informations
nouvelles sans passer par lui.
58
9. Journaliser les transactions.
Outre lavantage de pouvoir vrifier la pertinence de linformation, la
journalisation permet a posteriori de reconstituer et dexpliquer certaines intrusions.
10. Se mfier des rebonds.
Lutilisation de pointeurs sur dautres serveurs pour accder de plus
larges informations doit se faire avec de grandes prcautions, notamment
lorsque lon offre ainsi la possibilit daccder des informations externes
au CNRS ou bien si lon risque de violer un quelconque copyright.
11. Prvoir des restrictions daccs en lecture.

Sur un serveur, il est possible de restreindre certains groupes de
machines laccs une partie des informations (concrtement, par des
masques sur les adresses IP ou les noms de domaine). Si certaines
informations ne doivent pas tre accessibles tout lInternet mais rester
disponibles pour le personnel de lunit, il est possible de les mettre
dans un rpertoire particulier et de nen donner accs qu votre rseau
IP ou votre nom de domaine.
12. Dvelopper le serveur en franais.
En effet, une des missions de notre organisme est le dveloppement de
linformation scientifique en favorisant lusage de la langue franaise.
Naturellement, vous pouvez paralllement traduire le serveur dans les
langues trangres de votre choix.
Gestion des listes de diffusion

Rappelons les points essentiels des recommandations du Comit web sur les listes
de diffusion :
1. Les listes de diffusion rentrant dans le cadre de ces recommandations
sont celles porte large, gnralement connues et gres par un logiciel spcifique ; les alias de messagerie qui permettent, sur une petite
chelle, de faire de la diffusion quelques personnes ne rentrent pas
dans ce cadre.
2. Toute liste nouvelle doit prciser clairement :
son objet et le thme exacts sur lequel doivent porter les questions et
les discussions ;
le nom, les coordonnes et lorganisme de rattachement de ladministrateur qui gre la liste. Il doit pouvoir tre joint facilement par chacun de ses membres ;
la dure de vie de la liste, illimite, ou limite quand elle est attache un vnement particulier (manifestation scientifique, projet de
recherche coordonne, collaboration industrielle, etc.) et, dans ce
cas, la date prcise de son chance.
3. Lorsquune liste est prvue pour une dure limite, chacun de ses
abonns doit en tre inform au moment de son adhsion. La liste ne
doit pas tre laisse labandon ; elle doit tre supprime ds quarrive
son chance et les participants doivent tre informs de cette suppression.
4. Une liste peut tre hberge physiquement sur une machine administre par un site, et tre gre par un administrateur depuis un autre
site distant pouvant appartenir un autre organisme.
59
5. Les crateurs de liste sont mis en garde contre le danger que reprsente
une prolifration anarchique des listes de diffusion sur des serveurs
dunits de recherche ou dorganismes extrieurs ne possdant ni les
quipements informatiques, ni les moyens humains indispensables
leur bonne et saine gestion. Il est nettement prfrable de les faire
hberger par un site homologu.
Lensemble des textes du Comit web du CNRS peut tre consult sur lURL suivante : http://www.cnrs.fr/Gazette/Comite/comite.html
60
6
La vulnrabilit
des autocommutateurs
Les systmes dinformation ne sont pas uniquement constitus des
systmes informatiques et des rseaux dordinateurs ; il faut se rappeler
que les tlphonies (tlphones, tlcopies, portatifs) en font aussi partie
et sont galement trs fragiles, en particulier parce que les autocommutateurs ne sont pas toujours bien grs : il faut connatre ces vulnrabilits, comme utilisateurs afin de ne pas se laisser piger , ou comme
responsable de site afin de prendre les mesures qui simposent.
61
Les autocommutateurs tlphoniques privs (PABX) des campus, des laboratoires, des directions ou des services administratifs sont les lments centraux des
systmes dinformation. Ils en sont aussi des lments trs fragiles. Cette fragilit
est dautant plus dangereuse quelle est trop souvent ignore. Pourtant un piratage
peut avoir des consquences dsastreuses : dtournement de trafic, pigeage de
lignes tlphoniques, coutes, blocage des communications, etc.
Il faut se rappeler que le piratage aux tats-Unis a commenc par le tlphone, et
plus prcisment par le piratage des centraux tlphoniques. Cette dlinquance,
maintenant ancienne, a pris une ampleur considrable ; elle y a compltement
achev sa drive du ludique au lucratif. Il existe des sites Internet et des forums
de discussion particulirement actifs et bien documents spcialiss dans ce
domaine. Cest donc un problme quil faut prendre trs au srieux.
6.1 Les responsabilits

Les fabricants
Les fabricants, pour faciliter les tches de maintenance, proposent en standard
sur leur matriel un mot de passe administrateur unique, toujours le mme
dun client lautre. Ces mots de passe, qui permettent de configurer (ou de reconfigurer) une installation, sont maintenant trs largement connus des milieux
pirates. Cette vulnrabilit est dautant plus inquitante quelle sassocie dautres
dficiences lies aux exigences de la tlmaintenance : modem connect en permanence, ligne de tlmaintenance sur le MIC du PABX.
62
Lensemble de ces prestations rend le piratage des PABX ais. Le pirate, avec un
simple minitel, peut se retrouver matre du systme. Il peut tout faire, y compris
repatcher le logiciel systme pour lui attribuer des fonctionnalits non documentes , dont sa victime serait consterne dapprendre lexistence. Le pirate na
pas besoin de connatre sa victime : de chez lui, parfois du bout du monde,
connect par une simple ligne tlphonique, il a pris possession de son systme
de communication . Il va lutiliser ou le dtourner pour son plus grand profit. La
plupart du temps, il ne laissera aucune trace de ses mauvaises actions, car la journalisation dans les PABX laisse beaucoup dsirer.
Lorganisation
La Direction des tablissements a parfois aussi une large responsabilit :
en ninstaurant pas un contrle daccs de la salle o est install le
PABX : une personne mal intentionne, qui a un accs physique la
machine, pour peu quelle connaisse le mot de passe dcrit ci-dessus
peut tout faire, y compris modifier la configuration matrielle ;
en ngligeant la tche dadministration : on voit trop souvent des
situations o aucun responsable na t nomm, o il nexiste pas de
La vulnrabilit des autocommutateurs
remplaant pour suppler les absences du responsable en titre. Il nest

donc pas rare quun PABX reste de longues priodes sans tre surveill.
6.2 Recommandations dadministration

Pour le PABX
1. Il est important que tous les PABX soient administrs, cest--dire que
quelquun soit nomm responsable. Il assurera le contrle des entres et
la gestion des postes tlphoniques, mettra en place des systmes darchivage des accs, contrlera les journaux des accs et duquera les utilisateurs des nouveaux usages . Il est linterlocuteur autoris de la
Direction vis--vis des fournisseurs.
2. Le mot de passe administrateur doit tre systmatiquement chang
aprs linstallation. En aucun cas, il ne faut laisser celui du fabricant.
Cette position exige parfois une rude ngociation avec les services de
maintenance du revendeur, mais il ne faut pas transiger sur ce point.
3. Dconnecter tout modem (il y en a toujours un sur les PABX modernes,
mais il est parfois bien cach). Une intervention de maintenance,
mme prventive, ne peut se faire linsu de ladministrateur. Les services de maintenance doivent pouvoir lappeler sur une ligne directe
pour linformer de la nature de lopration et lui demander de brancher
le modem. Cette opration est enregistre ainsi que ses rsultats sur
un cahier de maintenance. Le modem est nouveau arrt la fin de
lopration.
4. Le modem ne doit pas tre connect sur une voie MIC du PABX, mais
sur une ligne directe possdant un numro diffrent du groupe de
numros affects. Cette prcaution, outre quelle permet de se protger
contre les pirates cherchant le numro du modem par balayage des
numros non affects, permet aussi de pouvoir se faire dpanner par
tlmaintenance en cas dincident sur le MIC.
63
Pour tre compltes, ces recommandations doivent tre accompagnes de
conseils de bonne utilisation des services quoffrent les PABX.
Pour une bonne utilisation des services de tlphonie

Certaines fonctionnalits des PABX sont peu connues et peu utilises. Les plus
importantes, pour le sujet qui nous occupe, sont les protections.
Il est possible de faire attribuer des communications tlphoniques un
poste distant (renvoi dappels). Pour viter cette fraude, il est recommand
dutiliser le code confidentiel clavier (cadenas) qui permet dempcher laccs un poste localement ou distance. Ce verrouillage est le seul moyen
dempcher le piratage de trafic.
Laccs la messagerie vocale est possible par nimporte qui depuis nimporte quel poste intrieur ou extrieur. Il est donc recommand chaque
utilisateur de protger sa messagerie par un code confidentiel.
Les PABX daujourdhui proposent un grand nombre de services de tlphonie. Ils
y associent souvent (toujours ?) un ensemble de protections quil faut connatre et
utiliser, sans quoi ces services sont de vritables gouffres de scurit. Cest le rle
de ladministrateur de faire connatre les protections en service.
64
7
Virus informatiques
et autres malignits
Dans les ordinateurs pullule une faune bizarre : virus, vers, cheval de Troie.
Que recouvrent ces vocables imags ? Peut-on se prmunir contre de tels
mfaits ? Que faut-il faire quand on en est victime ? Autant de questions
qui tourmentent tous ceux qui ont eu affaire un jour ce type de malveillance. Quelques connaissances rudimentaires suffisent, la plupart du
temps, pour y rpondre et se mettre ainsi labri.
65
7.1 Un peu de vocabulaire

Quest-ce quun ver ?
Un ver est un programme qui possde la facult de sauto-reproduire et de se
dplacer au travers dun rseau (cf. Le ver Internet de Robert Morris de 1988). Il se
dplace de manire autonome en exploitant des mcanismes systme ou rseau
(rpc, rlogin, etc.). Un ver est un virus rseau.
Quest-ce quune bombe logique ?

Les bombes logiques sont des lignes de codes programms insidieux, cachs dans
des programmes, avec un mode de dclenchement diffr. Ce mode exploite principalement des informations comme la date systme, le lancement dune procdure, lentre dune chane de caractres.
Quest-ce quun cheval de Troie ?

Les chevaux de Troie se prsentent gnralement sous la forme de programmes
caractre utilitaire ou ludique. Ces programmes comportent, en plus des fonctions
dclares, un mcanisme cach qui sexcute de faon illicite en parallle des
actions connues de lutilisateur. Par exemple, un cheval de Troie, en plus de ses
fonctions normales, enverra des informations un pirate ou crera dans le systme
une entre secrte qui permet dentrer sur le systme en mode administrateur sans
mot de passe.
Quest-ce quun virus ?

Pour la plupart des utilisateurs, un virus est un programme qui, leur insu, exerce
une action nuisible son environnement : modification ou destruction de fichiers,
effacement du disque dur, allongement des temps de traitement, manifestations
visuelles ou sonores plus ou moins inquitantes, etc. Cette action peut tre continue, sporadique, priodique, ou navoir lieu qu une date prcise ou selon la
conjonction dvnements extrieurs fortuits. Le virus Michelangelo, par exemple,
ne se dclenche que le 6 mars.
66
Mais on sait moins que les virus peuvent aussi servir crocheter les systmes les
plus secrets en crant des vulnrabilits caches quun autre processus exploitera ultrieurement. Ces virus ont pour mission de se dissminer afin de propager
ces vulnrabilits et de marquer les systmes atteints pour quils puissent tre
dtects par des programmes de balayage de lInternet. Ils doivent rester le plus
silencieux possible pour ne pas se faire reprer. Contrairement aux autres virus,
ils ne perturbent pas le systme et ne dtruisent pas de donnes. Ces virus-l sont
les plus dangereux, mme sils paraissent ne pas gner. Sur une machine ainsi
contamine, votre systme dinformation est un livre ouvert. Il nest plus question
alors de parler de scurit !
Virus informatiques et autres malignits
On voit ici que les virus sattaquent tous les aspects de la scurit dfinie dans la trilogie: confidentialit, intgrit, continuit de service. On les caractrisera donc par
leur mode de propagation, plutt que par leur capacit de malfaisance, trop gnrale.
En informatique, on appelle virus tout programme dordinateur capable dinfecter un autre programme dordinateur en le modifiant dune faon quil puisse,
son tour, se reproduire .
Donnes
Donnes
Donnes
Code
excutable
Code
excutable
Ver ou virus
sur
lexcutable
Avant infection
Virus/Ver
Aprs infection
Figure 6 : contamination par un virus ou un ver informatique
On admet gnralement quil existe deux classes principales de virus :

les infecteurs de fichiers qui sattachent aux programmes et exercent une
action directe ou indirecte ;
les virus du systme qui sattaquent certains fichiers vitaux du disque
dur, tels le boot-sector (premier secteur lu lamorage du disque), la FAT
(qui est la table dallocation du disque) ou les rpertoires (les tables des
matires des fichiers). Ces virus ne font pas dans la broderie. Une fois ces
zones critiques modifies ou dtruites (et cela demande peu de temps),
le contenu du disque peut tre considr comme perdu. moins quune
sauvegarde intelligente nait t effectue en temps opportun.
67
Certains virus sont capables deffectuer ces deux types de dommages. Pour en
savoir plus, voir lhistorique des virus en http://www.cnrs.fr/Infosecu/VirHisto.zip.
7.2 La prvention
La dtection de lennemi
Il existe une catgorie de dtecteurs de virus qui oprent sur une collection de
signatures. Les virus les plus simples comportent tous, en effet, une suite dins-
tructions caractristique, propre chacun, mais parfaitement identifiable et quon

appelle leur signature. On peut en tablir un catalogue qui ira en grossissant au
fur et mesure quapparatront de nouveaux virus. Les programmes qui exploitent cette mthode sappellent des scanners. Ils ne donnent que trs peu de fausses
alarmes, mais ils sont naturellement inefficaces pour les virus polymorphiques
puisque ceux-ci ont la facult de modifier leur apparence.
Linconvnient de cette mthode est la ncessit de remise jour priodique du
catalogue, ce qui impose lutilisateur de souscrire un abonnement et procure au
distributeur et lditeur de lantivirus une apprciable source de revenus.
Une autre mthode existe, qui a lavantage de ne pas ncessiter de mise jour. Elle
se base sur des algorithmes heuristiques pour souponner dans certaines successions dinstructions la possibilit dun virus. La probabilit de fausses alarmes est
plus forte quavec les scanners, mais lefficacit est permanente. Tout au moins jusqu lapparition de nouveaux concepts dattaque.
La prvention contre les virus

Nous recommandons, pour se protger des virus :
de contrler toutes les nouvelles applications installer ;
de verrouiller les supports de stockage quand ils nont pas besoin dtre
en criture ;
davoir un antivirus jour.
Les units du CNRS ont leur disposition des aides et des outils afin de les encourager amliorer lefficacit de leur protection antivirus :
la liste de diffusion sos-virus permet dchanger les questions et les
expriences (http://www.services.cnrs.fr/Listes/liste.cgi?liste=sos-virus) ;
un site de tlchargement de mises jour de logiciels F-Prot, Sam, AVP,
TBAV ;
la distribution gratuite de ces logiciels.
Les canulars
68
Sur lInternet, la diffusion dinformation est facile, gratuite, et difficilement contrlable : aussi la drive de lancer de fausses alertes est-elle vite apparue. Cest ce qui
se produit avec les canulars (myths, hoaxes, urban legends ) qui se prsentent faussement comme une alerte de scurit.
Cette pratique a t inaugure avec la fausse annonce dun prtendu nouveau
virus GOOD TIME , prsent comme trs dangereux. Cette fausse annonce
continue, plusieurs annes aprs son baptme, circuler sur lInternet, parfois
avec quelques variantes (Penpal Greetings, AOL4FREE, PKZIP300, etc.). Elle a
toujours autant de succs ! Plus gnralement, des manipulations de ce genre affectent de nombreux thmes couvrant la scurit des systmes et des rseaux, ce qui
a amen les organismes de scurit comme les CERT signer leurs messages.
Il est facile de vrifier quune alerte virus est un canular en consultant au choix
lun des sites suivants :
http://ciac.llnl.gov/ciac/CIACHoaxes.html
http://www.symantec.com/avcenter/hoax.html
http://www.stiller.com/hoaxes.htm
http://kumite.com/myths/
http://www.nai.com/services/support/hoax/hoax.asp
http://urbanlegends.miningco.com/msubvir.htm?pid=3D2733&cob=3Dhome
On trouve galement aux adresses ci-dessous les archives des canulars et autres
mythes qui courent sur Internet :
http://www.snopes.com/
http://snopes.simplenet.com/message/
http://www.urbanlegends.com/
En rgle gnrale, il ne faut faire confiance quaux sources authentifies et ne
jamais prendre pour argent comptant des informations qui vous arrivent par le
courrier lectronique. Dans tous les cas, vrifiez linformation avant de propager
le message, surtout dans une liste de diffusion. Si vous tes crdule, vous participez votre insu la malveillance.
Un nouveau danger : les macrovirus

Il est possible de rencontrer des macrovirus chaque fois quun produit offre lutilisateur la possibilit dcrire des macro-commandes permettant une criture sur
disque. La plate-forme qui comporte le plus de macrovirus est Microsoft Word
pour Windows. Les virus se propagent facilement dans cet environnement car les
fichiers .DOC contiennent la fois le texte et toutes les macros associes. Microsoft Excel est galement touch.
La fabrication dun macrovirus, contrairement aux souches anciennes o il fallait
matriser la programmation systme, est la porte dun nophyte. Cette facilit
attire les vocations malsaines et tous les jours il se cre une quantit innombrable de
nouveaux macrovirus. La procdure ancienne de rafrachissement tous les six mois
du fichier des signatures virus sur lantivirus ne suffit donc plus. Faites donc rgulirement des mises jour (au minimum une par mois) et rappelez-vous quun
macrovirus peut bloquer partiellement un laboratoire pendant plusieurs jours.
7.3 Principes de lutte contre les macrovirus

Comment se fait la contamination ?
Word devient infect ds la lecture dun fichier contamin. Le macrovirus se
propagera alors tous les fichiers ouverts avec ce Word contamin et qui sera
sauvegard (Enregistrer , Enregistrer sous , ou rponse OK linvite de
sauvegarde au moment de la fermeture du fichier).
69
Quelques prcautions
Un rcapitulatif complet est disponible sur le site http://www.cnrs.fr/Infosecu/
MVirus.zip. Les trois mthodes exposes ci-dessous sont les plus courantes :
1. Empcher la modification NORMAL.DOT
Une premire mthode de lutte contre la propagation des macrovirus consiste

empcher la modification du fichier NORMAL.DOT.
Interdire la modification du fichier NORMAL.DOT
Soit en protgeant par un mot de passe le fichier NORMAL.DOT : voir la procdure
dans http://www.cnrs.fr/Infosecu/Virus.html
Soit en protgeant le fichier NORMAL.DOT en criture : dans le menu Outils ,
choisissez la rubrique Options . Dans la bote qui apparat, slectionnez longlet
Gnral . Cochez Protection contre les virus contenus dans les macros . Fermez
la bote de commande.
Avec cette protection, chaque fois que vous ouvrirez un document contenant des
macros commandes, vous serez prvenu par une bote de dialogue qui vous demandera si vous voulez activer ou non les macros contenues dans le document.
Soit en forant l'option Confirmer l'enregistrement de NORMAL.DOT de Word.
Cliquez sur Outil , puis sur Options . Choisissez ensuite l'onglet Enregistrement . Parmi les options d'enregistrement affiches, slectionnez Confirmer l'enregistrement de NORMAL.DOT .
Vous pouvez naturellement appliquer toutes ces protections la fois ! Plusieurs prcautions valent mieux quune ; cependant beaucoup de virus actuels savent trs bien
contourner ces lignes de dfense.
2. On peut aussi dsactiver le lancement des macros au dmarrage
70
Dsactivation des macros de type AUTO

Lancez Word ou ouvrez un document en gardant la touche <majuscule> enfonce.
Cette opration permet d'empcher l'excution des macros automatiques de type
AUTO, ce qui interdit au virus l'utilisation des AutoOpen ou AutoExec pour se propager. D'une manire similaire, l'activation de ce contrle la sortie de Word fait obstacle l'excution de la macro AutoClose.
3. On peut enfin faire dsactiver les macros par Word
Si vous n'utilisez jamais les macros, prfrez la fonction de Word DsactiverMacroAuto qui a exactement le mme rle que la technique prcdente, mais opre
une dsactivation globale et systmatique (voir la procdure dans http://
www.cnrs.fr/Infosecu/Virus.html).
Malheureusement, il existe d'autres macros que celles de type AUTO. Cette
mthode n'est efficace que dans la mesure o les macrovirus ont l'amabilit de
bien vouloir n'utiliser que celles-l .
7.4 Que faire en cas dinfection par un virus ?

La meilleure protection contre les virus et les macrovirus est un antivirus jour.
Le reste est du pis-aller. Cependant, si vous vous tes laiss prendre au pige, voici
quelques conseils utiles.
Connatre son virus
Si vous pensez tre infect par un virus dont vous connaissez un des noms ou alias
(un mme virus porte plusieurs noms suivant les diteurs antivirus), procdez de
la manire suivante :
1. Rcuprez la liste des noms ou alias de ce virus sur
http://www.virusbtn.com/VGrep/search.html
2. Consultez une base de description de virus sur lun des sites suivants :
http://www.Europe.DataFellows.com/vir-info/
http://www.drsolomon.com/vircen/enc/
http://www.avp.ch/avpve/findex.stm
http://vil.mcafee.com/villib/alpha.asp
http://www.symantec.com/avcenter/vinfodb.html
Comment fabriquer une disquette de dmarrage sur PC (Win9x) :
Pour les opration suivantes, il faut utiliser un ordinateur qui na pas t infect.
1. Mettre une disquette vierge dans le lecteur
2. Lancer MS-DOS et rentrer les instructions suivantes :
FORMAT A: /S /U
COPY C:\WINDOWS\HIMEM.SYS A:\
COPY C:\WINDOWS\EMM386.EXE A:\
EXIT
3. Copier avec Notepad les trois lignes suivantes et les sauvegarder sur la
disquette sous le nom de CONFIG.SYS
DEVICE=A:\HIMEM.SYS
DEVICE=A:\EMM386.EXE NOEMS
DOS=HIGH,UMB
4. Protger la disquette en criture.
71
Dsinfecter son PC sous Win9x sans disquette de dmarrage :
Vous tes contamin. Normalement, il vous faudrait redmarrer votre ordinateur

en partant dune disquette propre mais vous navez pas pens en prparer
une quand il le fallait ! Pour linstant (avril 99), seul AVP permet de travailler avec
un systme contamin.
Comment dsinfecter son PC
Tlchargez la version DOS dAVP sur votre PC. Dcompactez-la (unzip) et placez-la
dans un nouveau rpertoire, par exemple AVP.
1. Faites repartir votre PC en mode MS-DOS.
2. Vous devez rcuprer un prompte du type "C:\>" ou "C:\WINDOWS>",
tapez les commandes suivantes :
CD \AVP
AVPLITE * \3. Quand le programme a fini de dsinfecter le disque, noubliez pas de
vrifier aussi TOUTES vos disquettes.
Dsinfecter une contamination par macrovirus
Quand l'antivirus n'a pas su dtecter un nouveau macrovirus (versions Word 6

et ultrieures pour Mac et PC), alors quelques gestes qui sauvent sont profitables connatre :
Dabord commencez par nettoyer Word lui-mme
1. Lancez Word.
2. Dans le menu Outils , choisissez la rubrique Modle et complments
3. Prenez soigneusement note de tous les modles lancs au dmarrage, ainsi que
de leur chemin daccs : il suffit de slectionner le modle pour que son chemin
daccs apparaisse en bas de la bote de dialogue.
4. Sortez de Word et jetez-les.
5. Trouvez le fichier NORMAL.DOT (il est en gnral dans c:\Program Files\Microsoft Office\ Modles ) qui est charg au dmarrage. Jetez-le.
6. Relancez Word sans ouvrir de document, activez la protection de Word contre les macros
et mettez un mot de passe au fichier NORMAL.DOT comme indiqu ci-dessus.
72
Puis nettoyez les documents contamins
1. Assurez-vous que le fichier NORMAL.DOT est verrouill et que la protection antivirus est active.
2. Pour chaque document Word contamin, ouvrez-le avec WordPad et faites un
Copier/Coller sur Nouveau Document de Word. Puis, jetez le document
contamin et enregistrez le nouveau document Word sous son ancien nom.
Si, aprs avoir effectu ces oprations, cela ne va pas mieux, cest que vous avez oubli
de dcontaminer un document : recommencez au dbut.
7.5 O trouver antivirus et documentation ?

AVP
Un accord de licence entre le CNRS et AVP* a t contract. Les agents CNRS ou
travaillant dans un laboratoire associ au CNRS peuvent acqurir ce logiciel.
Consulter : http://www.cnrs.fr/Infosecu/AVP.html
Autres antivirus
Des antivirus sont disponibles GRATUITEMENT pour les laboratoires du CNRS et de
lUniversit. Ils sont diffuss ainsi que leur mise jour par les Centres de
Ressources en Informatique (CRI) des Universits. Contactez le correspondant de
votre CRI (http://www.cnrs.fr/achats/da7.html) et veillez bien disposer en permanence de la toute dernire version du fichier des signatures virus. Vous pouvez
galement consulter le site http://www.cnrs.fr/Infosecu/viruscrp.html#Ou
Documentation
Une documentation sur les listes de diffusion vous est propose sur le site
http://www.cnrs.fr/Infosecu/viruscrp.html#Doc
Vous pouvez vous informer sur les alertes virus sur les sites suivants :
http://www.attac.net/virdesc.htm
http://www.drsolomon.com/vircen/index.cfm
http://www.symantec.com/avcenter/vinfodb.html
http://www.trendmicro.fr/infos.htm
http://www.virusbtn.com/VirusInformation/
http://www.datafellows.com/v-descs/
Une information complte sur les virus sur :
http://www.virusbtn.com/ (le clbre Virus Bulletin)
http://www.westcoast.com/
http://www.uta.fi/laitokset/virus/
http://agn-www.informatik.uni-hamburg.de/vtc/en9810.htm
Une bonne encyclopdie virus :
http://www.avpve.com/
73
* diteur du logiciel antivirus du mme nom.
8
Les aspects juridiques de la SSI
On entend souvent dire quun vide juridique rgnait sur lInternet. Rien
nest plus faux ! Sous prtexte de libert dexpression, lInternet nchappe
pas aux lois et rglements actuels qui rgissent les activits humaines et
qui ont t dfinis depuis longtemps pour tout ce qui a trait la proprit
intellectuelle, aux contrefaons et au respect de la vie prive. Or nul nest
cens ignorer la loi et tout le monde doit connatre ce qui est lgal et
ce qui ne lest pas.
75
8.1 Les traitements automatiss dinformations nominatives

La dclaration la CNIL
On appelle informations nominatives toutes informations permettant, directement ou indirectement, lidentification des personnes physiques auxquelles elles
sappliquent.
La loi du 6 janvier 1978 impose toute personne mettant en uvre un
traitement automatis de donnes nominatives den faire une dclaration
pralable auprs de la Commission Nationale de lInformatique et des
Liberts. La procdure est alourdie pour les administrations qui doivent,
quant elles, faire une demande davis pralable. Cette loi confre en outre
aux personnes faisant lobjet du traitement un certain nombre de droits :
droit dinformation pralable, droit daccs, droit de rectification.
Les fichiers comportant des informations nominatives
doivent tres dclars la CNIL
Commission Nationale
de lInformatique et des Liberts
21, rue Saint-Guillaume 75340 Paris Cedex 07
Tlphone : 01 53 73 22 22
Tlcopie : 01 53 73 22 00
http://www.cnil.fr
76
Il existe plusieurs formes de dclarations :

Demande davis : cest la demande davis pralable tout traitement de
donnes nominatives dans des services de lEtat.
Dclaration simplifie : le fichier est strictement conforme une norme
prdfinie, la procdure est alors allge.
Dclaration de modification : cest une demande davis pour une modification dun traitement de donnes nominatives dj dclare ou par rapport une norme simplifie.
Dclaration de suppression darchivage lorsquon dtruit des archives.
Exemples de normes simplifies

Norme simplifie n 9 (mai 1980) relative la gestion de prts de livres,
de supports audiovisuels et duvres artistiques.
Norme simplifie n 23 (juillet 1981) relative la gestion des membres
des associations rgies par la loi du 1er juillet 1901.
Norme simplifie n 40 (dcembre 1994) concernant la mise en uvre
dautocommutateurs tlphoniques sur les lieux de travail.
Modles dj dposs
Un certain nombre de modles types de dclaration ont t soumis la CNIL, qui
les a valids.
Pour les Universits, il sagit pour linstant essentiellement des fichiers
associs aux services des annuaires et des listes de diffusion. (voir :
http://www.cru.fr rubrique juridique).
Pour le CNRS : modle type de cration dannuaires web dans nos units
propres ou mixtes (CNRS 11/07/96) et annuaires EUDORA (CNRS
2/08/96).
Recommandations de la CNIL
pour les traitements accessibles sur lInternet
Information pralable et consentement clair des personnes objet du
traitement.
Mention de linterdiction de capture pure et simple des informations
nominatives des fins commerciales ou publicitaires.
Accs, par lien hypertexte, aux dispositions lgales applicables (loi de
1978).
Vous pouvez faire appel au service juridique du CNRS pour avoir tous les conseils
ncessaires concernant les dclarations CNIL.
8.2 Quelques lments de droit se rappeler

Droits dauteur
Lauteur dune uvre de lesprit jouit sur cette uvre, du seul fait de sa cration,
dun droit de proprit incorporelle exclusif et opposable tous.
(Art. L.111-1. du Code de la proprit intellectuelle).
Toute utilisation faite sans son consentement est considre comme illicite et sanctionne pnalement.
La seule exception : le droit de courte citation qui permet de reproduire
partiellement une uvre condition den indiquer clairement lauteur et
la source.
Les articles L.112-1.et L.112-2. du mme code prcisent que sont protges toutes
les uvres de lesprit, quels quen soient le genre, la forme dexpression, le mrite
ou la destination, et notamment :
les livres, brochures et autres crits littraires, artistiques et scientifiques ;
les confrences, allocutions, sermons, plaidoiries et autres uvres de
mme nature ;
les uvres de dessin, de peinture, darchitecture, de sculpture, de gravure, de lithographie ;
les uvres graphiques et typographiques ;
77
les uvres photographiques et celles ralises laide de techniques analogues la photographie ;

les uvres des arts appliqus ;
les illustrations, les cartes gographiques ;
les plans, croquis et ouvrages plastiques relatifs la gographie, la
topographie, larchitecture et aux sciences ;
les logiciels, y compris le matriel de conception prparatoire ;
La mise sur le rseau dun document faisant lobjet dun droit de proprit intellectuelle (texte, photographie, dessin) doit tre opre avec une extrme prudence. Il est impratif dtre titulaire des droits sur ce document ou pour le moins
dtre autoris le reproduire sur le rseau.
Intrusions informatiques
Art. 323-1. Le fait daccder ou de se maintenir frauduleusement dans tout ou partie dun systme de traitement automatis de donnes est puni dun an demprisonnement et de 100 000 F damende. Lorsquil en est rsult soit la suppression
ou la modification de donnes contenues dans le systme, soit une altration du
fonctionnement de ce systme, la peine est de deux ans demprisonnement et de
200 000 F damende.
Art. 323-2. Le fait dentraver ou de fausser le fonctionnement dun systme de
traitement automatis de donnes est puni de trois ans demprisonnement et de
300 000 F damende.
Art. 323-3. Le fait dintroduire frauduleusement des donnes dans un systme de
traitement automatis, ou de supprimer ou de modifier frauduleusement des donnes quil contient est puni de trois ans demprisonnement et de 300 000 F
damende.
qui appartiennent les logiciels raliss dans les units ?

Le CNRS est titulaire des droits sur les logiciels crs dans ses units.
78
Art. L. 113-9. Sauf dispositions statutaires ou stipulations contraires, les droits
patrimoniaux sur les logiciels et leurs documentations crs par un ou plusieurs
employs dans lexercice de leurs fonctions ou daprs les instructions de leur
employeur sont dvolus lemployeur qui est seul habilit les exercer. ()
Les dispositions du premier alina du prsent article sont galement applicables
aux agents de ltat, des collectivits publiques et des tablissements publics
caractre administratif.
Lutilisation de la langue franaise

Dans la dsignation, loffre, la prsentation () dun bien, dun produit ou dun
service, () lemploi de la langue franaise est obligatoire. Les mmes dispositions
sappliquent toute publicit crite, parle ou audiovisuelle. Article 2 de la loi
du 4 aot 1994 sur lemploi de la langue franaise.
En outre, rappelons que lemploi de la langue franaise simpose la fonction
publique et dans tout document caractre administratif ou manant dun service
de ltat.
79
Conclusion
La scurit dpend de tous, et tous les facteurs interagissent entre eux. La qualit
des hommes comptence, motivation, formation est importante ; il faut y porter un effort constant. Les techniques et les moyens financiers sont vitaux et ne
doivent pas tre ngligs. Mais de tous les facteurs et acteurs qui interviennent
dans les systmes dinformation et contribuent la force ou la faiblesse de lensemble, les directeurs dunit jouent le rle essentiel. La scurit des systmes
dinformation est une fonction de Direction. Cela ne veut pas dire que les directeurs doivent mettre une casquette et contrler les identits. Cela signifie simplement quils mettent en place une organisation et ont un style de direction qui favorise ou non la prise en charge de cette question ; que ce sont eux, qui dterminent
la politique de scurit de leur laboratoire, et que ce sont eux qui la font appliquer. Il ny a queux qui peuvent le faire, et rien ne se fera sils ne sont pas personnellement convaincus de limportance de cette tche.
De mme, lautre bout de la chane, lutilisateur final a la charge de lexcution
de tous les actes lmentaires de scurit. Sil ne voit ces mesures que comme une
somme de contraintes mises en place pour lui gcher la vie, la partie est perdue
davance. Do limportance des recommandations de scurit et des chartes informatiques qui, accompagnes des explications ncessaires, sont avant tout un
moyen de sensibilisation. Bien prsentes, elles deviennent le rglement intrieur
du club des utilisateurs ; elles sont alors facilement acceptes et la vie collective
du laboratoire y gagne en qualit.
Image symtrique du laxisme, le rigorisme est une autre dviance des conceptions
de la scurit. Oppos en apparence, cet autre excs aboutit au mme rsultat : le
blocage du systme dinformation. Il faut donc rappeler que la scurit nest pas
une fin en soi. Il ne sagit pas de partir la qute de labsolu ou de construire une
nouvelle ligne Maginot rpute infranchissable, mais de dterminer un seuil de
vulnrabilit acceptable en fonction de contraintes et dobjectifs, et den contrler
les dfaillances par des alarmes, des audits, lenregistrement des accs rseau.
Enfin, il existe une autre manire de nier la scurit : appliquer, sans les comprendre
81
et sans considration des circonstances, des rgles toutes faites. La politique de

scurit doit respecter les spcificits fortes qui caractrisent notre milieu, faute de
quoi elle subirait invitablement un rejet. Ces spcificits sont principalement louverture, limbrication des structures et le modle organisationnel :
1. Louverture des laboratoires sur le monde extrieur est une exigence obligatoire de lactivit de recherche : stagiaires et chercheurs viennent du monde
entier, les cooprations sont la plupart du temps internationales, les
rseaux sont interconnects
2. Limbrication troite des structures de divers organismes trs souvent
Universit et CNRS induit une dispersion des responsabilits. Cette
situation est encore accentue par lorganisation administrative rgionale
en liaison troite mais dcouple de la structure oprationnelle quest
le laboratoire.
3. Lorganisation des laboratoires par projets ou par thmes de recherche favorise
les structures en rteau aux liaisons organiques et hirarchiques faibles et
encourage une dilution de lautorit. Les comportements individualistes, spcifiques certains de ces milieux, sont galement prendre en compte.
Chaque laboratoire est un cas particulier. La SSI ne sapprhende pas de la mme
faon suivant quil sagit dun grand laboratoire possdant des moyens financiers
et humains importants ainsi quune culture et un savoir-faire en systme et rseau,
ou dune petite unit de recherche qui a constitu son informatique par accumulations successives sans plan, sans connaissances pralables et sans personnel technique associ. Les diffrentes units dans leurs diversits prsentent un vaste
panorama et une grande varit de structures et de cultures qui se ctoient. Il ne
saurait y avoir, par consquent, de schma prtabli quil suffirait dappliquer
la lettre . Cest pourquoi ce livret ne sintitule pas Scurit, mode demploi ,
mais plus modestement guide . Sa vocation est de vous aider fixer VOTRE
politique de scurit, non de la faire votre place.
82
Les systmes informatiques et les rseaux, qui taient nagure loutil dune certaine
lite, sont maintenant au cur de tous les systmes. Ce dveloppement technique a
permis daccrotre considrablement nos capacits de traitement, de stockage et de
transmission de linformation ; mais il a rendu en mme temps les systmes dinformation beaucoup plus fragiles. La gravit des accidents, des maladresses, des erreurs
ou des malveillances est bien plus grande quauparavant : cest souvent la perte de
plusieurs jours, parfois de plusieurs semaines de travail. Ces pertes peuvent tre
mme irrparables. Paralllement, les techniques et les savoir-faire se sont gnraliss. Il y a vingt ans, attaquer un systme informatique centralis demandait une certaine technicit quil nest plus ncessaire de possder aujourdhui. On trouve sur
Internet les botes outils toutes prtes permettant dattaquer nimporte quel site,
surtout sil est mal administr.
Conclusion
Mme Internet a chang. Il y a quelques annes, ctait un rseau limit des personnes dune mme communaut, celle de la recherche et de lenseignement. Les
malveillances taient rares, car il tait facile de connatre lidentit dun linterlocuteur. Maintenant lInternet est un rseau ouvert et anonyme que certains voudraient transformer en zone de non droit. Nos habitudes dutilisation des services
de ce rseau plantaire , ainsi que lorganisation de nos systmes dinformations
qui datent de cette poque rvolue, doivent changer eux aussi. Cela prendra du
temps car la tche est immense. Raison de plus pour commencer maintenant.
83
Annexe A
La charte utilisateur
Charte utilisateur
pour lusage de ressources informatiques
et de services Internet
DEC 99 8407 DCAJ portant approbation de la charte utilisateur pour lusage
de ressources informatiques et de services Internet
Ce texte, associ au rglement intrieur des entits, est avant tout un code de bonne
conduite. Il a pour objet de prciser la responsabilit des utilisateurs en accord avec
la lgislation afin dinstaurer un usage correct des ressources informatiques et des
services Internet, avec des rgles minimales de courtoisie et de respect dautrui*.
1. Dfinitions
On dsignera de faon gnrale, sous le
terme ressources informatiques , les
moyens informatiques de calcul ou de gestion locaux ainsi que ceux auxquels il est
possible daccder distance, directement ou
en cascade partir du rseau administr par
lentit.
On dsignera par services Internet la
mise disposition par des serveurs locaux
ou distants de moyens dchanges et dinformations diverses : web, messagerie,
forum
* Pour tout renseignement complmentaire,
vous pouvez vous adresser votre correspondant scurit.
On dsignera sous le terme utilisateur

les personnes ayant accs ou utilisant les ressources informatiques et services Internet.
On dsignera sous le terme entit les
entits administratives cres par le CNRS
pour laccomplissement de ses missions,
telles que les units de recherche ainsi que
les services et directions administratives.
2. Accs aux ressources

informatiques et services Internet
Lutilisation des ressources informatiques et lusage des services Internet ainsi
que du rseau pour y accder ne sont autoriss que dans le cadre exclusif de lactivit
professionnelle des utilisateurs conformment la lgislation en vigueur.
85
Lactivit professionnelle est celle prvue

par les statuts du GIP RENATER auquel est
li le CNRS, savoir : les activits de
recherches, denseignements, de dveloppements techniques, de transferts de technologies, de diffusion dinformations
scientifiques, techniques et culturelles,
dexprimentations de nouveaux services
prsentant un caractre dinnovation technique, mais galement toute activit administrative et de gestion dcoulant ou
accompagnant ces activits.
Lutilisation des ressources informatiques
partages de lentit et la connexion dun
quipement sur le rseau sont en outre soumises autorisation. Ces autorisations sont
strictement personnelles et ne peuvent en
aucun cas tre cdes, mme temporairement, un tiers. Ces autorisations peuvent
tre retires tout moment. Toute autorisation prend fin lors de la cessation mme provisoire de lactivit professionnelle qui la
justifie.
Lentit pourra en outre prvoir des restrictions daccs spcifiques son organisation : (Carte puce daccs ou dauthentification, filtrage daccs scuris)
3. Rgles dutilisation,
de scurit et de bon usage
86
Tout utilisateur est responsable de

lusage des ressources informatiques et du
rseau auxquels il a accs. Il a aussi la
charge, son niveau, de contribuer la
scurit gnrale et aussi celle de son
entit.
Lutilisation de ces ressources doit tre
rationnelle et loyale afin den viter la saturation ou leur dtournement des fins personnelles.
En particulier :
il doit appliquer les recommandations de
scurit de lentit laquelle il appartient ;
il doit assurer la protection de ses informations et il est responsable des droits

quil donne aux autres utilisateurs, il lui
appartient de protger ses donnes en
utilisant les diffrents moyens de sauvegarde individuels ou mis sa disposition ;
il doit signaler toute tentative de violation
de son compte et, de faon gnrale,
toute anomalie quil peut constater ;
il doit suivre les rgles en vigueur au sein de
lentit pour toute installation de logiciel;
il choisit des mots de passe srs, gards
secrets et en aucun cas ne doit les communiquer des tiers ;
il sengage ne pas mettre la disposition
dutilisateurs non autoriss un accs aux
systmes ou aux rseaux, travers des
matriels dont il a lusage ;
il ne doit pas utiliser ou essayer dutiliser
des comptes autres que le sien ou de
masquer sa vritable identit ;
il ne doit pas tenter de lire, modifier,
copier ou dtruire des donnes autres
que celles qui lui appartiennent en
propre, directement ou indirectement.
En particulier, il ne doit pas modifier le
ou les fichiers contenant des informations comptables ou didentification ;
il ne doit pas quitter son poste de travail
ni ceux en libre-service sans se dconnecter en laissant des ressources ou services accessibles.
4. Conditions de confidentialit
Laccs par les utilisateurs aux informations et documents conservs sur les systmes informatiques doit tre limit ceux
qui leur sont propres, et ceux qui sont
publics ou partags. En particulier, il est
interdit de prendre connaissance dinformations dtenues par dautres utilisateurs,
quand bien mme ceux-ci ne les auraient pas
explicitement protges. Cette rgle sapplique galement aux conversations prives
de type courrier lectronique dont lutilisa-
Annexe A
teur nest destinataire ni directement, ni en

copie. Si, dans laccomplissement de son travail, lutilisateur est amen constituer des
fichiers tombant sous le coup de la loi Informatique et Liberts, il devra auparavant en
avoir fait la demande la CNIL en concertation avec le directeur de lentit et la Direction des Contrats et des Affaires Juridiques
du CNRS et en avoir reu lautorisation. Il est
rappel que cette autorisation nest valable
que pour le traitement dfini dans la
demande et pas pour le fichier lui-mme.
5. Respect de la lgislation
concernant les logiciels
Il est strictement interdit deffectuer des
copies de logiciels commerciaux pour
quelque usage que ce soit, hormis une
copie de sauvegarde dans les conditions
prvues par le code de la proprit intellectuelle. Ces dernires ne peuvent tre
effectues que par la personne habilite
cette fin par le responsable de lentit.
Par ailleurs lutilisateur ne doit pas installer de logiciels caractre ludique, ni
contourner les restrictions dutilisation
dun logiciel.
6. Prservation de lintgrit
des systmes informatiques
Lutilisateur sengage ne pas apporter
volontairement des perturbations au bon
fonctionnement des systmes informatiques et des rseaux que ce soit par des
manipulations anormales du matriel, ou
par lintroduction de logiciels parasites
connus sous le nom gnrique de virus,
chevaux de Troie, bombes logiques Tout
travail de recherche ou autre, risquant de
conduire la violation de la rgle dfinie
dans le paragraphe prcdent, ne pourra
tre accompli quavec lautorisation du responsable de lentit et dans le strict respect
des rgles qui auront alors t dfinies.
7. Usage des services Internet

(web, messagerie, forum)
Lutilisateur doit faire usage des services Internet dans le cadre exclusif de ses
activits professionnelles et dans le respect de principes gnraux et des rgles
propres aux divers sites qui les proposent
ainsi que dans le respect de la lgislation
en vigueur.
En particulier :
il ne doit pas se connecter ou essayer de
se connecter sur un serveur autrement
que par les dispositions prvues par ce
serveur ou sans y tre autoris par les responsables habilits ;
il ne doit pas se livrer des actions mettant sciemment en pril la scurit ou le
bon fonctionnement des serveurs auxquels il accde ;
il ne doit pas usurper lidentit dune
autre personne et il ne doit pas intercepter de communications entre tiers ;
il ne doit pas utiliser ces services pour
proposer ou rendre accessible aux tiers
des donnes et informations confidentielles ou contraires la lgislation en
vigueur ;
il ne doit pas dposer des documents sur
un serveur sauf si celui-ci le permet ou
sans y tre autoris par les responsables
habilits ;
il doit faire preuve de la plus grande correction lgard de ses interlocuteurs
dans les changes lectroniques par courrier, forums de discussions
il nmettra pas dopinions personnelles
trangres son activit professionnelle
susceptibles de porter prjudice au
CNRS ;
il doit simposer le respect des lois et
notamment celles relatives aux publications caractre injurieux, raciste, pornographique, diffamatoire.
87
Lentit ne pourra tre tenue pour responsable des dtriorations dinformations

ou des infractions commises par un utilisateur qui ne se sera pas conform ces
rgles.
8. Analyse et contrle
de lutilisation des ressources
Pour des ncessits de maintenance et
de gestion technique, lutilisation des ressources matrielles ou logicielles ainsi que
les changes via le rseau peuvent tre analyss et contrls dans le respect de la lgislation applicable et notamment de la loi sur
linformatique et les liberts.
9. Rappel des principales

lois franaises
Il est rappel que toute personne sur le
sol franais doit respecter la lgislation
franaise en particulier dans le domaine de
la scurit informatique :
la loi du 6/1/78 dite informatique et
libert (cf. http://www.cnil.fr/) ;
la lgislation relative la fraude informatique (article 323-1 323-7 du Code
pnal) (cf.http://www.legifrance.gouv.fr/
citoyen/code.cgi) ;
88
la lgislation relative la proprit intellectuelle (cf. http://www.legifrance.gouv.

fr/citoyen/code.cgi) ;
la loi du 04/08/1994 relative lemploi
de la langue franaise (cf. http://www.
culture.fr/culture/dglf/) ;
la lgislation applicable en matire de cryptologie (cf. http://www.telecom.gouv.fr/
francais/activ/techno/crypto0698_1.htm).
10. Application
La prsente charte sapplique lensemble des agents du CNRS tous statuts
confondus, et plus gnralement lensemble des personnes, permanentes ou
temporaires, utilisant les moyens informatiques de lentit ainsi que ceux auxquels il
est possible daccder distance directement ou en cascade partir du rseau
administr par lentit.
Elle sera annexe, titre dinformation,
aux contrats de travail conclus avec les
agents contractuels qui auront accs au systme informatique de leur entit.
Elle sera en outre signe par toutes personnes accueillies au CNRS et ayant accs
au dit systme.
Annexe B
Vocabulaire abrg
des techniques de piratage
PIRATAGE DUN SITE INFORMATIQUE

Contournement du point d'entre (Back door)
Branchement clandestin d'un modem

une station du rseau local, de manire
se connecter directement de/vers l'extrieur.
Dcouverte du numro de squence
(TCP sequence number guessing)
Calcul du numro de squence TCP

afin d'agir en aveugle .
Espionnage du rseau (Sniffeur)
coute des paquets pour dterminer la

topologie et les comptes utiliss.
Fragmentation des paquets (IP fragmentation)
Modification de l'offset de fragmentation pour obtenir un recouvrement des

donnes.
Routes par dfaut (Source routing)
Dtournement des paquets IP vers une

station pirate.
Saturation du rseau (TCP denial of service)
Atteinte la disponibilit du rseau par

envoi d'un grand nombre de demandes
de connexion.
Table de conversion d'adresse (DNS hacking)
Modification des tables du serveur de

nom.
Usurpation d'adresse (IP spoofing)
Utilisation d'une adresse IP interne

depuis l'extrieur.
Usurpation de nom de domaine
(DNS spoofing)
Dtournement des requtes DNS vers

une station pirate.
Vol de connexion (TCP connection hacking)
Intrusion sur le routeur (Router hacking)
Utilisation du compte administrateur

pour modifier les tables de routage.
Utilisation d'une connexion aprs

authentification de l'utilisateur autoris.
89
PIRATAGE DUN SERVEUR

OU DUNE STATION
Applet JAVA (JAVA applet)
Rcupration d'informations prives,

voire d'excution de programmes, sur
la station de l'utilisateur.
Mystification (User mystification)
Utilisation de l'identit d'un utilisateur

autoris pour changer des messages et
rcuprer des informations.
Outil d'analyse rseau (SATAN, ISS)
Exploitation d'un service rseau non

contrl pour accder au systme.
Bogue du serveur (Server bug)
Exploitation d'unebogue du serveur

pour lancer des commandes systme.
Bogue du systme dexploitation. (O.S. bug)
Exploitation d'un bogue du systme

pour lancer des commandes avec des
droits usurps.
Bombe E-mail (Email bomber)
Saturation de la bote aux lettres d'un

utilisateur.
Cheval de Troie (Trojan horse)
Rcupration d'un cheval de Troie

dclenchant une action non autorise
sur le systme.
Fonction JavaScript (JavaScript command)
Rcupration d'informations prives

sur la station de l'utilisateur grce aux
fonctions JavaScript.
Module ActiveX (ActiveX code)
Rcupration d'informations prives,

voire d'excution de programmes, sur
la station de l'utilisateur.
90
Profil de consultation (User profile)
Rcupration du profil d'un utilisateur

par analyse des consultations effectues
afin de mieux le connatre, voire de le
dsinformer.
Script CGI (CGI script)
Envoi vers le serveur de commandes
systme rcupres comme paramtres
par le script CGI.
Utilisation des ressources (Use of resource)
Ajout de pages personnelles consulter ou
de fichiers personnels tlcharger dans la
base du serveur.
Virus informatique
Rcupration d'un virus infectant le systme.
Vol de compte utilisateur
(Name and password guessing)
Dcouverte d'un mot de passe associ un
compte utilisateur pour usurper l'identit de
ce dernier et agir sur le serveur.
Annexe C
Serveurs
dinformations utiles
UREC : unit rseaux du CNRS : recom-
SCSSI : Le site du Service Central de la
mandations CNRS, cours, articles, outils

de base, pointeurs vers autres serveurs.
Informations cibles pour les laboratoires
CNRS.
http://www.urec.fr/
securite
Scurit des Systmes dInformation.

http://www.scssi.gouv.fr/
Service du Fonctionnaire de dfense du
COMMUNICATION: Dernires infor-
mations gouvernementales lies lInternet (rglementation franaise en matire

de cryptologie, nom de domaine).
http://www.telecom.gouv.fr/francais.htm
CNRS : protection du patrimoine,

recommandations CNRS, virus, bulletin
scurit informatique. Informations
cibles pour les laboratoires CNRS.
http://www.cnrs.fr/Infosecu/accueil.html
OSSIR : association avec groupes de tra-
Service juridique du CNRS : lInternet et
CERT-CC : CERT avec logiciels de scu-
la lgislation. Informations cibles pour

les
laboratoires
CNRS.
http://
www.sg.cnrs.fr/internet/legislation.htm
rit, documents, notes dinformation

ftp://info.cert.org/pub
vail Unix, rseaux et Windows NT.

http://www.ossir.org/
CIAC : CERT avec logiciels de scurit,

Comit
Rseaux des Universits

(CRU) : normment de rfrences sur
tout ce qui a trait la scurit, une des
rfrences franaises, trs complte.
http://www.cru.fr/Securite/index.html
CNIL : Informatiques et Liberts mais
aussi des conseils et des informations lis

lInternet. http://www.cnil.fr
documents, notes dinformation

http://ciac.llnl.gov:80/ciac/
FTP : de l Eindhoven University of
Technology ftp://ftp.win.tue.nl/pub/
security/
91
Bibliographie
thmatique abrge
INTERNET
Internet and tcp/ip security for Unix administrators. PABRAI.

Mac Graw Hill USA. ISBN 0-07-048215-2 (11/1996), 320 p. (320 FF)
Computer networks and Internet. (2e d.). COMER.
Prentice Hall. ISBN 0-13-084222-2 (02/1999), 580 p. (320 FF)
Internet: complete reference, millenium edition. YOUNG.
Mac Graw Hill USA. ISBN 0-07-211942-X (04/1999), 992 p. (365 FF)
SCURIT UNIX
Security in computing. (2e d.). PFLEEGER.

Practical Unix and Internet security. (2e d.). GARFINKEL.
OReilly. ISBN 1-56592-148-8 (05/1996), 971 p. (339 FF)
Cookbook for serving the Internet Unix version. BOURNE.
Linux configuration & installation. (4e d.). VOLKERDING.
Transworld publishers ltd. ISBN 0-7645-7005-6 (10/1998), 554 p. (300 FF)
SCURIT WINDOWS NT
Guide pratique de la scurit sous Windows NT. SHELDON.

Vuibert. ISBN 2-7117-8623-4 (07/1998), 588 p. (320 FF)
Windows NT 4.0 Registry professional reference. THOMAS.
Windows NT 4.0 server: security guide. GONCALVES.
ADMINISTRATION DES RSEAUX
Heterogeneous Internetworking. SINGH.

Scurit rseaux. STANG.
Dunod. ISBN 2-10-002108-7 (11/1996), 652 p. (298 FF)
93
VIRUS
Du virus lantivirus, guide danalyse. LUDWIG.

Dunod. ISBN 2-10-003467-7 (05/1997), 720 p. (398 FF)
ROUTEURS ET GARDES-BARRIRES
Firewalls and Internet security. (2e d.). CHESWICK.

Addison Wesley. ISBN 0-201-63466-X (04/1999), 340 p. (330 FF)
Firewalls complete. GONCALVES.
Building Internet firewalls. CHAPMAN.
OReilly. ISBN 1-56592-124-0 (10/1995), 515 p. (279 FF)
Introduction to Cisco router configuration. CHAPPELL.
MTP. ISBN 1-57870-076-0 (12/1998), 900 p. (455 FF)
CRYPTOLOGIE
Cryptographie applique. (2e d.). SCHNEIER.

ITPS. ISBN 2-84180-036-9 (11/1996), 896 p. (355 FF)
Handbook of applied cryptography. MENEZES.
CRC Press. ISBN 0-8493-8523-7 (01/1997), 816 p. (656 FF)
Internet cryptography. SMITH.
Addison Wesley. ISBN 0-201-92480-3 (08/1997), 356 p. (250 FF)
Basic methods of cryptography. LUBBE.
Cambridge University Press. ISBN 0-521-55559-0 (03/1998), 243 p. (230 FF)
WEB
WWW security: How to build a secure World Wide Web. MAC GREGOR.
Protecting your website with firewalls. GONCALVES.
DINTRT GNRAL
94
Menace sur Internet. DESTOUCHE.

dition Michalon. ISBN 2-84186-101-5 (100 FF)
Knowledge power: quality information and knowledge. LEE.
Cyberwars espionnage on the Internet. GUISNEL.
Plenum. ISBN 0-306-45636-2 (08/1997), 295 p. (250 FF)
Intelligence stratgique sur Internet. REVELLI.
Dunod. ISBN 2-10-003621-1 (04/1998), 212 p. (185 FF)
Du renseignement lintelligence conomique. BESSON.
Dunod. ISBN 2-10-003220-8 (11/1996), 224 p.
Scurit et qualit des systmes dinformation. GUINIER.
Masson. ISBN 2-225-82686-2 (01/1992), 300 p. (319 FF)
Droit lpreuve du numrique. CATALA.
PUF. ISBN 2-13-049357-2 (05/1998), 352 p. (138 FF)
Coordination et conseil technique

Jacqueline Leclre
CNRS-DIST
Conception graphique et ralisation

La Souris
Dessins
Loc Faujour
CNRS - 2 e trimestre 1999 - ISBN 2-910986-21-7
Centre National de la Recherche Scientifique

3, rue Michel-Ange
75794 Paris Cedex 16
Tlphone : 01 44 96 41 84
Tlcopie : 01 44 96 49 95
Courriel : robert.longeon@cnrs-dir.fr
http://www.cnrs.fr/Infosecu
CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE

Guide Securite

Transféré par

Droits d'auteur :

Formats disponibles

Vous aimerez peut-être aussi

Guide Securite

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide Securite

Transféré par

Droits d'auteur :

Formats disponibles

Guide de la scurit

des systmes dinformation

des systmes dinformation

Cet ouvrage a t conu et rdig par

Pourquoi protger les produits

Laccs, par Internet notamment, une masse en forte croissance dinformations

Comment les protger

2. Le rle du management dans la scurit .................................. 19

3. Sur quelles organisations sappuyer ?........................................... 29

4. Quelques recommandations lmentaires ............................... 35

4.1 Organiser, prvoir et sensibiliser............................................................... 36

5. Les rgles de bon usage ........................................................................... 53

6. La vulnrabilit des autocommutateurs .................................... 61

7. Virus informatiques et autres malignits .................................. 65

8. Les aspects juridiques de la SSI ........................................................ 75

Bibliographie thmatique abrge ......................................................... 93

Guide de la scurit des systmes dinformation

Guide de la scurit des systmes dinformation

1.1 La scurit des systmes dinformation

La politique de scurit du laboratoire est lexpression de ces objectifs. Elle

Valeur et proprits dune information

Les menaces dInternet

1.2 Lagression par lInternet

Guide de la scurit des systmes dinformation

Lagression peut tre opportuniste . Lagresseur a repr (par un programme de

1.3 Comment se manifeste une agression

Les menaces dInternet

Tout ce qui porte atteinte lintgrit du systme

Tout ce qui porte atteinte la confidentialit des informations

Tout ce qui porte atteinte la disponibilit des services

1.4 Les techniques dagression utilises

La recherche de trous de scurit sur les serveurs

Guide de la scurit des systmes dinformation

Blocage des systmes ou de la liaison dentre

SPAM Relais de messagerie

Intrusion dans un systme

Les menaces dInternet

un logiciel install en mode debug , dont on oublie trop quil ouvre

La premire et la plus banale est la recherche des comptes sans mots de

Des mthodes opportunistes dans lesquelles lagresseur cherche tirer

Des mthodes systmatiques dans lesquelles lagresseur commence par

Guide de la scurit des systmes dinformation

connu des initis, un mot de passe tir dun dictionnaire (il y en a de

coute du rseau Ethernet

Quelques recommandations pour limiter ce problme dcoute :

Les menaces dInternet

Attaques des services rseau

Comportements dlictueux de certains utilisateurs de nos laboratoires

Guide de la scurit des systmes dinformation

2.1 quoi sert la scurit ?

Prter, cest donner !

Le rle du management dans la scurit

Receleur malgr soi !

Guide de la scurit des systmes dinformation

Histoire dun courrier trop bien diffus

La confiance oui, mais pas nimporte quel prix !

De trs nombreuses fois, lorsquune machine a t pntre dans un laboratoire,

Le rle du management dans la scurit

Ce que sauvegarder veut dire