Académique Documents
Professionnel Documents
Culture Documents
Guide Securite
Guide Securite
Guide Securite
lusage
des directeurs
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
Guide de la scurit
Robert Longeon
Charg de mission la scurit
des systmes dinformation du CNRS
Jean-Luc Archimbaud
Charg de mission la scurit
des rseaux du CNRS
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
Avant-propos
Avant-propos
Sommaire
Introduction ................................................................................................................ 7
1. Les menaces de lInternet ......................................................................... 9
1.1 La scurit des systmes dinformation .................................................. 10
1.2 Lagression par lInternet .............................................................................. 11
1.3 Comment se manifeste une agression ...................................................... 12
1.4 Les Techniques dagression utilises......................................................... 13
Sommaire
Conclusion ................................................................................................................ 81
Annexes
Annexe A : La charte utilisateur ....................................................................... 85
Annexe B : Vocabulaire abrg des techniques de piratage...................... 89
Annexe C : Serveurs dinformations utiles ..................................................... 91
Introduction
La qualit de nos recherches dpend troitement des changes et des dbats que
nous pouvons mener au sein de notre communaut scientifique. Cette dpendance est telle, quon considre de plus en plus la capacit de communiquer
comme un indicateur significatif de dynamisme . Le rseau Renater et lInternet
ont constitu une volution majeure. Ils sont maintenant si naturels, quon croirait quils ont toujours exist. Les facilits offertes pour les transferts de fichiers, le
courrier lectronique, les listes de diffusion, les webs, les forums entre autres
ont permis un dveloppement spectaculaire et fructueux des changes scientifiques. Mais, paralllement la mutation extraordinaire de nos mthodes de travail qua induit cette volution, nous assistons des phnomnes parasitaires
inquitants notamment depuis louverture dInternet des activits prives ou
commerciales qui confirment la ncessit, pour les organismes qui veulent pouvoir librement communiquer, stocker et traiter les donnes, de protger leurs systmes dinformation.
De nouvelles formes de malveillance ont rcemment fait leur apparition ; elles risquent de perturber gravement le fonctionnement des laboratoires. Certaines de ces
malveillances constituent des crimes ou des dlits et peuvent entraner des poursuites judiciaires ; dautres provoquent une entrave la communication scientifique. Plus inquitante encore est lapparition dune dlinquance organise qui
cherche pntrer les systmes pour sapproprier de linformation et la monnayer
aux plus offrants. Linformation, mme dapparence anodine, constitue aprs compilation, recoupements et traitements, une valeur marchande pour des groupes de
mieux en mieux structurs. De ce point de vue, nous avons dpass lpoque du
vulgaire bricoleur solitaire qui, par jeu ou par dfi, cherche pntrer les systmes
les mieux protgs. Les pirates daujourdhui oprent en bande, plus ou moins
infiltre par les mafias ; ils utilisent des recettes toutes prtes quils rcuprent sur
des sites spcialiss et, contrairement la lgende, ne sont guids par aucune
thique. Pour ces prdateurs dun nouveau type, les laboratoires universitaires et
les diffrents instituts de recherche constituent des cibles privilgies. Nos principaux partenaires dans les collaborations internationales, quils soient amricains,
europens ou japonais, prennent trs au srieux ces menaces ; il arrive mme quils
nous montrent du doigt pour ce quils considrent comme du laxisme de notre
part. lvidence, notre organisme ne peut rester plus longtemps lcart de cette
mobilisation et ignorer ces dangers, sans courir les risques graves de voir nos systmes dinformation se dgrader progressivement, notre patrimoine scientifique se
faire piller et nos partenaires internationaux se dtourner de nous, de crainte de
compromettre leur propre scurit.
La scurit des systmes dinformation (SSI) au CNRS sest toujours prsente
dans un contexte spcifique difficile. Nagure encore, les mots mmes de scurit ou de protection du patrimoine scientifique taient tabous. Le rle du
Fonctionnaire de Dfense restait trs obscur et pour certains inquitant. Les
correspondants scurit taient jugs comme accessoires, souvent inutiles. Les
mises en garde sur les risques des rseaux ouverts ne suscitaient trop souvent
quindiffrence. La rgle tait la science exclusivement . Aujourdhui, ce seuil est
pour lessentiel dpass ; la grande majorit des personnels, dans la plupart des
laboratoires, est prte simpliquer activement dans la mise en uvre dune vritable politique de scurit pourvu quil trouve auprs de leur Direction un soutien
et des orientations. Ce guide est fait pour aider les directeurs dans ce rle.
1
Les menaces de lInternet
En quoi linterconnexion des rseaux le rseau mondial modifie-t-elle
les exigences de scurit ? Quelles sont les nouvelles menaces qui guettent
nos systmes dinformation depuis louverture des services dInternet au
grand public ? Ce sont des questions quaujourdhui personne, surtout
pas un responsable, ne peut ignorer.
Systmes dinformation
Linformation se prsente sous trois formes : les donnes, les connaissances et les
messages. On a lhabitude de dsigner par systme dinformation lensemble
des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre linformation. De fait, on confond souvent, mme si ce nest pas trs exact,
la notion de systmes et rseaux informatiques et celle de systmes dinformation (SI) . On dira donc quun systme dinformation est tout moyen dont le
fonctionnement fait appel dune faon ou dune autre llectricit et qui est destin
laborer, traiter, stocker, acheminer, prsenter ou dtruire linformation (AGI
n900/SGDN).
Scurit
Le concept de scurit des systmes dinformation recouvre un ensemble de
mthodes, techniques et outils chargs de protger les ressources dun systme
dinformation afin dassurer :
la disponibilit des services : les services (ordinateurs, rseaux, priphriques, applications) et les informations (donnes, fichiers) doivent
tre accessibles aux personnes autorises quand elles en ont besoin ;
la confidentialit des informations : les informations nappartiennent pas
tout le monde ; seuls peuvent y accder ceux qui en ont le droit ;
lintgrit des systmes : les services et les informations (fichiers, messages) ne peuvent tre modifis que par les personnes autorises
(administrateurs, propritaires).
10
nest pas uniquement le fait de malveillances. Il est plus souvent encore, la consquence de pannes, de maladresses, daccidents ou derreurs humaines dont les
plus frquentes sont les erreurs de conception. Ces phnomnes relvent de la
sret de fonctionnement qui est une autre manire dapprhender la scurit
globale. Les sauvegardes, le fonctionnement en mode de repli, la redondance, etc.
font aussi partie de la trousse outils traditionnelle de la scurit prise dans son
sens gnral.
Avec le dveloppement de linformatisation des changes (courriers officiels, transactions financires, commerciales), la simple affirmation de la valeur de linformation nest plus suffisante. Il est ncessaire dy adjoindre des proprits nouvelles comme lauthentification (garantie de lorigine dun message, de lauteur
dun document), la paternit (linformation ne peut pas tre rpudie par son
auteur), la traabilit (on connat le circuit qua suivi une information), etc. La prservation et la garantie de ces proprits ressortent encore de la fonction scurit .
11
12
Du temps o linformatique tait centralise, les menaces physiques (pntration dans des locaux informatiques sans autorisation, vol, vandalisme) reprsentaient les menaces majeures. En ces temps bnis, la protection pouvait se rsumer en quelques mesures de contrle daccs : grosses serrures, sas et gardiens
taient la panoplie usuelle. La situation est aujourdhui bien diffrente. Certes, il
y a toujours les vols de matriel, lutilisation de la console matresse pour pntrer
un systme ou le pigeage dun rseau Ethernet ou public pour le mettre sur
coute ; mais globalement, la dangerosit de ce type de menaces, dont les remdes
sont connus et prouvs, est sans commune mesure avec les agressions menes
par le rseau, qui se ralisent sans la prsence physique de lagresseur. Ces agressions par le rseau ont maintenant trs largement atteint un seuil critique et ont
ne sait pas toujours quelle parade leur opposer. Dans le palmars de cette nouvelle
dlinquance, on retrouve ple-mle :
13
Une fois le site mal administr repr, lexploitation des vulnrabilits est la porte de nimporte quel malfrat : on trouve sur Internet des sites proposant des programmes tout prts accompagns de toutes les explications dtailles pour pntrer les systmes en utilisant les trous de scurit connus.
15
16
La charte utilisateur est loccasion de sensibiliser les personnels du laboratoire sur le caractre dlictueux de ce comportement et de diminuer
ainsi la menace interne .
17
* Un site warez est gnralement un FTP-anonyme, ouvert en criture, squatt par des pirates
qui y ont cr une arborescence cache pour y dposer des binaires illicites (textes, photos, programmes pirats,), afin de pouvoir les changer anonymement dans des forums de discussions. Le laboratoire est ainsi compromis dans des trafics qui sont parfois extrmement graves !
2
Le rle du management
dans la scurit
La dtermination et la supervision de la politique de scurit sont des
fonctions de direction. Rien de valable ne peut se faire sans le directeur :
encore faut-il quil en connaisse tous les enjeux. Largument la scurit,
cest le problme dun administrateur systme nest-il pas une forme de
dmission ? Nest-ce pas avouer quon cherche des solutions techniques
des problmes qui sont dabord organisationnels ? Certes, avec davantage
de moyens, nous ferions plus et mieux. Certains laboratoires en savent
quelque chose ! Cependant, un moment ou un autre, il faut bien faire
avec ce quon a le mieux possible. Cet autre argument, la scurit, a
cote trop cher , nest-il pas lexcuse facile au laxisme ?
19
20
Dans ce laboratoire, un gros effort avait t fait pour faciliter la connexion aux systmes informatiques partir de lextrieur. Les chercheurs peuvent se connecter
de chez eux sur leur station et travailler comme sils taient leur bureau. Cest
pratique, dautant que, en se faisant rappeler par le modem du labo, cela ne leur
cote que le prix dune communication locale. La tentation est grande, cependant,
de confier la famille les mots de passe, et donc laccs aux moyens informatiques de cet important laboratoire. Pour le gamin lycen, cest loccasion de naviguer sur le web dans des conditions idales et sans que les parents se fchent la
rception des factures tlphoniques. Mais, trs rapidement, les joies de la navigation sur le web saffadissent, et, apprenant plutt vite, le bambin passe dautres
activits beaucoup moins innocentes. Le laboratoire travaille dans des domaines
qui intressent apparemment beaucoup de monde, car lenfant se fait contacter
par un groupe de pirates internationaux pour changer des informations .
Laffaire est grave car elle touche la scurit de ltat. Que risque le gamin ? Le
pre est-il complice sans le savoir ? Quelle est la responsabilit du laboratoire ?
Dtournement de sites
Un serveur web, quand il est administr par des personnes aux intentions malveillantes, peut servir pirater les systmes clients qui utilisent des navigateurs
mal configurs. Cest la raison pour laquelle il faut tre trs prudent quand vous
autorisez lexcution dapplet Java, dactiveX ou mme simplement quon vous
demande de remplir un formulaire. Vous serez dautant plus prudent que le site
que vous visitez ne prsente pas de garanties dintgrit suffisantes. Mais
lorsque le serveur est celui dune honorable institution (comme un laboratoire),
vous avez toute confiance et vous avez bien raison. Mais parfois Nombreux sont
les serveurs web qui se font pirater et sur lequel on retrouve des sniffeurs (dispositif permettant dcouter les mots de passe). Pour installer un sniffeur sur
une machine, il faut avoir les privilges du super administrateur. Cela signifie que,
outre que le pirate rcupre tous les couples login/password qui circulent en clair
(cas standard) sur le rseau, il a pris le contrle total de votre machine serveur et
quil pourra faire subir vos clients tous les derniers outrages la mode .
Quelle est votre responsabilit juridique si la victime porte plainte ? Dans tous les
21
cas de figure, quelle est votre responsabilit morale, si vous navez pas pris toutes
les mesures ncessaires pour prvenir ce type de dlit ?
Combien a cote ?
Le CNRS traite tous les ans plusieurs dizaines daffaires de piratage ayant entran
des dommages graves. Les cas courants sont ceux relatifs aux vols de rsultats de
recherche dbouchant sur des produits industriels. Il est difficile de chiffrer le
prjudice global par manque de remonte dinformations , mais tout laisse supposer quil est considrable Un laboratoire constate des incursions de pirates sur
une machine sensible, souponne une entreprise aux murs lgres , et,
quelques jours aprs, retrouve dans la presse lannonce dun accord entre un grand
diteur de logiciel et lentreprise en question sur la cession dun produit trs
proche du leur. Montant de la transaction : 39 M$. Cette intrusion a cot cher en
manque gagner ! Quant vous, comment auriez-vous ragi ? Peut-on se faire
aider ou conseiller ? Ne faut-il pas mieux garder pour soi lincident ?
pass par un chemin dtourn pour attaquer sa cible : il sest servi dun laboratoire
laxiste comme rebond. Ce sont donc des collgues, par leur inconscience, qui
ont ouvert les portes aux malfrats. Pourquoi investir dans la scurit si des collgues moins rigoureux peuvent tout faire chouer ? Ne faut-il pas plutt refuser
les demandes de connexions venant de sites risque ?
23
Le retour sur investissement dune politique de prvention est dabord financier. Il svalue en dommages directs vits : pertes de donnes, de proprits intellectuelles, de savoir-faire, dinformations
Ces dommages sont souvent cits car leurs cots sont visibles ; mais il ne faut pas
oublier le cot en organisation des malveillances informatiques. Elles sexpriment par exemple en pertes de capacit et de productivit :
indisponibilit des machines gnrant des pertes de temps (une intrusion peut coter une coupure des services de plusieurs jours) ;
immobilisation du personnel pour rparer ou pour attendre le retour
une situation normale (une intrusion cote un quasi temps complet dingnieur systme pendant prs dune semaine et un travail supplmentaire dobservation de lactivit pendant plusieurs mois).
Cest aussi une altration de limage du laboratoire et, par contrecoup, de la
confiance de partenaires industriels ou de collaborations de recherche, surtout si
elles sont internationales. Les pertes dimage peuvent provoquer des ruptures de
contrat, des pertes de crdit ou la mise en place, par les partenaires inquiets ,
de procdures plus contraignantes de connexion sur leur site (dgradation de souplesse organisationnelle).
Sur lInternet on voit aussi apparatre des black list, liste des domaines avec lesquels
il est risqu dchanger du courrier lectronique, des rseaux avec lesquels on ne doit
plus communiquer. Un laboratoire peut tre inclus dans ces listes noires par dnonciation, si un de ses utilisateurs a mis trop de courriers publicitaires par exemple,
ou si ses quipements sont mal configurs (comme le serveur de messagerie o la
fonction relais nest pas invalide) et peuvent servir de tremplin des pirates. Ds
lors, ce laboratoire aura des difficults de communication avec certains sites.
Ces pertes, souvent sous-estimes, parfois mme ignores, sont considrables
prises globalement.
A contrario, une bonne politique de scurit permet damliorer lorganisation, la
recherche et les services. Le retour sur investissement svalue alors comme le
prix quon est prt payer pour atteindre cet tat.
24
Depuis quelque temps, les actes dlictueux sont en forte augmentation et nous
nen dtectons qu peine 10 % ! Ceux que nous reprons le plus facilement sont
perptrs par des pirates suffisamment maladroits pour laisser des traces flagrantes. Ils sont luvre de non-spcialistes aux mobiles varis qui tentent leur
chance partir de recettes connues et publies sur Internet.
Le devoir de se protger
Le besoin de scurit augmente avec le rle de plus en plus essentiel des systmes
dinformation. Pourtant leur vulnrabilit va croissant et volue de pair avec leur
25
complexit. Plus notre dpendance est grande vis--vis de ces systmes, plus ils
sont devenus fragiles :
la technique avance plus vite que la scurit ;
la diversification des domaines dapplication aboutit une complexit
accrue ;
le savoir-faire et les moyens techniques se gnralisent ;
les mafias tentent dorganiser dans lInternet des zones de non-droit .
Face ces dfis, il y a de grandes faiblesses : la mconnaissance des protections
existantes, les comportements moutonniers, les effets de modes Dans un pass
encore proche, la menace principale contre les systmes dinformation tait de
nature physique. Aujourdhui, avec laugmentation des interconnexions, cest une
menace virtuelle et omniprsente laquelle nous devons nous opposer.
Le rseau est notre outil de travail commun. Il est devenu indispensable une
recherche de qualit. Il ne dpend que de nous quil ne soit pas facile de porter
atteinte sa fiabilit, ses performances, lintgrit et laccessibilit des informations transportes. Il ne dpend que de nous de refuser une dgradation de cet
outil, notre outil, afin quil reste au service dune bonne recherche et que nous ne
soyons pas montrs du doigt par nos partenaires. La scurit est ainsi un devoir
collectif. Il revient chacun de nous de se protger pour ne pas mettre en danger
la scurit de tous.
Dans cet effort, les responsables, de tous niveaux, ont un rle particulier jouer.
26
La scurit des systmes dinformation est une discipline transversale qui recouvre
des aspects trs varis. Elle est donc de la responsabilit de gnralistes qui ont
su acqurir plusieurs spcialits adaptes concrtement linstallation dont ils ont
la responsabilit. Ces gnralistes spcialiss ne peuvent mener bien leur mission quavec le soutien sans faille de leur directeur. Le directeur doit tre inform
des risques et des vulnrabilits de son systme dinformation ; il doit tre
conscient des enjeux pour quil puisse, avec laide de ces hommes de lart , dfinir la politique de scurit du laboratoire et la faire appliquer.
Or quobservons-nous dans notre organisme ? Peu de responsables, quel que soit
leur niveau, savent si leur site a dj t attaqu, si des donnes les leurs peut-tre
ont t voles. Cest un signe (qui ne trompe pas) de limportance quils accordent
aux problmes de scurit. Mais comment peuvent-ils, dans ces conditions, dsigner
les menaces, mobiliser leur personnel, faire accepter lensemble des acteurs la mise
en place dune politique de prvention et demander den vrifier lefficacit ? Faut-il
quils attendent dtre confronts des situations pires encore que celles que nous
venons de dcrire pour quils prennent la juste mesure des enjeux ?
27
liste. Elle participe et dpend de la transmission des connaissances et des savoirfaire travers les gnrations et par-del les frontires.
La norme AFNOR NF X50120 dfinit la qualit comme laptitude dun produit
ou dun service satisfaire les besoins des utilisateurs . Cette conception
exige non seulement une claire conscience de ces besoins, mais galement une
mtrologie permettant dapprcier le comportement du produit ou du service et
de vrifier quil est conforme ses spcifications. Cest ce quon appelle le processus de contrle de la qualit . Il intervient de plus en plus en amont du cycle
de vie des produits et services, ce qui impose une mthodologie dans leur
conception et leur valuation (mthodes formelles).
Le contrle et lvaluation de la qualit dun systme au sein dune organisation
partent de ces principes et ont donn lieu des techniques spcifiques :
laboration de la politique de scurit (rglement intrieur, chartes, dfinition des objectifs, utilisation des ressources) ;
laboration du schma directeur ;
matrise de mthodes, techniques et outils utiliss pour la ralisation de
projets (conduite de projet, AGL, gestion des configurations) ;
matrise des procdures dexploitation ;
etc.
La qualit des systmes dinformation participe de la qualit globale du processus de recherche, au sens de la norme ISO 9000. Cette norme simposera bientt tous. Ainsi est-il prvoir, dans un avenir imminent, quelle intgrera rglementairement des contraintes de scurit. On voit dj merger outre-Atlantique
lexigence dune certification un niveau de scurit donn, comme pr-requis
toute collaboration, surtout lorsquil faut interconnecter des systmes entre partenaires. Cette tendance se dessine trs clairement dans les milieux de la recherche
nord-amricaine. Cest le cas, entre autres, du Stanford Linear Accelerator Center .
28
3
Sur quelles organisations
sappuyer ?
Qui, au CNRS, soccupe de scurit ? Que font-ils ? Quelle aide puis-je en
attendre ? Au-del de notre organisme, quelles sont les structures qui
soccupent de scurit ? Ces questions ne sont pas sans intrt car elles
montrent quil y a une relle mobilisation, dabord dans notre organisme,
mais aussi lchelle de ltat, pour prendre en considration la scurit
des systmes dinformation.
29
PREMIER MINISTRE
Secrtariat gnral
de la Dfense nationale
MINISTRES
SCSSI
Service central de la scurit
des systmes dinformation
Ministre
de lIntrieur
Autres ministres
CESSSI
Centre dtudes suprieures
de la scurit des systmes
dinformation
Direction gnrale de la
Police nationale
Haut fonctionnaire
de Dfense
Surveillance
du Territoire
Police judiciaire
SEFTI
Fonctionnaire
de Dfense
Figure 2
30
cher sur des applications militaires et, plus particulirement, sur la technologie
des armes de destruction massive et de leurs vecteurs. Depuis dix ans, la menace
dune agression arme majeure contre le territoire national stant dilue au
rythme o se mondialisaient les changes, notre vigilance doit surtout sexercer
lgard des pays, potentiellement instables, qui cherchent se doter darmements
nuclaires, biologiques et chimiques, ainsi qu lgard de ceux qui les aideraient
dans leur entreprise.
Par les temps qui courent, cest sur le terrain de lconomie et de la matrise des
rseaux dinformation que laffrontement international devient le plus proccupant. Les services de renseignement ont suivi cette volution pour consacrer
dsormais 60 % de leurs activits la recherche de linformation scientifique, conomique et technologique. Paralllement lapparition du concept dintelligence
conomique se sont cres des entreprises prives, spcialises dans le recueil, le
traitement et la diffusion commerciale de telles informations.
Le patrimoine scientifique et technologique sensible dun laboratoire est donc
tout ce qui ne doit pas tre mis la libre disposition de tout un chacun, que ce
soit pour des raisons stratgiques, conomiques, voire dans le souci lgitime de
protger la confidentialit dinformations nominatives.
31
Au niveau central
32
Au niveau central existent une structure fonctionnelle et une structure oprationnelle. La structure fonctionnelle est constitue par le service du Fonctionnaire de
Dfense aid de ses deux chargs de mission : un charg de mission la scurit
des systmes dinformation, Robert Longeon ; un charg de mission pour la scurit des rseaux ( mi-temps), Jean-Luc Archimbaud. Le Fonctionnaire de Dfense
participe aux travaux des instances charges dorienter la politique de ltablissement en matire de systmes dinformation.
La structure oprationnelle est constitue au sein de lUREC (Unit Rseaux du
CNRS) dune petite quipe anime par Jean-Luc Archimbaud, aid de Nicole
Dausque.
Au niveau rgional
Au niveau rgional a t mis en place un rseau de correspondants de scurit
informatique rgionaux, en liaison troite avec les correspondants scurit des
laboratoires. Ils ont t nomms sur la base du volontariat pour assumer, en plus
de leurs tches de service, un rle de relais pour la diffusion de linformation et
dalarme en cas de problmes, et organisent les formations scurit dans leur
rgion.
La diffusion dantivirus
La diffusion dantivirus (http://www.cnrs.fr/Infosecu/AVP.html) et de logiciels
libres (http://www.urec.cnrs.fr/securite/outils/index.html).
33
34
4
Quelques recommandations
lmentaires
Aucune mesure qui permette damliorer la scurit du systme dinformation du laboratoire ne doit tre nglige, mme si parfois elle parat
drisoire par rapport limportance des besoins. Tout ne peut tre fait en
un jour. Une approche mthodologique nous aidera dterminer le niveau
de vulnrabilit accept en mme temps quelle nous permettra dtaler
dans la dure les investissements quexige la politique de scurit. Bien
souvent, quelques mesures lmentaires qui ne cotent que le mal quon
se donne pour y rflchir un peu suffisent pour amliorer considrablement une situation qui paraissait dsespre : grer le parc de matriel,
grer les comptes utilisateurs, mettre en place une architecture rseau
adapte
35
Que voyons-nous, quand on tudie les causes des vulnrabilits dans les laboratoires ? Citons ple-mle, parmi les plus importantes :
labsence de mthodologie de scurit ;
labsence de structure de scurit ;
labsence de plan de secours (ou sil y en a, il na jamais t test) ;
labsence de formation : Les utilisateurs savent ;
la mconnaissance de la rglementation.
Sattaquer ces causes de vulnrabilit permettrait dviter au moins 80 % des
problmes. Cela signifie :
Mieux organiser, mieux prvoir et mieux sensibiliser.
Appliquer des procdures de gestion des ressources informatiques.
Mettre en place des moyens de protection active.
Avoir une approche mthodologique.
Concevoir une architecture structure et cohrente.
36
Le directeur doit diriger les hommes et grer les moyens. Il agit en dlguant ses
pouvoirs et en distribuant les responsabilits, desquelles on lui rend compte. Pour
la scurit, dont fonctionnellement il est le responsable, il nomme quand cest
possible un correspondant de la scurit informatique et rseaux qui linformera,
le conseillera et fera appliquer ses directives. Ce correspondant a une dlgation
de pouvoir sur tout ce qui concerne la scurit et il en rend compte au directeur.
Il est linterlocuteur, mandat sur ce problme, du laboratoire auprs des autorits et des entits lies au systme dinformation : la Direction scientifique, la Dlgation, lUREC, le service du fonctionnaire de dfense, Renater, Il participe
linformation et la sensibilisation des utilisateurs. En particulier, il fait connatre
les consignes sur ce que chacun doit faire sil est victime ou sil est tmoin dun
incident de scurit. Pour mener bien lensemble de cette mission, le correspondant scurit doit tre lui-mme particulirement motiv et correctement
form.
systmes qui ont t viols, faire le bilan des dgts et enregistrer tout ce qui peut
permettre de retrouver lorigine de lagression. Ce nest quaprs tout cela que, finalement, on peut commencer rparer.
En rsum, lors dun incident, il faut :
1. Dconnecter du rseau, la ou les machines suspectes, ou mettre un
filtre qui empche tout accs de lextrieur.
2. Effectuer une sauvegarde du systme pour conserver les traces de lincident.
3. Avertir le CERT Renater http://www.urec.fr/securite/chartes/fiche_
suivi_incident.txt.
et envoyer une copie mayday@urec.cnrs.fr (message qui arrivera
dans la bote lettres de N. Dausque, R. Longeon, et J.-L. Archimbaud)
4. Faire le bilan des dgts :
http://www.cru.fr/securite/Documents-generaux/Recommandations.
html
En particulier il faut vrifier toutes les machines du rseau et contrler
sil y a un sniffeur install. Si cest le cas, changer les mots de passe de
tous les utilisateurs sur toutes les stations.
5. Rinstaller le systme et les comptes utilisateurs.
6. Ne donner aucune information sur lincident des tiers non habilits.
Si vous dsirez dposer une plainte, contacter le Fonctionnaire de dfense
(p.schreiber@cnrs-dir.fr, tl. : 01 44 96 41 88).
37
39
La gestion du libre-service
Le libre-service est gr, et les consignes impratives, telles que la dconnexion
aprs usage, sont clairement affiches. Les stations en libre-service sont sur un
sous-rseau particulier, avec des droits restreints et trs contrls. Toute machine
en libre-service doit tre considre comme aussi dangereuse quune machine
externe au laboratoire.
40
Les sauvegardes
Il faut effectuer rgulirement des sauvegardes, on ne le dira jamais assez. Le
mieux est ddicter des rgles prcises qui permettent dtre sr quelles sont faites
correctement : quest-ce quon sauvegarde ? Avec quelle priodicit ? Avec quels
recouvrements ? Ces rgles dfinissent aussi o doivent tre rangs les supports
des sauvegardes, de faon que :
en cas de sinistre ou de vol, elles ne soient pas perdues avec la (ou les)
machine(s). Ne pas laisser la sauvegarde proximit du systme quelle
est sense protger est une vidence qui nest pas toujours partage ;
Procdure dalerte
Il faut dfinir la conduite tenir en cas dintrusion ou de malveillance informatique. Un utilisateur qui dtecte un fait anormal doit avertir le correspondant
41
42
Pour savoir o on va
Nous avons vu au chapitre 2 que la qualit dun produit est dfinie comme ladquation de celui-ci sa fonction et que, dans la dmarche qualit globale , on
fixe cet objectif ds la phase de conception, pour le systme tout entier. Or une
mauvaise apprciation des menaces (maladresse, malveillances, dfaillances, accidents, sinistres) est une cause majeure du dysfonctionnement des systmes dinformation dont lorigine se situe bel et bien dans la conception du systme luimme. Cest pourquoi la scurit dun systme et la qualit globale sont
deux approches similaires se confondant en bien des points de vue. En particulier, on cherchera intgrer la scurit ds la phase de conception dun systme,
comme dans lapproche qualit .
La scurit se dgrade dans le temps ; on ne peut pas croire quon va faire un
coup et sen tenir quitte pour plusieurs annes. Leffort doit tre permanent ! La
reconnaissance des cycles de vie dun systme permet, entre autres choses,
dapprhender son volution et de planifier sur plusieurs annes cet effort en
moyens et en organisation.
43
Une menace (Mi) est un danger qui existe dans lenvironnement dun systme
indpendamment de celui-ci : accident, erreur, malveillance. Une malveillance est
laction dindividus et/ou dorganisations qui exploitent des vulnrabilits dans les
systmes dinformation. Une malveillance peut tre :
passive : elle ne modifie pas linformation et porte essentiellement sur la
confidentialit ;
active : elle modifie le contenu de linformation ou le comportement des
systmes de traitement.
La vulnrabilit
44
Une vulnrabilit (Vi) est une faiblesse du systme qui le rend sensible une
menace :
bogues dans les logiciels,
mauvaises configurations,
erreurs humaines,
services permis et non utiliss,
virus ou chevaux de Troie,
saturation de la liaison daccs lInternet,
logiciels en mode debug ,
Pour dterminer les vulnrabilits dun systme dinformation, on vrifiera donc :
si le systme fait tout ce quil doit faire, sil le fait correctement et sil ne
fait que ce quil doit faire,
sil est bien impossible au systme de faire ce quil ne doit pas faire.
Le risque est la probabilit quune menace particulire puisse exploiter une vulnrabilit donne du systme. Pour les habitus du formalisme mathmatique, on
pourrait crire :
j
Risque = i
(Mi x j Vi )
Traiter le risque, cest prendre en compte les menaces et les vulnrabilits.
Une information prsente une certaine vulnrabilit. On lui assure un niveau de
protection, qui a un certain cot. Lcart entre la menace virtuelle et son niveau de
protection correspond au risque (accept ou rsiduel).
Il y a des risques spcifiques dans les milieux de recherche, lis aux menaces de
lenvironnement exprimental des laboratoires : risque chimique, risque incendie,
risque inondation (surtout pour le laboratoire de ltage du dessous), risque
lectrique, etc. Contre ce type de risque qui menace lintgrit physique de nos
systmes dinformation, la seule planche de salut, rptons-le, cest une sauvegarde
correctement effectue et correctement stocke.
La politique de scurit
Dterminer une politique de scurit, cest dfinir des objectifs (ce quil faut protger), des procdures, une organisation en fonction de moyens. La dmarche est
rcursive : aprs un problme de scurit, la politique est ajuste. Les procdures,
les moyens et parfois lorganisation sont adapts. Parfois, il faut rviser la baisse
les objectifs.
Il est important de dfinir correctement les rgles du modle : ce qui est autoris
et ce qui ne lest pas (il est interdit de lire le courrier de son voisin sans y tre
invit, mme si celui-ci na pas su le protger correctement). Il est absurde
mais on le voit souvent de vouloir verrouiller les entres, dfinir des interdictions alors quon na pas su dfinir les rgles auxquelles devraient se rfrer ces
actions.
La politique de scurit est labore partir du modle dfini prcdmment :
analyse des menaces potentielles ou relles ;
identification et lanalyse des vulnrabilits (audit, contrle qualit) ;
valuation des risques et la dtermination du niveau de risque admissible.
* Un systme complexe est un systme compos dun trs grand nombre dlments en interrelation les uns avec les autres.
45
Le tableau de bord
46
Il faut concevoir des indices statistiques afin de constituer des tableaux de bord
qui permettent dvaluer limpact de la politique de scurit sur la qualit de la
recherche, lorganisation et le management. Ces tableaux de bord constituent une
vritable mtrique de la scurit.
Ils mesurent la vulnrabilit rsiduelle dun systme dinformation et
permettent dapprcier son volution.
Ils valuent lefficacit de la politique de scurit.
Ils indiquent les modifications de lenvironnement.
Ils alertent sur lapparition de nouvelles faiblesses.
Cette mtrique permet de piloter la politique de scurit en mettant en vidence les adaptations qui savrent ncessaires au fil du temps. Elles sont aussi des
aides la dcision indispensables. En effet, ils donnent les moyens de faire de
vritables bilans sur le bien-fond des choix qui ont t faits et donc de justifier les investissements consentis en mettant en regard les gains raliss. Sans eux,
la scurit ne peut tre vue que comme une charge inutile par les dcideurs .
laboration du modle
Un groupe dexperts a tabli a priori une liste (appele liste de contrles) de vulnrabilits techniques, structurelles (architectures, qui fait quoi ?) et organisationnelles, adapte notre milieu de recherche. Cette liste a t labore en fonction de la connaissance des pratiques informatiques des laboratoires et des
problmes de scurit qui sont remonts lUREC. Pour chaque vulnrabilit, une
action correctrice est propose, donnant ainsi au laboratoire les moyens de rsorber ses vulnrabilits. Un petit ensemble doutils installer (contrles daccs,
traces) complte cette liste. Le document est assez succinct pour tre appliqu
pendant un temps raisonnable par ladministrateur systme dun laboratoire. Il est
mis jour aprs chaque utilisation et lorsquapparaissent de nouvelles attaques ou
de nouveaux bogues qui touchent les laboratoires.
Procdure dintervention
Une mthode dintervention a aussi t spcifiquement labore pour ces oprations et se dcline en cinq tapes :
tape 1 Prparation de lopration (gnralement sur une douzaine de laboratoires dans une rgion) avec le Dlgu rgional et un coordinateur
local de lopration (ingnieur connaissant bien les laboratoires de la
rgion) : liste des laboratoires impliquer, des directeurs et des
administrateurs informatiques, personnes externes associer (universits), planning, Chaque opration est adapte lenvironnement : gros ou petits laboratoires, regroups (campus
universitaire/CNRS), disperss,
tape 2 Intervention (2 jours) :
Sensibilisation et prsentation de lopration aux directeurs et aux
administrateurs informatiques pendant une demi-journe.
Interviennent le Dlgu, lUREC, le service du fonctionnaire de
dfense, la DST.
Pour les administrateurs informatiques : tour de table, prsentation
dtaille de la liste de contrles, cours spcifiques si besoin.
47
tape 3 Travail (20 jours) des administrateurs dans leur laboratoire pour
appliquer cette liste de contrle, ceci coordonn par le correspondant local (liste de diffusion lectronique, ).
tape 4 Bilan (un jour).
tape 5 Rapport indiquant les principales lacunes (en personnel, organisation, techniques) releves dans les laboratoires et les propositions
dactions correctrices.
Intrt de la mthode
Cette mthode trs pragmatique aide la modlisation du systme dinformation
dune manire non formelle et permet dlaborer toute la partie scurit passive
de la politique de scurit du laboratoire et en partie la scurit active (avec les
outils installs). Elle permet en outre de crer une dynamique rgionale et un
groupe sur lequel pourra sappuyer une organisation scurit CNRS.
Point trs important dans la dmarche : elle nest pas destine valuer le niveau
de scurit des laboratoires, mais les aider amliorer leur scurit.
Un dveloppement test actuellement consiste ajouter a posteriori cette
mthode manuelle un outil automatique de tests de vulnrabilits par le rseau,
outil de scurit active qui permet la mise en place des indicateurs dvaluation de
la politique de scurit et de lvolution des vulnrabilits.
Il faut alors mieux protger encore laccs aux informations du laboratoire, cest-dire contrler les flux venant de lextrieur pour que les services (ordinateurs,
rseaux, priphriques, applications) et les informations (donnes, fichiers)
soient accessibles aux personnes autorises quand elles en ont besoin mais
quelles ne le soient pas (ou le moins possible) pour le reste du monde . On
aborde ainsi le concept darchitecture rseau de scurit.
En effet toutes les architectures rseau ne sont pas quivalentes. Il y a des architectures recommandes parce quil est possible, moindres cots, dy adapter des
mesures de prvention et de scurit active. Dautres ne le permettent pas dune
manire raliste. Cest le cas des rseaux dits Ethernet plat o toutes les stations sont connectes sur un mme rseau de diffusion. Cette architecture prsente
plusieurs inconvnients majeurs :
Il est possible dcouter, depuis nimporte quelle station, toutes les transactions sur le rseau. Un utilisateur malveillant peut ainsi dcouvrir trs
rapidement les mots de passe de tous les utilisateurs.
Il nest pas possible deffectuer un quelconque tri en fonction du niveau
de protection ou douverture que lon veut donner une station. Certains
serveurs ncessitent plus de protection que dautres, certaines stations
nont pas besoin dtre accessibles depuis lInternet,
INTERNET
Serveurs
Routeur
Clients
Figure 4 : un rseau plat
Il faut ainsi prfrer la commutation (ventuellement les concentrateurs scuriss) qui limite les possibilits de lcoute et le partitionnement (un sous-rseau
par service, ou type dactivit, ou type de serveurs, ou) qui est le dbut de la
structuration.
Puisquon peut pntrer galement dans le laboratoire par le rseau, il va falloir
mettre, l aussi, une porte dentre . Pour tre utile, cette porte doit tre pourvue de serrures permettant de restreindre les accs ceux qui y sont autoriss,
et il peut y avoir galement un concierge qui veille sur les entres et les sorties
du laboratoire, note les noms des visiteurs trangers et vrifie que les demandes
de services sont bien conformes aux instructions quil a reues.
Les concepts darchitecture rseau suivent loffre commerciale qui est, elle-mme,
dpendante de lvolution de la technique. Cette offre a vritablement explos ces
dernires annes et a renouvel compltement les concepts qui avaient encore
cours au dbut des annes 90. Il nest pas possible, dans le cadre de ce guide, de
passer en revue lensemble des matriels existant. Nous ne retiendrons donc que
quelques solutions types permettant de raliser ces trois fonctions :
49
le filtrage des accs et des services (le concierge vrifie les entres) ;
la journalisation de lactivit (le concierge tient un registre) ;
lauthentification forte (la serrure de la porte).
Une architecture rseau de scurit est une architecture dans laquelle on a su sparer les diffrents flux dinformation, au moins un sous-rseau physique (un brin
ou un rseau virtuel) par type dutilisation de machines : machines de services,
machines denseignement, machines de recherche, machines de gestion. Lidal est
dorganiser les sous-rseaux en groupes de travail cohrents qui constituent autant
de compartiments tanches en cas de piratage. Il faut associer ces sous-rseaux
physiques des sous-rseaux logiques IP (cf. figure 5 (c)).
Router dentre
Zone banalise
(DMZ)
(b)
(c)
Sous rseau N
Garde barrire
(a)
Sous rseau 2
OU
Zone protge
Sous rseau 1
INTERNET
Router filtrant
50
2. Installer les services rseau sur des machines ddies
Les services comme le DNS, la messagerie, le web, le FTP anonyme sont les services les plus utiliss depuis lextrieur. Il est plus prudent de les installer sur des
machines ddies, sur lesquelles il ny a pas (ou trs peu) de connexion interactive possible et surtout ne pas y installer de rpertoires utilisateur. Regrouper ces
machines dans un sous-rseau particulier (appel parfois DMZ) isol du rseau
interne par un lment filtrant, routeur ou garde-barrire (cf. figure 5 (b)).
52
Il y a dautres aspects de la scurit comme la confidentialit des donnes, lintgrit, la non-rpudiation. Il existe des solutions simples pour assurer ces services base de produits de chiffrements. On tudie actuellement les moyens de
les dployer dabord dans des cercles restreints puis, plus tard, dans les laboratoires.
5
Les rgles de bon usage
Les rseaux donnent le moyen de diffuser nimporte quelle information sur
la plante entire en un instant. Cette extraordinaire capacit impose
chacun dentre nous le respect de certaines rgles et un peu dautodiscipline. Un comportement responsable est essentiel pour que notre organisme garde cohrence et crdibilit. Ces rgles sappliquent toute
personne qui utilise les moyens informatiques dun laboratoire directement, distance, ou en cascade.
53
mations dtenues par dautres utilisateurs sans leur consentement explicite, quand
bien mme ceux-ci ne les auraient pas (ou les auraient mal) protges. Cette dernire rgle sapplique galement aux correspondances prives de type courrier
lectroniques dont lutilisateur nest destinataire ni directement, ni en copie. Toutefois, dans le cadre de sa responsabilit sur lutilisation des moyens mis la disposition du laboratoire, le directeur un droit de contrle et peut lexercer en cas
dincident particulier ou denqute.
55
notre Centre National et dont dpend la confiance quon lui accorde. Ils engagent
sa responsabilit juridique. Il nest donc pas possible de faire nimporte quoi :
ne pas confondre serveur web et tribune de dbats sur le sexe des anges ;
rester modr et courtois dans ses propos ;
observer le devoir de rserve qui simpose tout fonctionnaire en particulier sur le plan politique.
Tout laxisme sur ce sujet aboutirait tt ou tard des drives incontrlables qui
mettraient en cause lexistence mme de notre organisme.
56
Les connexions aux sites distants doivent se faire en respectant les rgles du bon
usage traditionnelles des rseaux et, bien entendu, dans le respect de la lgislation
en vigueur.
Il est interdit de rentrer (ou de tenter de le faire) dans des systmes, sans
en avoir les autorisations explicites.
Il est interdit de se livrer des actions mettant sciemment en pril la
scurit ou le fonctionnement dun site. En particulier, les oprations de
reprsailles, quelles quen soient les raisons, ne doivent pas tre tolres.
Toutes tentatives dusurpation didentit et dinterception de communications entre tiers doivent tre sanctionnes.
La plus grande correction est de mise dans les changes lectroniques
par courrier, forums de discussions
Un utilisateur ne doit pas ouvrir ou dposer des documents sur un serveur du laboratoire sans autorisation du directeur responsable administrativement de son contenu.
des laboratoires. Ils peuvent galement servir des provocations, paralyser les systmes dinformation en saturant les serveurs, diffuser des documents illicites, ou
plus simplement, exploiter indment des ressources informatiques du CNRS.
Cest pourquoi lattention des directeurs de laboratoires et des gestionnaires de serveur est attire sur quelques points importants de la gestion des serveurs ftp.
1. Il est recommand, dans la mesure du possible, dviter la mise en place,
dans un ftp anonyme, dun rpertoire ouvert tous en criture.
Lexprience montre que cela est souvent possible. Si lutilisation dun tel
rpertoire est incontournable, ladministrateur doit vrifier chaque jour
son contenu. Ce rpertoire doit tre systmatiquement ferm lorsque
cette vrification quotidienne nest pas ou nest plus possible.
2. Pour ladministration dun serveur ftp anonyme, il est recommand de
suivre les mmes rgles de saine gestion que pour un serveur web :
dsignation dun administrateur, contrle du contenu, journalisation
des transactions, etc.
3. Il est rappel quun serveur ftp doit toujours tre administr. Pendant les
absences de ladministrateur rgulier, lunit de recherche peut soit nommer un administrateur de remplacement, soit interrompre ce service.
57
4. Ne pas omettre de prciser, dans la page daccueil du serveur, lappartenance au CNRS. Cette prcision est importante pour votre organisme
et vos interlocuteurs.
5. Veiller dclarer lexistence du serveur auprs du CNRS.
Cette dclaration consiste en un simple dpt ladresse lectronique :
webinfo@cnrs-dir.fr. Veillez galement informer de lexistence du serveur:
le directeur de dpartement scientifique dont relve le laboratoire ;
le dlgu rgional.
Important : cette dclaration est complmentaire et ne se substitue pas
celle effectue auprs de lInternet.
6. Dsigner un responsable de web charg du fonctionnement du serveur et de la surveillance de ce quil contient. Cet agent, proche du
directeur de lunit, distinct de ladministrateur du rseau mais ventuellement assist par une petite quipe nommment dsigne, est
charg de contrler, valider et installer tous les fichiers (informations)
sur le serveur. Il faut veiller ce quaucune autre personne de lunit
ninstalle librement des donnes sur le serveur.
7. Installer ce service sur une machine o il ny a pas de donnes sensibles
(au sens large). En effet, la machine qui hberge ce service est de fait
connue et accessible par tout lInternet. Cest donc la premire cible
pour les pirates qui, si la machine est mal configure, pourront rapidement accder toutes les donnes quelle contient. Il ne faut donc pas
mettre le serveur sur lordinateur principal du laboratoire, mais lui
ddier une petite station de travail. Cela permet aussi de faciliter les
mesures de contrle daccs qui peuvent tre installes lentre du
rseau (garde-barrire ou filtre dans le routeur).
8. Les fichiers et les rpertoires doivent y tre en lecture seule .
Laccs en criture doit tre strictement rserv au responsable de web.
Nul ne doit pouvoir introduire des modifications ou des informations
nouvelles sans passer par lui.
58
9. Journaliser les transactions.
Outre lavantage de pouvoir vrifier la pertinence de linformation, la
journalisation permet a posteriori de reconstituer et dexpliquer certaines intrusions.
10. Se mfier des rebonds.
Lutilisation de pointeurs sur dautres serveurs pour accder de plus
larges informations doit se faire avec de grandes prcautions, notamment
lorsque lon offre ainsi la possibilit daccder des informations externes
au CNRS ou bien si lon risque de violer un quelconque copyright.
59
5. Les crateurs de liste sont mis en garde contre le danger que reprsente
une prolifration anarchique des listes de diffusion sur des serveurs
dunits de recherche ou dorganismes extrieurs ne possdant ni les
quipements informatiques, ni les moyens humains indispensables
leur bonne et saine gestion. Il est nettement prfrable de les faire
hberger par un site homologu.
Lensemble des textes du Comit web du CNRS peut tre consult sur lURL suivante : http://www.cnrs.fr/Gazette/Comite/comite.html
60
6
La vulnrabilit
des autocommutateurs
Les systmes dinformation ne sont pas uniquement constitus des
systmes informatiques et des rseaux dordinateurs ; il faut se rappeler
que les tlphonies (tlphones, tlcopies, portatifs) en font aussi partie
et sont galement trs fragiles, en particulier parce que les autocommutateurs ne sont pas toujours bien grs : il faut connatre ces vulnrabilits, comme utilisateurs afin de ne pas se laisser piger , ou comme
responsable de site afin de prendre les mesures qui simposent.
61
Les autocommutateurs tlphoniques privs (PABX) des campus, des laboratoires, des directions ou des services administratifs sont les lments centraux des
systmes dinformation. Ils en sont aussi des lments trs fragiles. Cette fragilit
est dautant plus dangereuse quelle est trop souvent ignore. Pourtant un piratage
peut avoir des consquences dsastreuses : dtournement de trafic, pigeage de
lignes tlphoniques, coutes, blocage des communications, etc.
Il faut se rappeler que le piratage aux tats-Unis a commenc par le tlphone, et
plus prcisment par le piratage des centraux tlphoniques. Cette dlinquance,
maintenant ancienne, a pris une ampleur considrable ; elle y a compltement
achev sa drive du ludique au lucratif. Il existe des sites Internet et des forums
de discussion particulirement actifs et bien documents spcialiss dans ce
domaine. Cest donc un problme quil faut prendre trs au srieux.
62
Lensemble de ces prestations rend le piratage des PABX ais. Le pirate, avec un
simple minitel, peut se retrouver matre du systme. Il peut tout faire, y compris
repatcher le logiciel systme pour lui attribuer des fonctionnalits non documentes , dont sa victime serait consterne dapprendre lexistence. Le pirate na
pas besoin de connatre sa victime : de chez lui, parfois du bout du monde,
connect par une simple ligne tlphonique, il a pris possession de son systme
de communication . Il va lutiliser ou le dtourner pour son plus grand profit. La
plupart du temps, il ne laissera aucune trace de ses mauvaises actions, car la journalisation dans les PABX laisse beaucoup dsirer.
Lorganisation
La Direction des tablissements a parfois aussi une large responsabilit :
en ninstaurant pas un contrle daccs de la salle o est install le
PABX : une personne mal intentionne, qui a un accs physique la
machine, pour peu quelle connaisse le mot de passe dcrit ci-dessus
peut tout faire, y compris modifier la configuration matrielle ;
en ngligeant la tche dadministration : on voit trop souvent des
situations o aucun responsable na t nomm, o il nexiste pas de
dutiliser le code confidentiel clavier (cadenas) qui permet dempcher laccs un poste localement ou distance. Ce verrouillage est le seul moyen
dempcher le piratage de trafic.
Laccs la messagerie vocale est possible par nimporte qui depuis nimporte quel poste intrieur ou extrieur. Il est donc recommand chaque
utilisateur de protger sa messagerie par un code confidentiel.
Les PABX daujourdhui proposent un grand nombre de services de tlphonie. Ils
y associent souvent (toujours ?) un ensemble de protections quil faut connatre et
utiliser, sans quoi ces services sont de vritables gouffres de scurit. Cest le rle
de ladministrateur de faire connatre les protections en service.
64
7
Virus informatiques
et autres malignits
Dans les ordinateurs pullule une faune bizarre : virus, vers, cheval de Troie.
Que recouvrent ces vocables imags ? Peut-on se prmunir contre de tels
mfaits ? Que faut-il faire quand on en est victime ? Autant de questions
qui tourmentent tous ceux qui ont eu affaire un jour ce type de malveillance. Quelques connaissances rudimentaires suffisent, la plupart du
temps, pour y rpondre et se mettre ainsi labri.
65
Mais on sait moins que les virus peuvent aussi servir crocheter les systmes les
plus secrets en crant des vulnrabilits caches quun autre processus exploitera ultrieurement. Ces virus ont pour mission de se dissminer afin de propager
ces vulnrabilits et de marquer les systmes atteints pour quils puissent tre
dtects par des programmes de balayage de lInternet. Ils doivent rester le plus
silencieux possible pour ne pas se faire reprer. Contrairement aux autres virus,
ils ne perturbent pas le systme et ne dtruisent pas de donnes. Ces virus-l sont
les plus dangereux, mme sils paraissent ne pas gner. Sur une machine ainsi
contamine, votre systme dinformation est un livre ouvert. Il nest plus question
alors de parler de scurit !
On voit ici que les virus sattaquent tous les aspects de la scurit dfinie dans la trilogie: confidentialit, intgrit, continuit de service. On les caractrisera donc par
leur mode de propagation, plutt que par leur capacit de malfaisance, trop gnrale.
En informatique, on appelle virus tout programme dordinateur capable dinfecter un autre programme dordinateur en le modifiant dune faon quil puisse,
son tour, se reproduire .
Donnes
Donnes
Donnes
Code
excutable
Code
excutable
Ver ou virus
sur
lexcutable
Avant infection
Virus/Ver
Aprs infection
7.2 La prvention
La dtection de lennemi
Il existe une catgorie de dtecteurs de virus qui oprent sur une collection de
signatures. Les virus les plus simples comportent tous, en effet, une suite dins-
Les canulars
68
Sur lInternet, la diffusion dinformation est facile, gratuite, et difficilement contrlable : aussi la drive de lancer de fausses alertes est-elle vite apparue. Cest ce qui
se produit avec les canulars (myths, hoaxes, urban legends ) qui se prsentent faussement comme une alerte de scurit.
Cette pratique a t inaugure avec la fausse annonce dun prtendu nouveau
virus GOOD TIME , prsent comme trs dangereux. Cette fausse annonce
continue, plusieurs annes aprs son baptme, circuler sur lInternet, parfois
avec quelques variantes (Penpal Greetings, AOL4FREE, PKZIP300, etc.). Elle a
toujours autant de succs ! Plus gnralement, des manipulations de ce genre affectent de nombreux thmes couvrant la scurit des systmes et des rseaux, ce qui
a amen les organismes de scurit comme les CERT signer leurs messages.
Il est facile de vrifier quune alerte virus est un canular en consultant au choix
lun des sites suivants :
http://ciac.llnl.gov/ciac/CIACHoaxes.html
http://www.symantec.com/avcenter/hoax.html
http://www.stiller.com/hoaxes.htm
http://kumite.com/myths/
http://www.nai.com/services/support/hoax/hoax.asp
http://urbanlegends.miningco.com/msubvir.htm?pid=3D2733&cob=3Dhome
On trouve galement aux adresses ci-dessous les archives des canulars et autres
mythes qui courent sur Internet :
http://www.snopes.com/
http://snopes.simplenet.com/message/
http://www.urbanlegends.com/
En rgle gnrale, il ne faut faire confiance quaux sources authentifies et ne
jamais prendre pour argent comptant des informations qui vous arrivent par le
courrier lectronique. Dans tous les cas, vrifiez linformation avant de propager
le message, surtout dans une liste de diffusion. Si vous tes crdule, vous participez votre insu la malveillance.
69
Quelques prcautions
Un rcapitulatif complet est disponible sur le site http://www.cnrs.fr/Infosecu/
MVirus.zip. Les trois mthodes exposes ci-dessous sont les plus courantes :
1. Empcher la modification NORMAL.DOT
70
Si vous n'utilisez jamais les macros, prfrez la fonction de Word DsactiverMacroAuto qui a exactement le mme rle que la technique prcdente, mais opre
une dsactivation globale et systmatique (voir la procdure dans http://
www.cnrs.fr/Infosecu/Virus.html).
Malheureusement, il existe d'autres macros que celles de type AUTO. Cette
mthode n'est efficace que dans la mesure o les macrovirus ont l'amabilit de
bien vouloir n'utiliser que celles-l .
Si vous pensez tre infect par un virus dont vous connaissez un des noms ou alias
(un mme virus porte plusieurs noms suivant les diteurs antivirus), procdez de
la manire suivante :
1. Rcuprez la liste des noms ou alias de ce virus sur
http://www.virusbtn.com/VGrep/search.html
2. Consultez une base de description de virus sur lun des sites suivants :
http://www.Europe.DataFellows.com/vir-info/
http://www.drsolomon.com/vircen/enc/
http://www.avp.ch/avpve/findex.stm
http://vil.mcafee.com/villib/alpha.asp
http://www.symantec.com/avcenter/vinfodb.html
Comment fabriquer une disquette de dmarrage sur PC (Win9x) :
Pour les opration suivantes, il faut utiliser un ordinateur qui na pas t infect.
1. Mettre une disquette vierge dans le lecteur
2. Lancer MS-DOS et rentrer les instructions suivantes :
FORMAT A: /S /U
COPY C:\WINDOWS\HIMEM.SYS A:\
COPY C:\WINDOWS\EMM386.EXE A:\
EXIT
3. Copier avec Notepad les trois lignes suivantes et les sauvegarder sur la
disquette sous le nom de CONFIG.SYS
DEVICE=A:\HIMEM.SYS
DEVICE=A:\EMM386.EXE NOEMS
DOS=HIGH,UMB
4. Protger la disquette en criture.
71
72
Puis nettoyez les documents contamins
1. Assurez-vous que le fichier NORMAL.DOT est verrouill et que la protection antivirus est active.
2. Pour chaque document Word contamin, ouvrez-le avec WordPad et faites un
Copier/Coller sur Nouveau Document de Word. Puis, jetez le document
contamin et enregistrez le nouveau document Word sous son ancien nom.
Si, aprs avoir effectu ces oprations, cela ne va pas mieux, cest que vous avez oubli
de dcontaminer un document : recommencez au dbut.
Autres antivirus
Des antivirus sont disponibles GRATUITEMENT pour les laboratoires du CNRS et de
lUniversit. Ils sont diffuss ainsi que leur mise jour par les Centres de
Ressources en Informatique (CRI) des Universits. Contactez le correspondant de
votre CRI (http://www.cnrs.fr/achats/da7.html) et veillez bien disposer en permanence de la toute dernire version du fichier des signatures virus. Vous pouvez
galement consulter le site http://www.cnrs.fr/Infosecu/viruscrp.html#Ou
Documentation
Une documentation sur les listes de diffusion vous est propose sur le site
http://www.cnrs.fr/Infosecu/viruscrp.html#Doc
Vous pouvez vous informer sur les alertes virus sur les sites suivants :
http://www.attac.net/virdesc.htm
http://www.drsolomon.com/vircen/index.cfm
http://www.symantec.com/avcenter/vinfodb.html
http://www.trendmicro.fr/infos.htm
http://www.virusbtn.com/VirusInformation/
http://www.datafellows.com/v-descs/
Une information complte sur les virus sur :
http://www.virusbtn.com/ (le clbre Virus Bulletin)
http://www.westcoast.com/
http://www.uta.fi/laitokset/virus/
http://agn-www.informatik.uni-hamburg.de/vtc/en9810.htm
Une bonne encyclopdie virus :
http://www.avpve.com/
73
8
Les aspects juridiques de la SSI
On entend souvent dire quun vide juridique rgnait sur lInternet. Rien
nest plus faux ! Sous prtexte de libert dexpression, lInternet nchappe
pas aux lois et rglements actuels qui rgissent les activits humaines et
qui ont t dfinis depuis longtemps pour tout ce qui a trait la proprit
intellectuelle, aux contrefaons et au respect de la vie prive. Or nul nest
cens ignorer la loi et tout le monde doit connatre ce qui est lgal et
ce qui ne lest pas.
75
76
Modles dj dposs
Un certain nombre de modles types de dclaration ont t soumis la CNIL, qui
les a valids.
Pour les Universits, il sagit pour linstant essentiellement des fichiers
associs aux services des annuaires et des listes de diffusion. (voir :
http://www.cru.fr rubrique juridique).
Pour le CNRS : modle type de cration dannuaires web dans nos units
propres ou mixtes (CNRS 11/07/96) et annuaires EUDORA (CNRS
2/08/96).
Recommandations de la CNIL
pour les traitements accessibles sur lInternet
Information pralable et consentement clair des personnes objet du
traitement.
Mention de linterdiction de capture pure et simple des informations
nominatives des fins commerciales ou publicitaires.
Accs, par lien hypertexte, aux dispositions lgales applicables (loi de
1978).
Vous pouvez faire appel au service juridique du CNRS pour avoir tous les conseils
ncessaires concernant les dclarations CNIL.
77
La mise sur le rseau dun document faisant lobjet dun droit de proprit intellectuelle (texte, photographie, dessin) doit tre opre avec une extrme prudence. Il est impratif dtre titulaire des droits sur ce document ou pour le moins
dtre autoris le reproduire sur le rseau.
Intrusions informatiques
Art. 323-1. Le fait daccder ou de se maintenir frauduleusement dans tout ou partie dun systme de traitement automatis de donnes est puni dun an demprisonnement et de 100 000 F damende. Lorsquil en est rsult soit la suppression
ou la modification de donnes contenues dans le systme, soit une altration du
fonctionnement de ce systme, la peine est de deux ans demprisonnement et de
200 000 F damende.
Art. 323-2. Le fait dentraver ou de fausser le fonctionnement dun systme de
traitement automatis de donnes est puni de trois ans demprisonnement et de
300 000 F damende.
Art. 323-3. Le fait dintroduire frauduleusement des donnes dans un systme de
traitement automatis, ou de supprimer ou de modifier frauduleusement des donnes quil contient est puni de trois ans demprisonnement et de 300 000 F
damende.
79
Conclusion
La scurit dpend de tous, et tous les facteurs interagissent entre eux. La qualit
des hommes comptence, motivation, formation est importante ; il faut y porter un effort constant. Les techniques et les moyens financiers sont vitaux et ne
doivent pas tre ngligs. Mais de tous les facteurs et acteurs qui interviennent
dans les systmes dinformation et contribuent la force ou la faiblesse de lensemble, les directeurs dunit jouent le rle essentiel. La scurit des systmes
dinformation est une fonction de Direction. Cela ne veut pas dire que les directeurs doivent mettre une casquette et contrler les identits. Cela signifie simplement quils mettent en place une organisation et ont un style de direction qui favorise ou non la prise en charge de cette question ; que ce sont eux, qui dterminent
la politique de scurit de leur laboratoire, et que ce sont eux qui la font appliquer. Il ny a queux qui peuvent le faire, et rien ne se fera sils ne sont pas personnellement convaincus de limportance de cette tche.
De mme, lautre bout de la chane, lutilisateur final a la charge de lexcution
de tous les actes lmentaires de scurit. Sil ne voit ces mesures que comme une
somme de contraintes mises en place pour lui gcher la vie, la partie est perdue
davance. Do limportance des recommandations de scurit et des chartes informatiques qui, accompagnes des explications ncessaires, sont avant tout un
moyen de sensibilisation. Bien prsentes, elles deviennent le rglement intrieur
du club des utilisateurs ; elles sont alors facilement acceptes et la vie collective
du laboratoire y gagne en qualit.
Image symtrique du laxisme, le rigorisme est une autre dviance des conceptions
de la scurit. Oppos en apparence, cet autre excs aboutit au mme rsultat : le
blocage du systme dinformation. Il faut donc rappeler que la scurit nest pas
une fin en soi. Il ne sagit pas de partir la qute de labsolu ou de construire une
nouvelle ligne Maginot rpute infranchissable, mais de dterminer un seuil de
vulnrabilit acceptable en fonction de contraintes et dobjectifs, et den contrler
les dfaillances par des alarmes, des audits, lenregistrement des accs rseau.
Enfin, il existe une autre manire de nier la scurit : appliquer, sans les comprendre
81
82
Les systmes informatiques et les rseaux, qui taient nagure loutil dune certaine
lite, sont maintenant au cur de tous les systmes. Ce dveloppement technique a
permis daccrotre considrablement nos capacits de traitement, de stockage et de
transmission de linformation ; mais il a rendu en mme temps les systmes dinformation beaucoup plus fragiles. La gravit des accidents, des maladresses, des erreurs
ou des malveillances est bien plus grande quauparavant : cest souvent la perte de
plusieurs jours, parfois de plusieurs semaines de travail. Ces pertes peuvent tre
mme irrparables. Paralllement, les techniques et les savoir-faire se sont gnraliss. Il y a vingt ans, attaquer un systme informatique centralis demandait une certaine technicit quil nest plus ncessaire de possder aujourdhui. On trouve sur
Internet les botes outils toutes prtes permettant dattaquer nimporte quel site,
surtout sil est mal administr.
Conclusion
Mme Internet a chang. Il y a quelques annes, ctait un rseau limit des personnes dune mme communaut, celle de la recherche et de lenseignement. Les
malveillances taient rares, car il tait facile de connatre lidentit dun linterlocuteur. Maintenant lInternet est un rseau ouvert et anonyme que certains voudraient transformer en zone de non droit. Nos habitudes dutilisation des services
de ce rseau plantaire , ainsi que lorganisation de nos systmes dinformations
qui datent de cette poque rvolue, doivent changer eux aussi. Cela prendra du
temps car la tche est immense. Raison de plus pour commencer maintenant.
83
Annexe A
La charte utilisateur
Charte utilisateur
pour lusage de ressources informatiques
et de services Internet
DEC 99 8407 DCAJ portant approbation de la charte utilisateur pour lusage
de ressources informatiques et de services Internet
Ce texte, associ au rglement intrieur des entits, est avant tout un code de bonne
conduite. Il a pour objet de prciser la responsabilit des utilisateurs en accord avec
la lgislation afin dinstaurer un usage correct des ressources informatiques et des
services Internet, avec des rgles minimales de courtoisie et de respect dautrui*.
1. Dfinitions
On dsignera de faon gnrale, sous le
terme ressources informatiques , les
moyens informatiques de calcul ou de gestion locaux ainsi que ceux auxquels il est
possible daccder distance, directement ou
en cascade partir du rseau administr par
lentit.
On dsignera par services Internet la
mise disposition par des serveurs locaux
ou distants de moyens dchanges et dinformations diverses : web, messagerie,
forum
* Pour tout renseignement complmentaire,
vous pouvez vous adresser votre correspondant scurit.
85
3. Rgles dutilisation,
de scurit et de bon usage
86
4. Conditions de confidentialit
Laccs par les utilisateurs aux informations et documents conservs sur les systmes informatiques doit tre limit ceux
qui leur sont propres, et ceux qui sont
publics ou partags. En particulier, il est
interdit de prendre connaissance dinformations dtenues par dautres utilisateurs,
quand bien mme ceux-ci ne les auraient pas
explicitement protges. Cette rgle sapplique galement aux conversations prives
de type courrier lectronique dont lutilisa-
Annexe A
5. Respect de la lgislation
concernant les logiciels
Il est strictement interdit deffectuer des
copies de logiciels commerciaux pour
quelque usage que ce soit, hormis une
copie de sauvegarde dans les conditions
prvues par le code de la proprit intellectuelle. Ces dernires ne peuvent tre
effectues que par la personne habilite
cette fin par le responsable de lentit.
Par ailleurs lutilisateur ne doit pas installer de logiciels caractre ludique, ni
contourner les restrictions dutilisation
dun logiciel.
6. Prservation de lintgrit
des systmes informatiques
Lutilisateur sengage ne pas apporter
volontairement des perturbations au bon
fonctionnement des systmes informatiques et des rseaux que ce soit par des
manipulations anormales du matriel, ou
par lintroduction de logiciels parasites
connus sous le nom gnrique de virus,
chevaux de Troie, bombes logiques Tout
travail de recherche ou autre, risquant de
conduire la violation de la rgle dfinie
dans le paragraphe prcdent, ne pourra
tre accompli quavec lautorisation du responsable de lentit et dans le strict respect
des rgles qui auront alors t dfinies.
87
8. Analyse et contrle
de lutilisation des ressources
Pour des ncessits de maintenance et
de gestion technique, lutilisation des ressources matrielles ou logicielles ainsi que
les changes via le rseau peuvent tre analyss et contrls dans le respect de la lgislation applicable et notamment de la loi sur
linformatique et les liberts.
88
10. Application
La prsente charte sapplique lensemble des agents du CNRS tous statuts
confondus, et plus gnralement lensemble des personnes, permanentes ou
temporaires, utilisant les moyens informatiques de lentit ainsi que ceux auxquels il
est possible daccder distance directement ou en cascade partir du rseau
administr par lentit.
Elle sera annexe, titre dinformation,
aux contrats de travail conclus avec les
agents contractuels qui auront accs au systme informatique de leur entit.
Elle sera en outre signe par toutes personnes accueillies au CNRS et ayant accs
au dit systme.
Annexe B
Vocabulaire abrg
des techniques de piratage
89
90
Annexe C
Serveurs
dinformations utiles
Technology ftp://ftp.win.tue.nl/pub/
security/
91
Bibliographie
thmatique abrge
INTERNET
93
VIRUS
WWW security: How to build a secure World Wide Web. MAC GREGOR.
Prentice Hall. ISBN 0-13-612409-7 (03/1997), 224 p. (300 FF)
Protecting your website with firewalls. GONCALVES.
Prentice Hall. ISBN 0-13-628207-5 (07/1997), 500 p. (340 FF)
DINTRT GNRAL
94