Vous êtes sur la page 1sur 58

INTRODUCTION GÉNÉRALE

Au cours des premières années de leur existence, les réseaux informatiques étaient principalement utilisés soit par des chercheurs dans les universités, pour échanger des courriers électroniques, soit par des employés dans les entreprises, pour partager des imprimantes. Dans ces conditions, la sécurité informatique n’avait aucune importance.

Mais aujourd’hui, alors que des millions de citoyens utilisent les réseaux pour faire des opérations bancaires ou du commerce électronique, l’information devient une ressource critique, d’où l’importance de sa protection. À partir de là, la sécurité informatique est devenue un grand souci et un besoin fondamental.

« En dépit de vulnérabilité de réseaux Internet, qui n’a pas été conçu pour les transactions confidentielles. Le commerce électronique, les banques en ligne ont continué à se développer » 1 .

La sécurité est donc un vaste sujet, qui relève de nombreux dangers. Sous la forme la plus simple, elle consiste à éviter que les curieux ne puissent lire ou modifier l’information. Notons bien que le secteur de la Sécurité des Systèmes d’information (SSI) est en évolution remarquable. Mais, il demeure insuffisant car l’objectif est d’avoir un système d’information entièrement sécurisé.

La sécurité de l’information exige, donc, l’implémentation d’une multitude de procédures, de politiques de sécurité, etc. Ces mesures doivent être mises en place dans le but de garantir les objectifs de l’entreprise, afin de préserver la confidentialité, l’intégrité et la disponibilité de ses biens et services.

Dans ce but, l’audit de sécurité commence à être une nécessité du moment où l’entreprise exploite un système d’information connecté à un réseau. L’audit de sécurité a pour objectif de mesurer les ressources critiques de l’entreprise, ce qui est appelé le périmètre d’audit.

Dans ce contexte, se situe notre mission d’audit qui consiste à élaborer un audit technique de sécurité du Ministère des Technologies de la Communication (MTC), afin de

1 Les Hackers : Documentaire diffusé sur National Geographic.

déterminer les vulnérabilités qui touchent ce système informatique. La mission d’audit est composée de six chapitres que nous présenterons comme suit :

Chapitre 1 : Présentation et démarche de la mission d’audit. Il est

réservé à décrire les fondements de la sécurité, les lois Tunisiennes relatives à la sécurité, les différents types d’audit et les normes et les standards.

Chapitre 2 : Étude de l’existant. Dans cette partie nous allons présenter

le MTC et décrire l’architecture réseau et l’inventaire de système d’information.

Chapitre 3 : Audit technique. Nous allons entamer la mission d’audit

physique à l’aide des outils Open source et quelques outils commerciaux.

Chapitre 4 : Constat général et recommandations techniques. C’est

le sujet d’une analyse approfondie des résultats obtenus de troisième chapitre. Ainsi, nous allons présenter des solutions possibles aux failles trouvées.

Chapitre 5 : Présentation de Limesurvey : une plateforme web Open

Source configurée, afin de réaliser le questionnaire d’audit de sécurité en ligne.

~ 2 ~

Chapitre 1

Présentation et démarche de la mission d’audit

L’audit de sécurité est une démarche qui permet de vérifier l’état de sécurité conformément aux règles spécifiées dans la politique de sécurité. Une politique de sécurité est un document formel et officiel qui précise les droits d’accès, les règles à respecter et les règles de bon sens d’utilisation de SI.

~ 3 ~

11

11

DDééffiinniittiioonn

« l’audit, nom masculin, est une procédure consistant à s'assurer du caractère complet,

sincère et régulier des comptes d'une entreprise, à s'en porter garant auprès des divers

partenaires intéressés de la firme et, plus généralement, à porter un jugement sur la qualité et

la rigueur de sa gestion. » 2

L’audit de sécurité est une procédure qui permet d’établir un état des lieux. C’est une

mission d’évaluation de conformité par rapport :

une politique de sécurité,

un ensemble des règles de sécurité.

11 22

LLeess eennjjeeuuxx ddee llaa ssééccuurriittéé iinnffoorrmmaattiiqquuee

La sécurité est un concept qui recouvre un ensemble des méthodes et des mécanismes chargés

de protéger le système contre les menaces et les risques qui peuvent nuire et altérer son

fonctionnement.

La sécurité vise généralement cinq principales propriétés :

l'intégrité : c'est-à-dire garantir que les données sont bien celles que nous

croyons être,

la confidentialité : consiste à rendre l'information accessible seules aux

personnes légitimes et autorisées,

la disponibilité : son objectif est de garantir l'accès à un service ou à des

ressources permettant de maintenir le bon fonctionnement du système d'information,

la non-répudiation : est la garantie qu'aucun des correspondants ne pourra nier

la transaction,

l'authentification : consiste à assurer l'identité d'un utilisateur, c'est-à-dire de

garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être

(par exemple par le moyen d'un login et mot de passe).

Ces propriétés, en fonction de la valeur des ressources et de leur cycle de vie, doivent

être garanties par des mesures de sécurité. Celles-ci, sont mises en œuvre au travers d'outils

2 http://www.larousse.fr/dictionnaires/francais/audit (avril 2010)

~ 4 ~

particuliers, de procédures adaptées et des personnes. Elles sont gérées et validées par des procédures de gestion et d'audit. La sécurité repose donc sur un ensemble cohérent de mesures, procédures, personnes et outils.

La mission de la sécurité se résume en cinq types d'actions génériques. Elle consiste à :

définir le périmètre de la vulnérabilité lié à l'usage des technologies de l'information et de la communication,

offrir un niveau de protection adapté aux risques encourus par l’entreprise.

mettre en œuvre et valider l'organisation, les mesures, les outils et les procédures de sécurité,

optimiser la performance du système d'information en fonction du niveau de sécurité requis,

assurer les conditions d'évolution du système d'information et de sa sécurité.

L'efficacité de la sécurité d'un système d'information ne repose pas uniquement sur les outils de sécurité mais également sur une stratégie, une organisation et des procédures cohérentes. Cela nécessite une structure de gestion adéquate dont la mission est de gérer, mettre en place, valider, contrôler et faire comprendre à l'ensemble des acteurs de l'entreprise l'importance de la sécurité. Elle détermine également le comportement, les privilèges, les responsabilités de chacun. Elle spécifie, en fonction de facteurs critiques de succès qui permettent d'atteindre les objectifs de l'entreprise, les mesures et directives sécuritaires appropriées. Ces dernières doivent être cohérentes par rapport au plan d'entreprise et informatique. Pour cela, une vision stratégique de la sécurité globale de l'entreprise est nécessaire.

Le choix des mesures de sécurité à mettre en place au sein des organisations résulte généralement d'un compromis entre le coût du risque et celui de sa réduction. Il dérive de l'analyse à long, moyen et court termes des besoins et des moyens sécuritaires.

11 33

LLeess ccoommppoossaanntteess ddaauuddiitt ddee ssééccuurriittéé

~ 5 ~

L’objectif principal d’audit est d’élever de manière efficace le niveau de sécurité du système, en tenant compte des contraintes humaines et financières. Ainsi l’audit permet d’identifier et de combler les failles les plus dangereuses, qui nécessitent généralement un peu d’effort pour être éliminées. Il permet aussi de sensibiliser le personnel et la Direction Générale sur les risques cachés. Les types d’audit de sécurité sont :

1.3.1 Audit organisationnel

Il s’agit de vérifier l’ensemble des procédures de production. Autrement dit, l'audit l'organisationnel examine les mises à jour des logs, les procédures d’archivage et de backup et les procédures de recouvrement après un désastre, etc. Cela touche aussi la vérification de l’existence de l’ensemble des postes fonctionnelles relatives à la sécurité. Donc il faut bien s’assurer qu’il existe une structure responsable de la sécurité qui est rattachée à la direction générale. À la tête de cette structure un RSSI doit être nommé. Dans notre mission le RSSI c’est Monsieur LADJIMI Marouan.

1.3.2 Audit physique

Ce type d’audit touche tout ce qui contrôle d’accès physique, à titre d’exemple : les brigades, le contrôle d’accès biométrique aux locaux de l’entreprise (l’empreinte digitale), etc. Aussi, il permet de vérifier l’ensemble des procédures qu’il faut appliquer suite à un incendie ou à une inondation, également ça touche les équipements de vérification de ronde de gardien, etc.

1.3.3 Audit technique

« Un audit technique est une analyse technique de la sécurité de toutes les composantes du système informatique et la réalisation de tests de leur résistance face aux attaques ; avec une analyse et une évaluation des dangers qui pourraient résulter de l’exploitation des failles découvertes suite à l’opération d’audit […]. » 3

L’audit technique est donc composé de :

3 http://www.ansi.tn/fr/audit/faq.html#proceder (avril 2010)

~ 6 ~

Audit réseau :

L’audit réseau permet de vérifier l’ensemble des équipements passifs et actifs de réseau, c'est-à-dire l’ensemble des câbles et des équipements de routage et de commutation. Donc, nous pouvons vérifier dans l’audit les configurations, l’état des équipements, etc.

Audit système :

Cette partie concerne les serveurs de production, soit des serveurs spécifiques (dans le métier de l’entreprise) ou des serveurs logistiques tels que les serveurs mails, les serveurs d’application, etc.

Audit de l’architecture :

Cette partie s’intéresse aux règles de sécurité mises en place. Elle va toucher à la solution de sécurité. Cette solution va toucher aux différentes composantes telles que les systèmes antiviraux, les pare-feux, les systèmes de détection d’intrusion et tout ce qui concerne le cryptage des données dans le réseau,

Audit applicatif :

Là, il s’agit de vérifier l’architecture des applications, est-ce qu’il s’agit d’une architecture client/serveur, 3-tiers, multi tiers ou client léger. Dans cette partie nous pouvons même vérifier le code source des applications et les fonctionnalités qui sont supposées être présentes dans les applications.

qui sont supposées être présentes dans les applications. Nous n’allons pas effectuer ni l’audit organisationnel

Nous n’allons pas effectuer ni l’audit organisationnel ni l’audit physique vu que notre mission se focalise seulement sur l’audit technique. Pour cette raison, nous allons détailler la partie de l’audit technique.

1.3.4 Audit technique

~ 7 ~

1.3.4.1 Audit réseau L’audit réseau se fait sur des étapes comme suit :

Découverte

La première partie de l’audit technique c’est la découverte des ressources. Donc dans cette partie, Nous allons découvrir la topologie de réseau c'est-à-dire essayer de retrouver l’ensemble des ressources réseau qui sont présentes et qui sont constituants de système de SI. Cette partie peut être réalisée par l’inspection directe des lieux ou via des outils automatisés tels que Networkview par exemple.

Nous allons ensuite récupérer le plan d’adressage et la stratégie de mise en ouvre (statique, DHCP ou NAT) ou un domaine. Nous allons vérifier aussi si les utilisateurs peuvent changer leurs mots de passe, ou encore avoir des privilèges élevés facilement.

Nous allons aussi vérifier l’emplacement de serveur DHCP, nous allons ensuite récupérer les règles de translation. Encore, nous allons essayer de récupérer les informations SNMP et les connexions FSI.

Organisation et maintenance

Par la suite, nous procédons à l’examen de l’organisation et la maintenance des équipements réseau, autrement dit nous allons contrôler l’état des armoires, l’emplacement des câbles, l’existence des panneaux de brassage et leurs dispositions (en série ou en cascade). Nous devons vérifier la procédure de vérification des câbles, est-ce que c’est périodique ou est-ce que lorsqu’on tombe en panne alors nous cherchons quel est le câble qui ne fonctionne pas. Tout ceci doit être audité.

Analyse de trafic réseau

L’objectif de cette analyse est récupérer l’ensemble des protocoles et des paquets qui circulent sur le réseau.

En posant les questions nécessaires, nous pouvons connaitre les protocoles qui sont supposés transiter sur le réseau. Par la suite nous allons comparer les résultats d’analyse avec la liste des protocoles qui doivent exister, et donc retrouver la source de ce trafic indésirable.

~ 8 ~

Audit des équipements de routage et de commutation

Il s’agit de vérifier par quels moyens les équipements de routage et de commutation sont administrés (console d’administration, les requêtes SNMP, Telnet ou SSH). Ensuite nous allons déterminer l’ensemble des vulnérabilités connues pour les logiciels de ces équipements (IOS). Puis, nous allons vérifier l’ensemble des ACL. Nous devons aussi contrôler la segmentation de réseau.

Les tests intrusifs

Une autre action qui est réalisée dans la même partie, ce sont les tests intrusifs. Ils sont répartis en deux catégories :

- tests intrusifs internes : c'est-à-dire des tentations d’intrusions à partir de point qui sont à l’intérieur de réseau et non pas à l’extérieur,

- tests intrusifs externes : ces tests peuvent être faits avec une

connaissance partielle ou totale de SI. Ces tests sont appelés des tests intrusifs avec « boite blanche » : la personne qui va s’introduire dans le système d’information connaît ce qu’il y a dedans ; contrairement aux tests intrusifs qui se font sans connaissance de système d’information, On dit que ces tests intrusifs sont avec « boite noire », c'est-à-dire celui qui essaye de s’introduire ne connait rien — au préalable de réseau de SI.

1.3.4.2 Audit système :

Ainsi l’audit système est réalisé suivant les étapes suivantes :

Découverte des services et leurs versions

Il s’agit de découvrir les services et leur version, nous allons nous intéresser aux serveurs donc aux services hébergés dans ces serveurs. La version des services importe beaucoup, puisqu’une nouvelle version résout des problèmes et donne de nouvelles fonctionnalités. Dans le cas où les responsables ont confiance en leur équipe, ils leur disent dans certains cas, comme cela s’est passé dans notre cas « nous sommes sécurisés, alors montrez-nous ce que vous pouvez faire… »

Découverte des vulnérabilités

Cette étape est fondamentale. Elle aide à trouver toutes les failles réseau et systèmes. Cette phase est effectuée via des analyseurs automatisés ou des « scanners ». Il y a plusieurs

~ 9 ~

scanners du domaine libre ou commercial. À titre d’exemple il y a le produit « Nessus » ou le produit « GFI Languard ».

Patchs manquants

Puisqu’un nouveau patch amène d’autres fonctionnalités et corrige des bugs. Nous devons donc vérifier les patchs des services et les services pack installés sur les machines.

1.3.4.3 Audit de l’architecture

Audit des pare-feux

« Un pare-feu est une métaphore utilisée pour désigner un logiciel et/ou un matériel, qui a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés ou interdits. » 4

Nous devons donc vérifier le mode d’administration des pare-feux. C’est très important de s’assurer que nous pouvons exclusivement administrer un firewall d’un seul endroit, puisqu’une personne non privilégiée peut ouvrir une connexion sur un firewall peut ouvrir tous les ports et faire tout ce qu’elle veut. Bien sûr, nous sommes tenus à examiner les vulnérabilités et les règles d’accès et les comparer avec la politique de sécurité.

Audit du système de prévention d’intrusion.

« Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, sauf que ce

système peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un

» 5

IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement Donc, nous allons simuler des attaques sur le réseau et nous allons noter la réaction des IPS.

Vérification du système Antiviral

Aujourd’hui une solution Antivirale est indispensable pour l’entreprise, parce que les virus sont de plus en plus sophistiqués. Ils peuvent causer des dégâts énormes. Alors c’est important de disposer un système Antiviral. Nous devons donc réviser les procédures de mise à jour de serveur Antiviral. Aussi il faut s’assurer que tous les postes sont équipés d’un client Antiviral.

4 http://fr.wikipedia.org/wiki/Pare-feu_(informatique) (avril 2010)

5 http://fr.wikipedia.org/wiki/Systéme_de_prévention_d’intrusion (avril 2010)

~ 10 ~

1.3.4.4 Audit applicatif

Cette partie concerne l’analyse de l’application. L’architecture de l’application peut être client/serveur, 3-tiers ou multi-tiers, etc. Bien évidemment, le choix de l’architecture va influencer la manière d’exploitation de ces applications. Notre mission d’audit est de tester ces applications. Mais après recherches et inspections, nous avons constaté qu’il vaut mieux poser des questions nécessaires sur les utilisateurs. D’où nous pouvons déterminer les fonctionnalités qui sont supposées être implémentées dans l’application.

1.4 LLooiiss eett ddééccrreettss eenn TTuunniissiiee rreellaattiiffss àà llaa ssééccuurriittéé ::

loi n° 5 - 2004 : du 3 février 2004, relative a la sécurité informatique et portant sur l’organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux, 6

décret n° 1248 - 2004 du 25 mai 2004, fixant l'organisation administrative et financière et les modalités de fonctionnement de l'A.N.S.I,

décret n° 1249 - 2004 du 25 mai 2004, fixant les conditions et les procédures

de certification des experts dans le domaine de la sécurité informatique,

décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les

réseaux des organismes soumis a l'audit obligatoire périodique de la sécurité informatique et les critères relatifs a la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.

11

55

CCoonncclluussiioonn

Le premier chapitre a mis en œuvre les enjeux de la sécurité, les objectifs et la démarche de l’audit technique d’une façon simple et générale, enfin les lois relatives à la sécurité en Tunisie. Le chapitre suivant « Étude de l’existant» va présenter le système d’information de MTC.

6 Journal Officiel de la République Tunisienne- 4 juin 2004

~ 11 ~

Chapitre 2

Étude de l’existant

Avant d’entamer le cycle de l’audit, il est nécessaire de faire la reconnaissance de l’infrastructure du système d’information de MTC ainsi que les moyens mis en œuvre pour assurer sa sécurité physique et logique.

~ 12 ~

2.1

PPRRÉÉSSEENNTTAATTIIOONN DDEE LLOORRGGAANNIISSMMEE DDAACCCCEEUUIILL

2.1.1 Rôles et attributions

Le ministère a pour mission la mise en place d'un cadre réglementaire qui organise le secteur, la planification, le contrôle et la tutelle en vue de permettre au pays d'acquérir les nouvelles technologies. Il assure de même le soutien du développement, attire l'investissement et encourage les efforts d'exportation et la compétitivité des entreprises tunisiennes. L’adresse officielle du site du ministère est : http://www.mincom.tn

du site du ministère est : http:/ / www.mincom.tn Figure 2 . 1 Portail officielle de

Figure 2.1 Portail officielle de MTC

À cet effet, le ministère est chargé notamment de :

~ 13 ~

coordonner entre les structures chargées des études stratégiques dans le domaine de la poste, des télécommunications et de la technologie de l'information, élaborer des normes techniques et encadrer les programmes de la recherche et les activités industrielles en vue de leur adaptation aux besoins du secteur,

élaborer des plans et des études stratégiques dans les domaines des télécommunications et postal,

élaborer les études de rentabilité tarifaires et les modalités de fixation des tarifs des télécommunications et des tarifs postaux,

fixer les conditions et les modalités relatives à la mise en place et à l'exploitation des services à valeur ajoutée des télécommunications,

suivre l'activité des entreprises sous tutelle du ministère du point de vue technique et financier,

collecter et analyser des statistiques relatives au secteur et proposer des programmes à insérer dans les plans de développement et en évaluer les résultats,

collecter et analyser et diffuser des statistiques relatives aux activités du ministère,

participer à l'élaboration des études stratégiques et des plans de développement dans le domaine des communications,

évaluer les résultats des plans de développement relatifs aux domaines afférents aux attributions du ministère.

2.1.2 Organigramme :

2.1.2.1 Le cabinet :

le bureau d'ordre central,

le bureau d'information, d'accueil et des relations publiques,

le bureau de suivi des décisions du conseil des ministres, des conseils ministériels restreints et des conseils interministériels,

le bureau chargé du système opérationnel de secours de communications et de la sécurité et de la permanence,

le bureau des relations avec le citoyen,

le bureau de veille technologique,

~ 14 ~

le bureau des affaires générales,

le bureau de la coopération internationale, des relations extérieures et

du partenariat,

le bureau de l'encadrement des investisseurs et des agréments,

le bureau de la gestion des documents et de la documentation,

les comités consultatifs,

l'inspection générale des communications.

2.1.2.2 Les services communs :

la direction des affaires administratives et financières,

la direction des affaires juridiques et du contentieux,

la direction de la formation et de l'action sociale et culturelle.

2.1.2.3 Les services spécifiques :

La direction générale des techniques des communications comprend :

la direction des techniques des télécommunications,

la direction des techniques postales,

la direction des technologies de l'information.

La direction générale des entreprises, de la statistique et du développement comprend :

la direction des entreprises,

la direction des statistiques et du développement.

Les services du secrétaire d'État chargé de l'Informatique et de l'Internet et des Logiciels Libres :

la direction générale de la stratégie et de la planification,

la direction de suivi de l'informatisation,

la direction de la coopération internationale et des projets innovants.

~ 15 ~

2.1.2.4

Établissements Sous Tutelle :

Tunisie Télécom,

La Poste Tunisienne,

ATI,

CNI,

CERT,

ANF,

ONT,

ANCE,

ANSI,

SUP'Com,

ISET'Com,

2.1.3 Unité informatique :

L’unité informatique est chargée de :

l’exécution du chemin directeur de l’information et sa mise à jour, de

même le développement de l’utilisation de l’informatique au niveau de différents services du ministère,

l’exploitation et la maintenance des équipements et des programmes

informatiques,

la fixation de besoins en matière informatique et participation à

l’élaboration des cahiers des charges des appels d’offres pour l’acquisition

d’équipements informatiques,

la participation à l’élaboration des programmes de formation et de

recyclage,

~ 16 ~

le

développement

des

programmes

informatiques

concernant

les

produits financiers,

 

le

suivi

et

l’application

des

programmes

de

maintenance

des

équipements informatiques au niveau régional à travers les pôles régionaux.

2.2 IIddeennttiiffiiccaattiioonn ddeess ccoommppoossaanntteess dduu ssyyssttèèmmee iinnffoorrmmaattiiqquuee ddee MMTTCC ::

Dans cette partie nous allons identifier tous les éléments et les entités qui participent au fonctionnement du Système informatique.

2.2.1 Inventaire des moyens informatiques :

aux informations suivantes :

Suite

visites

effectuées

aux

bureaux,

nous

avons

collecté

les

2.2.1.1 Inventaire des Micro-ordinateurs et serveurs :

 

le nombre des postes de travail est 250 pc,

 

tous les ordinateurs sont de type pc,

 

le nombre des serveurs en exploitation est 10 serveurs.

 
 

Tableau 2.1 Les serveurs en exploitation

 

Serveurs en

Applications

 

Plateformes/SGBD

Adresses

Exploitation

 

réseau

Serveur Sygec

Gestion et suivi des courriers

 

Windows 2008/SQL server 2005

X.Y.Z.T/24

Serveur primaire messagerie Lotus notes

Messagerie Intranet

 

Windows 2003 SP3

X.Y.Z.T/24

Serveur Secondaire messagerie Lotus

Messagerie Intranet

 

Windows 2003 SP3

X.Y.Z.T/24

~ 17 ~

Serveur backup Mail

Sauvegarde des mails

Windows XP SP2

X.Y.Z.T/24

Serveur Antivirus réseau Symantec Norton

Système Antivirus

Windows 2003 Server

X.Y.Z.T/24

Serveur Mangement FW

Console d’administration de Pare-feux

Windows XP SP2

X.Y.Z.T/24

Serveur Sygec

Application de Gestion des relations avec citoyens

Windows NT 4

X.Y.Z.T/24

Serveur WSUS

Mise à jour Windows

Windows 2008 Server

X.Y.Z.T/24

Serveur de Bibliothèque virtuelle

Application d’archivage électronique

Windows 2008 Server

X.Y.Z.T/24

Serveur Fax

Gestion électronique des Fax

Windows 2008 Server

X.Y.Z.T/24

2.2.1.2 Inventaire des Logiciels et systèmes d’exploitation :

Les applications exploitées par le Ministère sont définies comme suit :

Tableau 2.2 Inventaire des applications

   

Développement :

Les applications

Exploitations

externe/interne

Système de gestion du courrier « Sygec »

Le logiciel permet de gérer les courriers « Arrivé / Départ »

Externe

INSAF

Application permet la gestion intégrée des ressources humaines et de la paie du personnel de l’État

Externe

RACHED

Application pour l’automatisation des procédures relatives aux missions effectuées à l’étranger par

Externe

~ 18 ~

 

les agents de l’administration

 

Système de gestion des requêtes des citoyens

Application qui assure la gestion et le suivi des

 

«

SYGER »

requêtes déposées par le citoyen dans les bureaux des relations avec le citoyen dans le ministère

Externe

ADAB

Application d’aide à la décision Budgétaire

Externe

Gestion des biens mobiliers de l’État

Application de gestion des stocks des produits tenus en stock dans les magasins du ministère

Externe

«

MANKOULET »

Gestion des stocks de l’Administration

Application de gestion des stocks des produits tenus en stock dans les magasins du ministère

Externe

«

MAKHZOUN »

Lotus Domino

Est un produit IBM qui fournit une plateforme de messagerie électronique Intranet

Externe

Lotus Notes

Un logiciel client pour la gestion de messagerie électronique en Intranet

Externe

Lotus Domino

Application Web qui donne la possibilité aux employés d’accéder via un client web aux messageries électroniques…

 

Webmail

Externe

Bibliothèque virtuelle

Une application web permettant la constitution d’une archive numérique des livres et des magasines exposés dans les bibliothèques des organises sous tutelle

Interne

Fax

Serveur dédié à l’envoi et la réception des fax de Ministère.

Interne

2.2.1.3 Plan d’adressage

~ 19 ~

Tous les hôtes du réseau utilisent des adresses IP privées de classe A (10.0.x.0/24) avec un masque réseau de classe C. Le réseau Interne est segmenté en 8 sous-réseaux :

Tableau 2.3 Plan d'adressage de MTC

Adresses Réseau

Zones

X.Z.Y.T/24

Postes utilisateurs zone DGTC

X.Z.Y.T/24

Postes utilisateurs zone inspection

X.Z.Y.T/24

Zone des serveurs en exploitation

X.Z.Y.T/24

Postes utilisateurs zone DAAF

X.Z.Y.T/24

Postes utilisateurs zone juridique

X.Z.Y.T/24

Postes utilisateurs zone Bâtiment

X.Z.Y.T/24

Postes utilisateurs zone cabinet

X.Y.Z.T/24

Postes utilisateurs Réseau DI

2.2.1.4 Inventaire des équipements réseau :

Tableau 2.4 Equipements d'interconnexion de MTC

Marque et Modèle

Interfaces

Plusieurs commutateurs de marque Dlink et de modèle DGS 3100

24

ports Rj45, 4 ports FO

Des Commutateurs Dlink et DGS 1216T

16

ports Rj45, 2 ports FO

Un routeur Cisco 2850

2 interfaces Fast Ethernet et 8 interfaces séries

Un double de FW de marque Stonegate et de modèle

 

FW1050

Possèdent 8 interfaces Fast Ethernet.

22 33

AArrcchhiitteeccttuurree ddee rréésseeaauu ::

~ 20 ~

2.3.1

Synoptique

Toute l’informatique est reliée à un réseau de type Ethernet, c’est un réseau local moderne, 100% commuté, avec des débits élevés (100/1000 Mb/s).

La topologie du site est en étoile étendue, le réseau interne est segmenté physiquement en 8 sous-réseaux, et chaque segment sous réseau est relié à un nœud central (Commutateur N3 de marque 3com et de modèle Core Builder 3500) via des liaisons de type fibre optique.

Le réseau interne est relié au réseau Internet à travers une liaison de type LS avec un débit 2 Mb/s. Dernièrement, Ce débit a été augmenté jusqu'à 10Mb/s avec une liaison fibre optique. Le réseau est relié avec des sites distants (des sites des organismes sous tutelle tels que SEILL, ONT, OPT, CNI) via des liaisons permanentes à hauts débits (lignes spécialisées avec un débit qui varie entre 128 ko/s et 512 ko/s). Toute l’architecture du réseau est autour d’un doublet de pare-feu (qui fonctionne en mode Clustering) ayant 8 interfaces Fast Ethernet :

- une interface qui relie le réseau intranet,

- une interface qui relie la liaison internet,

- une interface qui relie les sites distants,

- une interface qui relie le segment de la zone cabinet,

- une interface qui relie la zone des serveurs.

~ 21 ~

Figure 2.2 Architecture de MTC ~ 22 ~

Figure 2.2 Architecture de MTC

~ 22 ~

2.3.2

Configuration Réseau

Tous les hôtes du réseau utilisent des adresses IP Privées de classe A avec un masque de classe C ce qui n’est pas conforme aux normes en vigueur. La configuration TCP/IP des hôtes est manuelle, les postes de travail occupent des adresses de plage 10.x.x.x/24

Les serveurs en exploitation occupent des adresses de plage 10.0.3.x/24. Pour l’accès au réseau public Internet, une translation d’adresse (NAT) est assurée par le firewall

2.3.3 Aspects de sécurité existante

Des mesures de sécurité ont été prises pour assurer au mieux la sécurité des infrastructures et des utilisateurs du réseau.

2.3.3.1 Sécurité physique

D’après les visites et les entretiens, nous avons constaté les faits suivants :

le service de nettoyage intervient de 8h à 9h et de 13h à 14h30,

l’existence des agents d’accueil qui contrôlent l’accès au périmètre du site, l’enregistrement des informations relatives à chaque visiteur et fournir un badge pour accéder à l’intérieur du local,

la salle serveur est fermée à clef, seules les personnes autorisées et qui possèdent la clé peuvent y accéder,

la climatisation est assurée par (deux) climatiseurs domestiques installés dans la salle des serveurs,

les prises de courant électriques ne sont pas ondulées,

existence des onduleurs (3 de marque Infosec 5kva et 5 de marque APC 1kva) pour assurer la continuité de service des ressources critique en cas de problèmes électriques,

seuls les machines et les composants réseau à importance élevée sont protégés par des onduleurs pour éliminer les problèmes d’alimentation électrique de courte durée,

les extincteurs d’incendies sont disponibles dans chaque couloir,

absence des caméras de surveillance pour les zones sensibles.

2.3.3.2 Sécurité logique :

Pour la sécurité logique, les moyens mis en place au sein du S.I sont :

~ 23 ~

acquisition d’une solution matérielle de sauvegarde de données Wooxo Security Box : qui comprend 2 disques (chacun est de capacité 512Gb), il est administrable via le web, il est sécurisé contre les risques majeurs tels que : le feu, l’inondation et le vol,

majeurs tels que : le feu, l’inondation et le vol, Figure 2.3 Wooxo Security Box 

Figure 2.3 Wooxo Security Box

des procédures de sauvegarde pour les des données sensibles sont appliquées selon les fréquences suivantes :

- pour la base de données de l’application Sygec : une image sur disque est sauvegardée chaque jour,

- pour les Emails au niveau du serveur de messagerie : une sauvegarde est planifiée tous les jours (fin de la journée) sur un poste de travail dédié pour backup Mail,

- pour la configuration du firewall : une sauvegarde chaque jour de la configuration, et une sauvegarde des logs est assurée chaque mois,

- afin d’assurer la continuité des services et éviter l’arrêt des services même partiellement en cas des problèmes (panne matérielle, crash

une certaine redondance matérielle a été constaté

notamment au niveau des firewalls ainsi qu’au niveau des disques de

certains serveurs qui utilisent une technologie Raid niveau 5.

disque…

),

~ 24 ~

2.3.3.3

Sécurité Réseau :

Le réseau est segmenté physiquement en des sous réseaux autour d’un commutateur niveau 3 qui assure le routage. Les filtrages des accès depuis et vers les réseaux externes sont assurés par le Pare-feu de marque Stonegate. Pour l’accès au réseau Internet, le mécanisme du NAT est assuré par le doublet de pare-feu. Dans la zone des serveurs en exploitation, un système de détection des intrusions (IPS) est installé afin de la protéger contre les attaques. Récemment cette solution a été tombée en panne.

Récemment cette solution a été tombée en panne. Figure 2.4 Pare-feu Stonegate 2.3.3.4 Sécurité des

Figure 2.4 Pare-feu Stonegate

2.3.3.4 Sécurité des systèmes

La sécurité des systèmes de MTC est définie comme suit :

La gestion de Mise à jour :

- l’existence d’un serveur (Microsoft WSUS) dédié a la Mise à jour qui contient les derniers correctifs en matière de sécurité pour les systèmes Windows,

- le système Antivirus : le MTC adopte une solution antivirale Symantec Norton avec une licence réseau,

Création des défenses humaines :

En collaboration avec la direction de la formation, des formations techniques ont eu lieu au local du Ministère. Ces formations s’adressant aux utilisateurs du réseau, afin de développer leur conscience face aux menaces informatiques et développer une culture de sécurité.

22

44

CCoonncclluussiioonn

L’étude de l’existant nous a permis de démasquer quelques vulnérabilités au niveau de l’architecture de MTC ainsi des systèmes installés. L’analyse de l’existant est donc notre point de départ pour le chapitre suivant « audit technique » qui va divulguer les failles de sécurité qui menacent la stabilité et la disponibilité de Système d’information de MTC.

~ 25 ~

Chapitre 3

Audit technique

Dans ce chapitre, nous aboutissons aux tests techniques. Ces tests sont dans le but d’évaluer le niveau de sécurité de MTC et dévoiler les défaillances et les faiblesses de ce système informatique. Pour cela, des outils open source et propriétaires ont été utilisés.

~ 26 ~

3.1

ÉÉttaappeess ddee llaauuddiitt tteecchhnniiqquuee

Comme il est indiqué dans le premier chapitre « Présentation et démarche de la mission d’audit », des étapes ont été fixées. Ces étapes sont :

- audit réseau,

- audit de l’architecture du réseau,

- audit des systèmes,

- audit des applications.

Après des réunions avec notre encadreur, des outils ont été choisis pour effectuer la mission d’audit. Ces outils seront mentionnés dans les paragraphes suivants.

33

22

AAuuddiitt rréésseeaauu

Cette étape consiste à découvrir le réseau ciblé. En effet, l’audit réseau est une étape primordiale. Elle consiste à récolter des informations panoramiques sur le réseau.

3.2.1 Découverte de réseau et récolte des informations

Dans cette étape, nous avons utilisé des outils de reconnaissances de réseau tels que Networkview, Autoscan et LanSurveyor :

Tableau 3. 5 Liste des outils de découvertes réseau

Outils

Description

Logo

Networkview

Networkview est un outil compact de découverte et de gestion de réseau : en quelques minutes, il découvrira tous les nœuds TCP/IP et dessinera une carte graphique (itinéraires compris) en utilisant les informations DNS, SNMP et les ports TCP 7

et dessinera une carte graphique (itinéraires compris) en utilisant les informations DNS, SNMP et les ports

7 www.01net.com (Mai 2010)

~ 27 ~

LanSurveyor

C’est un outil capable de détecter un réseau local (LAN ou WAN), et fournit un diagramme très facile à visualiser, à interpréter et à enregistrer en tant qu'image ou exporter vers Microsoft Visio. 8

très facile à visualiser, à interpréter et à enregistrer en tant qu'image ou exporter vers Microsoft

Autoscan

Autoscan est une application conçue pour explorer et contrôler votre réseau. Ce programme vous permet de faire une recherche et de découvrir automatiquement votre réseau 9

votre réseau. Ce programme vous permet de faire une recherche et de découvrir automatiquement votre réseau

Retina Wireless

Retina Wifi Scanner permet de détecter des réseaux sans fils environnants. Le logiciel est également prévu pour déterminer les vulnérabilités d’un réseau d’entreprise. Un rapport détaillé est généré à la fin de l’examen. 10

les vulnérabilités d’un réseau d’entreprise. Un rapport détaillé est généré à la fin de l’examen. 1

Security Scanner

Après balayage de Réseau de MTC voila la cartographie du réseau de MTC à l’aide de Networkview :

cartographie du réseau de MTC à l’aide de Networkview : Figure 3. 5 Cartographie de réseau

Figure 3. 5 Cartographie de réseau de MTC

8 www.solarwinds.com (Mai 2010) 9 www.clubic.com (Mai 2010) 10 www.01net.com (Mai 201)

~ 28 ~

D'ailleurs, c’est la cartographie de segment des serveurs à l’aide de même logiciel. Voila le résultat enregistré :

de même logiciel. Voila le résultat enregistré : Figure 3. 6 Cartographie du segment des serveurs

Figure 3. 6 Cartographie du segment des serveurs

En plus, une cartographie avec Autoscan de Segment DI a été réalisée :

En plus, une cartographie avec Autoscan de Segment DI a été réalisée : Figure 3. 7

Figure 3. 7 Résultat de Autoscan

~ 29 ~

D’après cette figure, nous avons pu déterminer le système d’exploitation d’une machine ainsi que ses ports ouverts.

Nous pouvons même avoir des informations sur des serveurs avec des requêtes SNMP, tel que la durée de mise en marche de serveur :

SNMP, tel que la durée de mise en marche de serveur : Figure 3. 8 Réponse

Figure 3. 8 Réponse d’une requête SNMP sur un serveur

Nous constatons que la récolte des informations est assez simple et facile. En effet la récolte des informations via SNMP nous a permis de déterminer le nom de serveur, ainsi que sa durée de mise en marche.

D’autre part, une découverte des réseaux sans fil WAN a été faite. Ci-dessous les résultats dégagés avec Retina Wireless Security Scanner.

résultats dégagés avec Retina Wireless Security Scanner. Figure 3. 9 Résultat d'analyse des réseaux WAN ~

Figure 3. 9 Résultat d'analyse des réseaux WAN

~ 30 ~

D’après la figure précédente, nous constatons que tous les réseaux verrouillés avec la clé de type WEP

WiFi sont

Après une réunion avec le RSSI, nous avons été informé que :

pour des raisons de sécurité, la stratégie de plan d’adressage est statique (pas de serveur DHCP),

il n’y a pas un document formel de politique de sécurité,

les utilisateurs ne peuvent pas changer leurs mots de passe de compte administrateur,

il n’y pas un domaine.

3.2.2 Analyse de trafic réseau

Cette phase est importante. Elle sert à déterminer l’ensemble des protocoles qui circulent sur le réseau. Pour cela, un outil a été employé:

Tableau 3. 6 Outils d'analyse de trafic réseau

Outil

Description

Logo

 

Wireshark est l'analyseur réseau le plus populaire du monde. Cet outil

  Wireshark est l'analyseur réseau le plus populaire du monde. Cet outil

Wireshark

extrêmement puissant fournit des informations sur des protocoles

réseau et applicatifs à partir de données capturées sur un réseau. 11

L’analyse de trafic a

été effectuée entre 11h:30 à 12h:30

et avec

un régime

d’utilisation normale. Les résultats sont comme suit :

Tableau 3. 7 Statistique de capture

Nom

Valeur

Nombre total des octets

218,324009

Nombre total des paquets

58,071

Nombre total des paquets de diffusion (Broadcast)

11,877

11 www.openmaniak.com (Mai 2010)

~ 31 ~

D’après ce tableau, nous notons la transition de 208,21 Mo sur notre console de test.

la transition de 208,21 Mo sur notre console de test. Figure 3. 10 Octets par seconde

Figure 3. 10 Octets par seconde

transition de 208,21 Mo sur notre console de test. Figure 3. 10 Octets par seconde Figure

Figure 3. 11 Procololes TCP

~ 32 ~

Figure 3. 12 Protocoles UDP D’après ces deux graphes, nous remarquons la transition des protocoles

Figure 3. 12 Protocoles UDP

D’après ces deux graphes, nous remarquons la transition des protocoles HTTP, HTTPS, netbios-ns. D’autres protocoles ont été trouvés et qui doivent être vérifiés par le RSSI. A titre d’exemple les protocoles SSDP et XFER.

3.2.3 Audit des équipements réseau

Dans cette partie, nous commençons à effectuer les tests des équipements réseau tels que les équipements de routage et de commutation. Bien entendu, ces tests doivent être assistés par un l’administrateur réseau pour nous éviter de commettre des erreurs. Ces erreurs peuvent éventuellement rendre les serveurs indisponibles.

~ 33 ~

Pour réaliser ces tests, nous avons utilisé des outils open source et commerciaux que nous présenterons ci-dessous :

Tableau 3.8 Liste des outils de scan réseau

Outils

Description

Logo

GFI Languard

GFI Languard Network Security Scanner permet de détecter les failles de sécurité et les intrusions d’un réseau afin de pouvoir les corriger. 12

permet de détecter les failles de sécurité et les intrusions d’un réseau afin de pouvoir les

Nmap

Nmap (« Network Mapper ») est un outil open source d'exploration réseau et d'audit de sécurité. Il a été conçu pour scanner rapidement de grands réseaux.

d'exploration réseau et d'audit de sécurité. Il a été conçu pour scanner rapidement de grands réseaux.

Nessus

Nessus est un outil de sécurité informatique. Il signale les faiblesses potentielles ou avérées sur les machines testées. Nessus permet aussi de lancer des attaques. 13

les faiblesses potentielles ou avérées sur les machines testées. Nessus permet aussi de lancer des attaques.

En premier lieu, nous allons déterminer les systèmes d’exploitation de ces serveurs ainsi que les ports ouverts sur ces serveurs.

Les résultats des tests ont confirmé que les postes utilisent Windows. Ceci qui valide notre partie précédente « l’étude de l’existant ». De même, nous notons l’existence des systèmes d’exploitation Linux (Debian et Ubuntu) qui sont installés sur des serveurs. Ce type de test nous aide à vérifier les mises à jour et les services packs installés sur la machine.

12 www.clubic.com (mai 2010)

13 www.wikipedia.fr (mai 2010)

~ 34 ~

Pour des raisons d’ergonomie, nous avons choisi de lancer la détection de système d’exploitation à l’aide de Zenmap (Nmap graphique sous Backtrack).Voilà les résultats d’un serveur :

sous Backtrack).Voilà les résultats d’un serveur : Figure 3. 13 Identification des OS de deux serveurs

Figure 3. 13 Identification des OS de deux serveurs

D’après cette figure, nous avons constaté que la version de certains serveurs n’est pas à jour ou encore mise à niveau.

3.2.4 Test intrusif

À l’aide de Telnet, nous avons découvert que l’un des commutateurs de type Dlink est mal configuré. En effet, le mot de passe d’administrateur était le mot de passe par défaut de constructeur 14

était le mot de passe par défaut de constructeur 1 4 Figure 3. 14 Intrusion au

Figure 3. 14 Intrusion au commutateur

14 www.routerpasswords.com (mais 2010)

~ 35 ~

Cet accès permet à une personne mal intentionnée d’avoir des privilèges plus élevés. Donc, elle peut faire tout ce qu’elle veut. À titre d’exemple ce pirate peut modifier le mot de passe ou même uploader un trojan dans la mémoire.

mot de passe ou même uploader un trojan dans la mémoire. Figure 3. 15 Accès non

Figure 3. 15 Accès non autorisé au commutateur

33 33

AAuuddiitt ssyyssttèèmmee

3.3.1 Découverte des services et leurs versions

Cette phase consiste à manipuler des scanners automatisés et lancer des scans dans le but de déterminer tous les services autorisés. Dans ce cas, les serveurs qui ont été balayés sont : le serveur de FAX et le serveur de sauvegarde Wooxo.

~ 36 ~

3.3.1.1 Découverte des services de serveur Fax

Avec l’outil GFI Languard, nous avons récolté les informations suivantes :

Languard, nous avons récolté les informations suivantes : Figure 3. 17 Découverte des services de serveur

Figure 3. 17 Découverte des services de serveur de FAX

: Figure 3. 17 Découverte des services de serveur de FAX Figure 3. 16 Découverte des

Figure 3. 16 Découverte des services de serveur Wooxo

~ 37 ~

Nous remarquons une grande existence des services autorisés. Il faut donc vérifier l’utilité de ses services, et poser la question suivante : « est-ce que nous avons besoin de tous ces services ? »

Où cas où nous n’avons pas besoin d’un tel service, nous devons le désactiver. En effet, cela peut nous mettre devant d’éventuelles attaques qui engendrent un déni de service (DoS) ou même un accès non légitime ou une exploitation. Dans notre cas, le protocole FTP est autorisé sur le serveur Wooxo.

3.3.1.2 Découverte des vulnérabilités

Dans cette partie, nous avons mis en évidence les différentes vulnérabilités et les failles. Dans ce test, Nessus et GFI Languard ont été utilisés.

L’imprimé-écran suivant illustre le niveau de vulnérabilité générale de MTC

illustre le niveau de vulnérabilité générale de MTC Figure 3. 18 Niveau de sécurité générale de

Figure 3. 18 Niveau de sécurité générale de MTC

En effet, voilà le résultat de scan de la console d’administration des deux pare-feux :

de scan de la console d’administration des deux pare -feux : Figure 3. 19 Résultat de

Figure 3. 19 Résultat de scan de pare-feu avec GFI

~ 38 ~

D’après la figure précédente, nous remarquons clairement que le compte d’administrateur de console d’administration de pare-feux est sans mot de passe. C’est impératif de définir un mot de passe du compte d’administrateur. Ainsi, nous devons désactiver le compte invité.

Après, nous procédons à un test de serveur Mail Domino Lotus l’aide de Nessus :

un test de serveur Mail Domino Lotus l’aide de Nessus : Figure 3. 20 Analyse de

Figure 3. 20 Analyse de serveur de Mail

Les résultats indiquent six vulnérabilités critiques. Parmi ces vulnérabilités nous

avons:

le protocole IMAP est activé sur le serveur. Un attaquant peut utiliser Telnet

sur le serveur. Il est possible pour d'exécuter un code malveillant qui entraîne un déni de

service de type Buffer Overflow, 15

la version de Lotus Domino installée sur le serveur semble être plus vieille que

7.0.2. Selon IBM, cette version peut être affectée par plusieurs problèmes de sécurité, 16

3.3.1.3 Patchs manquants

15 http://www-01.ibm.com/support/docview.wss?uid=swg21270623 (mai 2010)

16 http://www-01.ibm.com/support/docview.wss?uid=swg27009808 (mai 2010)

~ 39 ~

D’après les visites effectuées aux bureaux des employés, nous avons remarqué que la plupart des machines tournent sous Windows XP Service Pack 2.Donc, il faut effectuer les mises à jour de service pack 3.

33 44

3.4.1 Audit des pare-feux

AAuuddiitt ddee llaarrcchhiitteeccttuurree

Nous arrivons au stade où nous allons analyser le nœud le plus important dans la sécurité de réseau de MTC : c’est le pare-feu. Sa marque est Stonegate. Nmap et Nessus seront utilisés dans l’audit. Le système d’exploitation installé est Debian 4 avec un noyau Linux 2.6. Voilà les résultats avec Nmap :

avec un noyau Linux 2.6. Voilà les résultats avec Nmap : Figure 3. 21 Ports ouverts

Figure 3. 21 Ports ouverts sur le pare-feu

Des ports ont été découverts. Donc il faut les vérifié avec le RSSI. Avec Nessus, nous avons obtenu les résultats suivants :

Avec Nessus, nous avons obtenu les résultats suivants : Figure 3. 22 Vulnérabilités au niveau de

Figure 3. 22 Vulnérabilités au niveau de pare-feu

D’après la figure précédente, nous avons détecté deux failles critiques. Ils sont :

~ 40 ~

d’après le site de Debian 17 , La version de Debian (4.2) n’est plus

supportée. Nous devons mettre à niveau le système d’exploitation vers la version la

plus récente (5.0),

le mot de passe d’accès SSH vers le pare-feu est « root ». C’est le mot

de passe par défaut de système d’exploitation Linux. En principe, elle devait être changée.

En utilisant l’outil Putty (Émulateur de terminal), nous avons réussi à accéder au compte root du pare-feu, voilà les imprimés-écrans :

au compte root du pare-feu, voilà les imprimés-écrans : Figure 3. 23 Accès total au pare-feu

Figure 3. 23 Accès total au pare-feu

17 http://www.debian.org/releases/ (mai 2010)

~ 41 ~

3.4.2 Vérification du système Antiviral

Une solution antivirale de type Symantec Norton a été adoptée par le Ministère. En utilisant le freeware PC Security 2010, nous avons pu tester les performances de cet antivirus.

Voila lés imprimés-écran des résultats de ce test :

Voila lés imprimés-écran des résultats de ce test : La note attribuée à l’antivirus par ce

La note attribuée à l’antivirus par ce logiciel est 75 %. Cette note incomplète est due à l’absence d’un antispyware et d’un pare-feu personnel intégrés dans l’antivirus.

~ 42 ~

33 55

AAuuddiitt aapppplliiccaattiiff

Dans cette partie nous allons inspecter les applications implémentées par le Ministère. L’architecture de MTC est une architecture client /serveur.

Tableau 3.9 Outils d’audit applicatif

Outils

Description

Logo

W3af

W3af ou bien encore Web Application Attack and Audit Framework, est un Framework permettant d’automatiser l’audit ainsi que les attaques à l’encontre des applications web. 18

est un Framework permettant d’automatiser l’audit ainsi que les attaques à l’encontre des applications web. 1

SQL Manager

EMS SQL Manager for SQL Server est un outil puissant d’administration et de développement de base de données de serveur Microsoft SQL Server. 19

est un outil puissant d’administration et de développement de base de données de serveur Microsoft SQL

for SQL

Server

Nous avons pris l’accord de RSSI pour auditer l’interface web de commutateur 3COM à l’aide de l‘outils W3af. Les résultats sont les suivants :

de l‘outils W3af. Les résultats sont les suivants : Figure 3. 24 Audit de l'interface web

Figure 3. 24 Audit de l'interface web de 3COM

18 www.regis-senet.fr (mai 2010)

19 www.sqlmanager.net (mai 2010)

~ 43 ~

Nous constatons l’existence d’une vulnérabilité de type Cross Site Tracing (XST). Cette vulnérabilité permet d'exécuter des scripts de type « JavaScript » sur le site web (Par exemple : récupérer les cookies).

Nous avons examiné le serveur SQL de l’application Sygec avec l’outil SQL Manager. Mais nous n’avons pas pu accéder à la base. En effet le mot de passe administrateur « sa » a été changé. Voilà la capture :

« sa » a été changé. Voilà la capture : Figure 3. 25 Audit de serveur

Figure 3. 25 Audit de serveur SQL

[Remarque] : Nous n’avons pas pu auditer l’IPS car il est tombé en panne. L’administrateur réseau nous a informés qu’une autre solution IPS va être implémentée dans les plus prés délais.

IPS va être implémentée dans les plus prés délais. 3 3 6 6 C C o

33

66

CCoonncclluussiioonn

À travers cette mission d’audit technique, nos objectifs ont consisté à identifier les problèmes et les vulnérabilités, à évaluer la sécurité de système d’information du Ministère. Les tests effectués étaient juste des sondages de différents aspects techniques de SI. Mais nous devons être conscients et prudents dans le but d’éliminer réellement toutes les attaques éventuelles.

~ 44 ~

Chapitre 4

Constat général et recommandations techniques

Après le chapitre d’audit technique qui nous aidé à découvrir les failles menaçantes à la sécurité de MTC. Il est temps de récapituler toutes les informations et bien les présenter. De ce principe, ce chapitre présente un résumé des opérations d’audit réalisées. Également, ce chapitre dévoile les solutions possibles pour protéger la sécurité de MTC.

~ 45 ~

44 11

CCoonnssttaatt GGéénnéérraall

Cette partie, s’intéresse à résumer et organiser tous les résultats récoltés lors de la mission d’audit technique. En effet, nous allons lister toutes les vulnérabilités et les défaillances techniques. Vu les contraintes de taille, nous n’avons pas divulgué toutes les failles de réseau dans ce rapport. Un autre rapport complet a été remis à l’administrateur de la DI. Ci-dessous nous voyons le niveau de sécurité générale à l’aide de Gfi Languard :

de sécurité générale à l’aide de Gfi Languard : Figure 4.26 Niveau de sécurité générale de

Figure 4.26 Niveau de sécurité générale de MTC

Ce graphe nous illustre bien évidemment le niveau de sécurité élevé allant jusqu'à 10% et. Ce faible pourcentage ne signifie pas suffisamment les risques affrontés par le Ministère. Ainsi voilà notre constat technique :

une politique formelle de sécurité absente,

l’architecture client/serveur non répondant aux exigences de Ministère.

le partage réseau est ouvert sur la majorité des machines,

les comptes administrateurs des certaines machines sont sans mots de passe, ou avec

un mot de passe faible.

plusieurs trojans sont installés sur des machines,

les services pack installés sur les machines ne sont pas à jour,

des connexions SNMP sont autorisées sur des serveurs,

des ports FTP et Telnet sont ouverts sur des serveurs,

l’absence d’une implémentation d’une solution vlan,

l’absence d’un nom de domaine,

~ 46 ~

l’inexistence d’un serveur log,

l’IPS est hors service,

le trafic réseau important à qui circulent sur le réseau,

des comptes utilisateurs non utilisés,

l’absence d’une solution de monitoring,

l’absence des cameras de surveillance dans la salle serveur,

le site web de MTC est obsolète (depuis 2004),

l’IOS installé sur les deux pare-feux est périmé et non plus supporté,

la version installée sur le serveur mail lotus comprend une faille critique,

des mots de passe par défaut ne sont pas encore changés sur certains serveurs,

le client antiviral adopté par le ministère ne comprend ni un antispyware ni un pare-

feu personnel.

le masque d’adresse réseau est de type C. Pourtant les adresses sont de la forme :

10.Y.Z.T,

l’absence de mise à niveau des OS de certains serveurs.

L’IOS installé sur le Switch 3Com Core Builder est vieux. En plus, le Switch n’as plus

de mise à jour, cela pose un danger de panne.

Enfin, Ci-dessous une figure générée avec Gfi Languard qui illustre les types de vulnérabilités :

~ 47 ~

Figure 4.27 Types des vulnérabilités 4 4 2 2 R R e e c c

Figure 4.27 Types des vulnérabilités

44 22

RReeccoommmmaannddaattiioonnss tteecchhnniiqquuee

Vu les vulnérabilités dégagés dans la phase de l’audit technique et face aux risque étudiés, ces

recommandations sont fournis aux responsables de Ministère constituant une base pour la correction et

l’amélioration de niveau de sécurité au sein Ministère, et pour répondre aux besoins urgents en matière

de sécurité technique de leurs systèmes d’informations.

Donc, les recommandions techniques seront comme suit :

il faut isoler les câbles réseaux électriques qui passent par terre dans certains bureaux,

élaborer une politique de sécurité formelle et la faire passer à tous les employés,

penser à implémenter une architecture SOA qui centralise l’information, donc la

protège,

désactiver le partage, et ne jamais partager des données confidentielles sur le réseau,

dans l’installation de systèmes d’exploitation, il ne faut pas laisser le champ de mot de

passe d’administrateur vide,

penser à changer l’antivirus implémenté avec un autre qui offre un antispyware et un

pare-feu personnel,

assurer les mises à jour des services packs de Windows sur les postes de Ministère,

~ 48 ~

désactiver le protocole SNMP v1 et le remplacer avec SNMP v3,

désactiver le port FTP sur certains serveurs,

création des VLANs pour assurer une segmentation logique,

créer un contrôleur de domaine pour faciliter l’administration du réseau,

implémenter un serveur log qui enregistre toutes les activités réseaux,

changer L’IPS dans les délais les plus prés,

contrôler les types des protocoles qui circulent sur le réseau,

penser à avoir une solution de monitoring pour surveillez toute activité malveillante,

implémenter des caméras de surveillance dans la salle des serveurs,

redévelopper un nouveau site web de MTC qui répond aux nouvelles technologies de

web 2.0,

faire la mise à jour de l’IOS installé sur les deux pare-feu,

faire la mise à jour de la version Lotus installée sur le serveur mail,

changer les mots de passe par défauts des équipements réseau,

éliminer le Switch 3COM et le remplacer par solution pare-feu qui autorise le routage,

corriger le masque réseau adopté par le Ministère,

protéger les machines critiques par des mots de passe au niveau de BIOS.

Il faut changer le Switch 3Com Core Builder. Le premier pare-feu est libre. Il pourra

faire l’affaire.

~ 49 ~

44 33

PPrrooppoossiittiioonn dduunnee nnoouuvveellllee aarrcchhiitteeccttuurree rréésseeaauu ::

e a a r r c c h h i i t t e e c

Figure 28 Architecture proposée

~ 50 ~

Chapitre 5

Présentation de Limesurvey

Le métier d’audit de sécurité est un métier spécialisé et ponctuel. Pourtant elle

est un métier spécialisé et ponctuel. Pourtant elle demande une très grande connaissance dans tous les

demande une très grande connaissance dans tous les domaines informatiques. En effet être un auditeur compétent demande beaucoup de réflexion et surtout beaucoup de temps, surtout dans la phase où nous devons faire le Questionnaire de Sécurité de Système d’Information (QSSI). Pour cela, nous avons conçu une solution pour effectuer le QSSI en ligne. En effet, on va présenter et configurer une plateforme Open Source complète et riche qui s’appelle Limesurvey.

~ 51 ~

55

11

PPrréésseennttaattiioonn ddee LLiimmeessuurrvveeyy

5.1.1 Définition

« LimeSurvey (anciennement PHPSurveyor) est un logiciel libre de sondage en ligne

écrit en PHP basé sur une base de données MySQL, PostgreSQL ou Microsoft SQL Server. Il

permet aux utilisateurs sans connaissance en développement de publier un sondage et d'en

collecter les réponses. » 20

Effectuer un questionnaire en ligne facilite beaucoup l’opération de l’audit chez l’auditeur et chez l’employé aussi. Il suffit d’activer le questionnaire et faire passer le lien de questionnaire.

Donc LimeSurvey est un outil en ligne qui va nous aider à réaliser des questionnaires ou des inventaires. En plus, il va nous permettre de collecter les réponses et calculer les pourcentages. LimeSurvey peut aussi dresser des graphes et des figures. Non seulement cela, mais il existe de centaines des fonctionnalités que LimeSurvey puisse offrir, parmi ces fonctionnalités :

nombre illimité de questionnaires en même temps,

création d'une version imprimable d'un questionnaire,

nombre illimité de groupes de questions dans un questionnaire,

nombre illimité de questions dans un groupe/questionnaire,

20 types de questions différentes et d'autres à venir,

possibilité de définir des conditions dépendant des réponses précédentes

(branchement dans le questionnaire),

réutilisation des jeux de réponses personnalisables,

questions importables pré défini,

questionnaires d'évaluation,

nombre illimité de participants à un questionnaire,

questionnaires anonymes ou publics ainsi que questionnaires à accès restreint,

enregistrement public pour les questionnaires,

envoi d'invitations et de rappels par mail,

20 www.wikipedia.com (mai 2010)

~ 52 ~

possibilité pour un participant de conserver ses réponses pour continuer le questionnaire plus tard,

questionnaires basés sur des cookies ou des sessions,

éditeur de modèles pour créer votre propre représentation de vos questionnaires,

interface d'administration simple et complète,

possibilité de saisie directe de données,

dates de début et de fin de validité des questionnaires,

fonctionnalités poussées d'importation et d'exportation au format texte, CSV, PDF, SPSS, queXML et MS Excel,

analyse simple et graphique avec possibilité d'exportation.

55

22

IInnssttaallllaattiioonn

L’installation de Limesurvey n’a pas été facile vu la multitude des paramètres existante. En bref, voilà les étapes à suivre pour installer LimeSurvey :

téléchargez LimeSurvey sur le site LimeSurvey,

déployer le dans la racine de votre espace d'hébergement,

l'installation de LimeSurvey nécessite a priori peu de configuration,

il faut avoir accès à une base de données autorisant php4 et php5, (SQL le plus souvent),

à priori, un script de LimeSurvey crée une nouvelle base de données avec les tables nécessaires,

si vous n'avez pas les droits suffisants pour créer une base de données MySQL sur le serveur il faudra contacter votre administrateur afin qu'il créer cette nouvelle base de données pour vous en vous donnant les droits requis,

ensuite, il vous faut le nom d'utilisateur et le mot de passe de cette base de données pour éditer et configurer le fichier config.php situé à la racine du répertoire contenant LimeSurvey.

~ 53 ~

55

33

LLeess pprreemmiieerrss ppaass aavveecc LLiimmeessuurrvveeyy ::

Si toutes les étapes précédentes ce sont bien déroulé, nous allons avoir cet écran à l’ouverture de l’interface d’administration :

à l’ouverture de l’interface d’administration : Figure 5.29 Page d’administration de LimeSurvey Figure

Figure 5.29 Page d’administration de LimeSurvey

: Figure 5.29 Page d’administration de LimeSurvey Figure 5.30 L es niveaux d’édition Cet icône permet

Figure 5.30 Les niveaux d’édition

Cet icône permet de créer le questionnaire qui en principe est composé de trois niveaux à renseigner: un nom de sondage (Survey), un groupe de questions (groups) et des questions.

un nom de sondage (Survey), un groupe de questions (groups) et des questions. Figure 5.31 Les

Figure 5.31 Les outils d'édition

~ 54 ~

Le premier niveau des outils comporte des éléments relatifs au questionnaire lui- même. Le deuxième niveau permet d'éditer le groupe de question. Le troisième niveau est pour éditer les questions.

55 44

LLiinnvveennttaaiirree eett llee qquueessttiioonnnnaaiirree QQSSSSII rrééaalliissééss ::

Dans notre projet, Nous avons hébergé un site web sur un espace d’hébergement gratuit (www.000webhost.com) en attendant son hébergement chez l’ATI. L’adresse de site est : http://www.qssi.herobo.com/.

Voila l’imprimé écran de l’inventaire réalisé dernièrement :

écran de l’inventaire réalisé dernièrement : Figure 5.32 Interface de l’inventaire informatique en

Figure 5.32 Interface de l’inventaire informatique en ligne

~ 55 ~

Dans une autre partie, nous avons réalisé le questionnaire d’audit de sécurité. Un imprimé écran de la partie « politique de sécurité » a été capturé :

la partie « politique de sécurité » a été capturé : Figure 5.33 L’accueil du questionnaire

Figure 5.33 L’accueil du questionnaire

Nous avons essayé des réponses arbitraires pour avoir les graphes. Voilà les résultats obtenus :

arbitraires pour avoir les graphes. Voilà les résultats obtenus : Figure 34.7 Echantillon du questionnaire ~

Figure 34.7 Echantillon du questionnaire

~ 56 ~

Figure 5.35 Les graphes générés 5 5 5 5 C C o o n n

Figure 5.35 Les graphes générés

55

55

CCoonncclluussiioonn ::

Dans ce dernier chapitre nous avons présenté une nouvelle moyenne qui va nous aider dans l’audit de sécurité de n’importe quelle entreprise. Bien entendu, ce questionnaire reste valide tout le temps.

~ 57 ~

CONCLUSION GÉNÉRALE

À ce stade-là, notre mission d’audit technique a pris sa fin. Durant les trois mois de stage dans le Ministère, nous avons essayé de mettre en valeur les vulnérabilités humaines ou matérielles qui menacent à la sécurité de MTC.

Dans un premier lieu, nous avons défini notre mission et nos objectifs. Par la suite, nous avons présenté la démarche d’audit technique. Autrement dit, nous avons détaillé toutes les étapes de l’audit technique, ainsi que les objectifs. Dans un deuxième lieu, nous avons présenté l’entreprise d’accueil. Ensuite, nous avons précisé les serveurs et les applications qui fonctionnent dans le MTC. Dans le troisième chapitre, l’audit technique a été effectué. En effet, cette phase a levé le voile sur les failles techniques. Donc grâce aux résultats de cet audit, nous avons pu rédiger les recommandations nécessaires. Enfin, nous avons installé et paramétré la plateforme LimeSurvey. Cette dernière étape va aider énormément l’auditeur dans son travail.

Après tout, nous devons noter que l’idée qu’un système puisse être entièrement sécurisé est une fausse idée.

Pour conclure, nous espérons que nos recommandations étaient utiles, mais encore adopté par le Ministère des Technologies de la Communication.

~ 58 ~