Scurit des Systmes d'Information et de Communication

PRSENTATION
Table des matires
1 - Introduction........................................................................................................................................................2
2 - Objectifs.............................................................................................................................................................2
2.1 - Authentifier et contrler les connexions....................................................................................................2
2.2 - Tracer et imputer tout en protgeant la ie prie.....................................................................................!
2.! - "curiser.....................................................................................................................................................!
2.!.1 - le rseau de consultation.....................................................................................................................!
2.!.2 - le portail..............................................................................................................................................!
2.!.! - les usagers...........................................................................................................................................#
! - "olution deloppe...........................................................................................................................................#
# - $xploitation........................................................................................................................................................%
#.1 - pour l&usager...............................................................................................................................................%
#.2 - pour les administrateurs.............................................................................................................................%
% - Annexe - 'glementation fran(aise..................................................................................................................)
*rojet + A,-A"A' Auteur + 'ex. /ith support of 0 A,-A"A' Team 1
Objet + *rsentation du portail 2ersion + 2.3
4ots cls + portail captif5 contrle d&acc6s5 imputabilit5 tra(abilit5 authentification 7ate + 8anier 2311
*rsentation A,-A"A' 19)
! Introduction
A,-A"A' est un portail libre
1
et gratuit de contrle d&acc6s : Internet pour les rseaux ouerts de consultation.
Il authentifie5 impute et prot6ge les acc6s des usagers indpendamment des ;uipements connects <micro-
ordinateur5 tablette Internet5 console de jeux5 /ebphone5 *7A5 etc.=. A,-A"A' int6gre des fonctions de
filtrage permettant de rpondre aux diers besoins des organismes <entreprise5 centres de loisirs5 tablissements
scolaires5 etc.=. $n >rance5 il permet aux responsables d&un rseau de consultation Internet de rpondre aux
obligations lgales <cf. annexe=. A,-A"A' s&appuie sur une ingtaine de logiciels libres afin de constituer un
"ortail ca"tif aut#entifiant scuris. Au-del: de ces aspects5 A,-A"A' est utilis comme support
pdagogi;ue dans le cadre de formations aux techni;ues de scurisation des rseaux.
A,-A"A' est un projet indpendant5 initi en 233? par 'ichard '$@ <rex.=5 >rancA BOCI8OCD <!abtux= et
*ascal ,$2AET <angelF%=. Au fil du temps5 l&;uipe de suii de projet s&est densifie. $lle est complte par
des contributeurs ponctuels identifiables sur le forum et par une multitude de testeurs acharns.
Eous ous remercions5 contributeurs5 testeurs5 hotliners et usagers d&A,-A"A' pour le retour d&exprience
apport ainsi ;ue pour les bonnes ides d&olution ;ui ne cessent d&alimenter notre imagination <et nos soires=.
,e site principal d&A,-A"A' est situ : l&adresse + ///.alcasar.info
,e forum et le suii du projet sont hbergs sur la plate-forme 0 A7C,,A-T 1 de deloppement coopratif +
adullact.net9projects9alcasar
-e document de prsentation gnrale est accompagn des trois documents suiants + installation <alcasar-
installation=5 exploitation <alcasar-exploitation= et documentation techni;ue <alcasar-techni;ue -- en cours de
finalisation=
$ ! Ob%ectifs
2.1 - Authentifier et contrler les connexions
A,-A"A' est positionn en coupure entre le rseau de consultation et
Internet afin d&en interdire l&acc6s pour les usagers non authentifis
<identifiant G mot de passe=. Il se comporte comme un sas d&acc6s pour
l&ensemble des serices Internet.
,e contrle des connexions permet5 par exemple5 de dfinir des usagers
et des groupes d&usagers autoriss : se connecter. *our cha;ue usager ou
groupe d&usagers5 il est possible de dfinir des dates de fin de alidit5
des crneaux de connexion hebdomadaire ainsi ;ue des dures
maximales de connexion5 des dbits ou des olumes maximum de
donnes tlchargeables. *our grer les usagers5 A,-A"A' s&appuie sur une base interne ;ui peut Htre couple
: un annuaire externe de t.pe ,7A* ou Actie 7irector..
1 A,-A"A' est sous licence I*,2!. ,a I*, <Ieneral *ublic ,icence= de la >"> <>ree "oft/are >oundation= est la licence de rfrence dans le
monde du logiciel libre. ,es ;uatre r6gles suiantes dfinissent cette licence +
libert d&excuter le programme pour tous les usages5
libert d&tudier le fonctionnement du programme et de l&adapter : ses besoins5
libert de redistribuer des copies du programme5
libert d&amliorer le programme et de publier ces amliorations.
7e plus5 la >"> a introduit la notion de 0 cop.left 1 <par opposition : 0 cop.right 1= ;ui oblige un logiciel I*, modifi : rester sous licence
I*,. -ette notion permet de rendre la licence 0 contaminante 1 et ite ainsi les dries propritaires : but purement lucratif.
*rsentation A,-A"A' 29)
2.2 - Tracer et imputer tout en protgeant la vie prive
A,-A"A' permet aux responsables d&organismes de rpondre aux exigences des politi;ues d&acc6s et
d&utilisation des rseaux de consultation Internet. $n >rance5 il permet de dcliner l&obligation lgale de tracer et
d&imputer les connexions. ,es extraits de la loi fran(aise relatifs : cette obligation sont prsents en annexe.
-es exigences consistent : authentifier les usagers du rseau de consultation lors;u&ils dcident de se connecter
sur Internet et : produire5 pour chacun d&eux5 une trace prcise de toutes les actiits ralises <consultation5
tlchargement5 coute multimdia5 courriel5 discussion5 blog5 connexions chiffres5 etc.=. A,-A"A' produit
ces traces sous forme de fichiers pouant Htre aisment archis sur supports externes afin d&Htre exploites
dans le cadre d&une en;uHte judiciaire. 7ans le cadre de la c.bersureillance et pour rpondre aux exigences de
la -EI, <cf. annexe=5 la production de ces traces est associe aux mcanismes suiants afin d&en assurer la non-
rpudiation et afin de garantir la protection de la ie prie +
les flux lis : l&authentification des usagers sur A,-A"A' sont chiffrs. ,es usagers peuent modifier
leur mot de passe : tout moment. -es mots de passe sont stocAs chiffrs dans la base interne. ,es
fichiers de trace peuent Htre chiffrs. -es prcautions permettent de prenir l&accusation d&un autre
usager ou d&un administrateur d&aoir rcupr5 exploit ou modifi des donnes J
la consultation directe des actiits Internet nominaties est impossible. $n effet5 les traces des
connexions sont olontairement 0 clates 1 dans plusieurs fichiers dont les domaines sont spars
<authentifications d&un ct et actiits Internet de l&autre=. ,&imputation des connexions n&est ainsi
rendue possible ;u&apr6s un traail d&agrgat sur ces fichiers. -e traail est rser aux autorits
judiciaires. ,&interface graphi;ue de gestion d&A,-A"A' ne prsente ;ue des statisti;ues de connexion
et aucune donne nominatie lie aux actiits ralises sur Internet J
la protection contre les 0 oublis 1 de dconnexion est prise en compte. A,-A"A' dconnecte
automati;uement les usagers dont l&;uipement de consultation ne rpond plus <arrHt de s.st6me5 pannes
rseau5 etc.=. $n outre5 un module externe permet de dconnecter automati;uement l&usager : la
fermeture de sa session.
2.3 - Scuriser
2.3.1 - le rseau de consultation
A,-A"A' int6gre un pare-feu et un antiirus de flux K$B afin de protger les
;uipements du rseau de consultation des menaces externes directes. 7e plus5 un
module spcifi;ue a t mis en place afin de protger les usagers authentifis des
tentaties d&un pirate interne cherchant : usurper leurs sessions.
,es mises : jour de scurit des ;uipements de consultation <antiirus et
rustines9patch= sont rendues possibles et automatisables : traers la dclaration de sites pouant Htre contacts
directement sans authentification pralable <sites de confiance=.
2.3.2 - le portail
,a scurit du portail a t labore comme pour un s.st6me bastion deant rsister : diffrents t.pes de
menaces +
utilisation et scurisation d&un s.st6me d&exploitation rcent et minimaliste <4andria ,inux ,"B= J
protection du portail is-:-is d&une atta;ue interne <durcissement et anticontournement= J
les logiciels choisis sont reconnus par la communaut comme des aleurs sLres et proues J
possibilit d&effectuer une image compl6te et 0 : chaud 1 du s.st6me sur -7'O4. -ela permet de le
rinstaller rapidement en cas de panne matrielle J
concernant l&acc6s : l&interface de gestion5 les prcautions suiantes ont t prises en compte + chiffrement
des trames5 authentification et comptabilit des acc6s5 sparation entre les fonctions d&archiage5 de gestion
des usagers et d&administration <au mo.en de profils d&administrateurs=.
*rsentation A,-A"A' !9)
2.3.3 - les usagers
Afin de protger les usagers authentifis5 A,-A"A' met en oeure deux
dispositifs de filtrage +
le premier permet de blo;uer l&acc6s aux sites dont le contenu est jug
rprhensible ou non-conforme <liste noire=. Il est enti6rement
paramtrable <actiation5 dsactiation5 ajout ou retrait de site5 etc.= J
le deuxi6me permet de blo;uer tout trafic autre ;ue le trafic K$B et de
n&actier ;ue les serices rseau dsirs <Keb scuris 0 MTT*" 15 courriel 0 "4T*9*O* 15 etc.=.
-es deux dispositifs optionnels ont surtout t labors pour les organismes susceptibles d&accueillir un jeune
public.
& ! Solution d'elo""e
Afin d&Htre le plus uniersel possible5 A,-A"A' n&exploite ;ue des technologies standardises lui permettant
d&Htre compatible aec tous les t.pes de rseaux locaux de consultation <filaire5 KI>I5 -*,5 etc.=. -es rseaux
locaux de consultation <,AE= peuent intgrer tout t.pe d&;uipements <*- fixes5 *- portables5 assistants
personnels5 smartphone5 consoles de jeux5 etc.= exploitant tout t.pe de s.st6mes d&exploitation <Kindo/s5 Cnix5
,inux5 BlacAberr.5 ".mbian O"5 4A--O"5 K$B-O"5 etc.=. (is ) "art un na'i*ateur+ les ,ui"ements du
rseau de consultation n'ont besoin d'aucun lo*iciel s"cifi,ue "our fonctionner a'ec A-CASAR.
A,-A"A' est totalement indpendant des ;uipements fournis par le prestataire de serice Internet <>AI=. Il
est bNti autour d&une ingtaine d&lments constituants ainsi un portail captif authentifiant complet positionn en
coupure entre Internet et le rseau de consultation.
*rsentation A,-A"A' #9)
'seau de consultation
*oint d&acc6s KI>I
;uipements du
>AI <Box A7",=
-ommutateur <s/itch=
A,-A"A'
Adaptateurs -*,
-onstituant d&Alcasar
- Cn seul *- de t.pe 0 bureauti;ue 1 possdant deux cartes rseau
- ".st6me d&exploitation ,inux pur et configur en routeur 9 parefeu
- *asserelle d&interception
- "ereur 7M-*
- "ereur d&authentification
- "ereur de base de donnes <base des usagers et des groupes=
- >iltrage K$B
- relais cache <prox. cache=
- filtre d&C', et de contenu
- filtre antiirus
- >iltrage de protocoles
- "ereur de temps
- "ereur de nom <7E"= intgrant un filtrage de domaine <blacAhole=
- *rocesseur de journalisation
- *rocessus de clonage : chaud du s.st6me
- *rise de contrle distantes scurises
- "cripts de dploiement5 de mise : jour et de gestion
- Interface K$B scurise d&administration +
- gestion des usagers et des groupes d&usagers
- gestion du filtrage
- archiage des fichiers journaux
- rapport statisti;ue de connexion et de consultation
- rapport temps rel des journaux du parefeu
- rapport temps rel d&information s.st6me
- rapport temps rel d&actiit sur le rseau de consultation
'outeur 0 multi-KAE 1. -et
;uipement optionnel permet
d&;uilibrer la charge ;uand
plusieurs connexions Internet sont
utilises simultanment.
Internet
Cne procdure d&installation et de mise : jour automatise a t labore afin de permettre un dploiement
rapide d&A,-A"A' par du personnel a.ant une connaissance
sommaire des techni;ues utilises. Toutes les fonctions
techni;ues du portail ont t intgres dans un seul ;uipement
standard <*- de bureauti;ue=.
Cne page d&accueil permet aux usagers de se dconnecter ou de
changer leur mot de passe. $lle permet aux administrateurs
d&accder de mani6re authentifie et scurise au centre de gestion
du portail <Alcasar -ontrol -enter=.
/ ! E0"loitation
4.1 - pour lusager
,&usager peut utiliser n&importe ;uel ;uipement connect sur le rseau de consultation. Au lancement
d&un naigateur K$B5 une page d&authentification lui est prsente dans la langue configure dans ses
prfrences. -ette page contient une information l&informant des fonctions principales du portail. $lle
lui permet aussi de modifier son mot de passe +
sur *"* sur *alm <*alm-O" G blaOer= sur tablette *- <"een G I$?=
sur 0 Iphone 1 <IO" G safari= "ur *alm pixie <Keb-O"= sur *- fixe <D* G chrome=
Cne fois l&authentification effectue5 le naigateur affiche la premi6re
page de consultation ainsi ;u&une fenHtre supplmentaire permettant de se
dconnecter.
$n fonction de la configuration du portail et des postes de consultation5
toutes les applications et tous les protocoles rseau sont alors disponibles
pour l&usager <ftp5 courrier lectroni;ue5 discussion5 *2*5 blog5 etc.=.
4.2 - pour les administrateurs
Cn centre graphi;ue de gestion du portail
2

peut Htre exploit de mani6re scurise par des
administrateurs : partir de n&importe ;uel
;uipement situ sur le rseau de
consultation +
2 ,e document 0 alcasar-exploitation 1 dcrit les possibilits de ce centre de gestion.
*rsentation A,-A"A' %9)
P titre d&exemple5 oici ;uel;ues possibilits de ce centre de gestion +
Afficher et grer l&actiit des ;uipements prsents sur le rseau de consultation.
Irer les usagers + cration5 suppression et import d&usagers ou
de groupe d&usagers. 4odification de leurs attributs <date
d&expiration5 priodes de connexions autorises5 dures de
connexion par session5 par journe et par mois5 bande passante
autorise5 etc.=.
Administration du portail + connexion sur un sereur d&annuaire5 actiation du serice d&administration :
distance <ssh=5 etc.
-onsultation des statisti;ues d&exploitation
du rseau de consultation5 de la bande
passante et du olume des connexions.
-onsultation des 6nements du pare-feu +
'cupration des fichiers journaux pour archiage. -es fichiers
contiennent les traces des connexions. Ils constituent ainsi les preues
de l&actiit du rseau de consultation. Ils peuent Htre chiffrs +
Actiation ou dsactier de l&antiirus de flux K$B. Actiation5 de dsactiation5 modification ou mise : jour
des listes noires <blacAlists= de domaines ou d&C', filtrs. A,-A"A' int6gre l&excellente 0 blacAlist 1 de
l&Cniersit de "ciences "ociales Toulouse 1
Actiation5 dsactiation ou modification du filtrage rseau <filtrage de protocoles= +
*rsentation A,-A"A' Q9)
1 ! Anne0e ! R*lementation fran2aise
7cret nR 233Q-!%? du 2# mars 233Q relatif : la conseration des donnes des communications lectroni;ues
Article '13-1!
I- $n application du II de l&article ,.!#-15 les oprateurs de communications lectroni;ues conserent pour les besoins de la recherche5
de la constatation et de la poursuite des infractions pnales +
a= les informations permettant d&identifier l&utilisateur5
b= les donnes relaties aux ;uipements terminaux de communication utiliss5
c= les caractristi;ues techni;ues5 ainsi ;ue la date5 l&horaire et la dure de cha;ue communication5
d= les donnes relaties aux serices complmentaires demands ou utiliss et leur fournisseur5
e= les donnes permettant d&identifier le ou les destinataires de la communication.
...
III- ,a dure de conseration des donnes mentionnes au prsent article est d&un an : compter du jour de l&enregistrement.
EOTA 1 + Cne directie europenne est en prparation concernant l&augmentation de la dure de conseration des donnes de
connexion. "uite aux attentats de ,ondres5 Q chefs d&Stat de l&C$ ont propos ;ue le conseil europen porte cette dure : trois ans.
EOTA 2 + "elon l&article 13-1# de ce mHme dcret5 l&oprateur peut exploiter pendant ! mois les traces des connexions
<exclusiement dans le cadre de la scurit des rseaux=.
EOTA ! + $n >rance5 l&oprateur est responsable de la tra(abilit et de l&imputabilit des connexions au nieau de l&adresse publi;ue
fournie par contrat. "i un rseau de consultation est dplo. : partir de cette adresse5 le responsable de ce rseau doit mettre en oeure
son s.st6me de tra(abilit et d&imputabilit afin de dgager sa propre responsabilit <cf. ci-dessous=.
,a loi nT 233Q-Q# du 2! janier 233Q sur la lutte contre le terrorisme
Article %
-ette loi prcise ;ue sont concernes par cette obligation de tra(abilit5 0 les personnes ;ui5 au titre d&une actiit professionnelle
principale ou accessoire5 offrent au public une connexion permettant une communication en ligne par lUintermdiaire dUun acc6s au
rseau5 . compris : titre gratuit 1 <-*-$5 art. ,. !#-15 I5 al. 2=. Tout man;uement : cette obligation expose : une peine de prison dUun
an et : )%333 euros dUamende5 le ;uintuple pour les personnes morales.
-EI,
,a -EI, et les tribunaux consid6rent la c.bersureillance lgale ;uand les trois conditions suiantes sont remplies +
,Uexistence de la c.bersureillance doit dUabord aoir t porte : la connaissance des salaris5 soit par oie dUaffichage soit par
note de serice. A,-A"A' fournit automati;uement cette information sur la page d&authentification lors de cha;ue connexion J
,es reprsentants du personnel doient aoir t consults <pour simple ais= J
$lle doit Htre justifie <proportionnalit= et limite : une sureillance de flux <olume de trafic5 t.pe de fichiers changs5 filtrage
url5 etc.= sans accder aux contenus des courriers lectroni;ues ni aux rpertoires identifis comme 0 personnel 1 sur le dis;ue dur
du poste de traail du salari sous peine dUHtre poursuii pour iolation de correspondance prie. ,es traces enregistres par
A,-A"A' correspondent : cette exigence.
-$'TA
-oncernant la gnration des fichiers journaux5 les indications suiantes ont t prises en compte +
http+99///.certa.ssi.gou.fr9site9-$'TA-233?-IE>-33%9index.html
-lub des 7irecteurs de "curit des $ntreprises
,&article suiant s.nthtise les diffrentes obligations lgales fran(aises en intgrant la 0 loi MA7O*I 1 +
https+99///.cdse.fr9spip.phpVarticle%F!
*rsentation A,-A"A' )9)