Vous êtes sur la page 1sur 8

Scurit des Systmes dExploitation MASSICO

Par Narcisse TALLA


1
CHAPITRE1: FONDAMENTAUXSURLESSYSTEMES
DEXPLOITATIONETLASECURITE
1.1 Introduction
Une des premires choses que l'on apprend lorsque l'on s'intresse la scurit
informatique, c'est qu'environ 80% des attaques proviennent de l'intrieur,
principalementdelapartd'employsrenvoysoumcontents,deconsultantsexternes,
ou bien de pirates informatiques qui se sont introduits sur le rseau d'une faon ou
d'une autre (connexion Internet nonscurise, modems, social engineering, embauch
par la victime sous de faux prtextes). Depuis l'explosion dmographique d'Internet, ce
chiffre n'est plus tout fait exact, mais selon les dernires tudes, il y a toujours entre
60% et 80% des intrusions dclares qui ont lieu sur le rseau interne. Cependant, la
plupartdescompagniesdescuritinformatiquemettrontlaplusgrandepartiedeleurs
efforts pour scuriser la priphrie de ce rseau tout en laissant le rseau interne tel
quel,soitparmanquedeprisedeconscienceduproblme,parmanquedecomptence,
ou plus souvent par manque de ressources financires de la part du client pour mettre
enplacedesmesuresaffectantchacundespostesdel'entreprise.
1.2 Maximiserlaprotectionantivirus
Pendant trs longtemps, on croyait qu'un bon logiciel antivirus et un firewall tait tout
cequitaitncessaireafind'avoiruneinfrastructureinformatiquescuritaire.Biensr,
cen'estpluslecasaujourd'hui[1],maisilnefautpasminimiserl'importancedulogiciel
antivirus dans les moyens de protection. Il est important de savoir qu'un logiciel
antivirus n'est pas une panace, et qu'il est facile pour quelqu'un qui s'y connat de le
contourner (c'est pourquoi l'approche multiniveau est privilgie), mais il est encore
plus important de savoir qu'un logiciel antivirus n'est vraiment efficace que s'il est
rgulirement mis jour et bien configur. Dans la plupart des cas, l'installation par
dfautestprconise,etcetteconfigurationprsentehabituellementdeslacunesquant
auniveaudeprotectionapporte.Iln'estpasraregalementdevoirquelesantivirusne
sont installs que sur certaines machines juges critiques, alors que chaque ordinateur
(serveuretpostedetravail)devraitentrequip,etcemmesileserveurdecourrier
lectronique dispose galement d'un filtreur de courrier qui agit galement en tant
Scurit des Systmes dExploitation MASSICO
Par Narcisse TALLA
2
qu'antivirus. Il ne faut qu'une seule machine vulnrable pour compromettre tout un
rseau,alorsilestncessaired'avoiruneprotectionquitientcomptedecetaspect.
Afin d'avoir le niveau de protection maximum de la part du logiciel antivirus, il faut
choisir un produit qui permet de scanner les fichiers en mmoire en temps rel tout
autant que les fichiers sur le disque dur. Pratiquement tous les produits offrent cette
optionl'heureactuelle.Ilfautgalementparamtrerlelogicielantiviruspourscanner
touslestypesdefichierssansexception(autantsurlescanentempsrelquelescandu
disquedur),carilesttrsfaciledecamouflerunvirusconnuenlefaisantpasserpourun
autre type de fichier [2]. Avec la puissance des processeurs disponibles aujourd'hui, il
n'y a aucune raison de ne pas soumettre tous les types de fichiers l'inspection
obligatoire (il se peut cependant que vous ayez exclure certains types de fichiers, tel
.pgd par exemple si vous utilisez PGPDisk). Si le logiciel le permet, il faut galement
scannerlesfichierscompresss (uneoptionspcialeestsouventprsenteceteffet,ce
quipermetdescannernonseulementlefichiercompress,maislesfichiersl'intrieur
del'archivegalement).Etsilelogicielchoisipermetgalementdescannerunemachine
grce une mthode heuristique (c'estdire que le logiciel apprend connatre les
particularitsdelamachine,etensuiterapporteleschangementssuspectscommetant
uneactivitviraleprobable),ilestfortementrecommanddel'activergalement.
Quandnestildelvaluationdelefficacitdesdispositifs descurit?Encoreunefois,
laconfigurationpardfautdelaplupartdeslogicielsantiviruscrirasesfichierslogssur
ledisquedurlocaldelamachinesurlaquelleilestinstall.Cependant,certainsproduits
offrent la possibilit de rediriger ces fichiers logs sur une machine centralise (parfois
avec un simple chemin UNC du style \ \ ser veur \ di r cent r al ). Cette fonctionnalit
est fortement recommande, car cela permettra au personnel informatique en place
d'avoir une vision globale de l'activit virale sur le rseau, au lieu d'avoir se dplacer
deposteenpostepourlesconsulterunundurantuneinfectionmajeure,cequitend
rduire l'efficacit de l'opration dans un moment o la rapidit d'excution est
primordiale.Silelogicielantiviruspermetgalementdegnrerdesalertesparcourriel
ou tlavertisseur, alors le personnel informatique en place saura immdiatement
lorsqu'unviruss'introduitdanslerseau,etpourrontrapidementregarderleslogsafin
de vrifier si le logiciel antivirus a radiqu le virus fautif ou non. Cependant, certains
produits n'offrent aucune option afin de rediriger les fichiers logs ailleurs que sur le
disque dur local. cet effet, il existe un utilitaire Open Source gratuit appel LogAgent
Scurit des Systmes dExploitation MASSICO
Par Narcisse TALLA
3
(scriptPerlquipeuttrecompilenxcutable)quipeuttreutilisceteffet.Laseule
fonctiondeLogAgentestdesurveillerunoudesfichiersdelogsetdefaireparvenirles
ajoutsfaitscesfichiersversunserveurcentralis.
Le dernier aspect considrer est la mise jour des fichiers de dfinitions de virus
utilis par le logiciel antivirus pour identifier les virus qui pourraient s'infiltrer dans le
rseau. Vu le fonctionnement de ce type de logiciel, si un virus ne fait pas partie de ses
fichiersdedfinitions,ilyadeforteschancesquelelogicielnerussisepasl'identifier.
Habituellement, le logiciel sera configur pour se mettre jour environ une fois par
semaine ou une fois par mois, allant chercher les nouveaux fichiers de dfinitions
directementsurlesitedufournisseurdelogicielantivirus.Dpendammentdudegrde
paranoa exprim par l'entreprise concerne, une mise jour quotidienne ou
hebdomadaireestrecommande.Cependant,lesmisesjourdevraientsefairepartir
d'un serveur situ l'interne qui contiendra les nouveaux fichiers de dfinitions qui y
serontpralablementtestsetplacsparl'administrateurrseaudel'entreprise.Ceci
pour effet de diminuerle trafic passant sur le lien Internet de la compagnie, et vite de
faire face une congestion du serveur du fournisseur d'antivirus, car les autres clients
de ce fournisseur s'y brancheront galement, surtout en priode d'alerte. Il peut alors
devenirdifficiledeseconnecterauserveuretd'obtenirlesfameuxfichiers;autantaller
leschercherqu'uneseulefoisetensuitelesdistribuerl'interne.Nousverronsplusloin
commentdployerleslogicielsantivirusprconfigurssurlesstationsdetravail.
Underniermotrelativementlaprotectionantivirus:LelogicielOutlookquiregroupe
les fonctions de courrier lectronique, d'agenda, de calendrier etc., comporte plusieurs
vulnrabilits qui en fait le moyen idal pour propager des virus. Avant l'arrive
d'Outlook, il tait considr comme tant impossible d'activer un virus simplement en
lisantunmessage.IlesttrsdifficiledescuriserOutlookafindelerendreinoffensif,et
de plus la configuration par dfaut (non scuritaire) est la plus frquemment utilise.
Pourcesraisons,plusieurscompagniesmettrontenplaceplusieursdispositifsantivirus
diffrents endroits sur l'architecture informatique, mais ces dispositifs sont pour la
plupart incapables de stopper efficacement les nouvelles menaces prcdemment
inconnues.IlsagitbieniciduclientOutlooketnonduserveurdemessagerieExchange.
Scurit des Systmes dExploitation MASSICO
Par Narcisse TALLA
4
1.3 Miseenplacedecoupefeu(firewalls)personnels
DepuisQuelquesannes,unenouvellegammedelogicielsappelsfirewallspersonnelsa
faitsonapparitiondansledomainedelascuritinformatique.Lesfirewallspersonnels
ne fonctionnent pas tous selon le mme principe. Tenons pour acquis que le rseau
interne est protg du rseau Internet grce un firewall conventionnel. Quel serait
alors l'avantage d'avoir un firewall personnel qui fonctionne sur les mmes principes
quelefirewallprincipal,c'estdirequifiltreletraficentrantetsortantselondesrgles
dfiniessurcertainescaractristiquesdespaquetsTCP/IPconcerns?Unpaquetenvoy
par une personne malveillante qui russit passer le firewall parce qu'il est conforme
aux rgles mises en place a toutes les chances d'en faire de mme lorsqu'il sera
confront au firewall personnel, puisque les chances sont grandes que ce paquet soit
galement conforme aux rgles du firewall personnel, moins que les rgles des deux
typesdefirewallsoientsensiblementdiffrentes.
Uneautrestratgie,cestunfirewallpersonnelquigreletraficentrantetsortantselon
lespermissionsdesapplicationsquisetrouventsurleposte,paroppositionauportou
l'adresse source ou destination. Ce type de firewall est galement capable de faire la
distinction entre le rseau interne et externe, ce qui permet d'obtenir une granularit
assez fine quant au type de trafic accept et refus. De plus, un firewall de ce type
permet d'arrter net les chevaux de Troie, les espiongiciels (spyware) et les agents de
dni de service (denial of service). Il est possible, pour chaque application se trouvant
sur le poste, d'autoriser, de refuser ou de lui faire demander la permission chaque
connexion, que ce soit sur le rseau interne ou externe. Il est possible galement de
spcifier quels programmes ont la permission d'agir en tant que serveur, donc en
mesured'accepterlesconnexionsprovenantdesautresmachines.Ainsi,siunchevalde
TroieserendsurunPCgrceunexcutableenvoyparmessagerielectronique,celui
cineserajamaisenmesured'accepterlesdemandesdeconnexionprovenantdupirate,
mme si celuici est un usager lgitime du rseau interne. Le danger inhrent de cette
stratgieestd'tretroppermissifquantauxapplicationsquel'ondonneaccsaurseau.
Par exemple, si on laisse l'application FTP en ligne de commande se connecter sur
Internet sans restriction, alors il est possible pour un pirate de se confectionner un
chevaldeTroieespionquiutiliseraFTPpourenvoyerlesdonnesqu'ilacollectessur
Internet sans que le firewall personnel ne fasse obstruction. Pour cet effet, tous les
utilitaires rseauxdisponibles partir de la ligne de commande devrait tre disponible
Scurit des Systmes dExploitation MASSICO
Par Narcisse TALLA
5
seulement en demandant la permission chaque tentative de connexion (Il est
galementpossibled'utiliserdeslogicielsinterfacesgraphiques,telsInternetExplorer
ouFireFoxpourpasseruneconnexionillicite.Ildpenddoncdel'entreprisededcider
si chaque application doit ncessiter d'une approbation chaque lancement ou non, en
fonction du facteur de risque auquel elle est prte faire face.). Ainsi configur, les
firewallspersonnelsagissentdefaoncomplmentaireaveclefirewallprincipal,aulieu
d'offriruneprotectionredondanteaffichantlesmmesforcesetfaiblesses.
Afind'augmentersensiblementlascuritdurseau,ilestrecommandden'inclureque
les diffrents serveurs de votrerseau comme faisant partie du rseau interne.Ainsi, il
devient impossible pour un poste de travail d'en contacter un autre travers le rseau
IP. Ceci force toutes les communications lectroniques transiter par les diffrents
serveurs (courrier, fichier, impression, firewall, etc.) avant d'arriver destination, et
rendimpossiblel'intrusiond'unpostedetravailparunautrevialerseau[3].
Certains produits laissent tout de mme la possibilit d'associer des ports prcis
chacune des applications, ce qui permet encore une fois d'avoir un niveau de prcision
accru. Bien entendu, pour tre efficace, il faut avoir une bonne ide de quelles
applicationssontutilisessurlesdiverspostes,queltypederseaucesapplicationssont
senses se connecter (par exemple, interne pour l'application de courrier lectronique,
interneetexternepourlenavigateurweb).Ennumrantbienlesapplicationsutilises
et permises par l'entreprise, il est alors possible de mettre en vigueur un standard
difficile contourner pour les usagers rcalcitrants qui utilisent des applications non
standard (chat, instant messaging, etc). Bien entendu, pour arriver cette fin, il est
impratifdeprotgercetteconfigurationd'unmotdepasse.
1.4 Optimiserlascuritdusystmed'exploitation
Icinousabordonsl'undesaspectslesplusproblmatiquesdelascurisationdurseau
interne,lascurisationdusystmed'exploitationcommetelsurchacundespostes.Les
quipes informatiques des entreprises n'ont habituellement pas les connaissances
ncessairespourdployerdesordinateursconfigursscuritairementselonlesnormes
recommandes et mme lorsque c'est le cas, bien souvent il faut apporter des
modifications supplmentaires avec le temps simplement cause des nouvelles
vulnrabilitsquin'taientpasconnuesaumomentdudploiement.
Scurit des Systmes dExploitation MASSICO
Par Narcisse TALLA
6
Parmi les choses faire en vue de scuriser une stationde travailWindows NT 4.0 par
exemple,ilya:
ladsactivationducompteInvit(Guest);
l'obligation d'un mot de passe difficile deviner pour le compte Administrateur
local;
enleverlesservicesdecompatibilitOS/2etPosix;
restreindrel'utilisationduhashLanManager;
restreindrel'accscertainsfichiersetrpertoiressystmes.
Lalisteestpluttlongue,etilestfacilemaintenantdecomprendrepourquoicetaspect
est si souvent laiss de ct : prendre le temps de faire manuellement toutes les
modifications requises sur les droits d'accs ACL, d'enlever ou modifier les cls de
registrencessaire,d'activercertainesoptionsquisontabsentespardfaut,enplusbien
sr d'avoir le systme d'exploitation mis jour avec le dernier Service Pack (minimum
requis) et les derniers hotfix de scurit (patches postservice pack) etc. Tout ceci afin
d'avoir sur chaque ordinateur un environnement scuritaire suffisamment restrictif
pour empcher les usagers lgitimes du rseau d'effectuer des oprations illgitimes,
sans pourautant obstruer l'utilisationde l'usager dans l'usage normal de ses fonctions.
Et c'est sans parler que ces modifications doivent galement tre implantes sur les
serveurs,auxquellesserajoutentquelquestapessupplmentairesdpendammentdela
fonctionduserveur(DNS,Contrleurdedomaine,serveurdefichiers,...)[4].
1.5 Optimiserlesconfigurationsdesapplications
Il est question ici de prendre en compte les diffrentes applications que les utilisateurs
se servent dans leurs fonctions de tous les jours, et qui peuvent elles aussi comporter
des failles de scurit qui peuvent compromettre l'intgrit de notre rseau. Il est vrai
qu'avec les mesures dcrites prcdemment, il serait plus difficile pour un intrus
potentield'arriversesfins,maistantqu'uneporteresteouverte,ilyatoujoursmoyen
del'ouvrirplusgrand,jusqu'cequel'onparviennecontournertouteslesmesuresde
protection prises prcdemment. Une des applications ncessitant quelques mesures
prventivesestlenavigateurweb,quecesoitInternetExplorer,Netscapeouautre.Ilest
important de rduire les capacits de ce type de logiciel. Par exemple, il peut tre
dangereuxd'accepterl'excutiond'appletsJava,JavascriptouVBScript.Demme,lefait
d'accepter les contrles ActiveX est reconnu comme tant nonscuritaire, car ces
Scurit des Systmes dExploitation MASSICO
Par Narcisse TALLA
7
contrles ont la possibilit d'excuter du code informatique sans aucune restriction. Il
est donc important de prendre les mesures ncessaires pour filtrer certaines de ces
possibilits, tout en laissant certaines fonctionnalits ouvertes afin de ne pas nuire la
qualitduserviceweb.Lesapplicationsdecourrierlectroniquencessitentgalement
d'avoir certaines mesures restrictives, comme par exemple dsactiver l'excution de
codeVBScriptinclusdansdesmessagesHTML.
1.6 Encryption
La mise en place d'une solution d'encryption travers toute l'infrastructure
informatique est une solution habituellement trs coteuse, dpendamment des
diffrentes implmentations. En effet, il est possible de dployer une technologie
d'encryptionsurl'envoidecourrierlectronique,d'encrypter lesdonnesprsentessur
le disque dur, ou d'encrypter toutes les donnes transmises sur le rseau.
L'authentificationpeutsefairel'aided'unmotdepasse,d'unecartedetypeSecurIDou
d'une carte puce. Le point fort de l'encryption est de prserver l'intgrit et la
confidentialit des donnes. Cependant, ceci impose une charge supplmentaire sur les
systmesdontilfauttenircomptepourdesraisonsdeperformance(tempsdeCPUpour
encrypter/dcrypter, largeur de bande rseau pour acheminer le volume
supplmentairededonneslorsqu'ellessontencryptes,...),enplusducotassociaux
diversessolutionspossiblesnumresplushaut.
1.7 Dploiement
Dansuncontextedescurit,lasituationidaleestdereformaterlesmachinesetder
installer le systme d'exploitation et les applications configurs de faon scuritaire,
parce qu'il nous est impossible de faire confiance aux systmes inscures qui peuvent
contenir des backdoors. Cependant, une telle pratique est trs coteuse en temps et en
argent,etdemandeuneffortdeproductivitaccrudelapartdestechnicienstandisque
la productivit des employs risque d'tre perturbe. Alors la meilleure solution de
rechange est de scuriser les machines avec les diffrents outils numrs jusqu'ici, et
compter sur cette nouvelle scurit accrue pour dtecter et bloquer de possibles
intrusionsantrieures.
Scurit des Systmes dExploitation MASSICO
Par Narcisse TALLA
8
1.8 Solutionscommercialesintgresouindividuelles
Il existe certaines solutions intgres pour la scurisation des postes, qui incluent un
logiciel antivirus, un firewall personnel, VPN, encryption du disque et un dtecteur
d'intrusion. Ces logiciels sont tous des composantes optionnelles qui peuvent tre
ajoutesoumodifiesviauneinterfacecommune,quipermetdedistribueretconfigurer
ces logiciels travers le rseau. Cette interface permet aussi de centraliser les fichiers
logsetdepouvoirlesconsulterpartirdelaconsoledel'administrateurrseau.Enfait,
le logiciel d'administration centralis d'une telle solution offre une interface graphique
permettant la configuration des divers lments dans le but de simplifier
l'administration. Bien qu'une telle solution intgre comporte plusieurs avantages, elle
comporte galement quelques inconvnients. Un de ces inconvnients vient du fait que
la distribution des logiciels est parfois plus complique qu'elle ne devrait l'tre, et
parfois il faut lancer les commandes quelques reprises avant que toutes les machines
du rseau ne soit prise en charge. Un autre inconvnient vient du fait que l'interface
permettantdevoirleslogsn'offrequetrspeud'avantagessurleplandelavisibilitet
de la comprhension des logs en comparaison un diteur de texte. Mais le pire
inconvnientpeutprovenirdufaitqu'unevulnrabilitdansunedescomposantespeut
signifierquecettevulnrabilitestprsentedanstoutesles composantes(oudumoins
certaines parmi cellesci), ce qui peut rendre innefficace toute les mesures prises
jusqu'ici. Bien sr, le fait d'utiliser des produits d'diteurs diffrents n'est pas une
assurance contre une telle ventualit, mais dans ce casci, une vulnrabilit prsente
dansunlogicielrisquemoinsd'avoird'impactsurlesautreslogicielsquedanslecasde
lasolutionintgre.