Vous êtes sur la page 1sur 49

Michel de CREVOISIER

Anne
2014

[TITRE DU DOCUMENT]
[Sous-titre du document]

THESE
PROFESSIONNELLE

Approche pragmatique
pour la scurisation des
environnements Windows
en entreprise
(v1.01)

test
[Titre du cours]

Dornavant, quand nous serons


confronts lajout dune
fonctionnalit et la rsolution dune
faille de scurit, nous choisirons la
scurit.
Bill Gates, TWC 2002

Je gre en ne prenant pas de dcisions et


en laissant les choses progresser
naturellement. Cest comme cela que lon
obtient les meilleurs rsultats.
Linus Torvalds, 1991

RESUME
Dans un monde de plus en plus connect et dpendant dInternet, nombreuses sont les entreprises
se soucier de la scurit de leurs systmes dinformations. Sous cet angle, de nombreuses normes
sont utilises par les entreprises afin de les accompagner dans cette dmarche de renforcement des
systmes dinformations, et plus prcisment des systmes dexploitation. Les propositions
apportes par la norme ISO 27002 viennent de ce fait fournir un grand nombre de recommandations
permettant de satisfaire aux standards de scurit les plus pointus.
Toutefois, la dclinaison de ces standards en catalogues dactions concrtes noffre pas un recul
suffisant afin didentifier les vecteurs dattaques utiliss par les cybercriminels. Les informations
proposes sont certes pertinentes mais il est difficile den dduire des actions concrtes permettant
de rduire le niveau dexposition aux risques des systmes dexploitation Windows.
Pour rpondre cette problmatique, une approche pragmatique inspire des attaques est alors
soutenue. Elle part du principe quen connaissant les vecteurs dattaques utiliss par les pirates ainsi
que leurs contre-mesures respectives, il est possible de rduire drastiquement les menaces pesant
sur les systmes dexploitation. Pour cela, le paradoxe des anniversaires est sollicit afin de fournir
une rponse mesure et adapte aux contraintes budgtaires des entreprises. Le deuxime concept
abord revient saccorder que les cots de mise en place dune stratgie de scurit sont moindres
sils sont instruits ds les premires phases de sa conception. En effet, btir un systme dinformation
en y incorporant la scurit ds sa construction sera toujours moins onreux que de revoir et altrer
sa structure une fois celle-ci aboutie.
Malgr ces propositions, force est de reconnatre que la technique ne peut suffire elle seule
combattre les cybercriminels. Ds lors, il convient dinclure dans cette dmarche dautres acteurs et
moyens afin de proposer une rponse globale aux problmatiques de scurit rencontres par les
entreprises. Le dveloppement scuris, la sensibilisation des utilisateurs, une aptitude proactive de
rponse aux attaques ainsi quune supervision globale deviennent alors des lments clefs dans la
mise en place dune telle stratgie.

Mots clefs : ISO 27002, proactivit, paradoxe des anniversaires, scurit mesure, contre-mesure,
Windows

ABSTRACT
In a world more and more connected and with high Internet dependence, many companies are
worried about the security of their information systems. Seen from this viewpoint, many standards
are used by companies to drive them in this process of operating system hardening. The proposal
made by ISO 27002 provides a large number of recommendations to meet security standards.
However, the itemisation of these standards in actions plans doesnt provide sufficient perspective
to identify attacks vectors used by hackers. Information provided are well relevant but its difficult to
deduce concrete actions to reduce the level of risk exposure of Windows Operating systems.
To address this problem, a pragmatic approach based on attacks is used. It assumes that knowing
vectors attacks used by hackers and their respective counter measures, its possible to drastically
reduce the threats on operating systems. In this way, the birthday paradox is used to provide a
measured and appropriate approach for companies with budgetary constraints. The other concept
address agree that the cost of implementing security are lower if they are educated in the early
conception phase.
Despite this propositions, we must recognize that technology cant meet alone to fight against
hackers. Therefore, other actors and tools must be included in this process to provide a
comprehensive response to the current security problems faced by companies.

Key words : ISO 27002, proactivity, birthday paradox, measured security, counter measure, Windows

SOMMAIRE
INTRODUCTION ............................................................................................................................5
1.

Etat de lart ...........................................................................................................................6


1.1
1.2
1.3
1.4
1.5
1.6

Un monde de plus en plus connect ....................................................................................................6


Des vulnrabilits ubiquistes ................................................................................................................7
Le cybercrime en pleine effervescence ............................................................................................. 11
Windows, une cible de premier choix pour les attaques .................................................................. 13
Le monde du libre galement vis par les attaques .......................................................................... 17
De nombreuses normes de scurit.................................................................................................. 20

2.

Problmatique .................................................................................................................... 23

3.

Justification de la problmatique......................................................................................... 24
3.1
3.2
3.3

4.

Concept .............................................................................................................................. 26
4.1
4.2
4.3
4.4
4.5
4.6

5.

Des recommandations noyes dans la masse ................................................................................... 24


Des correctifs difficiles appliquer ................................................................................................... 24
Des tests dintrusion pertinents mais limits .................................................................................... 25
Les systmes ne sont jamais srs ...................................................................................................... 26
La scurit ds la conception pour rduire les cots ........................................................................ 27
Simplifier le processus de mise en place ........................................................................................... 27
Une approche mesure par le paradoxe des anniversaires .............................................................. 28
Le temps doit jouer en notre faveur ................................................................................................. 31
Hypothses ........................................................................................................................................ 31

Rponse applicable ............................................................................................................. 32


5.1
5.2
5.3
5.4
5.5

Dveloppement scuris ................................................................................................................... 32


Renforcement des systmes dexploitation Windows ...................................................................... 35
Sensibilisation des utilisateurs .......................................................................................................... 37
Rponse proactive aux menaces ....................................................................................................... 38
Supervision renforce........................................................................................................................ 39

CONCLUSION ............................................................................................................................. 41
ANNEXES ......................................................................................................................................0
REFERENCES BIBLIOGRAPHIQUES ..................................................................................................2

INTRODUCTION
Ces vingt dernires annes ont t le symbole dune importante vague de mutations de la finalit des
attaques informatiques : vol dinformations, usurpation didentit, espionnage industriel, dni de
service, hameonnage, social engineering, etc. Paralllement, et face linexorable recrudescence de
ces attaques, nombreux sont ceux abdiquer et accepter le fait que cette lutte ingale qui oppose
les entreprises aux cybercriminels est une guerre perdue davance. Les cybercriminels sont en effet
rapides, agiles et innovants tandis que les directions des systmes dinformation sont contraintes par
des budgets, des analyses de rentabilit, des niveaux de satisfactions des utilisateurs, etc.
Pour remettre la balle dans leur camp, les entreprises ont alors dvelopp de nombreuses stratgies,
mrement rflchies et tudies afin de scuriser leurs systmes dinformations. ISO 27000, SOX,
EBIOS, COBIT et EBIOS font partie de ces standards que grand nombre dentreprises ont aujourdhui
adopts. Toutefois, lvolution perptuelle et rapide des menaces semble rvler les limites de ces
stratgies, en plaant les systmes dexploitation au cur dun rel problme. En effet, de par leurs
rles et les services quils dlivrent, ces derniers font lobjet de nombreuses convoitises par les
cybercriminels. Vritable patrimoine informatique, ils fournissent laccs une multitude
dinformations dont lexfiltration et la publication pourraient mettre en danger la prennit de
lentreprise. Mais dfaut de moyens suffisants ou en raison des investissements trop importants
que requirent ces standards, de nombreuses entreprises se sont rsilies carter la scurit,
rendant leurs systmes encore plus vulnrables.
Dans un premier temps, et aprs avoir tudi lorigine et les causes des attaques informatiques, nous
expliquerons comment les systmes dexploitation Windows, Mac OS et Linux ont ragi pour
accompagner les entreprises dans le renforcement de leurs systmes dexploitation. Dans un
deuxime temps, les problmes et limites apports par lusage de la norme ISO 27002 dans le
renforcement des systmes dexploitation seront voqus. Lobjectif final consistera alors proposer
une rponse globale moins onreuse et plus pragmatique pour contrer les attaques destination des
systmes dexploitation Windows.

Remarque : les rfrences bibliographiques sont indiques par un chiffre 1 et se situent la fin du
document. Les dfinitions de mots sont indiques par une lettre a et sont expliques en bas de chaque
page du document.

1. Etat de lart
1.1 Un monde de plus en plus connect
En une vingtaine dannes, linformatique a connu un essor considrable aussi bien auprs des
particuliers que des professionnels. Paralllement, la croissance et le dveloppement dInternet ont
fait de linformatique un outil quasi indispensable pour les 2,4 milliards dinternautes dans le monde1.
Cette situation profite galement aux entreprises qui sont dsormais de plus en plus nombreuses
offrir des services en ligne disposition des consommateurs. Ce march a dailleurs t valoris 45
milliards deuros en 20122, avec une hausse de 20% par rapport lanne prcdente.
Chiffre daffaires annuel mondial des
ventes par Internet (en milliards d)
60,5
52,3
45
37,7
31
25
20
15,6
11,6
2006

2007

2008

2009

2010

2011

2012

2013
(prv.)

2014
(prv.)

Le succs des entreprises telles que Boursorama, Netflix et Amazon atteste dailleurs de ce nouveau
mode de consommation o lacheteur peut se situer lautre bout du monde et commander un
produit ou un service en quelques clics simplement. Les nouveaux usages du cloud , des rseaux
sociaux et de la consumrisation de linformatique (dit BYOD a) soutiennent galement cette
tendance. Toutefois, le dveloppement dInternet associ la croissance des services marchands
nest pas sans poser de problmes.

BYOD ( Bring Your Own Device ) : utilisation dquipements personnels tels que les tablettes ou
smartphones dans un contexte professionnel
6

1.2 Des vulnrabilits ubiquistes


1.2.1 De nombreuses consquences
Le premier problme est li prsence de vulnrabilitsa au sein des logiciels et des systmes
dexploitation, dont lexistence peut tre considre comme un risque inluctable. En effet, de par la
complexit des langages de programmation utiliss et de par le nombre important de lignes de code
crites, il devient de plus en plus difficile de concevoir un logiciel sans erreurs. Des techniques
existent pour les dtecter, mais elles ne savrent gure efficaces lorsquon constate le nombre de
vulnrabilits dcouvertes chaque anne. Les exigences accrues en termes de cots et de temps de
production viennent galement aggraver cette situation. En 2013, se sont au total 63437 incidents
lis des failles de scurit qui ont t dclars3. Vol dinformations, usurpation didentit, dni de
service et dfiguration de sites web sont parmi les attaques face auxquelles les entreprises doivent
dsormais lutter si elles ne souhaitent assurer leur prennit.
Le second problme concerne le niveau dimportance de la scurit attribu par lentreprise. A cet
gard, celle-ci na pas toujours t une priorit dans la mesure o la notion de rseau connect a
longtemps t inexistante, et que de ce fait lexploitation de vulnrabilits tait trs limite en dehors
de lentreprise. Ce nest que suite larrive dInternet et lapparition des premiers virus que la
scurit informatique a pris un tournant important au regard des diteurs de logiciels et plus
particulirement de Microsoft. Ces erreurs de jeunesse ont parfois cot cher dautres socits qui
de par leur ngligence se sont retrouves totalement dmunies suite un piratage. Lexemple le plus
marquant a t le piratage du rseau PSN ( Playstation Sony Network) en 2011 dont les
consquences furent plus que catastrophiques : vol des donnes (dont les cartes bleues) des 77
millions dutilisateurs inscrits4, un mois darrt du service, dimportantes pertes financires et une
baisse de la valorisation boursire de la firme. Un autre cas plus rcent est celui de la socit
amricaine Target qui sest fait drober les informations de ses 40 millions de clients en 20135 via
linfection de ses POSb . Au travers de cette attaque, les pirates ont russi rcuprer les donnes
des cartes de crdit de lensemble des clients, avec les numros, les dates de validit et les CVV.
Cerise sur le gteau, aucune de ces donnes ntait chiffre. Linfographie6 de la page suivante
rsume lensemble des attaques informatiques lies des vols dinformations entre 2011 et
aujourdhui. Elle met en exergue le nombre didentits drobes selon la circonfrence du cercle
associ lentreprise. Ces attaques ont t perptres par des individus ou groupes organiss
souvent qualifis de black hat , de hackers , de cyber-terroristes ou encore de cyberdissidents . Les groupes les plus connus sont lists ci-dessous :
Le collectif Anonymous
Le groupe LulzSec
Lunit chinoise 61398
Larme SEA (Syrian Electronic Army)

Vulnrabilit : proprit intrinsque dun actif. En informatique, faiblesse prsente au sein dun
logiciel ou dun systme pouvant tre exploite afin de porter atteinte lintgrit et la
confidentialit dun systme dinformation
b POS ( Point of Sale ) : terminaux de paiement prsents en magasin
7

Attaques informatiques de 2003 2014


selon le volume de donnes fuites

1.2.2 Les vulnrabilits comme arme politique


Les pirates informatiques ne sont toutefois pas les seuls exploiter ces vulnrabilits. Edward
Snowden, ancien consultant et prestataire de la NSAa la dailleurs dmontr en dvoilant de
nombreux rapports confidentiels prsentant limplication de ladite agence dans de plusieurs projets
despionnage, dont le fameux TAO ( Tailored Access Operations )7. Au travers de cette opration,
la NSA aurait install des mouchards au sein des quipements Apple, Cisco, Dell, Huawei, Juniper,
HP, F5, Western Digital et bien dautres encore. Ces actions ont pu tre ralises au travers de
lexploitation de vulnrabilits existantes et via des financements directs auprs des socits
concernes afin de bnficier de backdoorb ddis aux usages souhaits.
Ces vulnrabilits ont galement t utilises afin de mener des attaques qualifies de
cyberguerres . Un des cas refltant cette situation concerne la filire du nuclaire Iranien qui a t
paralyse suite lattaque du ver informatique Stuxnet dvelopp conjointement par Isral et les
Etats-Unis. Pour se faire, le vers a dabord t copi sur une clef USB qui a ensuite t connecte par

a
b

NSA ( National Secret Agency ) : agence despionnage amricaine


Backdoor : littralement porte drobe permettant un accs complet au systme
8

un oprateur aux systmes SCADA des centrales nuclaires. Le virus sest ensuite propag sur le
rseau via plusieurs vulnrabilits prsentes au sein de Windows. Linfection a pu tre ralise en
partie grce au vol de deux certificats lectroniques appartenant aux socits Tawanaises JMicron
et Realtek. Le ver a ensuite exploit plusieurs vulnrabilits prsentes au sein des automates
Siemens, entranant la paralysie des centrifugeuses et des racteurs des centrales.

1.2.3 Les logiciels tiers comme vecteurs dattaques


Les vulnrabilits prsentes au sein des logiciels tiers sont galement utilises afin doutrepasser
les mcanismes de scurit implments par les diffrents systmes dexploitation. La prsence de
logiciels tels quAdobe Reader, Java, Flash Player savre donc tre une vritable aubaine pour les
pirates informatiques. Et aussi surprenant que cela puisse paratre, le nombre de vulnrabilits
prsentes au sein de ces applications est largement suprieur celles prsentes au sein des systmes
dexploitation. Le graphique8 ci-dessous atteste de cette situation en comparant lvolution du
nombre de vulnrabilits entre les systmes dexploitation, les navigateurs Internet et les
applications tierces .
Evolution des vulnrabilits de
2006 2010

On soulignera au passage que les 0 daya constituent galement un vecteur dattaque important.
Pour lanne 2013, ces exploits concernaient 39% le navigateur Internet Explorer de Microsoft et
23% le logiciel Java. Le schma9 de la page suivante reprsente la part de ces vulnrabilits par
application tierce.

0 day : faille de scurit ne disposant pas de correctif le jour de sa publication


9

Part des vulnrabilits 0


day en 2013 par logiciel
tiers

1.2.4 Des protocoles vulnrables


En dehors des systmes dexploitation et des logiciels tiers , les vulnrabilits peuvent galement
provenir dune mauvaise conception protocolaire. Le chercheur en scurit informatique Dan
Kaminsky a ainsi rvl en 2008 deux failles relatives au protocole DNS ( Domain Name System ).
Ce protocole, associ au BGP ( Border Gateway Protocol ), constitue les fondements mmes de
lInternet actuel. Permettant la translation dun nom dhte en une IP, le DNS permet de faciliter
laccs un site web sans avoir retenir la suite de chiffres qui compose une IP.
La premire faille fut dcouverte en avril 2008 et rsulte dune faiblesse dans la manire o certains
FAI graient linterception de requtes DNS pour des domaines inexistants. Ces derniers avaient en
effet pris pour habitude de remplacer ces requtes errones par des bannires publicitaires. Des
hackers ont de ce fait exploit les serveurs en charge de cette activit dite de rebouclage au
travers la cration de sous domaines falsifis pour les sites concerns10. On soulignera au passage
que de nombreux FAI tirent profit de ces erreurs au travers des logiciels Barefruit dEarthlink et
PaxFire de Verizon. La seconde faille fut dcouverte en juillet 2008. Elle consistait en un
empoisonnement de cache au travers de lenvoi de requtes DNS spcialement forges11. Lhistoire
ne se termine pas ici tant donn quune nouvelle vulnrabilit relative ce protocole a t
dcouverte en mai 201412. Celle-ci permet de privilgier le transfert de requtes DNS vers un serveur
donn. Si le serveur en question est sous le contrle dun pirate, alors ce dernier sera en mesure de
fournir de fausses requtes et de conduire la victime vers des sites frauduleux.
Une vulnrabilit a galement t dcouverte en avril 201413 dans la conception mme du protocole
TLSa. Son exploitation seffectue lors de la rengociation de la clef partage et permet un attaquant
de sapproprier dune session tablie auparavant par un autre client. La chronologie de la page
suivante rsume les principales vulnrabilits protocolaires dcouvertes ce jour :

TLS ( Transport Layer Security ) : protocole de transport permettant lchange de donnes sur
un canal scuris.
10

Avril 2008

Juillet 2008

Faille
Rebouclage
DNS

Mai 2014

Faille DNS
mondiale de
Kaminsky

Mai 2014

Faille TLS
3shake

Faille DNS
SRTT

1.3 Le cybercrime en pleine effervescence


1.3.1 Des attaques en perptuelle volution
Jusquici nous avons pu constater la prsence de diffrentes formes de vulnrabilits au sein des
systmes dinformations, exploites par diffrents groupes ou individus afin de mener terme leurs
objectifs. Toutefois, la finalit de ces attaques ainsi que les vecteurs dintrusion nont pas toujours
t les mmes. Au dbut des annes 2000, le vecteur dattaque utilis tait lemail et les attaques
menes taient effectues sans identification pralable des cibles. Dans les annes 2005 2010,
lappt du gain sest fortement ressenti via lapparition des premires attaques par phising ,
social engineering et via des vecteurs de diffusion tels que les clefs USB ou les sites web. Depuis
2010, les attaques sont devenues plus cibles. Lappt du gain reste toujours une finalit, mais
lespionnage ainsi que le sabotage ont largement pris le dessus au travers des attaques par dni de
service ( Ddos ) se basant sur des protocoles tels que le DNS ou le NTPa. Le tableau ci-dessous
synthtise lvolution et les caractristiques des attaques de 2000 2013.
2000-2005
Challenge technique
Objectifs
Cible principale

Destruction
Pas de cible spcifique

Vecteurs
dattaque

Courriel

Dtection

Direct en raison de limpact

Impact

Indisponibilit ou perte de
donnes

Exemples

I love you, Sasser, Blaster

2005-2010
Appt du gain

2010-2013
Attaques cibles (APT)

Gain dargent, espionnage,


sabotage
Socits ou organisations
Attaque opportuniste
spcifiques
Social engineering, page web,
Combinaison de plusieurs
clef USB
vecteurs
Difficile pour les particuliers, Extrmement difficile pour les
facile pour les grands groupes
grands groupes
Vol dargent, vol
Vol dinformations spcifiques
dinformations confidentielles
et sabotage dinfrastructures
et indisponibilit de service
Stuxnet - Areva, Bercy, RSA,
Zeus, SpyEye, malwares
Sony
Gain dargent

Ce constat concernant la finalit des attaques peut galement tre associ lvolution des
techniques utilises par les pirates informatiques. Lextrait du rapport de Verizon3 prsent en annexe
1 rsume cette volution. On y constate que les techniques ayant connu la plus importante croissance
en 2013 sont :

NTP (Network Time Protocole) : protocole permettant la synchronisation du temps


11

1.
2.
3.
4.
5.
6.

Vol didentifiants / Use of stolen credentials


Exfiltration de donnes / Export data
Hameonnage / Phishing
Voleur de contenu de mmoire RAM / RAM scraper
Injection SQL / SQLi
Dsactivation des outils de scurit / Disable controls

1.3.2 Des enjeux financiers importants


En accord avec le tableau prcdent, les enjeux financiers rgissant autour des vulnrabilits se sont
normment dvelopps ces dernires annes. A tel point que la notion de march , dsormais
estim plus de 300 milliards deuros en 201414, est utilise pour qualifier les diffrents changes de
vulnrabilits entre les cybercriminels. Ces derniers sont capables dacheter prix dor des failles
dont personne ne connat lexistence afin de mener terme leurs attaques. Pour financer ces achats,
la monnaie virtuelle Bitcoina est utilise. Outrepassant les contrles instaurs par les diffrentes
institutions financires, son usage est possible par tout individu en ayant fait lacquisition. De surcroit,
limpossibilit de tracer lorigine des transactions en fait un moyen de paiement idal. Quant aux
vendeurs de ces failles, ils peuvent tre des pirates informatiques ou des socits spcialises dans
la recherche de vulnrabilits. Cette activit est devenue si lucrative que certaines socits en
ont fait leur principale activit et source de revenus. La PME franaise VUPEN a t lune des
premires utiliser ce mode de fonctionnement en dcouvrant et vendant des vulnrabilits la
NSA15 (entre autres) et en participant des concours dont le fameux pown2own .

Nonobstant, la socit sapprte quitter lhexagone en 2015 en raison de pressions administratives


trop importantes et des incertitudes pesant actuellement sur son domaine dactivit 16.

En mai 2014, 1 Bitcoin tait gal 446 dollars amricains environ


12

A titre dexemple et afin didentifier les enjeux du cybercrime, un extrait des tarifs ngocis par les
pirates informatiques est prsent ci-dessous. On y constatera une chute drastique des prix ces
dernires annes, probablement en raison de larrive constante de nouveaux malwares ou dun
march satur.

1.4 Windows, une cible de premier choix pour les attaques


Malgr la croissance indniable des smartphones et des tablettes, les systmes dexploitation de
bureau dominent encore le march. Avec 91,19% de parts de march en 2013, Windows reste le
leader incontest. Il est suivi de loin par Mac OS dont les parts de march nont cess de crotre ces
dernires annes et par Linux/Unix dont lutilisation reste souvent cloisonne des usages
professionnels.

13

1.4.1 Une scurit longtemps carte


Outre le fait dtre le systme dexploitation le plus prsent sur le march, Windows a longuement
t critiqu pour son laxisme en matire de scurit. Microsoft se livre dailleurs une guerre sans
merci depuis plusieurs annes contre les pirates informatiques. En qute permanente de failles de
scurit, ces derniers nont cess dexplorer de nouvelles techniques (courriels infects, scripts VBSa
malveillants, cheval de Troy, ver informatique) pouvant mettre dfaut les systmes de scurit
de Windows. Ce nest que suite la sortie de Windows 2000 et la prsence dimportantes failles de
scurit au sein de ce dernier que Microsoft dcida dadopter une stratgie consquente. En effet,
ce dernier avait jusqu maintenant privilgi des cycles de vie courts pour ses produits au dtriment
du renforcement de leur scurit. Mais lapparition des vers Melissa en 1999, Code Red et Code Red
II en 2001 et Sobig et Blaster en 2003 conduit Microsoft investir de faon consquente dans la
scurit de ses produits, et plus particulirement celle de ses systmes dexploitation. Se succdrent
plusieurs nouveauts majeures telles que la sortie de Microsoft Update (volution de Windows
Update ), le Service Pack 2 pour Windows XP (avec le premier pare-feu) et la sortie de la
fonctionnalit WSUSb pour les entreprises. La chronologie ci-dessous prsente ces diffrentes
volutions apposes lapparition des principaux virus qui ont marqu lhistoire de Windows.
1998

Fin 1999

Fin 2001

2003

2005

Windows
Update

Windows
2000

Windows XP Faille UPnP

Sobig &
Blaster

Microsoft
Update

1999

2001

Melissa

Code Red
& Code
Red II

Dbut
2002
Mmo de
Bill Gates

2004
Windows XP
SP2 & Cycle
SDL

1.4.2 Un acteur majeur


Malgr cette vague de critiques, Microsoft a su rebondir et sest impos au fil des annes comme un
des principaux acteurs du march des systmes dexploitation prsents en entreprise. Ce dernier a
su simplanter grce au rle Active Directory qui constitue lpine dorsale de toutes les socits
disposant dune infrastructure Windows, soit prs de 95% des socits du top Fortune 500 17.
Techniquement, ce dernier nest quun simple annuaire permettant aux utilisateurs de sauthentifier
afin daccder aux diffrentes ressources de lentreprise. Toutefois, ses importantes volutions en
ont fait un des lments fondamentaux des infrastructures actuelles. Il constitue paradoxalement
leur talon dAchille tant donn que son arrt ou sa compromission entranerait de lourdes
consquences pour lentreprise et son activit. Les pirates informatiques ont en dailleurs bien
conscience et cest pourquoi les annuaires sont une cible de premier choix dans le cadre dattaques.
Pour parer cette problmatique, Microsoft sest lourdement investi dans le dveloppement de
mcanismes de scurit et dans la mise en place dun cycle rgulier de distribution des correctifs.
Bien que ce dernier lment paraisse anodin, il constitue une preuve solide de la volont de firme de

VBS ( Visual Basic Scripting ) : langage de script dvelopp par Microsoft


WSUS (Windows Update Update Services) : associ Microsoft Update, ce service permet de
centraliser lensemble des mises jour et correctifs au sein dune entreprise
b

14

Redmond dinvestir dans la scurit de ses produits. On remarquera que contrairement Apple,
Microsoft distribue ses correctifs le 2me mardi de chaque mois, Apple prfrant en effet pousser
ces correctifs lors du dploiement de nouvelles fonctionnalits au sein de son systme. La forte
intgration entre les systmes dexploitation serveurs (Server 2003, 2008, 2012) et les systmes
dexploitation clients (XP, Vista, Seven, 8) constitue galement un des arguments favorisant son
adoption au sein des entreprises.

1.4.3 Un Windows morcel par les attaques


Comme latteste le graphique ci-dessous18, Windows reste malgr lui une cible privilgie par les
pirates. En effet, 42% du trafic Internet dtect pendant les attaques de lanne 2013 concernait des
protocoles Windows (Microsoft-DS, Microsoft SQL Server, Microsoft Terminal Services et MicrosoftRPC).
Part des protocoles dtects
pendant les attaques en 2013

Outre ce constat, de nombreuses vulnrabilits sont rgulirement dcouvertes au sein des systmes
dexploitation Windows. Celles-ci sont classifies en deux catgories :
Produits Microsoft : Office, Visio, Project, Internet Explorer
Systmes dexploitation : XP, Vista, Seven, Windows 8
Au cours de lanne 2013, ce sont ainsi 192 vulnrabilits qui ont t dcouvertes au sein des produits
Microsoft et 101 au sein des systmes Windows19. On constatera que Windows 8 prsente un nombre
de vulnrabilits largement suprieur en raison de linclusion du logiciel tiers Flash Player
directement au sein du systme. La rpartition de ces chiffres par systmes est dtaille la page
suivante. Les mcanismes de scurit prsents au sein de Windows sont galement pris pour cible et
sont rgulirement mis mal (cf. annexe 3).

15

Vulnrabilits par catgorie (2013)

192

192

192

192

192

156
102

99

XP

VISTA

102

101

SEVEN

Windows

8 (SANS FLASH)

Microsoft

Autre constat important ne pas ignorer, le taux dinfection par machine. Pour le troisime trimestre
de lanne 2013, 5,3% des machines sous Vista SP2 taient infectes par un malware. Ce taux a
considrablement augment lanne suivante en passant 32,4%. A noter que ces chiffres sont
fournis par Microsoft sur une base statistique de 1000 ordinateurs. Dune manire logique, on
constatera que les systmes rcents sont moins infects, probablement en raison de leur prsence
minoritaire ou de leurs nouveaux mcanismes de scurit pas encore djous.

1.4.4 Un choix coteux


Mme si Windows dispose dun solide ancrage au sein des entreprises actuelles, son adoption
reste un choix coteux. Lachat des produits, leur renouvellement ainsi que leur support constituent
le principal frein son adoption. De la mme faon, le systme complexe de calcul des licences
associ aux diffrents contrats quil faut souscrire en rebutera plus dun. A tel point que le
16

renouvellement de certains contrats a t la cause dimportants dbats. Le contrat Open Bar20


sign entre le ministre franais de la Dfense et la filiale Irlande de Microsoft a de ce fait entran
une importante vague de remous en raison de son cot lev. LAPRILa a dailleurs ouvertement
critiqu ce contrat renouvel sans appel doffres, normalement obligatoire sur les marchs publics.
Laspect financier constitue un des arguments clefs lors de lacquisition de logiciels propritaires (tels
quOracle, Microsoft, SAP, ) ou libres. Sensibles ces enjeux, de nombreuses collectivits et socits
ont dores et dj entam la migration de leur parc informatique vers des systmes bass sur Linux :
2003 : la ville de Munich21 a t lune des pionnires en la matire, lui permettant ainsi
dconomiser quelques 10 millions deuros annuels
2009 : la gendarmerie nationale franaise22 a galement entam une dmarche similaire afin
en basculant ses 70.000 postes sous GendBuntu (bas sur Ubuntu) et OpenOffice
2014 : le syndicat intercommunal de Toulouse Mtropole23 de migrer vers OpenOffice et ainsi
conomiser 1 millions deuros sur 3 ans
2014 : deux villes italiennes24 (Turin et Plmont) ont bascul 3800 postes sous Ubuntu,
ralisant ainsi une conomie de 1,14 millions par an.
Dans certains cas, des problmatiques techniques peuvent galement tre lorigine du maintien
dune infrastructure existante. Ce fut le cas de la ville de Vienne25 (Autriche) qui dcida de stopper sa
migration vers Linux en raison dune incompatibilit trs particulire dun de ses logiciels mtiers.
Situation tout fait inverse, le ministre allemand des Affaires trangres26 qui a migr en 2011 ses
postes de Linux Windows en invoquant un manque dinteroprabilit (en particulier pour le partage
de documents) et un faible niveau dacception par les utilisateurs.

1.5 Le monde du libre galement vis par les attaques


1.5.1 Linux dans le viseur des pirates
Par rapport Windows, Linux a toujours t considr comme plus scuris et plus fiable que son
ternel concurrent Windows. Grce son micro-noyau ultralger et son interface minimaliste, ce
dernier a rapidement trouv sa place au cur dlments stratgiques tels que les centrales
nuclaires, les lignes de mtro (dont la ligne automatique du mtro de Paris), les tunnels (dont le
tunnel sous la Manche), les institutions financires, les navires de guerre27 et plus rcemment les
drones amricains28. Par ailleurs, sa gratuit ainsi que son dveloppement collaboratif en font un
produit extrmement attractif face Windows. Les projets tels que Firefox, OpenOffice, VLC, Gimp,
Android et de faon plus professionnelle MySQL, OpenStack, ou MariaDB attestent dailleurs du
succs de ce mode de fonctionnement.
Ce mode a toutefois t remis en cause le 7 avril 2014 suite la dcouverte dune
vulnrabilit dextrme criticit au sein de la librairie cryptographique OpenSSL. Pour
information, celle-ci fournit un certain nombre de mcanismes permettant dassurer le
chiffrement des changes entre un client et un serveur. Pour cela, les protocoles

April : Association pour la Promotion et la Recherche en Informatique Libre


17

SSLa/TLS sont utiliss afin de vrifier lidentit du serveur et chiffrer les donnes de faon garantir
lintgrit des communications. Connue sous le nom de Heartbleed29 , cette faille a affect plus
de 500.000 sites (dont Google, Dropbox et Facebook) ainsi que de nombreux quipementiers ou
fournisseurs de solutions tels que VMware, Akamai ou Juniper. Cette situation nest pas un cas isol
puisqu peine deux mois plus tt une vulnrabilit surnomme Goto fail30 tait dcouverte au
sein de limplmentation de cette mme bibliothque sur les systmes iOS. Pire encore, de multiples
failles31 (dont une permettant de provoquer un dni de service) ont fait surface deux semaines plus
tard au sein de la distribution Debian.
Fvrier 2014

5 juin 2014

15 oct. 2014

Faille GoTo
Fail sur iOS

Faille OpenSSL
DTLS

Faille Poodle
SSL

7 avril 2014

4 juin 2014

9 dc. 14

Faille OpenSSL
Heartbleed

Faille GnuTLS

Faille Poodle
TLS

24 avril 2014

Mai 2014

Faille SSL Debian

Faille TLS
3shake

Ces vnements associs aux rcentes vulnrabilits32 dcouvertes au sein du noyau de Linux ont
remis en question le mode de fonctionnement du logiciel libre dont le dveloppement est assur en
grande partie par des contributeurs volontaires. De la mme faon, le rachat de certains logiciels
libres par des acteurs majeurs du logiciel propritaire a souvent entran de vastes remous et
questionnements concernant lavenir du logiciel libre. A tel point que certains dentre eux ont prfr
fonder un nouveau projet similaire en parallle. Ce fut dailleurs le cas de la communaut du logiciel
MySQL qui, suite son rachat par Sun Microsystems lui-mme rachet par Oracle, dcida de crer sa
propre alternative nomme MariaDB. Et il en fut de mme pour la suite bureautique OpenOffice qui
donna naissance au projet Libre Office33.

1.5.2 Mac OS
Dans une volution du systme Unix, mais avec un esprit se rapprochant de Windows, se situe le
systme dexploitation Mac OS dApple. Longtemps considr comme plus sr que son ternel
concurrent Windows, ce systme a vu son image de zro virus se ternir ces dernires annes en
raison du nombre croissant de virus et autres malwares laffectant. En effet, Mac OS a longtemps
conserv des parts de march minoritaires. Mais avec les sorties successives de liPhone et de liPad,
Apple a russi changer la donne en sduisant un public beaucoup plus vaste, augmentant ainsi ses
parts de march de 5,25% en 2010 7,63% en 201434.

SSL ( Secure Socket Layer ) : protocole de transport permettant lchange de donnes sur un
canal scuris
18

Cette croissance nest malheureusement pas


passe inaperue lgard des pirates qui
ciblent dsormais de plus en plus cette
plateforme. Un des exemples les plus flagrants
a t le botneta Flashback . Dcouvert en
septembre 2011, ce virus a russi infecter
plus de 600.000 Mac en moins de 6 mois en
exploitant une vulnrabilit35 prsente au sein du logiciel Java. Et mme si cette infection a t
cause par un logiciel tiers, Apple a tout de mme attendu avril 2012 pour dlivrer un correctif alors
que ce dernier tait disponible depuis janvier 2012. La stratgie de diffusion de correctifs dApple a
de ce fait t trs critique. En effet, et contrairement Windows, seul Apple et son centre de mises
jour peuvent dlivrer des correctifs. Eugne Kaspersky a dailleurs profit de cet vnement pour
affirmer au cours dune interview36 quApple avait 10 ans de retard par rapport Microsoft en
matire de scurit. Larrive rcente de nombreux antivirus pour Mac atteste dailleurs de ses dires.
Avast, F-Secure, Norton, BitDefender, Kaspersky et Intengo sont parmi les nombreux diteurs se
partager ce march juteux en pleine effervescence.
Forte de ce constat, la firme de Cupertino a entam un vaste changement dans sa stratgie 37,
notamment via lactivation des mises jour automatiques et le blocage automatique de Java au sein
de son systme. La fresque ci-dessous relate les virus les plus marquants ayant infect les systmes
Mac OS de 2004 201438 :

2004

2011

2012

Renepo

MacDefender

Flashback

2006

2010

Leap

Boonana

2014
LaoShu
Appetite
Coin Thief

2007

2008

Jahlav

MacSweep

Botnet : rseau dordinateurs connects utiliss pour mener des attaques


19

1.6 De nombreuses normes de scurit


A raison dun monde de plus en plus connect, de lexploitation massive des vulnrabilits, dun
cybercrime de plus en plus puissant et dun Windows morcel par les attaques, de nombreuses
normes de scurit ont vu le jour au fil des annes. Apparues suite un besoin manant des
entreprises, celles-ci permettent de mieux les guider dans la mise en uvre de leur stratgie de
scurit.

1.6.1 Panorama
Il existe un grand nombre de mthodes, normes, rfrentiels et modles dont il convient de clarifier
le rle et le cadre dapplication. A titre dinformation, quelques exemples sont fournis :
Normes : document traitant sur un sujet donn en accord avec la rglementation en vigueur :
o ISO 27000
o ISO 9001
o ISO/IEC 12207
o SOX ( Sarbanes et Oxley )

Mthodes : standard reconnu faisant souvent rfrence une norme :


o CRAMM
o EBIOS
o MEHARI
o OCTAVE
o PDCA
Rfrentiels : ensemble de dmarches formalises dans le but dacqurir un savoir-faire
conforme aux objectifs :
o CMMI
o COBIT
o ITIL v3
o PRINCE2
Modle : outil qui grce ses caractristiques permet dappuyer ou dargumenter la stratgie
soutenue :
o Ishikawa
o Chane de la valeur
o 5S
o SWOT

20

1.6.2 Dmarche de scurit en entreprise


Avant dinitier une dmarche de scurisation de ses systmes dinformation, il est ncessaire pour
une entreprise dindiquer les motivations qui la conduise entreprendre cette dcision. Les risques
auxquelles elle sexpose au quotidien, les activits quelle
exerce et la valeur du patrimoine qui la compose sont
considrs cet gard comme des moteurs suffisamment
importants pour amorcer cette dmarche. Suite cela, son
niveau de maturit sera valu afin de mesurer lampleur des
actions entreprendre. Cette tape est gnralement
soutenue par une analyse de risques confronte un audit du
systme dinformation. La pyramide droite prsente cette
approche top down o, partir du mtier et des activits
qualifies de critiques, il est possible den obtenir les actifs
critiques.
Dune extrme importance pour lentreprise, ces actifs doivent faire lobjet dune tude approfondie
afin dattnuer ou supprimer leur niveau de criticit. Les lments du systme dinformation, de par
leur rle primordial au sein des entreprises actuelles, font partie de ces actifs. Pour mieux
saccompagner dans cette dmarche, les entreprises sappuient alors sur la norme ISO 27000 qui
fournit au travers dune approche oriente processus, un modle de gestion de la scurit de
linformation dit SMSIa. Laboutissement de cette dmarche conduit ensuite lentreprise dcliner
des exigences techniques et organisationnelles permettant de saccorder aux exigences de cette
norme. Le schma de la page suivante rsume le processus dadoption dune stratgie de scurit :

Stratgie dentreprise
Dfinition dun
primtre

Besoin

Analyse du SI
Etude de maturit
Audit et test
dintrusion

Identification des
risques
Risques avrs

Exigences
Exigences techniques
Exigences
organisationnelles

Risques

Catalogue technique
Application des
mesures

Action

La norme ISO 27000 peut tre dcompose dans les normes suivantes :
27001 : dfinit les conditions la mise en uvre du SMSI
27002 : code de bonnes pratiques pour la scurit de linformation. Il sagit en ralit dune
volution de la norme ISO/CEI 17799:2005.
27003 : fournit une approche oriente processus pour la russite de la mise en uvre du SMSI
27004 : permet de mesurer le niveau defficacit du SMSI ainsi que celui de la scurit de
lentreprise concerne

SMSI ( Systme de management de la scurit de linformation )


21

27005 : mthode de gestion des risques en scurit de linformation qui selon le CLUSIF, tait
utilise par 35% des entreprises en 2010
27006 : fournit des exigences pour les organismes procdant laudit et la certification des
SMSI
27007 : repose sur la norme ISO 19011 fixant les lignes conductrices pour laudit des systmes
de management de la qualit et du management environnemental

Le schma ci-dessous prsente les diffrents composants de la norme ISO 27002 (versions 2005 et
2013) qui fera office dune rflexion par la suite :

22

2. Problmatique
La prsence de vulnrabilits associe la hausse des attaques informatiques est un constat
quaucune entreprise, mme des plus petites, ne peut se permettre dignorer. En France, le cot de
la fuite dinformations est estim 2,55 millions deuros39 en 2013. A ce sujet, la sant, lducation
et la pharmacie sont les secteurs o le cot par attaque est le plus lev40. Par ailleurs, quand on sait
que 52% des entreprises sont sans dfense41 face aux attaques informatiques et que les vecteurs
dintrusion utiliss sont dans 40% des cas des malwares et 29% du social engineering 38, il nest
pas sans dire quil est urgent dagir. Les infrastructures sont certes un lment crucial, mais cest
avant tout lutilisateur quil convient de sensibiliser tant donn que 84% des fuites dinformations
ont t provoques par un salari38, de faon dlibre ou non. De la mme faon, 76% des intrusions
rseau42 exploitent des informations didentification faibles ou voles (mots de passe, login, etc.)
des employs (cas deBay en mai 201443) ou des prestataires (cas de la socit Comodo en 201144).
Partant de ces constats, les entreprises ont mis en uvre les moyens ncessaires afin renforcer la
scurit de leurs systmes dinformation. A cet gard, la norme ISO 27002 est lheure actuelle la
norme la plus utilise rpondant cette problmatique. Toutefois, on peut admettre que son
utilisation peut prsenter certaines limites, et plus particulirement lors de la mise en place dune
stratgie de scurisation des systmes dexploitation, et dans notre cas, des systmes dexploitation
Windows. La plus srieuse est quelle ne permet pas de dfinir des actions concrtes appliquer aux
systmes selon le contexte de lentreprise. Aussi, il est difficilement concevable dappliquer
lensemble des mesures proscrites sans tre capable dvaluer leur cot et leur capacit lutter
contre les menaces. La seconde limite concerne les cycles de renouvellement de la norme ISO, jugs
beaucoup trop longs pour sadapter au domaine des NTICa. En effet, lavant-dernire norme ISO date
de 2005 et la dernire de 2013, tout en sachant que celle-ci ne prend pas en compte les thmatiques
spcifiques lies au cloud. Ces cycles sont donc beaucoup trop longs pour tenir compte de lvolution
rapide des menaces qui psent sur les systmes dexploitation. Pour terminer, les ressources
humaines et financires ncessaires la mise en place de ces stratgies peuvent constituer un frein
potentiel leur adoption. Cette problmatique peut sembler bnigne pour de grandes entreprises,
mais elle ne lest point pour des PME o les budgets sont assez restreints. Or rappelons que toutes
les entreprises, peu importe leur taille, se doivent aujourdhui dtre concernes par la scurit de
leurs systmes dinformation.
On peut alors sinterroger sur la capacit de ces normes faciliter lapplication dune stratgie de
scurit relative au systme dinformation et, dans notre cas, relative aux systmes dexploitation
Windows. Do la problmatique suivante :

Les recommandations de scurit de la norme ISO 27002 destination


des systmes dexploitation (Windows) sont-elles toujours adaptes face
lvolution perptuelle et rapide des menaces ?

NTIC : Nouvelle Technologie de lInformation et de la Communication


23

3. Justification de la problmatique
Outre le fait de remettre en question lefficacit des politiques de scurit prsentes dans la norme
ISO 27002, le paragraphe prcdent soulve dautres problmes quil est possible de qualifier
darrire-plans . Issus principalement de retours dexpriences, ces derniers viennent justifier et
complter la problmatique voque afin doffrir une rponse plus complte et plus pragmatique.

3.1 Des recommandations noyes dans la masse


Il existe de nombreux guides de scurisation45 des systmes dexploitation Windows, gnralement
trs bien faits et trs complets. Toutefois, lexhaustivit des recommandations proposes au sein de
ses ouvrages ne permet pas didentifier les vulnrabilits les plus critiques corriger. De la mme
faon, il est difficile de distinguer les mesures permettant dattnuer de faon rapide et peu coteuse
le niveau dexposition aux risques du systme. Les recommandations proposes ne tiennent par
ailleurs pas compte des ventuels impacts quelles pourraient avoir pour lutilisateur dans lusage
quotidien de son poste de travail. Et il nexiste aucun barme permettant daligner ces
recommandations avec le niveau dexigence impos par les standards de scurit. Enfin, la mise en
place de ces contre-mesures peut dclencher des changements dhabitudes qui, bien que conduisant
une scurit accrue, pourront tre dnigrs ou rejets par les exploitants en raison du changement
trop radical quils imposent.
Un autre point faible de ces recommandations concerne la mconnaissance de leur rle par les
personnes en charge de leur application. En effet, celles-ci sont gnralement livres un
administrateur qui selon son apprhension du sujet les appliquera sans comprendre vraiment leur
impact. A contrario, si les vulnrabilits ncessaires un attaquant sont utilises pour en dduire des
parades adquates, alors on peut estimer que lapplication de ces mesures aura un impact plus
important au regard des DSI mais galement au regard des personnes en charge de les appliquer.

3.2 Des correctifs difficiles appliquer


Un autre vecteur profitant aux attaquants concerne la non-application des correctifs de scurit au
sein des systmes et des logiciels. Cette situation est dautant plus aggrave par la dficience des
stratgies mises en place dont lefficacit et la ractivit laissent dsirer. Lexemple le plus flagrant
concerne lavion de chasse franais Rafale qui a t clou au sol pendant plus dune semaine suite
linfection des machines de contrle par le virus Conficker46. Cette situation aurait pu tre vite
tant donn quun correctif de scurit avait t mis disposition par Microsoft quelques semaines
auparavant et que dune manire gnrale, 78,6% des vulnrabilits ont un correctif le jour de leur
publication47. Les centrales nuclaires iraniennes, indpendamment de la volont politique qui les
accompagne, auraient pu tre pargnes de ce sort si les correctifs proposs par SIEMENS avaient
t appliqus.
Toutefois, il convient de comprendre et didentifier quels sont les lments ou actions constituants
un frein ladoption dune telle stratgie. Un des points capitaux concerne le manque dimportance
accord la mise en place de ces correctifs (Microsoft ou autres). De ce fait, leur application est
souvent considre comme une tche lourde et fastidieuse en raison des actions importantes
quelles requirent. Car appliquer un correctif sur un systme critique en production ne peut
malheureusement pas seffectuer en quelques clics. Il faut en effet :
24

1.
2.
3.
4.
5.
6.
7.
8.

Tester le correctif sur un systme quivalent non critique (sil y en a un)


Valider son fonctionnement au travers de tests dfinis au pralable
Basculer la production sur le serveur de secours (sil y en a un)
Valider que cet environnement fonctionne correctement
Appliquer le correctif sur la production
Valider que le systme fonctionne correctement
Rebasculer la production sur le serveur principal
Valider que le systme fonctionne correctement

Autant dire que la lecture de ces lignes suffit effrayer la plupart des administrateurs. Et cela sans
compter la charge de travail mensuelle que ces actions peuvent impliquer. Or il convient de
reconnatre que les cots lis ces mises jour ne sont pas la porte de toutes les entreprises.
Nonobstant, si lon compare le cot rsultant dune fuite de donnes ayant pour origine lexploitation
dune vulnrabilit et celui relatif lapplication des correctifs, les socits pourraient rapidement y
retrouver leur compte. Lexemple le plus frappant concerne la socit Target qui a dj dbours
plus de 200 millions de dollars48 suite une intrusion perptre sur son systme dinformation fin
2013.

3.3 Des tests dintrusion pertinents mais limits


Un des arguments permettant de justifier le renforcement des systmes dexploitation concerne les
tests dintrusions. Dune efficacit redoutable, ils permettent didentifier les ventuels problmes de
scurit prsents au sein des systmes dinformations. Ces tests peuvent tre dclins de trois
faons :
Boite noire : aucune information nest donne lattaquant
Boite grise : lattaquant dispose de quelques informations telles quun identifiant ou une IP
Boite blanche : lattaquant dispose dun accs total au rseau et des informations lui sont
fournies
Les techniques utilises par les testeurs savrent donc un excellent moyen didentifier les SPOFa
et les faiblesses dun systme, tout en les classifiant par gravit. Toutefois, on peut admettre dans
une certaine mesure que ces tests ne rvlent quune partie des faiblesses du systme dinformation.
En effet, les budgets allous par le client ainsi que le nombre de jours consacrs la mission viendront
indirectement limiter le primtre tudier et les rsultats obtenus. Pour terminer, la capacit dun
testeur identifier des vulnrabilits ngalera jamais la dtermination et la rage dune organisation
de pirates disposant de ressources et de moyens quasi illimits pour mener bien leur attaque.

SPOF ( Single Point of Failure ) : point de cassure unique pouvant entraner une panne total sur
le systme concern
25

4. Concept
4.1 Les systmes ne sont jamais srs
A lheure dentamer une rflexion concernant le renforcement de la scurit des systmes
dexploitation Windows apparat la question suivante : ces systmes ne sont-ils pas censs tre dj
srs ? Le premier concept ici abord est alors trs simple et revient saccorder que tous les systmes
dexploitation, aprs leur installation et leur intgration un systme dentreprise, ne sont pas srs.

Aucun systme, mme des plus fiables, ne doit tre considr comme sr.
Tous doivent faire ltat dun renforcement de scurit mesur et cela ds
les premires phases de leur intgration ou de leur dveloppement.
Pour mieux comprendre cette affirmation, il convient de partir du principe que lensemble des
systmes dexploitation Windows sont livrs tels quels, sans quaucun durcissement ne soit appliqu.
Ce choix peut sexpliquer par plusieurs raisons. :
La premire est que la scurit est souvent considre comme une tche lourde et
fastidieuse, en particulier pour les utilisateurs finaux. De ce fait, les diteurs prfrent
dlguer cette tche lentreprise afin quelle ladapte au niveau de scurit impos par son
organisation.
La seconde raison concerne un problme de rtrocompatibilit. En effet, les rcents
mcanismes de scurit apparus au fils des annes nassurent malheureusement pas une
compatibilit avec les anciens systmes dexploitation tels que Windows 2000, 2003 ou XP.
De ce fait, un grand nombre de ces mcanismes ne sont pas activs sur les systmes
dexploitation rcents, les exposant alors des menaces inutiles.
La troisime raison concerne la prsence inluctable de vulnrabilits constate dans la
premire partie. Il revient alors aux organisations de mettre en place les moyens
organisationnels et techniques afin de limiter leur exploitation.
La quatrime et dernire raison concerne la prsence de fonctionnalits ddies aux
particuliers au sein de ces systmes. Malgr leur grande utilit, elles savrent un vritable
flau et vecteur dattaque potentiel pour les entreprises. Il convient donc aux entreprises de
les dsactiver ds lintgration au systme dinformation.
Cest donc pour toutes ces raisons que les mcanismes de scurit fournis avec Windows ne sont pas
tous activs, ni renforcs, ni configurs. De ce fait, de nombreuses entreprises intgrent ces systmes
au sein de leur systme dinformation sans y attacher la moindre considration de scurit. Et cest
gnralement suite une attaque ou des tests dintrusion que celles-ci adopteront un
comportement plus ou moins favorable lintgration de la scurit. Mais dans de nombreux cas il
est dj trop tard : trop dapplications utilisent des protocoles abandonns, trop de changements
sont ncessaires pour rajuster la scurit du SI un niveau qualifi de satisfaisant, et le cot total
de ces changements est jug trop onreux pour justifier une demande de budgets supplmentaires
(sans compter les nombreuses coupes budgtaires provoques par le contexte conomique actuel).

26

4.2 La scurit ds la conception pour rduire les cots


Partant de ce constat, on peut affirmer que les cots de mise en place dune stratgie de scurit
seront moindres sils sont instruits ds les premires phases de sa conception. Pour mieux
comprendre cette situation, on peut associer la mise en place dune stratgie de scurit la
construction dune maison aux murs et aux fentres renforcs. Si les contraintes de scurit sont
voques avant sa construction, larchitecte sera plus mme dy apporter des solutions adaptes
au besoin voqu, mme si des cots dtude seront ncessaires. En revanche, si la maison est
construite et que par la suite des renforcements de scurit y sont intgrs, alors lefficacit des
mesures entreprises ne sera pas aussi efficace et les cots associs ce remaniement seront bien
plus levs. Il faudra en effet renforcer les fondations, rajouter du ciment, mettre des barreaux aux
fentres, etc. Et tout ceci au risque de dstabiliser la structure existante et les personnes qui sy
trouvent.
Ds lors, si la scurit est amene pendant les phases de conception, les analyses de risques
confrontes aux tests dintrusion permettront didentifier des menaces qui nauraient pas t
dtectes en raison dun niveau de scurit trop faible. Celles-ci seraient donc passes au travers des
mailles du filet sans que personne ne sen rende compte, offrant ainsi aux attaquants dautres
possibilits pour mener bien leur attaque. Dune manire gnrale, cette dmarche permettrait de
rduire les cots dapplication de ces stratgies tout en favorisant une dmarche globale de scurit
inne dans lentreprise et ses projets.

4.3 Simplifier le processus de mise en place


Pour intgrer la scurit ds les phases de conception, il convient de simplifier et courter au
maximum les diffrentes tapes de la stratgie propose. Celle-ci peut tre dcompose en quatre
parties :
1. Constat : point de dpart de la stratgie, ce dernier sinspire des problmatiques constates
jusquici pour amener la scurit au premier rang
2. Etude des menaces : pierre angulaire de cette stratgie, elle doit permettre ltude des
techniques dattaques utilises par les pirates informatiques ainsi que de leurs contremesures respectives. Un exemple illustrant cette dmarche sera prsent au point 5.4
3. Analyse : partie nvralgique de la stratgie, elle permet de mesurer la capacit dattnuation
des contre-mesures en utilisant des critres tels que le cot de mis en place, limpact
utilisateur, lapport en scurit, etc. Elle se base par ailleurs sur le paradoxe des anniversaires
pour dfinir un juste nombre de contre-mesures mettre en place. Cette approche sera
prsente au point 4.4
4. Actions : partir des mesures dfinies dans la phase danalyse, il sagit de dresser un
catalogue des actions correctives mener pour ensuite les appliquer sur les systmes
dexploitation
5. Analyse du systme dinformation : cette phase permet denchaner sur lanalyse des risques
et les autres phases prsentes au point 1.6.2

27

Ces cinq tapes sont prsentes dans le schma ci-dessous :

Attaques
informatiques
Systmes non scuriss
Patrimoine
informatique critique

Etude
Etude des scnarios
d'attaque
Etude des contremesures

Constat

Cots des contremesures


Paradoxe des
anniversaires

Actions
Catalogue
technique
Application des
contre-mesures

Analyse

Etude de maturit
Audit et test
dintrusion

Analyse du SI

4.4 Une approche mesure par le paradoxe des anniversaires


4.4.1 Approche par le paradoxe des anniversaires
Le second concept de cette thse revient saccorder quen connaissant les vecteurs et les
techniques dattaques des pirates, il est possible de rduire la probabilit que celles-ci aboutissent.
Cette considration prend encore plus de sens dans la mesure o ces techniques sont aujourdhui
connues des socits de scurit et quelles sont largement documentes et dfinies selon le
domaine dactivit de lentreprise3. Dans cette mesure, on peut affirmer quen augmentant les
mcanismes de scurit non activs au sein de Windows, il est possible de rduire la probabilit de
russite des attaques.
Pour justifier cette affirmation, une approche mathmatique base sur le paradoxe des anniversaires
de Richard von Mises peut tre utilise en numrant la question suivante : combien de personnes
dois-je runir dans une seule et mme pice pour en obtenir une paire ne le mme jour ? Sans
entrer dans des justifications mathmatiques qui sortiraient du cadre de cette thse, le plus simple
pour obtenir le rsultat annonc est de calculer la probabilit que chaque personne ait un jour
danniversaire diffrent de celui des autres. En transposant cette affirmation dans notre contexte,
cela reviendrait exprimer la question suivante : combien de mcanismes de scurit dois-je mettre
en place pour en trouver un qui puisse bloquer une attaque ? Ce qui revient galement affirmer
que le plus simple pour empcher une attaque de russir est de calculer la probabilit que chaque
contre-mesure ait la possibilit de bloquer une attaque diffrente de celle cible.

4.4.2 Calcul de probabilit


En se basant sur ce paradoxe et en dfinissant les paramtres ci-dessous, il est possible de tracer le

graphique de la page suivante (tableau en annexe 2) :


Un nombre dattaques X
Un nombre de contre-mesures X
Une probabilit Y mesure de 1 100
Un panel dattaques identifies n gal 200

28

Probabilit qu'une attaque soit bloque


par une contre-mesure
Probabilit de succs des contre-mesure

Probabilit d'chec des attaques

120
100
80
60
40
20

1
4
7
10
13
16
19
22
25
28
31
34
37
40
43
46
49
52
55
58
61
64
67
70
73
76
79
82
85
88
91
94
97
100

La lecture de ces courbes permet les deux interprtations suivantes :


En augmentant le nombre de contre-mesures X , jaugmente la probabilit dchec des
attaques
En augmentant le nombre dattaques X , je diminue la probabilit de succs des contremesures
Dune manire plus prcise, on peut lire quen activant seulement 18 contre-mesures sur un panel
200 attaques identifies, la probabilit dchec dune de ces attaques sera de 50%. Si le nombre de
contre-mesures passe 31, la probabilit dchec sera de 90%.

4.4.3 Mise en place de la stratgie


Un des principaux freins au renforcement des systmes dexploitation concerne gnralement le cot
financier de lopration. En effet, plus le nombre dattaques est important, plus le nombre de contremesures mettre en place est lev et donc onreux. Quen est-il maintenant si le cot de cette
opration est justifi par lapproche probabiliste du paradoxe des anniversaires ? Pour y rpondre,
nous allons dcouper le graphique de la page suivante en quatre zones distinctes.

29

Mesure du niveau d'investissement


financier idal
Probabilit de succs des contre-mesure

Probabilit d'chec des attaques

120
100
80
60
40

20

1
4
7
10
13
16
19
22
25
28
31
34
37
40
43
46
49
52
55
58
61
64
67
70
73
76
79
82
85
88
91
94
97
100

A partir de ce dcoupage , il est possible de dfinir les quatre zones suivantes :


Zone 1 : zone risque o le nombre dattaques est faible et la probabilit de succs des contremesures leve
Zone 2 : zone peu sre et peu coteuse en raison du faible nombre de contre-mesures quelle
impose et de la faible probabilit dchec des attaques
Zone 3 : zone sre mais coteuse dans la mesure o les contres mesures mises en place
fournissent un niveau de scurit important au dtriment dun prix lev
Zone 4 : zone dangereuse o le nombre dattaques est important et la probabilit de succs
des contre-mesures faible
Parmi ces quatre zones, seule la zone 3 propose une orientation pertinente. Les zones 1 et 4 sont
dangereuses car elles dpendent dun paramtre (nombre dattaques) qui ne peut tre contrl par
lentreprise. Quant la zone 2, son niveau de scurit est trop peu sr. La zone 3 doit donc tre
retenue comme axe de stratgie et adapte selon le budget de lentreprise.

4.4.4 Justification de lapproche


Il est de droit au lecteur de se demander si cette interprtation du paradoxe des anniversaires est
valable ou non dans cette situation. Pour justifier cette interprtation, il faut savoir que ce paradoxe
est couramment utilis pour mener des attaques destination des serveurs DNS. Dan Kaminsky,
auteur de nombreuses failles relatives ce protocole, a dailleurs dmontr lutilisation de ce
paradoxe en menant des attaques par empoisonnement de cache sur des serveurs DNS49. En
simplifiant, il a dmontr quen envoyant des requtes DNS un serveur vulnrable tout en envoyant
un nombre gal de rponses, il tait possible daugmenter la probabilit dempoisonnement du
cache50 . Il en est de mme dans notre approche o pour lenvoi dune ou plusieurs requtes
(attaques), nous envoyons (mettons en place) un nombre mesur de contre-mesures dont lune
dentre-elle permettra de bloquer lattaque vise.
30

4.5 Le temps doit jouer en notre faveur


Le graphique prcdent a dmontr que laugmentation des contre-mesures conduit indniablement
un renforcement de la scurit des systmes dinformations. Malheureusement, rien ngalera
jamais une quipe de pirates informatiques dont la rage, la volont et le comportement proactif quils
ont russi dvelopper par leurs prcdentes expriences, font deux une vritable arme de
destruction massive . Et force est de reconnatre que ces derniers finiront tt ou tard par pntrer
dans le systme au travers dune attaque sappuyant sur des vulnrabilits non relatives aux systmes
Windows, par un prestataire non avis ou via un vecteur dattaque inconnu.
Malgr ce triste constat, le renforcement des systmes Windows permet nanmoins de prolonger les
diffrentes phases qui composent une attaque. De facto, les pirates seront obligs de multiplier les
angles dattaques durant leur opration au dtriment daugmenter le risque de se faire reprer. Pour
profiter au maximum de ce temps qui nous est attribu et pour accrotre les probabilits de dtection
des traces laisses par les attaquants, il conviendra alors de mettre en uvre une stratgie de
rcupration et de corrlation des vnements communment appele SIEM a. A titre
dinformation, les tapes composant une attaque sont prsentes dans le schma ci-dessous :

4.6 Hypothses

Les cots de mise en place dune stratgie de scurit seront moindres sils sont instruits ds
les premires phases de sa conception ou de dveloppement
Les systmes dexploitation sont nativement peu srs et ncessitent un renforcement ds leur
intgration en entreprise
Une approche base sur le paradoxe des anniversaires permet de justifier plus facilement la
mise en place de contre-mesures aux attaques destination des systmes dexploitation

SIEM (Security information and event management) : outil de corrlation des vnements
31

5. Rponse applicable
La rponse formule la suite se base sur les concepts voqus jusquici tout en y incorporant le
facteur humain. En effet, une stratgie de scurit ne peut se limiter une approche purement
technique et ncessite obligatoirement limplication des utilisateurs autour dun processus de
sensibilisation et dorganisation. Elle doit galement reposer sur des logiciels dont le dveloppement
scuris aura pris en compte par les quipes concernes.

5.1 Dveloppement scuris


Comme indiqu au paragraphe 4.2, si la scurit est intgre ds les phases de conception, alors les
systmes seront plus srs et lintgration de la scurit moins coteuse. Le dveloppement des
logiciels et des systmes dexploitation nchappe pas cette rgle et cest pourquoi de nombreux
modles de dveloppement scuris sont aujourdhui proposs sur le march. Les lignes qui suivent
nont pas vocation expliquer comment crire un code sr , sinon de prsenter les principaux
outils permettant daccompagner les entreprises dans cette dmarche.

5.1.1 Un peu dhistoire


Un des premiers modles de dveloppement scuris a t le modle STRIDE . Il a t dvelopp
par Microsoft dans les annes 2000 afin de modliser les menaces selon ces six catgories51 :
Usurpation didentit / Spoofing
Altration des donnes / Tampering
Rpudiation / Repudiation
Fuite dinformations / Information Disclosure
Dnis de service / Denial of Service
Elvation de privilge / Elevation of privilege
Au travers de ces catgories, les dveloppeurs peuvent facilement identifier les menaces qui psent
sur leur code afin dy apporter les corrections adaptes. Toutefois, la relle difficult de mise en place
dun tel modle rside dans la diversit des points de vue mtiers. En effet, un dveloppeur
considrera tout dabord la qualit du code comme un lment primordial en termes de scurit,
tandis quun administrateur rseau et systmes optera pour lutilisation dun pare-feu ou dun SIEM
. Pour harmoniser ces diffrents points de vue, STRIDE sest bas sur les travaux de deux
informaticiens, Jrme SALTZER et Michal SCHROEDER52, ainsi quun de leur plus important
ouvrage The Protection of Information in Computer Systems53 (ou La protection des donnes au
sein des systmes dinformations ) datant de 1975. Ce dernier dfinit huit critres54 principaux
appliquer aux mcanismes de scurit :
Architecture ouverte / Open design
Scurit intgre / Fail-safe defaults/
Moindre privilge / Least privilege
Limitation des usages / Economy of mechanism
Isolation des privilges / Separation of privilege
Mdiation absolue / Complete mediation
Minimum de mcanisme commun / Least common mechanism
Acceptation psychologique / Psychological acceptability
32

5.1.2 Une utilisation limite


De nombreux modles de scurit prcurseurs ont t utiliss chez Microsoft durant les annes 1990
2002. On citera pour cela le modle STRIDE prsent auparavant, le Security Push , la bug
bar ou encore des outils danalyse de code dont le fameux PREfix dIntrinsa. Dune manire
gnrale, leur objectif tait de mettre en place un processus permettant de garantir la scurit des
applications, tant au niveau des tapes de formation des dveloppeurs que des corrections des
vulnrabilits. Toutefois, lutilisation du processus tel quil fut initialement conu prsentait certaines
limites. En effet, dvelopper un logiciel en le soumettant par la suite des amliorations de scurit
ne pouvait saffirmer comme une solution viable. Face des inquitudes grandissantes de la part des
utilisateurs concernant la scurit de leurs systmes, un mmo interne55 de Bill Gates (cofondateur
de Microsoft) datant du 15 janvier 2002 voqua pour la premire fois la notion de TwCa . Celle-ci
conduit lapparition en 2004 dune dmarche connue sous le nom de SDLb.

5.1.3 Larrive du cycle SDL


Le cycle SDL repose sur trois piliers : disponibilit, scurit et vie prive. Sa mise en place est
probablement lun des pas les plus symboliques de Microsoft dans lre de la scurit. Bien plus quun
simple concept, elle a pour objectif dintgrer la scurit ds les premires phases de
dveloppement. Toutefois, force est de reconnatre que le SDL nest autre que laboutissement dune
succession dvnements, rsultant de lvolution des menaces et de la dmocratisation dInternet.
Ce dernier a dailleurs volu au fil des annes afin de sadapter aux besoins des entreprises et
lvolution des menaces. Ses diffrentes volutions sont prsentes au travers de la chronologie cidessous :

Le cycle SDL saffirme donc comme un processus permettant de garantir la scurit du code, tant
durant ses phases de dveloppement que de commercialisation. Dune faon plus concrte, il permet
aux diteurs damliorer la scurit de leurs produits en implmentant des processus rptitifs visant
obtenir et mesurer de faon fiable lamlioration de la scurit. Pour autant, ces procds ne
doivent pas accrotre de faon excessive les cots de dveloppement dun produit. Les retours
dexpriences de Microsoft viennent dailleurs confirmer ce point : un logiciel dvelopp de faon
scurise devra tre soumis moins de correctifs et profitera dune meilleure satisfaction de la part
de ses utilisateurs. En rsum, lapplication du SDL dans le cadre dun dveloppement permet :

a
b

TwC ( Trustworthy computing ) : informatique digne de confiance


SDL ( Security Development Lifecycle ) : cycle de dveloppement scuris
33

Daugmenter la qualit du produit


De rduire les cots des mises jour ou correctifs
Damliorer la perception de lutilisateur
De rduire le nombre de vulnrabilits existantes
De corriger rapidement les failles durant le cycle de dveloppement de lapplication

Dcompos en sept parties cites la suite, le SDL a t utilis pour la premire fois pour le
dveloppement du Service Pack 2 de Windows XP.

Formation

Prrequis

Conception

Implmentation

Contrle

Sortie

Rponse

5.1.4 Outils de modlisation SDL


Loutil est fourni par Microsoft (source) et permet daccompagner les dveloppeurs dans la
conception de leurs logiciels au travers de schma symbolisant les diffrentes actions et changes
effectus au sein du programme. Un module est galement disponible pour Visual Studio afin de
fournir des indicateurs de suivi et de pilotage. Un exemple simplifi de dmarche est prsent cidessous. Un aperu du logiciel est quant lui prsent en page suivante.

Lattaquant peut
russir lire les
messages de
lutilisateur

Lutilisateur na pas
dconnect sa
session

La validation des
donnes nest pas
effectue et entrane
une injection SQL

Forcer une
dconnexion en cas
dinactivit prolonge

Implmenter un
mcanisme de
validation des
donnes

Le cache de
lutilisateur peut
contenir le contenu
des messages

Implmenter un
mcanisme danticache

Si le risque est lev,


utiliser du SSL/TLS

34

5.2 Renforcement des systmes dexploitation Windows


La scurisation des systmes constitue un point important de la stratgie propose. Dans le cas
dinfrastructures Windows connectes un annuaire Active Directory, il est ncessaire deffectuer
dimportants renforcements de scurit. Bien quil en existe de trs nombreux, seul quelques axes
majeurs seront prsents. En effet, il ne sagit pas de lister lensemble des actions effectuer, sinon
de fournir des lments de rponse contribuant faciliter le renforcement de ces systmes.

5.2.1 Protection des accs au systme


Les accs physiques au poste de travail constituent un vecteur dattaque ais si lattaquant dipose
dun accs physique ce dernier. Il convient alors de :
Protger par un mot de passe les accs au BIOS (pour se protger par exemple des attaques
via le logiciel Kon Boot)
Dutiliser un BIOS de type UEFI conjointement au systme de dmarrage scuris propos par
Windows 8 afin dviter les attaques persistantes de bas niveau
De chiffrer le disque dur si des donnes sensibles sont prsentes sur le poste de travail.
Lancienne solution libre de chiffrement TrueCrypt pourra alors tre utilise. La solution de
chiffrement Bitlocker propose par Microsoft permet galement de rpondre ce besoin
Lactivation de lutilisation de pilotes (drivers) signs permet galement de limiter
linstallation de virus

35

5.2.2 Protection des identifiants


La protection des mots de passe doit galement faire lobjet dune attention particulire en raison
de leur importance. De ce fait il est recommand :
Dutiliser des mots de passe avec des caractres alphanumriques et complexes
De dsactiver les fournisseurs de scurit (SSP) dgrads
De ne pas ouvrir de session sur un poste de travail avec un compte membre du groupe
Administrateur du domaine
De supprimer le droit pour les utilisateurs dajouter des ordinateurs dans le domaine. Si cette
action nest pas applique, elle peut entraner de graves problmatiques de scurit en raison
des quantits importantes dinformations et daccs quelle fournit aux attaquants
De renommer et dsactiver par stratgie GPO les comptes prsents par dfaut sur les postes
de travail et les serveurs afin dviter des attaques par numration des identifiants SID

5.2.3 Renforcement des accs distants et du rseau


Toujours raison dun monde de plus en plus connect, les accs distants aux serveurs doivent tre
renforcs. Il convient pour cela :
Dactiver la technologie NLA pour laccs au bureau distance RDP. Cette action permet
dtablir un canal dauthentification scuris entre le client et le serveur afin dviter des
attaques MITM ( Man In the Middle )
De bannir lusage des protocoles tels que Telnet et SNMP v1
De dsactiver lusage des protocoles LM et NTLM et de prfrer le protocole NTLM v2
De dsactiver intgralement le protocole Netbios sur les cartes rseaux afin de rduire les
possibilits dattaques reposant sur ce protocole. Les rgles de pare-feu ci-dessous sont
galement dsactiver :

Enfin, il est recommand dutiliser un antivirus actif et jour.

36

5.3 Sensibilisation des utilisateurs


Bien que cet apart sorte du caractre initial de ce document, les informations quil propose ne
doivent surtout pas tre ngliges. En effet, et comme il la dj t voqu, les utilisateurs sont
placer en centre mme des stratgies de scurit. Utilisant au quotidien les systmes dexploitation
(Windows), ils constituent un vecteur dattaque potentiel et une cible privilgie par les attaquants.
Cest pourquoi toute politique de scurit doit tre obligatoirement accompagne dune campagne
de sensibilisation des utilisateurs.
Un point dextrme importance relatif ce type de campagne concerne le vecteur de sensibilisation
utilis. En effet, selon le secteur dactivit ou la population vise, limpact ne sera pas le mme. Il
conviendra alors dadapter ce vecteur avec les moyens proposs ci-dessous :
Mails : communication des rgles de scurit
Rseaux sociaux dentreprise : communication au travers de canaux innovants
E-learning : mise en place dune campagne de sensibilisation avec un suivi personnalis
Affichage : mise en place de pancarte dans diffrents lieux de lentreprise
Goodies : distribution de petits objets avec des messages courts et percutants
Confrence : mise en avant des problmatiques de scurit en entreprise
Site intranet : communication des rgles gnrales de scurit de manire rgulire ou
ponctuelle
Serious game : jeu de rle o lutilisateur est invit prendre conscience des problmatiques
de scurit
Ateliers : organisation dateliers la sensibilisation par petits groupes
Individuel : sensibilisation dacteurs clefs pour lentreprise avec un coach
Vidos : projection de petits clips de sensibilisation dans des lieux de passage tels que la
caftria, le restaurant dentreprise,
Il convient galement de prendre conscience de la synthse ci-dessous au moment de choisir son
vecteur de sensibilisation :

37

5.4 Rponse proactive aux menaces


Afin de disposer dune attitude proactive face larrive des nouvelles menaces, il convient de mettre
en place les processus de la page suivante :
Sinformer ou sabonner auprs de plateformes de scurit afin de disposer des derniers
vnements de scurit
De mettre en place une stratgie dapplication des mises jour et des correctifs de scurit
Dutiliser les informations remontes par lannexe 1 pour proposer des recommandations
adaptes au moment
Dtudier les vecteurs dattaques utiliss par les attaquants. Une mise en pratique de cette
phase est prsente la suite.

5.4.1 Etude des menaces


La dmarche ci-dessous prsente ltude dune menace (ou plutt dun logiciel malveillant)
dnomme Mimikatz nuisant gravement la scurit des systmes dexploitation Windows. En
accord avec la stratgie propose, ltude des menaces et de leurs contre-mesures doit permettre
de rpondre plus rapidement aux attaques. Les paragraphes qui suivent ont donc pour objectifs
dtudier le comportement de ce logiciel tout en prsentant les risques quil suppose pour le systme
dinformation. Cette dmarche a pour objectifs de :
Prsenter succinctement la menace et ce dont elle est capable
Etudier les diffrentes interactions avec les composants du systme (optionnel en entreprise)
Capitaliser sur les informations rcoltes
Prsenter les recherches effectues sur la plateforme Windows afin de mieux comprendre le
fonctionnement des diffrents mcanismes de scurit
Proposer des contre-mesures adaptes (partie 5.4.1)
Le schma ci-dessous, malheureusement en anglais, prsente un exemple dapproche envisageable.
Une traduction ventuelle pourra tre propose lors de la restitution orale.

38

5.5 Supervision renforce


Comme indiqu au point 4.5, la stratgie propose se doit dtre couronne dun SIEM afin de
rcolter et superviser lensemble des journaux dvnements issus des :
Systmes Windows, Linux, Unix, Mac OS, etc.
Routeurs, commutateurs et tous autres lments relatifs au rseau
Pare-feu, serveurs mandataires (dit proxy ) et autres quipements physiques relatifs la
scurit des flux
Equipements fournissant les services de voix sur IP ( VoiP ), tlphonie et visioconfrence
Baies de stockage et leurs composants (disques durs, contrleurs, etc.)
Il convient de noter que la relle valeur dun tel systme rside non pas dans la quantit
dinformations rcoltes sinon dans la qualit et la pertinence de celles-ci.

Un SIEM nest dutilit seulement si les informations remontes sont


pertinentes et finement slectionnes.
Cest pourquoi ces informations doivent faire lobjet dun choix attentif, tout en tenant compte du
fait quun simple serveur peut gnrer jusqu plusieurs centaines dvnements par jour. La
dmarche adopter est prsente ci-dessous :
Identification
Evnements
Pertinence
Equipement

Audit
Activation des
stratgies
d'audit

Envoi
Transfert des
donnes vers le
SIEM

Traitement
Compression
Marquage
horaire

Corrlation
Corrlation
d'vnements
anormaux

Dans le cas des systmes dexploitation Windows, il sera ncessaire dactiver les mcanismes daudit
au travers des GPOa. Un extrait des options proposes est prsent ci-dessous :

GPO ( Global Policy Objects ) : stratgies de scurit globales utilises au sein de Windows
39

Un extrait des informations remontes suite lactivation de laudit :

Il est en de mme pour le pare-feu Windows o la corrlation dvnements peut savrer


extrmement fructueuse. Lactivation seffectue au travers du panneau de configuration ci-dessous :

Un extrait des informations remontes suite lactivation de laudit sur le pare-feu :


Il existe galement des produits plus sophistiqus offrant des fonctionnalits de supervision
beaucoup plus fines et abouties. On pourra citer :
La pare-feu Active Directory dAorato (source)
La solution de supervision Netwrix Auditor (source)
Le gestionnaire de droits de Varonis (source)

40

CONCLUSION
La mise en application et la dclinaison dune stratgie de renforcement des systmes dexploitation
savre tant bien que mal une tche lourde et coteuse. Nanmoins, les solutions proposes au sein
de cette thse ont permis daborder la scurit sous une vision plus pragmatique. Le premier concept
voqu a consist dmontrer quaucun des systmes ne doit tre considr comme sr lors de son
intgration dans un systme dentreprise. Cest pourquoi le renforcement des systmes
dexploitation doit faire ltat dune considration systmatique mais mesure lors de leur
intgration en entreprise. Le second concept saccorde quant lui rsoudre linvitable
problmatique des cots ncessaires la mise en place dune telle stratgie. Il propose dans un
premier temps linstauration de la scurit ds les phases dintgration ou de dveloppement. Il
fournit dans un deuxime temps une mthode de rponse aux attaques via la mise en place de
contre-mesures adaptes issues dun systme danalyse et de veille.
Dune manire gnrale, la rflexion propose se veut comme une amorce la scurit afin
daccompagner les entreprises dans une dmarche de scurit rapide et efficace. Toutefois, peu
dentre elles sont aujourdhui capables dentamer une telle rflexion dans la mesure o leurs
infrastructures ont t bties sur des fondations trop anciennes dont la mise niveau et les
changements quelle require ne peuvent tre considrs pour des raisons techniques et financires.
Mais si tel est le cas, on est en droit de se demander quel doit tre le facteur ncessaire ladoption
dune stratgie de scurit globale par les entreprises. Les rcents vnements concernant les
socits eBay, Orange ou encore SnapChat devraient alors faciliter linitiation dune telle dmarche.
La rponse globale propose par cette thse se veut donc comme une solution pragmatique, efficace
et peu coteuse pour permettre aux entreprises de rpondre rapidement aux nouvelles menaces
visant les systmes dexploitation Windows ou autres. La pyramide ci-dessous permet de rcapituler
les lments de rponse apports au travers dune approche similaire la pyramide de Maslow. En
dautres termes, si la base nest pas consolide, les couches suprieures seront instables ou
partiellement efficaces.

Supervision
Rponse aux
menaces
Sensibilisation des
utilisateurs
Renforcement mesur des
systmes

Stabilit
Efficacit

Dveloppement scuris
41

ANNEXES
Annexe 1 (extrait du rapport DBIR 2014 de Verizon)

Annexe 2 (mthode de calcul du paradoxe des anniversaires)

p
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

p(n)
1
1,00
0,99
0,98
0,97
0,95
0,93
0,90
0,87
0,83
0,79
0,75
0,71
0,67
0,63
0,58
0,54
0,50
0,45
0,41
0,37
0,34
0,30
0,27
0,24
0,21
0,18
0,16
0,14
0,12
0,10
0,08
0,07
0,06
0,05
0,04
0,03
0,03
0,02
0,02
0,01

1,00
0,99
0,98
0,97
0,95
0,93
0,90
0,87
0,83
0,79
0,75
0,71
0,67
0,63
0,58
0,54
0,50
0,45
0,41
0,37
0,34
0,30
0,27
0,24
0,21
0,18
0,16
0,14
0,12
0,10
0,08
0,07
0,06
0,05
0,04
0,03
0,03
0,02
0,02
0,01
0,01

Probabilit de
succs des contremesures
100
100
99,49748744
98,49751269
97,01262556
95,06262304
92,67411492
89,8799205
86,71831526
83,23215183
79,46788366
75,47452267
71,30256413
67,00291202
62,62583737
58,21999956
53,83155738
49,50339197
45,27445898
41,17928179
37,24759157
33,50411503
29,9685049
26,65540386
23,57462854
20,73145726
18,12700283
15,7586507
13,62054231
11,7040841
9,998463802
8,491157701
7,168414542
6,015704666
5,0181255
4,160757324
3,428965835
2,808650407
2,286439025
1,849832578
1,487302575

Probabilit dchec
des attaques
0
0
0,502512563
1,502487311
2,987374437
4,937376961
7,325885077
10,1200795
13,28168474
16,76784817
20,53211634
24,52547733
28,69743587
32,99708798
37,37416263
41,78000044
46,16844262
50,49660803
54,72554102
58,82071821
62,75240843
66,49588497
70,0314951
73,34459614
76,42537146
79,26854274
81,87299717
84,2413493
86,37945769
88,2959159
90,0015362
91,5088423
92,83158546
93,98429533
94,9818745
95,83924268
96,57103417
97,19134959
97,71356097
98,15016742
98,51269742

Annexe 3 (Evolution des types dattaques outrepassant les mcanismes de scurit de Windows)

REFERENCES BIBLIOGRAPHIQUES

Rapport Observatoire du Numrique 2013


http://www.observatoire-du-numerique.fr/wp-content/uploads/2013/07/2013-07-chiffres-cles-observatoirenumerique.pdf
2

Site iCe/Fevad
http://www.fevad.com/etudes-et-chiffres/indice-du-commerce-electronique-ice-2
3

Rapport Data Breach Investigations Response 2014 de Verizon


http://www.verizonenterprise.com/DBIR/2014/
4

Site Libration
http://www.liberation.fr/medias/2011/04/28/playstation-network-sony-craque-et-confirme-le-hack_731975
5

Site Undernews
https://www.undernews.fr/hacking-hacktivisme/target-pirate-40-millions-de-donnees-personnelles-derobees.html
6

Site Information Is Beautiful


http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
7

Site Le Monde Informatique


http://www.lemondeinformatique.fr/actualites/lire-apple-dell-cisco-et-huawei-mecontents-des-backdoors-installespar-la-nsa-56133.html
8

Rapport Security Development Lifecycle 2004-2010 de Microsoft


http://www.microsoft.com/en-us/download/details.aspx?id=14107
9

Rapport Threat report 2013 de FireEye


http://www2.fireeye.com/rs/fireye/images/fireeye-advanced-threat-report-2013.pdf
10

Site Ioactive
http://www.ioactive.com/news-events/KaminskyEarthlinkPR.html
11

Site Bortzmeyer
http://www.bortzmeyer.org/comment-fonctionne-la-faille-kaminsky.html
12

Site Security affairs


http://securityaffairs.co/wordpress/24646/hacking/dns-protocol-serious-flaw.html
13

Site Cryptography
http://blog.cryptographyengineering.com/2014/04/attack-of-week-triple-handshakes-3shake.html
14

Rapport Panorama de la Cybercriminalit 2013 du CLUSIF


https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2014-Panorama-cybercriminalite-annee-2013Synthese.pdf
15

Site Le Monde
http://www.lemonde.fr/international/article/2013/11/29/vupen-la-pme-francaise-qui-a-travaille-pour-lansa_3522578_3210.html

16

Site Zdnet
http://www.zdnet.fr/actualites/vente-de-failles-vupen-veut-quitter-la-france-et-blame-les-lourdeurs-administratives39810061.htm
17

Site Aorato
http://www.aorato.com/blog/official-welcome-aorato/
18

Rapport State of the internet Q4 2013 dAkamai


http://www.akamai.com/dl/akamai/akamai-soti-q413.pdf?WT.mc_id=soti_Q413
19

Rapport Security Intelligence Report Q4 2013 de Microsoft


http://www.microsoft.com/security/sir/default.aspx
20

Site Silicon
http://www.silicon.fr/contrat-microsoft-defense-open-bar-2017-92249.html
21

Site Linux Voice


http://www.linuxvoice.com/the-big-switch/
22

Site Zdnet
http://www.zdnet.fr/actualites/la-gendarmerie-cas-d-ecole-d-une-migration-a-grande-echelle-vers-les-logiciels-libres39602252.htm
23

Site Silicon
http://www.silicon.fr/toulouse-metropole-adopte-libreoffice-economise-1-million-deuros-95833.html
24

Site Silicon
http://www.silicon.fr/villes-italiennes-larguent-microsoft-lopen-source-96755.html
25

Site Zdnet
http://www.zdnet.fr/actualites/vienne-abandonne-sa-migration-vers-linux-pour-vista-39381572.htm
26

Site Zdnet
http://www.zdnet.fr/actualites/le-ministere-allemand-des-affaires-etrangeres-renonce-a-linux-pour-windows39758499.htm
27

Site Ars Technica


http://arstechnica.com/information-technology/2013/10/the-navys-newest-warship-is-powered-by-linux/
28

Site Linux Gizmos


http://linuxgizmos.com/u-s-military-uav-control-systems-switch-to-linux/
29

Blog LEXSI
http://www.lexsi-leblog.fr/audit/sale-temps-pour-les-bibliotheques-ssl.html
30

Blog LEXSI
http://www.lexsi-leblog.fr/audit/la-vulnerabilite-apple-du-moment.html
31

Site Kulture Geek


http://kulturegeek.fr/news-25657/apres-heartbleed-nouvelles-failles-openssl-font-apparition
32

Site CVE dtails


http://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/cvssscoremin-7/cvssscoremax-7.99/LinuxLinux-Kernel.html

1
Site IT Espresso
http://www.itespresso.fr/openofficeorg-se-separe-oracle-devient-libreoffice-36853.html
33

34

Site Net Market Share


http://www.netmarketshare/
35

Site 01 net
http://www.01net.com/editorial/563178/le-botnet-flashback-met-a-mal-le-sentiment-d-invulnerabilite-sur-mac
36

Site 01 net
http://www.01net.com/editorial/565097/apple-est-en-retard-de-dix-ans-sur-microsoft-en-matiere-de-securite
37

Site Silicon
http://www.silicon.fr/apple-va-changer-la-strategie-de-securite-de-mac-os-x-76258.html
38

Site We live security


http://www.welivesecurity.com/2014/03/21/10-years-of-mac-os-x-malware/
39

Site Symantec
http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20120321_01
40

Rapport Data Breach Investigations Response 2014 de Ponemon


http://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-of-data-breach-global-analysis
41

Site Net Security


http://www.net-security.org/secworld.php?id=16686
42

Rapport Data Breach Investigations Response DBIR 2013 de Verizon


http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf
43

Site Nouvel Obs


http://obsession.nouvelobs.com/high-tech/20140521.OBS7941/ebay-ce-que-l-on-sait-du-piratage.html
44

Site Zdnet
http://www.zdnet.fr/actualites/des-certificats-ssl-frauduleux-de-comodo-autorisent-des-attaques-contre-les-webmails39759360.htm
45

Guide CIS Microsoft


https://benchmarks.cisecurity.org/tools2/windows/CIS_Microsoft_Windows_7_Benchmark_v1.1.0.pdf
46

Site Silicon
http://www.silicon.fr/le-virus-conficker-touche-la-marine-francaise-et-ses-rafales-33931.html
47

Rapport Vulnerability report 2014 de Secunia


http://secunia.com/?action=fetch&filename=secunia_vulnerability_review_2014.pdf
48

Site Cutimes
http://www.cutimes.com/2014/02/26/target-attack-tab-passes-200m
49

Site Computer Science Department of The University of Texas


https://www.cs.utexas.edu/~shmat/shmat_securecomm10.pdf
50

Site Secure Works


http://www.secureworks.com/resources/articles/other_articles/dns-cache-poisoning/
51

Site MSDN Microsoft


http://msdn.microsoft.com/en-us/magazine/cc163519.aspx

52

Site Research Microsoft

http://research.microsoft.com/en-us/people/mds/
53

Ouvrage La protection de linformation


http://www.acsac.org/secshelf/papers/protection_information.pdf
54

Site Crypto Smith


http://www.cryptosmith.com/node/372
55

Site Microsoft
http://www.microsoft.com/en-us/news/features/2012/jan12/gatesmemo.aspx