Vous êtes sur la page 1sur 82

Introduction la scurit

des systmes d information


G. Florin, S. Natkin
11/03

1- Introduction

Les trois lois de la robotique


(I. Asimov)

Un robot ne peut porter atteinte un tre humain ni en


restant passif, laisser cet tre humain expos au danger

Un robot doit obir aux ordres donns par des tres


humains sauf quand de tels ordres sont en contradiction
avec la premire loi,

Un robot doit protger sa propre existence dans la


mesure ou une telle protection ne s oppose pas la
premire et seconde loi.

La peur des ordinateurs


Importance croissante du rle de la diffusion de l information via des
systmes techniques de plus en plus complexes, dans des domaines de
plus en plus varis.
Longtemps concentr sur les effets possibles dune erreur de
programmation dans le contrle de processus critique (transport,
nergie) [Laprie 95]
Se porte sur le dtournement possible des nouvelles technologies de
linformation et la communication par soit des pirates, soit par un tat
aspirant au meilleur des mondes [IHESI 98].
Souffrons-nous du complexe de Frankenstein ou faut-il craindre avec
raison les effets pervers dune informatisation trop rapide de la
socit?
4

Scurit des systmes


informatiques
Couvre en franais deux domaines:
Les mthodes et moyens mis en oeuvre pour viter
les dfaillances "naturelles" dont les effets ont un
caractre catastrophique (safety)
Les mthodes et moyens mis en oeuvre pour se
protger contre les dfaillances rsultant d'une
action intentionnelle (security)
5

La folie des ordinateurs


Dpression lectronique la plus courante : un refus
clair et dfinitif de faire quoi que ce soit
Dfaillance plus complexe:
faire trop tt ou trop tard ce qu'il devait faire
accomplir des actions diffrentes de celles attendues
(cas de folie grave)

Caractre influenable:
se laisser pervertir par un pirate et dtruire votre
courrier, transformer votre cran en une uvre dart
minimaliste ou inonder la plante de messages
pornographiques.
se soumettre un marchand pour guetter votre insu
vos comportements de consommateurs.
devenir un agent dun tat policier et surveiller vos
communications

Consquences aujourdhui
Dans la majorit des cas assez bnignes
"retaper" deux ou trois fois la mme chose, suite la
"perte d'un fichier".

Domaines d'utilisation de l'informatique o les


tats d'me de nos collaborateurs lectroniques
peuvent avoir des consquences considrables.
la paralysie des serveurs Web,
le vol de sommes considrables,
la faillite d'une entreprise qui ne peut plus facturer, la
cration d'embouteillages monstrueux,
l'chec du tir d'Ariane V
une panne de courant paralysant une mtropole.

Et demain ?
Le dveloppement dapplications qui reposent sur
lauthentification numrique (comme la signature
lectronique) cre une dpendance dont les effets
individuels ou collectifs peuvent tre dsastreux.
Le jour ou les systmes lectroniques ne sauront
plus reconnatre votre carte didentit puce,
existerez vous encore ?
Constatons nouveau que ces vnements peuvent
aussi bien rsulter dune dfaillance ou dun
sabotage.
8

Exemple 1: pilotage automatique


de Maggaly

LE CANTON MOBILE DEFORMABLE

Architecture rpartie

UGTE

UGTE

UGTS

UGTS

ZONE CONTROLEE

10

Ordinateur
dAlice
Rseau local
du prestataire
d'Alice
Onrasegratuit
NAS

DNS

Adresse IP
192.165.28.8

Rseau tlphonique
(commut ou ligne
spcialise)

MIC

R
R

Exemple 2
Utilisation
dInternet

Rseau local
de luniversit
BST

MIC

Ordinateur
support du
serveur de
Bob
Adresse IP
193.78.60.3

11

Internet n'est pas : un rseau


scuritaire
L'accs indus aux informations transmises, la modification de ces
informations, le dguisement, sont relativement aiss
Pourquoi?
- Internet n'est pas contrle par un prestataire central
(Pas de contrle formel des utilisateurs, ni de la nature du trafic)
- Les choix de conception des protocoles utilises (tcp/ip) ne sont
pas orients vers la scurit
12

Domain Name Server


. (Racine)

edu

com

gov

fr

Onrasegratuit

Sun

yale
BST

Bob
IP=193.78.60.3
.

nl

vu

cnam

Baba
IP=163.168.25.3

ens
iie

cs
mailhost
mail

linda
IP=128.37.16.112

village
IP=163.171.128.2

ens

13

Rsolution des noms


serveur racine
serveur .com
serveur .edu
serveur Onrasegratuit.com
serveur BST.edu
Alice.Onrasegratuit.com
14

Scnario dune attaque


Estelle veut tromper Alice sur ladresse de Bob.BST.edu.
elle trouve ladresse IP du serveur de DNS de Onrasegratuit.com .
elle lance elle-mme (avant la premire requte dAlice) une
interrogation sur ce nom sur le serveur de Onrasegratuit.com.
elle attende que celui ci propage sa demande et lintercepte
elle rpond avec une fausse adresse en se faisant passer pour le
serveur de .com.
la rponse, considre comme bonne, est stocke dans la base du
serveur de Onrasegratuit.com.
lorsque Alice fait sa demande le serveur lui donnera la fausse
rponse.
15

L origine des risques


est souvent humaine
Dfaillances des systmes techniques (usure des quipements, panne
catalectique, catastrophes naturelles)
Erreur de conception
Erreur de ralisation
Erreur d exploitation
La ngligence , l inattention
Les fautes relles (violation d une procdure formalise)

Malveillance caractre ludique


Fraude, Vol
Sabotage

16

Quelques statistiques :
cot des sinistres en MFF en 1996 (Clusif)
Accidents
Physiques (incendie, explosion, dgt des eaux)
Pannes
Force majeure
Perte services essentiels (Tlcoms, lectricit)
Total

1630 12,81
1110 8,73
35 0,28
280 2,20
3055 24,02

Erreurs humaines
Utilisation
Conception, Ralisation
Total

800 6,29
1020 8,02
1820 14,31

Malveillances
Vol, vandalisme physique
Fraude non physique
Sabotage
Attaque logique
Divulgation
Autres (copies de logiciels)
Total

240 1,89
2300 18,08
5 0,04
1090 8,57
1100 8,65
3110 24,45
7845 61,67

17
TOTAL

12720

100

La complexit :
quest ce quun systme
informatique normal ?
Impossibilit dune spcification : nous ne savons pas dfinir
exactement ce que nos machines doivent faire ou ne pas
faire
Complexit de lenvironnement (le monde qui interagit avec
le systme)
Les utilisateurs
Les pannes
Les attaques
Complexit des fonctions: les demandes des utilisateurs qui
ne matrisent pas la viabilit et la fragilit intrinsque de
cette expression de besoins.
18

Comment concevoir et
dvelopper quun systme
informatique normal ?
Les limites des possibilits de validation de ces systmes
par rapport ce quils doivent faire et surtout ce qu ils ne
doivent pas faire.
L incapacit d valuer correctement les consquences des
ventuelles dfaillances et donc, a fortiori, des agressions.
L incapacit de vrifier posteriori ce que fait un systme
automatis de traitement de l information.
Nous navons pas encore invent les trois lois de la robotique
qui limiteraient drastiquement leurs comportements
dangereux et nous confions chaque jour des oprations de
plus en plus complexes nos systmes informatiques.
19

Niveaux de gravit et niveaux de


probabilit
Gravit

Criticit

Non
Acceptable

Catastrophique

4
3

Ma
rge

Grave

Majeur

1
Mineur

Frquent

Probable

Rare

Extrmement
Rare

Acceptable
Extrmement
Improbable

Ngligeable

Probabilit
doccurrence
20

De la pratique sociale des


ordinateurs
Un exemple : lusage du courrier
lectronique.
Il ny a pas de pratique sociale dfinie pour
les nouveaux usages de lInternet.
La peur du pilote automatique de mtro est
en grande partie lie un usage
professionnel non matris
21

LE CADRE JURIDIQUE (1)


Validit juridique d'oprations informatiques
Certaines transactions informatiques entranent des obligations lgales de
responsabilit => Elles sont considres comme valides juridiquement
par la loi ou la jurisprudence.
Exemples
Ordres de virement informatique (par exemple deux fois le mme ordre de
paiement doit-tre honor) ou ordre de commande dans le cas d un
contrat de droit priv
Factures lectroniques et comptabilit reconnues par l administration fiscale
Principe et conditions d utilisation de la signature lectronique comme
lment de preuve (position commune arrte par le conseil de l union
europenne le 28 juin 1999)

22

CADRE JURIDIQUE (2)

Loi informatique et libert


La Loi 78_17 du 6/1/1978 Dfinit la constitution et le rle de la CNIL
(Commission Nationale Informatique et Libert)
Une entreprise ou une administration qui traite des fichiers administratifs
nominatifs est responsable relativement la non divulgation des
informations qu'elle gre.

Ncessit de formalits pralables la mise en oeuvre des traitements


automatiss pour la collecte, l'enregistrement et la conservation des
informations nominatives

Exercice du droit d'accs

Dispositions pnales de non respect

23

CADRE JURIDIQUE (3)


Loi no 85-660 du 3/7/1985
Dcrit les rgles relatives aux contrefaons et au droit d'auteur
Par exemple la copie (autre que pour sauvegarde) est punissable de
trois mois deux ans de prison , d'une amende de 6000 12000
Francs.
Loi no 88-19 du 5/1/1988
Loi relative la fraude informatique
Sont passibles de sanctions pnales pouvant atteindre 5 ans de prison,
une amende de 2 millions les faits suivants:
. accs frauduleux aux donnes.
. l'introduction de donnes
. l'entrave au fonctionnement du systme.
24

CADRE JURIDIQUE (4)


Loi relatives lusage de la cryptographie (loi du 19/03/99)
En France l usage de moyens de chiffrement est limit:
Utilisation libre concernant lauthentification et lintgrit et des moyens de
chiffrement clefs de moins de 128 bits (ceux ayant des clefs de plus de 40
bits doivent tre dclars)
Dclaration de commercialisation et dimportation pour les produits de
chiffrement ayant des clefs comprises entre 40 et 128 bits
Demande dautorisation de distribution et d utilisation pour les produits de
chiffrement ayant des clefs de longueur suprieure 128 bits
Demande d autorisation pour l exportation de produit de chiffrement

Auprs du Service Central de Scurit des systmes informatiques


(SCSSI)
25

Conclusion
Il existe donc une probabilit raisonnable de
pouvoir cohabiter et mme collaborer avec
les ordinateurs. Il suffit de prendre le temps
de savoir ce que nous voulons en faire et
comment. Lorsque le problme est bien
pos, les solutions techniques existent dj
souvent et, dans le cas contraire, seront
inventes.
26

2-Politique de scurit

27

NOTION DE POLITIQUE DE SCURIT


D UN SYSTME D INFORMATION
Assurer la scurit ne peut tre dfini et mis en uvre
que relativement des objectifs clairement dfinis:
1) Un primtre dapplication
(qui est concern ou et quand, avec quels moyens)
qui dtermine le systme d'information sur lequel porte la politique.
2) Des rgles dfinissant les actions autorises (les droits)
ou interdites ralises par des hommes sur des hommes ou
des biens matriels ou immatriels.
3) La nature et la force des attaquants ventuels
4) La nature des dfaillances auquel doit tre
capable de rsister une politique
28

POLITIQUES DE ROLES ET NOMINATIVES


DISCRETIONNAIRES ET OBLIGATOIRES

Une politique telle que tous les droits d'une politique sont attribus aux personnes
uniquement en fonction du rle qu'elles jouent dans le systme d'information
(administrateur systme, responsable de scurit, chef comptable) est appele
politique de rle. Une telle politique doit prciser les procdures appliques pour
attribuer un rle une personne.
Une politique telle qu'au moins un droit est attribu une personne intutae
personnae est dite politique nominative.
Une politique de scurit est discrtionnaire si l'entit qui possde un objet tous
les droits pour propager les droits sur cet objet.
Si ce processus de propagation est limit par des rgles gnrales, alors la politique
est dite obligatoire

29

EXEMPLE: PROTECTION DE L ACCS


AU DOCUMENTS (1): HIRARCHIES
Domaines
Secret
Confidentiel
Nuclaire

Chiffre

Missiles

Interne

Non classifie

Nuclaire
civil

Nuclaire
militaire
Ex: Nuc.civil Nuclaire, Non classifi < Interne
30

EXEMPLE: PROTECTION DE L ACCS


AU DOCUMENTS (2): RGLES
Toute personne est habilite certains niveaux dans certains
domaines:
Gnral X:((secret, nuclaire), (confidentiel, chiffre))
Tout document est class par un couple:
Doc A (confidentiel, nuclaire civil)
Doc B (interne,missile)

Pour avoir lire ou crire un document D(a,b)


il faut avoir une habilitation (x, y) avec ax et by.

Le Gnral X peut lire A car nuclaire civil nuclaire et


secret<confidentiel
Il ne peut lire B car il n a aucune habilitation dans un domaine
inclus dans les missiles
31

EXEMPLE: PROTECTION DE L ACCS


AU DOCUMENTS (3): NIVEAU D ATTAQUE

Le niveau d attaque considr est maximal:


Agresseurs spcialistes en espionnage militaire, disposant
de moyens matriels et financiers illimits
La politique doit rester oprationnelle quelle que soit la nature
des dfaillances et erreurs pouvant affecter les systmes physiques
considrs.

32

EXEMPLE: POLITIQUE D ACCS UN SERVEUR


WEB DE DOSSIERS MDICAUX (1)

Identification de tous les acteurs (humain, physique)


pouvant agir sur le systme.
Le personnel d'un hpital classs par units de soin (US),
les mdecins en relation avec l'hpital (M),
l'administrateur du systme (A),
les patients qui ont ou sont soigns l'hpital (P)
le reste de l'humanit.

33

EXEMPLE: POLITIQUE D ACCS UN SERVEUR


WEB DE DOSSIERS MDICAUX (2)

Identification de toutes les ressources sur lequel une action peut porter:
les pices des dossiers mdicaux
Des dossiers D,
Une table d'accrditation des mdecins TM
Une table des patients TP
Une table patient/mdecin TPM
Des courriers lectroniques ME

34

EXEMPLE: POLITIQUE D ACCS UN SERVEUR


WEB DE DOSSIERS MDICAUX (3)

les actions possibles sont crer, dtruire, lire, modifier un document, accrditer un
mdecin externe, autoriser l'accs un dossier un mdecin externe. Les droits
donns sont, par exemple:
Un droit illimit d'accs des dossiers par les membres du CHU
Un droit d'accrditation d'un mdecin ayant sign la convention accorde par A
(procdure papier)
Un droit de lecture de M D, dossier d'un patient P,
accord par par P et uniquement si M est accrdit (procdure papier)
Un droit de modification sur le serveur de la table l'accrditation d'un mdecin
TM accord un administrateur A ou des membres dsigns d'une units de soins US,
tous membres du CHU.
35

EXEMPLE: POLITIQUE D ACCS UN SERVEUR


WEB DE DOSSIERS MDICAUX (4): NIVEAU
D ATTAQUE
Le niveau d attaque considr est intermdiaire:
Agresseurs utilisant des techniques espionnage civil, disposant
de moyens matriels et financiers importants mais limit
La politique doit rester oprationnelle en prsence de pannes catalectiques
(interruption de services) des systmes physiques impliqus

36

3 Formalisation
des politiques de scurit

37

MATRICE DES DROITS


dfinit chaque instant les droits de chaque utilisateur
sur chaque objet.
crer (cr), lire (lec), modifier (mod), dtruire (dt)
Dossier P 1
US cr, lec,mod,dt
MED 1
lec
MED 2
lec
A
PAT 1
lec
PAT 2

Dossier P 2
cr, lec,mod,dt

TM

cr, mod

TP

TPM

ME
cr, em,lec
cr, em,lec
cr, em,lec

cr, mod cr,dt

lec

38

EOLUTION DE LA MATRICE DES DROITS


La matrice des droits volue en fonction des vnements

suivants:
volution de la population des utilisateurs
cration et destruction des objets
cration et destruction des droits
propagation des droits

39

MODELE DE BELL LAPDULA (1)


H={non classifi, priv, confidentiel, secret} niveaux de classification
non classifi <priv< confidentiel< secret
DOM={domaine, nuclaire, nuclaire civil,
nuclaire militaire, cryptographie, missile...}
Relation d'ordre partiel sur R=HxDOM note de la faon suivante:
h 1 H, h 2 H, d 1 DOM, d 2 DOM (h 1 , d 1 ) (h 2 , d 2 ) h 1 h 2 et d1 d 2

Par exemple (confidentiel, nuclaire civil) (secret, nuclaire)


car nuclaire civil nuclaire et confidentiel < secret
Cette relation dote R d'une structure de treillis:

40

MODELE DE BELL LAPDULA (2)


A chaque personne p est associ un niveau d'habilitation N(p).
N(p) est ensemble d'lments de R deux a deux non comparables
selon la relation et couvrant tous les domaines.
Le gnral X est habilit {(secret, nuclaire),
(confidentiel, chiffre) (missile, non classifi)}.
On note P ={ (p, N(p))}. P constitue les sujets de la politique.
A chaque document d est associ un niveau de classification c(d)R
D ={ (d, c(d))}.D constitue les objets de la politique.
L'tat courant du systme est constitu par (P, D)
41

MODELE DE BELL LAPDULA (3)


Les actions possibles (post conditions) sur un document d sont:
Crer(d, cl): Ajoute D un document d de niveau de classification cl.
Lire(d): lire un document d. Lire ne modifie ni D ni P
Lire+Modifier(d,cl'): Lire et modifier d et lui attribuer
un nouveau niveau de classification cl'.

Ceci revient ter D le couple (d,cl) et ajouter le couple (d,cl').

42

MODELE DE BELL LAPDULA (4)


A tout instant pr conditions qui dterminent les actions possibles
sont donnes par les rgles suivantes:
pP peut Crer(d,cl) si nN(p) tel que cln:
Une personne ne peut crer que des documents d'un niveau
de classification infrieur ou gal un des lments
de son niveau d'habilitation.
pP peut Lire(d) si nN(p) tel que c(d)n:
Une personne ne peut lire que des documents d'un niveau
de classification infrieur ou gal un des lments
de son niveau d'habilitation.
pP peut Lire+Modifier(d,cl') si elle peut Lire(d) et Crer(d,cl').
Par exemple le gnral X peut crer un document classifi
(secret, nuclaire civil), lire un document class (confidentiels, chiffre)
et lire et modifier un document (secret, nuclaire).
Il ne peut faire aucune de ces oprations surun document class (confidentiel, missile).
43

MODELE DE BELL LAPDULA: LA REGLE * (5)


Un gnral T ayant une habilitation comprenant
(nuclaire civil, secret) et (missile, confidentiel)
ouvre en lecture un document d class (missile, confidentiel)
et cre un document d' class (nuclaire civil, secret).
Il recopie tout ou partie de d dans d'.
Le gnral X peut alors lire d' et a donc accs
a des informations qui ne lui taient pas destines.
Il faut donc rajouter la rgle suivante:
Si pP peut Crer(d,cl') ou Lire+Modifier(d,cl') et Lire(d)
alors on doit avoir c(d) cl'. Autrement dit a partir d'un document
que p peut lire il ne peut que crer ou modifier
des documents de classification suprieure.
44

MODELE DE BELL LAPDULA (6)

Cette spcification comporte une lacune:


la procdure d'habilitation n'est pas dcrite (P est invariant).
Elle possde un dfaut qui est lie la granularit de la notion
de document:Elle conduit sur classifier tous les documents.

45

Numro de paragraphe
P0
P1
P2
P3
P4

Titre
Sommaire
Autant en emporte le vent
Quelle est verte ma valle
Hiroshima mon amour
Remerciements

Classification
(confidentiel, domaine)
(secret, missile)
(secret, nuclaire civil)
(confidentiel, nuclaire militaire)
(non classifi, domaine)

Le document total est class (secret, domaine). Un document compos de P2,P3 est class
(secret, nuclaire).

46

4- Proprits de scurit

47

TERMINOLOGIE: AUTHENTIFICATION

C'est la proprit qui assure la reconnaissance sre de l identit d une


entit
L'authentification protge de l'usurpation d'identit.
Signature (au sens classique) = Authentification:
La premire ide contenue dans la notion habituelle de signature est que
le signataire est le seul pouvoir raliser le graphisme (caractrisation psychomotrice)

Entits authentifier:
- une personne
- un programme qui s excute (processus)
- une machine dans un rseau

48

TERMINOLOGIE: NON REPUDIATION


C'est la proprit qui assure que l'auteur d'un acte ne peut ensuite dnier l'avoir effectu.
Signature (au sens habituel) = Authentification+Non rpudiation :
La seconde ide contenue dans la notion habituelle de signature
est que le signataire s'engage honorer sa signature:
engagement contractuel, juridique, il ne peut plus revenir en arrire.
Deux aspects spcifiques de la non rpudiation dans les transactions lectroniques:
a) La preuve d'origine
Un message (une transaction) ne peut tre ni par son metteur.
b) La preuve de rception
Un rcepteur ne peut ultrieurement nier avoir reu un ordre
s'il ne lui a pas plu de l'excuter alors qu'il le devait juridiquement.
49

Excution d'ordre boursier, de commande, ..

TERMINOLOGIE: INTEGRITE

C'est la proprit qui assure qu'une information n'est modifie que


par des entits habilites (selon des contraintes prcises)
Une modification intempestive (mme trs temporaire)
est interdite sur une criture comptable valide
Le code binaires des programmes ne doit pas pouvoir tre
altr
Les messages de l ingnieur systme doivent pouvoir tre
lus et non modifis

50

TERMINOLOGIE: CONFIDENTIALITE

C'est la proprit qui assure qu'une information ne peut tre lue que
par des entits habilites (selon des contraintes prcises)
Un mot de passe ne doit jamais pouvoir tre lu par un autre que son possesseur
Un dossier mdical ne doit pouvoir tre consult que par les malades et le personnel
mdical habilit

51

TERMINOLOGIE: AUDITABILITE

C'est la proprit qui assure la capacit dtecter et enregistrer de faon


infalsifiable les tentatives de violation de la politique de scurit.

52

TERMINOLOGIE: DISPONIBILITE ET FIABILITE

Disponibilit :capacit de rendre un service


correct un instant donn,
Fiabilit :capacit rendre continment un service correct
Relvent de la terminologie de la sret de fonctionnement
On retiendra toutefois que les actions de sabotage
d'un systme visent justement diminuer sa disponibilit ou sa fiabilit.

53

5-Menaces et attaques

54

LES MENACES AYANT POUR OBJECTIF


LE VOL DE DONNEES
Dtournement des donnes
Exemples: espionnage industriel , espionnage commercial,
violations dontologiques

Dtournement des logiciels


Exemple:copies illicites

55

LES MENACES AYANT POUR OBJECTIF


LA FRAUDE OU LE SABOTAGE

Par modification des informations ou des dispositifs techniques et


humains
Exemple : La fraude financire informatique, la destruction des
informations (logique), le sabotage destin rendre inefficaces
certaines fonctions (dni de service)

56

CLASSIFICATION DES ATTAQUES


ATTAQUES VISANT L AUTHENTIFICATION

Dguisement (Mascarade)
Pour rentrer dans un systme on essaye de piger des usagers et
de se faire passer pour quelqu'un d'autre:
Exemple: simulation d'interface systme sur cran,
simulation de terminal carte bancaire

57

CLASSIFICATION DES ATTAQUES


ATTAQUES VISANT L INTEGRITE DES DONNEES

Modification de messages, de donnes


Une personne non autorise, un usager ou mme un agent autoris
s'attribuent des avantages illicites en modifiant un fichier, un message
(le plus souvent cette modification est ralise par programme
et entre dans la catgorie suivante)
Ex modification des donnes sur un serveur Web

58

CLASSIFICATION DES ATTAQUES


ATTAQUES VISANT L INTEGRITE DU FLUX DE
DONNEES
Rptition ("replay")
Espionnage d'une interface, d'une voie de communication
(tlphonique, rseau local) pour capter des oprations
(mme cryptes elles peuvent tre utilisables)
Rptition de l'opration pour obtenir une fraude.
Exemple: Plusieurs fois la mme opration de crdit d'un
compte bancaire.
59

CLASSIFICATION DES ATTAQUES


ATTAQUES VISANT L INTEGRITE DES
PROGRAMMES
Modification des programmes
Les modifications caractre frauduleux
Pour s'attribuer par programme des avantages.
Exemple: virement des centimes sur un compte
Les modifications caractre de sabotage
Pour dtruire avec plus ou moins de motivations
des systmes ou des donnes

60

CLASSIFICATION DES ATTAQUES


ATTAQUES VISANT L INTEGRITE DES
PROGRAMMES (2)

Deux types de modifications

a) Infections informatiques caractre unique


Bombe logique ou cheval de Troie
- Dans un programme normal on introduit un comportement illicite mis en action
par une condition de dclenchement ou trappe
(la condition, le moment ou l'on bascule d'un comportement normal anormal)
Exemples:licenciement de l'auteur du programme

b) Infections auto reproductrices


Il s'agit d'une infection informatique simple (du type prcdent)
qui contient de plus une partie de recopie d'elle mme afin d'en assurer la propagation
Virus : action brutale
Ver :
action lente (dtruisant progressivement
les ressources d'un systmes)
61

QUELQUES CLASSES DE VIRUS


(implantation)

Les virus secteur d amorage


Les virus infection de fichiers
Les macro virus
Les virus furtifs
Les virus polymorphes (mutants)
Les virus rseaux

62

CLASSIFICATION DES ATTAQUES


ATTAQUES VISANT LA CONFIDENTIALITE

Les attaques ayant pour but le vol d'information via


un rseau par espionnage des transmissions de donnes
(espion de ligne, accs aux donnes dans
des routeurs et des serveurs Internet)
Canaux cachs

63

CLASSIFICATION DES ATTAQUES


ATTAQUES VISANT LA CONFIDENTIALITE (2)
Analyse de trafic
On observe le trafic de messages changs pour en dduire des informations
sur les dcisions de quelqu'un.
Exemples:
Bourse : augmentation des transactions sur une place financire.
Militaire : le dbut de concentration entrane un accroissement
de trafic important.
Infrence
On obtient des informations confidentielles partir d'un faisceau
de questions autorises
(et d'un raisonnement visant faire ressortir l'information).
64

CLASSIFICATION DES ATTAQUES


ATTAQUES VISANT LA DISPONIBILITE
(DENI DE SERVICE)
Attaque par violation de protocole
Erreur trs rare en fonctionnement normal et non supportes par le protocole
Attaque par saturation
Envoi de messages trop nombreux provoquant un croulement des systmes
et rseaux

65

6- Mise en uvre
d une politique
de scurit

66

TAPES TYPES DANS L'TABLISSEMENT D'UNE


POLITIQUE DE SCURIT
Dfinition de la politique
Identification des vulnrabilits
. En mode fonctionnement normal (dfinir tous les points faibles)
. En cas d'apparition de dfaillances un systme fragilis
est en gnral vulnrable : c'est dans un de ces moments intermdiaires
qu'une intrusion peut le plus facilement russir
valuation des probabilits associes chacune des menaces
valuation du cot d'une intrusion russie
Choix des contre mesures
valuation des cots des contre mesure
Dcision

67

MOYENS
La ralisation d une politique de scurit rsulte de la mise en uvre
cohrente de:
Moyens physiques (architecture des btiments, systmes de contrle
d accs, destructeurs de documents)
Moyens informatiques
Rgles d organisation et moyens procduraux: rgles de
fonctionnement qui doivent tre respectes

68

CONTRUCTION DEDUCTIVE DES MOYENS


MIS EN OEUVRE
CONFIDENTIALITE DES DOCUMENTS

et
REGLES SUR LES DOCUMENTS
INFORMATIQUES

REGLES SUR LES DOCUMENTS


PAPIERS

et
CONTRLE D ACCES AU
BATIMENT

et
ACCES AUX MOYENS
INFORMATIQUES

CREATION, COPIE,
DESTRUCTION DES
DOCUMENTS

CONTRLE D ACCES AU
BATIMENT

69

COHRENCE DES MOYENS


Les moyens doivent tre complets : dans le cadre des
hypothses considres, quoi quil arrive la politique est respecte
Les moyens doivent tre non contradictoires et raisonnablement
contraignants: Ils ne doivent pas constituer un obstacle la ralisation
des fonctions oprationnelles de l organisation considre (Par
exemple les procdures trop complexes sont souvent contournes)
Les moyens doivent tre homognes par rapport aux risques et aux
attaques considrs: (Par exemple il est inutile de chiffrer tout les
documents informatiques si ils partent en clair dans les poubelles)
Le respect des procdures est un des points essentiels de
l efficacit: Elles doivent donc tre comprises et acceptes par toutes
les personnes concernes.
70

PRINCIPE GENERAUX
DE MISE EN UVRE (1)

Assurer la mise en oeuvre d une politique de scurit consiste


garantir que, chaque instant, toutes les oprations sur les objets
(ressources) ne sont ralisables et ralises que par les entits
(physique ou informatique) habilites.
La base de la ralisation de la scurit sont
le confinement: Lensemble des objets sont maintenus dans des
domaines tanches, l accs ce fait via un guichet protg
le principe du moindre privilge: Pour qu'un systme fonctionne en
scurit il faut donner ses utilisateurs exactement les droits dont il
ont besoin pour s'excuter : ni plus ni moins.

71

PRINCIPE GENERAUX
DE MISE EN UVRE (2)
Tout accs un objet se fait via
un guichet
Pour raliser une opration une
entit se prsente au guichet.
Elle sauthentifie,
Elle authentifie le guichet
(risque de mascarade)
Elle prsente une autorisation
montrant quelle les droits
qu elle a pour raliser
lopration,
Le guichetier contrle que
l autorisation est valide
Lopration est ralise.

SYSTEME
SECURISE

72

PRINCIPES GENERAUX (3)


Pour construire des guichets de contrle informatique il faut:
Pouvoir protger des donnes secrtes qui constituent par exemple
la base de lauthentification ou qui doivent tre tanches en
lecture (Confidentialit)
Protger contre des modifications interdites certaines donnes
accessibles uniquement en lecture ou en excution (code des
oprations) (Intgrit)
Pouvoir authentifier clients et guichets,
Pouvoir garantir que l'excution de l'opration ne peut tre faite que
par le guichetier fait selon sa spcification (Protection)
Pouvoir garantir que les transferts de donnes entre le client sont
protgs en criture ou lecture et criture (intgrit ou
confidentialit
Pouvoir enregistrer de faon non falsifiable toutes les oprations
(non rpudiation)
Pouvoir noter toutes tentatives de fraude (auditabilit)
73

PRINCIPES GENERAUX (4)


Pour pouvoir administrer le systme il faut:

Grer (cration, destruction, nommage) les entits et


les donnes d'authentification de ces entits
Grer (cration, destruction,
nommage)
des
guichets
incontournables
et
les
donnes
d'authentification de ces guichets associs chaque
opration.
Grer (cration, destruction, nommage, propagation)
des droits)

74

EXEMPLE PHYSIQUE
Rgle 1: Seules les personnes membres du personnel ou invites par un
membre du personnel habilit inviter peuvent circuler dans le
btiment.
Moyens pour assurer la rgle:
Guichet toutes les entres
Distribution de badges selon une procdure
Contrle par tous du port des badges

75

EXEMPLE INFORMATIQUE
Rgle 2: Seule les personnes habilites par un administrateur systme
ont accs au systme informatique
Moyens pour assurer la rgle:
Systme d authentification (Login +mot de passe) gr par
l administrateur: (cration et destruction des comptes)
Modification priodique des mots de passe par les utilisateurs
Protection informatique du contrle d accs aux comptes
Audit des tentatives de fraude
.

Contre exemple la rgle du moindre privilge


Un administrateur systme ne devrait pas avoir accs au sens des fichiers
utilisateurs, cest rarement le cas

76

EXEMPLES D ATTAQUES VISANT


AU VOL D'INFORMATIONS CLASSES (1)
Type d'attaque
Description
Rcupration du
contenu des poubelles
Subornation de
personnel

Contre mesure
Destruction de tous les
documents jets

1. Se faire embaucher 1. Contrler (?) les


comme employ
embauches et dvelopper
d'entretien (travail
une prise de conscience des
hors heures
problmes de scurit.
ouvrables).
2. Tous les documents classs
2. Photocopier ou
doivent tre
photographier tous
systmatiquement rangs
les documents
dans des armoires ou des
accessibles ayant un
coffres.
niveau de
3. Contrler priodiquement
classification secret.
l'application de cette
procdure.
77

EXEMPLES D ATTAQUES VISANT


AU VOL D'INFORMATIONS CLASSES (2)
Type d'attaque
Description
Mascarade par accs 1. Rcuprer un mot
un compte privilgi
de passe utilis en
(1)
accs distant par
espionnage de
ligne.
2. Entrer sur un
compte invit en
rseau
3. Copier le fichier
des mots de passe
chiffrs au login
4. Attaque par
dictionnaire du
fichier connaissant
des login privilgis
5. Se connecter sur le
compte privilgi

Contre mesure
1. Pas de connexion Internet
dial up ou connexion via
des lignes protges
2. Utilisation d'un protocole
d'authentification forte avec
authentification par carte.
3. Limitation des services
accessibles distance par
garde barrire
4. Stratgie de gestion des
mots de passe

78

EXEMPLES D ATTAQUES VISANT


AU VOL D'INFORMATIONS CLASSES (3)
Type d'attaque
Mascarade par
accs un
compte
privilgi (2)

Description
Contre mesure
1. Raliser un logiciel pour 1. Recommander la plus
PC qui est extrieurement
grande vigilance aux
un jeu sur PC avec accs
collaborateurs quant
Web et qui par ailleurs
l'installation de logiciels sur
trappe et copie les
leur PC. Ceci concerne
identifiants et mots de
galement les Plug In et les
passe. Variante,
Applets
transformer un jeu
2. Utiliser un Anti Virus
existant en virus.
systmatiquement
2. Offrir ce jeu un
collaborateur un Attendre
que le logiciel prcdent
envoie le mot de passe.
3. Procder comme
prcdemment en 2.
79

EXEMPLES D ATTAQUES VISANT


AU VOL D'INFORMATIONS CLASSES (4)
Type d'attaque
Mascarade par
accs un compte
privilgi (3)

Description
1. Se faire embaucher
comme employ
d'entretien (travail
hors heures
ouvrables).
2. Un soir se logger sur
un terminal
3. Copie du fichier des
mots de passe chiffr
au login
4. Attaque par
dictionnaire du fichier
connaissant des login
privilgis
5. Connexion sur le
compte privilgi

Contre mesure
1. Contrler (?) les
embauches et dvelopper
une prise de conscience des
problmes de scurit.
2. Authentification par carte
ou disquette
3. Mise en place d'une
protection empchant la
copie du fichier des mots
de passe au login
4. Stratgie de gestion des
mots de passe

80

EXEMPLES D ATTAQUES VISANT


AU VOL D'INFORMATIONS CLASSES (5)
Type d'attaque
Description
Contre mesure
Espionnage des 1. Dvelopper ou acheter
1. Utiliser des crans faible
crans par
discrtement une
rayonnement.
rayonnement
machine capter et
2. Interdire l'dition de
lectromagntiq
analyser le rayonnement
documents secrets en
ue
magntique des crans.
dehors de salle protge par
2. L'installer proximit de
une cage de Faraday.
l'tablissement (attention
les antennes sont
voyantes)
3. Installer en permanence
du personnel pour scruter
les crans jusqu' ce que
quelqu'un se dcide
diter un document
intressant.
4. Ou dvelopper un
logiciel de
reconnaissance des
formes et d'analyse de
81
texte.

Bibliographie
http://deptinfo.cnam.fr/Enseignement/DESS/surete/
Les protocoles de scurit de lInternet, S. Natkin, Dunod 2002
La science du secret, J. Stern, Odile Jacob Ed, Paris 1998
Risque et information,Cahiers de la scurit intrieure, IHESI, Paris
1998.
Secrets and Lies, Digital Security in a Networked World, Bruce
Schneier,John Wiley and sons ed, 2000
Guide de la Sret de fonctionnement, J.C Laprie et als : Laboratoire
d'Ingnierie de la Sret de Fonctionnement, CEPADUES
Editions,1995
Sret de Fonctionnement des systmes informatiques, J.C. Geffroy et
Gilles Motet, Intereditions, Dunod, Paris, 1998
Les robots, I. Asimov, Ed Jai lu, Paris 2001
82