Académique Documents
Professionnel Documents
Culture Documents
l'information
Daniel Miessler
Publi par :
daniel(at)dmiessler.com
Philippe Latu
philippe.latu(at)inetdoc.net
http://www.inetdoc.net
Rsum
Cet article est une traduction libre d'une page publie sur le blog de Daniel Miessler. Il prsente les concepts de base
en scurit de l'information de faon succincte et image. C'est une excellente introduction au vocabulaire usuel de ce
domaine sensible des technologies de l'information.
1.Meta-information
Copyright et Licence
Copyright (c) 2007 Daniel Miessler
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.2
or any later version published by the Free Software Foundation;
with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled "GNU
Free Documentation License".
Copyright (c) 2007 Daniel Miessler
Permission est accorde de copier, distribuer et/ou modifier ce
document selon les termes de la Licence de Documentation Libre GNU
(GNU Free Documentation License), version 1.1 ou toute version
ultrieure publie par la Free Software Foundation ; sans
Sections Invariables ; sans Texte de Premire de Couverture, et
sans Texte de Quatrime de Couverture. Une copie de
la prsente Licence est incluse dans la section intitule
Licence de Documentation Libre GNU .
Outils de publication
Cet article est crit avec DocBook2 XML sur un systme Debian GNU/Linux3. Il est disponible en version imprimable au format
PDF : infosecconcepts.pdf4.
http://www.docbook.org
http://www.debian.org
http://www.inetdoc.net/pdf/infosecconcepts.pdf
2.3.La terminologie
Maintenant je voudrais revoir quelques termes techniques extrmement importants. Les explications peuvent devenir un
peu acadmiques mais je vais faire de mon mieux pour aller l'essentiel.
Vulnrabilit, Vulnerability
Une vulnrabilit est une faiblesse dans un systme. C'est assez simple comprendre parce que l'on emploie
gnralement ce terme exact dans les avis (advisories) et mme dans les mdias. Comme exemple, on trouve l'avis LSASS
CVE-2004-0894 qui permet un attaquant de prendre le contrle des systmes distance. Quand on applique un correctif
(patch) un systme, on le fait pour supprimer une vulnrabilit.
Menace, Threat
Une menace est un vnement, naturel ou articiel, qui peut endommager un systme. Les types de menaces
comprennent les gens qui essaient de pntrer dans un rseau pour voler des informations, les feux, les tornades,
les inondations, l'ingnierie sociale, les salaris malveillants, etc. Tout ce qui peut endommager les systmes est
essentiellement une menace pour ces systmes. Souvenons nous aussi qu'une menace est habituellement value
comme une probabilit, ou une chance, que cet vnement puisse survenir. Comme exemple, on pourrait prendre la
menace d'utilisation de code malveillant contre une vulnrabilit particulire. S'il n'existe aucun code malveillant connu
dans la nature le niveau de cette menace est assez bas. Mais si un nouveau code malveillant apparat en force dans les
listes de diffusion majeures, le niveau de la menace augmente signicativement.
Risque, Risk
Le risque est peut-tre la plus importante de toutes ces dnitions puisque la mission principale des responsables de
la scurit de l'information est de grer ce risque. L'explication la plus simple que j'ai entendue est que le risque est la
chance de quelque chose de mauvais arrive. C'est un peu trop simpliste et je pense que la meilleure faon d'expliquer
ce terme est d'utiliser deux ou trois formules :
Risk = Threat x Vulnerability
La multiplication est utilise ici pour une raison trs spcique. Ds que l'un des deux termes vaut zro, le rsultat devient
nul. Autrement dit, il n'y a aucun risque s'il n'y a pas de menace ou de vulnrabilit.
2.4.Rflexions personnelles
Dans cette section, je voudrais rassembler une srie d'ides personnelles importantes sur la scurit de l'information.
Nombre d'entre elles ne sont pas des rgles et ne sont que le reet d'une opinion. C'est le genre d'opinion que l'on n'apprend
probablement pas en classe. Heureusement, on peut considrer qu'un bon nombre de spcialistes du domaine est d'accord
avec ces avis.
Le but de la Scurit de L'information est de faire en sorte que la mission principale de l'entreprise soit remplie avec
succs.
Un sentiment de frustration important merge lorsque les professionnels de la scurit de l'information perdent de vue ce
concept cl. La scurit de l'information n'est pas simplement l pour faire bien. Elle doit aider l'entreprise faire son
travail. Si cette mission est de gagner de l'argent, la mission principale du groupe de scurit, son niveau le plus haut, est
de faire que cette socit gagne de l'argent. Pour le dire autrement, la raison d'tre du groupe de scurit est, en premier lieu,
d'empcher que l'entreprise perde de l'argent.
Ce n'est pas une faon trs originale de voir les choses pour ceux qui ont un peu d'exprience dans le monde de la scurit
de l'information ; mais c'est un tat d'esprit adopter pour qui veut durer dans ce domaine. Ce phnomne devient de plus
en plus important avec toutes les socits qui commencent attribuer des primes aux professionnels qui voient la scurit
comme une source d'affaires plutt que comme un exercice purement technique.
L'infrastructure informatique actuelle facilite le piratage.
Alors que la plupart des attaquants les plus qualis peuvent inventer (et inventent) des faons ingnieuses d'introduire des
vulnrabilits dans les systmes, la capacit ncessaire raliser ce que nous observons au quotidien dans le monde de
scurit est essentiellement base sur une architecture terriblement dfectueuse. Qu'il s'agisse de la gestion mmoire, des
langages de programmation ou de la conception d'architectures de scurit compltes ; aucun des lments que nous utilisons
aujourd'hui n'a t conu en prenant les aspects scurit en compte. Tous ces lments ont t conus par des universitaires
pour des universitaires.
Pour employer une analogie, je pense que nous construisons des gratte-ciel avec du bois comme le guano ou le balsa. Les
pirates franchissent rgulirement ces parois en bois et n'avons d'autre solution que de reboucher les trous et prier. Pourquoi ?
Parce que nous essayons de construire des dices hauts quelques dizaines de mtres avec des matriaux beaucoup trop
fragiles. Les bois comme le balsa et le guano font d'excellentes huttes qui rsistent une tempte de pluie occasionnelle et
un choc ou deux. Mais ils ne rsistent pas aux tornades, aux tremblements de terre ou plus particulirement des hooligans
avec des torches.
Pour construire tout a, nous avons besoin d'acier. Aujourd'hui nous n'en avons pas. Nous continuons construire en utilisant
les mmes matriaux anciens. On retrouve les mmes problmes de gestion mmoire qui permettent encore et encore les
dbordements de tampons et les mmes problmes de langage de programmation qui permettent d'crire du code dangereux
plus facilement que du code scuris. Jusqu' ce que nous ayons de nouveaux matriaux pour construire nous subirons
toujours. Il est encore trop facile de faire amber le bois ou d'y percer un trou.
Ainsi, toute analogie mise part, je pense que dans la prochaine dcennie nous verrons l'apparition de nouveaux
modles d'architecture systme ; des modles avec des conditions d'utilisation et d'excution fortement restrictives selon le
paradigme ferm par dfaut. Nous devrions aussi voir apparatre de nouveaux langages de programmation, de nouveaux
environnements de dveloppement (IDE), de nouveaux compilateurs et de nouvelles techniques de gestion mmoire. Le tout
conu partir de zro pour tre sr et robuste.
Avec toutes ces nouveauts, je pense qu' cette poque nous verrons des systmes exposs seuls sur le rseau public pendant
des annes avec peu de chance de compromission. Des attaques russies arriveront toujours, bien sr, mais elles seront
extrmement rares compar aujourd'hui. Les problmes de scurit ne disparatront jamais, nous le savons tous, mais
2.5.Conclusion
Mon espoir est que cette petite collection d'ides sur la scurit de l'information sera utile quelqu'un. Si vous avez des
questions ou des commentaires n'hsitez pas m'envoyer un courrier lectronique <daniel(at)dmiessler.com>. Je suis sr
que j'ai oubli une tonne de trucs qui auraient d tre prsents ici et j'accepterai n'importe quelle rprimande sur ces lignes.
http://dmiessler.com/study/infosecconcepts/
http://fr.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0894
8
http://fr.wikipedia.org/wiki/Dni_de_service
9
http://fr.wikipedia.org/wiki/Zone_dmilitarise_(informatique)
10
http://fr.wikipedia.org/wiki/Gestion_du_risque
11
http://fr.wikipedia.org/wiki/Packet_sniffer
12
http://fr.wikipedia.org/wiki/Pare-feu_(informatique)
13
http://www.portknocking.org/
6
7
14
http://fr.wikipedia.org/wiki/Scurit_par_l'obscurit