Académique Documents
Professionnel Documents
Culture Documents
Securite PDF
Securite PDF
LA SCURIT INFORMATIQUE
3 PROTECTIONS .............................................................................................................10
3.1 FORMATION DES UTILISATEURS..........................................................................................................10
3.2 POSTE DE TRAVAIL..................................................................................................................................10
3.3 ANTIVIRUS .................................................................................................................................................10
3.4 PARE-FEU (FIRE WALL) OU GARDE BARRIRE .......................................................................................11
3.4.1 Architecture classique .........................................................................................................................11
3.4.2 Architecture concentre.......................................................................................................................12
3.4.3 Logiciels ..............................................................................................................................................12
3.4.4 Filtrage de sites ...................................................................................................................................12
3.5 AUTHENTIFICATION ET CRYPTAGE ....................................................................................................13
3.5.1 Cryptage symtrique............................................................................................................................13
3.5.2 Cryptage asymtrique..........................................................................................................................13
3.5.3 Protocoles courants.............................................................................................................................13
3.5.4 PKI (Public Key Infrastructure) .........................................................................................................14
3.6 MESSAGERIES ...........................................................................................................................................14
3.6.1 Attaques ...............................................................................................................................................14
3.6.2 Scurit des messages..........................................................................................................................15
3.6.3 Spamming ............................................................................................................................................15
3.7 DTECTION DINTRUSION......................................................................................................................15
3.7.1 Surveillance du trafic rseau ...............................................................................................................16
3.7.2 Analyse du comportement de lutilisateur ...........................................................................................16
3.7.3 Site pot de miel ..............................................................................................................................16
3.8 O AGIR ......................................................................................................................................................16
3.9 TESTS...........................................................................................................................................................18
3.9.1 Tests de maintenance...........................................................................................................................18
1 PRINCIPES DE LA SCURIT
Du point de vue de la scurit informatique, une menace est une violation potentielle de la
scurit. Cette menace peut-tre accidentelle, intentionnelle (attaque), active ou passive.
En entreprise, cest le rseau local qui est connect Internet. Il est donc indispensable de
contrler les communications entre le rseau interne et l'extrieur. De plus une formation du
personnel est indispensable (rgles de scurit, dontologie, attention aux participations aux
forums qui sont archives ...).
Les problmes de scurit quon peut rencontrer sur un rseau d'entreprise ou sur l'Internet
relvent d'abord de la responsabilit des victimes avant d'tre imputables aux hackers. Une
menace qui a sensiblement augment au cours de ces dernires annes, nous indique la dernire
tude du Computer Security Institute, un institut professionnel de San Francisco qui ralise
chaque anne un sondage auprs des entreprises en collaboration avec le FBI. Dans cette tude,
plus de 40 % des socits interroges ont dclar que des intrus staient introduits dans leurs
systmes depuis l'Internet, 38 % des socits ont dtect des attaques de type dni de service, et
94 % ont t infectes par un virus en 2000.
Dautre part, votre scurit peut dpendre dautres entreprises dont vous pensez, parfois
tort, quelles ont assur leur propre scurit. Alors que le gouvernement et les forces de lordre
cherchent interpeller les intrus, les socits ne se proccupent trop souvent que de relancer leurs
rseaux aprs une attaque. Le secteur priv ne cherche pas savoir qui est responsable, tout ce
qui intresse les entreprises, cest que lattaque cesse. .
2.1 Dfinitions
2.1.1 IP spoofing
Usurpation dadresse IP, on fait croire que la requte provient dune machine
autorise. Une bonne configuration du routeur dentre permet dviter quune machine
extrieure puisse se faire passer pour une machine interne.
2.1.3 Flooding
Raid massif de connexions non termines.
2.1.4 smurf
Saturation de la bande passante.
2.2.1 Virus
Les virus est un excutable qui va excuter des oprations plus ou moins
destructrices sur votre machine. Les virus existent depuis que linformatique est ne et se
propageaient initialement par disquettes de jeux ou logiciels divers... Sur Internet, les virus
peuvent contaminer une machine de plusieurs manires :
Tlchargement de logiciel puis excution de celui-ci sans prcautions,
Ouverture sans prcautions de documents contenant des macros,
Pice jointe de courrier lectronique (excutable, script type vbs),
Ouverture dun courrier au format HTML contenant du javascript exploitant une
faille de scurit du logiciel de courrier (normalement javascript est sans danger).
Exploitation dun bug du logiciel de courrier (effectuer rgulirement les mises
jour).
Les virus peuvent tre trs virulent mais ils cotent aussi beaucoup de temps en mise
en place dantivirus et dans la rparation des dgts causs. On peut malheureusement
trouver facilement des logiciels capables de gnrer des virus et donc permettant des
amateurs (aussi appels crackers) dtaler leur incomptence.
La meilleure parade est lutilisation dun antivirus jour et deffectuer les mises
jour des logiciels (pour viter lexploitation des bugs).
lenvoi massif de courrier lectroniques pour saturer une bote aux lettre (mailbombing). La
meilleure parade est le firewall ou la rpartition des serveurs sur un rseau scuris.
2.2.4 Intrusion
L'intrusion dans un systme informatique a gnralement pour but la ralisation
dune menace et est donc une attaque. Les consquences peuvent tre catastrophiques : vol,
fraude, incident diplomatique, chantage
Le principal moyen pour prvenir les intrusions est le coupe-feu ("firewall"). Il est
efficace contre les frquentes attaques de pirates amateurs, mais dune efficacit toute
relative contre des pirates expriments et bien informs. Une politique de gestion efficace
des accs, des mots de passe et ltude des fichiers log (traces) est complmentaire.
2.3 ESPIONNAGE
DHCP : ce protocole nest pas scuris et un pirate peut fournir une victimes
des paramtres rseau quil contrle. Solution : IP fixe.
ARP : si le pirate est dans le mme sous rseau que la victime et le serveur
(mme si commutateur), il peut envoyer rgulirement des paquets ARP signalant
un changement dadresse MAC aux deux extrmits. Solution : ARP statique.
ICMP : Un routeur peut mettre un ICMP-redirect pour signaler un raccourci, le
pirate peut alors demander de passer par lui. Solution : refuser ICMP-redirect ou
seulement vers des routeurs identifis.
RIP : Le pirate envoie une table de routage un routeur indiquant un chemin
moindre cot et passant par un routeur dont il a le contrle. Solution : nouvelle
version de RIP qui intgre une identification des routeurs de confiance.
DNS : par ID spoofing un pirate peut rpondre le premier la requte de la
victime et par cache poisoning il corrompt le cache dun serveur DNS.
Solution : proxy dans un rseau diffrent des clients, dsactivation de la
rcursivit, vidage du cache DNS rgulier.
Proxy HTTP : Par dfinition un proxy est en situation dhomme du milieu. Une
confiance dans son administrateur est ncessaire de mme quun contrle du
proxy lors de son dpart !
Virus : un virus, ventuellement spcifique la victime et donc indtectable, peut
crire dans le fichier hosts Solution : bloquer les .vbs et .exe
2.3.2 Espiogiciels
Ces logiciels espions sont aussi appels spyware . Ils ne posent pas, priori, de
problme de scurit mais plutt celui du respect de la vie prive.
Plusieurs logiciels connus se permettent de renvoyer vers lditeur des informations
concernant lusage du logiciel mais aussi sur les habitudes ou la configuration de
lutilisateur, et ceci au mpris de la loi informatique et libert . Il sagit souvent de
freewares qui trouvent ainsi une source de revenus mais pas toujours !
Exemples : Real Networks (requte vers lditeur chaque insertion de CD-audio
avec n GUID, adresse mail), CuteFTP
Une liste des programmes suspects et un outil gratuit (Ad-Aware) est disponible sur
www.lavasoft.com .
Logiciel pour supprimer des espions recenss : optout.exe sur //grc.com
2.3.3 Cookies
Un cookies est une chane de caractre quun serveur dpose sur votre disque dur,
via votre navigateur, afin normalement dacclrer ou dautoriser votre prochaine visite.
On trouvera des infos sur les cookies www.epic.org/privacy/internet/cookies
Des logiciels permettant le tri des cookies sont disponibles : cookie crusher sur
www.thelimitsoft.com et cache & cookiewasher sur www.webroot.com
3 PROTECTIONS
On considre gnralement que la majorit des problmes de scurit sont situs entre la
chaise et le clavier ...! ;-)
Discrtion : la sensibilisation des utilisateurs la faible scurit des outils de
communication et limportance de la non divulgation dinformations par ces moyens est
indispensable. En effet il est souvent trop facile dobtenir des mots de passe par tlphone ou par
e-mail en se faisant passer pour un membre important de la socit.
Virus : plusieurs tudes rcentes (2001) montrent que 1/3 des utilisateurs ouvriraient
encore une pice jointe dun courrier nomme i love you et que la moiti ouvriraient une
pice nomme ouvrez-a ou similaire ! Linformation rgulire du personnel est ncessaire,
attention toutefois aux rumeurs (hoax).
Charte : lintrt principal dune charte dentreprise est dobliger les employs lire et
signer un document prcisant leurs droits et devoirs et par la mme de leur faire prendre
conscience de leur responsabilit individuelle.
3.3 ANTIVIRUS
Principale cause de dsagrment en entreprise, les virus peuvent tre combattus plusieurs
niveaux.
La plupart des antivirus sont bass sur lanalyse de signature des fichiers, la base des
signatures doit donc tre trs rgulirement mise jour sur le site de lditeur (des procdures
automatiques sont gnralement possibles).
Deux modes de protection :
Gnralisation de lantivirus sur toutes les machines, il faut absolument prvoir une
mise jour automatique de tous les postes via le rseau.
Mise en place dun antivirus sur les points dentre/sortie de donnes du rseau aprs
avoir parfaitement identifis tous ces points. La rigueur de tout le personnel pour les
procdures doit tre acquise.
Messagerie : la plupart des virus actuels utilisent ce vecteur de transmission. Les vers
sinstallent et sexcutent sans lintervention de lutilisateur (excutable ouvert
automatiquement, exploitation dune faille du logiciel de messagerie). La protection
contre les virus en provenance de la messagerie doit tre effectue, non pas au niveau du
poste de travail, mais du serveur. Ainsi certains antivirus agissent au niveau du coupe-
feu, les deux outils cooprant via le protocole CVP (Content Vectoring Protocol) qui
normalise leur communication. Les clients de messagerie de Microsoft sont victimes de
leurs enrichissements en recourant Word ou au HTML pour diter le message, ils
rendent possible lexcution de macrovirus. La parade la plus simple consiste
nutiliser ces clients de messagerie quen mode texte.
Attention, la mise en place dun antivirus sur le firewall nest daucun secours en cas de
fichiers crypts !
3.4.3 Logiciels
Par scurit on dsactivera tous les services inutiles (TELNET, ...) et on fermera tous
les ports TCP/UDP inutiliss (ex TCP 139=Netbios pour partage de dossiers ! ...) (Un outil
de protection personnel gratuit zonealarm est propos par www.zonelabs.com ou
bien kerio personnal chez www.kerio.com ) En logiciel libre on utilisera Ipchain
(noyau Linux) ou Netfilter (similaire au produit de checkpoint). Pour ceux qui tournent
sous MacOS, il en existe aussi quelques uns dont Netbarrier (intego.com) et
DoorStop (opendoor.com).
Dans certains sites on place les serveurs lis aux services Internet dans une zone
dmilitarise (DMZ), les accs en provenance dInternet ne peuvent voir que ces
machines et les utilisateurs de lentreprise doivent passer par les machines de la DMZ pour
accder Internet.
Au niveau rseau local, un programme correctement crit (sniffer) peut quand mme
observer le trafic et saisir noms et mots de passe qui circuleraient sur le rseau diffusion
(Ethernet via Hubs) !
Dans le domaine commercial, les logiciels firewall les plus rputs sont VPN1 de
checkpoint et e-trust de Computer Associates. Il existe aussi des botiers tout compris
du type firebox de Watchguard ou Instagate de Techniland.
"Nom + mot de passe + date" sont crypts avec des cls publiques et prives (RFC 1510).
Le cryptage de la date vite la rutilisation ventuelle du message par un pirate. Par le cryptage
on peut identifier de manire sre l'utilisateur connect. Pour viter lespionnage, la modification
du contenu, lajout de message... on pourra utiliser la signature lectronique (CRC crypt en fin
de message) ou crypter toute linformation.
Les infrastructures PKI (Public Key Infrastructure) devraient se dvelopper. Pour linstant,
le protocole SSL (Secure Socket Layer) domine toujours largement le march de
lauthentification sur les sites marchands. Radius, Tacacs ou IPSec (qui comporte un processus
dauthentification dans son en-tte) constituent encore la solution retenue par la majorit des
entreprises.
SSL (Secure Socket Layer) de Netscape est le protocole le plus rpandu pour tablir une
connexion scurise entre client et serveur. Il est situ entre les couches TCP et HTTP.
Ce protocole public utilise une cl de 40 bits (version dexportation) avec lalgorithme
RSA pour chiffrer toute la transaction. Ce protocole ne peut garantir lidentit de
linterlocuteur !
SET (Secure Electronic Transaction) : est la convergence des deux procdures de
scurisation STT (Secure Transaction Technology) de Visa et Microsoft et SEPP
(Secure Electronic Payment Protocol) de Mastercard, IBM et Netscape. Il permet de
scuriser les transactions par cartes bancaires (chiffrement par cls publiques/prives et
authentification des parties).
C-SET (Chip Secure Electronic Transaction) : est ladaptation du protocole SET la carte
puce franaise.
S/MIME (Secure Multipurpose Internet Mail Extension) est le protocole le mieux accept
pour la scurisation des courriers lectroniques.
PGP (Pretty Good Privacy) :. Le cryptage de toute l'information par une cl publique
ncessitant un temps de calcul lev, PGP (www.pgpi.com ) utilise une technique
plus rapide : Le document est compress (pour viter les redondances) puis crypt avec
une cl de session alatoire (cryptage rapide), seule la cl de session est crypte par la
cl publique du destinataire et ajoute au document. Le destinataire utilise sa cl prive
pour dcrypter la cl de session et peut ainsi dcrypter le document et le dcompresser.
3.6 MESSAGERIES
Les messageries sont trs utilises et posent quelques problmes de scurit particuliers. De
plus la majorit des virus utilisent actuellement ce vecteur.
3.6.1 Attaques
Spamming et mailbombing sont deux techniques, rprouves par la Ntiquette, qui
prennent pour cible votre bote aux lettres, et peuvent vous faire perdre du temps, voire des
donnes.
Sont notamment considrs comme tant des actes de spamming :
le fait dcrire un inconnu pour lui demander par exemple de venir visiter votre
site web;
le fait dinclure un individu dans une liste de diffusion sans son consentement;
le fait de diffuser des messages sur un forum de discussion qui soient sans rapport
avec le thme ou le contenu de ce dernier.
3.6.3 Spamming
On appelle spam la diffusion en masse de messages, publicitaires gnralement,
non dsirs par les destinataires. Originellement spam dsigne du jambon en conserve
de basse qualit (Shoulder of Pork and hAM).
Il est souvent inutile de rpondre rageusement lmetteur car il a souvent disparu.
Pour ventuellement retrouver le FAI metteur on pluchera lentte du message ou on
consultera spamcop.net . Ladresse abuse@nom_du_fai.com doit exister et pourra
servir alerter le FAI. Les adresse utilises dans les forums sont souvent exploites pour du
spam, il pourra tre judicieux dutiliser alors une adresse provisoire (chez
www.spammotel.com par exemple).
ATTENTION : Un serveur SMTP ne devrait jamais tre laiss en open relay car
il est alors ouvert et cette configuration est facilement dtectable. Les spammer
pourront alors lutiliser votre insu et vous risquez dtre boycott par les autres sites !
Collectif anti spam www.cspam.org
Les serveurs envoyant du spam sont rpertoris par www.mail-abuse.org .
DSBL (Distributed Sender Boycott List) liste des serveurs SMTP ouverts
www.dsbl.org
www.mailwasher.net dite un logiciel qui bloque les spam avant
tlchargement et envoie automatiquement un message derreur lexpditeur.
l'entreprise des attaques externes, ces systmes sont galement capables de dtecter le pirate
interne qui reprsente encore entre 70 80% des actes de malveillance auxquels sont confrontes
les socits. Il existe deux catgories doutils sur le march : la premire analyse le trafic rseau,
la seconde tudie le comportement des utilisateurs au niveau dun systme ou dune application.
Dans tous les cas, des ressources humaines devront tre affectes la supervision des
systmes de dtection dintrusion pour grer les alertes, mais aussi pour dtecter ce que les outils
nauront peut-tre pas vu. Coteuses, ces ressources freineraient aujourd'hui les entreprises dans
ladoption de ces solutions.
3.8 O AGIR
Exemple sur un rseau avec routeurs Unix (source J-L Archimbaud / UREC)
3.9 TESTS
ISS (Internet Security System) : Logiciel public, historiquement, ISS, avec son outil
Internet Scanner, disposait de la base de signatures la plus riche. Depuis, il ne cesse
de perdre du terrain. La solution d'ISS se compose de trois modules : Internet Scanner
(logiciel test), System Scanner et Database Scanner, ils dtectent respectivement les
vulnrabilits rseaux, systmes et applicatives (bases de donnes) www.iss.net .
Nessus freeware rcent de test dintrusion (www.nessus.org ).
NetRecon (Axent Technology) : scanner classique (install sur un poste).
Security Analyzer (Web trend) : WebTrends a opt pour une technologie de type
agents/manager/console. Les agents ne sont pas indispensables au fonctionnement du
produit, mais vivement recommands si l'on souhaite obtenir une valuation
exhaustive. Ces agents sont dploys sur les quipements surveiller
CyberCop Scanner (Network Associates) : Network Associates s'enorgueillit de
proposer une base de signatures rfrenant plus de 730 vulnrabilits avres
Snort : logiciel de dtection dintrusion www.snort.org
4 DOCUMENTATIONS
4.2 Acronymes