Académique Documents
Professionnel Documents
Culture Documents
2) Un processus peut enregistrer une quantité limitée d’information dans son propre espace
d’adressage (virtuel). Problème: espace limité ou mémoire volatile (mémoire
vive/cache/registres) et information accessible à un seul processus.
Securite
Pour que la sécurité fonctionne, il faut que toutes les personnes ayant un accès à une ressource
soient conscient du degré de sécurité associé à la ressource.
Fonctions du SGF
Le système de gestion des fichiers assure plusieurs fonctions :
Manipulation des fichiers : des opérations sont définies pour permettre la manipulation des
fichiers par les programmes d’application, à savoir : créer/détruire des fichiers, insérer,
supprimer et modifier un article dans un fichier.
Allocation de la place sur mémoires secondaires : les fichiers étant de taille différente et cette
taille pouvant être dynamique, le SGF alloue à chaque fichier un nombre variable de granules de
mémoire secondaire de taille fixe (blocs).
Localisation des fichiers : il est nécessaire de pouvoir identifier et retrouver les données ; pour
cela, chaque fichier possède un ensemble d’informations descriptives (nom, adresse…)
regroupées dans une inonde.
Sécurité et contrôle des fichiers : le SGF permet le partage des fichiers par différents
programmes d’applications tout en assurant la sécurité et la confidentialité des données. En effet,
un nom et une clé de protection sont associés à chaque fichier afin de le protéger contre tout
accès non autorisé ou mal intentionné lors du partage des fichiers. Le SGF se doit aussi de
garantir la conservation des fichiers en cas de panne du matériel ou du logiciel. Le SGF assure le
bon fonctionnement du fichier.
Le problème de l’interface consiste à définir l’allure que devrait avoir le SGF pour l’utilisateur.
Cette tâche implique la définition d’un fichier et de ses attributs, des opérations, autorisées sur un
fichier et de la structure de répertoires organisant les fichiers.
Le problème d’implémentation consiste à créer les algorithmes et les structures de données
pour établir la correspondance entre le système logique de fichiers et les dispositifs physiques de
mémoire auxiliaire.
Le SGF lui-même est généralement composé de plusieurs niveaux différents. La figure suivante
donne un exemple d’architecture de SGF :
Programmes d’application
Périphériques
Le niveau inférieur, le contrôle des E/S, est constitué de drivers et des handlers (routines
d’interruption) pour transférer l’information entre la mémoire et le système de disques. On peut
considérer le driver comme un traducteur : ses entrées consistent en des commandes de haut
niveau comme « récupérer le bloc 123 ». ses sorties sont des instructions de bas niveau,
spécifiques au matériel, utilisés par le contrôleur du matériel qui relie le périphérique d’E/S au
reste du système. Le driver écrit généralement des configurations binaires spécifiques dans des
emplacements spéciaux de la mémoire du contrôleur d’E/S afin de lui indiquer sur quel
emplacement du périphérique agir et quelles actions entreprendre.
Le système de fichiers de base doit seulement émettre des commandes génériques pour le driver
approprié afin de lire et d’écrire les blocs physiques sur le disque.
Le module d’organisation de fichiers connaît les fichiers et leurs blocs logiques, ainsi que les
blocs physiques. En connaissant le type d’allocation de fichiers employé et l’emplacement du
fichier, ce module peut traduire les adresses des blocs logiques dans les adresses des blocs
physiques pour que le système de transfert de base les transfère. Les blocs logiques du fichier
sont numérotés de 0 à N, tandis que les blocs physiques contenant ces données ne correspondent
généralement pas aux numéros logiques, il faut donc une traduction pour localiser chaque bloc.
Le module d’organisation de fichiers comprend également le gestionnaire de l’espace libre, qui
suit la piste des blocs disponibles etles fournit au module d’organisation de fichiers quand celui-
ci les demande.
Enfin le système de fichier logique utilise la structure de répertoires pour proposer au module
d’organisation de fichiers l’information dont ce dernier a besoin, pour un nom donné de fichier
logique est également responsable de la protection et de la sécurité.
Pour créer un nouveau fichier, un programme d’application appelle le SGF. Ce dernier connaît le
format de la structure des répertoires. Il lit le répertoire approprié dans la mémoire, l’actualise
avec la nouvelle entrée et le réecrit sur disque. Une fois que le répertoire a été actualisé, le SGF
peut se l’utiliser pour exécuter les E/S.
PROTECTION :
Quand on maintient de l’information dans un système informatique, l’un des principaux
problèmes est sa protection contre les dégâts (fiabilité) et les accès non autorisés (protection).
On peut fournir de la protection de plusieurs manières différentes : protection par type,
protection par groupe d’accès, … etc.
Afin de réduire la longueur de la liste d’accès, plusieurs systèmes reconnaissant trois types
d’utilisateurs en liaison avec chaque fichier :
- Propriétaire : L’utilisateur qui a créé le fichier en est le propriétaire.
- Groupe : Le groupe est un ensemble d’utilisateurs partageant le fichier et ayant des besoins
d’accès semblables.
- Univers : Tous les autres utilisateurs du système constituent l’univers.
La protection par groupe ne peut fonctionner correctement que si l’appartenance au groupe est
contrôlée. Dans le système Unix et Windows NT, les groupes ne peuvent être chargés ou créés
que par l’administrateur du système. Avec cette classification, il faut seulement 3 bits pour
définir la protection ; chacun d’eux autorise ou interdit l’accès. Par exemple, le système Unix
définit 3 champs rwx pour respectivement : la lecture, l’écriture, et l’exécution ou maintient un
champ séparé pour le propriétaire, le groupe et les autres.
Exemple :
Propriétaire Groupe Les
autres
rwx rwx rwx
Student.doc
Propriétaire Groupe Les autres
Programme.c rw- r-- r--
METHODES D’ALLOCATION
L’accès direct aux disques permet une grande souplesse dans l’implémentation des fichiers. Le
problème principal consiste à savoir comment allouer de l’espace à ces fichiers.
•Le fichier logique est la vue de l’utilisateur de l’ensemble des données mémorisées sur le
support de masse
-Un type de donnée (programmation)
-Un ensemble de données groupées sous forme d’enregistrements
•Le fichier physique correspond à l’implémentation sur le support de masse de l’unité de
conservation fichier. IL est constitué d’un ensemble de blocs physique. Il existe plusieurs
méthodes d’allocation des blocs physiques :
Allocation contiguë :
La méthode de l’allocation contiguë demande que chaque fichier occupe un ensemble de blocs
contigus sur le disque. Les adresses disques définissent un ordre linéaire sur le disque.
L’allocation contiguë d’un fichier est définie par l’adresse disque et la longueur , en unités blocs,
du premier bloc. Si le fichier est d’une longueur de n blocs et démarre à l’emplacement b, il
occupe donc les blocs b, b+1, b+2, …, b+n-1. L’entrée du répertoire pour chaque fichier indique
l’adresse du bloc de début et la longueur de la zone allouée au fichier.
Allocation chaînée :
L’allocation chaînée résout les problèmes de l’allocation contiguë. Avec l’allocation chaînée,
chaque fichier est une liste chaînée de blocs de disques. Les blocs de disque peuvent être
dispersés n’importe où sur le disque. Le répertoire contient un pointeur sur le premier et le
dernier bloc du fichier.
Allocation indexée :
L’allocation chaînée résout les problèmes de fragmentation, cependant elle ne peut pas supporter
l’accès direct de façon efficace, car les pointeurs vers les blocs ainsi que les blocs eux-mêmes
sont dispersés dans tout le disque et ils doivent être récupérés dans l’ordre. L’allocation indexée
résout ce problème en rangeant tous les pointeurs dans un seul emplacement : le bloc d’index.
Chaque fichier possède son propre bloc index, qui est un tableau d’adresse de blocs disque. La
ième entrée dans le bloc index pointe sur le ième bloc du fichier. Le répertoire contient l’adresse
du bloc index. Pour lire le ième bloc, on utilise le pointeur de la ième entrée du bloc index afin
de trouver et de lire le bloc désiré. Ce schéma est semblable à celui de la pagination.
Quand on crée le fichier, tous les pointeurs du bloc index sont fixés à nul. Quand le ième bloc est
écrit pour la première fois, on obtient un bloc du gestionnaire de l’espace libre et son adresse est
placée dans la ième entrée du bloc index.
Chaque fichier doit posséder un bloc d’index dont il est souhaitable qu’il soit le plus petit
possible.Cependant s’il est trop petit, il ne pourra pas ranger des pointeurs en nombre suffisant
pour un grand fichier et il faudrait un mécanisme pour traiter ce détail.
Schéma chaîné : Pour des fichiers importants, on peut chaîner les blocs d’index entre eux.
Index multiniveaux : Cette solution consiste à utiliser un bloc d’index séparé pointant sur des
blocs d’index.
Vecteur binaire :
On implémente souvent la liste d’espace libre comme un tableau binaire. Chaque bloc est
représenté par un bit. Si le bloc est libre, le bit est à 1, s’il est alloué le bit est à 0. Par exemple, si
dans un disque les blocs 2, 3, 5, 8 et 9 sont libres, et les autres alloués, le vecteur représentant
l’espace libre est alors :
N° bloc 0 1 2 3 4 5 6 7 8 9 …
Bit 0 0 1 1 0 1 0 0 1 1
Avantage : Il est relativement facile de trouver le premier bloc libre ou les n blocs libres
consécutifs.
Inconvénient : la gestion du vecteur.
Liste chaînée :
Il existe une autre approche pour représenter l’espace libre. Elle consiste à chaîner les blocs
disques libres, en maintenant un pointeur sur le premier bloc libre dans un emplacement spécial
du disque et en le mettant en mémoire cache.
Avantage : La liste ne représente que les blocs libres.
Inconvénient : Parcours de la liste.
Le superbloc
Le superbloc décrit l'état d'occupation des secteurs du disque virtuel, alloués au système de
fichiers. Lorsqu'on cherche à écrire sur un disque, il est en effet indispensable de connaître la
liste des emplacements libres et occupés. Il faut donc construire et tenir à jour une carte
d'occupation des lieux.
Les inodes sont les noms internes des fichiers reconnus sous la forme de nombres entiers. Le
superbloc maintient également la liste des noms libres utilisables, indispensable à la création de
nouveaux fichiers.
Parmi les informations les plus importantes que contient le superbloc, on retiendra :
s_isize: la taille en blocs de la liste des inodes (i_list).
s_fsize: la taille en blocs du système de fichiers.
s_fname: le nom externe du système de fichiers.
Remarquons que ces informations déterminent le nombre maximum de fichiers que l'on peut
créer et la taille du système de fichiers.
s_free: la liste des blocs libres.
s_inode: la liste des inodes libres
s_tfree: le nombre de blocs libres
s_tinode: le nombre d'inodes libres
Ces indications sont indispensables à l'allocation de l'espace et des fichiers. L'utilisateur peut la
consulter au moyen de la commande df.
Le superbloc est chargé et verrouillé en mémoire au moment du démarrage ou lorsqu'un système
de fichiers est monté (mount) et devient visible pour les utilisateurs. Il est constamment remis à
jour et sauvegardé régulièrement sur disque ou volontairement par la commande sync.
On y trouve également des informations indiquant s'il s'agit d'un fichier, d'un répertoire ou de
tout autre fichier spécial. L'utilisateur consulte son contenu, pour la part qui lui est accessible, au
travers des protections, au moyen de la commande ls qui liste les informations sur les fichiers
contenus dans un répertoire.
On utilise un adressage direct pour accéder au fichier s'il est court, de l'ordre de dix blocs, un
adressage indirect pour les fichiers plus longs, comme schématisé dans la figure . La i_list
comme le superbloc est chargée en mémoire et régulièrement remise à jour sur disque.
Accès à un fichier
Imaginons qu'on recherche le fichier /usr/essai. Le processus pour y accéder est le suivant :
1. Lecture de la i_list pour retrouver la référence du répertoire / (racine).
2. Lecture de ce fichier répertoire. Les répertoires contiennent, entre autre, les noms
interne et externe des fichiers et répertoires fils. usr est, par exemple, l'inode xxx
3. Lecture de la i_list pour retrouver les références de l'inode xxx.
4. Lecture des blocs correspondants à cet inode. On y trouve le nom interne yyy
correspondant au nom externe essai.
5. Lecture de la i_list pour retrouver les références de l'inode yyy.
6. Accès au fichier yyy soit /usr/essai
Au démarrage de tout système une procédure analyse le système de fichiers pour vérifier la
cohérence des informations inscrites dans le superbloc et la i_list. Tout fichier ou morceau de
fichier dont le chemin d'accès ne peut être retrouvé est placé dans un répertoire spécial appelé
lost+found!
Cette vérification se déroule en cinq phases :
1. phase I : vérification de la liste des inodes
2. phase II : vérification des chemins d'accès
3. phase III: vérification de la connectivité des répertoires
4. phase IV : vérification des liens symboliques
5. phase V : vérification du superbloc
Ceci peut prendre un certain temps si la capacité en disques est élevée. Les procédures de
démarrage les plus évoluées sont capables de s'apercevoir si un système a été précédemment
arrêté proprement. Elles évitent alors cette étape fastidieuse.
Conclusion
Les constructeurs de systèmes informatiques sont conscients de la fragilité des systèmes de
fichiers. Certains ont introduit une couche logicielle entre la représentation Unix des fichiers et la
structure physique sur le disque (voir figure) qui réalise un certain nombre de fonctionnalités
supplémentaires cachées. Par exemple la i_list comme le superbloc sont dupliqués un certain
nombre de fois de façon à éviter leur perte. Il devient possible de reconstituer ces informations
fondamentales à partir de leurs différentes images.
Sujet 2: Securite hardware et securite software
Securite physique de l’ordinateur
L'humidité
Des rayonnements électromagnétiques (les disquettes y sont particulièrement sensibles)
De la chaleur (ne pas mettre son unité centrale, ni son écran, trop près d'un mur)
Des coupures de tension
Des chocs (ne pas frapper son ordinateur, même en cas de plantage ! )
De la poussière et de la fumée de cigarette
L'ordinateur doit par ailleurs se trouver dans un local qui ne soit pas en libre accès.
S'il s'agit d' un ordinateur portable, le principal risque est le vol. Il ne faut donc pas le quitter, et le
transporter dans un sac anodin, et non dans la mallette d'origine. Une protection des données
sensibles par cryptographie est nécessaire : en cas de vol, les données seront préservées (c'est
d'ailleurs la seule protection anti-vol efficace).
La sécurité :
On parle souvent de sécuriser son système d'exploitation par rapport à Internet, mais la
sécurité c'est aussi l'accès physique à votre machine !
Il est impossible de protéger son système ou la machine si une personne a un accès physique à
celle-ci. Tout au plus, on peut retarder le piratage, le vol d'information, la destruction de données
ou même le vol du matériel.
Pas simple, effectivement, quelles sont les questions que l'on doit se poser afin de mieux se
protéger ?
Nous allons tenter de faire un point sur ce qu'il est possible de faire dans ce domaine afin de
mettre en place certaines restrictions qui retarderont les tentatives de piratage, la corruption des
données, le vandalisme, etc..
Démarche de sécurisation
Contrôle d'accès à l'ordinateur
Sécuriser l'unité centrale
Une autre alternative : le rack
l'outil Syskey
Protection du système en fonctionnement
Démarche de sécurisation
Dans une entreprise, la démarche de sécurisation commence par la rédaction d'une politique de
sécurité, qui suppose d'avoir effectué auparavant un bilan de l'organisation et des processus de
l'entreprise et une analyse des risques.
Ensuite vient la définition de l'architecture de sécurité, puis son implémentation, suivie au besoin
par un audit de configuration et des tests d'intrusion.
Tout ceci, c'est le métier d'un administrateur réseau, il n'est pas question ici de donner des cours
de sécurité à ces personnes, ce n'est pas l'objectif et ils sont même certainement plus qualifiés
que moi sur le sujet.
Dans notre cas, celui d'un particulier, comme vous et moi, celui-ci devra définir ses besoins et
ses risques !
Sans établir un cahier des charges, on peut cependant s'en inspirer afin d'optimiser la sécurité de
nos données ou de notre matériel
- Le coût de mon investissement matériel (carte mére, carte graphique "hors de prix", etc..)
- La valeur de mes données (documents, films, musiques, site personnel, base de données, etc..)
- La valeur de mes courriers, (contacts, agenda, boîte de messageries professionnelles, de
particulier, etc.)
- De mes données confidentielles (banques, assurances, crédit, avocat, travail, etc.)
- Pour les artisans, commerçants et autres PME, (comptabilité, devis, clients, etc..)
- Coût de remise en place complète d'un système d'exploitation + les données (si vous n'avez pas
oublié de les sauvegarder ! )
- les enfants (téléchargement de n'importe quoi sans votre autorisation, les copains qui viennent
et qui pensent s'y connaître, etc..)
- votre entourage, la famille, les voisins, les amis (leurs incompétences, leurs compétences, leurs
jalousies, leurs vengeances, etc..)
- vous ou moi, avec vos compétences, vos incompétences, vos bidouillages dans le système, les
tweaks à gogo !!!
- Le cambriolage
- De vrais professionnels car vous détenez des informations capitales !
Pour les autres qui sont concernés, sans être paranoïaque, si les divers risques énumérés au-
dessus existent dans votre environnement, il est temps d'analyser la situation et de trouver
quelques solutions simples et souvent efficaces contre beaucoup de ces risques !
Ne vous inquiétez pas, je n'ai rien inventé, je donne juste quelques éléments de réponse trouvés
par-ci par-là au hasard de mes promenades sur la toile, dont certains que j'applique à titre
personnel quotidiennement.
Tout d'abord, c'est quoi le BIOS ? (Basic Input Output System) Ce programme se lance
automatiquement au démarrage du PC. Il fait le lien entre le système d'exploitation et les sous-
ensembles (disque dur, mémoire, lecteur de disquette, etc.). Il gère les paramètres techniques de
votre configuration que vous pouvez éventuellement modifîer au démarrage.
Vous l'avez compris, Le BIOS est l'élément indispensable à tout type de démarrage
Dès que vous êtes dans le BIOS, pour vous déplacer, il faut utiliser les touches (haut, bas, gauche,
droite) de votre clavier et ensuite appuyer sur la touche (Entrer) pour sélectionner une option
Ici, nous allons juste autoriser le démarrage sur le disque dur, l'objectif avoué est d'interdire toute
sorte de démarrage en dehors du disque dur. Et oui, tellement facile de démarrer à partir d'une
disquette de boot, d'un CD linux, etc.. pour copier, voler ou détruire le système.
En fonction de votre BIOS, il est possible de retrouver ces éléments à modifier à divers endroits :
- Advanced BIOS Features
- Boot -> Boot device Priority
Voici les modifications à mettre en oeuvre :
First Boot Device = HDD-0 (le disque maitre)
Second Boot Device = Disabled (si votre BIOS le permet)
Third Boot Device = Disabled (si votre BIOS le permet)
Boot Other device = Disabled (interdit de démarrer sur les ports USB, etc..)
Sécuriser le BIOS
Cette option demande un mot de passe pour démarrer le système d'exploitation, après 3 tentatives
infructueuses, la fenêtre de password se ferme et empèche le lancement du système. (retour à la
case départ!)
Set User Password : inscrivez 2 fois le même mot de passe
Rien de compliqué, si ce n'est que de retenir le mot de passe
Cette option demande un mot de passe pour accéder directement au BIOS, sans ce mot de passe,
personne ne pourra venir modifier les options de démarrage du système
Set Admin Password : inscrivez 2 fois le même mot de passe
Et voilà, maintenant, avec ces 2 options, il faudra toujours inscrire un mot de passe à chaque fois
que vous démarrerez votre PC ou que vous souhaitez modifier des options dans le BIOS
Bon, c'est bien beau tout cà, mais compte-tenu qu'une personne qui a un accès physique à la
machine peut en moins de 5 minutes remettre le BIOS par défaut en ouvrant la tour et en faisant
un Clear CMOS, (si cette personne est compétente). Et là malheureusement, terminé les mots de
passe et le blocage de quoi que ce soit dans le BIOS !
Il faut sécuriser la tour (l'unité centrale).L'objectif est toujours le même, gagner du temps, il
existe plusieurs possibilités pour sécuriser la tour, ca passe de la visserie, en passant par des
serrures, voir même la fixation de la tour dans le meuble au carrément à même le sol.
C'est l'effet de surprise qui est déterminant ! Le voleur n'avait pas forcément pensé que votre
machine était bien protégée
La visserie
Le fabriquant de boîtier Enermax a eu l'excellente idée de se poser la question suivante : Comment
sécuriser le contenu des boîtiers? En réponse à cela, Enermax vous propose un kit antivol!
Simple et efficace, pour quelques Euros, on modifie le comportement du cambrioleur qui passe
des couleurs "verte à rouge foncé". difficile de penser qu'il fallait venir avec un tournevis
spécial :P
Juste avec ces simples vis, il devient plus difficile d'acceder au BIOS pour modifier les options.
Les antivols
On peut très bien trouver dans le commerce des serrures de type alarme qui conviennent
parfaitement, dans ce cas, il faudra l'outillage nécessaire, d'ailleurs ce type de clé/serrure était
courant dans les années 90 sur le matériel informatique!
serrure type alarme
Sinon, on trouve dans le commerce des spécialistes de la protection des ordinateurs : Vol
Protect en fait partie, qui propose également des ensembles d'encadrement de la tour :
Vous êtes bricoleur, un cadenas bien placé plus quelques tire-fonds et chevilles devraient
immobiliser la tour sans gréver votre budget .
Les portables sont toujours convoités par les voleurs, facile à voler, facile à revendre, souvent le
portable sert au travail et à la maison, d'où l'intérêt de bien le protéger (même à la maison)
Les cables renforcés fonctionnent parfaitement, surtout si vous utilisez votre portable dans des
lieux ouverts au public.
A ce stade, en principe, si vous avez protégé les accès du BIOS ainsi que la protection de la tour,
vous augmentez fortement vos chances de conserver vos données et votre matériel, ces quelques
minutes supplémentaires pour accéder à vos données seront le garant de votre protection
physique.
Une autre façon de sécuriser ses données personnelles, c'est l'utilisation d'un rack.
Le rack est composé de 2 parties, le disque dur et la partie receptacle qui fera partie intégrante de
la tour.(tout comme un auto-radio extractible)
L'avantage principal de ce produit, c'est de pouvoir enlever le disque dur une fois que votre
activité informatique est terminée. Sans disque dur, le pc n'a plus d'intérêt pour un vol
d'information.
Un autre avantage si vous utilisez 2 pc dans 2 endroits différents (maison, boulot), c'est de
pouvoir disposer de tous vos documents sans vous compliquer la vie
Il existe une multitude de racks dans le commerce, si vous choisissez cette solution, préférez en
un qui propose des options de sécurité (éjection impossible tant que le tâches est en
fonctionnement par exemple), n'oubliez pas la qualité des matériaux, car il sera mis à rude
épreuve si vous êtes amené à l'extraire plusieurs fois par semaine.
N'oubliez pas d'enlever le disque amovible en partant, sinon, cela n'aurait aucun intérêt de
protection.
Sécurité logique d'un ordinateur
L'outil Syskey
Windows met à votre disposition depuis les versions NT, un utilitaire de démarrage du système,
"SYSKEY"
Pour s'en servir, il suffit d'aller dans Executer et taper : syskey
La commande SYSKEY permet de configurer le système pour que le mot de passe soit crypté
avec un algorithme de 128-Bits. Il existe 3 modes de fonctionnement :
1 - Auto Boot : le système génère une clé de cryptage interne broullée et la conserve sur le
système.
2 - Floppy Boot : le système génère une clé complexe, aléatoire et la conserve sur une disquette.
3 - Password Boot : l'administrateur choisit un mot de passe qui est choisi pour la base de la clé
de cryptage necessaire pour lancer le système.
Et voilà, maintenant, à chaque démarrage du système, vous serez obligé d'inserer la disquette
afin d'accéder à vos sessions, le lecteur de disquette devient une serrure
Cette solution a des avantages et des inconvénients, effectivement, c'est pratique parce qu'on
bloque le démarrage, que le cryptage ne se trouve que sur la disquette et non pas dans la base de
registre, mais les inconvénients sont aussi nombreux :
- altération de la disquette
- perte de la disquette
- ne pas laisser traîner la disquette près du pc
- pas d'autre possibilité de support (type USB, par exemple)
- obligation de laisser l'option de démarrage Floppy dans le BIOS
Votre PC est toujours allumé, il suffit de quelques minutes d'absence pour qu'une personne
puisse faire n'importe quoi dans votre système d'exploitation !
Sur ce sujet il y a beaucoup à faire, quelques options bien choisies améliorent considérablement
la sécurité de vos données, je ne vais pas reprendre tous les articles déja écrits sur ces sujets,
mais un petit rappel s'impose.
Un petit tour sur ce sujet option d'ouverture de session devrait vous permettre de faire votre
choix.
Si vous avez un travail en cours pendant votre absence, il est préférable de verrouiller la session,
plutôt que de la fermer.
Maintenant, si vous partez quelques heures, il serait préférable de fermer la session, mais là ce
n'est que votre choix
Vous partagez votre pc avec d'autres personnes, certaines données confidentielles peuvent être
protégées, c'est là qu'intervient le cryptage, et oui, même en désactivant les partages, si le compte
a des pouvoirs administrateur, il est tout à fait possible de voir les dossiers des autres sessions,
c'est un peu l'inconvéniant de Windows, la sécurité n'est pas son fort!
Par défaut, seul Windows XP Pro implémente le cryptage des données (EFS), vous pouvez lire
cet article sur les restrictions et le cryptage
Heureusement, pour les non possesseurs d'XP Pro, il existe d'autres alternatives que celles de
Microsoft, en voici quelques exemples :
Cette liste n'est pas exhausive, une recherche sur google vous permettra de trouver votre
bonheur.
Voila pour aujourd'hui, j'ai fini de vous embrouiller la tête, la sécurité est un domaine infini, mais
si vous appliquez quelques-unes de ces mesures à titre personnel, votre protection n'en sera que
meilleure.
A savoir, l'accès aux périphériques, à la base de registre, le panneau de configuration, etc.. qui
pour l'instant ne sont pas mentionnés et qui font partie de la sécurité de votre système
d'exploitation Windows.
Cette section présente quelques aspects de la sécurité d'un ordinateur personnel. Elle est avant
tout destinée à donner des principes génériques sur la sécurité informatique.
L'ingénierie sociale
L'ingénierie sociale est l'un des principaux risques sur internet, et en même temps l'un des plus
simples. Le principe est de considérer qu'on obtiendra plus facilement des informations d'une
personne que d'une machine ou d'un logiciel. L'objectif est de soutirer à l'utilisateur son mot de
passe ou toute information utile à une intrusion ou une surveillance.
La méthode classique est de passer un faux message de maintenance, par téléphone ou par
courriel, en usurpant l'identité d'un administrateur ou d'un chargé de clientèle et en demandant
son mot de passe à l'utilisateur. En envoyant un tel message à tout un groupe d'utilisateurs, on
multiplie les chances d'avoir des réponses positives, ce qui dans le cas de fonctionnement en
réseau donne un point d'accès.
Un autre aspect de l'ingénierie sociale est d'essayer de deviner un mot de passe en fonction du
contexte : prénoms des enfants, dates de naissance, personnages historiques sont des mots de
passe souvent utilisés.
La plupart des logiciels et systèmes informatiques sont protégés par un mot de passe. Se procurer
le mot de passe d'un utilisateur permet d'obtenir ses droits (simple utilisateur, administrateur).
Il existe des dictionnaires de mots de passe qui listent les mots de passe les plus courammentt
utilisés, et qui permettent, à l'aide d'un programme spécifique, de casser un mot de passe, en
essayant des milliers de mots par seconde.
Exemple : Crack4.1 avec son dictionnaire de 50 000 mots.
La meilleure protection contre ce risque est d'utiliser des mots de passe bien construits.
Il existe également des programmes permettant de scanner un réseau en interceptant toute
information jugée utile. Un serveur sur lequel est installé un tel programme peut intercepter les
mots de passe de connexion (comptes internet, comptes de messagerie...). Les passerelles de
messagerie ou les serveurs de FAI peuvent aussi intercepter les courriels, le contenu des pages
internet visitées et des formulaires remplis.
Les virus
Parmi tous les risques, c'est probablement celui auquel on est le plus sensibilisé. Les principaux
risques liés aux virus sont le déni de service (impossibilité d'utiliser sa machine, saturation de
serveurs de messagerie), la divulgation d'informations, l'endommagement de sa configuration. Il
existe des antivirus efficaces qui permettent de se protéger.
La contamination par les virus touche essentiellement les utilisateurs de Windows. Mac et Linux
en connaissent beaucoup moins d'une part parce que la sécurité y est mieux gérée, et d'autre part
parce que les créateurs de virus ciblent le parc le plus répandu, Windows.
Les trappes
Une trappe est un point d'accès dans un système informatique qui contourne les mesures de sécurité. Il
s'agit en général d'un programme caché ou d'un composant électronique qui rend le système de protection
inefficace lorsqu'on lui passe certaines commandes non documentées.
Une trappe peut aussi être un trou de sécurité dans un système qui a été volontairement mis en place par
les créateurs ou les personnes chargées de la maintenance. L'objectif de ces trappes n'est pas toujours
néfaste : certains systèmes d'exploitation ont par exemple des comptes utilisateurs avec de hauts
privilèges permettant d'en faciliter la maintenance. Mais dans ce cas, elles doivent être documentées.
La meilleure protection contre les trappes est d'utiliser des logiciels dont le code source est public et a
donc été analysé par un maximum de personnes.
Les plantages
Tout logiciel ou système d'exploitation peut avoir un bogue. Certains plantages peuvent rendre la machine
inutilisable ou altérer les données. Pour minimiser le risque de plantage, les précautions à prendre peuvent
être :
Utiliser Linux plutôt que Windows (Linux est plus fiable et plus stable).
Faire des sauvegardes régulières de ses données
Ne pas maltraiter son ordinateur (marche/arrêt intempestif par exemple)
Diviser son disque dur en au moins deux partitions (l'une pour le système d'exploitation, l'autre pour les
données)
Avoir sur support papier la description exhaustive du matériel que contient l'ordinateur (carte graphique,
moniteur, carte mère...), conserver les CD d'installation et les disquettes de restauration.
Éviter de faire trop d'expériences sur un ordinateur contenant des données importantes.
Vous porterez une attention toute particulière à vos mots de passe :
L’utilite d’un bon mot de passe
Lorsque vous avez un compte sur un ordinateur, le seul contrôle d'accès est en général votre mot
de passe. Quelqu'un qui découvre cette clé peut alors travailler sur la machine sous votre identité,
lire vos fichiers (courriers, textes... ), les détruire ou les modifier.
Cette fonction essentielle du mot de passe est devenue encore plus importante avec la
généralisation des réseaux et d'internet.
Deviner un mot de passe est d'autant plus facile que celui-ci aura été mal choisi.
L' usurpateur regardera si vous n'avez pas noté ce mot de passe. Il cherchera sur ou sous votre
clavier, dans votre tiroir, dans votre agenda...
Puis il essaiera les informations personnelles dont il dispose : identifiant, nom, prénom, date de
naissance, numéro de téléphone, prénoms des enfants, adresse, numéro d'immatriculation,
personnages célèbres... Si ça ne marche pas, il tentera alors des combinaisons de tout celà :
initiales des prénoms des enfants, numéro de téléphone inversé...
Si cette méthode artisanale, mais souvent efficace, ne fonctionne pas, il automatisera la recherche
avec un programme pour découvrir (craquer) les mots de passe.
Ces programmes utilisent deux principales méthodes :
Ils ont recours à des dictionnaires de mots de passe contenant beaucoup de mots de passe
(leurs tailles peuvent être de l'ordre de 100Mo)
Ils essaient par force brute énormément de combinaisons
Qui plus est, ces deux méthodes peuvent être combinées.
Plus votre mot de passe sera court et simple, plus vite il sera craqué.
Le bon choix
Il ne faut pas noter son mot de passe : il faut donc qu'il soit mnémonique, c'est à dire facile à mémoriser.
Il faut le garder secret ; si l'on désire travailler à plusieurs sur un même ordinateur, il faut créer autant de
comptes que d'utilisateurs.
Il ne faut pas choisir comme mot de passe une information personnelle (prénom, nom du projet...) ; les
mots présents dans un dictionnaire français ou étranger sont à éviter ; proscrire également toute variation
simple de ce qui précède (ajout de chiffres, deux mots accolés...)
Ne pas utiliser un mot de passe important pour une application peu sûre, ou pour un compte utilisateur
d'un site internet
L'antivirus
Généralement bien connu des internautes, l'antivirus a pour rôle de protéger l'ordinateur des virus
informatiques. L'antivirus s'avère nécessaire depuis le développement d'internet, qui est
rapidement devenu le principal vecteur de virus, notamment à travers le courrier électronique.
L'antivirus est généralement composé de deux modules : le moniteur (surveillance permanente)
et le scanneur (analyse sur demande). L'antivirus combine en général deux méthodes d'analyse :
l'analyse par signatures, destinée à trouver les virus connus, et l'analyse heuristique, destinée à
trouver les virus inconnus. L 'analyse par signatures consiste à comparer le code d'un fichier à
des morceaux de codes caractéristiques de virus connus contenus dans une base de données
appelée liste de signatures ; cette liste de signatures doit être mise à jour régulièrement. L'analyse
heuristique, moins fiable, consiste à rechercher dans un fichier un code suspect pouvant être celui
d'un nouveau virus.
Le principal problème est de choisir quel antivirus installer. Nous conseillons Bitdefender
Antivirus, régulièrement classé parmi les meilleurs. Il existe des antivirus gratuits, mais ils sont
généralement moins efficaces.
Il est possible d'en installer deux à condition que seul un module moniteur soit actif à la fois ;
sinon, les antivirus risquent d'entrer en conflit et de déstabiliser le système.
Le pare-feu
Tout réseau rend l'ordinateur qui s'y connecte vulnérable à des attaques de l'extérieur.
Les deux premières mesures de sécurité à respecter sont de ne pas rester connecté trop longtemps
et d'installer un pare-feu personnel.
Pendant une connexion vous gardez une même adresse IP : plus vous restez connecté longtemps,
plus un attaquant aura de temps pour préparer une attaque. Il faut donc couper sa connexion
après utilisation.
Le pare-feu est un logiciel qui permet de contrôler les flux entrants et sortants de votre
ordinateur. L'utilisateur met en place des règles, et le logiciel se charge de les appliquer. Cela
permet de se protéger par exemple des intrusions, ou d'éventuels chevaux de Troie qui tenteraient
se connecter de votre ordinateur vers l'extérieur.
Le principe général de configuration des pare-feu, pour être efficace, doit être strict : tout ce qui
n'est pas explicitement autorisé est interdit.
Ainsi, vous allez par exemple permettre à votre navigateur de se connecter à internet (port 80 en
général), de même pour votre client de messagerie (port 110 pour la réception et 25 pour l'envoi).
Par contre, tout le reste sera par défaut interdit, et si une autre de vos applications essaie de se
connecter à internet , le pare-feu l'en empêchera ou vous informera, selon vos choix.
Les vendeurs d'antivirus en proposent en général (McAfee ou Kaspersky par exemple), mais
payants.
Une autre solution peut être d'en utiliser un gratuit : il s'agit généralement des mêmes logiciels,
mais avec quelques fonctionnalités en moins, ou bien de la version précédente.
On peut installer en série deux pare-feu d'éditeurs différents. En croisant ainsi les technologies, si
l'un est désactivé en avoir un second qui fonctionne différemment rend la tâche plus difficile à
l'attaquant. Cela s'applique essentiellement pour assurer un haut niveau de sécurité sur un réseau
privé.
Pour Windows, vous trouverez ici une liste de pare-feu gratuits.
Pour Linux, vous disposez de : Ipchains pour un noyau 2.2, Netfilter pour des noyaux 2.4 et 2.6
Cryptographie
N'utilisez pas un logiciel de chiffrement commercial si son code source n'est pas public.
Il existe deux types de cryptographie : la cryptographie symétrique (algorithmes : DES, IDEA,
AES...) et la cryptographie asymétrique (algorithmes : El-Gamal, RSA, DSA...). La longueur de
la clé de chiffrement ne permet pas de comparer la sécurité de deux algorithmes différents. Par
exemple, pour un algorithme de chiffrement symétrique, une clé de 128 bits assure un bon
niveau de sécurité ; mais pour l'algorithme de chiffrement asymétrique RSA, une clé d'au moins
2048 bits est recommandée.
Un bon niveau de chiffrement, c'est bien ; mais, il est nécessaire d'assurer un niveau de sécurité
uniforme à son ordinateur et à ses applications afin d'éviter qu'un tiers récupère votre mot de
passe, par exemple à l'aide d'un troyen.
Lorsque l'on supprime un fichier sur son ordinateur, les données ne disparaissent pas réellement :
seul le chemin vers ces données est effacé. Au cours des réécritures, le fichier finit toutefois par
être "recouvert" par d'autres données. Mais il est possible de récupérer des données même après
une dizaine de réécritures en recourant à des logiciels spécifiques. Il existe des
logiciels netoyeurs de disque dur qui effacent de façon sûre toute trace de vos fichiers : ils
permettent de faire des réécritures aléatoires jusqu'à disparition totale des données.
Anonymat
Les premières mesures de sécurité concernant les envois par mail relèvent d'une
utilisation prudente.
Si un courriel n'est pas protégé, n'y inscrivez rien que vous ne mettriez pas sur une carte
postale.
Si vous utilisez un client de messagerie, désactivez l'interprétation html, le Vbscript et le
JavaScript, et envoyer vos messages en format texte brut
Dans la mesure du possible, n'envoyez pas de pièces jointes. N'ouvrez pas de pièces
jointes dont vous n'êtes pas sûr de la provenance
Soyez explicite et identifiez-vous dans vos mails, surtout lorsqu'ils contiennent une pièce
jointe : sinon, le destinataire peut ne pas l'ouvrir par crainte d'un virus.
Etre prudent vis-à-vis d'un message qui vous demande l'adresse d'un de vos contacts
Ne pas donner son adresse mail principal, ni son nom, sur les formulaires de sites non
connus.
Utiliser une adresse mail autre que celle donnée par votre FAI
Ne pas répondre aux pourriels (mails non sollicités) : cela confirme à l'émetteur que votre
adresse est bonne
En termes de confidentialité, un courriel peut être comparé à une carte postale. Lorsque le
courriel quitte la machine d'un expéditeur, il arrive sur un serveur. Puis, il transite par d'autres
serveurs, et arrive finalement sur celui du FAI du destinataire, qui viendra le lire avec son client
de messagerie.
Lors de ce parcours, le mail transite en clair. Autrement dit, un administrateur d' un des serveurs
ou un logiciel peut permettre d'intercepter le mail. Par intercepter, il faut comprendre en fait
copier : en effet, le mail poursuit sa route et le destinataire ne s'aperçoit de rien.
Par la poste, nous avons le choix d'envoyer des cartes postales ou des lettres ; par internet, il est
possible de rendre son mail illisible à toute personne autre que le destinataire.
Pour ce faire, on utilise un logiciel de cryptographie.
C'est l'équivalent d'une lettre cachetée. Mieux même, car pour une lettre, on peut enlever le
cachet, alors que décrypter un mail chiffré avec un bon logiciel peut être impossible, même pour
un Etat ou une organisation disposant de gros moyens.
Le principe de la qualification des messages s'applique comme pour la protection des données : il
n'est pas nécessaire de chiffrer tous ses courriels.
Avec des outils comme GnuPG, et utilisant la cryptographie asymétrique, il faut mettre à la
disposition de ses correspondants ses clés publiques. Il faut aussi vérifier que telle clé appartient
bien à tel correspondant. Cela se fera idéalement en signant (à l'aide de GnuPG) une clé remise
en main propre.
Le logiciel qui a longtemps fait autorité pour chiffrer ses mails est PGP (Pretty Good Privacy)
Une initiative a vu le jour pour lui succéder, GnuPG, basé sur le standard ouvert OpenPGP (RFC
2440).
C'est un logiciel d'une très bonne sécurité, gratuit (licence GPL), et d'une utilisation simple.
Mise en oeuvre :
Sous Windows :
WinPT est une interface graphique intégrant GnuPG permettant d'utiliser GnuPG
graphiquement et de façon intuitive. Il suffit de l'installer, de générer ses clés et c'est prêt
à l'emploi.
Des plug-ins existent pour intégrer GnuPG aux logiciels de messagerie les plus courants.
Sous Linux
GnuPG est généralement préinstallé.
Vous pouvez installer une interface graphique, par exemple GPA.
Il existe également un service de messagerie en ligne qui permet d'envoyer et de recevoir
des courriels chiffrés et signés : hushmail
PGP et GnuPG peuvent servir à chiffrer ses mails, mais aussi à les authentifier. Lorsqu'on envoie
un courriel, le protocole utilisé ne prévoit pas de mesure fiable d'authentification. Ainsi, envoyer
un mail semblant provenir d'une adresse autre que l'adresse réelle est simple.
GnuPG permet de signer son mail : cela consiste à joindre à son message un sceau électronique
calculé à l'aide d'une clé privée qui permettra au destinataire de s'assurer que le courriel émane
bien de la personne dont il connaît la clé publique et que son contenu n'a pas été altéré. De plus,
l'expéditeur ne peut nier avoir envoyé un tel message.
L'utilisation des fonctions de signature est aussi simple que celles de chiffrement.
La principale différence est que pour signer un courriel, on utilise sa clé privée, ce qui suppose
de taper son mot de passe, alors que pour chiffrer, seule la clé publique du correspondant est
requise.
Ces opérations peuvent se faire simultanément.
Mettre régulièrement son système d'exploitation et ses applications à jour. La plupart des
éditeurs proposent des mises à jour de sécurité en ligne.
Naviguer derrière un proxy, si votre fournisseur d'accès internet vous en propose un. Les
avantages sont que votre identification numérique est moins accessible et que la plupart
des proxys ont des fonctionnalités de cache qui améliorent les performances.
Si on dispose de plusieurs ordinateurs, en dédier un à la connexion internet et un autre,
non connecté, au traitement et au stockage des données.
Si possible, activer la protection par mot de passe à l'amorçage (pour ce faire, accéder au
BIOS)
Ne pas utiliser les logiciels les plus répandus (Internet Explorer, Outlook)
Conclusion
C'est une démarche de sécurité physique sur l'ordinateur face à son environnement, pas simple de
concentrer ce sujet en quelques phrases, j'espère néamoins avoir touché du doigt les points
sensibles de la sécurité à ce niveau là. Hormis quelques points bien précis, le sujet s'adresse à
quel que soit le système d'exploitation.
Je vous oblige au minimum à créer 2 mots de passe distincts afin d'accéder à vos données. Est-ce
le prix d'un effort sur-humain pour éviter les déboires, à vous de le décider !
Vous l'aurez compris, sécuriser son matériel ou son système demande des contraintes
supplémentaires, quelques configurations simples et efficaces rebutent la plupart du temps les
mauvaises intentions. La sécurité, c'est un aspect global, tout s'imbrique l'un dans l'autre, le plus
difficile étant de concilier le confort d'utilisation et l'aspect restriction, la démarche n'est pas
simple et se trouve en perpétuelle évolution.