Securite Reseau Livre Ouvert

Livre ouvert sur la sécurité

Issu d’un travail de groupe
de la commission sécurité de l’etna
12 août 2004
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 1/102
Ont participé, à ce jour, à la rédaction de ce papier blanc de l’etna sur la sécurité
Nom Prénom Société mél

Bichard Jean-Philippe NetCost&Security redaction@netcost-security.fr
Coat-Rames Anne AQL et AFNOR anne.coat@aql.fr
de Groot Max Gemplus max.de-groot@gemplus.com
Ferrero Alexis OrbitIQ alexisf@OrbitIQ.com
Franchin Franck France Telecom franck.franchin@francetelecom.com
Germain Michèle ComXper comxper@free.fr
Habert Michel Netcelo michel.habert@netcelo.com
Karsenti Thierry CheckPoint thierry@checkpoint.com
Peliks Gérard EADS gerard.peliks@eads-telecom.com
Refalo Pierre-Luc Comprendre et Réussir plr@comprendre-et-reussir.com
Thibaud Alain F5 Networks a.thibaud@F5.com
Les illustrations sont l’œuvre de Laurent Germain (laurentgermain@yahoo.fr)
Le développement de ce livre ouvert est coordonné par gerard.peliks@eads-telecom.com

tel : 01.34.60.88.82 – 06.80.36.51.69
Le mot du Président de l’etna

Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une
sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système
d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu
un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera
dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et
des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les
informations qu'ils contiennent, ce travail commun de la commission sécurité de
l'etna pourra se révéler très utile.
Edmond Cohen, Président de Western Telecom, ecohen@western.fr
Le mot de la Représentante de la commission sécurité auprès du

Conseil d’Administration de l’etna
En tant que marraine de cette commission sécurité de l'Etna, je me félicite devant
la passion qui anime ce groupe de travail et la rédaction de cet ouvrage.
Il s'agit de technologies concurrentes, de personnes d'environnements
hétérogènes mais tout le monde consacre beaucoup d'énergie et d'enthousiasme
à ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la
protection des flux d'informations.
Le nombre de personnes intéressées à participer à nos journées networking ainsi qu'à ce booklet
montre que personne ne s'y trompe, les enjeux sont considérables pour les utilisateurs, les sociétés
et les gouvernements. Ils sont à la fois économiques, politiques voire même d'ordre sociologique.
Un grand merci à Gérard qui est celui qui nous communique sa passion et qui met de l'ordre dans
tout ce qui lui arrive parfois de façon un peu chaotique mais toujours sécurisée.
Un grand bravo à tous.
Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, l.cohen-laloum@F5.com
Le mot du Président de la commission sécurité de l’etna

Le pari un peu surréaliste de réaliser un livre ouvert sur la sécurité à destination des
décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs
acteurs de la sécurité des systèmes d’information sur le marché français a été lancé
dès la création de la commission sécurité de l’etna. L’ambition de ce booklet était,
dès le départ, d’évangéliser le monde des télécoms sur les diverses facettes de la
sécurité des systèmes d’information avec l’idée que de la diversité de ses auteurs
naîtrait la richesse de cet ouvrage et son adéquation au but recherché. Cette bonne
résolution est toutefois restée théorique jusqu’à ce que Michèle Germain, consultante télécom
m’envoie une première contribution sur la sécurité des réseaux sans fils, donnant ainsi un aspect
très concret à cette idée belle et ambitieuse. Michèle a également défini le style et la mise en page
de cet ouvrage.
Alexis Ferrero (OrbitIQ), Secrétaire Général de la commission Wi-Fi
de l'etna a rejoint notre petit groupe pour mettre sa compétence sur la
sécurité du Wi-Fi au service de cette réalisation commune, et ce fut
un exemple de coopération pour fusionner, modifier, simplifier les
textes soumis. Il a ensuite traité l’application de la sécurité à la voix
sous IP.
Puis Franck Franchin, Directeur délégué opérations à la direction de
la sécurité de l'information de France Télécom, qui avait animé une
intervention aussi intéressante que mouvementée au cours de
l’événement networking de notre commission, en décembre 2003, sur le thème des menaces sur les
réseaux sans fils, a traité les parties « Ingénierie Sociale », « Cyber Racket » et « Sécurité et
Mobilité ».
Michel Habert, Directeur Technique de Netcelo avait présenté les VPN IPSec lors de notre
événement networking d’avril 2004 sur les postes mobiles. Il traite du même sujet pour ce booklet et
aussi de la gestion centralisée de la sécurité.
Alain Thibaud, Directeur Technique Europe du Sud de F5 Networks avait présenté à ce même
événement les VPN SSL et les traite dans cet ouvrage.
Jean-Philippe Bichard, Rédacteur en chef de la très intéressante revue hebdomadaire en ligne
NetCost&Security nous a fait bénéficier d’une présentation qu’il avait faite dans le cadre du colloque
EPF 2004 sur la certification des logiciels aux Etats Unis.
Thierry Karsenti, Directeur Technique EMEA de CheckPoint nous a ouvert l’accès aux white papers
de CheckPoint que nous avons exploités dans le chapitre « la sécurité de bout en bout ».
Max de Groot, Technical Marketing WLAN Business Line chez GEMPLUS a commencé une entrée
sur l’authentification forte et explique très clairement pourquoi l’information contenue dans le chip
d’une carte à puce est sécurisée.
Anne Coat-Rames, Consultante AQL et membre de l’AFNOR a abordé le modèle de l'auto
évaluation de la sécurité par le biais de l'ISO.
Nous avons trouvé un artiste pour illustrer nos textes. Merci à Laurent Germain qui nous apporte
son talent et son humour pour que notre booklet soit certes instructif, mais aussi plaisant à lire.
Merci aussi à celles et ceux qui se sont déclarés très enthousiastes pour participer à l’élaboration de
cet ouvrage et dont nous attendons impatiemment les contributions en textes et en images. Et
n’oublions pas ceux qui ne tarderont pas à rejoindre les contributeurs de ce booklet, car il ne sera
jamais trop tard pour participer.
Gérard Péliks , EADS Defence and Communications Systems
Le mot du hacker
Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté
face aux menaces de l’Internet. Quand j’attaque votre système d’information,
soit pour jouer avec, soit pour vous nuire, soit pour l’utiliser comme relais pour
réaliser d’autres attaques, je dois pouvoir compter sur leur inconscience des
dangers qui les guettent. Si la dimension sécurité entrait dans l’esprit de mes
victimes potentielles, je passerais beaucoup plus de temps pour que mes
attaques aboutissent et le temps reste mon principal ennemi. Je risque en
effet de me faire pincer et je sais que j’encourre de lourdes sanctions pénales
si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc
rendre ma tâche encore plus difficile et surtout plus risquée.
LIVRE OUVERT SUR LA SECURITE ...1
1 LA CYBERCRIMINALITE..................................................................................................................................8
1.1 LES MENACES, ......................................................................................................................................................8
1.2 LES VULNERABILITES ............................................................................................................................................9
1.2.1 Les faiblesses du Web.......................................................................................................................... 9
1.2.2 Les faiblesses de la messagerie ........................................................................................................ 10
1.3 LES ATTAQUES ....................................................................................................................................................10
1.3.1 Le vol de données .............................................................................................................................. 10
1.3.2 Les accès non autorisés ..................................................................................................................... 10
1.3.3 Les dénis de services ......................................................................................................................... 11
1.3.4 Les attaques sur la messagerie.......................................................................................................... 11
1.3.5 Les attaques sur le Web ..................................................................................................................... 11
1.3.6 Les attaques par système d’exploitation ............................................................................................ 12
1.3.7 Les attaques combinées..................................................................................................................... 12
1.4 FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE, ................................................................................12
1.4.1 Face au virus Mydoom.A .................................................................................................................... 12
1.4.2 Les logiciels espions........................................................................................................................... 14
1.5 LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS,.......................................................................15
1.5.1 Les hoax ............................................................................................................................................. 15
1.6 LES MENACES SUR LES POSTES NOMADES ...........................................................................................................15
1.7 LE CAS DU RESEAU SANS FIL............................................................................................................................16
1.7.1 La "révolution" radio............................................................................................................................ 16
1.7.2 Les préoccupations de l’Administrateur Réseau ................................................................................ 18
1.7.3 Risques et attaques ............................................................................................................................ 19
1.8 L’INGENIERIE SOCIALE ........................................................................................................................................23
1.9 LE CYBER RACKET ..............................................................................................................................................24
1.9.1 La prolifération des risques................................................................................................................. 25
1.9.2 Les approches .................................................................................................................................... 25
1.9.3 Un exemple......................................................................................................................................... 25
1.9.4 Les règles à suivre.............................................................................................................................. 26
2 LES CONTRE-MESURES ET MOYENS DE DEFENSE ...............................................................................27
2.1 LES FIREWALLS BASTION ...................................................................................................................................27
2.1.1 Les paramètres pour filtrer les données ............................................................................................. 28
2.1.2 A quel niveau du paquet IP le filtrage doit-il se situer ? ..................................................................... 28
2.1.3 Le masquage des adresses IP du réseau interne.............................................................................. 29
2.1.4 Les zones démilitarisées .................................................................................................................... 29
2.1.5 Firewall logiciel ou firewall matériel ? ................................................................................................. 29
2.1.6 En parallèle ou en série ? ................................................................................................................... 30
2.1.7 Sous quel système d’exploitation ? .................................................................................................... 30
2.2 LE FIREWALL APPLICATIF....................................................................................................................................30
2.3 LE FIREWALL PERSONNEL ...................................................................................................................................30
2.4 L’AUTHENTIFICATION FORTE, .............................................................................................................................31
2.4.1 L’authentification et la chaîne de sécurisation.................................................................................... 31
2.4.2 Le rôle de la carte à puce dans l’authentification ............................................................................... 32
2.4.3 Exemples actuels d’utilisation de carte à puce................................................................................... 33
2.4.4 Conclusion .......................................................................................................................................... 33
2.5 LE CHIFFREMENT, ...............................................................................................................................................34
2.6 LA STEGANOGRAPHIE .........................................................................................................................................34
2.7 LES VPN.............................................................................................................................................................35
2.7.1 Les VPN IPSec, .................................................................................................................................. 36
2.7.2 Le VPN-SSL ou l’accès distant sécurisé nouvelle génération............................................................ 41
2.7.3 VPN-SSL ou l’accés au réseau d’entreprise ...................................................................................... 45
2.7.4 Anti-virus ............................................................................................................................................. 46

2.7.5 Choisir entre un VPN IPSec et un VPN SSL ...................................................................................... 46
2.8 LE CHIFFREMENT DES DONNEES SUR DISQUE.......................................................................................................46
2.9 LES INFRASTRUCTURES A CLE PUBLIQUE (PKI)...................................................................................................47
2.10 LA SIGNATURE ELECTRONIQUE ...........................................................................................................................47
2.11 LA DETECTION D'INTRUSIONS,.............................................................................................................................47
2.12 LES ANTI (VIRUS, SPAMS, SPYWARES),................................................................................................................48
2.13 SECURITE ET MOBILITE .......................................................................................................................................48
2.14 LES OUTILS DE CONTROLE ET DE SURVEILLANCE, ...............................................................................................49
2.15 L’ERADICATION DES LOGICIELS ESPIONS ............................................................................................................50
2.16 LES POTS DE MIELS..............................................................................................................................................50
3 LA GESTION DE LA SECURITE .....................................................................................................................53
3.1 LES ASPECTS DE VERIFICATION ET D’AUDIT ........................................................................................................53
3.2 LA REMONTEE ET LA CORRELATION DES LOGS ....................................................................................................53
3.3 LA GESTION CENTRALISEE DE LA SECURITE ........................................................................................................53
3.3.1 Introduction ......................................................................................................................................... 53
3.3.2 Caractéristiques d’un système de gestion centralisé de la sécurité.................................................. 54
3.3.3 Le système d’administration (SOC- Security Operations center)....................................................... 55
3.3.4 Les opérations .................................................................................................................................... 55
3.3.5 La surveillance.................................................................................................................................... 56
3.3.6 La supervision..................................................................................................................................... 56
3.3.7 Le contrôle .......................................................................................................................................... 56
3.3.8 La sécurité et l’administration du centre de gestion de la sécurité..................................................... 56
3.3.9 Fonctionnement d’un centre de gestion centralisé de la sécurité ...................................................... 56
3.3.10 Garanties de sécurité.......................................................................................................................... 57
3.3.11 Standards et Modèles de référence utiles .......................................................................................... 57
3.4 LA GESTION DES CORRECTIFS ET DES PATCH .......................................................................................................57
4 LES RESEAUX PARTICULIERS .....................................................................................................................58
4.1 APPLICATIONS A LA VOIX SUR IP........................................................................................................................58
4.1.1 Architecture d'un système VoIP.......................................................................................................... 58
4.1.2 Les risques.......................................................................................................................................... 59
4.1.3 Les attaques ....................................................................................................................................... 59
4.1.4 Fonctions ............................................................................................................................................ 60
4.2 LA SECURITE DES RESEAUX SANS FIL ..................................................................................................................61
4.2.1 Le problème du WEP.......................................................................................................................... 61
4.2.2 Les contre-mesures de base .............................................................................................................. 63
4.2.3 Les évolutions du protocole : WPA et 802.11i.................................................................................... 67
4.2.4 Application .......................................................................................................................................... 69
4.2.5 Autres technologies ............................................................................................................................ 70
5 UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT.....................................................................72
5.1 LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES ................................................................72
5.1.1 Identification des risques .................................................................................................................... 72
5.1.2 Correction des lacunes de sécurité .................................................................................................... 72
5.1.3 Approche intégrée .............................................................................................................................. 73
5.1.4 Amélioration de la sécurité par l’administration .................................................................................. 74
5.1.5 Résumé............................................................................................................................................... 74
6 LES ASPECTS JURIDIQUES ET HUMAINS..................................................................................................75
6.1 LES RISQUES DU « METIER »,...............................................................................................................................75
6.2 QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE .....................................................................................75
6.2.1 L’arrêt Nikon ....................................................................................................................................... 75
6.2.2 L’Ecole de Physique et Chimie Industrielle de Paris .......................................................................... 76
6.2.3 L’affaire Escota ................................................................................................................................... 77
6.3 POLITIQUE ET REFERENTIELS DE SECURITE,.........................................................................................................77
6.3.1 Préambule........................................................................................................................................... 77
6.3.2 Fondamentaux.................................................................................................................................... 78
6.3.3 Des principes fondateurs .................................................................................................................... 78
6.3.4 L’organisation dans le cadre politique .......................................................................................... 80
6.3.5 Une Charte et quatre politiques .......................................................................................................... 81
6.3.6 Des choix essentiels ........................................................................................................................... 82
6.3.7 Synthèse ............................................................................................................................................. 85
6.4 LES RESPONSABILITES ET LES ACTEURS DE L’ENTREPRISE, .................................................................................85
6.5 EXTERNALISER OU INTERNALISER ?....................................................................................................................85
6.6 LE CALCUL DU RETOUR SUR INVESTISSEMENT DE LA SECURITE (ROI) ...............................................................85
7 LES CERTIFICATIONS.....................................................................................................................................86
7.1 LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) ....................................86
7.2 L'ISO17799.........................................................................................................................................................86
7.3 L'ISO 21827 : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE .............................................................86
7.3.1 Historique............................................................................................................................................ 86
7.3.2 La structure du SSE-CMM(®) - ISO 21827:2002 ............................................................................... 87
7.4 LA CERTIFICATION AUX ETATS UNIS ...................................................................................................................88
7.4.1 Le NIAP US......................................................................................................................................... 89
7.4.2 Le DCA ............................................................................................................................................... 89
7.4.3 La création de l’ENISA Européenne................................................................................................... 90
8 LA VEILLE SECURITE .....................................................................................................................................91
9 LES ENJEUX ECONOMIQUES DE LA SECURITE......................................................................................92
10 BIBLIOGRAPHIE ET REFERENCES .............................................................................................................93

10.1 GENERAL ............................................................................................................................................................93
10.2 ATTAQUES ET MENACES ......................................................................................................................................93
10.3 VOIP...................................................................................................................................................................93
10.4 WI-FI ..................................................................................................................................................................93
10.5 INGENIERIE SOCIALE ...........................................................................................................................................94
10.6 JURIDIQUE ...........................................................................................................................................................94
10.7 LOISIRS ...............................................................................................................................................................94
10.7.1 Livres .................................................................................................................................................. 94
10.7.2 Films ................................................................................................................................................... 95
11 GLOSSAIRE.........................................................................................................................................................96
11.1 ACRONYMES .......................................................................................................................................................96
11.2 DÉFINITIONS .......................................................................................................................................................97
1 LA CYBERCRIMINALITE
Partie prise en charge par Olivier Caleff (Apogée Communications) / Jean-Philippe Bichard (NetCost&Security)
Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et
l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement
entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et
cyber-mafias…). Cet attentat dramatique a clairement montré que ce n'était ni le nombre,
ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l’on place en
elle. Vous le savez, confiance et certification marchent ensemble.
Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que
de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le
domaine militaire que civil. "Aujourd'hui la France n'avance dans les NTIC que sur la pointe des
pieds par rapport aux avions et aux chars" a déclaré aux Echos Paul Ivan de Saint Germain ancien
directeur de recherche au ministère de la Défense.
1.1 LES MENACES,

Auteur : Gérard Péliks (EADS) gerard.peliks@eads-telecom.com
Dès qu’un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de
nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs
voire même à une perte totale des fichiers systèmes, avec impossibilité de « rebooter » son PC.
Quand l’utilisateur se connecte sur l’Intranet de sa société, ce réseau est automatiquement sujet à
des menaces pouvant porter atteinte à l’intégrité, et même à l’existence des informations et aux
applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si
l’utilisateur connecté à son Intranet, a aussi accès simultanément à l’Internet, les menaces sont
multipliées tant dans leur nombre que dans leur diversité.
Nous ne pouvons rien contre l’existence de ces menaces, qui sont liées à la nature humaine et à la
nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le
réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se
concrétiser par des attaques réussies.
Contre les vulnérabilités, heureusement pour l’utilisateur, pour son poste de travail et pour les
réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les
explorer. Mais les outils ne sont efficaces qu’intégrés dans une politique de sécurité connue et
librement acceptée par l’entreprise ou la collectivité, car on ne le répétera jamais assez, ce n’est pas
le réseau qui est dangereux, c’est bel et bien l’utilisateur, parfois de manière consciente mais aussi
souvent sans le vouloir et sans même le savoir.
Les menaces sont bien réelles. Pour se protéger contre elles, puisqu’on ne peut les éliminer, il faut
les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à
ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l’entreprise
cible.
Il n’est pas possible de se prémunir contre toutes les menaces, donc il n’est pas crédible de se croire
hors d’atteinte de toute attaque. Heureusement les informations et les applications résidant dans
votre réseau et dans vos postes de travail n’ont pas toute la même valeur stratégique pour
l’entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information
a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l’endroit où les
informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon
équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût
qu’induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit,
pour chaque domaine d’information, pour chaque application, il y a un seuil au-delà duquel, il n’est
pas rentable d’investir plus pour protéger une information dont la perte causerait un préjudice
inférieur au coût des solutions de sécurité mises en place.
Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une
information dont la perte serait sans commune mesure avec le coût de la solution de protection de
cette information.
1.2 LES VULNERABILITES
1.2.1 Les faiblesses du Web

Partie traitée provisoirement par Gérard Péliks (EADS)
Par son étendue, sa richesse de contenu et sa simplicité d’utilisation, l’Internet est une mine
d’informations pour les entreprises et un média sans précédent pour faire connaître les informations
mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l’Internet,
l’utilisateur peut accéder à des millions de pages Web, et peut, à l’aide de portails et de moteurs de
recherche, obtenir l’information qui lui est nécessaire dans le cadre de son travail, au moment où il
en a besoin (caractéristiques d’un produit, liste de prix, conditions de vente, contacts, plan
d’accès…)
1.2.1.1 Les cookies
Le Web est ainsi une ressource devenue indispensable pour la productivité d’une
entreprise, mais qui n’est pas sans dangers. Avec les pages Web, on récolte souvent à
son insu, ces fameux cookies. Un cookie est un petit document texte, amené, et exploité
par une page Web, lors de sa lecture, qui réside sur votre disque dur et qui renseigne le
serveur Web sur votre identité, sur vos commandes, sur vos habitudes. Faut t’il les accepter,
sachant que si on les refuse, la navigation Web sur certains sites peut devenir difficile, voire
impossible ? Quels en sont les dangers, que dit la réglementation européenne ? Quels sont les outils
pour éventuellement les détruire ?
1.2.1.2 Le surf abusif

Mais le plus dangereux, pour la productivité des employés, c’est l’ouverture libre des accès au Web,
avec les dérives que l’on constate. En laissant sans surveillance ses collaborateurs naviguer sur
l’Internet, l’employeur s’expose à certains risques : baisse de productivité des employés,
effondrement des performances du réseau interne, voire même poursuites judiciaires en tant que
responsable pénal au même titre que l’employé ayant effectué un acte illégal. Par exemple, sur le
territoire français, le téléchargement d’images pédophiles ou racistes est un délit, donc passible de
sanctions judiciaires pour l’utilisateur comme, sous certaines conditions, pour son employeur. Que
dit la réglementation, quels sont les risques juridiques pour l’employé et pour l’employeur ?
Comment provoquer une auto discipline ou restreindre l’accès de certains employés, durant
certaines plages horaires ? Comment obtenir les listes de pages Web à interdire ou à conseiller ?
La solution à ce problème est simple : faire diminuer la consommation Web à des fins non
professionnelles, pour permettre et favoriser l’augmentation de la consommation Web à des fins
utiles aux missions des collaborateurs, et à leur enrichissement professionnel. Par voie de
conséquence, la bande passante du réseau sera bien employée, et il conviendra même, par des
fonctions de relais (proxy/cache) de l’augmenter en ne laissant sortir, vers l’Internet, que les
demandes de connexions nécessaires.
1.2.2 Les faiblesses de la messagerie
1.3 LES ATTAQUES
1.3.1 Le vol de données

Par où passe le voleur moderne, dans ce monde où l’information est devenue le bien le plus
précieux d’une entreprise ? Et bien par le modem de votre PC portable ou par le contrôleur Ethernet
de votre poste de travail fixe, qui branché sur le réseau de votre entreprise, met celui-ci à portée du
hacker et se trouve ainsi en grave danger. Mais le hacker n’est le plus souvent pas seul en cause.
Plus de 50% d’attaques réussies bénéficient d’une complicité à l’intérieur de l’entreprise. L’employé
est-il pour autant un indélicat potentiel ? Parfois oui, par esprit de vengeance ou par intérêt
inavouable, mais le plus souvent par manque de maturité vis à vis du problème de la sécurité. Si on
lui demande, par téléphone, au nom de son responsable, ou du responsable système, de fournir son
login et son mot de passe, parce qu’il y a un besoin urgent de le connaître pour mettre à jour les
postes de travail à distance avec un nouvel utilitaire indispensable, pensez-vous que tous réagiront
de manière professionnelle, en refusant de les donner ?
Et on voit alors, par exemple, la liste des salaires d’une entreprise publiée à l’extérieur, les dossiers
médicaux et autres renseignements des plus confidentiels dévoilés au grand public. L’employé
détenteur de ses données nominatives donc confidentielles et le chef d’entreprise peuvent alors être,
à juste titre inquiets car ils sont responsables devant la loi de la protection des données
confidentielles qu’ils détiennent, et se doivent de les protéger.
On entend souvent qu’entre le droit et l’Internet existe un grand vide juridique. Il n’en est rien, et le
chapitre 3 traite de ce sujet d’un point de vue juridique.
1.3.2 Les accès non autorisés

Pour offrir ou refuser à un utilisateur l’accès au réseau, il convient bien entendu d’authentifier cet
utilisateur afin de contrôler si la politique de sécurité de l’entreprise lui accorde le droit d’y accéder.
La solidité d’un système de protection est toujours celle de son maillon le plus faible, et souvent ce
maillon c’est précisément l’authentification. Il faut savoir que l’authentification d’un individu par son
mot de passe n’offre aucune garantie réelle de sécurité, surtout si ce mot de passe est re-jouable,
encore plus s’il n’expire pas dans le temps, et davantage encore si le mot de passe est laissé au
libre choix de l’utilisateur. De toute manière les mots de passe transitent en clair sur le réseau où ils
peuvent être facilement lus. Il existe aussi des utilitaires qui récupèrent les mots de passe sur les
disques pour essayer de les déchiffrer et ce n’est alors qu’une question de temps pour y parvenir.
Donc avant d’accorder une permission, il faut s’assurer que le bénéficiaire de cette permission est
bien celui qu’il prétend être, sinon il aura accès aux informations d’une autre personne, et le vol de
données potentiel sera difficilement identifiable puisque la personne autorisée semblera les avoir
prises.
1.3.3 Les dénis de services

Il n’est pas indispensable de chercher à pénétrer un réseau pour le mettre hors d’état, il suffit de le
saturer. Quoi de plus facile, avec un programme adapté, d’envoyer vers un serveur de messagerie
des milliers de emails par heures, ou de faire des centaines de milliers d’accès vers un serveur web,
uniquement pour monopoliser la bande passante et les ressources des serveurs, afin de les rendre
inaccessibles.
Mais l’assaillant sera découvert puisqu’il est facile de déterminer d’où viennent les attaques, pensez-
vous ? Non, même pas, car les attaques sophistiquées en dénis de service utilisent, en général, des
serveurs relais tout à fait honnêtes mais investis le temps du forfait, car manquant des sécurités
indispensables. Et il est alors plus difficile de remonter à l’origine des attaques. C’est ainsi que des
serveurs très sollicités dans le monde internet, comme yahoo, et même comme des serveurs
principaux de noms de domaines, qui constituent le talon d’Achille de l’Internet, ont cessé
virtuellement d’exister sur le net, durant quelques heures, au grand émoi de leurs centaines de
milliers d’utilisateurs quotidiens. D’autres serveurs non moins sérieux ont constitué les bases
avancées de ces attaques. Ce qui est arrivé sur ces serveurs, peut aussi arriver à vos serveurs sans
dispositif de protection, ou vos serveurs peuvent servir de relais d’attaque. Vous serez alors
responsables, bien que non coupables ou du moins inconsciemment non coupables, donc vous
pourriez être inquiétés par la loi.
1.3.4 Les attaques sur la messagerie

Partie prise en charge par Alexandre le Faucheur
Tout mél ouvert peut mettre en péril votre poste de travail et le réseau de l'entreprise et la
messagerie, échange le plus utilisé sur l'Internet constitue une menace grandissante pour les
réseaux d'entreprise. Les méthodes d'attaques ou de simple nuisance sont multiples.
Parmi les attaques les plus classiques citons :
Le mail bombing, tir de barrage contre votre boîte à lettres qui bloque vos ressources avec
pour but de causer un déni de service.
Le mass mailer qui crée à votre insu, par rebond sur votre boîte à lettres, des chaînes
maléfiques de e-mails, à votre nom, vers les destinataires de vos listes de
messagerie. Destinataires avec qui vous ne serez plus copains après.
Le spamming, véritable harcèlement électronique, mais sans mauvaises intentions en
principe, qui noie vos messages importants dans une forêt de messages non sollicités et dont
les contre-mesures aboutissent à supprimer des messages honnêtes et importants en même
temps que les spams.
1.3.4.1 Les pourriels (SPAM)
Partie prise en charge par Mahmoud Chilali (chilali@chilali.net)
1.3.5 Les attaques sur le Web

1.3.6 Les attaques par système d’exploitation

1.3.7 Les attaques combinées

1.3.7.1 Le phishing
Le phishing, la plus actuelle des menaces, repose sur trois impostures
et sur votre naïveté (nous sommes plus de 700 millions de pigeons
potentiels connectés sur l'Internet).
1. Envoi de l'hameçon : vous recevez un e-mail qui à l'air de venir d'un
destinataire de confiance, mais provient en réalité de l'attaquant.
2. Attente que ça morde : le e-mail vous demande de cliquer sur un
hyperlien qui vous dirige sur un site Web qui a l'air d'être celui d'un
site de confiance, d'après son adresse et le look de la page
affichée. C'est en réalité celui de l'attaquant.
3. Le site Web de l'attaque par phishing, sur lequel vous emmène la
deuxième imposture, vous demande, pour préparer la troisième
imposture, celle qui fait mal, d'entrer des renseignements tels que votre couple login et mot de
passe, vos coordonnées bancaires, votre numéro de carte de crédit... Avec ces renseignements,
comme l'attaque est en général à but lucratif, l'attaquant usurpe votre identité, en utilisant les
renseignements que vous lui avez aimablement fournis, pour vider votre compte bancaire ou
attaquer notre réseau.
1.3.7.2 Le panaché
Citons maintenant la combinaison redoutable entre toute, fléau des temps modernes qui arrive par la
messagerie. C 'est le quartet : spam + mass mailer + ver + phishing, le tout simultanément. Le
ver est là pour installer un logiciel espion, un cheval de Troie ou une porte dérobée sur votre poste
de travail, pour exploitation ultérieure. Par exemple le ver Bugbear.B, apparut en 2003 et véhiculé
par la messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active
automatiquement si vous contactez l'une des milliers de banques, dont plusieurs françaises,
contenues dans sa liste. Il envoie ensuite l'intégrale des échanges électroniques, entre vous et avec
votre banque, à on ne sait qui.
1.4 FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE,
On ne présente plus la menace des virus, des vers et autres codes malicieux, tels
que ILOVEYOU, Nimda et très récemment Bugbear et chaque jour apporte sa
moisson de nouvelles menaces, parfois de nouvelles catastrophes, souvent de
fausses alertes « les hoax ».
L’utilisateur qui a subit une perte de données qui lui étaient indispensables, et qui a
transmis à son insu, l’infection à tout le carnet d’adresses de sa messagerie, où
figurent les adresses email de ses clients, de ses fournisseurs et de ses partenaires comprend
immédiatement que les menaces ne sont pas que pour les autres, et que les dangers dont il apprend
l’existence sur l’Internet et dans la presse sont un risque pour lui-même qu’il convient de considérer
avec sérieux.
Cette menace, très visible, sournoise et de plus en plus sophistiquée, a donc eu au moins le mérite
de motiver l’utilisateur sur la nécessité de se protéger des dangers du réseau, mais les virus sont
loin d’être la seule menace qui peut empoisonner l’existence de l’utilisateur et détruire des
applications sur le réseau.
1.4.1 Face au virus Mydoom.A

Auteur Gérard Péliks – EADS – gerard.peliks@eads-telecom.com
En ces jours mémorables qui ont terminé le mois de janvier et débuté celui de février 2004, il était
difficile de passer à travers les tentatives des virus Mydoom A et B pour infecter votre poste de
travail. Un matin, en ouvrant ma messagerie, j’ai trouvé parmi les e-mails reçus quelques-uns dont la
provenance m’était inconnue. Ils ne m’étaient adressés ni par des clients, ni par des partenaires ou
des fournisseurs, et ce n’étaient pas non plus des newsletters auxquelles je suis abonné.
Mon premier sentiment fut de penser qu’il devait s’agir de spams, ces messages non sollicités
envoyés en nombre. Mais c’était curieux car notre entreprise a mis en œuvre un filtre anti spams très
efficace. De plus les titres des messages « hello », « hi » ou carrément des caractères aléatoires
dont l’assemblage ne constituait pas des mots, au moins en français ou en anglais, m’inspirèrent
l’idée qu’il devait s’agir de mails porteurs de virus ou de vers. Aussi les ai-je effacés sans les lire, et
sans aucuns regrets car je ne montre aucune pitié envers les quelques spams qui réussissent à
tromper notre filtre.
Mais au cours de la journée j’ai reçu d’autres e-mails dont les titres m’étonnèrent. Il semblait que des
messages que j’avais envoyés me revenaient avec un message d’erreur parce qu’ils n’avaient pas
pu atteindre leurs destinataires. Les titres des messages étaient du genre « Mail transaction failed ».
Là j’étais impliqué, qu’avais-je envoyé qui n’avait pas atteint son destinataire ? Le document que
j’étais censé avoir envoyé était-il important ? Devais-je renvoyer le e-mail non parvenu ? Sans
hésiter j’ai ouvert le premier de ces e-mails dont le destinataire m’était totalement inconnu.
Qu’importe, peut-être la pièce jointe allait-elle m’éclairer sur l’identité de ce destinataire car je sais
tout de même ce que j’envoie et à qui !
Au moment de cliquer sur la pièce jointe qui était censée contenir le mail revenu avec mon fichier
attaché, un doute s’empara de mon esprit et mon doigt resta suspendu au-dessus de ma souris. Et
si c’était un piège ? et si c’était un virus ? Avant de concrétiser un clic que je pouvais regretter, je
suis sorti de mon bureau pour demander autour de moi si d’autres avaient remarqué cette bizarrerie
incroyable de Outlook 2000 qui retournait, parce que non reçus, des messages jamais envoyés !
Devant la machine à café j'ai constaté que j’étais loin d’être le seul à m'inquiéter. Les conversations
allaient bon train, ce matin là, sur ces messages qui revenaient suite à un envoi qui n’avait jamais eu
lieu.
Le risque zéro étant la meilleure des pratiques en pareil cas, j’ai détruit tous ces messages et j’en ai
eu beaucoup d’autres les jours qui suivirent, venant de personnes que je ne connaissais pas, mais
aussi de partenaires, fournisseurs ou clients que je connaissais très bien et qui eux avaient donc
sans doute été infectés.
Ainsi fut en ces jours de virulence extrême mon vécu face au virus Mydoom-A. Ce que j’ai appris
plus tard, c’est qu’en réalité je ne risquais rien car notre anti virus d’entreprise avait très tôt détecté le
virus et remplaçait systématiquement le fichier en attachement des e-mails, contenant la charge «
utile » par un fichier texte qui avertissait que la pièce jointe avait été mise en quarantaine suite au
soupçon d’une attaque virale.
Tirons la principale leçon de cette histoire. La meilleure défense contre vers et virus, de même que
contre d’autres menaces est d’avoir systématiquement, par défaut, un instinct sécuritaire. Mieux vaut
perdre un e-mail, effacé à tort, que perdre ses données et peut-être son réseau. Mieux vaut
s’abstenir de télécharger par le Web un fichier important mais sans origine certifiée que chercher
ensuite ses images et ses fichiers PowerPoint et Word qui auront disparu et toujours au moment où
on en a un besoin indispensable. Si l’e-mail effacé était vraiment très important, l’expéditeur vous
contactera en s’étonnant de n’avoir pas eu de réponse de votre part. Vous ne vous serez pas fait un
ami, mais vous aurez peut être évité d’avoir comme ennemis toutes vos connaissances dont vous
avez entré les adresses e-mail dans vos listes de distribution.
Prenons une analogie : si on vous disait que dans le courrier, celui à base de papier à lettre qui
aboutit dans votre boîte, il pouvait y avoir des lettres piégées et qu’il suffisait pour le prouver de
remarquer tous vos voisins avec des gueules de travers pour ne pas s’en être méfié, ouvririez-vous
sans méfiance les enveloppes dont vous n’êtes assurés ni de la provenance ni de l’expéditeur ? Il
faut réagir de même avec les e-mails. Les virus de ces derniers temps, très médiatisés, vont au
moins présenter l’avantage de faire évoluer les mentalités. Le e-mail ne doit plus être considéré
comme un texte anodin dont la lecture au pire vous fait perdre du temps. Un e-mail qui vous éclate
en plein poste de travail peut marquer la fin de votre système d’information.
La deuxième leçon est qu’il est indispensable d’activer un antivirus d’entreprise efficace qui filtre les
échanges entre l’extérieur et votre réseau interne. Il faut aussi sur chaque poste de travail un
antivirus personnel qui filtre les échanges entre votre Intranet et le poste de travail, car on peut
supposer que vous ou quelqu’un sur votre réseau charge sur son poste de travail des fichiers à partir
de CDROM, de disquettes, ou simplement n’est pas aussi attentif que vous face à l’insécurité du
réseau et cet inconscient peut aussi vous envoyer des e-mails à partir de l’intérieur du réseau ?
Analysons ce qu’était ce fameux virus Mydoom. C’est un « mass-mailer », un virus qui, lorsqu’il vous
contamine, se communique automatiquement à toutes les adresses qu’il trouve dans vos listes de
messagerie. Si vous avez reçu de nombreux e-mails contenant ce virus, c’est que votre adresse e-
mail figure dans beaucoup de listes de messagerie d’ordinateurs qui ont été infectés. Comment sait-
on qu’un message reçu contient ce virus ? Par le titre d’abord, qui présente plusieurs variantes : « hi
», « hello » ou carrément comme nous l’avons déjà évoqué « Mail Transaction Failed » ou « Mail
Delivery System ». Ensuite le e-mail, dont le corps du texte parfois contient des caractères unicode,
donc pas toujours lisibles, est accompagné d’une pièce jointe par laquelle le mal arrive. Un
exécutable joint à un message ne doit jamais être exécuté car la présomption de virus est maximale
surtout si l’extension de la pièce jointe est un ".exe". Mais si c’est un « .zip », vous pensez que
l’ouvrir ne vous engage à rien puisque vous allez simplement exécuter votre utilitaire Winzip qui va
vous indiquer si l’extension du fichier attaché est ou n’est pas un « .exe » ? Attention !!! ce virus là,
et sans doute ceux qui suivront, sont très malins. Vous croyez exécuter un « .zip », mais le nom du
fichier « document.zip », par exemple, est suivi de quelques dizaines d’espaces pour se terminer par
… sa vraie extension « .exe » ! Suivant la configuration de votre écran, soit cette extension est
cachée dans la partie non visible de votre écran sur la droite, soit elle n’apparaît que sur la ligne du
dessous et jamais vous n’allez remarquer cette ligne ! Vous n’avez alors plus que vos yeux pour
pleurer sur votre écran qui reste figé, sur le « Ctrl Alt Supr » qui met un temps infini à agir ou sur vos
fichiers perdus !
Mais rassurez-vous, dans le cas de Mydoom-A, chez vous point de fichiers perdus, car
ce n’est pas vous qui êtes visés en réalité, vous n’êtes dans cette histoire qu’un tremplin
malchanceux bien que coupable d’avoir été naïf ou inconscient devant l’insécurité du
réseau. La cible de Mydoom-A, ce n’est pas vous donc, c’est SCO, cet éditeur de
logiciel de la lointaine côte ouest des Etats Unis qui affirme avoir des droits sur le
système UNIX, se mettant à dos en particulier la communauté des logiciels libres. Mydoom-A installe
sur les postes de travail une porte dérobée qui lui permet, à une date déterminée, d'utiliser votre
poste contaminé pour bombarder de requêtes le serveur Web de SCO, le saturer et le faire tomber.
L’attaque s’est déclenchée le 1er février. Le serveur Web de SCO a été agressé ce jour là par
plusieurs centaines de milliers de postes de travail qui le sollicitaient sans relâche, et SCO a préféré
retirer son serveur Web du paysage Internet. Si votre poste de travail était contaminé et que vous
étiez connectés sur le réseau ce 1er février, vous avez peut-être participé à votre insu à cette curée.
1.4.2 Les logiciels espions

Auteur Gérard Péliks – EADS – gerard.peliks@eads-telecom.com
On se pose parfois la question : « mais pourquoi ce logiciel si puissant est

disponible gratuitement en téléchargement sur l’Internet ? Qui finance ses
développements ? » Cette question est pertinente quand on connaît le
coût de développement d’un logiciel !
La réponse est parfois aussi simple qu’inquiétante. Le développement du
logiciel gratuit peut être financé par un logiciel espion qui s’installe, à l’insu
de l’utilisateur, et qui renseigne une régie publicitaire ou pire un organisme
de guerre économique travaillant pour un concurrent, sur vos habitudes
de navigation, parfois même lui envoie des fichiers récupérés sur votre disque. Vous doutez que ce
scénario puisse refléter la réalité ?
Ne vous êtes-vous jamais étonné quand parfois, votre poste de travail fait des accès disque ou
réseau, alors que vous ne pressez aucune touche, et ne sollicitez pas votre souris ? Ne vous êtes-
vous jamais étonné que votre curseur se bloque par intermittence, suite à l’occupation de vos
ressources par quelque chose qui vous échappe ?
Parfois c’est bien dû à un logiciel espion, qui tapi au fond de votre disque, se réveille pour envoyer à
l’extérieur les renseignements confidentiels que votre disque contient. Aujourd’hui, alors que se
déchaîne la guerre électronique, où le renseignement est roi, la menace omniprésente sur le réseau,
et les hackers malveillants ou professionnels toujours plus nombreux, il ne faut plus négliger ce type
de menace.
Vous doutez encore que votre disque puisse contenir un ou plutôt plusieurs logiciels espions ?
Téléchargez et installez le logiciel gratuit ad-aware qui se trouve sur le web www.lavasoft.de
(rassurez-vous, celui-ci ne contient pas de logiciels espions, et passe pour être le meilleur des
logiciels pour trouver et éradiquer de votre disque ce genre de menaces). Vous serez fixé ! et peut-
être après éradication de ces logiciels espions, votre poste de travail offrira de meilleures
performances.
1.5 LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS,

Partie prise en charge par Franck Franchin (France Telecom)
1.5.1 Les hoax
1.6 LES MENACES SUR LES POSTES NOMADES

Partie prise en charge par Olivier Caleff (Apogée Communications) / Alexandre le Faucheur (VALEO)
Déjà à l’intérieur de l’entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire
de l’attacher à un point fixe par un cordon d’acier, et d’utiliser l’économiseur d’écran quand vous
vous absentez provisoirement de votre bureau. Que dire alors des risques qu’il encourt quand vous
le sortez de l’entreprise !
Justement parlons-en.
Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année
en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles
par exemple des PC portables, paraît-il, disparaissent. Ce n’est pas toujours l’œuvre
de simples voleurs intéressés par la valeur marchande du PC le plus souvent très
inférieure à celle des informations stockées sur son disque dur. J’ai connu une
situation, lors d’un salon, il y a quelques années, où la paroi de la remise d’un stand avait été forcée
durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient
disparu. Au-delà de la gène évidente pour leurs propriétaires, l’un des portables contenait le
planning et l’évolution des fonctionnalités des produits conçus et commercialisés par l’entreprise et
les carnets d’adresses des partenaires et des clients. Que pouvait espérer le
propriétaire de mieux qu‘un miracle fasse qu’une météorite tombât sur son PC volé en
détruisant son disque dur avant que son contenu ne soit exploité ! Mais la probabilité
pour que ce miracle se produise n’est pas bien grande. Ajouté à cela, durant la journée,
des coffres de voitures avaient été forcés sur le parking du salon et un autre PC
portable avait été dérobé !
Ce n’est pas sur l’espoir d’un miracle que doit reposer la sécurité des données contenues dans les
postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état
d’esprit, une politique de sécurité, et des outils correctement paramétrés.
Durant la connexion votre poste nomade peut présenter un danger pour l’intégrité du système
d’information de votre Intranet car il est exposé aux attaques dites « par rebond » qui permettent à
un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour
arriver directement dans l’Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade
des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre
VPN est activé, le poste nomade n’accepte aucune connexion autre que celle arrivant par le VPN.
Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l’Internet.
Quand vous n’avez plus besoin d’être connecté à l’Intranet ou simplement quand vous quittez
provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur.
Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair
ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences
catastrophiques pour notre système d’information. Ce n’est pas une raison, bien sûr pour relâcher
votre vigilance.
Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé
mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers
échappent évidemment au contrôle de l’antivirus de l’entreprise. Une fois le poste nomade connecté
à l’Intranet, il peut infecter son système d’information. Il est indispensable, avant tout chargement de
fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste
nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut
pas prendre le risque de le charger sur votre disque dur.
1.7 LE CAS DU RESEAU SANS FIL

Auteurs Michèle Germain (ComXper) ComXper@free.fr et Alexis Ferrero (OrbitIQ) alexisf@OrbitIQ.com
1.7.1 La "révolution" radio

1.7.1.1 Le WLAN dans le paysage informatique
Le nomadisme évoqué ci-dessus se faisait sur un réseau filaire, par conséquent dans un espace
connu, relativement bien maîtrisé. L'avènement des réseaux voix et données radio - les WLAN -
change les habitudes des utilisateurs et étend encore leur rayon d'action en faisant abstraction du fil.
L'utilisateur, de nomade qu'il était, devient mobile. La presse, la fréquentation des "hotspots", sont
les signes de l'engouement du public pour le WLAN.
Les WLAN reposent en majorité sur les standards 802.11b et 802.11g de l’IEEE, plus
communément connus sous le label « Wi-Fi ».
Les utilisations du WLAN sont nombreuses. Citons tout d'abord le "hotspot", c'est à dire
l'infrastructure radio ouverte dans un lieu public qui permet à chacun de se connecter à l'Internet ou
à l'Intranet de son entreprise. L'intérêt est évident à la fois pour l'usager et pour le fournisseur du
service, celui-ci pouvant offrir l'accès Réseau à un nombre quasi illimité d'usagers et avec un
investissement minimal, c'est à dire sans avoir à déployer des câbles et des prises. Les hotspots,
dont l'usage a été autorisé en France fin 2002 par l'ART, se multiplient dans les lieux de passage
(aérogares, gares, hôtels, cafés, etc.).
Une autre application est le WLAN privé pour l'usage exclusif d'une entreprise ou d'un particulier. Le
WLAN peut être utilisé seul pour constituer un réseau avec un minimum d'infrastructure. Cette
configuration est souvent utilisée dans le domaine résidentiel ou SoHo, en premier lieu pour partager
un accès ADSL entre plusieurs stations, l’interconnexion des stations n’étant pas nécessairement le
besoin premier.
En entreprise, le WLAN est adopté pour offrir un service de mobilité informatique (présence au
chevet des malades en milieu hospitalier, inventaires en entrepôt, accueil de visiteurs dans des
centres de conférence, etc.). Le WLAN constitue également une solution complémentaire au LAN
filaire pour couvrir des zones difficiles d'accès ou difficiles à câbler. En particulier, le WLAN est
apprécié dans des bâtiments historiques classés où les possibilités de câblage sont limitées et
strictement contrôlées.
Des liaisons point à point Wi-Fi sont parfois mises en œuvre pour réaliser des ponts radio entre les
réseaux filaires de bâtiments séparés.
Enfin, la plupart des ordinateurs portables sont maintenant équipés nativement d’une carte ou d’un
module Wi-Fi intégré pour se raccorder aux réseaux Wi-Fi. « Centrino » de Intel est un package
technologique Wi-Fi qui équipe de nombreux ordinateurs.
1.7.1.2 Constitution d’un WLAN
Dans la configuration considérée dans ce document, le WLAN est constitué de points d’accès (AP)
connectés sur une infrastructure filaire qui peut supporter des équipements fixes (serveurs, postes
fixes…). Le schéma ci-dessous représente un WLAN dans sa forme la plus simple.
1.7.1.3 Les spécificités d'un réseau radio

Les menaces qui pèsent sur le poste nomade pèsent également sur le poste mobile, mais il existe
d'autres dangers inhérents au support radio.
La propagation des ondes radio
Un réseau filaire est relativement bien maîtrisé, dans le sens où il se développe sur une
infrastructure fixe, le câble, dans un lieu donné, le bâtiment, et est accessible uniquement depuis un
nombre limité de points connus, les prises. Ceci permet notamment d'interdire toute utilisation
frauduleuse du réseau en dehors des lieux qu'il dessert.
Il n'en est pas de même du réseau radio puisque les ondes ne connaissent ni murs ni frontières :
une borne placée devant une fenêtre, rayonne sans vergogne dans la rue, les murs laissent toujours
passer une partie du signal, et la portée du réseau dépasse largement la zone à couvrir. Sans
précaution, un pirate peut se connecter sur votre réseau, accéder à l’Internet depuis votre propre
compte et intercepter les transactions entre vos ordinateurs.
Les perturbations radio
Un autre problème du WLAN est la qualité de la transmission. Les réseaux de type Wi-Fi
fonctionnent dans une bande de fréquences d'usage libre qui, contrairement aux fréquences DECT
ou GSM, n’est pas réservée à des applications déterminées, en l’occurrence aux WLAN. Ainsi, votre
réseau radio pourra-t-il être perturbé par celui du voisin, mais aussi être perturbé ou perturber
nombre d'utilisations sans rapport avec le Wi-Fi : télécommandes (portails, voitures), systèmes
d'alarmes, fours à micro-ondes, radioamateurs, etc.
En dehors de ces éléments perturbateurs, la transmission radio est également soumise à ses
propres aléas. En particulier, les conditions météorologiques peuvent être à l'origine d'une
dégradation de la transmission.
La plupart des problèmes liés à la transmission radio (mauvaise propagation, perturbations…)
peuvent être contournés par une étude préalable d'ingénierie radio. Celle-ci vise à rechercher le
meilleur emplacement pour installer les points d’accès en fonction de la configuration des lieux et de
la nature de l'environnement (murs, mobilier métallique). Il sera aussi nécessaire de prendre en
compte la présence d'équipements fonctionnant dans la même bande de fréquence avec une
attention particulière pour les équipements Bluetooth qui fonctionnent dans la même bande de
fréquences.
Le facteur humain
Cette menace, strictement humaine, n'en est pas moins réelle. L'usager mobile ou nomade qui
utilise son ordinateur dans des lieux publics (gare, aéroport…), le fait parfois pour le plus grand
intérêt de voisins indélicats et non innocents qui ont les yeux rivés sur l'écran. Les moins scrupuleux
n’hésiteront pas à établir une liaison pirate avec l’ordinateur à l’insu de son propriétaire.
1.7.1.4 Le contrôle de l’accès au réseau
L’accès au réseau radio est contrôlé au cours de différentes étapes :
L’attachement
C’est l’opération par laquelle le point d’accès et le poste mobile se reconnaissent mutuellement en
tant que constituants d’un même réseau. En effet, si plusieurs réseaux se
chevauchent, il est bon de s’assurer que l’on se connecte sur le sien et non sur
celui du voisin.
L’attachement joue en gros le rôle de la prise sur un réseau filaire. Il est basé
sur l’échange d’un identifiant réseau, SSID pour un réseau Wi-Fi.
L’authentification
L’authentification permet de s’assurer de l’identité et des droits de l’usager pour lui
accorder le droit de se connecter, en regard de la politique d’utilisation du réseau. Elle est
généralement réalisée par un mécanisme défini par le protocole et peut aussi mettre en
œuvre des solutions additives basées sur des protocoles d’authentification plus rigoureux.
La phase d’authentification peut également être supprimée dans des réseaux qui, tels les
hotspots, ont pour vocation de recevoir tout utilisateur qui en fait la requête. Elle doit alors se faire au
niveau du portail Web (niveau applicatif).
La communication
Une fois l'utilisateur authentifié et autorisé, et donc associé à une catégorie, toutes les transactions
qu'il va opérer au travers du WLAN sont encore soumises à un niveau élevé de contrôle et de
surveillance.
Il s'agit d'une part de se protéger contre les écoutes indélicates (eavesdropping), mais
aussi potentiellement contre les attaques véhiculées par le trafic lui-même.
La protection contre les premiers risques consiste à crypter les communications, celle
contre les seconds consiste à contrôler le contenu du trafic contenu à l'aide d'un
firewall et/ou d'un IDS (Intrusion Detection System) orienté sans-fil.
Le cryptage
Le protocole prévoit un chiffrement mis en œuvre sur les trajets radio de l’information,
c’est à dire entre les points d’accès et les postes mobiles. Dans un réseau Wi-Fi, le
chiffrement est réalisé par le WEP ou l’AES. Le chiffrement peut également être
inhibé, notamment dans les hotspots.
Il est également possible d’appliquer un chiffrement de bout en bout qui se superpose au chiffrement
radio, au moyen d’un protocole de niveau applicatif (SSL) ou au niveau réseau (IPSec).
1.7.2 Les préoccupations de l’Administrateur Réseau

La sécurité est la préoccupation critique d'un Administrateur Réseau confronté au Wi-Fi, d'une part
parce que les faiblesses des technologies ont été très largement rapportées et
commentées par la Presse, d'autre part parce qu'il s'agit d'une approche effectivement
nouvelle du sujet qui présente une grande diversité.
Comme nous l'avons vu, le Wi-Fi repose sur une transmission radio, généralement
omnidirectionnelle, de type broadcast, (diffusion générale) où tout le monde peut
écouter toutes les communications, voire transmettre des paquets en prétendant être
un autre équipement (impersonation). A la différence des réseaux locaux de ces dernières années
qui ont vu le remplacement du câble Ethernet par une arborescence de commutateurs, le WLAN est
implicitement ouvert et par là, présente une forme de vulnérabilité spécifique. Les constructeurs et
organismes de standardisation se sont donc employés à développer des méthodes de protection
capables de fournir un niveau de sécurité comparable aux réseaux "câblés", voire supérieur.
Pour un administrateur réseau, le développement d'un réseau Wi-Fi en extension de son LAN câblé,
ne peut être envisagé s'il présente une vulnérabilité supérieure à l'architecture déjà en place ou bien,
si le réseau Wi-Fi apparaît comme un maillon faible, mettant en péril l'ensemble de l'infrastructure
(tel un cheval de Troie).
En entreprise, la connexion d'un poste Client au réseau Wi-Fi est considérée comme celle d’un
poste nomade via modem téléphonique, donc au travers d'une infrastructure non-sûre. On applique
donc des procédés très comparables : authentification forte de la connexion et cryptage des
communications.
Un certain nombre de compléments fondamentaux est apporté par des solutions spécialisées,
comme des filtres ACL, un firewall, un IDS, parallèlement à la détection de tout événement pouvant
être la prémisse d'une attaque Wi-Fi.
1.7.3 Risques et attaques

Du fait des faiblesses des solutions standards, de nombreux risques existent en Wi-Fi, dont
typiquement les Fake AP, Rogue AP, Honey Pot, Man in the Middle dont on parle le plus souvent,
mais aussi les attaques par déni de service (DoS) et intrusion.
Le piratage du WLAN peut viser plusieurs objectifs, dont le premier est de disposer gratuitement
d'un accès Internet en se connectant depuis l'extérieur sur le réseau radio d'un particulier ou d'une
entreprise. Outre l'aspect financier, l'attaque peut mener au déni de service, si le hacker occupe
toute la bande passante, par exemple en envoyant des spams. Le hacker peut également mener
des attaques sur l’Internet et visiter des sites terroristes ou pédophiles en toute impunité… puisque
le responsable identifié sera le propriétaire du réseau attaqué !
Les autres attaques relèvent du désir de nuire en s'infiltrant sur le réseau dans le but d'accéder à
des informations, voire même de modifier ou détruire ces informations.
1.7.3.1 Dénis de service
Ces attaques visent à rendre le réseau inopérant. Contre elles, il n'existe pas de moyen de se
protéger et l'administrateur est contraint de se déplacer et d'agir sur place, éventuellement aidé
d’outils de localisation.
Le brouillage (jamming)
Le brouillage d’un réseau radio est relativement facile à réaliser avec un équipement radio
qui émet dans la même bande de fréquence que le réseau Wi-Fi. Il ne présente aucun
risque d’intrusion, mais constitue un déni de service efficace. Au-delà d’une certaine
puissance, le brouillage peut saturer les équipements physiques du réseau attaqué et le
rendre totalement inefficace.
Accès en rafale
Les attaques DoS, qui ne sont pas propres au sans-fil, consistent à bloquer l'accès au réseau par un
trafic ou des connexions malveillantes en rafale (trames d'authentification/association), en dégradant
très significativement la qualité des communications ou en générant une charge de traitement sur les
équipements réseau ou client (requêtes de probe). Des outils permettent de détecter ce genre de
flux, de générer un avertissement et d’aider l'administrateur à localiser la source de l'attaque.
Certains commutateurs Wi-Fi sont capables de se défendre d’eux-mêmes en bloquant l’accès Wi-Fi
dès détection d’un flux anormal de trafic entrant.
Spoofed deauthenticate frames (désauthentifications forcées)
Ce type d’attaque consiste à générer des trames qui visent à annuler l’authentification d’un poste
mobile. Celui-ci ne peut plus se reconnecter sur le réseau.
Une autre attaque consiste à envoyer des trames broadcastées, c’est à dire sans adresse définie,
qui attaquent de la même façon tous les postes mobiles à portée.
1.7.3.2 Intrusions
L’Intrusion Client
Cette attaque consiste à exploiter les vulnérabilités du client pour accéder au réseau.
Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre la
partie WLAN et le reste de l'infrastructure réseau, qui garantit un niveau de sécurité au moins égal à
celui de l'environnement câblé.
L’Intrusion Réseau
C'est une des attaques les plus critiques. Une intrusion réseau vise à prendre le contrôle des
ressources réseau d'une entreprise.
Les protections contre ce risque sont les systèmes IDS dédiés au Wi-Fi, qui vont chercher à corréler
plusieurs évènements douteux pour déterminer si le réseau ou un système particulier est en train de
subir une intrusion
1.7.3.3 Falsification des points d’accès
Le Fake AP (faux AP)
Le faux point d’accès (Fake AP) n'est pas un véritable AP, mais une station du réseau.
Des logiciels (généralement sous Linux) permettent de faire apparaître l'interface Wi-Fi d'un poste
client comme un point d’accès et de configurer son SSID et adresse MAC dans un but
d'impersonation.
Le PC du hacker joue le rôle de point d’accès en usurpant le SSID du réseau et peut donc récupérer
les connexions Wi-Fi des utilisateurs :
• pour se livrer à une attaque man-in-the-middle en
reproduisant donc au fil de l'eau les trafics vers
le réseau WiFi, et récupérer ou déduire les
données de sécurité,
• pour récupérer les mots de passe sur une page
Web identique au serveur d'authentification (cas
d'une authentification Web),
• ou simplement pour pirater les PC clients s'il n'y a aucune sécurité.
Le Rogue AP (AP indésirable)

La faille de sécurité dite Rogue AP est la plus redoutée en entreprise.
L’attaque consiste à brancher sur le réseau un point d’accès pirate qui diffuse dans une zone où
peut se trouver le hacker. Elle nécessite certaines complicités au sein de l’entreprise.
La faille de sécurité peut aussi être ouverte
« innocemment » et sans intention malveillante quand un
utilisateur du réseau, par commodité au niveau de ses
bureaux par exemple, connecte un AP sur la prise
Ethernet murale, lui conférant une certaine mobilité avec
son ordinateur à l'intérieur de la cellule ainsi créée. Ces
installations pirates sont particulièrement dangereuses
parce qu'elles ouvrent le réseau de l'entreprise au monde
Wi-Fi, généralement avec un niveau de sécurité
insuffisant.
Au pire, l'AP est un ordinateur qui peut fonctionner comme un pont, créant un Wireless Bridge, à
savoir un lien entre le réseau Wi-Fi et le réseau local câblé.
Le pot de miel (honeypot) inversé
L’attaquant installe dans la zone de couverture du réseau radio un point d’accès avec un signal plus
fort qui cherche à apparaître comme faisant partie intégrante du réseau de la société pour attirer les
postes clients (utilisation du même SSID), et les laisser se connecter (au niveau WLAN).
De cette façon le pot de miel espère pouvoir espionner la phase de connexion, pour en déduire les
paramètres utiles, quitte à effectivement reproduire simultanément la phase de connexion vers le
réseau réel (cas du Man in the Middle).
1.7.3.4 Impersonation (Usurpation d’identité)

Ce type d'attaque consiste à prendre la place d'un poste mobile ou d'un point d’accès valide dans le
but d'accéder au réseau ou aux services. Elle peut être la conséquence d’une attaque de type Fake
AP.
Elle peut se faire au niveau du poste mobile en usurpant son adresse MAC ou au niveau du point
d’accès en usurpant son adresse MAC et son SSID.
Dans le pire des cas, les éléments du réseau n'étant pas aisément localisables en transmission
radio, un AP frauduleux peut inviter un client à se connecter au réseau par son accès et en déduire
les éléments d'authentification de ce client.
1.7.3.5 Probing et Découverte du réseau
Bien que la découverte du réseau soit une des fonctions initiales normales de Wi-Fi, c'est aussi une
des premières étapes qu'un intrus doit accomplir, et au cours de laquelle il faut essayer de le
détecter, même s'il est assez peu "bavard".
Le Wardriving et le Warchalking
Les pratiques de Wardriving utilisées par les hackers qui se déplacent avec un poste mobile à
l'écoute des réseaux radio pour les repérer et les signaler sur une carte sont bien connues.
L'association à un système GPS permet de dresser une cartographie des
points de présence de réseaux radio.
La pratique du Warchalking consiste à matérialiser la présence de ces
réseaux en taggant des signes convenus dans les rues :
Les équipements nécessaires se trouvent aisément dans le commerce et
des logiciels libres de Wardriving sont disponibles sur l’Internet. Certaines
listes de hotspots trouvées sur l’Internet ne donnent pas que les hotspots
« officiels » des cafés et restaurants, mais incluent également des sites
victimes du Wardriving.
Des équipements sont capables de détecter l'emploi des applications de
Wardriving les plus répandues (Netstumbler, Wellenreiter et AirSnort sous
Linux) grâce à leur "signature" spécifique, et d'envoyer un message
d'avertissement à l'administrateur du réseau. A ce stade aucune agression n'a encore été menée
contre le réseau, mais il est indispensable de savoir qu'il est sous "observation" extérieure.
Le Warflying
L’emploi d’antennes omnidirectionnelles pour les AP Wi-Fi permet une excellente propagation de
ceux-ci à la verticale, d’autant plus excellente qu’il ne s’y rencontre guère d’obstacles. Les hackers
les mieux équipés pratiquent ainsi le Warflying depuis des hélicoptères ou de petits avions volant à
1500 – 2500 pieds.
1.7.3.6 Récupération des informations sensibles du réseau
Par « informations sensibles », on entend les informations qui vont permettre au hacker de se
connecter au réseau attaqué, à recueillir en clair les informations qui y circulent, d’introduire lui-
même ses informations sous forme de virus, de vers, voire de données erronées ou encore de
détruire des données.
L’intrusion par sniffing
Le principe est le même que sur les réseaux Ethernet et utilise un sniffer qui capture les messages
d’ouverture de session pour récupérer le nom et le mot de passe. Il suffit au sniffer d’être dans la
zone de couverture radio du réseau, soit dans un rayon d’une centaine de mètres autour d’un point
d’accès. Munis d’un amplificateur de signal (une simple boite de biscuits peut faire l’affaire), les
sniffers ont la possibilité de travailler avec des signaux particulièrement faibles, ce qui leur permet
d’augmenter cette distance. L’écoute étant passive, l’attaquant a peu de chances de se faire
remarquer.
La zone de couverture du réseau doit être comprise dans son sens le plus large. Il ne s’agit pas
seulement de la couverture fournie par les points d’accès, mais aussi de la zone dans laquelle
rayonnent les terminaux raccordés au réseau, même éloignés. Ainsi, un usager travaillant dans un
hotspot d’aéroport loin de son entreprise devient une cible potentielle pour un hacker et l’Intranet de
la victime peut être alors attaqué par rebond depuis son poste nomade. L’attaquant peut ensuite se
connecter comme un utilisateur légitime (spoofing) puis envoyer toutes sortes de commandes, virus,
etc. sur le réseau.
Un moyen plus pernicieux consiste à forcer la déconnexion abusive d'un client pour pouvoir déduire
les éléments d’authentification et de chiffrement en observant la phase de reconnexion qui s'ensuit.
Écoute malveillante (Eavesdropping)

L’écoute malveillante consiste à observer et décoder le trafic du réseau. Comme évoqué
précédemment, certains modes de cryptage possèdent des faiblesses intrinsèques qui permettent
de "craquer" le codage (le temps de traitement est inversement proportionnel à la quantité de trafic
espionné). La principale protection est l'emploi d'un cryptage fort. Au WEP standard, peu robuste, on
préférera un VPN SSL ou IPSec.
1.7.3.7 Attaque au niveau de la station
Attaque par rebond
Le hacker se connecte à la station et constitue
avec elle un réseau « ad-hoc », c’est à dire sans
infrastructure de distribution, et peut accéder au
réseau de l’entreprise par rebond sur cette
station.
Ce type d’attaque n’est pas propre au poste
mobile. Des postes fixes équipés d’une option
WiFi non désactivée sont tout autant vulnérables.
1.8 L’INGENIERIE SOCIALE

Auteur : Franck Franchin (France Telecom) franck.franchin@francetelecom.com
L’ingénierie sociale (ou « social engineering ») est une pratique qui consiste à exploiter le maillon
souvent le plus faible d’un système ou d’un processus de sécurité : le « facteur humain ».
Nous allons présenter quelques techniques couramment utilisées par ces piratages qui préfèrent
« hacker » des humains plutôt que des systèmes informatiques.
On peut distinguer deux types d’attaques en ingénierie sociale :
l’attaque ciblée sur une entreprise ou un individu – Ce type d’attaque repose sur la
connaissance précise d’une organisation, des pratiques spécifiques à des métiers dans une
volonté déterminée de nuire ou de tirer un profit précisément identifié.
l’attaque de masse, sans cible spécifique (bien qu’il puisse exister des cibles génériques :
banques, organisme de défense nationale) – Ce type d’attaque est basé sur des
comportements humains et/ou internautes bien connus (lettre pyramidale, pièce jointe pour
adultes, usurpation d’identité non détectée)
Avant toute attaque de type ingénierie sociale, l’agresseur va chercher à se renseigner sur les
organisations et/ou les personnes qui sont ou seront ses cibles. Il va utiliser des attaques de type
rebond : une information disponible permet d’en obtenir une autre, etc. Ces informations sont
obtenues soit par une « attaque humaine », soit par une « attaque informatique » qui utilise de la
technologie pour tromper une personne (exemple : site factice Ebay). Elles permettent entre autre
d’humaniser la relation avec la victime potentielle en obtenant des information de « proximité » : date
et lieu de naissance, club de sport, marque du véhicule, nom de la petite amie, etc.
Une fois ces informations glanées et les victimes identifiées, voici quelques techniques et méthodes
bien connues que va mettre en œuvre l’agresseur :
L’approche directe – L’agresseur va entrer en relation avec sa victime et lui demander
d’effectuer une tâche particulière, comme lui communiquer un mot de passe. Quand bien même
le taux d’échec de cette méthode soit important, la persévérance de l’attaquant est souvent
statistiquement couronnée de succès.
Le syndrome « VIP » - L’attaquant va se faire passer pour une personne très importante et
légitime (directeur de l’entreprise, officier de police, magistrat, etc.) pour faire pression sur sa
victime et par exemple demander un accès à distance au système d’information parce qu’il a un
urgent besoin de remettre un document confidentiel au Président
L’utilisateur en détresse – L’attaquant prétend être un utilisateur qui n’arrive pas à se connecter
au système d’information (stagiaire, intérimaire). La victime croit souvent rendre service à cette
personne fort sympathique et dans l’embarras.
Le correspondant informatique – L’agresseur se fait passer pour un membre de l’équipe du
support technique ou pour un administrateur système qui a besoin du compte utilisateur et du
mot de passe de sa victime pour effectuer par exemple une sauvegarde importante.
L’auto-compromission (RSE – Reverse Social Engineering) – L’attaquant va modifier
l’environnement de sa victime (ordinateur, bureau physique) de manière aisément détectable
afin que ce dernier cherche de l’aide en la personne de l’agresseur. Le contact s’effectue via
une carte de visite laissée sur place, un courrier opportun ou un coup de fil anodin.
Le courrier électronique – Deux types d’attaque sont possibles : le code malicieux (virus, vers)
en pièce jointe qu’il est nécessaire d’ouvrir (hors exception) pour l’activer ou les hoax.
Le site Internet – Un site web de type jeu/concours peut demander à un utilisateur de saisir son
adresse de courrier électronique et son mot de passe. Statistiquement, le mot de passe ainsi
donné est très proche, voire identique, au mot de passe de l’utilisateur sur son système
d’information.
Le vol d’identité – L’attaquant a obtenu suffisamment d’information sur la victime ou une des
relations de la victime pour s’identifier et s’authentifier. Il lui suffit alors d’endosser cette nouvelle
identité.
Au cours de ces dernières années, cet art de la persuasion s’est transformé quelquefois en art de la
menace. Certains attaquants ont eu recours à des méthodes proches du chantage ou de l’extorsion,
en menaçant par exemple leur victime de les dénoncer à leur patron suite à des échanges de
fichiers à caractères pornographiques.
Malgré le sentiment commun « ça n’arrive qu’aux autres », il n’est pas si facile de se protéger contre
des attaques de types ingénierie sociale. Les agresseurs sont souvent très experts dans leur
démarche, jouent sur le registre de l’entraide et de l’humain, la plupart du temps sans être agressif,
ont appris à improviser, à faire appel aux meilleurs sentiments de leurs victimes et surtout
construisent souvent une première relation inter-personnelle avant de rechercher réellement à
soutirer des informations.
Quelques bonnes pratiques de sensibilisation permettent toutefois de réduire les risques.
Tout d’abord il faut informer sur les méthode utilisées, puis il peut être nécessaire de fournir
quelques lignes directrices pour les contrer :
La politique de sécurité de l’information doit clairement définir les rôles et responsabilités de
chacun, comme par exemple les droits d’accès et les droits de savoir des équipes de support
technique.
Les responsables doivent accepter de limiter leurs périmètres au « besoin de savoir » et cette
limitation doit être connue de tous dans l’entreprise.
La politique de nommage des adresses de courrier électronique, des applications, des rôles et
plus généralement la politique de diffusion des annuaires de l’entreprise doit être renforcée et
contrôlée vis à vis de l’extérieur.
Les utilisateurs doivent prendre l’habitude d’identifier et d’authentifier les personnes, les messages
ou les applications qui leur demandent d’effectuer certaines tâches sensibles. Une procédure ad-hoc
doit être aisément accessible ainsi qu’une autre permettant d’informer leur administrateur en cas de
doute.
1.9 LE CYBER RACKET

Auteur : Franck Franchin (France Telecom) franck.franchin@francetelecom.com
Tout utilisateur de l’Internet doit désormais faire face à une cybercriminalité galopante, terme qui
regroupe l’ensemble des actes de nature délictuelle et criminelle qui sont perpétrés via la Toile. A
l’image de sa grande sœur aînée du monde physique, la cybercriminalité est constituée aussi bien
par les infractions de blanchiment d’argent, de pédophilie, d’usage de faux sur Internet en passant
par l’attaque par déni de service d’un site web ou encore de chantage. Le spectre couvert est large
et l’entreprise tout comme le particulier en sont donc potentiellement victimes.
1.9.1 La prolifération des risques

La prolifération des cyber-risques s’appuie principalement sur l’augmentation des abonnés au haut
débit via l’ADSL, technologie qui a permis d’accroître le temps passé à surfer et a créé la notion de
« connexion permanente » encore inconnue du particulier il y a quelques années. Profitant de ces
conditions, un nouveau délit informatique sévit actuellement sur le web : le cyber-racket ou la
cyber-extorsion. Selon le code pénal français, « l’extorsion est le fait d’obtenir par violence,
menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la
révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. L’extorsion est
punie de sept ans d’emprisonnement et de 100 000 euros d'amende ». Appliqué au domaine
informatique, le cyber-racket consiste à menacer une personne physique ou morale via son courrier
électronique ou son site web pour lui soustraire de l’argent. Issus principalement d’Europe de l’Est,
du Brésil ou de la Chine, leurs auteurs tirent leurs motivations aussi bien de l’argent escompté d’une
telle escroquerie que de la réputation qu’ils peuvent en jouir dans l’univers underground de la
cybercriminalité. Tout un nouvel écosystème s’est rapidement mis en place. Les chimistes ont été
remplacés par des hackers et les passeurs par des prêtes-noms qui ouvrent des comptes bancaires
et possèdent des adresses de courrier électronique. Les lieux des infractions sont, pour l’instant,
concentrés sur les entreprises aux États Unis et à Londres mais tous les États occidentaux sont
concernés potentiellement par ces nouveaux délits. Plusieurs cas ont défrayé la chronique outre-
manche et outre-atlantique comme lors du Superbowl ou de certaines courses hippiques.
1.9.2 Les approches

Les approches sont différentes selon que la cible soit une personne morale, un salarié d’un
personne morale ou un particulier, personne physique.
Le mode opératoire du cyber-racket appliqué à l’entreprise est assez simple. En effet, des
attaques par déni de service distribué (DDoS) via des machines compromises (dites zombies) sont
capables de bloquer pendant de longues périodes l’accès à un site ou à un réseau d’entreprise en le
bombardant de fausses requêtes. Les criminels réclament ensuite de l’argent à leurs victimes en
échange de l’arrêt des attaques. De cette façon, l’entreprise qui crée habituellement de la richesse
grâce à son site web parce qu’elle offre la possibilité de parier en ligne ou de commander à distance
différents produits, subit l’indisponibilité de ses offres de services et, par conséquent, l’insatisfaction
de ses clients et une perte d’exploitation. Concrètement, les racketteurs s’attaquent principalement
aux casinos en ligne et aux sites de commerce électronique, mais également à des victimes plus
inattendues comme le port américain de Houston.
Autre exemple connu, durant le Superbowl 2003 aux États-Unis, un racketteur a menacé plusieurs
sites de paris en ligne d’une attaque en déni de service s’ils ne s’acquittaient par d’une somme allant
de 10 000 USD à 50 000 USD.
D’un autre côté, les particuliers et notamment les collaborateurs d’une entreprise doivent
également faire face à ces nouvelles menaces. Là encore, le mode opératoire est assez simple. Le
courrier électronique est le moyen retenu la plupart du temps par les cybercriminels pour extorquer
de petites sommes d’argent à des salariés. Le chantage peut porter sur la menace d’effacer des
fichiers importants sur leur ordinateur ou d’y copier des photographies pédophiles. Cette technique
débute en général par un courrier électronique demandant au destinataire de payer de 20 à 30 USD
sur un compte bancaire électronique. Bien évidemment, il ne faut surtout pas obtempérer à une telle
injonction car ce serait l’effet boule de neige assuré ! Le fait que l’objet de l’infraction soit une petite
somme conduit souvent les victimes à accepter et à ne pas vouloir ébruiter l’affaire.
1.9.3 Un exemple
Par exemple, F-Secure, un éditeur informatique finlandais spécialisé dans la sécurité, a révélé que le
personnel d’une grande université scandinave avait été la cible d’une tentative d'extorsion de ce
genre. « Selon Mikko Hypponen, directeur de recherche chez F-Secure, des membres du personnel
ont ainsi reçu un e-mail, apparemment en provenance d’Estonie, qui indiquait que l’expéditeur avait
découvert plusieurs failles de sécurité dans le réseau informatique et menaçait d’effacer un grand
nombre de fichiers, sauf si les destinataires payaient 20 euros sur un compte bancaire en ligne ». Ce
dernier poursuit et affirme même qu’ « avant, si vous vouliez extorquer de l’argent à des entreprises,
il fallait pirater leur système d’information et les persuader que vous aviez volé des informations.
Maintenant, il n'y a rien d’autre à faire que d’envoyer un e-mail ».
1.9.4 Les règles à suivre

Il convient d’observer certaines règles au sein de son entreprise pour éviter ce type de déboires :
Règle N°0 : Le cyber-chantage use du même cercle vicieux que le chantage physique. Une fois
rentré dans le jeu de votre adversaire, il est impossible d’en sortir facilement et c’est l’escalade
assurée.·Il vaut mieux refuser dès le début quand bien même la menace soit mise à exécution
et informer qui de droit.
Règle N°1 : Ne pas répondre à un courrier électronique en provenance d’une personne
inconnue et/ou dont l’adresse de courrier électronique semble étrange (quant bien même il n’est
pas difficile pour un pirate de se « présenter » avec une adresse de courrier électronique
usurpée…).
Règle N°2 : Ne jamais verser de somme d’argent, si petite soit elle, sur un compte bancaire
d’un tiers non clairement identifié. Rappelons aussi que le protocole SSL mis en avant dans le
commerce électronique ne garantit pas l’honnêteté du possesseur du certificat serveur !
Règle N°3 : En cas de réception d’un courrier électronique de type cyber-racket, prévenir
immédiatement votre correspondant de sécurité.
Règle N°4 : Ne jamais donner ses coordonnées bancaires à une personne ou sur un site dans
lequel vous n’avez pas pleinement confiance.
2 LES CONTRE-MESURES ET MOYENS DE DEFENSE

Comme nous l’avons évoqué, l’anti-virus n’est pas le seul outil nécessaire pour sécuriser un réseau.
En fait toute une panoplie de solutions doit être envisagée pour offrir un niveau acceptable de
sécurité. L’idéal est de posséder une interface commune de gestion de ces outils et d’offrir à
l’utilisateur une totale transparence et un moyen unique de s’authentifier qui sera cascadé entre tous
les outils quand nécessaire.
Les noirs
Pion = virus, Tour = porte dérobée, Cavalier = cheval de Troie, Fou = Spam, Roi = le hacker (on note qu’il est ici en échec),
Dame = une punkette tenant une canne à pêche avec un mail à l’hameçon = phishing
Les blancs
Pion = disquette antivirus, Tour = Firewall, Cavalier = VPN, Fou = Cryptage, Roi = la justice, Dame = Pot de miel (royal)
2.1 LES FIREWALLS BASTION

Le firewall, appelé aussi pare-feu ou garde-barrière, est l’élément nécessaire, mais

pas suffisant, pour commencer à implémenter une politique de sécurité sur son
Intranet. La première caractéristique d’un Intranet est d’être un réseau privé. Mais
si ce réseau privé présente des connexions vers l’Internet ou vers tout autre réseau
public, pourquoi doit-il être considéré comme un réseau privé plutôt que comme
une extension de l’Internet ou du réseau public ? … avec tous les risques que cela
entraîne.
Un firewall est un dispositif logiciel ou matériel (les appliances) qui filtre tous les
échanges qui passent par lui pour leur appliquer la politique de sécurité de l’entreprise. Cette
politique, au niveau du firewall consiste à laisser passer tout ou partie de ces échanges s’ils sont
autorisés, et à bloquer et journaliser les échanges qui sont interdits.
Bien entendu, la finesse et la granularité des éléments entrant en jeux dans le filtrage des échanges,
et la hauteur de vue du firewall pour traiter ce qu’il convient de laisser passer ou de bloquer,
mesurent la capacité d’un firewall à prendre en compte des politiques de sécurité qui peuvent être
très complexes, au moins durant leur phase de conception, dans l’esprit de ceux qui les
rédigent.
2.1.1 Les paramètres pour filtrer les données

L’idéal est bien sûr de pouvoir filtrer les données suivant le plus de critères possibles. Filtrer suivant
le protocole du paquet IP, qui caractérise l’application, est un minimum. Pour filtrer la messagerie ou
les accès Web, en leur attribuant des permissions ou des interdictions, on se base sur le protocole
applicatif utilisé au-dessus du protocole IP (SMTP pour la messagerie, HTTP pour le Web). Il est
ainsi possible de permettre à un utilisateur nomade, de l’extérieur, l’accès à son serveur de
messagerie et de lui refuser l’accès au Web situé sur l’Intranet.
Les Firewalls évolués permettent de filtrer aussi en fonction de l’origine et de la destination des
échanges. Ainsi suivant l’individu, ou le groupe auquel il appartient, suivant le serveur auquel il
souhaite accéder, situé de l’autre côté du Firewall, une politique de sécurité particulière sera
appliquée à cet individu.
Le filtrage en fonction du port est également une fonctionnalité importante. Le port est un nombre qui
caractérise une application. Par exemple le port standard et réservé du Web est le port 80, mais on
peut également faire des accès web à travers bien d’autres ports (il y en a plus de 65000 possibles).
Une politique de sécurité complète pour le Web doit tenir compte de tous les ports utilisés, et par
exemple bloquer les ports qui ne sont pas dédiés aux flux dont on tolère le passage.
2.1.2 A quel niveau du paquet IP le filtrage doit-il se situer ?

Il existe des firewalls qui ne filtrent qu’au niveau élémentaire du paquet
IP et d’autres, plus évolués qui montent jusqu’au niveau applicatif pour
appliquer une politique de sécurité centrée sur l’utilisateur et l’utilisation
faite des applications que le firewall protège.
Le paquet IP se compose de deux éléments : l’en-tête et la donnée.
Dans l’en-tête on trouve l’adresse IP, le nom de l’hôte origine et
destination, et le numéro de port entrant et sortant.
Les firewalls qui se contentent de filtrer à ce niveau offrent peu de
souplesse pour implémenter une politique de sécurité, par contre offrent de très bonnes
performances réseaux puisqu’ils ne passent pas beaucoup de temps à filtrer les paquets.
Certains firewalls fonctionnent à base de relais de proxies. Un proxy est une application située sur le
firewall, qui permet à celui-ci de se faire passer, vis à vis de l’utilisateur, pour le serveur de
l’application à laquelle il veut accéder. Avec ce mécanisme de proxy, un firewall est capable de
fonctionner comme un sas qui demande à l’utilisateur de s’authentifier, prend en compte sa
demande, la transmet au serveur si celle ci est autorisée. Au retour, il analyse les paquets IP au
niveau applicatif et peut les recomposer en des paquets conformes à la politique de sécurité de
l’entreprise, avant de transmettre le résultat à l’utilisateur.
Par exemple dans un flux web, le proxy HTTP est capable d’enlever des pages web les ActivesX, les
applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de limiter la
taille des fichiers attachés aux emails, de refuser les attachements de fichiers exécutables et de
bloquer les messages qui, dans leur champ sujet, contiennent les fameux mots I LOVE YOU.
Plus un firewall dispose d’un nombre important de proxies, plus souple et plus complète peut être la
politique de sécurité qu’il implémente. On trouve aussi dans certains firewalls, un proxy générique
qui peut être programmé pour s’adapter à des besoins très spécifiques d’une entreprise.
Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on trouve un niveau intermédiaire
connu sous le nom de « statefull Inspection » où l’état d’un paquet IP entrant est mémorisé pour
pouvoir traiter ce qu’il convient de faire avec le paquet réponse qui revient par le firewall.
2.1.3 Le masquage des adresses IP du réseau interne

La première information que le hacker désire connaître est l’architecture de l’Intranet qu’il cherche à
attaquer. Cela ne lui suffit pas pour réussir son attaque mais cela lui fait gagner du temps, alors,
pour ne pas faciliter ses coupables desseins, et pour lui mettre des entraves autant commencer par
cacher l’architecture du réseau privé et en particulier les adresses IP qui peuvent lui permettre de la
reconstituer.
Les firewalls offrent cette possibilité en substituant aux adresses IP de l’Intranet, l’adresse du
contrôleur réseau qui permet au firewall de communiquer avec l’extérieur. C’est ce qu’on appelle en
jargon de sécurité la NAT (Network Address Translation) – translation des adresses du réseau. Le
monde extérieur ne verra le réseau Intranet que comme une adresse IP unique, celle du contrôleur
réseau externe du Firewall, même si l’Intranet possède plusieurs milliers d’adresses IP.
2.1.4 Les zones démilitarisées

Un firewall doit être placé en coupure entre un réseau non protégé (par exemple l’Internet) et les
réseaux qu’il protège. Il contrôle les informations qui passent entre les deux réseaux. Plus de deux
interfaces réseaux peuvent équiper un firewall. Celui-ci contrôle alors ce qui passe entre chacune de
ses interfaces réseau et applique une politique de sécurité qui peut être particulière à chacune de
ces interfaces.
Supposons un firewall avec trois interfaces réseaux, donc duquel partent trois réseaux. Le premier
est celui qui va vers l’extérieur, vers le réseau non protégé, comme l’Internet, via un routeur. Le
deuxième est le réseau interne à protéger. Le troisième réseau n’est ni tout à fait le réseau interne à
protéger, ni le réseau public. C’est un réseau sur lequel on peut appliquer une politique de sécurité
particulière, moins stricte que celle du réseau interne. Il s’agit là d’une DMZ (DeMilitarized Zone –
zone démilitarisée) sur laquelle on place en général le serveur Web de l’entreprise et parfois le
serveur anti-virus et le serveur de messagerie.
2.1.5 Firewall logiciel ou firewall matériel ?

On trouve sur le marché des offres de firewalls logiciels proposés pré-chargés sur une plate-forme
matérielle. Ce sont les appliances. Les constructeurs proposent des gammes d’appliances sous
forme de mini tours ou de racks. L’appliance est un moyen simple d’installer un firewall dans une
entreprise puisqu’il suffit de booter la machine et le firewall est prêt à fonctionner. Tous les flux sont
bloqués à l’installation. Bien évidemment il reste ensuite à particulariser cette appliance selon la
politique de sécurité de l’entreprise.
Certains constructeurs proposent leurs propres plates-formes matérielles chargées avec leurs
firewalls logiciels, d’autres ne proposent qu’une plate-forme matérielle avec les logiciels venant d’un
autre éditeur de logiciels avec qui ils sont en partenariat technologique, d’autres encore proposent
des logiciels pré-chargés sur une plate-forme du commerce qui est généralement un PC avec des
contrôleurs réseaux également du commerce.
2.1.6 En parallèle ou en série ?

Le firewall est un point de passage stratégique de l’entreprise car c’est par lui que tout flux entant et
sortant doit transiter. Dans certain cas, par exemple pour le commerce électronique, une interruption
de fonctionnement du firewall peut représenter une perte d’argent conséquente. Une bonne solution
est de prévoir deux firewalls ou plus, en parallèle, et un dispositif automatique pour que si l’un tombe
en panne, un autre prenne le relais. Et puisque on dispose alors de plusieurs firewalls, en
fonctionnement normal Il est intéressant de les faire fonctionner en partage de charge, le moins
chargé à un instant donné devenant davantage disponible pour traiter les nouveaux flux qui arrivent.
Si l’on veut assurer une sécurité optimale, il est intéressant de mettre deux firewalls de technologie
différente en série. Ainsi si un agresseur réussi à passer la première ligne de défense constituée par
le firewall en amont, il tombera sur la deuxième ligne de défense, différente dans sa manière de
traiter la politique de sécurité. L’agresseur devra donc recommencer son travail de pénétration alors
qu’il aura toutes les malchances d’avoir été repéré durant son intrusion dans le premier firewall. Ce
système est utilisé quand la sécurité doit être maximale. On place souvent un firewall qui fonctionne
par filtrage de circuits à l’extérieur, et un firewall fonctionnant par relais de proxies à l’intérieur.
2.1.7 Sous quel système d’exploitation ?

Le système d’exploitation est composé des services système qui assurent la correspondance entre
la plate-forme matérielle et les logiciels du firewall. C’est donc un socle très important qui intervient
dans la sécurité globale de la solution de sécurité.
On trouve des systèmes d’exploitation écrits par des fournisseurs de firewalls, et donc bien adaptés
au logiciel firewall, et aussi à la plate-forme matérielle propriétaire d’une appliance. On trouve
également des firewalls tournant sur des systèmes d’exploitation du commerce tels que les UNIX ou
les systèmes d’exploitation de Microsoft.
Dans les divers systèmes UNIX, certains proposent leur offre sous une implémentation de LINUX,
sous un dérivé du système UNIX BSD (Free BSD, Open BSD, NetBSD), sous Solaris de SUN, et
encore sous d’autres systèmes UNIX.
Il n’est pas question ici de trancher sur le meilleur système d’exploitation sur lequel doit s’appuyer un
firewall, mais il est évident que d’un point de vue sécurité, il est inutile, voir dangereux de bâtir un
mur infranchissable (le firewall) sur un terrain meuble (le système d’exploitation) à travers lequel un
hacker pourrait creuser un passage. Il est bon qu’un fournisseur de firewall maîtrise le système
d’exploitation sur lequel tourne son logiciel firewall, jusqu’au niveau des codes sources et des
compilateurs qui servent, à partir de ces sources, à obtenir ce système d’exploitation.
Pour ne pas connaître de mauvaises surprises lors de l’installation d’un firewall logiciel sur site, il
faut s’assurer également qu’à tous les éléments matériels de la plate-forme, et en particulier aux
contrôleurs réseau, correspond un driver dans le système d’exploitation.
Un firewall aura de meilleures performances si le système d’exploitation est conçu dans le but de
gérer au plus fin sa plate-forme matérielle. D’un autre côté si le système d’exploitation est un
système du commerce, l’utilisateur aura plus de choix pour sa plate-forme matérielle, et le firewall
logiciel acquis sera transférable vers une plate-forme matérielle plus puissante quand les besoins
des utilisateurs évolueront.
2.2 LE FIREWALL APPLICATIF

Partie prise en charge par Sami Jourdain (Deny All) sjourdain@denyall.com et Isabelle Bouet (F5) ibouet@f5.com
2.3 LE FIREWALL PERSONNEL

Après authentification mutuelle des deux extrémités du tunnel, et création du tunnel chiffrant,
l’utilisateur nomade accède, depuis l’extérieur, aux serveurs de son Intranet, qui lui sont autorisés,
avec autant de sécurité que s’il était resté dans son Intranet.
Cela constitue toutefois un sérieux danger. Si le poste de travail nomade est attaqué par un hacker
qui prend le contrôle de ce poste à distance, souvent sans que l’utilisateur qui a créé un tunnel,
puisse s’apercevoir à temps de l’agression, une voie royale est offerte à l’attaquant vers les serveurs
de l’Intranet, et tout le réseau privé est ainsi mis en danger.
Pour éviter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum
de sécurité, équivalent à celui d’un firewall personnel. Les fonctions anti-rebond et blocage des flux
entrants d’un tunnel client apportent ce niveau de sécurité.
Le blocage des flux entrants empêche toute tentative de connexion vers le poste nomade. L’anti-
rebond ne permet pas de passer par le poste nomade pour emprunter un tunnel. Sans ces
fonctionnalités, un tunnel offre à l’attaquant un accès direct vers les serveurs de l’Intranet, car le flux
étant autorisé, aucun firewall ne s’inquiéterait de son contenu et le flux étant chiffré, aucune sonde
de détection, placée en amont de la passerelle tunnel constituant l’autre bout, ne pourrait l’analyser
pour réagir à une attaque.
Pour préserver l’intégrité des données sur un disque dur, il est aussi intéressant, même hors période
où des tunnels sont établis entre le poste de travail et l’Intranet, de mettre en œuvre un firewall
personnel qui détectera les agressions. Celles-ci sont fréquentes surtout si le poste de travail reste
longtemps connecté (comme c’est le cas avec des connexions permanentes, avec le câble par
exemple).
2.4 L’AUTHENTIFICATION FORTE,

Partie prise en charge par Frédéric Hubert (THALES) Frederic.HUBERT@fr.thalesgroup.com
et Max de Groot (Gemplus) max.de-groot@gemplus.com
2.4.1 L’authentification et la chaîne de sécurisation

La sécurisation des échanges de données sur des réseaux privées ou publics prend de plus en plus
d’importance. Non pas seulement parce qu’avec l’essor de réseaux sans fil publics on trouve
davantage d’endroits pour se connecter sur l’Internet, réseau ouvert et vulnérable et vecteur de
nombreux virus, menaces, chevaux de Troie et autre Spam, mais aussi parce qu’en marge du
succès du GSM, les fournisseurs d’accès cherchent à se faire rémunérer par l’utilisateur.
On va donc vouloir protéger les données, mais aussi le revenu.
Pour atteindre ces deux buts, il faut forcément commencer par une authentification forte, obtenue
par la mise en œuvre de protocoles d’authentification bien connus, analysés et souvent même
attaqués pour en tester la robustesse. A l’issue de l’authentification, le client et le serveur
d’authentification partagent un secret qui peut ensuite être utilisé pour le chiffrement des données,
permettant d’en garantir la confidentialité et l’intégrité. Toute personne qui intercepterait le flux ne
pourrait en comprendre le contenu et aucun malfaiteur ne peut modifier des données ou utiliser la
connexion d’un tiers sans posséder le secret partagé. La mise en œuvre de cette protection n’a
aucun sens si, à la base, le serveur n’est pas sûr de l’authenticité de l’utilisateur et inversement.
Les normes Wi-Fi spécifient comment monter une protection dite robuste en se fondant sur un
protocole d’authentification générique. On parle d’une chaîne de protection, associant la protection
physique et logique du serveur d’authentification, les protocoles d’authentification et les données de
l’identité de l’utilisateur, stockées sur son poste de travail. Le maillon le plus faible de cette chaîne
est souvent l’authentification de l’utilisateur. En effet, de toute la chaîne d’authentification, seul le
poste de l’utilisateur se ne trouve pas dans le domaine maîtrisé et contrôlé par l’opérateur ou dans
l’Intranet contrôlé par l’entreprise. Pour simplifier la tâche de l’utilisateur qui, hors de son Intranet,
est incontrôlable, des méthodes simples et rapides d’authentification ont été inventées. Cependant
leur utilisation n’est sous contrôle ni de l’entreprise, ni du fournisseur de services. Le mot de passe
est-il sauvegardé sur le poste de travail, fait-il partie des 79% des mots de passe aisément
devinables, est-il partagé entre plusieurs individus ? Les opérateurs GSM ont bien compris la
problématique. En utilisant la carte à puce pour l’authentification, ils ont dans le poste de travail (le
téléphone mobile) un objet qu’ils contrôlent et qui renforce la chaîne de bout en bout.
La sécurisation de réseaux commence donc par une authentification forte, généralement obtenue
par deux facteurs, c’est à dire par la présentation simultanée de quelque chose que l’on possède et
quelque chose que l’on sait ou que l’on est. La carte à puce (quelque chose que l’on a), par
exemple, ne devient opérationnelle qu’après présentation d’un mot de passe (quelque chose que
l’on sait) ou vérification d’une empreinte digitale (quelque chose que l’on est.)
La méthode classique d’authentification par nom d’utilisateur et mot de passe est à bannir des
réseaux sécurisés car elle ne met en œuvre qu’un seul des facteurs nommés ci-dessus (quelque
chose que l’on sait) et le mot de passe est généralement aisément devinable (quand il n’est pas
stocké sur le PC.)
Carte à puce, clé USB ou empreinte digitale combinée à un code PIN constituent un moyen
d’authentification beaucoup plus sûr qu’un simple mot de passe.
2.4.2 Le rôle de la carte à puce dans l’authentification

Une carte à puce est un morceau de plastique rectangulaire, plat, équipé d’un microprocesseur avec
mémoire, capable de dialoguer en direct avec le monde extérieur, tel qu’un PC. Son point fort se
trouve dans la protection physique et logique du composant, sa mémoire et les données qu’elle
contient d’une part, et la façon dont une carte est produite, personnalisée, distribuée et activée
d’autre part.
Ainsi, le composant microélectronique est conçu en vue de la protection des données sensibles. Par
exemple, la mémoire inclue se trouve en règle générale non pas en surface, mais au cœur du
silicium, pour éviter l’espionnage par balayage d’électrons. Des filtres électriques protègent son
fonctionnement en dehors de la marge normalement prévue, pour éviter des attaques se fondant sur
les limites de fonctionnement.
Le système d’exploitation des cartes fournit une protection logique, évitant l’accès non autorisé aux
données et permet des calculs cryptographiques sur des données secrètes qui ne seront jamais
divulguées à l’extérieur. Les systèmes de développement modernes comme Java, sont disponibles
sur la carte à puce et fournissent une plate-forme ouverte sur laquelle une large population de
développeurs de services peuvent intégrer leurs applications, sans interférer sur les données
d’autres applications.
Les phases de la vie d’une carte, les processus de fabrication, d’initialisation et de
personnalisation, de distribution et d’activation sont protégés, documentés, audités et
accrédités par des organismes veillant sur la sécurité des données. Il existe d’ailleurs
des processus d’évaluation de sécurité de cartes à puce basés sur les Critères Communes et les
cartes et leurs systèmes d’exploitation sont certifié à des niveaux de plus en plus élevés.
La carte à puce possède donc des atouts sérieux pour participer à l’authentification forte, : une fois
son porteur authentifié – par code d’identification personnel (PIN) ou par comparaison des minuties
de ses empreintes digitales ou de la structure de son iris avec des données stockées dans la carte –
la carte permet d’exécuter tout ou partie du protocole d’authentification en utilisant les données
secrètes stockées dans sa mémoire indépendamment du niveau de sécurité du poste de travail. Elle
prouve ainsi à la fois l’identité de son porteur (qui connaît le code PIN) et sa propre connaissance de
données justificatives, sans pour autant divulguer des données sensibles.
Un autre avantage de la carte à puce est sa portabilité. Un utilisateur porte les données justificatives
de son identité sur sa carte d’identité électronique qui est en permanence sur lui. Il peut utiliser
n’importe quel ordinateur pour se connecter au réseau ou service souhaité, sans laisser traces de
son authentification, contrairement à un nom d’utilisateur et mot de passe, par exemple, qui peuvent
être ‘gracieusement’ sauvegardés par le système d’exploitation de l’ordinateur pour une utilisation
future.
Par ailleurs, l’utilisateur n’a pas à divulguer de mot de passe à un tiers, et le secret partagé avec le
serveur d’authentification lui est inconnu et stocké sur sa carte.
2.4.3 Exemples actuels d’utilisation de carte à puce

L’exemple le plus connu de l’utilisation de la carte à puce pour l’authentification est la téléphonie
mobile. La carte SIM contenant une clé secrète effectue un calcul cryptographique avec cette clé et
un numéro aléatoire envoyé par le réseau. Le résultat est comparé par le réseau avec un résultat
attendu pour vérifier si la carte est authentique. Ce processus étant protégé par la saisie du code
PIN de l’utilisateur, il permet aussi de confirmer l’identification de l’utilisateur.
Désirant utiliser la carte SIM aussi pour les réseaux sans fil publics qu’ils opèrent, les opérateurs de
téléphone mobile ont spécifié un protocole d’authentification s’insérant dans les spécifications Wi-Fi,
mettant en œuvre la SIM. Ainsi, au fur et à mesure du déploiement des nouveaux réseaux, les
systèmes basés sur nom/mot de passe seront remplacés par des systèmes d’authentification forte,
basé sur la SIM.
A l’intérieur des téléphones portables des abonnés GSM, la carte à puce peut être réutilisée pour
des applications nouvelles. Ainsi, le poste de travail peut utiliser des applications localisées sur cette
carte SIM, sans que cela ne nécessite le branchement sur le PC d’un lecteur de carte. Le téléphone
mobile, dialoguant avec le PC par une connexion Bluetooth, remplit cette fonction. Ainsi, le
téléphone portable devient, grâce à la carte à puce, un dispositif d’authentification multimodale.
Téléphone portable devenant un dispositif d’authentification en donnant accès à sa carte à puce via un lien Bluetooth, permettant au
poste de travail d’accéder au réseau.
Un autre exemple est l’authentification forte des réseaux virtuels privés à base de clé publique,
utilisant les cartes à puce. L’architecture système de Microsoft Windows permet d’ores et déjà
l’utilisation des cartes à puce comme fournisseur de service cryptographique pour éviter de devoir
mémoriser la clé privée dans la mémoire du poste de travail. En fait, la carte contient la clé privée
dans une zone sécurisée et l’utilise seulement pour des services bien définis. La carte avec la clé
peut être distribuée facilement et de façon contrôlée en évitant toute divulgation inopinée de la clé
privée.
2.4.4 Conclusion
L’authentification forte est un maillon essentiel de la chaîne de sécurité des échanges distants pour
les entreprise. La carte à puce est un vecteur de confiance important dans l’authentification et la
sécurisation des réseaux, auxquelles opérateurs de téléphonie mobile GSM ou 3G font confiance
depuis plus d’une décennie. Elle permet de plus la mise en œuvre simple d’authentifications fortes
pour divers contextes juxtaposés. De ce fait, elle constitue une option technique incontournable pour
l’authentification forte dans le cadre des réseaux d’entreprises.
2.5 LE CHIFFREMENT,
Partie prise en charge par Abdallah Mhamed (INT Evry) et Anne Coat (AQL)
Le chiffrement consiste à traiter les données, par une clé de chiffrement qui met en
oeuvre des algorithmes mathématiques qui brouillent ces données à une extrémité
du tunnel, puis à retraiter à l’autre extrémité du tunnel ces données par une clé de
déchiffrement qui les rétablit en clair.
Si la clé de chiffrement est identique à la clé de déchiffrement, le chiffrement est dit symétrique. Si la
clé de chiffrement et la clé de déchiffrement sont différentes, le chiffrement est dit asymétrique.
Le chiffrement symétrique type DES et 3DES est rapide mais le problème est de faire passer, de
manière sécurisée, la clé de chiffrement, d’une extrémité du tunnel à l’autre, sur le réseau non
protégé. A moins que les clés ne résident en dur sur chaque extrémité du tunnel, le danger est de
voir sa clé de chiffrement volée durant son transfert. Il est dangereux de garder longtemps la même
clé de chiffrement, et c’est une bonne idée de la changer souvent, mais il faut alors faire transiter
chaque nouvelle clé sur le réseau non protégé. Cela augmente d’autant plus le danger de voir ces
clés secrètes subtilisées par des individus mal intentionnés, ou au moins non autorisés à les détenir.
Le chiffrement asymétrique dont le plus connu est le RSA offre de moins bonnes performances en
vitesse de traitement mais il ne nécessite pas d’échanger une clé secrète entre les extrémités du
tunnel. L’une des deux clés est publique et le but est même de la diffuser largement. L’autre,
propriété d’un utilisateur, doit absolument rester secrète et il ne doit jamais la communiquer.
Les deux clés asymétriques sont liées par des algorithmes qui rendent impossible, connaissant l’une
des deux clés, de recomposer l’autre. Le couple de clé de chiffrement / déchiffrement se compose
d’une clé privée que l’utilisateur détient et qu’il ne communique à personne, et d’une clé publique qui
n’est pas un secret et dont le but est d’être communiquée à tout le monde. Si la clé privée est utilisée
pour chiffrer un message, il ne sera possible de déchiffrer ce message qu’avec la clé publique
correspondante. Inversement, si une clé publique est utilisée pour chiffrer, il ne sera possible de
déchiffrer qu’avec la clé privée associée.
Dans le cas de la signature d’un message, l’utilisateur chiffre avec sa clé privée. Tous ceux qui
possèdent la clé publique correspondante peuvent déchiffrer le message et sont sûrs que le
message ne peut venir que de celui qui possède la clé privée associée à la clé publique qu’ils
détiennent. Dans le cas du chiffrement d’un message, l’utilisateur chiffre avec la clé publique de son
correspondant et se trouve ainsi certain que seul son correspondant, qui possède la clé privée
associée, pourra déchiffrer le message.
Un réseau privé virtuel combine généralement les deux techniques, une clé symétrique pour chiffrer
/ déchiffrer, et un couple de clés asymétriques pour authentifier mutuellement les deux extrémités du
tunnel et échanger la clé symétrique à travers le réseau non protégé.
Dans le scénario des clés asymétriques, il reste un problème à régler : comment être sûr que la clé
publique que l’on détient est bien la clé associée à la clé privée de son correspondant ? C’est ici
qu’interviennent les certificats et les PKI.
2.6 LA STEGANOGRAPHIE
Partie prise en charge par Olivier Caleff (Apogée Communications) / Alexandre le Faucheur(VALEO)
La technique de la stéganographie, considérée parfois à tord comme le chiffrement du pauvre, est

très utilisée selon la CIA, dans les vidéos et les sonos de Ben Laden ou par le cartel de medellin.
Du grec, Στεγανος (chiffrement), la stéganographie est une technique de dissimulation d’un secret
dans un message en clair. Alors que le chiffrement assure la confidentialité, l’intégrité et
l’authenticité d’un message, il attire aussi immanquablement l’attention des hackers. Un message
caché dans un message en clair (texte, image, son, vidéo) peut par contre transiter sans éveiller les
convoitises, ce qui rend la stéganographie redoutable.
2.7 LES VPN

Un VPN est un réseau privé virtuel à recouvrement construit au-dessus de réseaux de transit IP.
L’entreprise étendue et les communautés sont de plus en plus
interconnectées via les réseaux, pour des relations entre des sites distants,
avec des travailleurs à domicile, avec des clients, des fournisseurs, des
partenaires, etc.
Les différents types de VPN identifiés pour répondre aux besoins des utilisateurs sont :
• les VPN de type Intranet pour les communications entre sites d’une entreprise,
• les VPN de type accès distant pour les utilisateurs qui veulent se connecter à distance au
moyen de postes de travail fixes ou mobiles à leur entreprise via un réseau public, filaire
ou sans fil,
• les VPN de type Extranet pour des communications entre une entreprise et ses
partenaires, ses fournisseurs et ses clients.
Les VPN sont utilisés également pour réaliser :
• des VPN administratifs, pour la télé-maintenance de machines ou de services Web
• des VPN voix qui transportent et sécurisent la voix sur des réseaux convergés.
Un réseau privé virtuel est donc un tunnel qui s’établit sur un réseau entre deux passerelles. Après
authentification mutuelle entre ces deux passerelles, et échange d’une clé secrète de chiffrement,
chiffre les transactions sortant d’une passerelle, et les déchiffre à l’autre extrémité, à la sortie de la
deuxième passerelle, si la politique de chiffrement l’impose. Entre les deux passerelles peut se
trouver un réseau non protégé, voire un réseau public comme l’Internet. Les paquets IP qui passent
dans le réseau non protégé ne pouvant y être déchiffrés, l’utilisateur peut considérer, durant le
temps de passage des paquets entre les deux passerelles, que ses données ne pourront être lues
par des personnes non autorisées. Donc le temps de l’établissement du tunnel, le réseau non
protégé appartient virtuellement à cet utilisateur.
Ainsi un Réseau Privé Virtuel assure plusieurs fonctions :
• L’authentification des deux extrémités du tunnel, pour s’assurer que les paquets arrivent
bien à la bonne destination, et partent bien de la bonne origine.
• La confidentialité pour que les paquets ne puissent être lus durant leur transfert sur le
réseau non sécurisé.
• L’intégrité pour éviter que les paquets puissent être altérés durant leur transfert.
• La non-répudiation qui permet d’établir que les paquets reçus ont bien été envoyés.
2.7.1 Les VPN IPSec,

Auteur : Michel Habert (Netcelo) michel.habert@netcelo.com
Il y a une trentaine d’années, quand fut conçu le protocole IP, autour duquel l’Internet est bâti, il
n’était pas question de réseaux sécurisés. Bien au contraire, le but de l’Internet était de tout
partager, dans un monde essentiellement universitaire. Il y a une dizaine d’années, les entreprises
purent enfin utiliser ce média de communication. Apparurent alors la nécessité d’assurer un

adressage plus étendu, et le besoin de faire évoluer l’état du protocole, alors IPv4, vers un nouveau
protocole IP mieux adapté au monde commercial avec en particulier des fonctions d’authentification
et de chiffrement. l’IPv6, nouvelle norme des réseaux IP a été défini à cet effet.
Mais le passage de l’IPv4 à l’IPv6 impliquant d’importantes modifications dans les infrastructures
réseaux existantes, - on attend aujourd’hui la généralisation de l’IPv6 vers l’année 2005 - l’IETF
(l’Internet Engineering Task Force) proposa, en attendant, des extensions au protocole IPv4,
aujourd’hui décrites dans les RFC 2401 à 2409. C’est ainsi que l’IPSec fut défini, en natif dans
l’IPv6 et ajouté à l’IPv4.
L’IPSec permet de créer un réseau privé virtuel entre un poste de travail et un serveur d’application
(mode transport) ou entre deux passerelles réseau (mode tunnel). Pour chacun de ces deux modes,
l’IPSec ajoute des champs supplémentaires aux paquets IP.
2.7.1.1 Qu’est ce qu’ IPSec ?
IPSec est un ensemble de protocoles, développés par l’IETF (Internet Engineering Task Force) dont
le but est de sécuriser le paquet IP et de réaliser des VPN. IPSec est indépendant des réseaux et
des applications, il supporte tous les services IP (exemple HTTP, FTP, SNMP,..).
Un protocole de sécurité
Les services de sécurité offerts sont l’intégrité en mode non connecté, l’authentification de l’origine
des données, la protection contre le rejeu et la confidentialité (confidentialité des données et
protection partielle contre l’analyse du trafic). Ces services sont fournis au niveau de la couche IP,
offrant donc une protection pour le protocole IP et tous les protocoles de niveau supérieur.
IPSec supporte plusieurs algorithmes de chiffrement (DES, 3DES, AES) et il est conçu pour
supporter d’autres protocoles de chiffrement.
L’intégrité des données est obtenue de deux manières: un “message digest 5 “de 128-bits (MD5)-
HMAC ou un algorithme de hachage sécurisé de 160-bits (SHA)-HMAC.
Pour assurer la confidentialité des données et l’authentification de leur origine, IPSec utilise deux
protocoles : AH et ESP.
Le protocole AH
Le protocole AH (Authentication Header) assure l’intégrité des données en mode non connecté,
l’authentification de l’origine des données et, de façon optionnelle, la protection contre le rejeu
en ajoutant un bloc de données supplémentaire au paquet. AH est un protocole très peu utilisé
par rapport au protocole ESP.
Le protocole ESP
Le protocole ESP (Encapsulating Security Payload) peut assurer, au choix, un ou plusieurs des
services suivants :
• confidentialité (confidentialité des données et protection partielle contre l’analyse du trafic
si l’on utilise le mode tunnel),
• intégrité des données en mode non connecté et authentification de l’origine des données,
• protection contre le rejeu.
• En mode transport, ESP traite la partie des paquets IP réservée aux données (mode
transport), en mode tunnel, ESP traite l’ensemble du paquet, données et adresses.
Un protocole d’administration IKE
IPSec inclut également un protocole administratif de gestion de clés : IKE (développé également par
l’IETF). IKE est un protocole d’administration « hors bande » et de gestion de clés servant à une
authentification forte et à un chiffrement des données. IKE comprend quatre modes : le mode
principal (Main mode), le mode agressif (Aggressive Mode), le mode rapide (Quick mode) et le mode
nouveau groupe (New Group Mode).
IKE est utilisé pour négocier, sous la forme d’associations de sécurité (SA) les paramètres relatifs à
IPSec. Préalablement à l’établissement d’un tunnel, le module IKE du correspondant initiateur
établit avec le module IKE du correspondant récepteur une association de sécurité qui va permettre
de réaliser cette négociation.
IKE procède en deux étapes appelées phase 1 et phase 2. Dans la première phase, il met en place
les paramètres de sécurité pour protéger ses propres échanges dans la SA ; dans la deuxième
phase il met en place les paramètres de sécurité pour protéger le trafic IPSec.
Par mesure de sécurité, les phases 1 et 2 sont réactivées périodiquement pour renégocier les clés.
Un protocole de VPN
IPSec est également un protocole VPN au même titre que d’autres protocoles VPN IP: PPTP, L2TP,
GRE ; il supporte un mode tunnel qui consiste à encapsuler le paquet IP de l’utilisateur dans un
paquet IP « le tunnel » à qui est appliqué les fonctions de sécurité IPSec.
Un protocole pour traverser les appareils qui font du NAT (translation

d’adresses)
Entre deux correspondants VPN, il peut y avoir des équipements qui réalisent la fonction de
translation d’adresse NAT/PAT, par exemple des firewalls.
Ces équipements modifient les paquets IP lors de la translation d’adresse et de port. Ceci pose un
problème à IPSec lors du contrôle d’intégrité du paquet qui se trouve modifié.
Pour résoudre ce problème, le protocole NAT-traversal a été développé par l’IETF. Ce protocole
implémenté dans chaque correspondant VPN, encapsule le paquet IPSec dans un protocole
applicatif (UDP ou TCP) ce qui préserve le paquet IPSec de modifications lors de la traversée d’un
équipement NAT.
Les options IPSec/IKE
Les options sont nombreuses : le mode transport, le mode tunnel, l’intégrité et la confidentialité des
données sont optionnelles, il y a plusieurs modes d’authentification, il y a un mode manuel qui
n’oblige pas de disposer d’IKE, IKE a quatre modes, on peut sélectionner le protocole de
chiffrement, etc.
Les raisons de ces nombreuses options sont :
• permettre l’implémentation d’IPSec sur des matériels d’entrée de gamme,
• fournir un niveau de service adapté aux besoins de l’utilisateur.
La configuration d’IPSec
Le paramétrage d’IPSec que ce soit pour choisir les options ou définir les options fait l’objet d’une
politique de sécurité. Cette politique se traduit par des fichiers de configuration cohérents qui doivent
être enregistrés chez les correspondants VPN.
Un protocole très utilisé

IPSec a été au départ conçu pour le protocole IPV6. Une implémentation IPV6 doit obligatoirement
comporter IPSec. Cependant bien qu’il soit optionnel pour une implémentation IPV4, la plupart des
équipements de réseau et les systèmes supportent aujourd’hui IPSec.
Un protocole de sécurité à part entière
IPSec est également utilisé pour sécuriser des protocoles VPN comme PPTP, L2TP, GRE. Dans ce
cas IPSec est utilisé en mode transport.
Les performances IPSec
IPSec/IKE a un coût en terme de performances dû principalement :
• A la latence induite par les trames de traitement et les échanges IKE,
• Au nombre d’octets supplémentaires dans les paquets sécurisés par IPSec,
• Au temps de traitement des paquets IPSec par les correspondants VPN hors chiffrement,
• Au temps de chiffrement.
Ce coût n’est aujourd’hui pas rédhibitoire pour des implémentations d’IPSec /IKE sur des appareils
sans fil à faible puissance comme des PDAs. Par ailleurs l’augmentation de la bande passante des
réseaux de transit et la puissance des machines sont des facteurs qui vont minimiser de plus en plus
ce coût.
Des améliorations ont toutefois été apportées pour améliorer les performances IPSec/IKE :
• introduction de nouveaux algorithmes comme AES, et de type Elliptic Curve Cryptography
(ECC) moins coûteux en traitements,
• En compressant les données,
• En faisant effectuer le chiffrement par du matériel,
• En utilisant des techniques de hachage pour parcourir les tables de contexte IPSec dans
les correspondants VPN.
Les évolutions d’IPSec
L’IETF travaille à améliorer IPSec. Les travaux récents portent sur :
• Le protocole NAT-traversal,
• IKE V2 qui permet à un correspondant de travailler face à plusieurs autres correspondants
en tant qu’initiateur ou récepteur aussi bien en mode symétrique (peer-to-peer) que
client/serveur.
2.7.1.2 Caractéristiques d’un VPN IPSec
Un VPN IPSec utilise IPSec à deux niveaux :
• pour réaliser un VPN qui interconnecte des correspondants par des tunnels,
• pour la sécurité des tunnels.
Les correspondants
Les correspondants VPN sont soit des équipements intermédiaires (passerelles) qui desservent
plusieurs machines, soit des logiciels intégrés à des machines (stations, serveurs).
Les tunnels sont établis entre des correspondants. Lorsqu’un correspondant VPN est installé sur un
site client, le terme de CPE (Customer Premise Equipment) est utilisé, par opposition à un
correspondant VPN placé dans une infrastructure de réseau opérateur (exemple concentrateur de
collecte VPN IPSec pour un réseau MPLS).
tunnel
Réseau
Réseaude de
transit
transit
Correspondants VPN
tunnel
Réseau
Réseaude de
transit
transit
Correspondants VPN
tunnel
Réseau
Réseaude de
transit
transit
Correspondants VPN
Les tunnels
Un tunnel est un canal bi-directionnel établi entre deux correspondants. Un tunnel peut multiplexer
plusieurs communications IP.
La réalité d’un tunnel dans le réseau de transit est un paquet IP qui encapsule un paquet utilisateur
et qui comprend des octets supplémentaires dus au protocole IPSec utilisé (protocoles AH, ESP).
Exemple application du protocole ESP en mode tunnel à un paquet IP
Avant application ESP
Après application ESP
L’adressage du tunnel
Chaque extrémité d’un tunnel a dans le cas le plus simple une adresse IP dans l’espace
d’adressage du réseau de transit. Dans des situations plus compliquées où des appareils qui
réalisent la fonction NAT sont placés entre le réseau de transit et le correspondant VPN il y a des
redirections de paquets pour qu’un paquet du tunnel transporté sur le réseau de transit arrive à
l’extrémité du tunnel chez le correspondant destination.
La sécurité du tunnel
IPSec sécurise le paquet IP transmis dans un tunnel, cette sécurité est robuste et si les
correspondants sont des CPEs, le protocole IPSec assure une sécurité permettant d’utiliser tout type
de réseau de transit : WLAN, Internet, …
Chaque extrémité d’un tunnel est associée à une zone représentée par un espace d’adressage
interne qui est desservi par le tunnel. Cette technique peut être utilisée à différentes fins : créer des
zones (zonage) ou réaliser du partage de charge en associant les tunnels à différents

correspondants sur un site.
L’adressage d’un VPN
Quand un paquet IPSec a été traité par un correspondant récepteur, il n’est plus encapsulé et
retrouve son aspect d’origine avant son entrée dans le tunnel côté correspondant émetteur. Ceci
signifie qu’à l’intérieur d’un VPN, un adressage interne est utilisé. Un VPN IPSec se comporte
comme un commutateur interne qui fait passer les paquets d’un sous réseau interne à un autre sous
réseau interne. L’adressage de tous les participants d’un VPN doit être cohérent comme sur un
réseau local comprenant plusieurs sous-réseaux. On utilisera les recommandations du RFC 1918
pour établir un plan d’adressage cohérent d’un VPN.
La topologie des VPN
Les VPN peuvent avoir différentes topologies : maillés, en étoile ou hub-and-spoke. Les VPN hub-
and-spoke permettent à deux sites d’extrémité de communiquer via un routage par le site central.
Maillé En étoile Hub-and-spoke
Les types de VPN

Les VPN ont été classifiés à l’origine en VPN site-à-site (symétriques) et VPN accès distants
(client/serveur). Cette typologie devrait s’estomper avec la généralisation du mode symétrique (peer-
to-peer) applicable dès aujourd’hui à des postes clients.
L’administration d’un VPN IPSec
Administrer un VPN IPSec signifie administrer un réseau et la sécurité de ce réseau. C’est
administrer un ensemble de correspondants VPN distribués.
Une administration centralisée basée sur des politiques est nécessaire pour tirer partie de la
méthode de configuration d’un correspondant VPN (basée sur des politiques) et pour assurer une
cohérence entre les configurations des correspondants amenés à communiquer.
Par rapport à une administration de réseau classique, la dimension sécurité est importante. Par
exemple, la gestion de certificats pour les correspondants VPN nécessite les services d’une PKI.
Le rôle des VPN IPSec dans la sécurité
Avec la généralisation de l’utilisation de réseaux de transit vulnérables comme les WLAN et Internet,
IPSec devient incontournable pour sécuriser les échanges réseau. Les VPN IPSec sont utilisables
aussi bien dans l’entreprise que pour les échanges de l’entreprise étendue entre différents sites,
pour des accès distants et pour des échanges avec des partenaires. La sécurité VPN est
complémentaire avec la sécurité qui protège le site ou le poste d’accès à internet et qui est basée
sur les techniques de firewall, de détection et de prévention d’intrusions et de contrôle de contenu
(anti-virus, filtrages URL, anti-spam).
La tendance actuelle est l’apparition de nouveaux matériels et logiciels qui rassemblent la plupart de
ces fonctions. Les nouvelles générations de passerelles et de routeurs vont intégrer un anti-virus en
plus de la fonction IDS, firewall et VPN IPSec.
2.7.2 Le VPN-SSL ou l’accès distant sécurisé nouvelle génération

Auteur : Alain Thibaud (F5 Networks) a.thibaud@F5.com
Les solutions de VPN-SSL offrent un accès distant qui répond à la fois aux besoins des
administrateurs et des utilisateurs finaux.
Il permet aux entreprises de fournir l’accès distant sécurisé, fiable et intuitif que demandent les
utilisateurs, sans les migraines et le temps passé à l'installation et à la configuration des logiciels
clients, et sans devoir modifier les applications côté serveur.
2.7.2.1 Un accès réseau approprié par type d’utilisateur
Le VPN ou (Réseau Privé Virtuel) SSL assurent l'accès le plus large aux utilisateurs des ressources
réseau de l'entreprise. Nous pouvons regrouper les types d'utilisateurs en quatre catégories, leur
offrant un accès sécurisé approprié tel que défini par l'administrateur réseau.
L'utilisateur de PC portable de l'entreprise
Egalement appelé utilisateur "de confiance", est un employé utilisant des équipements fournis et
maintenus par l'entreprise. Pour ces utilisateurs, le connecteur VPN offre un accès distant à la
totalité du réseau sans aucune modification aux applications, que ce soit côté serveur ou côté client.
Cette solution apporte aux administrateurs la possibilité de détecter les virus et de mettre en œuvre
les antivirus et firewall standards.
L'utilisateur de kiosques ou d'ordinateur domestique
Est un employé qui nécessite un accès aux ressources de l'entreprise depuis un dispositif qui n'est
pas fourni et maintenu par l'entreprise (également qualifié de dispositif "non éprouvés"). Pour ces
utilisateurs, les adaptateurs VPN-SSL proposent l'accès à une large gamme d'applications et
ressources du réseau, depuis le partage de fichiers jusqu'aux applications mainframe. Le
système VPN-SSL masque l'identité des ressources réseau via un mapping de l'URL et élimine les
données sensibles, laissées derrière par le navigateur et la session de l'application.
L'utilisateur partenaire
Est un non employé utilisant du matériel fourni et maintenu par une autre entreprise, avec des
normes inconnues. Il est également qualifié de "non éprouvé". L'utilisateur du partenaire commercial
nécessite généralement l'accès à des ressources limitées afin de réaliser des partages de fichiers ou
d'accéder à l'extranet. Le dispositif VPN permet aux administrateurs d'offrir à ces utilisateurs un
accès limité et approprié aux applications et sites de l'extranet via l'adaptateur Web. Le VPN-
SSL offre une sécurité au niveau des couches applicatives et peut protéger contre les attaques des
applications telles que les attaques de scripts à travers le site, directement sur les serveurs Web
internes.
L'utilisateur de dispositif mobile
Est un employé qui a besoin d'accéder au réseau depuis un dispositif mobile personnel. Pour les
utilisateurs de Palm® OS, PocketPC, WAP et de téléphones iMode, le VPN-SSL permet aux
utilisateurs mobiles d'envoyer et recevoir des messages, de télécharger des attachements et
d'attacher des fichiers du LAN aux e-mails.
2.7.2.2 Les fonctions de sécurité du VPN-SSL
Les administrateurs trouvent souvent difficile de supporter les systèmes d'accès distants. Le haut
niveau de maintenance requis pour administrer les groupes d'utilisateurs et déployer les mises à
jour, tout en maintenant la sécurité du réseau et l'accès des utilisateurs, est vraiment complexe. Les
solutions anciennes offraient des possibilité d'authentification limitées pour garder la trace des
utilisateurs du réseau ou pour donner des indications précieuses afin de régler les problèmes
lorsqu'ils surviennent.
Voici, quelques exemples de fonctions de sécurité présentes dans une appliance de VPN-SSL :
Contrôle granulaire.
Les administrateurs disposent d'un contrôle rapide et granulaire sur leurs ressources réseau. Il
supporte les règles autorisant l'accès aux applications en fonction du dis positif d'affichage
utilisé pour l'accès distant.
Authentification stricte de l'utilisateur.
Par défaut, les utilisateurs sont authentifiés vis à vis d'une base de données interne au
système, en utilisant un mot de passe. Mais il peut également être configuré pour exploiter les
méthodes d'authentification RADIUS et LDAP, l'authentification HTTP de base et par
formulaires, et les serveurs de domaines Windows.
De nombreuses entreprises exigent une authentification à deux facteurs, consistant à utiliser
une méthode supplémentaire, au delà du profil et du mot de passe. Ce type de solutions
supporte complètement l'authentification RSA SecurID® basée sur les jetons. et il propose
également une version intégrée de VASCO Digipass®.
⇒ Internal user database
⇒ RADIUS authentication
⇒ VASCO DigiPass authentication
⇒ LDAP authentication
⇒ Initial signup on LDAP with subsequent strong internal password
⇒ Windows domain authentication
⇒ HTTP Form & Basic authentication
Auto login
La fonction d’auto login permet à la solution de VPN SSL de réutiliser le login /passsword fourni
par l’utilisateur pour s’authentifier pour une nouvelle authentification auprès des applications de
l’Entreprise auxquelles il souhaite accèder :
⇒ Web interne,
⇒ Citrix,
⇒ Windows Terminal server,
⇒ Fichiers partagés NT,
⇒ …
Double mot de passe
La mise en œuvre d’une stratégie d’authentification forte lors de la connexion sur la solution de
VPN SSL nécessite l’utilisation du mot de passe pour l’authentification forte et le mot de passe
statique utilisé en interne si l’utilisateur souhaite accéder aux applications avec la fonction
d’auto login.
Cette solution est supportée par les solutions de VPN SSL. Il existe deux stratégies pour
effectuer ce type d’authentification forte:
⇒ L’utilisateur fournit les deux mots de passe lors de son authentification sur la
solution de VPN SSL,
⇒ L’utilisateur fournit uniquement son mot de passe d’authentification forte
pour ce connecter sur la passerelle, puis sa première authentification sur
une application sera cachée par la solution VPN SSL et sera utilisée pour
l’auto login aux autres applications.
Le mapping de groupe
La fonction de mapping groupe permet de récupérer en Radius, LDAP, ActivDirectory ou NTLM
le groupe d’un utilisateur et le faire correspondre à un des groupes configurés sur le VPN-SSL.
Cette fonctionnalité permet :
⇒ De faire correspondre un utilisateur à un profil du boîtier en utilisant la
stratégie de groupe de l’Entreprise centralisée sur un serveur.
⇒ De mettre en œuvre des stratégies d’authentification différentes selon le
groupe de l’utilisateur.
La Gestion des autorisations
Les privilèges d'accès peuvent être attribués à des individus ou à des groupes d'utilisateurs (par
exemples "Commerciaux", "Partenaires", "Informatique"). Ainsi, le VPN-SSL peut limiter les
individus ou groupes à des ressources particulières. Les partenaires peuvent, par exemple,
n'avoir le droit d'accéder qu'à un serveur d'extranet, tandis que les commerciaux peuvent se
connecter aux e-mails, à l'intranet de l'entreprise et aux systèmes de CRM.s
2.7.2.3 Les fonctions d’audit et reporting

Il fournit aux administrateurs des rapports sur les journaux de sessions et d'activations. Des rapports
de synthèse regroupent l'utilisation par jour de la semaine, heure, OS accédé, durée de la session et
type de fin de la session, pour une durée paramétrable par l'utilisateur. Des rapports détaillés, avec
fonctions de forage, offrent un accès complet et granulaire à toutes les données sur les utilisateurs
finaux.
“Pour les entreprises nécessitant un accès distant souple à leurs applications, les systèmes de VPN
SSL sans client offrent une solution fiable et sécurisée. Pour une sécurité accrue, particulièrement
critique lorsque les applications sont accessibles par les partenaires, les entreprises devraient
évaluer les solutions offrant des possibilités de filtrage au niveau des couches applicatives telles que
la prévention des attaques de scripts à travers le site et la mise en œuvre de trafic HTTP compatible
RFC.”
David Thompson, Senior Research Analyst au META Group
2.7.2.4 Installation rapide, déploiement facile et évolutif
Pour les administrateurs, le contrôleur élimine les coûts associés aux VPN distants traditionnels, qui
nécessitent l'installation de logiciels client sur chaque dispositif et/ou des modifications aux
ressources centrales accédées. Ceci simplifie considérablement les déploiements et diminue le
temps de mise en œuvre. Généralement, un VPN-SSL peut être installé en quelques heures au
lieu des quelques jours ou semaines que demandent les systèmes traditionnels. Il peut ajouter
automatiquement des utilisateurs en authentifiant l'utilisateur auprès d'un serveur AAA et en
affectant l'utilisateur à un groupe défini dans l'annuaire de l'entreprise.
2.7.2.5 Administration facile et coût de maintenance réduits
Outre une installation rapide, Les VPN-SSL offrent une interface d'administration intuitive et
familière, basée sur un navigateur Web. Cette interface est personnalisable afin de permettre
d'ajuster l'apparence et le comportement du produit à votre intranet d'entreprise. Parce qu'il s'agit
d'une solution sans client, les coûts de support sont considérablement réduits. La maintenance des
systèmes clients est éliminée et il n'est pas nécessaire de modifier ou mettre à jour les ressources
réseau, les dispositifs distants ou l'architecture réseau.
Description :
1. Le boîtier SSL est dans une DMZ. Les flux en provenance des utilisateurs vers la solution VPN
SSL sont gérés par un Firewall et les flux vers les applications en provenance de la passerelle
VPN SSL sont gérés par un deuxième Firewall.
2. Le firewall1 filtre les accès et les flux de données en SSL en provenance des utilisateurs.
3. Le Firewall2 filtre les accès de la solution VPN SSL vers les applications de l’entreprise.
2.7.2.6 « Webifyer » ou « webification » des applications

Les webifyers permettent aux utilisateurs distants à partir de leur browser d’accéder à un grand
nombre d’applications et de ressources de l’entreprise qui ont ou n’ont pas d’interface Web. La
solution de VPN-SSL leur fournira celle-ci.
Exemple de « webification » d’application:
Systèmes de fichiers NT ou NFS
Accès à la sa messagerie en POP3 ou IMAP4
Terminal services : Citrix, WTS ou VNC
Host Access : VTxxx , ssh, telnet, 3270, 5250
X Window Access : X11, Gnome, KDE, TWM, Openwindows
Desktop
2.7.2.7 Tunnel Applicatif ou translation de port : Solutions Client/Serveur
Le Tunnel Applicatif permet de supporter les applications de type Client Server pour les ordinateurs
d’utilisateurs distants. Cette solution permet de créer un tunnel sécurisé dédié uniquement à
l’application utilisée. Elle permet de fournir une plus grande flexibilité pour la restriction des
applications accessibles par les utilisateurs.
La passerelle VPN-SSL fournit en standard des « templates » de configuration pour les applications
les plus utilisées. Mais il est possible de customiser des applications propriétaires à l’entreprise.
Fonctionnement :
2.7.3 VPN-SSL ou l’accés au réseau d’entreprise

La fonction d’accès au réseau d’entreprise d’une solution VPN-SSL permet d’utiliser toutes les
applications au-dessus d’IP : UDP, TCP, ICMP. La passerelle VPN-SSL avec cette fonctionnalité
permet de supporter tous les types d’applications au dessus d’IP, tel que la vidéo conférence, le
streaming video, la voix sur IP : H323, SIP , …
Description
• Le VPN SSL est similaire au VPN IPSec, il est totalement transparent
• Il est permet de créer un tunnel sécurisé pour tous types d’applications au dessus d’IP :
TCP/UDP, ICMP, …
• L’ordinateur de l’utilisateur aura l’attribution d’une adresse IP qui pourra être routée dans le
réseau de l’entreprise.
• Aucune configuration particulière n’est nécessaire sur le poste de l’utilisateur avant la
création du VPN SSL.
• Le split tunneling permet à l’administrateur de spécifier quels sont les réseaux qui seront
atteints à travers ce tunnel sinon la totalité du trafic empruntera le tunnel.
• Il est possible à l’administrateur de vérifier avant l’établissement un certain nombre de
paramètres de sécurité sur le poste de l’utilisateur :
⇒ Présence ou pas d’un Firewall et/ou d’un anti-virus et/ou d’un autre type
d’application,
⇒ Vérifier la version de ces types d’application,
⇒ Template pour les différentes applications utilisées,
⇒ L’IP Forwarding est dévalidé,

⇒ Vérification des tables de routage,
⇒ Vérification des paramètres qui doivent être valides sur le poste client
⇒ Site de quarantaine si un ou plusieurs points vérifiés ne seraient pas
corrects pour permettre à l’utilisateur de les corriger par une mise à jour
d’une version logicielle par exemple.
• Le tunnel SSL établit une liaison PPP entre le client distant et le VPN-SSL. L’ensemble du
trafic en provenance du client sera routé vers le réseau de l’entreprise.
Fonctionnement :
2.7.4 Anti-virus
La solution VPN SSL doit supporter les différentes solutions d’Anti-Virus pour permettre à
l’entreprise de contrôler les fichiers que l’utilisateur introduirait dans celle-ci. La passerelle VPN-SSL
supporte en interne une solution d’Anti-Virus, mais les besoins de l’entreprise sont de supporter les
solutions internes à celle-ci, ainsi le support du protocole ICAP permet l’interconnexion pour la
décontamination des fichiers transférés entre l’utilisateur et le réseau interne avec des solution
d’Anti-Virus qui intègrent ce protocole.
Les solutions d’Anti-Virus supportant ICAP sont par exemple :
Trend Micro,
Symantec,
Sophos,
…
Les solutions de VPN-SSL sont souvent présentées sous forme de boitier/serveur rackable, mais
certains fournisseurs les présentent sous forme logicielle.
2.7.5 Choisir entre un VPN IPSec et un VPN SSL
2.8 LE CHIFFREMENT DES DONNEES SUR DISQUE

Le poste de travail nomade quand il n’est pas connecté au réseau ne constitue

plus un danger pour l’Intranet, mais il peut contenir des renseignements
confidentiels et qui doivent le rester. Même si ce poste de travail est volé ou
perdu, les renseignements confidentiels qu’il contient ne doivent pas être lus par
des personnes non autorisées. Pour cela, il est impératif de pouvoir chiffrer
certaines parties du disque dur, dans lesquelles on placera impérativement les
fichiers qui ne doivent être accessibles qu’au propriétaire du poste de travail.
Les logiciels de chiffrement des données sur disque permettent non seulement de chiffrer les fichiers
contenus dans certaines partitions disque, mais aussi peuvent masquer ces partitions aux
personnes non habilitées à lire ces fichiers confidentiels. Une bonne solution est de coupler
l’authentification forte (utilisation de sa carte à puce par exemple) avec la possibilité d’accéder aux
partitions confidentielles et de déchiffrer les fichiers qu’elles contiennent. Inversement, les fichiers de
ces partitions sont chiffrées et les partitions ne sont plus visibles quand on retire la carte à puce.
2.9 LES INFRASTRUCTURES A CLE PUBLIQUE (PKI)

Partie prise en charge par Herve Chappe (Alcatel) / Anne Coat (AQL)
Pour prouver l’origine d’une clé publique, on l’insère dans un certificat qui est remis aux utilisateurs
qui en ont besoin pour chiffrer un message à destination du détenteur de la clé privée, ou pour
déchiffrer une signature émise par le détenteur de cette clé privée. Ce certificat est signé par une
autorité en qui les utilisateurs (personne ou passerelle), placés aux deux extrémités du tunnel ont
confiance.
Le certificat ne peut être falsifié parce qu’il contient une partie chiffrée par la clé privée de l’autorité
de certification. A la réception, il y a comparaison entre cette zone qui est déchiffrée par la clé
publique de l’autorité de certification du certificat de l’autre extrémité du tunnel, et de la même zone
en clair contenue dans le certificat. Si le certificat n’a pas été compromis, il est établi que la clé
publique qu’il contient est bien la clé publique qui correspond à la clé secrète que l’autre extrémité
du tunnel seule détient. Le certificat présente également d’autres renseignements sur l’identité et la
société du possesseur du certificat, ainsi que sur l’autorité de certification qui l’a signé et sur les
dates de validité du certificat.
Produire et gérer des certificats à grande échelle est le métier des tiers de confiance qui fournissent
des PKI (Infrastructures de Clés Publiques). On peut être son propre tiers de confiance ou
externaliser la gestion de ses clés, la signature et la distribution des certificats à une autorité
extérieure.
2.10 LA SIGNATURE ELECTRONIQUE
2.11 LA DETECTION D'INTRUSIONS,

Le firewall assure une protection périmétrique autour du réseau privé de l’entreprise,

mais il ne peut analyser que les paquets IP qui le traversent, et ne peut réagir contre
des attaques qui se perpétuent derrière lui dans l’Intranet. Il est bon de prévoir une
deuxième ligne de défense et même plusieurs lignes de défense en profondeur. C’est
ce que font les sondes de détection d’intrusion et les détecteurs d’anomalies
réseaux.
Les sondes de détection d’intrusion
Une sonde de détection d’intrusion placée à un endroit sensible du réseau, analyse les paquets IP
qui passent et les compare à une base de signatures d’attaques, qui doit être tenue à jour, pour
déceler si les paquets sont dangereux. La sonde réagit, si son analyse conduit à penser que le
paquet est douteux, par exemple en générant une alarme et parfois même en modifiant la
configuration d’un routeur.
Un problème posé par certaines sondes de détection d’intrusion est de réagir trop souvent et
l’accumulation des alarmes, souvent de fausses alarmes, alourdit la tâche de l’administrateur. Mais
mieux vaut signaler une fausse alarme que d’en laisser passer une vraie, pensez-vous ? Oui, à
condition d’avoir le temps et les ressources pour repérer et traiter les vraies alarmes si elles sont
noyées dans le flot des fausses.
Les détecteurs d’anomalie réseau
On trouve sur le marché une autre famille de détecteurs : les détecteurs d’anomalies réseau et
d’anomalies système. Un moteur cognitif apprend à la sonde le fonctionnement normal du réseau ou
du système. Cette normalité est modélisée dans des équations et les sondes sont alors prêtes à
réagir quand un événement leur semble s’écarter d’un certain seuil de ce qui est considéré comme
un événement normal. Ainsi, dans une entreprise où le réseau n’est sollicité habituellement que pour
la messagerie ou le Web et seulement durant la journée, si à trois heures du matin le poste de travail
d’une personne de la direction des ressources humaines lance à distance une compilation de C++,
la sonde détectera l’anomalie et réagira. Ce type de sonde signale beaucoup moins de fausses
alarmes que celles des détecteurs d’intrusion, et affecte moins les performances du réseau. Il n’est
ici plus question de comparer chaque paquet avec une base de signature qui s’allonge avec le
temps, et possède parfois une signature proche du paquet que la sonde analyse.
2.12 LES ANTI (VIRUS, SPAMS, SPYWARES),

Partie prise en charge par Yann Berson (WEBWASHER) / Alexandre le Faucheur
L’anti-virus de l’entreprise installé sur un serveur intercepte et analyse les

messages et surtout les pièces exécutables jointes aux messages, mais il est
bien entendu impuissant contre les programmes qui sont récupérés par les
utilisateurs à partir de CDROM ou de disquettes, directement sur leur poste de
travail. C’est pourquoi un anti-virus personnel, sur chaque poste de travail est
indispensable. Même si l’utilisateur n’a sur son poste de travail que des fichiers
personnels et d’autres fichiers sans grande valeur pour l’entreprise, l’absence
d’un anti-virus personnel sur son poste de travail peut tout de même faire courir
de gros risques à l’entreprise, car quand l’utilisateur inconscient branchera son
PC sur le réseau, il pourra contaminer tout l’Intranet.
On ne peut demander à l’utilisateur de faire diligence pour rester à jour dans ses
versions d’anti-virus, l’expérience prouve qu’il chargera les nouvelles versions et les nouvelles bases
de signatures de virus connus une fois ou deux, mais qu’il ne le fera pas systématiquement et son
anti-virus personnel deviendra vite obsolète. Les anti-virus personnels doivent être mis à jour et
lancés automatiquement par un serveur de l’entreprise, chaque fois que l’utilisateur se connecte sur
le réseau. Il est même conseillé, vu les dégâts que peuvent causer les virus et les vers de mettre en
œuvre deux anti-virus provenant de constructeurs différents, par exemple un anti-virus X sur les
postes de travail et un anti-virus Y sur le serveur d’entreprise.
2.13 SECURITE ET MOBILITE

Auteur : Franck Franchin (FRANCE TELECOM) franck.franchin@francetelecom.com
La grande généralisation des terminaux portables ou mobiles associée à la

banalisation du travail en situation de mobilité engendre de nouvelles menace sur la
protection des informations de l'entreprise.
La principale menace qui pèse sur les données stockées dans un terminal mobile
(PC portable, PDA, smartphone) demeure le vol physique du-dit terminal. Toutefois, d'autres
menaces commencent à poindre à l'horizon.
Par exemple, qui n'a pas renvoyé son PDA défaillant directement au fabricant, via le SAV du
vendeur. Si on peut éventuellement faire confiance aux services après-vente du fabricant (et cela
reste à prouver...), le plaisir d'en recevoir un tout neuf en échange sous garantie ne doit pas faire
oublier ce qu'est devenu l'ancien... Revendu sur un site d'enchères par exemple, il a pu devenir la
proie d'un pirate.
Selon le Gartner, 90% des terminaux mobiles n'ont pas les protections nécessaires pour
éviter la récupération d'information sensibles : comptes de messagerie, mots de passe,
contacts stratégiques, et autres documents confidentiels.
Une autre nouvelle menace est liée à l'intégration par défaut de systèmes de
communication sans fil (Bluetooth, Wifi, IrDa) activés par défaut, quelquefois à l'insu du
propriétaire du terminal. Un portable devient alors vulnérable dans tous les lieux publics.
Mais la notion de sécurité n'implique pas uniquement la « confidentialité ». Parlons
plutôt « intégrité » et « disponibilité ». La facilité d'utilisation et l'ubiquité de ces
terminaux nous fait souvent oublier les bonnes règles de base : sauvegarde et
synchronisation. Les disques durs des PCs portables sont soumis à des contraintes
importantes qui les fragilisent quant bien même ils aient été conçus en ce sens. Les
cartes CF ou autres des PDAs sont sensibles à l'électricité statique et supportent quelquefois mal
plusieurs aller-retours avec un appareil photo. De leur côté, les smartphones ont une fâcheuse
tendance à « tomber ».
Une autre notion en sécurité porte sur l'identification du périmètre de sécurité et sur les contrôles
d'accès aux données. Si cette notion peut s'appliquer plus ou moins facilement à des PCs
physiquement résidents dans un bureau potentiellement fermé à clé et relié à un Ethernet câblé, que
dire d'un PC portable Wifi qui voyage dans une voiture, prend l'avion, se connecte sur une borne Wifi
à la maison ou à l'hôtel et qui pratique le libre-échangisme de données avec ses pairs par clés USB
interposées. On ose à peine parler du double-attachement. Que le premier qui n'a jamais laissé son
PC portable en salle de réunion sans surveillance pendant 5 minutes lance la pierre.
Parlons donc du vol des mobiles et des portables. Dans toute entreprise, les chiffres sont édifiants,
quand bien même l'auto-déclaration donne une image fidèle de ces sinistres. Aujourd'hui, un PC
portable vaut presque le tiers d'un modèle équivalent en gamme il y a 3 ans. Quel est l'intérêt pour
un voleur de franchir le périmètre de sécurité d'une grande entreprise pour dérober 4 ou 6 portables
? Il n'en tirera au mieux que quelques centaines d'euros pièce. Sans être paranoïaque, il suffit de se
balader sur certains forums underground pour trouver des pirates qui revendent des bases de
données de mots de passe, de numéros d'accès à des Extranets, des numéros de cartes de crédit
(avec dates d'expiration). N'est-il pas plus facile de voler des PCs ou de racheter des disques durs
sur Ebay que de pénétrer des systèmes d'informations bardés de contre-mesures ?
L'information ne vaut-elle pas désormais plus que le matériel qui la traite ?
Voici donc maintenant quelques conseils de base qui facilitent la vie (et le sommeil) d'un utilisateur
de portable ou de mobile :
Règle N°1 - Penser aux sauvegardes - Utiliser le graveur de CD ou de DVD qui équipe
désormais la grande majorité des portables pour effectuer périodiquement des sauvegardes
des données les plus importantes. La clé USB est aussi un bon outil (pour les échanges de vos
Powerpoint, préférer à chaque fois que c'est possible le courrier électronique et les répertoires
partagés) ;
Règle N°2 - Utiliser les répertoires partagés et les fonctions de synchronisation - Si vous oubliez
de faire vos sauvegardes, vous pourrez toujours compter sur celles effectuées par votre
administrateur réseau sur vos serveurs de fichiers d'entreprise.
Règle N°3 - Utiliser le chiffrement - Pour les données sensibles, ne pas hésiter à recourir aux
fonctions de chiffrement de votre système d'exploitation ou à celles d'une solution dédiée. Bien
évidemment, ne pas succomber à la facilité de sauvegarder le mot de passe sur le disque dur.
Règle N°4 - Toujours considérer que votre portable risque d'avoir été infecté. Vous avez passé
une semaine en mission sans vous connecter au réseau de votre entreprise et donc sans mise
à jour de votre anti-virus. Pendant cette même période, vous avez échangé des fichiers avec
cette sacrée clé USB, vous avez fait du Wifi à l'hôtel et à l'aéroport et vous vous êtes connecté
en mode « invité » chez votre client. Assurez-vous de forcer une mise à jour de l'anti-virus de
votre portable dès votre retour au bureau.
Règle N°5 - Différencier les mots de passe - Votre portable ou mobile ne devrait jamais avoir le
même mot de passe qu'un autre système « fixe » que vous utilisez au bureau.
Règle N°6 - Bien choisir ses mots de passe - La longueur est plus importante que la complexité.
Le mot de passe suivant « Par un bel et chaud après-midi d'automne à Paris » est plus dur à
cracker (dictionnaire ou force brute) que « #@&é@=}é ».
2.14 LES OUTILS DE CONTROLE ET DE SURVEILLANCE,

Partie prise en charge par Yann Berson (WEBWASHER)
Le proxy et le cache ne sont pas, à proprement parler des solutions de sécurité, mais ils y
participent, en assurant le confort des utilisateurs et sont souvent associés à la fourniture d’une
solution complète pour sécuriser le réseau interne de l’entreprise, au moins au niveau humain. Le
proxy a pour fonction de se faire passer pour un serveur (web par exemple) pour masquer le vrai
serveur aux utilisateurs. C’est sur ce principe que sont bâtis les firewalls haut de gamme. Le cache
est un espace disque dans lequel l’information demandée est stockée un certain temps pour être
resservie en cas de nouvelle demande de cette information.
Le proxy constitue un endroit stratégique pour contrôler l’information demandée aux serveurs Web.
Un proxy « intelligent » permet de réunir les utilisateurs par groupes ou par fonctions, de diviser le
temps en plages horaires et de regrouper les pages Web par catégories. On peut alors conseiller ou
interdire telle catégorie de pages web, durant telle plage horaire à tel groupe d’utilisateurs. Le proxy
placé dans l’Intranet, derrière le firewall, souvent sur une DMZ, peut également limiter les abus en
établissant des quotas, en temps de connexion, en nombre de pages web lues, en volume de
données chargé par jour, par semaine, par mois pour chaque groupe d’utilisateurs, dans une période
choisie. Les noms des collaborateurs indélicats peuvent être placés, un certain temps, dans une liste
noire. Ces collaborateurs perdent alors toute possibilité d’accéder au web, le temps du séjour de
leurs noms dans cette liste qui sera vite redoutée.
Ces mesures vous semblent incompatibles avec le droit, que tout utilisateur peut revendiquer, de
garder une parcelle de sa vie privée même durant les horaires de travail ? Ce même utilisateur a
aussi des devoirs, et en particulier celui d’utiliser les outils mis à sa disposition par son employeur, à
des fins uniquement professionnelles. Une fois les employés avertis qu’un tel système de
surveillance est mis en place, l’employeur peut alors l’utiliser. Et le seul fait de savoir que ce système
de surveillance existe dans une entreprise rend les employés plus sensibles à n’ouvrir que les pages
web utiles dans le cadre de leurs fonctions et au moins à éviter de charger certaines pages, si ce
n’est celles improductives, au moins celles répréhensibles par la loi.
Ainsi, avec quelques précautions, et quelques outils et réglementations acceptées de part et d’autre,
l’accès à cette incroyable ressource qu’est l’Internet, pourra se faire avec efficacité, et sans
conséquences préjudiciables pour l’employé comme pour son employeur.
2.15 L’ERADICATION DES LOGICIELS ESPIONS

La morale n’ayant pas sa place quand il est question d’observer son prochain, certains éditeurs de
logiciels placent dans leurs programmes des bouts de code qui vont fonctionner comme des
mouchards et renseigner des régies publicitaires, des concurrents ou des faux amis, à l’extérieur.
Dans le dernier roman de Tom Clancy, l’ours et le dragon, vous avez un magnifique exemple de
logiciel espion tournant sur le poste de travail d’un dirigeant chinois, et qui va devenir un facteur
essentiel de la victoire des Etats-Unis en guerre contre la Chine. Sans aller chercher si loin, voyons
ce que vous avez sur votre propre poste de travail. Téléchargez le logiciel adaware que vous
trouverez gratuitement sur le web www.lavasoft.de (rassurez vous, il ne contient ni virus, ni logiciel
espion). Installez le et lancez le.
Si vous avez déjà navigué sur le web, comme la plupart d’entre nous, vous trouverez sur votre poste
de travail au moins un pointeur vers le cookie du fournisseur de bannières doubleclick qui peut
renseigner une régie publicitaire sur vos habitudes de navigation. Ca n’est pas très grave. Mais si
vous avez téléchargé des logiciels, peut être avez-vous installé, bien sûr à votre insu, de redoutables
logiciels espions qui envoient, par le réseau, à vos concurrents les fichiers confidentiels contenus
dans votre disque, tels que les conditions de remises, vos remarques personnelles sur vos clients et
partenaires, les spécifications des produits non encore annoncés, vos propositions de réponse à
appel d’offre en préparation.
Si vous avez téléchargé et installé un logiciel et vous apprenez qu’il contient un spyware (logiciel
espion), ne pensez pas pouvoir supprimer ce logiciel espion simplement en désinstallant le
programme qui vous en a fait cadeau. Les spywares ont la vie dure et ne se laissent pas facilement
éradiquer car ils se cachent à des endroits du disque où on ne pense pas aller les chercher.
Heureusement un logiciel comme adaware sait les éradiquer correctement.
2.16 LES POTS DE MIELS

Le temps qui s’égraine

inexorablement est un
cauchemar pour le hacker
durant l’attaque d’un réseau. Au
début, les poussées
d’adrénalines le transportent au
nirvana des pirates quand il
perçoit les premiers signes de
rupture du système
d’information de sa victime sous
ses coups de boutoirs dirigés
sur les vulnérabilités qu’il a
trouvées dans ce système.
Mais si l’attaque dure plus que
prévu, le hacker ressent alors
qu’un danger diffus le menace
et que les tenailles menaçantes
du risque se rapprochent
doucement de lui au risque de
le broyer.
Il arrive en effet que le chemin
de l’attaque passe par un
terrain miné. Ces pièges, ce
sont les honeypots, les pots de
miel placés en amont d’un
système d’information et qui
l’émule par un firewall, par-ci,
un serveur de fichier et de messagerie par-là, mais ce sont en réalité des leurres dans lesquels le
hacker s’englue et n’arrive plus à en sortir sans laisser des traces qu’il ne pourra pas effacer. Son
attaque est observée, analysée et ses méthodes sont éventées, et soudain
l’espoir changea de camp, le combat changea d’âme
du hacker maintenant, on capturait les trames.
et le pirate peut se faire serrer par les autorités judiciaires compétentes.
On distingue les pots de miel qui se contentent de simuler des fonctionnalités d’un logiciel et qui
entament un dialogue avec l’attaquant et d’autres plus élaborés qui sont de vraies applications, une
base de données Oracle par exemple, mais truffées de sondes de détections d’intrusions,
d’analyseurs de logs où tout est journalisé et archivé sur un serveur qui est lui totalement
inaccessible au pirate englué dans le piège. Le hacker croit agir dans l’obscurité de l’anonymat, son
attaque est en fait exposée en pleine lumière sans espoir d’effacer les indices qu’il sème. A l’inverse
d’un firewall, le pot de miel laisse pénétrer les hackers mais ne les laisse abandonner la place
qu’après avoir mis en évidence le déroulement des attaques. Un pot de miel peut confiner vers et
virus dans une enceinte pour mieux les analyser et trouver une parade. Riches sont les informations
qui en sont tirées. Il y a même un projet de recherche, le honeynet auquel participent les plus fins
limiers de la sécurité qui gère tout un réseau de pots de miel. Ce réseau n’est pas plus attaqué qu’un
autre mais pas moins non plus, c’est à dire qu’il est donc très attaqué et ces attaques sont
décortiquées dans le but de diffuser aux participants du projet des informations sur la psychologie et
la sociologie des agresseurs et de concevoir des contre-mesures pour les coincer.
Où placer un pot de miel ? Ceux à grande échelle, comme le projet honeynet sont des
réseaux à part entière et se trouvent « quelque part » sur l’Internet. Les attaquants y
entrent mais n’en sortent pas. Pour une entreprise, il est préférable d’isoler les pots de
miel dans une zone démilitarisée (DMZ), créée par leur firewall et de n’en révéler bien
sûr l’existence qu’aux utilisateurs qu’on ne souhaite pas voir tomber dans le piège.
La mise en place d’un pot de miel est-elle légale ? Faut-il être du côté du gendarme ou du côté du
voleur ?
Il n’y a pas de législation spécifique concernant les pots de miel placés sur les STAD (Système de
Traitement Automatisée des Données) comme on nomme de manière désuète les systèmes
d’information dans les livres de droit. Tout réside dans l’intention et dans la manière dont les
créateurs de pots de miel s’y prennent. De même qu’un fonctionnaire de police n’a pas le droit, du
moins en France, de créer les circonstances et l’environnement d’un méfait pour prendre un
délinquant en flagrant délit, de même il ne peut être fait de publicité pour attirer un pirate dans un
réseau piégé pour utiliser les preuves de son attaque en justice. Pour que l’agressé puisse donc
utiliser les preuves d’une attaque, l’agresseur doit être tombé naturellement dans le piège tendu.
Placer des pots de miel s’apparente donc plus à une partie de pêche au pirate qu’à une embuscade
montée sur les grands chemins des autoroutes de l’information. On pourrait aussi concevoir un pot
de miel qui réagisse en attaquant l’agresseur pour compromettre son propre système d’information
en remontant aux sources de l’attaque. Mais le pirate pourrait alors se plaindre d’avoir été attaqué
alors qu’il était tombé sur votre réseau (comme) par hasard sans intention malveillante. Et que dire si
le hacker utilise pour vous attaquer, un poste intermédiaire comme celui de la police ! Le monde est
loin d’être simple et binaire et mieux vaut donc garder son pot de miel passif.
Dans un Intranet, un honeypot doit être bien évidemment considéré comme un outil de surveillance
et sa légitimité repose sur une obligation d’information des représentants sociaux des employés sur
ce qui est mis en fonction. Ceci enlève au pot de miel son effet surprise, mais c’est bien le but de la
protection des employés contre les outils de surveillance non déclarés, d’autre part, sa mise en
place doit reposer sur le principe de proportionnalité qui dit qu’un outil de surveillance ne peut être
mis en place par l’employeur que s’il est justifié par la valeur de l’information qu’il protège et par les
ardeurs des attaquants à le compromettre. En théorie, que le pot de miel soit placé en dehors de
l’Intranet pour coincer les pirates extérieurs ou à l’intérieur pour surveiller les employés, il devrait être
accompagné d’un message du genre : « Attention ce serveur n’est accessible qu’aux personnes
autorisées. En entrant dans ce serveur, vous acceptez que votre activité soit contrôlée et
divulguée » D’ailleurs à bien y réfléchir, c’est peut être astucieux de mettre cette recommandation,
pot de miel ou pas, pour obtenir un effet dissuasif, un peu comme ceux qui mettent un écriteau
« Chien méchant !!!» dans leur jardin alors que n’y réside qu’une paisible tortue.
Signalons qu’un pot de miel d’un genre nouveau vient de faire son apparition à l’occasion de la sortie
du film Blueberry. Ce film est proposé en DivX sur les serveurs d’échanges tels que KazaA et
eDonkey. Vous téléchargez, comme plusieurs dizaines de milliers d’internautes l’ont déjà fait, le
fichier DivX de 700MO ( !) et vous obtenez le tout début du film, mais au détour du chemin, voici
Vincent Cassel qui apparaît et vous explique que vous venez de télécharger une copie vidéo de très
mauvaise qualité comme ce qu’on trouve habituellement avec ce genre d’échanges, et que pour
apprécier le film, mieux vaut aller le voir au cinéma. Le reste du DivX est constitué de scènes de
tournage du film pour vous faire comprendre que la création d’une telle œuvre ne peut être
envisagée que si les spectateurs paient leurs places de cinéma. Dissuasif mais moral !
3 LA GESTION DE LA SECURITE
3.1 LES ASPECTS DE VERIFICATION ET D’AUDIT

Partie prise en charge par Olivier Caleff (Apogée Communications)
3.2 LA REMONTEE ET LA CORRELATION DES LOGS

3.3 LA GESTION CENTRALISEE DE LA SECURITE

Auteur : Michel Habert (Netcelo) michel.habert@netcelo.com
3.3.1 Introduction
3.3.1.1 Le problème
Plusieurs tendances sont actuellement observables:
Les entreprises s’étendent, les lieux de travail sont de plus en plus dispersés.
Les points d’accès aux réseaux de collecte, les réseaux d’interconnexion IP privés ou publics
se multiplient, les réseaux sans fil (WLAN, GPRS et bientôt UMTS) facilitent la mobilité intra et
extra entreprise mais sont vulnérables en raison de la technique de transmission utilisée (l’air).
Les ressources physiques des réseaux sont pour des raisons de coût, mutualisées, ce qui fait
que les VPN IP sont la voie royale de migration des entreprises vers IP.
Une bande passante élevée devient disponible à des coûts abordables,
Les attaques via des virus, vers etc se sont intensifiées et se focalisent sur les systèmes
d’exploitation les plus utilisés (ex Windows).
On assiste ainsi à la mise à disposition de l’entreprise d’une ressource de communication donnant
l’illusion, quel que soit la distance, d’un réseau local mais par contre plus vulnérable.
Enfin, les entreprises pour leur développement commercial, utilisent de plus en plus internet qui
s’intègre au cœur du fonctionnement de l’entreprise.
Ceci montre la problématique que doit résoudre l’entreprise qui est de s’organiser face à cette
intensification des communications et des attaques, à l’ouverture sur le monde concrétisée par
l’utilisation d’internet, à l’augmentation de la vulnérabilité des environnements de travail, des
réseaux et des systèmes.
3.3.1.2 La situation actuelle
De nombreuses d’entreprises sont déjà équipées de systèmes pour pallier à des disfonctionnements
ou à des défaillances et de systèmes de protection basés principalement sur le cloisonnement de
leur système par des pare-feux (firewalls) , sur des outils d’éradication d’infections et de filtrage.
Dans un contexte de communications en forte progression avec l’entreprise étendue, des réseaux et
des environnements vulnérables, des attaques nombreuses, ces niveaux de protection se révèlent
de plus en plus complexes à maîtriser et insuffisants en couverture de sécurité.
3.3.1.3 La solution
La solution à cette problématique est d’une part la prise en compte de la sécurité dans la conception
du système d’information, de ne pas la considérer comme une pièce rapportée et d’autre part de
mettre en place une gestion globale de la sécurité, ceci afin d’apporter les moyens de défense
nécessaires au SI (système d’information) pour faire face aux intrusions internes et externes et
également aux défaillances et disfonctionnements préjudiciables au bon fonctionnement du SI.
Seule une gestion centralisée de la sécurité peut assurer une vision globale.
A la base, il est nécessaire que l’entreprise élabore une politique de sécurité de son système
d’information qui reflète sa vision stratégique en terme de sécurité de système d’information.
Cette politique de sécurité doit couvrir les aspects environnementaux, organisationnels, physiques,
logiques et techniques du SI et aboutir à l’élaboration de règles de sécurité qui devront être
appliquées.
L’application de ces règles doit être administrée, supervisée, surveillée et contrôlée et justifie la
présence d’un centre de gestion de la sécurité.
3.3.2 Caractéristiques d’un système de gestion centralisé de la sécurité

3.3.2.1 Un système de gestion de la sécurité basé sur des politiques
Un moyen d’appliquer et de contrôler l’application les règles d’une politique de sécurité globale est
de disposer d’un système de gestion central de la sécurité basé sur des politiques.
Le principe est de d’enregistrer les règles découlant de la politique de sécurité dans le système de
gestion, de les interpréter et de les faire appliquer.
Les règles vont porter sur la sécurité :
de l’environnement : systèmes d’accès physiques, systèmes d’alarmes (vidéo-surveillance),
systèmes de protection (incendie, eau, énergie,..)
des ressources système et réseau du système d’information : stations/serveurs, sites en
réseau, réseaux, services
des personnes sous la forme de rôles (utilisateurs, administrateur, administrateur privilégié ,
superviseur) et de droits.
Le système de gestion de la sécurité s’appuiera sur un système d’administration exploité.
3.3.2.2 Un système de gestion intégré
Un des problèmes de la sécurité est la diversité des techniques mise en œuvre. L’administration
peut vite se révéler complexe si par exemple il y a une grande variété de consoles d’administration
dédiées à l’administration de tel ou tel appareil.
Il est par conséquent nécessaire de disposer d’un centre d’administration intégré qui rassemble sur
une seule console l’ensemble des opérations de sécurité pour l’ensemble des équipements et
l’ensemble des techniques de sécurité administrés.
Console intégrée gestion
Centre de gestion de la sécurité
VPN IP
services VPN IP
Composants administrés
3.3.3 Le système d’administration (SOC- Security Operations center)

Le système d’administration de la sécurité est la partie informatisée du système de gestion. Il est
intégré à un environnement sécurisé et est lui-même sécurisé : configuration à haute disponibilité,
site de secours (disaster recovery).
Il est associé à une exploitation qui met en œuvre des procédures d’exploitation. Une architecture de
système à l’état de l’art basée sur le modèle TMN (Telecommunicaitons Management Networks) et
les fonctions ISO FCAPS (Fault, Configuration, Accounting, Performance, Security) est
recommandée.
Le système d’administration sera organisé en plusieurs sous systèmes pour réaliser les fonctions
d’administration :
enregistrement des politiques
configuration
gestion des certificats (PKI)
mise à jour des logiciels et des bases de signatures
supervision
surveillance (collecte, analyse de logs) et alertes
Mises à jour logiciel et bases de données (ex bases anti-virales, filtrages URL, anti-spam)
fabrication de rapports,
gestion des tickets d’incidents.
Le système sera opéré par des consoles :
pour les opérations (consoles de gestionnaire)
pour le contrôle (consoles de supervision de SLA) client
pour l’administration du système de sécurité,
3.3.4 Les opérations

L’application des règles de sécurité est réalisée par des opérations qui interviennent :
Lors de l’approvisionnement
Avant le démarrage d’une activité, une personne ou un appareil doit posséder des informations et
des droits nécessaires à l’accomplissement des tâches qui lui incombent, ces informations
d’approvisionnement précèdent l’activation.
Cette phase d’approvisionnement peut se réaliser de plusieurs manières :
Un système de configuration qui fournit (mode pull) ou applique (mode push) les fichiers de
configuration de sécurité lors de la mise en service des stations/serveurs, équipements de
réseau, services applicatifs, applications.
Un système PKI (Public Key Infrastructure) qui fournit les certificats aux utilisateurs et aux
équipements,
L’envoi confidentiel par messagerie électronique de login/mots de passe aux utilisateurs ou aux
administrateurs
Fournir un badge à une personne.
Fournir une procédure d’exploitation à un administrateur
En cours de fonctionnement
En cours de fonctionnement, des opérations de sécurité sont effectuées. Ces opérations peuvent
être programmées ( exemple : procédure d’exploitation : sauvegarde, date de péremption d’un
certificat) ou non programmées, déclenchées en fonction d’évènements, par exemple détection

d’intrusion, modification de politique.
Exemple d’opérations :
mise à jour de logiciel
mise à jour de base anti-virale
renouvellement de mots de passe
renouvellement de certificats
mises à jour de logiciel
reconfigurations suite à une modification de politique
désactivation suite à une détection d’intrusion
réactivation suite à la fermeture d’un incident ayant provoqué une désactivation
sauvegarde.
3.3.5 La surveillance
Un système de sécurité nécessite un sous-système de surveillance qui recueille en permanence des
informations (exemple enregistrements de logs) en provenance des composants sécurisés. Des
corrélations sont effectuées et produisent des informations exploitables pour :
Signaler des anomalies ou des intrusions (alertes)
Elaborer des historiques de fonctionnement.
3.3.6 La supervision
La supervision contrôle et surveille l’exécution des opérations et recouvre l’aspect fonctionnement
normal et anormal.
Exemple :
contrôle de l’état d’activité d’un équipement de réseau (ping),
contrôle de l’approvisionnement d’un appareil,
3.3.7 Le contrôle
Plusieurs types de contrôle peuvent être effectués:
Contrôle de l’environnement physique (gardiennage),
Contrôle périodique de l’état de vulnérabilité de tous les systèmes du système d’information.
Contrôle de la configuration d’un poste pour l’autoriser à se connecter à l’entreprise.
Contrôle des sauvegardes. Essai de restauration d’un système à partir de la dernière
sauvegarde,
Etc..
3.3.8 La sécurité et l’administration du centre de gestion de la sécurité

Le centre de gestion de la sécurité doit lui-même disposer de ses propres fonctions de sécurité pour
sécuriser son propre fonctionnement.
Ce type de sécurité fait partie des fonctions d’administration du centre de gestion.
3.3.9 Fonctionnement d’un centre de gestion centralisé de la sécurité

Plusieurs types de fonctionnement sont possibles :
SOC ( Security Operations center) entreprise

L’entreprise dispose de son centre de gestion centralisé de la sécurité
Cette formule nécessite des moyens et des compétences.
SOC externalisé
• Services administrés
Le centre de gestion est exploité par une société tiers mais l’entreprise garde le contrôle de sa
sécurité tout en n’ayant plus la complexité de gestion et les investissements d’un SOC.
• Infogérance
Le système d’information et le centre de gestion sont exploités par une société tiers.
3.3.10 Garanties de sécurité

Pour disposer de garanties de sécurité pour la gestion de la sécurité, le centre de gestion pourra
faire l’objet d’une certification critères communs (CC) à un niveau de sécurité EALi (Evaluation
Assurance Level i). Ceci implique l’écriture d’une cible de sécurité concernant le système de gestion.
3.3.11 Standards et Modèles de référence utiles

Le guide PSSI (gratuit) édité par la DCSSI : Elaboration de politiques de sécurité des systèmes
d’information
Le modèle TMN (Telecommunications Management Network) : modèle de référence pour la
réalisation de systèmes d’administration
Les fonctions FCAPS (Fault, Configuration, Accounting, Performance, Security) : standard ISO
qui décrit les fonctions d’un système d’administration.
Rendre des services administrés : le standard ITIL ( IT infrastructure Library) définit comment
délivrer des services et les supporter.
3.4 LA GESTION DES CORRECTIFS ET DES PATCH

4 LES RESEAUX PARTICULIERS
4.1 APPLICATIONS A LA VOIX SUR IP

Auteur Alexis Ferrero (OrbitIQ) alexisf@OrbitIQ.com
La généralisation des infrastructures exploitant des services de type Voix sur IP (VoIP), pose
naturellement avec une plus grande acuité le problème de la vulnérabilité de ces systèmes.
Des systèmes de protection bien spécifiques ont donc été développés pour répondre aux problèmes
et faiblesses intrinsèques des solutions VoIP courantes, en cohérence avec les contraintes de QoS
(qualité de Service) requises pour le transport de la parole.
Dans la majorité des cas, ces équipements, comparables en terme de positionnement aux Firewalls
et autres IDS, placés entre les serveurs et éléments VoIP, et les postes clients, filtrent les
connexions et suivent le trafic avec une compréhension des protocoles mis en oeuvre.
Actuellement ces fonctions sont souvent intégrées à un produit dédié nommé Session Border
Controler (SBC), mais peuvent aussi se retrouver dans d'autres éléments de l'architecture VoIP (tels
que SIP Proxy, SoftSwitch, etc.).
Nous allons voir les risques particuliers qui existent dans le monde VoIP, et quelle solution les
produits spécifiques récents apportent.
4.1.1 Architecture d'un système VoIP

Le SBC est généralement placé en frontal du système VoIP à protéger, en point de coupure entre
l'infrastructure VoIP de l'opérateur et, soit les réseaux clients, soit les infrastructures des autres
opérateurs avec lesquels il a des accords d'échange. Il occupe cette position pour pouvoir, par
exemple réaliser des fonctions de NAT Remote Traversal ou la génération de SDR, mais il est
surtout placé à un point stratégique pour pouvoir protéger le réseau VoIP de l'opérateur en filtrant les
connexions malveillantes, mais aussi en masquant certains détails vis-à-vis de l'extérieur.
Dans la plupart des cas le trafic VoIP est acheminé sur un réseau ou un VLAN distinct de celui des
données, et doit donc remplir toutes les fonctions de sécurité pour ce réseau, puisqu'il n'est pas
secondé par un équipement traditionnel. Inversement, il n'est sensé gérer que le trafic de type VoIP
(signalisation et flux de phonie).
Rappel : NAT Remote Traversal
De par la pénurie d'adresses IP publiques, et le besoin de se protéger de divers types d'attaques,
une grande partie des réseaux d'utilisateurs, en entreprise comme en résidentiel, sont placés
derrière des équipements chargés de la fonction de NAT (Network Address Translation) qui
convertissent les adresses IP entre l'Internet et le réseau interne, et dans la majorité des cas, de
manière asymétrique, c'est à dire en n'utilisant, par exemple, qu'une unique adresse IP publique
(visible de l'Internet) pour les différents utilisateurs du réseau. Cette conversion n'ayant que peu ou
pas de compréhension des protocoles applicatifs, elle rend incohérents les paquets de signalisation
(SIP ou MGCP par exemple), dans lesquels les adresses IP de l'en-tête et de la partie signalisation
n'ont plus aucune correspondance. Pour remédier à ce problème, une solution peut être de modifier
tous les équipements NAT (comme par exemple toutes les Residential Gateway) pour qu'ils
comprennent et gèrent correctement la conversion des adresses IP de l'en-tête mais aussi celles
apparaissant dans le champ de la signalisation. Cette solution est hélas très utopique. Une solution
beaucoup plus réaliste consiste à palier à la modification des adresses IP à posteriori (après le
passage par le NAT), pour rendre la cohérence aux datagrammes de signalisation lors de leur
réception par l'opérateur VoIP. C'est que l'on appelle le NAT Remote Traversal, puisque la
correction est effectuée à distance.
4.1.2 Les risques

Les risques de la VoIP comparés aux systèmes voix traditionnels existent car le réseau VoIP est,
comme son équivalent data, connecté à l'Internet, et de ce fait, exposé à toutes les tentatives
d'intrusion, et d'attaques que l'on y trouve. Parce que l'ensemble des communications avec
l'extérieur va circuler sur le même lien, le risque d'écoute indiscrète est d'autant plus important. (En
téléphonie traditionnelle, le multiplexage des canaux rendait un peu plus complexe ce type
d'espionnage, puisque chaque communication devrait alors faire l'objet d'une écoute spécifique).
La probabilité d'attaque est plus élevée que dans le monde data, parce que l'environnement
téléphonique fait intervenir une composante économique (coûts et revenus) beaucoup plus
rigoureuse que dans le monde de la data. Une communication téléphonique vers l'international ou
vers un mobile, dont l'émetteur est mal- ou non-identifiable, a un coût intrinsèque réel, que
l'opérateur va certainement devoir régler, sans pouvoir répercuter vers le véritable appelant. A
grande échelle (durée et quantité de communications) cela devient très vite un problème critique.
Un autre risque, qui n'est pas propre à la VoIP mais cependant fondamental est qu'en mutualisant
l'utilisation de l'infrastructure de communication pour supporter les services Voix et Data, on prend le
risque de voir les deux services devenir simultanément indisponibles en cas de défaillance ou
d'attaque sérieuse, et donc de perdre de cette façon le moyen ultime habituel : Appeler le technicien
réseau par téléphone en cas de panne réseau.
4.1.3 Les attaques

La plupart des attaques spécifiques VoIP ont un équivalent dans le monde des PBX traditionnels.
Certaines sont plus faciles en VoIP, d'autres au contraire plus complexes :
Le DoS (Denial of Service) qui consiste à dégrader ou inhiber un service en bombardant un
élément de l'infrastructure VoIP (serveur Proxy, Gateway par exemple) d'une grande quantité
de paquets malveillants (tels des trames TCP SYN ou ICMP Echo à destination d'un SIP Proxy)
L'Eavesdropping ou Call Interception, qui correspond à l'observation indélicate et/ou illégale des
flux (signalisation et phonie) et au décodage pour une écoute passive et prohibée des
communications
Le Packet Spoofing, ou Presence Theft, où le malfaiteur génère des paquets en utilisant ou en
usurpant l'identité d'un utilisateur (permettant donc une impersonation soit au niveau paquet au
niveau de l'équipement, ou bien au niveau de l'individu). Typiquement ce genre d'attaque
permet de tricher sur la facturation (Toll Fraud)
Le Rejeu (Replay) qui est la re-transmission de tout ou partie d'une session réelle, de manière à
ce qu'elle soit traitée à nouveau (à priori dans un but malintentionné), ce qui correspond aussi
au Signal Protocol Tampering
Le Message integrity, qui modifie ou corrompt le ou les messages lors de leur circulation
En VoIP il est aussi possible d'injecter un virus à un flot de données. Les équipements de sécurité
dédiés doivent donc vérifier le contenu des communications au fil de l'eau, si un anti-virus n'est pas
déjà actif sur le circuit vers l'Internet.
4.1.4 Fonctions
Les fonctions de sécurisation que nous allons détailler sont les suivantes :
Cryptage
Firewall VoIP Stateful (Signal & Media Validation)
Admission Control List (ACL)
Topology Hiding
Observation et interception légale
DoS protection
4.1.4.1 Cryptage
Un moyen de protéger les flux (signalisation et média) lors de leur transit de toute observation, est
naturellement de les crypter, par exemple via un VPN. Il s'agit d'une solution commune à tous les
échanges de données, qui dans le cas de la VoIP doit cependant ne pas ajouter de délai de codage
trop important, sous peine de dégrader la qualité de la voix. Le fait d'avoir des équipements de
terminaison hardware permet généralement d'éviter cet écueil.
4.1.4.2 Firewall VoIP Stateful
Cette capacité correspond dans la pratique à l'ouverture et la fermeture dynamique de "pinhole" par
le SBC, à partir de l'établissement d'une connexion et jusqu'à sa clôture.
Le SBC qui a la compréhension des protocoles de signalisation, va suivre l'échange menant à
l'établissement effectif de la connexion VoIP, et ouvrir automatiquement le "trou" correspondant à la
combinaison (adresse IP, numéro de port) dans les deux sens. Notons par ailleurs que la plupart des
SBC effectuent aussi du NAT Traversal et sont effectivement obligés de suivre l'établissement de la
connexion, et au passage, de modifier certaines adresses IP à l'intérieur du datagramme, de
manière à permettre le passage au travers du NAT distant.
Naturellement les SBC, tels un Firewall Stateful, bloquent implicitement toutes les combinaisons
d'adresses IP et de numéro de port qui ne correspondent pas à l'ouverture ou la continuation d'une
session VoIP identifiée.
4.1.4.3 Admission Control List
D'une manière parfaitement comparable à la configuration d'un Firewall ou des règles de sécurité
applicables sur un routeur, il est possible et recommandé de définir un certain nombre de filtres sur
le SBC, restreignant les communications VoIP à un ensemble délimité d'adresses IP référencées.
Tout équipement non-référencé verra ses tentatives de connexion systématiquement rejetées.
4.1.4.4 Topology Hiding
L'équipement chargé de la protection de l'infrastructure VoIP bloque systématiquement toute
tentative d'accès aux serveurs et entités média situés dans la zone protégée. Cela correspond à
cacher, ou occulter l'ensemble des éléments VoIP du cœur du système et qui n'ont pas de raison
d'être en "contact" direct avec l'extérieur.
4.1.4.5 Observation et interception légale
Le SBC est aussi l'élément stratégique privilégié pour effectuer un suivi des communications, voire
une écoute quand cela est requis par l'autorité adéquate. Les SBC sont donc généralement
capables de détecter en temps réel un comportement à risque, et de dupliquer la session sur un port
d'écoute, permettant la surveillance d'une connexion malveillante, comme peut le requérir le CALEA
(Communications Assistance for Law Enforcement Act) outre atlantique.
4.1.4.6 DoS Protection
Le moyen le plus efficace de se protéger des attaques de type DoS (Denial of Service) en VoIP
consiste à s'assurer d'une cohérence avec le protocole employé et le service requis.
Ainsi en limitant le taux d'établissement d'appel et média (call set-up rate & media rate) par flux, on
se protège implicitement des attaques DoS, mais aussi potentiellement des perturbations que
pourrait engendrer un équipement défectueux (dans un état instable), tout en maintenant le service
pour les utilisateurs légitimes.
La temporisation entre appels (call gapping) permet de protéger le SoftSwitch, les serveurs Proxy
SIP et les autres entités impliquées dans la signalisation, d'une sur-occupation temporaire
malveillante, voire de tendre vers un état inopérant.
La limitation du taux d'appels (rate limiting) quant à elle, permet de protéger aussi bien le Media
Gateway, serveur IVR, et autres équipements média, en définissant des taux naturellement
cohérents avec la technologie (par exemple, le codec employé pour un flot permet de situer un seuil
maximum du nombre de trames que l'on doit recevoir par seconde).
Note : Dans le monde de la VoIP, les Phreakers sont les pendants des Hackers (terme inapproprié
mais tellement galvaudé). Les Phreakers utilisent le système téléphonique pour :
passer des appels gratuitement
perturber le système téléphonique
pour se divertir (défi plus ou moins technique)
4.2 LA SECURITE DES RESEAUX SANS FIL

Auteurs : Michèle Germain ( ComXper) comxper@free.fr et Alexis Ferrero (OrbitIQ) alexisf@OrbitIQ.com
Ce sous-chapitre traite essentiellement des réseaux Wi-Fi basés sur les standards 802.11 de l’IEEE,
qui sont les plus répandus en tant que WLAN. D’autres technologies seront néanmoins évoquées à
la fin.
4.2.1 Le problème du WEP

Le standard 802.11 qui régit les réseaux sans fil Wi-Fi a été pensé pour donner un maximum de
facilité d’emploi et de flexibilité pour se connecter à un réseau, au détriment hélas de la sécurité.
Il prévoit un mécanisme d’authentification réseau et un chiffrement WEP, trop fragile pour résister
longtemps aux attaques des hackers. De plus, nombre d’utilisateurs négligent de mettre en œuvre
ces sécurités élémentaires.
L'identification réseau
Un réseau radio Wi-Fi est identifié par un SSID (drapeau alphanumérique non crypté) qui sert de
reconnaissance mutuelle entre le point d’accès et les terminaux. Pour être clair, le SSID n’a pas la
vocation d’être un élément de sécurité ; il a pour seul but de garantir l’indépendance de réseaux
radioélectriquement proches.
Chaque fabriquant utilise un SSID constructeur qui est programmé par défaut sur tous les
équipements commercialisés. Bien évidemment, les listes SSID constructeurs sont largement
publiées sur l’Internet. La première précaution consiste donc à personnaliser le SSID.
Le SSID n’est malgré tout qu’une piètre protection, puisqu’il est diffusé en clair sur l’interface air. Les
tags de Warchalking ne s’y trompent pas et indiquent explicitement le SSID du réseau. La diffusion
du SSID se fait périodiquement ou bien à la demande d’un poste mobile qui désire se connecter.
L’option programmée par défaut est la diffusion périodique.
Plusieurs mécanismes permettent d'améliorer significativement la sécurité de la phase de
connexion.
Le premier consiste à inhiber la diffusion périodique du SSID. Dans ce cas, c'est au poste client de
connaître ce SSID pour s'attacher (ou d’émettre une demande de connexion, cf. ci-dessous). C’est
une sage précaution mais une piètre protection. L’attaquant n’a qu’à attendre patiemment qu’un
usager mobile se présente : l’heure d’ouverture des bureaux d’une entreprise est un moment très
favorable à l’interception du SSID.
Une technique similaire consiste à ne pas répondre aux broadcast émis par des postes mobiles
désirant se connecter et qui demandent quels sont les SSID disponibles ou visibles. Les postes
mobiles du réseau doivent alors obligatoirement connaître le SSID.
Il s'agit cependant, d'une part, de protections très limitées, car les SSID peuvent être découverts via
les communications des autres postes mobiles observés, et d'autre part, l’inhibition de l’échange du
SSID peut bloquer l'attachement de certains NIC dont les implémentations nécessitent
ces étapes dans leur processus de connexion.
Personnaliser le SSID et ne pas le diffuser, c’est mieux, mais c’est insuffisant !
Le WEP
Le WEP est le mécanisme de sécurisation standard prévu par le protocole 802.11. Il repose sur un
mécanisme d’authentification et de chiffrement utilisant des clés de 40 ou 128 bits (plus un vecteur
d'initialisation de 24 bits). Jusqu’à ce qu’il impose WPA (voir ci-dessous), le label Wi-Fi n’imposait
qu’une clé de 40 bits.
Des implémentations à 128 (24+104) et 256 bits sont courantes et plus robustes. Mais des
programmes existent maintenant dans le public pour casser ces clés.
Le chiffrement utilise un « ou exclusif » des données à chiffrer avec une séquence pseudo aléatoire.
Les principales vulnérabilités de cet algorithme viennent des facteurs suivants :
la séquence pseudo aléatoire est obtenue au moyen d’un algorithme linéaire et est facilement
prédictible
la clé est statique et commune à l’ensemble des points d’accès et postes mobiles du réseau,
le contrôle d’intégrité est faible et ne filtre pas efficacement les altérations des trames,
il ne comporte pas d’indication de séquencement, ce qui facilite les attaques par rejeu,
la séquence pseudo aléatoire est initialisée au moyen d’un vecteur d’initialisation, transmis en
clair sur l’interface air et de ce fait interceptable par sniffing.
Face à ces faiblesses, diverses méthodes ont été ajoutées pour résoudre cette insuffisance. Citons
le dynamic WEP et surtout le TKIP qui permettent le changement fréquent de la clé de chiffrement.
Ces dernières fonctionnalités se trouvent en standard dans les mécanismes du 802.11i.
L’authentification est tout autant vulnérable, du fait qu’elle est basée sur la même protection que le
chiffrement. Elle se fait par envoi d’un texte à chiffrer au poste mobile qui désire se connecter. Cette
dernière renvoie le texte chiffré par le WEP. Si le chiffrement est connu, l’intrusion est immédiate.
Sinon, il suffit d’écouter la séquence de connexion d’un poste mobile puisque le texte
d’authentification passe successivement en clair puis chiffré sur l’interface air. En tout état de cause,
l’authentification porte sur le poste et non sur son utilisateur.
En pratique, il suffit de deux heures pour « casser » le WEP, certains se vantant même de le faire en
un quart d’heure !
Pour faciliter le travail des hackers, il existe des dictionnaires de séquences pseudo aléatoires en
fonction des valeurs du vecteur d’initialisation. On trouve également sur Internet d’excellents logiciels
de cracking du WEP (Airsnort ou Netstrumbler sous Linux, par exemple).
Utiliser le WEP, c’est mieux, mais c’est insuffisant !
Modification de la clé
La clé de chiffrement est unique et partagée par tous les points d’accès et postes mobiles du réseau.
Une clé, ça s’use… et une des règles élémentaires de la sécurité des réseaux chiffrés consiste à
changer périodiquement les clés.
Le protocole 802.11 ne prévoit aucun mécanisme de mise à jour des clés. Par conséquent, la mise à
jour doit se faire manuellement et simultanément sur tous les équipements radio du réseau. Ceci
n’est possible que sur de très petits réseaux et, en pratique, personne ne se livre à une opération
manuelle sur un réseau qui comprend un nombre significatif de points d’accès et de postes mobiles.
Modifier les clés, c’est mieux, mais c’est irréaliste !
Le filtrage des adresses MAC

Cette protection consiste à n’autoriser l’accès au réseau qu’à un ensemble de stations dûment
répertoriées au moyen de leur adresse MAC. Cette protection n’est pas non plus parfaite, car les
adresses MAC peuvent être récupérées par les sniffers et réutilisées par des hackers.
Enfin, le filtrage des adresses MAC est contraignant pour l’utilisateur puisque l’introduction d’un
nouveau poste mobile nécessite une reconfiguration du réseau. En pratique, cette technique n’est
réaliste que si le réseau contient un nombre relativement restreint et stable de stations.
Filtrer les adresses MAC, c’est mieux, mais c’est insuffisant !
Alors que faire ?
La mauvaise réputation des réseaux sans fil vient de ce que nombre d’utilisateurs n’ont
voulu mettre en œuvre que les mécanismes standards, ou aucun, ou encore se font une bonne
conscience en inhibant la diffusion du SSID.
Les techniques des réseaux filaires, notamment le VPN, peuvent venir au secours des
réseaux sans fil, pour apporter une sécurité applicative.
Consciente des failles de sécurité du protocole, l’IEEE travaille à une extension du
protocole de base, désignée 802.11i, qui repose sur des techniques éprouvées de
chiffrement et d’authentification, dont le WPA (Wi-Fi Protected Access) constitue une
première étape (cf. § 4.2.3).
4.2.2 Les contre-mesures de base

4.2.2.1 La surveillance du réseau
L’IDS
Les protections contre les intrusions réseau se font essentiellement par les systèmes IDS dédiés au
Wi-Fi, qui cherchent à corréler plusieurs événements douteux pour déterminer si le réseau ou un
système particulier est en train de subir une intrusion
Les capacités de l'IDS wireless intégrées au commutateur Wi-Fi consistent à surveiller
continuellement les échanges et les flux Wi-Fi pour détecter au plus tôt tout risque ou événement
anormal, informer immédiatement l'administrateur et réagir en temps réel.
Les équipements évolués savent repérer les WEP faibles, les Rogue AP, les ponts wireless (WBS),
localiser les équipements responsables d'un déni de service, détecter une impersonation ou une
attaque ASLEAP1. Ces capacités reposent sur la base de connaissance que possède le
commutateur central et qu'il enrichit au fil de l'eau lors de toute connexion, authentification, tout
échange, tout déplacement ou toute modification des caractéristiques d'un équipement.
La surveillance du trafic
Un mode de protection particulièrement efficace contre l’impersonation consiste à observer
continuellement tout le trafic Wi-Fi, tout le trafic sur les réseaux câblés, et de pouvoir détecter toute
station ou AP incohérent. Il s'agit de détecter l'apparition d'un élément inconnu (station ou AP), la
"duplication" d’une station ou d’un point d’accès, le "déplacement" d'un point d’accès.
Un moyen de surveillance est, par exemple, de vérifier que le trafic des postes mobiles Wi-Fi connus
et détectés passe bien par les LAN appropriés. Un autre consiste à associer à chaque poste mobile
la puissance du signal émis. Si pour la même adresse MAC, deux puissances différentes sont
perçues à un moment donné, les deux postes sont mis en quarantaine et une alarme est envoyée
vers l'administrateur.
Les équipements qui supervisent les différents flux de communication s'assurent que les
communications provenant des AP ne parviennent pas directement au cœur du réseau par un circuit
illicite (Rogue AP typiquement) et à l'inverse, que ces communications radio sont effectivement
1 ASLEAP est un outil permettant de cracker le cryptage LEAP
visibles sur le réseau câblé après passage par l'équipement de protection (commutateur, firewall,
etc.) et non pas détournées vers un réseau pirate via un Fake AP.
Le monitoring
Le mode de fonctionnement de Wi-Fi implique que dès qu'un AP est associé à un canal de
fréquence, il ne fonctionne que sur ce canal et n'a plus la possibilité de superviser les autres canaux.
Ceci est donc le rôle de points d’accès particuliers dédiés à l'écoute, donc passifs, qui balayent
continuellement les différents canaux pour surveiller les flux des différentes cellules qu'ils reçoivent
et vérifier le bon fonctionnement des points d’accès voisins.
Tout le trafic de ces AP de surveillance est remonté vers le commutateur qui peut s'assurer qu'aucun
de ses clients connus ne se connecte à un AP "non référencé".
Les AP passifs, donc en mode d'écoute, peuvent détecter et suivre des signaux relativement faibles,
provenant d'équipements assez éloignés. Par conséquent, leur couverture est beaucoup plus large
que celle des AP actifs.
Enfin, concernant les capacités de monitoring, un administrateur réseau peut mettre en œuvre un
système Wi-Fi non pas dans le but d’offrir un service de mobilité, mais dans celui de surveiller
qu'aucune installation pirate (Rogue AP) n'a effectivement été installée et connectée au réseau.
Ainsi, un commutateur WLAN uniquement équipé d'AP passifs permet de surveiller quotidiennement
le réseau et de détecter l'apparition de transmissions Wi-Fi avant même qu'une installation
« officielle » ne soit déployée.
Détachement forcé
La protection la plus courante consiste à forcer systématiquement le dé-attachement du client en
cause ou de tous les clients connus qui se seraient attachés à un AP frauduleux. De cette façon le
réseau Wi-Fi apparaît inaccessible à ces postes de travail qui ne parviennent pas à établir une
connexion complète.
Cette capacité apporte une protection forte mais elle nécessite néanmoins de régler définitivement le
problème par une intervention physique sur le poste client ou l'AP à la source du danger. des outils
de localisation facilitent la recherche de l’équipement visé.
L’audit de la couverture radio
Lors de l’installation des points d’accès, il est important de vérifier que la couverture radio ne
déborde pas inutilement hors de la zone prévue, même si ceci ne met pas le réseau à l’abri des
hackers équipés d’équipements amplificateurs qui leur permettent d’agir bien au-delà de la zone de
couverture nominale.
Une disposition judicieuse des points d’accès et des antennes permet d’optimiser la couverture
radio. Celle-ci doit ensuite être vérifiée périodiquement, pour s’assurer qu’aucun point d’accès pirate
n’a été ajouté sur le réseau. Cette précaution vaut également pour les réseaux câblés non Wi-Fi…
certains utilisateurs ont déjà eu la surprise de trouver des points d’accès Wi-Fi sur des réseaux qui
n’étaient pas supposés en intégrer.
4.2.2.2 L’ingénierie du réseau
Le commutateur
Si les points d’accès sont connectés sur un simple concentrateur et non sur un commutateur, les
données à destination de tout poste fixe ou mobile sont diffusées sur le réseau et peuvent être
interceptées par un sniffer. Il est vivement recommandé de déployer les WLAN sur des
infrastructures de commutateurs et de contrôler le trafic des postes mobiles vers le réseau câblé..
Il existe deux types d’architecture WLAN :
La première repose sur un commutateur standard. Les points d’accès intègrent les fonctions
radio réseau et sécurité. Le commutateur peut gérer aussi bien les postes fixes que les postes
mobiles.
La seconde repose sur un commutateur spécifique WLAN qui fédère les fonctions radio, réseau
et sécurité. Les points d’accès n’ont aucune intelligence et se contentent de jouer leur rôle
d’émetteur-récepteur radio.
Cette seconde configuration est plus résistante aux attaques de type Rogue AP, puisque
nécessite une intervention au niveau du commutateur.
Notons qu'idéalement le commutateur WLAN possède plusieurs queues, permettant d'envisager la
gestion de flux avec garantie de qualité de service (QoS), typiquement la VoIP à partir d'ordinateurs
ou de téléphones Wi-Fi.
Le VLAN
Une précaution consiste à segmenter le réseau afin d’isoler les données sensibles du réseau radio
et à déployer le WLAN sur une infrastructure VLAN2 qui lui est propre. Le réseau peut comporter
plusieurs VLAN, chacun correspondant à un sous-réseau WLAN spécifique avec son propre SSID.
Il est ainsi fortement recommandé de faire arriver systématiquement tous les VLAN du réseau sur le
commutateur WLAN, même ceux qui ne feront transiter aucun trafic par celui-ci. Cela permet au
commutateur de localiser tous les équipements, de mettre à jour sa base de connaissance du
réseau et de détecter la présence anormale d'un flux ou d'un client sur un segment où il ne devrait
pas figurer.
Les sous-réseaux radio sont mis logiquement dans une zone démilitarisée d’un firewall qui contrôle
le flux d’informations entre le réseau radio et le réseau filaire (cf. ci-dessous).
Le firewall
Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre la
partie WLAN et le reste de l'infrastructure réseau. Il est intégré au commutateur WLAN, quand il y en
a un.
Idéalement, ce firewall doit mettre en œuvre des protections au niveau de l’adressage, gérer des
filtres, journaliser les connexions, posséder des ACL (Access Control List) à partir desquelles les
accès sont filtrés, suivre les connexions dans le temps (capacité dite « stateful ») afin de garantir un
niveau de sécurité au moins égal à celui de l'environnement câblé.
La meilleure protection est de considérer tout ce qui concerne le réseau sans fil (à l’intérieur et à
l’extérieur de l’entreprise) comme étant dans une bulle d’insécurité à mettre logiquement sur une
DMZ du firewall et activer une authentification forte et des mécanismes de chiffrement VPN.
Configuration du WLAN dans la DMZ d’un firewall
2 Partition logique d’un réseau physique visant à créer des sous-réseaux (segments) virtuels.
Le pot de miel (honeypot)

La configuration du WLAN peut également inclure des pièges (pots de miel), sous la forme de points
d’accès peu sécurisés n’accédant qu’à des données sans importance qui attireront les hackers et les
tiendront hors du réseau protégé.
Le VPN
Le VPN fournit un tunnel chiffré qui constitue une protection efficace, notamment lorsque l’utilisateur
travaille dans une zone non sécurisée, par exemple sur un hotspot public.
L'utilisation de réseau virtuel privé gère la liaison de la même manière que pour un poste nomade
filaire raccordé via modem téléphonique. Le VPN assure le cryptage et l'authentification mutuelle,
protégeant ainsi tous les trafics de l'ordinateur client jusqu'au commutateur Wi-Fi. Ce dernier a la
charge de terminer les VPN de tous les clients et de livrer un trafic "sain" au réseau LAN auquel il
est connecté.
4.2.2.3 La configuration des stations radio
Interdiction de liaison « ad hoc »
Les postes mobiles, ainsi que les postes fixes équipés de l’option Wi-Fi, doivent être configurés pour
interdire toute connexion « ad-hoc », c’est à dire de station à station, sans passer par un point
d’accès. Ceci fait barrage aux hackers qui tenteraient une intrusion du réseau via une station du
réseau. Cette précaution est essentielle pour les utilisateurs amenés à se connecter à leur entreprise
depuis un hotspot public.
Concernant les postes fixes équipés de l’option Wi-Fi, il est bon de désactiver celle-ci hors utilisation.
Il est vivement conseillé que les postes mobiles soient également équipées d’un firewall personnel
pour filtrer les accès entrants indésirables et limiter les possibilités de connexions sortantes.
Contrôle du débit radio
Un type de protection assez répandu contre les AP frauduleux (Fake AP) positionnés par exemple à
l'extérieur du bâtiment (et donc avec une puissance radio faible), consiste à interdire aux postes
mobiles de se connecter avec un débit trop bas (1 ou 2 Mb/s), car a priori incohérent avec la
topologie de disposition des AP issue de l’ingénierie radio du réseau.
4.2.2.4 Les défenses radio
Les leurres
Cette forme de défense, propre aux réseaux Wi-Fi, est une riposte contre le Wardriving (« Fake AP »
de Black Alchimy sous Linux).
Elle consiste à diffuser en grand nombre des trames contrefaites avec des SSID, adresses MAC et
numéro de canal aléatoires. Les outils de Wardriving voient des multitudes de réseaux et sont
incapables de repérer le vrai.
4.2.2.5 La sécurisation au niveau applicatif
La sécurisation de l’information transportée peut être faite au niveau des applications, sans protéger
l’association du poste mobile au point d'accès. L’information peut être détournée mais elle est
inutilisable.
Chiffrement
Des protocoles standards, comme SSL, peuvent être employés à cet effet.
Authentification
Ce mode d'authentification par un serveur Web "forcé" à la connexion, répond au besoin de type
hotspot pour les opérateurs.
Il revient à authentifier l'utilisateur par login/password sur un portail Web, le serveur Web résidant
dans le commutateur WLAN. La liaison entre le Client et le commutateur est sécurisée par SSL et
l'authentification peut être réalisée via une base d’authentification locale.
En retour l'utilisateur est assigné à une catégorie définissant son VLAN, ses droits, etc. Par exemple
si l'utilisateur est connu mais qu'il n'a plus de crédit, il peut être redirigé vers un VLAN aboutissant à
une page particulière qui l’invite à renouveler son abonnement.
Pour sécuriser totalement les communications authentifiées par serveur Web, un moyen est de faire
suivre la phase d'authentification par la mise en service d'un client VPN éventuellement téléchargé
(Dialer VPN).
4.2.3 Les évolutions du protocole : WPA et 802.11i

4.2.3.1 Petit historique
4.2.3.2 WPA 1.0

En attendant l’avènement de 802.11i (voir ci-dessous), l’IEEE a introduit WPA (Wi-Fi Protected
Access), qui en est un sous-ensemble et apporte un plus très significatif.. Depuis 2003, tous
les produits radio ayant le label Wi-Fi supportent obligatoirement WPA.
Il fait usage du standard IEEE 802.1x pour faire référence à un serveur d'authentification
RADIUS, ce qui correspond à considérer le commutateur WLAN comme un concentrateur de
modems (RAS ou BAS) dans une architecture de collecte traditionnelle.
Le protocole d’authentification utilisé entre le commutateur et le serveur peut être une des
couches bâties au-dessus d'EAP (Extensible Authentication Protocol).
WPA fait aussi usage de TKIP qui gère la génération et l’échange dynamique des clés de
chiffrement, tout en s’appuyant sur le WEP
802.1x est un protocole de contrôle d’accès réseau qui s’applique à tout type de LAN radio ou
filaire. Il définit un cadre d’utilisation d’EAP.
EAP, initialement conçu pour PPP, est un protocole de transport de l’authentification, celle-ci
étant supportée par une application de niveau supérieur (ULA) et reposant sur un serveur
Radius.
Le protocole RADIUS est un protocole client/serveur permettant de gérer de façon centralisée
les comptes des utilisateurs et les droits d'accès associés. Il supporte de multiples mécanismes
d’authentification dont EAP.
Le serveur RADIUS est un serveur d’authentification (AAA) dont les communications avec les
clients sont supportées par le protocole RADIUS.
Les produits WPA sont compatibles ascendants 802.11i.
Chiffrement TKIP
Tout en conservant l’architecture du WEP, TKIP met en jeu un certain nombre de mécanismes
propres à améliorer la résistance aux attaques, en résolvant notamment le problème de la
réutilisation cyclique des clés :
le calcul de la clé est basé sur une clé temporelle partagée par les postes mobiles et les points
d’accès et changée tous les 10 000 paquets,
une méthode de distribution dynamique assure le rafraîchissement de la clé temporelle,
le calcul de la séquence de clés fait intervenir l’adresse MAC de la station, donc chaque poste
mobile dispose de sa propre séquence,
le vecteur d’initialisation est incrémenté à chaque paquet, ce qui permet de rejeter des paquets
« rejoués » avec un numéro de séquence antérieur,
un code d’intégrité ICV (calculé selon un algorithme MIC nommé Michael) introduit une notion
de « CRC chiffré ».
La mise à niveau TKIP d’équipements WEP se fait par simple mise à jour de logiciel.
TKIP a l’avantage d’être compatible avec le WEP, autorisant ainsi l’interopérabilité d’équipements
WEP et d’équipements TKIP… avec bien sûr, un niveau de sécurité WEP. Son défaut est son temps
de calcul qui dégrade les performances du réseau et n’est pas compatible avec les contraintes de
QoS.
Authentification
L’authentification repose sur les protocoles standards 801.1x et EAP au-dessus desquels sont
développés des standards d’authentification interopérables.
Différentes couches sont définies au-dessus d’EAP pour supporter des polices de sécurité (par ordre
de protection croissante) :
EAP-MD5 utilise un serveur RADIUS qui ne contrôle qu’un hash-code du mot de passe du
poste mobile et ne fait pas d’authentification mutuelle. Ce protocole est déconseillé pour les
réseaux radio car il peut laisser le poste mobile se connecter sur un pot de miel.
LEAP, développé par CISCO, introduit une authentification mutuelle et délivre des clés WEP
pour le chiffrement du WLAN. L’authentification est basée sur un échange login/password. Il
n’en demeure pas moins vulnérable par le risque qu’un tiers non autorisé puisse avoir
connaissance des mots de passe et est également exposé à des attaques de type dictionnaire
(ASLEAP).
PEAP et EAP-TTLS utilisent un serveur RADIUS et sont basés sur un échange de certificats.
Les serveurs RADIUS qui supportent PEAP et EAP-TTLS peuvent s’appuyer sur des bases de
données externes : Domaine Windows ou annuaire LDAP, par exemple
EAP-TLS est le standard recommandé de sécurisation des WLAN. Il met en œuvre un serveur
d’authentification RADIUS. Les postes mobiles et le serveur doivent s’authentifier mutuellement
au moyen de certificats. La transaction est sécurisée par un tunnel chiffré.
EAP-TLS/TTLS et PEAP sont particulièrement résistants aux attaques de type dictionnaire et man in
the middle.
4.2.3.3 802.11i
L’arrivée du protocole 802.11i, extension du protocole de base pour la sécurité
du Wi-Fi, est attendue depuis plusieurs années et serait annoncée pour
l’automne 2004.
Il s’appuie sur TKIP et 802.1x et reprend l’allongement de la clé, le code
d’intégrité MIC et le séquencement des paquets. Mais la grande innovation est
l’introduction d’un chiffrement AES particulièrement performant et compatible
avec les contraintes de QoS.
Un inconvénient est la puissance de calcul nécessaire à AES, qui exige l’implémentation d’un co-
processeur, déjà présent par mesure conservatoire sur les équipements récents supportant WPA.
Pour cette raison, il sera nécessaire de prévoir un rétrofit matériel des équipements WEP d’une
génération antérieure à WPA.
4.2.3.4 En bref
Protocole de Longueur de Méthode de

Vulnérabilités
chiffrement clé chiffrement
Vulnérable à l'injection de paquet et
rejeu, car pas de code d'intégrité de
WEP 40, 128 bits RC-4
message
Vecteur d'initialisation faible
Dynamic WEP 40, 128 bits RC-4 Vulnérable à l'injection de paquet
Vecteur d'initialisation faible
TKIP - WPA 1.0 128 bits RC-4 Code d'intégrité de message faible,
injection de paquet
128, 168, 192
IPsec 3DES, AES
ou 256 bits
AES-CCMP - 128, 192 or Code d'intégrité de message et clés
AES
IEEE 802.11i 256 bits de chiffrement identiques
4.2.4 Application
Le niveau de sécurisation demandé varie selon les situations
WLAN entreprise
WPA s’adresse aux entreprises. Les protocoles EAP-TLS, EAP-TTLS et PEAP s’appuyant sur un
serveur RADIUS sont particulièrement recommandés.
Dans ce type d’implémentation, le VPN n’est pas nécessaire, du moins en ce qui concerne la
confidentialité du réseau radio. Il est même déconseillé si le réseau Wi-Fi sert également de support
à la voix, car il dégrade la qualité de service.
WLAN résidentiel et SoHo
Il est peu probable de trouver un serveur d’authentification dans ce domaine. WPA propose pour ces
réseaux, un mode allégé nommé WPA-PSK.
L’authentification se fait sans avoir recours à un serveur et repose sur l’échange d’un password
partagé. Ce même password sert à initialiser le processus de chiffrement TKIP.
La gestion étant faite manuellement, WPA-PSK ne peut s’appliquer qu’à des réseaux de petite taille.
Hotspot
Afin de faciliter l’accès au réseau des postes itinérants, aucun mécanisme de sécurité n’est mis en
œuvre dans les hotspots publics.
En particulier, il n’y a pas d’authentification au niveau Wi-Fi, puisque l'utilisateur lors de sa connexion
n'a aucune connaissance du réseau, et réciproquement. L'authentification se fait alors sur un portail
Web.
C’est à l’utilisateur de prévoir sa propre protection, par VPN, par chiffrement applicatif, en utilisant un
firewall client et en configurant correctement sa station afin de bloquer l’intrusion directe d’une autre
station.
4.2.5 Autres technologies

4.2.5.1 Bluetooth
Bluetooth est connu pour des applications point à point, plutôt que pour la réalisation de WLAN, bien
que ceci soit techniquement possible.
Bien que le protocole Bluetooth prévoie des mécanismes de sécurisation
performants, ceux-ci sont rarement mis en œuvre.
La faible portée (10 mètres) d’une liaison Bluetooth protège contre les intrusions les plus courantes,
ou du moins donne bonne conscience aux utilisateurs… Ne perdons pas de vue que dans un lieu
public, les personnes sont souvent à moins de 10 mètres les unes des autres.
Il faut être particulièrement vigilant en utilisant un clavier sans fil Bluetooth qui rayonne quand
même sur 10 mètres : tous les codes frappés sur le clavier passent sur la liaison, en particulier les
mots de passe.
Par ailleurs, le standard Bluetooth prévoit plusieurs puissances de transmission : 10mW, qui est
celle couramment utilisée et 100 mW qui donne une portée comparable à celle d’un réseau Wi-Fi.
Des équipements 100mW commencent à voir le jour, permettant de bâtir des WLAN de petite
capacité, tout autant vulnérables que des réseaux Wi-Fi.
Une autre attaque par Bluetooth concerne les téléphones portables bi-standard GSM – Bluetooth.
Une faille de Bluetooth permet d’obtenir à distance des informations stockées dans un combiné. Les
attaques se font essentiellement dans les hotspots publics. Par ce biais, le hacker peut récupérer les
coordonnées du fournisseur du service et le login/password qu’une victime qui se trouve près de lui
vient de recevoir par SMS. Une précaution consiste à désactiver l’option Bluetooth de son téléphone.
4.2.5.2 HiperLAN/2
HiperLAN/2 est un standard de l’ETSI concurrent du 802.11a. Il est cité ici pour
mémoire, puisque HiperLAN/2 vient d’être définitivement abandonné.
Contrairement à 802.11, HiperLAN/2 prévoit de base des mécanismes de sécurité
efficaces, de chiffrement, d’authentification mutuelle et de distribution dynamique de clés.
L’authentification peut être basée sur un échange de hash-code MD5 ou bien sur une clé publique
RSA. HiperLAN/2 supporte divers identifiants d’authentification : identifiant de réseau, adresse IEEE,
certificat.
Le chiffrement prévoit deux options, basées sur les algorithmes DES et 3-DES.
4.2.5.3 WiMAX
WiMAX, autre standard 802.16 de l’IEEE, se positionne sur le créneau du réseau
métropolitain, notamment comme alternative à la desserte câble ou ADSL.
Contrairement au Wi-Fi, les équipements finaux doivent être préalablement déclarés
pour pouvoir être connectés au réseau WiMAX, ce qui ne facilite pas la tâche des hackers.
L’authentification se fait par des certificats et par chiffrement asymétrique.
Le chiffrement utilise une clé délivrée par la séquence d’authentification et un algorithme 3-DES.
4.2.5.4 802.20
Le standard IEEE 802.20 s’adresse à des structures WAN pour des usagers mobiles. Contrairement
aux réseaux 3G qui sont voix et données, les réseaux 802.20 sont dédiés à l’Internet mobile.
L’authentification mutuelle est basée sur des certificats avec signature RSA, au cours de laquelle
sont distribuées les clés de chiffrement symétrique.
4.2.5.5 Réseaux 2G/2,5G/3G

Le GSM utilise des mécanismes de sécurité particulièrement efficaces qui assurent l’authentification
de l’identité de l’abonné, la confidentialité de l’identité de l’abonné, la confidentialité de la
signalisation échangée et la confidentialité de l’information échangée.
La sécurité est implémentée à trois niveaux :
dans la carte SIM : informations personnelles de sécurité (clé d’authentification, algorithmes
d’authentification et de génération des clés, identité de l’abonné, code personnel,
dans le terminal : algorithme de cryptage,
dans le réseau : algorithme de cryptage, serveur d’authentification.
L’utilisation d’identifiants temporaires permet de masquer l’identité du terminal et constitue une
protection efficace contre les interceptions.
Les algorithmes de chiffrement du GSM sont tenus secrets… et apparemment le sont encore.
Les mêmes mécanismes sont reconduits pour l’UMTS et le GPRS.
5 UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT
5.1 LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES

Auteur Thierry Karsenti (CheckPoint) - thierry@checkpoint.com
À l’heure actuelle, les télé travailleurs sont de plus en plus nombreux à utiliser la technologie VPN
(Virtual Private Network, réseau privé virtuel) pour accéder aux ressources internes des entreprises
via les technologies d’accès Internet, telles que les modems câble ou les lignes DSL. Cependant, la
disponibilité constante de ces services Internet haut débit est une véritable porte ouverte aux
intrusions, lesquelles menacent aussi bien le poste client que le réseau de l’entreprise. Pour
empêcher les pirates de détourner une session VPN dans le but d’accéder aux ressources internes
de l’entreprise, il est primordial de déployer une solution de sécurité de bout en bout pour les clients
VPN.
Les administrateurs informatiques ont le choix entre différentes approches pour sécuriser les
systèmes des utilisateurs distants, allant d’une politique d’autorisation souple à une politique très
restrictive qui risque d’empêcher les utilisateurs de profiter pleinement des connexions haut débit. La
meilleure approche reste toutefois le déploiement concerté d’une solution complète garantissant un
niveau de sécurité optimal tout en permettant aux utilisateurs d’exploiter au maximum le service
Internet haut débit.
5.1.1 Identification des risques

Les réseaux VPN d’accès distant menacent la sécurité de l’entreprise à bien des égards. Tout
d’abord, chaque poste à usage professionnel est susceptible de contenir des données sensibles qui
doivent être protégées. À ce titre, il doit donc être soumis à des mesures de contrôle d’accès, telles
que celles offertes par les firewalls. Ensuite, les données transmises par et vers l’ordinateur d’un
employé doivent également être protégées. Cette fonction est d’ailleurs l’objectif intrinsèque de tout
réseau VPN ! Malheureusement, les services haut débit permanents accentuent les dangers car les
sessions longues sont par nature davantage exposées aux attaques. La troisième et probablement
la principale raison justifiant la protection des ordinateurs individuels est qu’elle les empêche d’être
contaminés à long terme, notamment par des programmes de type Cheval de Troie. Prenons un
exemple : imaginez qu’un pirate place discrètement un programme sur un PC non protégé et
connecté à Internet. Ce programme capture et consigne toutes les opérations au clavier de cet
utilisateur. Le pirate peut donc facilement se procurer le mot de passe d’accès au réseau VPN de
l’entreprise, annihilant ainsi la fonction première du VPN. Autre type de programme tout aussi
dangereux, le Cheval de Troie enregistre un PC non protégé pour l’utiliser comme attaquant
involontaire, ou « zombie », lors d’une attaque DDoS (Déni de service distribué).
Les administrateurs informatiques sont de plus en plus conscients de ces dangers. Voilà pourquoi ils
sont de plus en plus nombreux à demander des solutions de sécurité d’entreprise de bout en bout.
Mais quelle approche adopter ?
5.1.2 Correction des lacunes de sécurité

Une approche de sécurisation des clients VPN consiste à mettre en place une politique d’entreprise
demandant aux utilisateurs de déployer une solution personnelle de pare-feu à administrer
individuellement. Plusieurs constructeurs en proposent sur le marché. Malheureusement, cette
approche place le fardeau de l’installation, de la configuration et de l’administration du pare-feu sur
les épaules des utilisateurs finaux. La difficulté de fournir l’assistance et la formation nécessaires
pour cette approche « du chacun pour soi » la rend irréaliste.
Une autre approche consiste à acheter une solution de pare-feu personnelle administrée de manière
centralisée pour sécuriser les postes individuels. Cependant, cette méthode n’offre pas de garantie
suffisante : les utilisateurs sont libres de désactiver ou de modifier la configuration de leur pare-feu
avant d’ouvrir une session VPN. Si les produits de pare-feu et de client VPN ne sont pas intégrés,
rien ne permet d’affirmer que le pare-feu personnel fonctionne en continu sur le poste client. Un
tunnel VPN pourrait dès lors être menacé sans que l’administrateur informatique ni l’utilisateur ne
s’en rendent compte, avec de lourdes conséquences pour le réseau.
En outre, si une entreprise envisage de déployer deux solutions distinctes pour la connectivité VPN
d’accès distant et la sécurité du poste de travail, elle ne doit pas perdre de vue le coût de leur charge
administrative. En effet, chaque nouvelle version devra subir un test de compatibilité, que ce soit au
niveau du client VPN ou du pare-feu du poste de travail. Les administrateurs informatiques devraient
également tenir compte d’autres aspects tels que l’évolutivité et l’administration s’ils veulent utiliser
plusieurs produits de sécurité client indépendants. Par exemple, quelles seront les implications de
l’ajout d’un nouvel utilisateur ou de la mise à jour de la politique de sécurité au niveau des deux
solutions, et ce, pour tous les utilisateurs du VPN ?
5.1.3 Approche intégrée

Aujourd’hui, certaines solutions intègrent étroitement des fonctions de sécurité du poste de travail
dans une solution de clients VPN. Cette approche offre de réels avantages. Ainsi, un pare-feu/client
VPN intégré peut imposer automatiquement la sécurité sur l’ordinateur de chaque utilisateur final.
Alors que les VPN apportent la connectivité standard avec un cryptage côté client et l’authentification
des utilisateurs, ces solutions ajoutent de puissantes fonctions de sécurité telles que le contrôle
d’accès et le contrôle de la sécurité client. Ces fonctions permettent aux administrateurs d’imposer
une politique de sécurité des clients administrée de manière centralisée. Elles permettent également
d’implémenter un contrôle d’accès aux clients basé sur des règles et de définir des politiques
différentes pour chaque groupe d’utilisateurs. Et bien plus encore... Les entreprises qui comptent
différents types d’utilisateurs VPN distants, comme des commerciaux et des informaticiens, peuvent
adapter les politiques de sécurité aux besoins de chaque utilisateur.
Autre avantage de ces solutions : elles permettent d’étendre la sécurité du réseau pour englober des
contrôles de sécurité personnalisés. Elles pourraient impliquer, par exemple, des fichiers « .dll »
Windows pouvant vérifier une multitude de conditions sur les postes client, notamment l’installation
d’une application spécifique ou encore une valeur du registre Windows. Les résultats positifs de ces
contrôles pourraient être la condition à l’établissement d’une connexion VPN. Ces solutions
pourraient être configurées de manière à garantir la mise à jour de la solution antivirus d’un poste
client avant l’établissement d’une session VPN avec ce poste. De cette façon, les clients et le réseau
de l’entreprise seront efficacement protégés contre les virus potentiellement dangereux.
5.1.4 Amélioration de la sécurité par l’administration

Les solutions de sécurité des clients difficiles à administrer ne fourniront pas le niveau de sécurité
requis. Voilà pourquoi il importe de s’assurer que les solutions offrent des fonctionnalités capables
d’aider les administrateurs à déployer et à administrer un grand nombre d’utilisateurs distants. Ainsi,
si le logiciel client est difficile à configurer, il y a de fortes chances que de nombreux utilisateurs
exploiteront des systèmes mal paramétrés dont le niveau de sécurité sera insuffisant. Certains
fournisseurs de VPN proposent des outils de création de package logiciels auto-exécutables et auto-
extractibles qui s’installent de manière transparente sur les systèmes client. Ils n’exigent pas de
savoir-faire ni d’interaction spécifiques de la part de l’utilisateur final. Les frais d’assistance technique
sont donc réduits et le logiciel est correctement installé.
Les entreprises devraient également rechercher des solutions qui mettent à jour automatiquement le
logiciel client. La sécurité du client s’en trouverait considérablement améliorée grâce à l’utilisation
d’un logiciel constamment actualisé. Les nouveaux composants logiciels devraient être transférés
vers le client et mis en place de manière transparente, avec un éventuel redémarrage automatique
des services ou de la machine.
5.1.5 Résumé
Pour profiter pleinement des avantages d’un réseau VPN d’accès distant, les entreprises doivent
veiller à ce que la technologie choisie offre une sécurité optimale aux clients VPN. Même si les
fonctions VPN standard, telles que le cryptage et l’authentification des utilisateurs, sécurisent les
transmissions échangées par les utilisateurs du réseau VPN, la protection des postes de travail est
également un élément capital de la sécurité globale de l’entreprise. Les systèmes client doivent être
protégés avec des technologies de pare-feu personnel étroitement intégrées au réseau VPN.
Quant à la solution VPN globale, elle doit permettre d’imposer les exigences de sécurité sur les
clients du VPN, préalablement à toute connexion au réseau. Ce n’est qu’après avoir protégé leurs
clients VPN que les entreprises pourront être assurées de l’intégrité de leur réseau.
6 LES ASPECTS JURIDIQUES ET HUMAINS

Partie prise en charge par Olivier Iteanu (Iteanu associés)
6.1 LES RISQUES DU « METIER »,
6.2 QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE

Nous abordons le côté juridique

posé par l’utilisation des outils
de l’Internet, mis à disposition
des employés s’ils ne sont pas
utilisés, durant les heures de
bureau, à des fins conformes à
l’éthique de leur employeur.
Nous ne sommes pas, ici, dans
le domaine de l’informatique, du
rationnel et du binaire mais
dans celui du droit qui est une
discipline profondément
subjective dépendant de la
compréhension des problèmes,
de l’interprétation et de l’intime
conviction des juges. Certes
leurs décisions s’appuient sur
des textes du code du travail,
du code civil, du code pénal et
du code européen, mais, en
dernier lieu, ce n’est pas un
ordinateur qui tranche, ce sont
des hommes et des femmes
avec leurs convictions et leurs
doutes.
Nous allons voir, à travers trois
affaires, l’arrêt Nikon, l’affaire
de l’Ecole de Physique et Chimie Industrielle de la ville de Paris et l’affaire Escota que l’utilisation
non conforme du e-mail et du Web durant les heures de travail si elle est portée devant les tribunaux
ne se heurte pas à un vide juridique, comme on le pense souvent, et c’est parfois l’arroseur qui se
fait arroser avec l’obligation de payer les frais de justice.
6.2.1 L’arrêt Nikon

Ce cas jugé jusqu’en en cassation a créé un véritable séisme dans la vision qu’avait la justice de la
surveillance des e-mails des salariés pratiquée par leur employeur et fait aujourd’hui jurisprudence
dans tous les cas semblables. Un ingénieur de Nikon, tirant parti du statut qu’il avait dans
l’entreprise, vendait par e-mail pour son compte personnel du matériel photographique et tenait sa
comptabilité dans un dossier noté « personnel » Tous ses e-mails étaient également placés dans un
folder nommé « personnel ». Avec le temps, ayant eu vent des pratiques évidemment prohibées de
cet employé, l’employeur entreprit de le confondre en portant un oeil, en dehors de sa présence, sur
ses messages et ses fichiers concernant ces coupables échanges et surtout bien entendu sur ceux
marqués « personnel ». L’escroquerie ainsi mise à jour de façon évidente, l’employé fut licencié pour
faute grave.
Mais l’affaire n’en resta pas là. Considérant inadmissible la violation de son espace privé, l’employé
attaqua Nikon devant le tribunal des prud’hommes pour licenciement abusif, arguant d’une violation
inacceptable de la confidentialité de ses fichiers et de sa messagerie privée réalisée sans son

accord. Le tribunal des prud’hommes donna raison à l’employeur. L’employé fit porter alors l’affaire
devant la cour d’appel de Paris qui donna encore raison à l’employeur. Convaincu d’être victime
d’une atteinte inqualifiable à sa vie privée et d’un abus caractérisé de son employeur qui s’était
permis de lire ses e-mails personnels, persuadé d’autre part qu’un tribunal de prud’hommes et une
cour d’appel ne pouvaient comprendre ce qu’était les affaires concernant la haute technologie, l’ex
employé porta le jugement de la cour d’appel devant la cour de cassation.
Contrairement aux précédentes juridictions, la cour de cassation de Paris, par l’arrêt devenu le
célèbre « arrêt Nikon » du 2 octobre 2001 donna raison à l’employé et invalida les condamnations
précédentes, en s’appuyant sur l’article L120-2 du Code du Travail qui souligne que l’on peut
rechercher dans les fichiers personnels du salarié uniquement sous réserve qu’il y ait une
justification par rapport à la tâche qu’il doit accomplir et des circonstances graves justifiant la
mesure ». La Cour de Cassation a ainsi affirmé, et cela est considéré comme une doctrine que : "Le
salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que
celle-ci implique en particulier le secret des correspondances; que l'employeur ne peut dès lors sans
violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le
salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci
même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur."
Pour résumer, l’arrêt autorise un employé à utiliser Internet à des fins personnelles pendant son
temps de travail dans la mesure où cela ne déborde pas sur sa productivité.
Cet arrêt marqua le début d’une jurisprudence à partir de laquelle aucun jugement ne peut aller à
l’encontre d’un employé qui réclame son droit à un espace privé dans son entreprise pour stocker
les fichiers ou les e-mails déclarés comme étant personnels. Cet arrêt impose également pour
l’employeur un devoir de pertinence dans ses pratiques vis à vis de ses employés.
6.2.2 L’Ecole de Physique et Chimie Industrielle de Paris

Dans cette affaire opposant un étudiant à cette prestigieuse Grande Ecole se mêlent la haine, la
délation, l’argent le chantage et même l’exotisme, tous les ingrédients pour assurer le succès d’un
téléfilm ou d’un roman de plage. Un chercheur d’un machisme exacerbé décide de mener à une
assistante récalcitrante une vie impossible, multipliant les e-mails l’accusant des pires déviations et
dépravations, usurpant son adresse e-mail et détruisant les fichiers sur son disque, allant même
jusqu’à modifier les résultats de ses recherches et les slides de ses présentations. Eplorée, la
pauvre fille se plaint au Directeur de l’Ecole lui demandant des mesures pour que s’arrête ce
harcèlement quotidien. Le Directeur demande au RSSI et à l’Ingénieur Système de surveiller les
échanges par e-mail du chercheur pour confondre ce triste individu. Et des e-mails ainsi mis en
lumière éclata la vérité. Comme preuves à conviction, le contenu de ces e-mails fut porté à la
connaissance du Directeur de l’Ecole qui convoqua le chercheur pour lui passer un savon, le
sommer de cesser immédiatement ses coupables agissements et de faire des excuses à l’assistante
harcelée sinon …
Et là l’Ecole commit une erreur. Il ne fallait pas chercher un arrangement à l’amiable avec ce triste
sire, car lui s’empressa de porter plainte contre l’Ecole pour violation inadmissible de son espace
privé. Le tribunal donna raison au chercheur qui obtint tout de même 20 000€ payables par le
Directeur de l’Ecole, le RSSI et l’ingénieur système. Ce qui était reproché n’était pas tant la lecture
des e-mails puisque c’était une obligation pour établir les responsabilités dans une situation
conflictuelle, d’autant plus que les e-mails avaient été lus mais pas détournés par l’ingénieur
système. Ce qui était reproché à l’Ingénieur Système était surtout la divulgation du contenu de ces
e-mails au Directeur de l’Ecole. Je cite : « Si la préoccupation de la sécurité du réseau justifiait que
les administrateurs de réseaux fassent usage de leurs positions et des possibilités techniques à leur
disposition pour mener des investigations et prendre des mesures que la sécurité imposait … en
revanche la divulgation du contenu de ces messages ne relevait pas de ces objectifs ».
En conclusion, un RSSI, ou un responsable système peut à l’extrême limite et s’il en a l’obligation
pour la bonne marche du service et à la demande de son employeur observer au moins
statistiquement l’utilisation de la messagerie mais il ne peut en aucun cas révéler ce qu’il découvre à
son employeur. L’affaire fut portée en Cour d’appel qui confirma une partie des condamnations mais
assortit les amendes de sursis.
6.2.3 L’affaire Escota

Un motard en colère, employé chez Lucent Technologies ulcéré par le montant du péage de la
portion d’autoroute qu’il empruntait chaque jour pour se rendre à son travail et par les conditions
d’insécurité de cette autoroute décida de se venger à sa façon. Escota est la société qui a bâti et
gère les autoroutes Estérel Côte d’Azur Provence Alpes. Ce motard monta, à partir de son lieu de
travail, un site Web pour parodier celui de la société d’autoroutes www.escota.com. Il nomma ce
web satirique qui se substituait à ses pages personnelles hébergées chez Lycos, également
hébergeur du web de Lucent www.escroca.com en prenant bien sûr la même calligraphie pour le
logo et la même ligne éditoriale que le vrai site escota.com. Et il ne fut pas tendre pour la société
d’autoroute, mettant même des images qui ne jouaient pas en faveur de l’affirmation de sécurité et
de services que cette société disait fournir aux usagers. Quand la société Escota s’aperçut de
l’existence de ce site, cela ne la fit pas rire du tout. Elle obtint sa fermeture immédiate. Six mois plus
tard la société Escota porta plainte contre la société Lucent Technologie, employeur du créateur du
site parodique parce que les pages étaient mises à jour durant les heures de bureau. Elle porta
aussi plainte contre l’hébergeur.
Bien que l’employé s’engagea à payer toutes sommes incombant à Lucent si le tribunal obtenait
pour la société Escota des dommages et intérêts, il fut licencié pour faute grave. Escota demanda
200 000 euros de dommages et intérêts à la société Lucent Technologies. Quand le Tribunal de
Grande Instance de Marseille statua sur cette affaire, en juin 2003, la question fut de trancher si le
site était satirique et destiné à amuser le public ou s’il était haineux et destiné à nuire à la société
d’autoroute. C’est cette dernière hypothèse que reteint le Tribunal. Si l’employé n’avait critiqué que
la société Escota, il aurait pu s’en tirer sans trop de mal, mais il avait aussi critiqué la qualité de ses
services …
La société Lucent pour ne pas avoir explicitement interdit dans sa charte de sécurité, l’usage des
outils mis à disposition des employés pour nuire à d’autres sociétés, car je cite : « aucune
interdiction spécifique n’était formulée à l’attention des salariés quant à l’éventuelle réalisation de
sites Internet ou de fournitures d’informations sur des pages personnelles » et l’ex employé furent
condamnés à verser 4000 euros de frais de justice et 12000 euros pour payer la publication du
jugement dans deux quotidiens nationaux. En conclusion Lucent Technologies fut reconnue co
fautive du délit commis par son ex employé pour lui avoir laissé la possibilité de créer un site
personnel à contenus diffamatoires à l’encontre de la société autoroutière Escota. Lucent
Technologies se retourne maintenant contre son ex employé pour lui faire payer tous ces frais. Les
dommages et intérêts réclamés par Escota n’ont pas été accordés. Aucune faute ne fut retenue
contre l’hébergeur Lycos. La cour d’appel saisie confirma la décision du tribunal de Grande Instance.
Ces affaires vont certainement se multiplier et la jurisprudence s’étoffera. Nous avons droit à notre
espace privé, sur le réseau, à condition qu’il soit clairement identifié, mais nous avons aussi
l’obligation d’utiliser les outils mis à notre disposition, durant les heures de travail à des fins
professionnelles.
6.3 POLITIQUE ET REFERENTIELS DE SECURITE,

Auteur : Pierre-Luc Refalo (Comprendre et Réussir) plr@comprendre-et-reussir.com
6.3.1 Préambule
Tout est désormais affaire de risques. Accepter, comprendre les situations de danger, gérer ses
états de vulnérabilités sont pour les dirigeants et les managers une exigence permanente. Il est bien
sûr de leur devoir traiter les menaces qui portent sur les activités de leur entreprise, sur leurs
systèmes d’information et leurs réseaux de communication.
Une fois levée, la question essentielle de l’engagement de l’entreprise qui nomme un ou des
collaborateurs et leur fixe des objectifs clairs, il n’y a pas de démarche « sécurité » sans orientations
politiques. Elles posent les fondements d’une réglementation interne, mais aussi les bases des
relations avec les tiers. Les dirigeants n’ont d’autre choix que de montrer, leur engagement, non pas
en paroles, mais en actes, non pas en symboles, mais en mesures concrètes.
Face à la complexité du sujet, tout plan d’action ne peut se concevoir sans une approche politique
claire, affichée et formelle. Une réglementation écrite est nécessaire. Sa mise en œuvre ne peut
réussir sans l’adhésion et implication de toute l’entreprise. Seuls les hommes et l’organisation
garantiront sa mise en oeuvre.
Le terme « politique » a été utilisé dans des sens très variés dans la sécurité informatique.
Est-ce une charte composée de quelques principes fondateurs ?
Est-ce un programme (politique) qui s’appuie sur une vision du risque ?
Est-ce un ensemble de règles à appliquer obligatoirement ?
Est-ce un ensemble de principes, de bonnes pratiques de sécurité qu’il convient d’appliquer
lorsqu’on le peut en fonction de critères opérationnels ou économiques ?
Est-ce une spécification technique des processus à mettre en place voire des configurations
requises pour les infrastructures et les services ?
6.3.2 Fondamentaux
Indépendamment de son champ et de son contenu, une politique de sécurité repose sur 4 bases
fondamentales :
La volonté des dirigeants doit être clairement exprimée.
Les principes de base et les règles fondamentales doivent être formulés.
Les interlocuteurs et responsables doivent être identifiés.
Les procédures et sources d’information doivent être diffusées et facilement accessibles.
Une politique cherche à répondre à des enjeux stratégiques liés au business, mais elle peut aussi
s’attacher à fixer des objectifs de sécurité déterminés par l’étude de scénarios de risques. Enfin, elle
peut reposer sur une démarche organisationnelle imposée par des exigences réglementaires (secret
médical, sécurité financière, …) ou environnementales (concurrence, terrorisme, …).
Toute politique s’appuie donc sur des enjeux et des orientations stratégiques. Telle entreprise mettra
en avant sa croissance économique, une autre privilégiera la qualité de ses produits ou la relation
avec ses clients, telle autre la réduction de son endettement. Dans l’administration, les enjeux seront
différents : la qualité des soins et le secret médical auront la priorité dans la santé, la qualité de
service et la sécurité des usagers seront privilégiées dans les transports publics. La lutte contre
l’espionnage industriel sera l’enjeu majeur des centres de recherche nationaux et de certaines
universités et grandes écoles.
C’est en fonction de ces paramètres que la politique sécurité prendra son sens en rappelant des
objectifs forts :
protection du savoir-faire
respect des obligations juridiques et réglementaires
protection des revenus
protection de l’image de marque
6.3.3 Des principes fondateurs

Toute politique de sécurité répond à des enjeux qui doivent être clairement explicités. Mais elle doit
aussi reposer sur des bases solides, conceptuelles mais fondamentales pour donner du sens aux
règles et aux processus. Sept grands principes fondamentaux peuvent ainsi être formulés. Le
premier d’entre eux est l’économie, les six autres lui étant très étroitement liés. Ils visent tous à
garantir l’efficacité de la mise en œuvre de la politique.
L’économie
Aucune démarche d’entreprise ne peut faire abstraction des coûts. Comment concevoir une
démarche qui ne reposerait pas sur une évaluation quantitative des risques et une approche
financière des plans d’actions ? Comment imaginer une mise en œuvre de moyens qui ne soit
pas cohérente avec les risques évalués et les impacts économiques des incidents, des fraudes
et des piratages ? L’entreprise doit clairement rappeler que l’on ne dépense par 100 si l’on
risque 10.
L’intégration
Pour qu’elle soit efficace, que ce soit au sein d’une organisation ou d’un système d’information,
dans le cadre d’un projet ou d’un processus, la sécurité est intégrée sous des formes diverses :
• par la responsabilisation des acteurs
• par l’identification des risques dans les phases amonts des projets
• par l’utilisation, quand c’est possible, de dispositifs et d’outils (physiques ou logiques)
existants
L’efficacité des mesures mises en œuvre sera garantie par l’implication de chacun et non en
s’appuyant sur quelques individus.
La cohérence
La sécurité globale d’un système, d’un processus, d’une organisation doit être cohérente. Elle
dépend toujours du maillon le plus faible. La mise en oeuvre des dispositifs de sécurité vise à
garantir un niveau de sécurité homogène dans tous les domaines de la prévention/protection et
de la détection/réaction.
Il est inutile de blinder une porte si les fenêtres restent ouvertes ou chiffrer des données si les
documents confidentiels restent sur les bureaux, les portes ouvertes.
La simplicité
Face à la complexité et à la rapidité d’évolution de l’environnement (politique, social, technique,
marketing et organisationnel), les mesures de sécurité seront d’autant plus acceptées et
efficaces qu’elles seront simples et compréhensibles par les collaborateurs, les fournisseurs, les
partenaires et les clients.
Une action bien ciblée, quelques règles bien comprises et appliquées seront plus efficaces que
de multiples consignes s’appuyant sur des outils difficiles à utiliser.
La proportion
Dans un souci d’efficience, les dispositifs de sécurité sont proportionnés aux risques et aux
menaces encourus. Les coûts et les conditions de mise en oeuvre des mesures ne sont validés
qu’après identification et évaluation précises des enjeux. Trois niveaux de sécurité peuvent être
définis :
• standard : applicable pour toute information en faisant appel à des dispositifs de sécurité
existants.
• renforcé : applicable à des informations sensibles et des systèmes critiques, en faisant
appel à des dispositifs de sécurité complémentaires sans remise en cause fondamentale
de l’environnement technique et organisationnel.
• sur mesure : applicable à des informations secrètes et des systèmes vitaux reposant sur
des dispositifs de sécurité certifiés ou spécifiques dont seule l’entreprise possède la
maîtrise.
La transparence
La politique se met en oeuvre dans un souci de transparence des décisions et des processus
opérationnels. Ceci vise à faciliter le contrôle et l’audit et s’applique dans le cadre des projets,
des opérations quotidiennes et des incidents.
La pérennité
Les solutions de sécurité doivent être conçues à partir de produits pérennes et sur des
technologies éprouvées. Ils offrent des garanties d’évolutivité dans le temps, d’adaptation à
l’apparition de nouveaux risques et de facilité de maintenance à un coût raisonnable.
La politique évoluera en fonction de l’expérience acquise au quotidien et sur l’évolution de
l’environnement notamment législatif et organisationnel.
6.3.4 L’organisation dans le cadre politique

L’approche politique de l’entreprise se concrétise sous la forme des responsabilités qu’elle souhaite
attribuer pour répondre à ses exigences ou ses préoccupations tirées d’une vision ou d’une
connaissance des risques opérationnels. L’entreprise considère-t-elle que seuls comptent les
aspects légaux et notamment le respect de la vie privée ? Mais comment traiter aussi la protection
du patrimoine, notamment immatériel ? Comment veiller aussi aux menaces liées à l’espionnage
économique ? Et peut-elle ignorer la fraude ou le piratage informatique ?
Dès que la problématique « cyber-sécurité » apparaît comme une volonté stratégique et globale,
l’attribution des responsabilités devient difficile. Car, en effet, combien est-il difficile de faire coopérer
des acteurs aussi différents et souvent très compétents dans leur domaine que des informaticiens et
des juristes, des anciens fonctionnaires de police et des agents de sécurité physique, le tout en
cohérence et en bonne synergie avec les autres métiers concernés dans l’entreprise, Juridique,
Ressources Humaines, Stratégie et Marketing, Systèmes d’Information, Achats, …
L’enjeu est ici de séparer le management stratégique et le management opérationnel. Le lien entre
les deux sera un des aspects de la Politique de Sécurité exprimée sous la forme des « meilleures
pratiques » (cf schéma).
Il n’est pas toujours nécessaire de répondre à des enjeux pour faire de la sécurité. On peut se
satisfaire d’une démarche plus qualitative, analogique voire historique. Peut-on concevoir une
maison sans portes ? Même dans les plus beaux quartiers, a priori les plus sûrs, on met des portes
et des verrous ! L’assureur l’exige bien sûr. Par ailleurs, il est possible d’observer ce que font les
partenaires, les autres entités du groupe, … On s’adapte plus tactiquement que politiquement à des
pratiques de sécurité, à des exigences ou des contraintes externes.
Dans la cyber-sécurité, des services se sont imposés peu à peu et rien ne semble en mesure de les
remettre en cause sur le fond :
sauvegardes
codes secrets
coupe-feu
anti-virus
…
Certes, ils répondent à des risques réels et souvent quotidiens mais se pose-t-on encore la question
du risque avant de mettre en œuvre et d’acheter ces dispositifs ? Ne peut-on se convaincre une
bonne fois pour toutes que c’est une sécurité « intégrée » à d’autres processus comme la mise en
œuvre d’une application, le déploiement d’une architecture bureautique ou de réseaux ? Nous
sommes ici dans une approche politique de type « bonnes pratiques », qualitative et reposant sur de
l’expérience. On rentre dans le domaine de l’expertise plus que du management, ce dernier étant de
toute façon requis pour la mise en œuvre.
Quelques familles de « bonnes pratiques » se sont peu à peu imposées. Elles répondent à une
démarche de prévention et d’anticipation. Ce sont :
les contrôles d’accès logiques
le cloisonnement de réseaux
la gestion des attaques logiques
la confidentialité des informations
les contrôles d’accès physiques
la continuité des activités
Elles peuvent être complétées par d’autres domaines émergents qui s’adressent à de nouveaux
cyber-risques liés à l’e-business et à l’e-commerce.
la signature électronique
les moyens de paiement sécurisés
…
Les guides de « bonnes pratiques » seront complétés par des guides de management qui décrivent
la veille et les relations extérieures
la sécurité dans les projets
l’analyse de risque et l’audit
la gestion des incidents et des crises
6.3.5 Une Charte et quatre politiques

Nous pouvons considérer que les aspects « réglementation » de la cyber-sécurité ne peuvent pas
être traités dans une politique unique et qu’une certaine modularité est nécessaire.
Il existe certes des principes fondamentaux applicables à tous.
Il existe aussi des bonnes pratiques issues de plus de quinze ans d’expérience.
Il existe des différences fondamentales, de maturité et de sens de responsabilité des dirigeants.
Il existe des considérations fondamentalement différentes entre les règles à appliquer à des
collaborateurs, à des clients ou des fournisseurs. Or, à l’heure des échanges électroniques
généralisés, on ne peut englober tout le monde dans une approche unique du risque.
Il ne faut pas oublier, enfin, que dans certains domaines, des choix seront nécessairement
tactiques et économiques.
Ainsi, quel que soit son métier, sa taille et sa culture, une entreprise peut et doit aborder son
approche « réglementaire » de la « cyber-sécurité » en trois grands domaines introduits par une
charte et supportée par les normes, les guides de bonnes pratiques et de management.
Le cadre général d’une Politique de Sécurité
6.3.6 Des choix essentiels

Pour aller plus loin, il y a toujours des choix qui se présentent au décideur. Les décisions si elles
reposent sur la culture, le métier et la stratégie de l’entreprise, ne doivent pas éliminer des choix plus
« tactiques » voire opportunistes, quotidiens et souvent effectués sous la pression.
6.3.6.1 Entre laxisme et paranoïa
Nous vivons dans des régimes démocratiques où le droit est la règle principale de nos
fonctionnements collectifs. C’est aussi le cas dans l’entreprise qui, si on accepte l’idée qu’elles sont
lancées dans une guerre économique, doivent connaître leur ennemi et les menaces pour bien se
protéger. « Si tu veux la paix, prépare la guerre » disait Sun Tzu. Le décideur, quel qu’il soit, peut
très bien se sentir à l’abri (en se bandant les yeux) ou à l’inverse voir des ennemis partout (alors qu’il
n’y en a pas). Dans les deux cas, il prend des risques. Négligences voire irresponsabilité dans un
cas, blocages et sans doute surcoûts dans l’autre.
C’est pourquoi, une approche « responsable », ni laxiste, ni paranoïaque doit prévaloir de nos jours.
Pour qu’elle soit réaliste et applicable, il convient que les dirigeants et les managers qui seront
impliqués adhèrent à une telle orientation politique. Il est en effet fréquent de voir des experts
techniques chercher à sur-protéger, car conscients des menaces et des vulnérabilités techniques
mais aussi des décideurs obnubilés par les dépenses et les coûts et qui ne comprennent pas
pourquoi tel ou tel investissement est nécessaire. C’est le cas des actions préventives comme la
veille, ou réactive comme la gestion des incidents. On a bien d’autres choses à faire que d’anticiper
des risques « immatériels » et de chercher à expliquer pendant des jours comment a pu s’opérer
une intrusion ou un vol. De toute façon, cela n’intéresse pas grand monde et le mal, de toute façon,
est fait !
Le président ou le directeur général, le ministre, le recteur d’Académie, le chef d’établissement, …
ne peuvent pas rester totalement absents de la démarche « cyber-sécurité ». Ils doivent exprimer
dans une note de service puis dans des nominations et des délégations de pouvoir en quoi cette
gestion de risques est vitale pour l’activité et la santé de l’entreprise ou de l’organisme.
Le dirigeant doit écrire que les systèmes d’information, les réseaux de communication, et
l’information elle-même :
représentent une composante essentielle du patrimoine et contribuent, par leur maîtrise et leur
qualité à l’efficacité des actions, à la confiance accordée par les clients, usagers, les
actionnaires les instances de tutelle, au développement et à la pérennité des activités.
sont un bien vulnérable soumis à des menaces très diverses. Toute altération, divulgation,
destruction, accidentelle ou malveillante, peut porter de graves préjudices à l’organisation et par
voie de conséquence à ses collaborateurs ou à ses clients et partenaires.
sont soumis à des menaces spécifiques liées au métier (concurrence, service public, relation
client/usager, gestion financière, …) qui exigent une vigilance accrue. L’Internet, ses
technologies et ses services, sont une source de développement, d’efficacité et de revenus
potentiels. Mais il introduit aussi des vulnérabilités très importantes dont il convient de se
prémunir.
Les décideurs doivent aussi chercher à impliquer l’ensemble des collaborateurs en insistant sur les
bonnes pratiques individuelles et essentiellement comportementales que chacun doit respecter. Elle
doit mentionner les acteurs en charge de la gestion de ces nouveaux risques et l’existence de la
Politique Sécurité qui constitue un cadre de référence applicable à l’ensemble des entités et avant
tout un objectif à atteindre. Cette politique est par nature insuffisante mais traduit une volonté
stratégique Sa mise en oeuvre nécessite l’implication de chaque collaborateur. Sans doute, l’enjeu
est de faire passer le message que la sécurité ne peut plus, ne doit plus être considérée comme une
arme de défense, mais comme un atout.
6.3.6.2 Entre « bonnes pratiques » et « obligations »
Pourquoi ne pas se satisfaire d’une « petite lumière » que chacun se chargerait de maintenir en vie
pour que dure la politique sécurité ? Plutôt que des obligations quasi-dictatoriales que chacun
passerait son temps à dénigrer ou ne pas respecter ?
Il y a un grand enjeu éducatif. C’est le choix classique de l’éducation ou de la répression. Nous
voyons sur les routes combien sont inefficaces les rappels à l’ordre, les contraventions et les retraits
de permis pour tenter de faire conduire les automobilistes moins vite, avec leur ceinture de sécurité
et sans avoir (trop) bu.
La sécurité est toujours contraignante et il est si simple de passer outre sans prendre beaucoup de
risques (personnels) d’ailleurs. Dans le monde de l’immatériel, nous devons nous poser la question
de la responsabilité individuelle, consciente, adaptable et non collective, uniforme, imposée.
C’est pour cela que l’approche par les bonnes pratiques prend du sens par rapport à des obligations
permanentes et imposées. Certes, il existe des domaines qui ne mériteront aucun compromis, mais
l’exception « obligatoire » confirmera la règle permanente du « libre choix », du « libre arbitre ».
Les obligations seront idéalement présentées dans un règlement intérieur en respectant les
processus d’élaboration avec l’assistance d’un avocat et de validation du Comité d’Entreprise ou des
représentants du personnel.
6.3.6.3 Entre technologies et processus
La sécurité informatique est un domaine principalement méthodologique et technique. La tentation
est grande, et l’expérience quotidienne le prouve, de conserver une approche par les outils. « Vous
avez un risque X, j’ai l’outil Y qu’il vous faut ». Discours classique d’offreur, qui possède bien des
avantages :
Il donne bonne conscience au client qui pense mettre en œuvre les moyens adaptés.
Il donne de l’activité aux experts de l’entreprise et aux prestataires qui peuvent justifier leur rôle
et leurs « alertes ».
Il développe un marché de produits essentiellement américains.
Malgré ce développement marketing et cette profusion d’outils, la sécurité des entreprises s’en
porte-t-elle mieux ?. Il nous faut sans doute reprendre le travail et ici encore rentrer dans une
approche « qualité ». Quels sont les processus de sécurité essentiels, vitaux que doit posséder
l’entreprise pour couvrir ses risques ?
Nous retombons encore une fois sur les « bonnes pratiques » qui se déclineront quasi-
mécaniquement en « processus » et non pas en outils techniques. Bien sûr ils existent et sont fort
utiles mais ils ne peuvent rentrer dans une approche politique sans de nombreux pré-requis souvent
oubliés.
6.3.6.4 Entre règles et procédures
Elaborer des règles et des bonnes pratiques démontre la connaissance des risques et la volonté de
les gérer. Le danger des bonnes pratiques, c’est d’élaborer, de proposer des règles fonctionnelles
ou opérationnelles mais qui n’indiqueront pas comment il faut les respecter voire les appliquer. Les
bonnes pratiques n’ont de sens que si des procédures adaptées aux règles et aux processus sont
définies, formalisées et implémentées.
Combien d’entreprises possèdent des procédures de « cyber-sécurité » formelles et maintenues ?
C’est toute la difficulté du choix politique des « bonnes pratiques ». Si elles restent des vœux pieux,
elles reviennent elles-aussi à se donner bonne conscience. D’où l’intérêt extrêmement important qu’il
faut porter à la sensibilisation voire à la formation.
6.3.6.5 Entre information et formation
Il y a une différence fondamentale entre se sentir responsable (sans forcément l’être) parce qu’on
est informé et être acteur, actif, parce que l’on sait précisément ce que l’on doit faire et comment.
Les efforts à consentir dans un cas comme dans l’autre sont forts différents. Les résultats le sont
aussi.
Le cas de la gestion des mots de passe ou des virus est exemplaire. Combien de fois a-t-il été
répété, écrit et re-écrit qu’un code secret, parce qu’il est secret ne se communique à personne ? Et
pourtant …
De la même façon, combien de fois a-t-il été dit et redit au sein des entreprises et par de nombreux
médias comment se propageaient les nouveaux virus ainsi que les consignes à respecter ? Et
pourtant …
La véritable question reste que chacun à son niveau assume ses responsabilités, et cela commence
au niveau des dirigeants. Se contenter d’informer le personnel est nécessaire mais n’est plus
suffisant. Les chartes n’ont de sens et seront satisfaisantes et utiles que si elles sont signées
individuellement. Peut-on se contenter de transmettre un savoir ? Peut-on se satisfaire de
collaborateurs qui « ont » plus qu’ils ne « sont » ? Comment passer d’une culture de l’ « avoir » à
une culture de l’ « être » ?
L’enjeu n’est-il pas aujourd’hui de former l’ensemble des collaborateurs en fonction de leur profil à ce
qu’ils doivent faire quotidiennement pour réduire la négligence humaine naturelle, limiter les
capacités de malveillance et réellement responsabiliser ?
6.3.6.6 Entre sensibilisation et contractualisation
Nous pouvons aller plus loin que cette dichotomie sur l’information ou la formation qui vise à
responsabiliser en communiquant un savoir, une connaissance ou en apportant des compétences,
un savoir-faire. L’objectif est-il de se satisfaire d’une sensibilisation, une formation de surface ou de
rechercher une véritable responsabilité professionnelle et contractuelle. Aujourd’hui, nous sommes
bien obligés de considérer que seule une véritable contractualisation des droits et devoirs de chaque
acteur est rendue nécessaire. Comment peut-elle se mettre en œuvre ?
Tout d’abord au sein du contrat de travail, puis du règlement intérieur comme nous l’avons vu plus
haut. Mais aussi sous la forme de clauses contractuelles que l’entreprise élabore avec ses
fournisseurs. Nous pouvons schématiser ces intervenants externes en trois catégories :
les accords de confidentialité applicables à tous acteurs et tout contexte
les engagements de sécurité des services sous traités
les exigences de sécurité pour l’hébergement de sites informatiques et services Internet
les engagements contractuels des parties dans le cadre des contrats de prestation de services
6.3.6.7 Entre concentration et décentralisation
Finalement, pour mettre en œuvre cette politique, l’entreprise doit se déterminer clairement dans le
domaine de l’organisation. Une approche « centralisatrice », concentrée, des missions et des
acteurs prend un sens dans les petites structures, mono-métier et dont les implantations sont
limitées par exemple à une région ou un pays. Néanmoins, s’il existe une entité centrale responsable
des aspects « politiques », il n’est pas inutile de prévoir des « correspondants » décentralisés sur le
terrain dont la mission non permanente sera d’animer, de conseiller et de contrôler au quotidien la
mise en œuvre de la réglementation.
A l’autre extrême, dans les grands groupes et les multinationales, présentes sur un ou plusieurs
continents, et qui exercent leurs activités dans plusieurs métiers, une approche centralisée reste
possible mais devient très délicate. Une approche décentralisée ne doit pas omettre le devoir du
dirigeant voire de l’actionnaire. Comment alors concilier l’expression d’une volonté commune, unique
et la mise en œuvre adaptée, efficace, respectueuse des différences dans les entités et les métiers,
le tout en évitant les redondances, incohérences et dépenses superflues ?
6.3.7 Synthèse
Les « meilleures pratiques » sont avant tout des exigences « qualité » et si elles répondent à des
menaces, ne nécessitent pas fondamentalement de mesures de risque. Ne pas faire, n’est-ce pas
tout simplement être inconscient voire irresponsable ? Sécurité et qualité des infrastructures ne font
plus qu’un.
Avoir une approche stratégique du risque, élaborer des textes de politique sont importants mais non
suffisants. L’ensemble des acteurs doit connaître et appliquer des consignes adaptées à cette
réglementation. Ne pas informer et former ses collaborateurs et ses prestataires, voire ses clients
des droits et devoirs de chacun relève si ce n’est de l’incohérence, de l’erreur.
A l’heure de la sous-traitance des systèmes d’information, des réseaux et de leur sécurité,
l’entreprise doit s’adapter en termes de technologies, de processus, d’offreurs. Omettre les aspects
juridiques de la sécurité dans ses contrats fournisseurs est une faute parfois lourde de conséquence.
Avoir confiance dans ses technologies, ses hommes et ses fournisseurs, là se situe l’avenir de la
sécurité. Mais qu’est-ce qu’un offreur de confiance ? Peut-on acheter de la confiance ?
Ce concept essentiel nous ramène finalement au principe fondateur de la sécurité, à la science du
secret qu’est la cryptologie, dans ses deux déclinaisons fondamentales :
Pour la confidentialité des informations qui s’adresse à la vie privée, à la guerre économique
Pour la signature électronique et les paiements sécurisés qui s’adresse au monde de l’e-
business et de l’e-commerce
6.4 LES RESPONSABILITES ET LES ACTEURS DE L’ENTREPRISE,
6.5 EXTERNALISER OU INTERNALISER ?

Partie prise en charge par Philippe Recouppé (COGICOM)
6.6 LE CALCUL DU RETOUR SUR INVESTISSEMENT DE LA SECURITE (ROI)

Partie prise en charge par Juan Antonio Hernandez (Néo Sécurité)
7 LES CERTIFICATIONS
7.1 LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC,

CRITERES COMMUNS)
Les instances nationales officielles telles que la DCSSI en France, organisme inter ministériel
dépendant des services du Premier Ministre (Secrétariat Général de la Défense Nationale) apportent
la garantie qu’un outil de sécurité est lui-même sécurisé. Cette Direction Centrale pour la Sécurité
des Systèmes d’Information délivre des certificats qui attestent du sérieux des phases de
développement des produits, de leur aptitude à remplir les fonctions de sécurité dans des conditions
définies et du degré de confiance qu’on peut accorder au produit certifié. Des sociétés françaises,
les CESTI (Centre d'Evaluation de la Sécurité des Technologies de l'Information) expertes dans les
travaux de validation des produits et bien sûr indépendantes de tout constructeur, s’assurent en
amont de la conformité des produits de sécurité candidats aux certifications et aux exigences des
degrés de confiance que les cibles évaluées souhaitent atteindre. Elles portent ensuite le dossier de
certification auprès de la DCSSI qui signe et décerne le certificat de conformité.
Ainsi, les sociétés utilisatrices peuvent accorder à leurs solutions de sécurité un degré de confiance
précisément défini par un certificat dans une échelle qui comprend six niveaux pour la certification
ITSEC (Information Technology Security Evaluation Criteria) et sept niveaux pour la certification
Critères Communs (EAL1 à EAL7) . Les constructeurs peuvent alors prouver la qualité de leurs
produits de sécurité par un certificat officiel, après une validation effectuée par des centres
d’expertises français agréés par cet organisme. Cette certification apporte l’assurance que tout au
long de la phase de développement des produits, puis dans les tests de validation, les failles les plus
insidieuses donc les plus dangereuses que peut comporter tout logiciel n’entachent pas les produits
de sécurité certifiés à un niveau raisonnable sur une cible de sécurité suffisamment large.
La sécurité des systèmes d’informations obtenue par des firewalls, VPN, sondes de détection
d’intrusion, systèmes d’authentification forte ne sera pas compromise par des portes dérobées
éventuelles cachées dans ces logiciels car elles auraient été décelées et bien entendu supprimées
au cours de la conception et de l’évaluation de ces produits.
7.2 L'ISO17799
Partie prise en charge par Anne Coat-Rames (AQL et AFNOR) anne.coat@aql.fr
7.3 L'ISO 21827 : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE

Auteur : Anne Coat-Rames (AQL et AFNOR) anne.coat@aql.fr
7.3.1 Historique
L'ISO 21827 est issue du passage en Fast Track en octobre 2002 auprès de l'ISO/ JTC1/ SC27 du
modèle Systems Security Engineering- Capability Maturity Model (SSE-CMM(®)) du Software
Engineering Institute (université de Carnegie Mellon http://www.sei.cmu.edu/sei-home.html ).
Le modèle SEI devient alors la norme ISO 21827:2002 Technologies de l'information-Ingénierie
de sécurité système-Modèle de capacité de maturité (SSE-CMM(®)). Il est actuellement
disponible en anglais, gratuitement sur le site de l'ISSEA (international Systems Security
Engineering Association), ou sur le site de l'ISO.
Ce référentiel a été développé à partir de 1995, à l'initiative de la NSA et de la DoD, sur les bases
génériques de CMM(®) par un groupe de projet composé d'industriels, d'universitaires, et d'entités
gouvernementales.
Son objectif était de :
Démontrer les relations entre l'ingénierie de système et l'ingénierie de la sécurité,
Identifier les propriétés et les activités d'ingénierie de la sécurité,

La structure du modèle devait permettre d'auditer les pratiques d'ingénierie de la sécurité d'une
organisation, au sein d'un audit System Engineering CMM(®), en complément d'un audit System
Engineering CMM(®), ou de manière indépendante.
Sa structure est donc similaire à celle du System Engineering CMM(®), donc à la structure continuus
du CMMi(®), avec :
une échelle de niveaux de maturité de 1 à 5,
et une dimension d'aptitude semblable à celle du CMMi(r), ou de l'ISO 15504.
Attention, le SSE-CMM ne propose pas la version "staged" du modèle CMMi(®), comparable à celle
du Software - CMM de 1993. Une organisation ne peut donc pas se déclarer SSE-CMM Niveau X,
mais seulement Niveau X pour les processus d'analyse de risque, d'assurance sécurité, etc.
Le modèle est destiné aux fournisseurs de services, composants, et systèmes sécurisés, aux
départements de développement, d'exploitation, maintenance, et de désinstallation (désarmement).
La norme propose un modèle d'auto-évaluation de l'ingénierie de sécurité des systèmes, et non une
évaluation de la sécurité des systèmes (comme les Critères Communs), même si les deux aspects
sont liés, bien sûr.
7.3.2 La structure du SSE-CMM(®) - ISO 21827:2002

Le SSE-CMM(®) est structuré en trois macro-catégories de processus :
Une catégorie de processus du niveau de l'organisation, similaire à celles déjà identifiées dans
le SE-CMM (définition des processus de l'organisation)
Une catégorie de processus du niveau du management de projet et de l'assurance qualité (Plan
Technical Effort, Monitor and Control Technical Effort, Manage Project Risk, Manage
configuration , ensure quality),
Ce sont ces deux premières catégories de processus, issues du modèle SE-CMM, qui rendent
le SSE-CMM compatible (compliant) avec les autres CMM et avec le modèle SPICE.
Il est donc possible d'intégrer des processus du SSE-CMM dans des évaluations SPICE.
Une catégorie de processus d'ingénierie de sécurité, qui permettent de prendre en compte le
niveau de sécurité correspondant au besoin, aussi bien au niveau du projet qu'un niveau de
l'organisation.
Ces trois catégories rassemblent :
22 Processus, comprenant eux-mêmes 129 Pratiques de Base (Basic Practices ou BP),
un ensemble de Pratiques Génériques (GP), qui s'appliquent chacune à l'ensemble des
processus et permettent, selon leur degré de réalisation dans chaque processus, d'évaluer la
maturité de ces processus (cinq niveaux).
Chaque processus peut donc être évalué indépendamment, même s'il existe une forte corrélation
entre les mises en œuvre des processus d'une même catégorie.
Ces processus couvrent :
les différentes phases du cycle de vie (conception, développement, exploitation...),
les différentes fonctions d'une entreprise (gestionnaires, structure d'organisation, ingénierie...),
les interfaces internes (logiciels, matériels, élément humain, exploitation...)
et les interfaces externes (autres entreprises, fournisseurs, certification, ...).
Nous nous intéressons ici plus spécialement à la catégorie de processus d'ingénierie de sécurité, qui
peut-être subdivisée en 3 axes, comme l'indique le schéma ci-dessous :
les processus focalisés sur l'évaluation et le management du risque, identification des menaces
et vulnérabilités puis analyse de leur impact sur l'organisation, qui permettent d'identifier les
risques suffisamment importants pour devoir être pris en compte par l'organisation,
les processus de spécification des besoins de sécurité, des mesures de sécurité, et de mise en
œuvre de ces dispositions, dans un objectif de réduction et de contrôle des risques identifiés et
retenus précédemment. Ces processus sont mis en œuvre conjointement aux processus de
construction des produits et systèmes,
les processus d'assurance sécurité, qui vérifie la mise en œuvre des dispositions, et mesurent
leur efficacité dans l'atteinte du niveau de sécurité souhaité.
Ce référentiel, même sous sa forme d'ISO 21827, ne permet pas de certification, mais permet de
compléter des (auto) évaluations, en fournissant un cadre d'évaluation des pratiques de
l'organisation en matière de sécurité.
Son principal intérêt est d'engager l'organisation dans une démarche d'amélioration continue de sa
sécurité, compatible avec d'autres démarches d'amélioration continue, et d'autres systèmes de
management (ISO 9001, CMMi(®), ISO 15504, par exemple).
Les utilisateurs, surtout américains, œuvrent dans des domaines pointus, comme la fabrication de
micro-processeurs, ou de systèmes technologiques avancés, ou pour la sécurité nationale. De par
sa nature (culture sécurité), le nombre précis d'utilisateurs réguliers de ce référentiel n'est pas
connu.
7.4 LA CERTIFICATION AUX ETATS UNIS

Auteur : Jean-Philippe Bichard (NetCost&Security) redaction@netcost-security.fr
A la suite des attentats du 11 septembre les USA ont encore considérablement accru leurs moyens
de recherche dans ce domaine pour éviter ce qu'ils nomment un "digital Pearl Harbor. L’Europe a
son niveau tente de s’organiser.
7.4.1 Le NIAP US
Lors de la conférence RSA (2004.rsaconference.com) qui s'est ouverte ce 23 Février à San
Francisco, le NIAP (niap.nist.gov) proposait un tutoriel sur les critères communs (norme ISO 15408).
Jean Schaffer, directrice du NIAP, a exposé les objectifs du gouvernement américain qui impose
l'évaluation de tous les produits de sécurité (IA products) et des produits incluant des fonctions de
sécurité (IA-enabled products), achetés par tout organisme public aux USA.
Le NIAP est le National Information Assurance Partnership, l'équivalent américain du CESTI au sein
de la DCSSI en France. Le NIAP est né d'une collaboration du NIST et de la NSA pour promouvoir
ce qu'ils appellent "security testing", "security evaluation", et "security assessment", à la fois auprès
des éditeurs et auprès des consommateurs.
Le NIAP a défini des profils de protections pour tous les principaux produits de sécurité : firewalls,
boîtiers de chiffrement et IDS, et poursuit cette initiative pour tous les produits incluant des fonctions
de sécurité comme les routeurs, les serveurs de messagerie ou les systèmes d'exploitation. Ces
profils répondent aux besoins du gouvernement américain et l'évaluation est obligatoire pour qu'un
produit sur étagère puisse être acheté. Lorsqu'un profil de protection existe l'évaluation doit être faite
obligatoirement vis-à-vis du profil de protection, ou avec une cible de sécurité qui inclue le profil de
protection.
Le NIAP est bien sûr dans l'accord de reconnaissance mutuelle qui lit les 8 pays ayant un schéma
de certification et les 18 autres qui reconnaissent la certification, mais l'usage obligatoire des profils
de protection américains est une limite majeure à cette reconnaissance internationale.
Officiellement depuis Juillet 2002, l'obtention du certificat d'évaluation est obligatoire, et la politique
du gouvernement US n'a jamais changée.
Cependant les vendeurs ont crus que le gouvernement ne respecterait pas sa politique de n'acquérir
que des produits évalués aux critères communs et il se sont dit qu'il était urgent d'attendre et n'ont
pas lancé d'évaluation, mais Jean Schaffer nous assure que le gouvernement a respecté sa
promesse et interdit l'achat de produits non évalués.
7.4.2 Le DCA
Pour respecter le code des marchés public américains, il manquait des produits évalués, alors le
NIAP a accepté de faire le DCA : Deferred Compliance Authorization. Chaque institution américaine
peut faire une liste des produits pas encore évalués, qui pourront répondre aux appels d'offre sur
l'engagement formel d'une évaluation réussie dans un délai fixé.
Cette méthode ferme peut expliquer la forte croissance de l'évaluation aux USA. Si le nombre de
laboratoires d'évaluation agréés n'a pas beaucoup changé, 7 en 2003 et 8 en 2004, le nombre de
produits en cours d'évaluation est en croissance constante. Le NIAP a 53 certificats en cours de
validité, 38 avec des cibles d'évaluation et 17 avec des profils de protection. Il y a au 23 Février
2004, 73 produits en cours d'évaluation aux USA, 70 avec une cible de sécurité spécifique et 3 vis-à-
vis d'un profil de protection. Il y a eu aussi 16 certificats qui ont été annulés, abandonnés ou
remplacés, et 40 évaluations qui n'ont pas étés à leur terme soit en tout 182 dossiers au NIAP. Il y a
eu des abandons en cours d'évaluation, des cas où la relation étroite nécessaire entre l'éditeur et le
laboratoire d'évaluation n'a pas marché, etc.
Jean Schaffer précise que le schéma de certification américain est une excellente opportunité pour
les produits américains de conquérir le monde et faire des affaires.
En ce qui concerne le processus, un éditeur souhaitant être certifié doit choisir un laboratoire
d'évaluation parmi les 8 agréés. Ce dernier doit valider la cible d'évaluation de l'éditeur, et ensuite ils
viennent voir le NIAP qui réuni tout le monde et lance l'évaluation. Jean Schaffer rappelle que plus
de 90% des évaluateurs n'ont pas respecté l'agenda prévu et qu'il ne sert à rien en tant que vendeur
d'être agressif avec l'évaluateur, le NIAP vérifie en permanence que le laboratoire ne subit pas de
pressions du vendeur et n'arrondit pas les angles.
Aux USA l'évaluation la plus courte a durée 3 mois, et la plus longue 3 ans.
Pour gérer l'épineux problème des correctifs et des nouvelles versions d'un produit par rapport à une
évaluation, un nouveau processus de maintenance de l'évaluation a été approuvé de manière
internationale en Janvier 2004. Lorsqu'un certificat a été émis sur un produit, lors de la sortie de
correctifs ou d'une évolution du produit, il faut fournir au NIAP un rapport analysant les impacts des
nouveautés par rapport à l'évaluation déjà faite.
Il faut prouver au NIAP que les changements effectués n'affectent pas l'évaluation réalisée et
l'assurance de celle-ci. La grande différence entre une évaluation et sa maintenance, est que
l'éditeur ne doit pas retourner voir le laboratoire, il s'adresse directement au NIAP.
Le NIAP va revoir si nécessaire le laboratoire qui a fait l'évaluation. Si le NIAP considère que les
correctifs ou évolutions n'affectent pas le certificat obtenu il publie un ajout sur son site web
précisant les nouvelles versions du produit concernées. Si le NIAP n'est pas sûr, il demande une
réévaluation par le laboratoire qui va uniquement regarder les changements réalisés. Cette
réévaluation demande un mois en général, à l'issue de laquelle l'éditeur obtient un nouveau certificat
comme s'il avait tout recommencé depuis le début.
La seule exception à l'évaluation par le schéma du NIAP est celle des produits cryptographiques
dont la partie cryptographique doit être évaluée par le NIST vis-à-vis du standard FIPS140 en
préalable à une évaluation aux critères communs.
Visiblement plusieurs éditeurs ont souffert, ils considèrent l'évaluation trop conceptuelle et pas assez
réaliste, trop lente et pas adaptée aux produits renouvelés tous les 3 mois. Il n'en demeure pas
moins que le processus d'évaluation vis-à-vis des critères communs semble décoller aux USA.
Prudence cependant, en réponse à une question, Ken Eliott, évaluateur senior, a confirmé qu'il était
possible qu'un produit soit certifié avec une porte-dérobée permettant à l'éditeur d'effectuer un
diagnostic à distance.
7.4.3 La création de l’ENISA Européenne

En 2003, le parlement européen donne son accord pour la création de l’ENISA (Agence européenne
pour la sécurité des réseaux et de l’information). A l’époque, Erkki Liikanen, commissaire européen à
l'entreprise et à la société de l'information, a commenté la décision en déclarant: "La confiance et la
sécurité sont des éléments cruciaux dans la société de l'information et, en établissant l'ENISA, nous
poursuivons notre œuvre d'instauration de la "culture de la sécurité" que nous nous étions proposés
de créer dans le plan d'action eEurope 2005. Je suis très satisfait que le Parlement et les États
membres aient compris l'urgence de mettre en place cette agence et soient parvenus à un accord en
première lecture sur la proposition. Toutes les parties concernées par les questions de sécurité des
réseaux et de l'information se sont prononcées en faveur d'une collaboration plus étroite, et l'ENISA
fournit l'infrastructure nécessaire à cet effet."
8 LA VEILLE SECURITE
9 LES ENJEUX ECONOMIQUES DE LA SECURITE

Partie prise en charge par Jean-Philippe Bichard (NetCost&Security)
10 BIBLIOGRAPHIE ET REFERENCES
10.1 GENERAL
(Réf. 1) http://www.netcost-security.comhttp://www.mag-securs.com/
(Réf. 3) http://secuser.com
(Réf. 4) http://www.zataz.com/
(Réf. 5) http://securiteinfo.com/
(Réf. 6) http://www.clusif.asso.fr/
10.2 ATTAQUES ET MENACES

(Réf. 7) http://www.hoaxbuster.com/
10.3 VOIP
(Réf. 8) http://www.forumvoip.com/
(Réf. 9) http://www.sipforum.org/
(Réf. 10) http://www.voipwatch.com/
(Réf. 11) http://www.vonmag.com/
(Réf. 12) http://www.sipcenter.com/
(Réf. 13) http://www.voip-info.org/
(Réf. 14) http://www.iptel.org/
(Réf. 15) http://www.voip-news.com/
(Réf. 16) http://www.voip.org.uk/
(Réf. 17) http://vomit.xtdnet.nl/
10.4 WI-FI
(Réf. 18) ART http://www.art-telecom.fr/
(Réf. 19) WECA http://www.weca.net/OpenSection/index.asp
(Réf. 20) WLANA : http://www.wlana.org/index.html
(Réf. 21) IEEE 802.11 : http://grouper.ieee.org/groups/802/11/
(Réf. 22) Wi-Fi Planet : http://www.wi-fiplanet.com/
(Réf. 23) Wi-Fi Networking News : http://wifinetnews.com/
(Réf. 24) Paul Mühlethaler : 802.11 et les réseaux sans fil (Eyrolles)
(Réf. 25) HiperLAN/2 : http://www.etsi.org/
(Réf. 26) Bluetooth : http://bluetooth.com
(Réf. 27) UnStrung : http://www.unstrung.com/
(Réf. 28) Rappels de théorie radio http://www.swisswireless.org/wlan_calc_fr.html
(Réf. 29) Microsoft Technology Center :
http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx
(Réf. 30) O'Reilly - comparaison technique de TTLS et PEAP
http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html
(Réf. 31) IEC - Tutoriel EAP pour 802.1X :

http://www.iec.org/online/tutorials/acrobat/eap_methods.pdf
10.5 INGENIERIE SOCIALE

(Réf. 32) Avis du CERT – « Social Engineering » http://www.cert.org/advisories/CA-1991-04.html
(Réf. 33) Bernz – “The complete social engineering FAQ”
http://www.morehouse.org/hin/blckcrwl/hack/soceng.txt
(Réf. 34) Harl – “People hacking”. The Psychology of Social Engineering
(Réf. 35) Tims – “Social Engineering : Policies and Education a Must”
http://www.sans.org/infosecFAQ/social/policies.htm
(Réf. 36) Gartner – http://www3.gartner.com/gc/webletter/security/issue1
10.6 JURIDIQUE
(Réf. 37) http://www.clic-droit.com/
(Réf. 38) http://www.iteanu.com/
(Réf. 39) http://www.juriscom.net/
(Réf. 40) http://www.murielle-cahen.com
(Réf. 41) http://www.cnil.fr/
(Réf. 42) http://legifrance.gouv.fr
(Réf. 43) http://www.legalbiznext.com/
(Réf. 44) Livre “Tous Cyber Criminels“ de Olivier Itéanu (Laffont éditeur)
10.7 LOISIRS
10.7.1 Livres
(Réf. 45) L’ours et le dragon de Tom Clancy
Comment un logiciel espion s’avère déterminant pour gagner la guerre entre les USA et la Russie
d’un côté et la Chine de l’autre.
(Réf. 46) Mademoiselle Chat de Frank et Vautrin (Fayard)
Les services secrets alliés essaient de voler la machine à chiffrer allemande ENIGMA
(Réf. 47) Piège sur le réseau de Philipp Finch (titre original : f2f) Presses de la Cité
Un serial killer recrute ses victimes sur le Net. Intrusions, capture d'information, cheval de troie, vers,
phreaking, vol de n° de cartes de crédit (codeZ)... l'attaque informatique dans toute sa splendeur.
(Réf. 48) Histoire des codes secrets de Simon Singh
De l'Égypte des pharaons à l'ordinateur quantique
(Réf. 49) Da Vinci Code de Dan Brown
Un méchant albinos, une jolie cryptographe et quelques espions du Vatican pour déchiffrer un code
secret et découvrir l'un des plus grands mystères de notre temps.
(Réf. 50) Operation Fiat Lux de Thomas O'Neil et Jean de Kerily
Un grand groupe français victime d'un crack boursier découvre une manipulation orchestrée par un
fond d'investissement proche de la NSA.
10.7.2 Films
(Réf. 51) U571 – (Universal studios)
Comment l’équipage d’un sous-marin américain s’empare de la machine ENIGMA en abordant un
sous-marin allemand en perdition.
(Réf. 52) Le rideau déchiré (Alfred Hitchcock)
Les secrets étaient cachés dans une note de musique. Bel exemple de stéganographie.
(Réf. 53) Contact (Robert Zemeckis)
Encore un bel exemple de stéganographie : un vieux film d'actualité livre ses secrets
(Réf. 54) Wargames (John Badham)
David commence par infiltrer le réseau informatique de son lycée et finit par celui du Pentagone. A
quoi tient le déclenchement de la 3° guerre mondiale !
(Réf. 55) Matrix (Andy Wachowski)
Inutile de présenter....
11 GLOSSAIRE
11.1 ACRONYMES
AP Access Point
ART Autorité de régulation des Télécommunications.
BAS Broadband Access Server
BLR Boucle Locale Radio
BPSK Binary Phase Shift Keying
CCK Complementary Code Keying
DSSS Direct Sequence Spread Spectrum
EAP Extensible Authentication Protocol
EAP-TLS EAP with Transport Layer Security
EAP-TTLS EAP with Tunnelled Transport Layer Security
ESS Extended Service Set
ETSI European Telecommunications Standard Institute
FHSS Frequency Hopping Spread Spectrum
IBSS Independent BSS
IDS Intrusion Detection System
IEEE Institute of Electrical & Electronic Engineers
IETF Internet Engineering Task Force
L2TP Layer 2 Tunneling Protocol
LAN Local Area Network
LEAP Lightweight EAP
MD5 Message Digest 5
MEGACO Media Gateway Controller
MGCP Media Gateway Control Protocol
NAS Network Access Server
OFDM Orthogonal Frequency Division Multiplexing
PAN Personnal Area Network
PBX Private Branch Exchange
PEAP Protected EAP
PIRE Puissance Isotrope Rayonnée Equivalente
PPTP Point-to-Point Tunneling Protocol
PSK Pre-Shared Key
QAM Quadrature Amplitude Modulation
QPSK Quadrature Phase Shift Keying
RAS Remote Access Server
RLAN Radio LAN
ROI Return on Investment
RTCP Realtime Control Protocol
RTP RealtimeTransport Protocol
SCTP Stream Control Transmission Protocol
SDP Session Description Protocol
SIP Session Initiation Protocol
SSID Service Set Identification
SSRC Synchronization source identifier (RTP header)

STA Station
TCP/IP Transmission Control Protocol/Internet Protocol
TLS Transport Layer Security
TTLS Tunneled TLS
VLAN Virtual LAN
VoIP Voice over Internet Protocol
VPN Virtual Private Network
WAN Wide Area Network. Utilisé parfois à la place de WLAN
WECA Wireless Ethernet Compatibility Alliance
WISP Wireless ISP
WLAN Wireless LAN
WLL Wireless Local Loop
WMAN Wireless MAN
VoWLAN Voice over WLAN
WPA Wi-Fi Protected Access
WPAN Wireless PAN
11.2 DÉFINITIONS
DES, 3DES Data Encryption Standard : Chiffrement symétrique qui permet d’assurer le
chiffrement des données. Le DES a une longueur de clé utile de 56 bits, le triple
DES de 168 bits.
802.11a Autre variante du protocole 802.11, également qualifié Wi-Fi, mais opérant dans
une autre bande de fréquences d’accès encore très limité en France
802.11b, 802.11g Variantes du protocole 802.11 adoptées par les produits courants "WiFi" et qui
correspondent à des techniques de modulation différentes, dont la différence
tangible pour l'utilisateur se traduit par le débit maximum.
802.11i Extension du protocole 802.11 pour la sécurité.
AAA Authentication, Autorisation and Accounting : Un serveur AAA est un serveur
d’authentification forte qui délivre les autorisations d’accès et gènère les
éléments comptables.
ACL Access Control List : Liste d’adresses ou de ports fonctionnant comme un filtre
pour gérer les autorisations/interdictions d’accès.
AES Advanced Encryption Standard : Méthode de chiffrement symétrique, d'origine
belge, utilisée par l’armée américaine, plus moderne que le DES, plus rapide,
dont les clés sont plus longues.
AH Authentication Header, champ ajouté par l’IPSEC devant chaque paquet IP pour
permettre son authentification
Appliance Plate-forme matérielle sur laquelle sont préchargés les logiciels de sécurité
(Firewall et VPN, parfois aussi détecteur d’intrusion). Les appliances peuvent être
des PC standards modèle tour, ou des racks 1u et 2u, ou encore des boîtiers
spécifiques.
ASLEAP Attaque de type dictionnaire sur LEAP
BLR Boucle Locale Radio
Booter Lancer les services du système d’exploitation pour que les applications qui les
utilisent soient prêtes à fonctionner. Le boot (amorçage) se fait à l’allumage du
poste de travail et du serveur.
BPSK Binary Phase Shift Keying
Broadcast Diffusion : Émission depuis un point vers toutes les stations susceptibles de
détecter le signal.
BSS Basic Service Set : Ensemble formé un point d'accès et les stations situées dans
sa zone de couverture radio électrique.
BSSID Basic Service Set IDentifier : identifiant d’un point d’accès, concrètement son
adresse MAC.
Centrino Une offre matérielle d’INTEL, composée d'un processeur (Pentium-M), d'un jeu
de composants associé (le 855) et d'un module Wi-Fi qui assure l'émission et la
réception des données (contrôleur RLAN Intel PRO/2100).
CERT Computer Emergency Response Team. Réseau mondial de centres qui
réceptionne et diffuse les alertes de sécurité et les vulnérabilités des systèmes.
Voir sur www.cert.org.
Certificat Fichier contenant divers renseignements qui permettent d’authentifier un
utilisateur, avec en particulier son nom, sa société, l’autorité de confiance qui a
signé ce certificat, les dates de validité du certificat, la clé publique qui va
permettre de chiffrer / déchiffrer lors d’un chiffrement asymétrique et une partie
chiffrée qui permet d’en contrôler l’origine.
Clé USB Ou token USB. Objet amovible contenant un chip dans lequel sont stockés les
certificats et les clés de chiffrement. La différence avec une carte à puce est que
la clé USB se positionne dans le port USB que tous les postes de travail
possèdent en standard et ne nécessite donc pas d’acquérir un lecteur
additionnel. Le contenu du chip de la clé USB ne peut être recopié, ce qui offre
une sécurité plus grande que le stockage de la clé privée sur un disque dur ou
sur une disquette.
CNIL La Commission Nationale de l’Informatique et des Libertés est une autorité
administrative indépendante à qui toute action de constitution de liste nominative
doit être communiquée. Voir www.cnil.fr
Codec Le codec identifie le mode de numérisation et de compression du signal (la voix
dans notre cas) se distinguent par leurs caractéristiques : qualité du signal
sonore, bande passante et capacité de traitement CPU requise. Les codec les
plus courants sont des recommandations ITU : G.711 (64 kb/s a & µlaw) ;
G.723.1(5,3/6,3 kb/s 30 ms frame size) ; G.729 (8 kb/s 10 ms frame size) ; mais
aussi GSM (13+ kb/s) ; Speex (2,15 - 44,2 kb/s)
Commutateur (Switch) : Équipement qui aiguille les paquets d’un segment vers un autre en se
basant sur un mécanisme d’adressage.
Concentrateur (Hub) : Équipement qui relie les différents segments physiques d’un réseau en
étoile. Le concentrateur laisse passer tous les flux sans contrôle.
Coupe-feu Voir firewall.
CRC Cyclic Redundancy Check : résultat d’un algorithme, destiné à vérifier l’intégrité
d’un message et éventuellement détecter des erreurs de transmission.
DES – 3DES Data Encryption Standard. Algorithmes de chiffrement symétriques. Le DES
utilise une clé de 56 bits, le 3DES utilise trois clés en série de 56 bits, qui
donnent une clé virtuelle de chiffrement de 168 bits.
Dialer VPN Appel Java qui ouvre un tunnel chiffrant depuis un poste client vers un RAS.
DMZ DeMilitarized Zone. Un ou plusieurs réseaux partant d’un firewall et qui ne sont ni
le réseau externe non protégé, ni le réseau interne très protégé. C’est une zone
intermédiaire avec une politique de sécurité particulière, dans laquelle on place
souvent le serveur Web institutionnel de l’entreprise, le serveur anti-virus et le
serveur de messagerie.
DoS Deny of Service (déni de service) : Attaque qui consiste à rendre un réseau
inopérant par saturation ou destruction de ses ressources.
DS Distribution System : Réseau d’infrastructure qui permet de relier plusieurs BSS
pour constituer un ESS. Le système de distribution peut être un réseau filaire, un
câble entre deux points d'accès voire un réseau.
ESP Encryption Standard Protocol, champs ajoutés devant et derrière chaque paquet
IP pour permettre l’authentification et le chiffrement / déchiffrement de ces
paquets.
ESS Extended Service Set : Ensemble de BSS reliés entre eux par système de
distribution (voir DS)
ESSID Extended Service Set IDentifier : Identifiant servant de reconnaissance mutuelle
entre un réseau et ses terminaux, souvent abrégé en SSID.
Firewall Solution logicielle ou matérielle placée en coupure entre deux ou plusieurs
réseaux et qui contrôle tous les échanges entre ces réseaux pour ne laisser
passer que les échanges autorisés par la politique de sécurité de l’entreprise qu’il
protège.
Garde barrière Voir firewall.
H.323 Recommandation ITU (Study Group 16) pour la transmission temps-réel de vidéo
et de données sur un réseau à commutation de paquet, traditionnellement
appliquée à la visio-conférence sur IP, mais aussi à la phonie.
Hacker Pirate qui attaque votre réseau par méchanceté, bravade, divertissement ou
simplement parce que c’est son travail. On trouve de plus en plus de hackers non
spécialistes mais équipés de logiciels d’attaques qui peuvent être trouvés
gratuitement sur l’Internet, et dont ils n’ont pas à connaître finement le
comportement pour les utiliser.
Hoax Fausse alerte de virus ou de ver, souvent un canular qui ne repose sur aucune
menace réelle mais génère néanmoins la peur, cause des pertes de temps et
empoisonne la vie des utilisateurs. Voir en http://hoaxbusters.ciac.org/
Hot Spot Réseau radio ouvert au public pour offrir l'accès à l'Internet à des utilisateurs de
passage.
HTTP Hyper Text Transfert Protocol. Protocole applicatif définissant les échanges entre
un client Web (tel que l’Internet Explorer ou le Netscape Navigator) et un serveur
Web tel que l’IIE ou Apache.
IKE Internet Key Exchange, méthodes de l’IPSec, basées sur le chiffrement
asymétrique, pour échanger la clé de chiffrement symétrique.
Intranet Réseau interne de l’entreprise dont les applications utilisent les protocoles
réseaux de l’Internet (protocoles IP).
IPSec Internet Protocol Security, suite de protocoles et méthodes qui ajoutent des
fonctionnalités d’authentification et de chiffrement à la version actuelle du
protocole IP, l’IPv4. La prochaine version des protocoles IP, l’IPv6, contient
d’origine toutes ces fonctionnalités de sécurité.
LDAP Le Lightweight Directory Access Protocol est un protocole IP qui définit comment
accéder à des services en ligne d'annuaire.
MIC Message Integrity Code : algorithme utilisé par TKIP pour calculer un code
d’intégrité d’un paquet.
NAT Network Address Translation, méthodes pour cacher les adresses IP d’un réseau
protégé, en les modifiant pour présenter des adresses différentes à l’extérieur. Il
y a la NAT statique qui fait correspondre une adresse publique à chaque adresse
interne privée, et la NAT dynamique qui attribue une adresse prise dans un pool
limité d’adresses publiques à chaque adresse interne, jusqu’à épuisement des
adresses disponibles.
NIC Network Information Centre : Autorité qui attribue des plages d’adresses Internet
et des noms de domaine aux utilisateurs.
NIC Network Interface Card : Carte d’adaptation installées dans un ordinateur et qui
fournit un point de connexion vers un réseau.
Paquet IP Parcelle élémentaire d’information dans laquelle les données sont transportées
dans les réseaux IP. Un paquet IP se compose d’une partie en-tête, et d’une
partie donnée.
PIN Personal Identification Number : Code secret à quatre chiffres (ou plus) qui
permet d’activer le dispositif d’authentification d’une clé USB ou d’une carte à
puce.
Pinhole Le trou d'une aiguille correspond dans le cas du Firewall à la brèche très limitée
qui est créée de manière temporaire pour laisser passer une connexion de son
ouverture à sa clôture.
PKI Public Key Infrastructure, infrastructure à clé publique qui se compose de
diverses autorités (de certification, d’enregistrement) et d’un système de
distribution de clés asymétriques.
Port D’un point de vue logiciel, numéro caractérisant une application (par exemple 80
est un numéro de port affecté au protocole web HTTP). D’un point de vue
matériel, un port caractérise un connecteur physique par exemple une clé
d’authentification s’adapte sur un port USB.
Poste mobile Poste qui peut accéder à un service sans se raccorder par câble..
Poste nomade Poste qui peut accéder à un service depuis n’importe quel point câblé.
Protocoles IP Série de protocoles définis par les RFC (Requests for Comments) et sur lesquels
les échanges Internet et par extension Intranet reposent.
Proxy Logiciel entre l’utilisateur et le serveur d’application, qui masque cette application
en se faisant passer pour le serveur
RADIUS Remote Authentication Dial-In User Service : Protocole normalisé qui décrit la
communication entre un RAS et un serveur AAA nommé RADIUS.
RLAN Réseau local (LAN) dont tout ou partie de l'infrastructure repose sur une
technologie radio.
RSA Du nom des inventeurs : Rivest, Shamir, Adelman. Le RSA est une méthode
d’authentification et de chiffrement à base de clés asymétriques basé sur des
clés de 1024 bits ou 2048 bits. Le RSA est souvent utilisé pour une
authentification mutuelle et un échange d’une clé de chiffrement symétrique.
RTC Réseau Téléphonique Commuté : La connexion RTC permet de se connecter à
Internet à partir de n'importe quelle prise téléphonique en connectant un modem
entre l'ordinateur et la ligne. Les modems RTC offrent un débit maximum de 56
Kbps (ou Kb/s pour kilo bits par seconde).
SDR Session Detail Records, correspond à la notion de tickets de consommation,
directement déduit des communications ayant eu lieu, et permettant donc la
facturation.
SMTP Simple Mail Transfert Protocol. Protocole applicatif sur lequel repose la
messagerie sur l’Internet.
Sniffer Sonde logicielle destinée à analyser le trafic sur un réseau. Les hackers les
utilisent pour récupérer à la volée des informations sensibles (par exemple mots
de passe) à l'insu des administrateurs réseau.
Softswitch Textuellement, commutateur logiciel, correspond au serveur de l'architecture
VoIP qui regroupe les fonctions autrefois réalisées par l'autocommutateur
(PABX), telles que la messagerie vocale, les fonctions de renvois, mais aussi
l'ACD ou l'IVR.
Spoofing Méthode de piratage qui consiste à usurper l'adresse IP d'un ordinateur du
système à attaquer, de manière à pouvoir l'accéder de manière transparente.
SSID Service Set IDentifier : Drapeau servant de reconnaissance mutuelle entre un
réseau et ses terminaux
TKIP Temporal Key Integrity Protocol : Protocole de chiffrement utilisé par WPA
USB Clé USB : objet amovible contenant un chip (une puce) dans lequel sont stockés
les certificats et les clés de chiffrement. La clé USB se positionne dans le port
USB des postes de travail. Son contenu ne peut être recopié et la clé
asymétrique ne quitte jamais le token USB.
VPN Virtual Private Network : Tunnel chiffrant entre deux réseaux protégés bâti sur un
réseau non-protégé et qui, après authentification mutuelle des deux bouts du
tunnel, chiffre les transactions qui doivent l’être et en assure l’authenticité, la
confidentialité et l’intégrité.
War-chalking Ensemble de symboles tracés par les hackers pour indiquer la présence d’un
réseau WiFi.
War-driving Technique utilisée par les hackers, qui consiste à se déplacer avec un ordinateur
portable et un système de réception radio, afin de détecter la présence de
réseaux WiFi. Le système peut être complété par un GPS pour localisation
automatique.
WEP Wireless Equivalent Privacy : mécanisme d’authentification et de chiffrement
standard du protocole 802.11
WiFi Label délivré par le WECA qui garantit l'interopérabilité des équipements radio
répondant au standard 802.11. Par extension de langage, désigne le standard
lui-même.
WPA WiFi Protected Access : mécanisme d’authentification et de chiffrement préconisé
comme solution d’attente de 802.11i, en alternative au WEP
Copyright © etna 2004 -
La reproduction et/ou la représentation de ce document sur tous supports est autorisée à la condition d'en
citer la source comme suit
© etna 2004 - http://www.etnafrance.org/ressources/securiteip/livre-securite.pdf
L'utilisation à but lucratif ou commercial , la traduction et l'adaptation de ce document sous quelque support
que ce soit est interdite sans la permission écrite de l’etna.

Securite Reseau Livre Ouvert

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite Reseau Livre Ouvert

Transféré par

Droits d'auteur :

Formats disponibles

Livre ouvert sur la sécurité

Livre ouvert sur la sécurité

Ont participé, à ce jour, à la rédaction de ce papier blanc de l’etna sur la sécurité

Nom Prénom Société mél

Les illustrations sont l’œuvre de Laurent Germain (laurentgermain@yahoo.fr)

Le développement de ce livre ouvert est coordonné par gerard.peliks@eads-telecom.com

Le mot du Président de l’etna

Le mot de la Représentante de la commission sécurité auprès du

Le mot du Président de la commission sécurité de l’etna

LIVRE OUVERT SUR LA SECURITE ...1

2.7.4 Anti-virus ............................................................................................................................................. 46

9 LES ENJEUX ECONOMIQUES DE LA SECURITE......................................................................................92

10 BIBLIOGRAPHIE ET REFERENCES .............................................................................................................93

1.1 LES MENACES,

1.2 LES VULNERABILITES

1.2.1 Les faiblesses du Web

1.2.1.2 Le surf abusif

1.2.2 Les faiblesses de la messagerie

1.3 LES ATTAQUES

1.3.1 Le vol de données

1.3.2 Les accès non autorisés

1.3.3 Les dénis de services

1.3.4 Les attaques sur la messagerie

1.3.5 Les attaques sur le Web

1.3.6 Les attaques par système d’exploitation

1.3.7 Les attaques combinées

1.4.1 Face au virus Mydoom.A

1.4.2 Les logiciels espions

On se pose parfois la question : « mais pourquoi ce logiciel si puissant est

1.5 LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS,

1.5.1 Les hoax

1.6 LES MENACES SUR LES POSTES NOMADES

1.7 LE CAS DU RESEAU SANS FIL

1.7.1 La "révolution" radio

1.7.1.3 Les spécificités d'un réseau radio

1.7.2 Les préoccupations de l’Administrateur Réseau

1.7.3 Risques et attaques

Le Rogue AP (AP indésirable)

1.7.3.4 Impersonation (Usurpation d’identité)

Écoute malveillante (Eavesdropping)

1.8 L’INGENIERIE SOCIALE

1.9 LE CYBER RACKET

1.9.1 La prolifération des risques

1.9.2 Les approches

1.9.4 Les règles à suivre

2 LES CONTRE-MESURES ET MOYENS DE DEFENSE

2.1 LES FIREWALLS BASTION

Le firewall, appelé aussi pare-feu ou garde-barrière, est l’élément nécessaire, mais

2.1.1 Les paramètres pour filtrer les données

2.1.2 A quel niveau du paquet IP le filtrage doit-il se situer ?

2.1.3 Le masquage des adresses IP du réseau interne

2.1.4 Les zones démilitarisées

2.1.5 Firewall logiciel ou firewall matériel ?

2.1.6 En parallèle ou en série ?

2.1.7 Sous quel système d’exploitation ?

2.2 LE FIREWALL APPLICATIF

2.3 LE FIREWALL PERSONNEL

2.4 L’AUTHENTIFICATION FORTE,

2.4.1 L’authentification et la chaîne de sécurisation

2.4.2 Le rôle de la carte à puce dans l’authentification

2.4.3 Exemples actuels d’utilisation de carte à puce

La technique de la stéganographie, considérée parfois à tord comme le chiffrement du pauvre, est

2.7 LES VPN

2.7.1 Les VPN IPSec,