Académique Documents
Professionnel Documents
Culture Documents
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 1/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 2/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 3/102
Livre ouvert sur la sécurité
l’événement networking de notre commission, en décembre 2003, sur le thème des menaces sur les
réseaux sans fils, a traité les parties « Ingénierie Sociale », « Cyber Racket » et « Sécurité et
Mobilité ».
Michel Habert, Directeur Technique de Netcelo avait présenté les VPN IPSec lors de notre
événement networking d’avril 2004 sur les postes mobiles. Il traite du même sujet pour ce booklet et
aussi de la gestion centralisée de la sécurité.
Alain Thibaud, Directeur Technique Europe du Sud de F5 Networks avait présenté à ce même
événement les VPN SSL et les traite dans cet ouvrage.
Jean-Philippe Bichard, Rédacteur en chef de la très intéressante revue hebdomadaire en ligne
NetCost&Security nous a fait bénéficier d’une présentation qu’il avait faite dans le cadre du colloque
EPF 2004 sur la certification des logiciels aux Etats Unis.
Thierry Karsenti, Directeur Technique EMEA de CheckPoint nous a ouvert l’accès aux white papers
de CheckPoint que nous avons exploités dans le chapitre « la sécurité de bout en bout ».
Max de Groot, Technical Marketing WLAN Business Line chez GEMPLUS a commencé une entrée
sur l’authentification forte et explique très clairement pourquoi l’information contenue dans le chip
d’une carte à puce est sécurisée.
Anne Coat-Rames, Consultante AQL et membre de l’AFNOR a abordé le modèle de l'auto
évaluation de la sécurité par le biais de l'ISO.
Nous avons trouvé un artiste pour illustrer nos textes. Merci à Laurent Germain qui nous apporte
son talent et son humour pour que notre booklet soit certes instructif, mais aussi plaisant à lire.
Merci aussi à celles et ceux qui se sont déclarés très enthousiastes pour participer à l’élaboration de
cet ouvrage et dont nous attendons impatiemment les contributions en textes et en images. Et
n’oublions pas ceux qui ne tarderont pas à rejoindre les contributeurs de ce booklet, car il ne sera
jamais trop tard pour participer.
Gérard Péliks , EADS Defence and Communications Systems
Le mot du hacker
Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté
face aux menaces de l’Internet. Quand j’attaque votre système d’information,
soit pour jouer avec, soit pour vous nuire, soit pour l’utiliser comme relais pour
réaliser d’autres attaques, je dois pouvoir compter sur leur inconscience des
dangers qui les guettent. Si la dimension sécurité entrait dans l’esprit de mes
victimes potentielles, je passerais beaucoup plus de temps pour que mes
attaques aboutissent et le temps reste mon principal ennemi. Je risque en
effet de me faire pincer et je sais que j’encourre de lourdes sanctions pénales
si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc
rendre ma tâche encore plus difficile et surtout plus risquée.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 4/102
Livre ouvert sur la sécurité
1 LA CYBERCRIMINALITE..................................................................................................................................8
1.1 LES MENACES, ......................................................................................................................................................8
1.2 LES VULNERABILITES ............................................................................................................................................9
1.2.1 Les faiblesses du Web.......................................................................................................................... 9
1.2.2 Les faiblesses de la messagerie ........................................................................................................ 10
1.3 LES ATTAQUES ....................................................................................................................................................10
1.3.1 Le vol de données .............................................................................................................................. 10
1.3.2 Les accès non autorisés ..................................................................................................................... 10
1.3.3 Les dénis de services ......................................................................................................................... 11
1.3.4 Les attaques sur la messagerie.......................................................................................................... 11
1.3.5 Les attaques sur le Web ..................................................................................................................... 11
1.3.6 Les attaques par système d’exploitation ............................................................................................ 12
1.3.7 Les attaques combinées..................................................................................................................... 12
1.4 FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE, ................................................................................12
1.4.1 Face au virus Mydoom.A .................................................................................................................... 12
1.4.2 Les logiciels espions........................................................................................................................... 14
1.5 LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS,.......................................................................15
1.5.1 Les hoax ............................................................................................................................................. 15
1.6 LES MENACES SUR LES POSTES NOMADES ...........................................................................................................15
1.7 LE CAS DU RESEAU SANS FIL............................................................................................................................16
1.7.1 La "révolution" radio............................................................................................................................ 16
1.7.2 Les préoccupations de l’Administrateur Réseau ................................................................................ 18
1.7.3 Risques et attaques ............................................................................................................................ 19
1.8 L’INGENIERIE SOCIALE ........................................................................................................................................23
1.9 LE CYBER RACKET ..............................................................................................................................................24
1.9.1 La prolifération des risques................................................................................................................. 25
1.9.2 Les approches .................................................................................................................................... 25
1.9.3 Un exemple......................................................................................................................................... 25
1.9.4 Les règles à suivre.............................................................................................................................. 26
2 LES CONTRE-MESURES ET MOYENS DE DEFENSE ...............................................................................27
2.1 LES FIREWALLS BASTION ...................................................................................................................................27
2.1.1 Les paramètres pour filtrer les données ............................................................................................. 28
2.1.2 A quel niveau du paquet IP le filtrage doit-il se situer ? ..................................................................... 28
2.1.3 Le masquage des adresses IP du réseau interne.............................................................................. 29
2.1.4 Les zones démilitarisées .................................................................................................................... 29
2.1.5 Firewall logiciel ou firewall matériel ? ................................................................................................. 29
2.1.6 En parallèle ou en série ? ................................................................................................................... 30
2.1.7 Sous quel système d’exploitation ? .................................................................................................... 30
2.2 LE FIREWALL APPLICATIF....................................................................................................................................30
2.3 LE FIREWALL PERSONNEL ...................................................................................................................................30
2.4 L’AUTHENTIFICATION FORTE, .............................................................................................................................31
2.4.1 L’authentification et la chaîne de sécurisation.................................................................................... 31
2.4.2 Le rôle de la carte à puce dans l’authentification ............................................................................... 32
2.4.3 Exemples actuels d’utilisation de carte à puce................................................................................... 33
2.4.4 Conclusion .......................................................................................................................................... 33
2.5 LE CHIFFREMENT, ...............................................................................................................................................34
2.6 LA STEGANOGRAPHIE .........................................................................................................................................34
2.7 LES VPN.............................................................................................................................................................35
2.7.1 Les VPN IPSec, .................................................................................................................................. 36
2.7.2 Le VPN-SSL ou l’accès distant sécurisé nouvelle génération............................................................ 41
2.7.3 VPN-SSL ou l’accés au réseau d’entreprise ...................................................................................... 45
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 5/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 6/102
Livre ouvert sur la sécurité
6.3.2 Fondamentaux.................................................................................................................................... 78
6.3.3 Des principes fondateurs .................................................................................................................... 78
6.3.4 L’organisation dans le cadre politique .......................................................................................... 80
6.3.5 Une Charte et quatre politiques .......................................................................................................... 81
6.3.6 Des choix essentiels ........................................................................................................................... 82
6.3.7 Synthèse ............................................................................................................................................. 85
6.4 LES RESPONSABILITES ET LES ACTEURS DE L’ENTREPRISE, .................................................................................85
6.5 EXTERNALISER OU INTERNALISER ?....................................................................................................................85
6.6 LE CALCUL DU RETOUR SUR INVESTISSEMENT DE LA SECURITE (ROI) ...............................................................85
7 LES CERTIFICATIONS.....................................................................................................................................86
7.1 LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) ....................................86
7.2 L'ISO17799.........................................................................................................................................................86
7.3 L'ISO 21827 : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE .............................................................86
7.3.1 Historique............................................................................................................................................ 86
7.3.2 La structure du SSE-CMM(®) - ISO 21827:2002 ............................................................................... 87
7.4 LA CERTIFICATION AUX ETATS UNIS ...................................................................................................................88
7.4.1 Le NIAP US......................................................................................................................................... 89
7.4.2 Le DCA ............................................................................................................................................... 89
7.4.3 La création de l’ENISA Européenne................................................................................................... 90
8 LA VEILLE SECURITE .....................................................................................................................................91
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 7/102
Livre ouvert sur la sécurité
1 LA CYBERCRIMINALITE
Partie prise en charge par Olivier Caleff (Apogée Communications) / Jean-Philippe Bichard (NetCost&Security)
Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et
l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement
entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et
cyber-mafias…). Cet attentat dramatique a clairement montré que ce n'était ni le nombre,
ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l’on place en
elle. Vous le savez, confiance et certification marchent ensemble.
Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que
de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le
domaine militaire que civil. "Aujourd'hui la France n'avance dans les NTIC que sur la pointe des
pieds par rapport aux avions et aux chars" a déclaré aux Echos Paul Ivan de Saint Germain ancien
directeur de recherche au ministère de la Défense.
Dès qu’un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de
nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs
voire même à une perte totale des fichiers systèmes, avec impossibilité de « rebooter » son PC.
Quand l’utilisateur se connecte sur l’Intranet de sa société, ce réseau est automatiquement sujet à
des menaces pouvant porter atteinte à l’intégrité, et même à l’existence des informations et aux
applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si
l’utilisateur connecté à son Intranet, a aussi accès simultanément à l’Internet, les menaces sont
multipliées tant dans leur nombre que dans leur diversité.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 8/102
Livre ouvert sur la sécurité
Nous ne pouvons rien contre l’existence de ces menaces, qui sont liées à la nature humaine et à la
nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le
réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se
concrétiser par des attaques réussies.
Contre les vulnérabilités, heureusement pour l’utilisateur, pour son poste de travail et pour les
réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les
explorer. Mais les outils ne sont efficaces qu’intégrés dans une politique de sécurité connue et
librement acceptée par l’entreprise ou la collectivité, car on ne le répétera jamais assez, ce n’est pas
le réseau qui est dangereux, c’est bel et bien l’utilisateur, parfois de manière consciente mais aussi
souvent sans le vouloir et sans même le savoir.
Les menaces sont bien réelles. Pour se protéger contre elles, puisqu’on ne peut les éliminer, il faut
les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à
ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l’entreprise
cible.
Il n’est pas possible de se prémunir contre toutes les menaces, donc il n’est pas crédible de se croire
hors d’atteinte de toute attaque. Heureusement les informations et les applications résidant dans
votre réseau et dans vos postes de travail n’ont pas toute la même valeur stratégique pour
l’entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information
a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l’endroit où les
informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon
équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût
qu’induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit,
pour chaque domaine d’information, pour chaque application, il y a un seuil au-delà duquel, il n’est
pas rentable d’investir plus pour protéger une information dont la perte causerait un préjudice
inférieur au coût des solutions de sécurité mises en place.
Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une
information dont la perte serait sans commune mesure avec le coût de la solution de protection de
cette information.
Par son étendue, sa richesse de contenu et sa simplicité d’utilisation, l’Internet est une mine
d’informations pour les entreprises et un média sans précédent pour faire connaître les informations
mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l’Internet,
l’utilisateur peut accéder à des millions de pages Web, et peut, à l’aide de portails et de moteurs de
recherche, obtenir l’information qui lui est nécessaire dans le cadre de son travail, au moment où il
en a besoin (caractéristiques d’un produit, liste de prix, conditions de vente, contacts, plan
d’accès…)
1.2.1.1 Les cookies
Le Web est ainsi une ressource devenue indispensable pour la productivité d’une
entreprise, mais qui n’est pas sans dangers. Avec les pages Web, on récolte souvent à
son insu, ces fameux cookies. Un cookie est un petit document texte, amené, et exploité
par une page Web, lors de sa lecture, qui réside sur votre disque dur et qui renseigne le
serveur Web sur votre identité, sur vos commandes, sur vos habitudes. Faut t’il les accepter,
sachant que si on les refuse, la navigation Web sur certains sites peut devenir difficile, voire
impossible ? Quels en sont les dangers, que dit la réglementation européenne ? Quels sont les outils
pour éventuellement les détruire ?
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 9/102
Livre ouvert sur la sécurité
Par où passe le voleur moderne, dans ce monde où l’information est devenue le bien le plus
précieux d’une entreprise ? Et bien par le modem de votre PC portable ou par le contrôleur Ethernet
de votre poste de travail fixe, qui branché sur le réseau de votre entreprise, met celui-ci à portée du
hacker et se trouve ainsi en grave danger. Mais le hacker n’est le plus souvent pas seul en cause.
Plus de 50% d’attaques réussies bénéficient d’une complicité à l’intérieur de l’entreprise. L’employé
est-il pour autant un indélicat potentiel ? Parfois oui, par esprit de vengeance ou par intérêt
inavouable, mais le plus souvent par manque de maturité vis à vis du problème de la sécurité. Si on
lui demande, par téléphone, au nom de son responsable, ou du responsable système, de fournir son
login et son mot de passe, parce qu’il y a un besoin urgent de le connaître pour mettre à jour les
postes de travail à distance avec un nouvel utilitaire indispensable, pensez-vous que tous réagiront
de manière professionnelle, en refusant de les donner ?
Et on voit alors, par exemple, la liste des salaires d’une entreprise publiée à l’extérieur, les dossiers
médicaux et autres renseignements des plus confidentiels dévoilés au grand public. L’employé
détenteur de ses données nominatives donc confidentielles et le chef d’entreprise peuvent alors être,
à juste titre inquiets car ils sont responsables devant la loi de la protection des données
confidentielles qu’ils détiennent, et se doivent de les protéger.
On entend souvent qu’entre le droit et l’Internet existe un grand vide juridique. Il n’en est rien, et le
chapitre 3 traite de ce sujet d’un point de vue juridique.
Pour offrir ou refuser à un utilisateur l’accès au réseau, il convient bien entendu d’authentifier cet
utilisateur afin de contrôler si la politique de sécurité de l’entreprise lui accorde le droit d’y accéder.
La solidité d’un système de protection est toujours celle de son maillon le plus faible, et souvent ce
maillon c’est précisément l’authentification. Il faut savoir que l’authentification d’un individu par son
mot de passe n’offre aucune garantie réelle de sécurité, surtout si ce mot de passe est re-jouable,
encore plus s’il n’expire pas dans le temps, et davantage encore si le mot de passe est laissé au
libre choix de l’utilisateur. De toute manière les mots de passe transitent en clair sur le réseau où ils
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 10/102
Livre ouvert sur la sécurité
peuvent être facilement lus. Il existe aussi des utilitaires qui récupèrent les mots de passe sur les
disques pour essayer de les déchiffrer et ce n’est alors qu’une question de temps pour y parvenir.
Donc avant d’accorder une permission, il faut s’assurer que le bénéficiaire de cette permission est
bien celui qu’il prétend être, sinon il aura accès aux informations d’une autre personne, et le vol de
données potentiel sera difficilement identifiable puisque la personne autorisée semblera les avoir
prises.
Il n’est pas indispensable de chercher à pénétrer un réseau pour le mettre hors d’état, il suffit de le
saturer. Quoi de plus facile, avec un programme adapté, d’envoyer vers un serveur de messagerie
des milliers de emails par heures, ou de faire des centaines de milliers d’accès vers un serveur web,
uniquement pour monopoliser la bande passante et les ressources des serveurs, afin de les rendre
inaccessibles.
Mais l’assaillant sera découvert puisqu’il est facile de déterminer d’où viennent les attaques, pensez-
vous ? Non, même pas, car les attaques sophistiquées en dénis de service utilisent, en général, des
serveurs relais tout à fait honnêtes mais investis le temps du forfait, car manquant des sécurités
indispensables. Et il est alors plus difficile de remonter à l’origine des attaques. C’est ainsi que des
serveurs très sollicités dans le monde internet, comme yahoo, et même comme des serveurs
principaux de noms de domaines, qui constituent le talon d’Achille de l’Internet, ont cessé
virtuellement d’exister sur le net, durant quelques heures, au grand émoi de leurs centaines de
milliers d’utilisateurs quotidiens. D’autres serveurs non moins sérieux ont constitué les bases
avancées de ces attaques. Ce qui est arrivé sur ces serveurs, peut aussi arriver à vos serveurs sans
dispositif de protection, ou vos serveurs peuvent servir de relais d’attaque. Vous serez alors
responsables, bien que non coupables ou du moins inconsciemment non coupables, donc vous
pourriez être inquiétés par la loi.
Tout mél ouvert peut mettre en péril votre poste de travail et le réseau de l'entreprise et la
messagerie, échange le plus utilisé sur l'Internet constitue une menace grandissante pour les
réseaux d'entreprise. Les méthodes d'attaques ou de simple nuisance sont multiples.
Parmi les attaques les plus classiques citons :
Le mail bombing, tir de barrage contre votre boîte à lettres qui bloque vos ressources avec
pour but de causer un déni de service.
Le mass mailer qui crée à votre insu, par rebond sur votre boîte à lettres, des chaînes
maléfiques de e-mails, à votre nom, vers les destinataires de vos listes de
messagerie. Destinataires avec qui vous ne serez plus copains après.
Le spamming, véritable harcèlement électronique, mais sans mauvaises intentions en
principe, qui noie vos messages importants dans une forêt de messages non sollicités et dont
les contre-mesures aboutissent à supprimer des messages honnêtes et importants en même
temps que les spams.
1.3.4.1 Les pourriels (SPAM)
Partie prise en charge par Mahmoud Chilali (chilali@chilali.net)
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 11/102
Livre ouvert sur la sécurité
1.3.7.1 Le phishing
Le phishing, la plus actuelle des menaces, repose sur trois impostures
et sur votre naïveté (nous sommes plus de 700 millions de pigeons
potentiels connectés sur l'Internet).
1. Envoi de l'hameçon : vous recevez un e-mail qui à l'air de venir d'un
destinataire de confiance, mais provient en réalité de l'attaquant.
2. Attente que ça morde : le e-mail vous demande de cliquer sur un
hyperlien qui vous dirige sur un site Web qui a l'air d'être celui d'un
site de confiance, d'après son adresse et le look de la page
affichée. C'est en réalité celui de l'attaquant.
3. Le site Web de l'attaque par phishing, sur lequel vous emmène la
deuxième imposture, vous demande, pour préparer la troisième
imposture, celle qui fait mal, d'entrer des renseignements tels que votre couple login et mot de
passe, vos coordonnées bancaires, votre numéro de carte de crédit... Avec ces renseignements,
comme l'attaque est en général à but lucratif, l'attaquant usurpe votre identité, en utilisant les
renseignements que vous lui avez aimablement fournis, pour vider votre compte bancaire ou
attaquer notre réseau.
1.3.7.2 Le panaché
Citons maintenant la combinaison redoutable entre toute, fléau des temps modernes qui arrive par la
messagerie. C 'est le quartet : spam + mass mailer + ver + phishing, le tout simultanément. Le
ver est là pour installer un logiciel espion, un cheval de Troie ou une porte dérobée sur votre poste
de travail, pour exploitation ultérieure. Par exemple le ver Bugbear.B, apparut en 2003 et véhiculé
par la messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active
automatiquement si vous contactez l'une des milliers de banques, dont plusieurs françaises,
contenues dans sa liste. Il envoie ensuite l'intégrale des échanges électroniques, entre vous et avec
votre banque, à on ne sait qui.
1.4 FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE,
Partie prise en charge par Alexandre le Faucheur
Partie traitée provisoirement par Gérard Péliks (EADS)
On ne présente plus la menace des virus, des vers et autres codes malicieux, tels
que ILOVEYOU, Nimda et très récemment Bugbear et chaque jour apporte sa
moisson de nouvelles menaces, parfois de nouvelles catastrophes, souvent de
fausses alertes « les hoax ».
L’utilisateur qui a subit une perte de données qui lui étaient indispensables, et qui a
transmis à son insu, l’infection à tout le carnet d’adresses de sa messagerie, où
figurent les adresses email de ses clients, de ses fournisseurs et de ses partenaires comprend
immédiatement que les menaces ne sont pas que pour les autres, et que les dangers dont il apprend
l’existence sur l’Internet et dans la presse sont un risque pour lui-même qu’il convient de considérer
avec sérieux.
Cette menace, très visible, sournoise et de plus en plus sophistiquée, a donc eu au moins le mérite
de motiver l’utilisateur sur la nécessité de se protéger des dangers du réseau, mais les virus sont
loin d’être la seule menace qui peut empoisonner l’existence de l’utilisateur et détruire des
applications sur le réseau.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 12/102
Livre ouvert sur la sécurité
En ces jours mémorables qui ont terminé le mois de janvier et débuté celui de février 2004, il était
difficile de passer à travers les tentatives des virus Mydoom A et B pour infecter votre poste de
travail. Un matin, en ouvrant ma messagerie, j’ai trouvé parmi les e-mails reçus quelques-uns dont la
provenance m’était inconnue. Ils ne m’étaient adressés ni par des clients, ni par des partenaires ou
des fournisseurs, et ce n’étaient pas non plus des newsletters auxquelles je suis abonné.
Mon premier sentiment fut de penser qu’il devait s’agir de spams, ces messages non sollicités
envoyés en nombre. Mais c’était curieux car notre entreprise a mis en œuvre un filtre anti spams très
efficace. De plus les titres des messages « hello », « hi » ou carrément des caractères aléatoires
dont l’assemblage ne constituait pas des mots, au moins en français ou en anglais, m’inspirèrent
l’idée qu’il devait s’agir de mails porteurs de virus ou de vers. Aussi les ai-je effacés sans les lire, et
sans aucuns regrets car je ne montre aucune pitié envers les quelques spams qui réussissent à
tromper notre filtre.
Mais au cours de la journée j’ai reçu d’autres e-mails dont les titres m’étonnèrent. Il semblait que des
messages que j’avais envoyés me revenaient avec un message d’erreur parce qu’ils n’avaient pas
pu atteindre leurs destinataires. Les titres des messages étaient du genre « Mail transaction failed ».
Là j’étais impliqué, qu’avais-je envoyé qui n’avait pas atteint son destinataire ? Le document que
j’étais censé avoir envoyé était-il important ? Devais-je renvoyer le e-mail non parvenu ? Sans
hésiter j’ai ouvert le premier de ces e-mails dont le destinataire m’était totalement inconnu.
Qu’importe, peut-être la pièce jointe allait-elle m’éclairer sur l’identité de ce destinataire car je sais
tout de même ce que j’envoie et à qui !
Au moment de cliquer sur la pièce jointe qui était censée contenir le mail revenu avec mon fichier
attaché, un doute s’empara de mon esprit et mon doigt resta suspendu au-dessus de ma souris. Et
si c’était un piège ? et si c’était un virus ? Avant de concrétiser un clic que je pouvais regretter, je
suis sorti de mon bureau pour demander autour de moi si d’autres avaient remarqué cette bizarrerie
incroyable de Outlook 2000 qui retournait, parce que non reçus, des messages jamais envoyés !
Devant la machine à café j'ai constaté que j’étais loin d’être le seul à m'inquiéter. Les conversations
allaient bon train, ce matin là, sur ces messages qui revenaient suite à un envoi qui n’avait jamais eu
lieu.
Le risque zéro étant la meilleure des pratiques en pareil cas, j’ai détruit tous ces messages et j’en ai
eu beaucoup d’autres les jours qui suivirent, venant de personnes que je ne connaissais pas, mais
aussi de partenaires, fournisseurs ou clients que je connaissais très bien et qui eux avaient donc
sans doute été infectés.
Ainsi fut en ces jours de virulence extrême mon vécu face au virus Mydoom-A. Ce que j’ai appris
plus tard, c’est qu’en réalité je ne risquais rien car notre anti virus d’entreprise avait très tôt détecté le
virus et remplaçait systématiquement le fichier en attachement des e-mails, contenant la charge «
utile » par un fichier texte qui avertissait que la pièce jointe avait été mise en quarantaine suite au
soupçon d’une attaque virale.
Tirons la principale leçon de cette histoire. La meilleure défense contre vers et virus, de même que
contre d’autres menaces est d’avoir systématiquement, par défaut, un instinct sécuritaire. Mieux vaut
perdre un e-mail, effacé à tort, que perdre ses données et peut-être son réseau. Mieux vaut
s’abstenir de télécharger par le Web un fichier important mais sans origine certifiée que chercher
ensuite ses images et ses fichiers PowerPoint et Word qui auront disparu et toujours au moment où
on en a un besoin indispensable. Si l’e-mail effacé était vraiment très important, l’expéditeur vous
contactera en s’étonnant de n’avoir pas eu de réponse de votre part. Vous ne vous serez pas fait un
ami, mais vous aurez peut être évité d’avoir comme ennemis toutes vos connaissances dont vous
avez entré les adresses e-mail dans vos listes de distribution.
Prenons une analogie : si on vous disait que dans le courrier, celui à base de papier à lettre qui
aboutit dans votre boîte, il pouvait y avoir des lettres piégées et qu’il suffisait pour le prouver de
remarquer tous vos voisins avec des gueules de travers pour ne pas s’en être méfié, ouvririez-vous
sans méfiance les enveloppes dont vous n’êtes assurés ni de la provenance ni de l’expéditeur ? Il
faut réagir de même avec les e-mails. Les virus de ces derniers temps, très médiatisés, vont au
moins présenter l’avantage de faire évoluer les mentalités. Le e-mail ne doit plus être considéré
comme un texte anodin dont la lecture au pire vous fait perdre du temps. Un e-mail qui vous éclate
en plein poste de travail peut marquer la fin de votre système d’information.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 13/102
Livre ouvert sur la sécurité
La deuxième leçon est qu’il est indispensable d’activer un antivirus d’entreprise efficace qui filtre les
échanges entre l’extérieur et votre réseau interne. Il faut aussi sur chaque poste de travail un
antivirus personnel qui filtre les échanges entre votre Intranet et le poste de travail, car on peut
supposer que vous ou quelqu’un sur votre réseau charge sur son poste de travail des fichiers à partir
de CDROM, de disquettes, ou simplement n’est pas aussi attentif que vous face à l’insécurité du
réseau et cet inconscient peut aussi vous envoyer des e-mails à partir de l’intérieur du réseau ?
Analysons ce qu’était ce fameux virus Mydoom. C’est un « mass-mailer », un virus qui, lorsqu’il vous
contamine, se communique automatiquement à toutes les adresses qu’il trouve dans vos listes de
messagerie. Si vous avez reçu de nombreux e-mails contenant ce virus, c’est que votre adresse e-
mail figure dans beaucoup de listes de messagerie d’ordinateurs qui ont été infectés. Comment sait-
on qu’un message reçu contient ce virus ? Par le titre d’abord, qui présente plusieurs variantes : « hi
», « hello » ou carrément comme nous l’avons déjà évoqué « Mail Transaction Failed » ou « Mail
Delivery System ». Ensuite le e-mail, dont le corps du texte parfois contient des caractères unicode,
donc pas toujours lisibles, est accompagné d’une pièce jointe par laquelle le mal arrive. Un
exécutable joint à un message ne doit jamais être exécuté car la présomption de virus est maximale
surtout si l’extension de la pièce jointe est un ".exe". Mais si c’est un « .zip », vous pensez que
l’ouvrir ne vous engage à rien puisque vous allez simplement exécuter votre utilitaire Winzip qui va
vous indiquer si l’extension du fichier attaché est ou n’est pas un « .exe » ? Attention !!! ce virus là,
et sans doute ceux qui suivront, sont très malins. Vous croyez exécuter un « .zip », mais le nom du
fichier « document.zip », par exemple, est suivi de quelques dizaines d’espaces pour se terminer par
… sa vraie extension « .exe » ! Suivant la configuration de votre écran, soit cette extension est
cachée dans la partie non visible de votre écran sur la droite, soit elle n’apparaît que sur la ligne du
dessous et jamais vous n’allez remarquer cette ligne ! Vous n’avez alors plus que vos yeux pour
pleurer sur votre écran qui reste figé, sur le « Ctrl Alt Supr » qui met un temps infini à agir ou sur vos
fichiers perdus !
Mais rassurez-vous, dans le cas de Mydoom-A, chez vous point de fichiers perdus, car
ce n’est pas vous qui êtes visés en réalité, vous n’êtes dans cette histoire qu’un tremplin
malchanceux bien que coupable d’avoir été naïf ou inconscient devant l’insécurité du
réseau. La cible de Mydoom-A, ce n’est pas vous donc, c’est SCO, cet éditeur de
logiciel de la lointaine côte ouest des Etats Unis qui affirme avoir des droits sur le
système UNIX, se mettant à dos en particulier la communauté des logiciels libres. Mydoom-A installe
sur les postes de travail une porte dérobée qui lui permet, à une date déterminée, d'utiliser votre
poste contaminé pour bombarder de requêtes le serveur Web de SCO, le saturer et le faire tomber.
L’attaque s’est déclenchée le 1er février. Le serveur Web de SCO a été agressé ce jour là par
plusieurs centaines de milliers de postes de travail qui le sollicitaient sans relâche, et SCO a préféré
retirer son serveur Web du paysage Internet. Si votre poste de travail était contaminé et que vous
étiez connectés sur le réseau ce 1er février, vous avez peut-être participé à votre insu à cette curée.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 14/102
Livre ouvert sur la sécurité
Parfois c’est bien dû à un logiciel espion, qui tapi au fond de votre disque, se réveille pour envoyer à
l’extérieur les renseignements confidentiels que votre disque contient. Aujourd’hui, alors que se
déchaîne la guerre électronique, où le renseignement est roi, la menace omniprésente sur le réseau,
et les hackers malveillants ou professionnels toujours plus nombreux, il ne faut plus négliger ce type
de menace.
Vous doutez encore que votre disque puisse contenir un ou plutôt plusieurs logiciels espions ?
Téléchargez et installez le logiciel gratuit ad-aware qui se trouve sur le web www.lavasoft.de
(rassurez-vous, celui-ci ne contient pas de logiciels espions, et passe pour être le meilleur des
logiciels pour trouver et éradiquer de votre disque ce genre de menaces). Vous serez fixé ! et peut-
être après éradication de ces logiciels espions, votre poste de travail offrira de meilleures
performances.
Déjà à l’intérieur de l’entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire
de l’attacher à un point fixe par un cordon d’acier, et d’utiliser l’économiseur d’écran quand vous
vous absentez provisoirement de votre bureau. Que dire alors des risques qu’il encourt quand vous
le sortez de l’entreprise !
Justement parlons-en.
Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année
en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles
par exemple des PC portables, paraît-il, disparaissent. Ce n’est pas toujours l’œuvre
de simples voleurs intéressés par la valeur marchande du PC le plus souvent très
inférieure à celle des informations stockées sur son disque dur. J’ai connu une
situation, lors d’un salon, il y a quelques années, où la paroi de la remise d’un stand avait été forcée
durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient
disparu. Au-delà de la gène évidente pour leurs propriétaires, l’un des portables contenait le
planning et l’évolution des fonctionnalités des produits conçus et commercialisés par l’entreprise et
les carnets d’adresses des partenaires et des clients. Que pouvait espérer le
propriétaire de mieux qu‘un miracle fasse qu’une météorite tombât sur son PC volé en
détruisant son disque dur avant que son contenu ne soit exploité ! Mais la probabilité
pour que ce miracle se produise n’est pas bien grande. Ajouté à cela, durant la journée,
des coffres de voitures avaient été forcés sur le parking du salon et un autre PC
portable avait été dérobé !
Ce n’est pas sur l’espoir d’un miracle que doit reposer la sécurité des données contenues dans les
postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état
d’esprit, une politique de sécurité, et des outils correctement paramétrés.
Durant la connexion votre poste nomade peut présenter un danger pour l’intégrité du système
d’information de votre Intranet car il est exposé aux attaques dites « par rebond » qui permettent à
un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour
arriver directement dans l’Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade
des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre
VPN est activé, le poste nomade n’accepte aucune connexion autre que celle arrivant par le VPN.
Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l’Internet.
Quand vous n’avez plus besoin d’être connecté à l’Intranet ou simplement quand vous quittez
provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 15/102
Livre ouvert sur la sécurité
Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair
ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences
catastrophiques pour notre système d’information. Ce n’est pas une raison, bien sûr pour relâcher
votre vigilance.
Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé
mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers
échappent évidemment au contrôle de l’antivirus de l’entreprise. Une fois le poste nomade connecté
à l’Intranet, il peut infecter son système d’information. Il est indispensable, avant tout chargement de
fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste
nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut
pas prendre le risque de le charger sur votre disque dur.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 16/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 17/102
Livre ouvert sur la sécurité
L’attachement
C’est l’opération par laquelle le point d’accès et le poste mobile se reconnaissent mutuellement en
tant que constituants d’un même réseau. En effet, si plusieurs réseaux se
chevauchent, il est bon de s’assurer que l’on se connecte sur le sien et non sur
celui du voisin.
L’attachement joue en gros le rôle de la prise sur un réseau filaire. Il est basé
sur l’échange d’un identifiant réseau, SSID pour un réseau Wi-Fi.
L’authentification
L’authentification permet de s’assurer de l’identité et des droits de l’usager pour lui
accorder le droit de se connecter, en regard de la politique d’utilisation du réseau. Elle est
généralement réalisée par un mécanisme défini par le protocole et peut aussi mettre en
œuvre des solutions additives basées sur des protocoles d’authentification plus rigoureux.
La phase d’authentification peut également être supprimée dans des réseaux qui, tels les
hotspots, ont pour vocation de recevoir tout utilisateur qui en fait la requête. Elle doit alors se faire au
niveau du portail Web (niveau applicatif).
La communication
Une fois l'utilisateur authentifié et autorisé, et donc associé à une catégorie, toutes les transactions
qu'il va opérer au travers du WLAN sont encore soumises à un niveau élevé de contrôle et de
surveillance.
Il s'agit d'une part de se protéger contre les écoutes indélicates (eavesdropping), mais
aussi potentiellement contre les attaques véhiculées par le trafic lui-même.
La protection contre les premiers risques consiste à crypter les communications, celle
contre les seconds consiste à contrôler le contenu du trafic contenu à l'aide d'un
firewall et/ou d'un IDS (Intrusion Detection System) orienté sans-fil.
Le cryptage
Le protocole prévoit un chiffrement mis en œuvre sur les trajets radio de l’information,
c’est à dire entre les points d’accès et les postes mobiles. Dans un réseau Wi-Fi, le
chiffrement est réalisé par le WEP ou l’AES. Le chiffrement peut également être
inhibé, notamment dans les hotspots.
Il est également possible d’appliquer un chiffrement de bout en bout qui se superpose au chiffrement
radio, au moyen d’un protocole de niveau applicatif (SSL) ou au niveau réseau (IPSec).
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 18/102
Livre ouvert sur la sécurité
En entreprise, la connexion d'un poste Client au réseau Wi-Fi est considérée comme celle d’un
poste nomade via modem téléphonique, donc au travers d'une infrastructure non-sûre. On applique
donc des procédés très comparables : authentification forte de la connexion et cryptage des
communications.
Un certain nombre de compléments fondamentaux est apporté par des solutions spécialisées,
comme des filtres ACL, un firewall, un IDS, parallèlement à la détection de tout événement pouvant
être la prémisse d'une attaque Wi-Fi.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 19/102
Livre ouvert sur la sécurité
L’Intrusion Réseau
C'est une des attaques les plus critiques. Une intrusion réseau vise à prendre le contrôle des
ressources réseau d'une entreprise.
Les protections contre ce risque sont les systèmes IDS dédiés au Wi-Fi, qui vont chercher à corréler
plusieurs évènements douteux pour déterminer si le réseau ou un système particulier est en train de
subir une intrusion
1.7.3.3 Falsification des points d’accès
Le Fake AP (faux AP)
Le faux point d’accès (Fake AP) n'est pas un véritable AP, mais une station du réseau.
Des logiciels (généralement sous Linux) permettent de faire apparaître l'interface Wi-Fi d'un poste
client comme un point d’accès et de configurer son SSID et adresse MAC dans un but
d'impersonation.
Le PC du hacker joue le rôle de point d’accès en usurpant le SSID du réseau et peut donc récupérer
les connexions Wi-Fi des utilisateurs :
• pour se livrer à une attaque man-in-the-middle en
reproduisant donc au fil de l'eau les trafics vers
le réseau WiFi, et récupérer ou déduire les
données de sécurité,
• pour récupérer les mots de passe sur une page
Web identique au serveur d'authentification (cas
d'une authentification Web),
• ou simplement pour pirater les PC clients s'il n'y a aucune sécurité.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 20/102
Livre ouvert sur la sécurité
Les pratiques de Wardriving utilisées par les hackers qui se déplacent avec un poste mobile à
l'écoute des réseaux radio pour les repérer et les signaler sur une carte sont bien connues.
L'association à un système GPS permet de dresser une cartographie des
points de présence de réseaux radio.
La pratique du Warchalking consiste à matérialiser la présence de ces
réseaux en taggant des signes convenus dans les rues :
Les équipements nécessaires se trouvent aisément dans le commerce et
des logiciels libres de Wardriving sont disponibles sur l’Internet. Certaines
listes de hotspots trouvées sur l’Internet ne donnent pas que les hotspots
« officiels » des cafés et restaurants, mais incluent également des sites
victimes du Wardriving.
Des équipements sont capables de détecter l'emploi des applications de
Wardriving les plus répandues (Netstumbler, Wellenreiter et AirSnort sous
Linux) grâce à leur "signature" spécifique, et d'envoyer un message
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 21/102
Livre ouvert sur la sécurité
d'avertissement à l'administrateur du réseau. A ce stade aucune agression n'a encore été menée
contre le réseau, mais il est indispensable de savoir qu'il est sous "observation" extérieure.
Le Warflying
L’emploi d’antennes omnidirectionnelles pour les AP Wi-Fi permet une excellente propagation de
ceux-ci à la verticale, d’autant plus excellente qu’il ne s’y rencontre guère d’obstacles. Les hackers
les mieux équipés pratiquent ainsi le Warflying depuis des hélicoptères ou de petits avions volant à
1500 – 2500 pieds.
1.7.3.6 Récupération des informations sensibles du réseau
Par « informations sensibles », on entend les informations qui vont permettre au hacker de se
connecter au réseau attaqué, à recueillir en clair les informations qui y circulent, d’introduire lui-
même ses informations sous forme de virus, de vers, voire de données erronées ou encore de
détruire des données.
L’intrusion par sniffing
Le principe est le même que sur les réseaux Ethernet et utilise un sniffer qui capture les messages
d’ouverture de session pour récupérer le nom et le mot de passe. Il suffit au sniffer d’être dans la
zone de couverture radio du réseau, soit dans un rayon d’une centaine de mètres autour d’un point
d’accès. Munis d’un amplificateur de signal (une simple boite de biscuits peut faire l’affaire), les
sniffers ont la possibilité de travailler avec des signaux particulièrement faibles, ce qui leur permet
d’augmenter cette distance. L’écoute étant passive, l’attaquant a peu de chances de se faire
remarquer.
La zone de couverture du réseau doit être comprise dans son sens le plus large. Il ne s’agit pas
seulement de la couverture fournie par les points d’accès, mais aussi de la zone dans laquelle
rayonnent les terminaux raccordés au réseau, même éloignés. Ainsi, un usager travaillant dans un
hotspot d’aéroport loin de son entreprise devient une cible potentielle pour un hacker et l’Intranet de
la victime peut être alors attaqué par rebond depuis son poste nomade. L’attaquant peut ensuite se
connecter comme un utilisateur légitime (spoofing) puis envoyer toutes sortes de commandes, virus,
etc. sur le réseau.
Un moyen plus pernicieux consiste à forcer la déconnexion abusive d'un client pour pouvoir déduire
les éléments d’authentification et de chiffrement en observant la phase de reconnexion qui s'ensuit.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 22/102
Livre ouvert sur la sécurité
L’ingénierie sociale (ou « social engineering ») est une pratique qui consiste à exploiter le maillon
souvent le plus faible d’un système ou d’un processus de sécurité : le « facteur humain ».
Nous allons présenter quelques techniques couramment utilisées par ces piratages qui préfèrent
« hacker » des humains plutôt que des systèmes informatiques.
On peut distinguer deux types d’attaques en ingénierie sociale :
l’attaque ciblée sur une entreprise ou un individu – Ce type d’attaque repose sur la
connaissance précise d’une organisation, des pratiques spécifiques à des métiers dans une
volonté déterminée de nuire ou de tirer un profit précisément identifié.
l’attaque de masse, sans cible spécifique (bien qu’il puisse exister des cibles génériques :
banques, organisme de défense nationale) – Ce type d’attaque est basé sur des
comportements humains et/ou internautes bien connus (lettre pyramidale, pièce jointe pour
adultes, usurpation d’identité non détectée)
Avant toute attaque de type ingénierie sociale, l’agresseur va chercher à se renseigner sur les
organisations et/ou les personnes qui sont ou seront ses cibles. Il va utiliser des attaques de type
rebond : une information disponible permet d’en obtenir une autre, etc. Ces informations sont
obtenues soit par une « attaque humaine », soit par une « attaque informatique » qui utilise de la
technologie pour tromper une personne (exemple : site factice Ebay). Elles permettent entre autre
d’humaniser la relation avec la victime potentielle en obtenant des information de « proximité » : date
et lieu de naissance, club de sport, marque du véhicule, nom de la petite amie, etc.
Une fois ces informations glanées et les victimes identifiées, voici quelques techniques et méthodes
bien connues que va mettre en œuvre l’agresseur :
L’approche directe – L’agresseur va entrer en relation avec sa victime et lui demander
d’effectuer une tâche particulière, comme lui communiquer un mot de passe. Quand bien même
le taux d’échec de cette méthode soit important, la persévérance de l’attaquant est souvent
statistiquement couronnée de succès.
Le syndrome « VIP » - L’attaquant va se faire passer pour une personne très importante et
légitime (directeur de l’entreprise, officier de police, magistrat, etc.) pour faire pression sur sa
victime et par exemple demander un accès à distance au système d’information parce qu’il a un
urgent besoin de remettre un document confidentiel au Président
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 23/102
Livre ouvert sur la sécurité
L’utilisateur en détresse – L’attaquant prétend être un utilisateur qui n’arrive pas à se connecter
au système d’information (stagiaire, intérimaire). La victime croit souvent rendre service à cette
personne fort sympathique et dans l’embarras.
Le correspondant informatique – L’agresseur se fait passer pour un membre de l’équipe du
support technique ou pour un administrateur système qui a besoin du compte utilisateur et du
mot de passe de sa victime pour effectuer par exemple une sauvegarde importante.
L’auto-compromission (RSE – Reverse Social Engineering) – L’attaquant va modifier
l’environnement de sa victime (ordinateur, bureau physique) de manière aisément détectable
afin que ce dernier cherche de l’aide en la personne de l’agresseur. Le contact s’effectue via
une carte de visite laissée sur place, un courrier opportun ou un coup de fil anodin.
Le courrier électronique – Deux types d’attaque sont possibles : le code malicieux (virus, vers)
en pièce jointe qu’il est nécessaire d’ouvrir (hors exception) pour l’activer ou les hoax.
Le site Internet – Un site web de type jeu/concours peut demander à un utilisateur de saisir son
adresse de courrier électronique et son mot de passe. Statistiquement, le mot de passe ainsi
donné est très proche, voire identique, au mot de passe de l’utilisateur sur son système
d’information.
Le vol d’identité – L’attaquant a obtenu suffisamment d’information sur la victime ou une des
relations de la victime pour s’identifier et s’authentifier. Il lui suffit alors d’endosser cette nouvelle
identité.
Au cours de ces dernières années, cet art de la persuasion s’est transformé quelquefois en art de la
menace. Certains attaquants ont eu recours à des méthodes proches du chantage ou de l’extorsion,
en menaçant par exemple leur victime de les dénoncer à leur patron suite à des échanges de
fichiers à caractères pornographiques.
Malgré le sentiment commun « ça n’arrive qu’aux autres », il n’est pas si facile de se protéger contre
des attaques de types ingénierie sociale. Les agresseurs sont souvent très experts dans leur
démarche, jouent sur le registre de l’entraide et de l’humain, la plupart du temps sans être agressif,
ont appris à improviser, à faire appel aux meilleurs sentiments de leurs victimes et surtout
construisent souvent une première relation inter-personnelle avant de rechercher réellement à
soutirer des informations.
Quelques bonnes pratiques de sensibilisation permettent toutefois de réduire les risques.
Tout d’abord il faut informer sur les méthode utilisées, puis il peut être nécessaire de fournir
quelques lignes directrices pour les contrer :
La politique de sécurité de l’information doit clairement définir les rôles et responsabilités de
chacun, comme par exemple les droits d’accès et les droits de savoir des équipes de support
technique.
Les responsables doivent accepter de limiter leurs périmètres au « besoin de savoir » et cette
limitation doit être connue de tous dans l’entreprise.
La politique de nommage des adresses de courrier électronique, des applications, des rôles et
plus généralement la politique de diffusion des annuaires de l’entreprise doit être renforcée et
contrôlée vis à vis de l’extérieur.
Les utilisateurs doivent prendre l’habitude d’identifier et d’authentifier les personnes, les messages
ou les applications qui leur demandent d’effectuer certaines tâches sensibles. Une procédure ad-hoc
doit être aisément accessible ainsi qu’une autre permettant d’informer leur administrateur en cas de
doute.
Tout utilisateur de l’Internet doit désormais faire face à une cybercriminalité galopante, terme qui
regroupe l’ensemble des actes de nature délictuelle et criminelle qui sont perpétrés via la Toile. A
l’image de sa grande sœur aînée du monde physique, la cybercriminalité est constituée aussi bien
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 24/102
Livre ouvert sur la sécurité
par les infractions de blanchiment d’argent, de pédophilie, d’usage de faux sur Internet en passant
par l’attaque par déni de service d’un site web ou encore de chantage. Le spectre couvert est large
et l’entreprise tout comme le particulier en sont donc potentiellement victimes.
1.9.3 Un exemple
Par exemple, F-Secure, un éditeur informatique finlandais spécialisé dans la sécurité, a révélé que le
personnel d’une grande université scandinave avait été la cible d’une tentative d'extorsion de ce
genre. « Selon Mikko Hypponen, directeur de recherche chez F-Secure, des membres du personnel
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 25/102
Livre ouvert sur la sécurité
ont ainsi reçu un e-mail, apparemment en provenance d’Estonie, qui indiquait que l’expéditeur avait
découvert plusieurs failles de sécurité dans le réseau informatique et menaçait d’effacer un grand
nombre de fichiers, sauf si les destinataires payaient 20 euros sur un compte bancaire en ligne ». Ce
dernier poursuit et affirme même qu’ « avant, si vous vouliez extorquer de l’argent à des entreprises,
il fallait pirater leur système d’information et les persuader que vous aviez volé des informations.
Maintenant, il n'y a rien d’autre à faire que d’envoyer un e-mail ».
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 26/102
Livre ouvert sur la sécurité
Les noirs
Pion = virus, Tour = porte dérobée, Cavalier = cheval de Troie, Fou = Spam, Roi = le hacker (on note qu’il est ici en échec),
Dame = une punkette tenant une canne à pêche avec un mail à l’hameçon = phishing
Les blancs
Pion = disquette antivirus, Tour = Firewall, Cavalier = VPN, Fou = Cryptage, Roi = la justice, Dame = Pot de miel (royal)
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 27/102
Livre ouvert sur la sécurité
rédigent.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 28/102
Livre ouvert sur la sécurité
niveau applicatif et peut les recomposer en des paquets conformes à la politique de sécurité de
l’entreprise, avant de transmettre le résultat à l’utilisateur.
Par exemple dans un flux web, le proxy HTTP est capable d’enlever des pages web les ActivesX, les
applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de limiter la
taille des fichiers attachés aux emails, de refuser les attachements de fichiers exécutables et de
bloquer les messages qui, dans leur champ sujet, contiennent les fameux mots I LOVE YOU.
Plus un firewall dispose d’un nombre important de proxies, plus souple et plus complète peut être la
politique de sécurité qu’il implémente. On trouve aussi dans certains firewalls, un proxy générique
qui peut être programmé pour s’adapter à des besoins très spécifiques d’une entreprise.
Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on trouve un niveau intermédiaire
connu sous le nom de « statefull Inspection » où l’état d’un paquet IP entrant est mémorisé pour
pouvoir traiter ce qu’il convient de faire avec le paquet réponse qui revient par le firewall.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 29/102
Livre ouvert sur la sécurité
Après authentification mutuelle des deux extrémités du tunnel, et création du tunnel chiffrant,
l’utilisateur nomade accède, depuis l’extérieur, aux serveurs de son Intranet, qui lui sont autorisés,
avec autant de sécurité que s’il était resté dans son Intranet.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 30/102
Livre ouvert sur la sécurité
Cela constitue toutefois un sérieux danger. Si le poste de travail nomade est attaqué par un hacker
qui prend le contrôle de ce poste à distance, souvent sans que l’utilisateur qui a créé un tunnel,
puisse s’apercevoir à temps de l’agression, une voie royale est offerte à l’attaquant vers les serveurs
de l’Intranet, et tout le réseau privé est ainsi mis en danger.
Pour éviter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum
de sécurité, équivalent à celui d’un firewall personnel. Les fonctions anti-rebond et blocage des flux
entrants d’un tunnel client apportent ce niveau de sécurité.
Le blocage des flux entrants empêche toute tentative de connexion vers le poste nomade. L’anti-
rebond ne permet pas de passer par le poste nomade pour emprunter un tunnel. Sans ces
fonctionnalités, un tunnel offre à l’attaquant un accès direct vers les serveurs de l’Intranet, car le flux
étant autorisé, aucun firewall ne s’inquiéterait de son contenu et le flux étant chiffré, aucune sonde
de détection, placée en amont de la passerelle tunnel constituant l’autre bout, ne pourrait l’analyser
pour réagir à une attaque.
Pour préserver l’intégrité des données sur un disque dur, il est aussi intéressant, même hors période
où des tunnels sont établis entre le poste de travail et l’Intranet, de mettre en œuvre un firewall
personnel qui détectera les agressions. Celles-ci sont fréquentes surtout si le poste de travail reste
longtemps connecté (comme c’est le cas avec des connexions permanentes, avec le câble par
exemple).
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 31/102
Livre ouvert sur la sécurité
quelque chose que l’on sait ou que l’on est. La carte à puce (quelque chose que l’on a), par
exemple, ne devient opérationnelle qu’après présentation d’un mot de passe (quelque chose que
l’on sait) ou vérification d’une empreinte digitale (quelque chose que l’on est.)
La méthode classique d’authentification par nom d’utilisateur et mot de passe est à bannir des
réseaux sécurisés car elle ne met en œuvre qu’un seul des facteurs nommés ci-dessus (quelque
chose que l’on sait) et le mot de passe est généralement aisément devinable (quand il n’est pas
stocké sur le PC.)
Carte à puce, clé USB ou empreinte digitale combinée à un code PIN constituent un moyen
d’authentification beaucoup plus sûr qu’un simple mot de passe.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 32/102
Livre ouvert sur la sécurité
Par ailleurs, l’utilisateur n’a pas à divulguer de mot de passe à un tiers, et le secret partagé avec le
serveur d’authentification lui est inconnu et stocké sur sa carte.
Téléphone portable devenant un dispositif d’authentification en donnant accès à sa carte à puce via un lien Bluetooth, permettant au
poste de travail d’accéder au réseau.
Un autre exemple est l’authentification forte des réseaux virtuels privés à base de clé publique,
utilisant les cartes à puce. L’architecture système de Microsoft Windows permet d’ores et déjà
l’utilisation des cartes à puce comme fournisseur de service cryptographique pour éviter de devoir
mémoriser la clé privée dans la mémoire du poste de travail. En fait, la carte contient la clé privée
dans une zone sécurisée et l’utilise seulement pour des services bien définis. La carte avec la clé
peut être distribuée facilement et de façon contrôlée en évitant toute divulgation inopinée de la clé
privée.
2.4.4 Conclusion
L’authentification forte est un maillon essentiel de la chaîne de sécurité des échanges distants pour
les entreprise. La carte à puce est un vecteur de confiance important dans l’authentification et la
sécurisation des réseaux, auxquelles opérateurs de téléphonie mobile GSM ou 3G font confiance
depuis plus d’une décennie. Elle permet de plus la mise en œuvre simple d’authentifications fortes
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 33/102
Livre ouvert sur la sécurité
pour divers contextes juxtaposés. De ce fait, elle constitue une option technique incontournable pour
l’authentification forte dans le cadre des réseaux d’entreprises.
2.5 LE CHIFFREMENT,
Partie prise en charge par Abdallah Mhamed (INT Evry) et Anne Coat (AQL)
Partie traitée provisoirement par Gérard Péliks (EADS)
Le chiffrement consiste à traiter les données, par une clé de chiffrement qui met en
oeuvre des algorithmes mathématiques qui brouillent ces données à une extrémité
du tunnel, puis à retraiter à l’autre extrémité du tunnel ces données par une clé de
déchiffrement qui les rétablit en clair.
Si la clé de chiffrement est identique à la clé de déchiffrement, le chiffrement est dit symétrique. Si la
clé de chiffrement et la clé de déchiffrement sont différentes, le chiffrement est dit asymétrique.
Le chiffrement symétrique type DES et 3DES est rapide mais le problème est de faire passer, de
manière sécurisée, la clé de chiffrement, d’une extrémité du tunnel à l’autre, sur le réseau non
protégé. A moins que les clés ne résident en dur sur chaque extrémité du tunnel, le danger est de
voir sa clé de chiffrement volée durant son transfert. Il est dangereux de garder longtemps la même
clé de chiffrement, et c’est une bonne idée de la changer souvent, mais il faut alors faire transiter
chaque nouvelle clé sur le réseau non protégé. Cela augmente d’autant plus le danger de voir ces
clés secrètes subtilisées par des individus mal intentionnés, ou au moins non autorisés à les détenir.
Le chiffrement asymétrique dont le plus connu est le RSA offre de moins bonnes performances en
vitesse de traitement mais il ne nécessite pas d’échanger une clé secrète entre les extrémités du
tunnel. L’une des deux clés est publique et le but est même de la diffuser largement. L’autre,
propriété d’un utilisateur, doit absolument rester secrète et il ne doit jamais la communiquer.
Les deux clés asymétriques sont liées par des algorithmes qui rendent impossible, connaissant l’une
des deux clés, de recomposer l’autre. Le couple de clé de chiffrement / déchiffrement se compose
d’une clé privée que l’utilisateur détient et qu’il ne communique à personne, et d’une clé publique qui
n’est pas un secret et dont le but est d’être communiquée à tout le monde. Si la clé privée est utilisée
pour chiffrer un message, il ne sera possible de déchiffrer ce message qu’avec la clé publique
correspondante. Inversement, si une clé publique est utilisée pour chiffrer, il ne sera possible de
déchiffrer qu’avec la clé privée associée.
Dans le cas de la signature d’un message, l’utilisateur chiffre avec sa clé privée. Tous ceux qui
possèdent la clé publique correspondante peuvent déchiffrer le message et sont sûrs que le
message ne peut venir que de celui qui possède la clé privée associée à la clé publique qu’ils
détiennent. Dans le cas du chiffrement d’un message, l’utilisateur chiffre avec la clé publique de son
correspondant et se trouve ainsi certain que seul son correspondant, qui possède la clé privée
associée, pourra déchiffrer le message.
Un réseau privé virtuel combine généralement les deux techniques, une clé symétrique pour chiffrer
/ déchiffrer, et un couple de clés asymétriques pour authentifier mutuellement les deux extrémités du
tunnel et échanger la clé symétrique à travers le réseau non protégé.
Dans le scénario des clés asymétriques, il reste un problème à régler : comment être sûr que la clé
publique que l’on détient est bien la clé associée à la clé privée de son correspondant ? C’est ici
qu’interviennent les certificats et les PKI.
2.6 LA STEGANOGRAPHIE
Partie prise en charge par Olivier Caleff (Apogée Communications) / Alexandre le Faucheur(VALEO)
Partie traitée provisoirement par Gérard Péliks (EADS)
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 34/102
Livre ouvert sur la sécurité
Du grec, Στεγανος (chiffrement), la stéganographie est une technique de dissimulation d’un secret
dans un message en clair. Alors que le chiffrement assure la confidentialité, l’intégrité et
l’authenticité d’un message, il attire aussi immanquablement l’attention des hackers. Un message
caché dans un message en clair (texte, image, son, vidéo) peut par contre transiter sans éveiller les
convoitises, ce qui rend la stéganographie redoutable.
Un VPN est un réseau privé virtuel à recouvrement construit au-dessus de réseaux de transit IP.
L’entreprise étendue et les communautés sont de plus en plus
interconnectées via les réseaux, pour des relations entre des sites distants,
avec des travailleurs à domicile, avec des clients, des fournisseurs, des
partenaires, etc.
Les différents types de VPN identifiés pour répondre aux besoins des utilisateurs sont :
• les VPN de type Intranet pour les communications entre sites d’une entreprise,
• les VPN de type accès distant pour les utilisateurs qui veulent se connecter à distance au
moyen de postes de travail fixes ou mobiles à leur entreprise via un réseau public, filaire
ou sans fil,
• les VPN de type Extranet pour des communications entre une entreprise et ses
partenaires, ses fournisseurs et ses clients.
Les VPN sont utilisés également pour réaliser :
• des VPN administratifs, pour la télé-maintenance de machines ou de services Web
• des VPN voix qui transportent et sécurisent la voix sur des réseaux convergés.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 35/102
Livre ouvert sur la sécurité
Un réseau privé virtuel est donc un tunnel qui s’établit sur un réseau entre deux passerelles. Après
authentification mutuelle entre ces deux passerelles, et échange d’une clé secrète de chiffrement,
chiffre les transactions sortant d’une passerelle, et les déchiffre à l’autre extrémité, à la sortie de la
deuxième passerelle, si la politique de chiffrement l’impose. Entre les deux passerelles peut se
trouver un réseau non protégé, voire un réseau public comme l’Internet. Les paquets IP qui passent
dans le réseau non protégé ne pouvant y être déchiffrés, l’utilisateur peut considérer, durant le
temps de passage des paquets entre les deux passerelles, que ses données ne pourront être lues
par des personnes non autorisées. Donc le temps de l’établissement du tunnel, le réseau non
protégé appartient virtuellement à cet utilisateur.
Ainsi un Réseau Privé Virtuel assure plusieurs fonctions :
• L’authentification des deux extrémités du tunnel, pour s’assurer que les paquets arrivent
bien à la bonne destination, et partent bien de la bonne origine.
• La confidentialité pour que les paquets ne puissent être lus durant leur transfert sur le
réseau non sécurisé.
• L’intégrité pour éviter que les paquets puissent être altérés durant leur transfert.
• La non-répudiation qui permet d’établir que les paquets reçus ont bien été envoyés.
Il y a une trentaine d’années, quand fut conçu le protocole IP, autour duquel l’Internet est bâti, il
n’était pas question de réseaux sécurisés. Bien au contraire, le but de l’Internet était de tout
partager, dans un monde essentiellement universitaire. Il y a une dizaine d’années, les entreprises
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 36/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 37/102
Livre ouvert sur la sécurité
établit avec le module IKE du correspondant récepteur une association de sécurité qui va permettre
de réaliser cette négociation.
IKE procède en deux étapes appelées phase 1 et phase 2. Dans la première phase, il met en place
les paramètres de sécurité pour protéger ses propres échanges dans la SA ; dans la deuxième
phase il met en place les paramètres de sécurité pour protéger le trafic IPSec.
Par mesure de sécurité, les phases 1 et 2 sont réactivées périodiquement pour renégocier les clés.
Un protocole de VPN
IPSec est également un protocole VPN au même titre que d’autres protocoles VPN IP: PPTP, L2TP,
GRE ; il supporte un mode tunnel qui consiste à encapsuler le paquet IP de l’utilisateur dans un
paquet IP « le tunnel » à qui est appliqué les fonctions de sécurité IPSec.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 38/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 39/102
Livre ouvert sur la sécurité
tunnel
Réseau
Réseaude de
transit
transit
Correspondants VPN
tunnel
Réseau
Réseaude de
transit
transit
Correspondants VPN
tunnel
Réseau
Réseaude de
transit
transit
Correspondants VPN
Les tunnels
Un tunnel est un canal bi-directionnel établi entre deux correspondants. Un tunnel peut multiplexer
plusieurs communications IP.
La réalité d’un tunnel dans le réseau de transit est un paquet IP qui encapsule un paquet utilisateur
et qui comprend des octets supplémentaires dus au protocole IPSec utilisé (protocoles AH, ESP).
Exemple application du protocole ESP en mode tunnel à un paquet IP
Avant application ESP
L’adressage du tunnel
Chaque extrémité d’un tunnel a dans le cas le plus simple une adresse IP dans l’espace
d’adressage du réseau de transit. Dans des situations plus compliquées où des appareils qui
réalisent la fonction NAT sont placés entre le réseau de transit et le correspondant VPN il y a des
redirections de paquets pour qu’un paquet du tunnel transporté sur le réseau de transit arrive à
l’extrémité du tunnel chez le correspondant destination.
La sécurité du tunnel
IPSec sécurise le paquet IP transmis dans un tunnel, cette sécurité est robuste et si les
correspondants sont des CPEs, le protocole IPSec assure une sécurité permettant d’utiliser tout type
de réseau de transit : WLAN, Internet, …
Chaque extrémité d’un tunnel est associée à une zone représentée par un espace d’adressage
interne qui est desservi par le tunnel. Cette technique peut être utilisée à différentes fins : créer des
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 40/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 41/102
Livre ouvert sur la sécurité
Les solutions de VPN-SSL offrent un accès distant qui répond à la fois aux besoins des
administrateurs et des utilisateurs finaux.
Il permet aux entreprises de fournir l’accès distant sécurisé, fiable et intuitif que demandent les
utilisateurs, sans les migraines et le temps passé à l'installation et à la configuration des logiciels
clients, et sans devoir modifier les applications côté serveur.
2.7.2.1 Un accès réseau approprié par type d’utilisateur
Le VPN ou (Réseau Privé Virtuel) SSL assurent l'accès le plus large aux utilisateurs des ressources
réseau de l'entreprise. Nous pouvons regrouper les types d'utilisateurs en quatre catégories, leur
offrant un accès sécurisé approprié tel que défini par l'administrateur réseau.
L'utilisateur de PC portable de l'entreprise
Egalement appelé utilisateur "de confiance", est un employé utilisant des équipements fournis et
maintenus par l'entreprise. Pour ces utilisateurs, le connecteur VPN offre un accès distant à la
totalité du réseau sans aucune modification aux applications, que ce soit côté serveur ou côté client.
Cette solution apporte aux administrateurs la possibilité de détecter les virus et de mettre en œuvre
les antivirus et firewall standards.
L'utilisateur de kiosques ou d'ordinateur domestique
Est un employé qui nécessite un accès aux ressources de l'entreprise depuis un dispositif qui n'est
pas fourni et maintenu par l'entreprise (également qualifié de dispositif "non éprouvés"). Pour ces
utilisateurs, les adaptateurs VPN-SSL proposent l'accès à une large gamme d'applications et
ressources du réseau, depuis le partage de fichiers jusqu'aux applications mainframe. Le
système VPN-SSL masque l'identité des ressources réseau via un mapping de l'URL et élimine les
données sensibles, laissées derrière par le navigateur et la session de l'application.
L'utilisateur partenaire
Est un non employé utilisant du matériel fourni et maintenu par une autre entreprise, avec des
normes inconnues. Il est également qualifié de "non éprouvé". L'utilisateur du partenaire commercial
nécessite généralement l'accès à des ressources limitées afin de réaliser des partages de fichiers ou
d'accéder à l'extranet. Le dispositif VPN permet aux administrateurs d'offrir à ces utilisateurs un
accès limité et approprié aux applications et sites de l'extranet via l'adaptateur Web. Le VPN-
SSL offre une sécurité au niveau des couches applicatives et peut protéger contre les attaques des
applications telles que les attaques de scripts à travers le site, directement sur les serveurs Web
internes.
L'utilisateur de dispositif mobile
Est un employé qui a besoin d'accéder au réseau depuis un dispositif mobile personnel. Pour les
utilisateurs de Palm® OS, PocketPC, WAP et de téléphones iMode, le VPN-SSL permet aux
utilisateurs mobiles d'envoyer et recevoir des messages, de télécharger des attachements et
d'attacher des fichiers du LAN aux e-mails.
2.7.2.2 Les fonctions de sécurité du VPN-SSL
Les administrateurs trouvent souvent difficile de supporter les systèmes d'accès distants. Le haut
niveau de maintenance requis pour administrer les groupes d'utilisateurs et déployer les mises à
jour, tout en maintenant la sécurité du réseau et l'accès des utilisateurs, est vraiment complexe. Les
solutions anciennes offraient des possibilité d'authentification limitées pour garder la trace des
utilisateurs du réseau ou pour donner des indications précieuses afin de régler les problèmes
lorsqu'ils surviennent.
Voici, quelques exemples de fonctions de sécurité présentes dans une appliance de VPN-SSL :
Contrôle granulaire.
Les administrateurs disposent d'un contrôle rapide et granulaire sur leurs ressources réseau. Il
supporte les règles autorisant l'accès aux applications en fonction du dis positif d'affichage
utilisé pour l'accès distant.
Authentification stricte de l'utilisateur.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 42/102
Livre ouvert sur la sécurité
Par défaut, les utilisateurs sont authentifiés vis à vis d'une base de données interne au
système, en utilisant un mot de passe. Mais il peut également être configuré pour exploiter les
méthodes d'authentification RADIUS et LDAP, l'authentification HTTP de base et par
formulaires, et les serveurs de domaines Windows.
De nombreuses entreprises exigent une authentification à deux facteurs, consistant à utiliser
une méthode supplémentaire, au delà du profil et du mot de passe. Ce type de solutions
supporte complètement l'authentification RSA SecurID® basée sur les jetons. et il propose
également une version intégrée de VASCO Digipass®.
⇒ Internal user database
⇒ RADIUS authentication
⇒ VASCO DigiPass authentication
⇒ LDAP authentication
⇒ Initial signup on LDAP with subsequent strong internal password
⇒ Windows domain authentication
⇒ HTTP Form & Basic authentication
Auto login
La fonction d’auto login permet à la solution de VPN SSL de réutiliser le login /passsword fourni
par l’utilisateur pour s’authentifier pour une nouvelle authentification auprès des applications de
l’Entreprise auxquelles il souhaite accèder :
⇒ Web interne,
⇒ Citrix,
⇒ Windows Terminal server,
⇒ Fichiers partagés NT,
⇒ …
Double mot de passe
La mise en œuvre d’une stratégie d’authentification forte lors de la connexion sur la solution de
VPN SSL nécessite l’utilisation du mot de passe pour l’authentification forte et le mot de passe
statique utilisé en interne si l’utilisateur souhaite accéder aux applications avec la fonction
d’auto login.
Cette solution est supportée par les solutions de VPN SSL. Il existe deux stratégies pour
effectuer ce type d’authentification forte:
⇒ L’utilisateur fournit les deux mots de passe lors de son authentification sur la
solution de VPN SSL,
⇒ L’utilisateur fournit uniquement son mot de passe d’authentification forte
pour ce connecter sur la passerelle, puis sa première authentification sur
une application sera cachée par la solution VPN SSL et sera utilisée pour
l’auto login aux autres applications.
Le mapping de groupe
La fonction de mapping groupe permet de récupérer en Radius, LDAP, ActivDirectory ou NTLM
le groupe d’un utilisateur et le faire correspondre à un des groupes configurés sur le VPN-SSL.
Cette fonctionnalité permet :
⇒ De faire correspondre un utilisateur à un profil du boîtier en utilisant la
stratégie de groupe de l’Entreprise centralisée sur un serveur.
⇒ De mettre en œuvre des stratégies d’authentification différentes selon le
groupe de l’utilisateur.
La Gestion des autorisations
Les privilèges d'accès peuvent être attribués à des individus ou à des groupes d'utilisateurs (par
exemples "Commerciaux", "Partenaires", "Informatique"). Ainsi, le VPN-SSL peut limiter les
individus ou groupes à des ressources particulières. Les partenaires peuvent, par exemple,
n'avoir le droit d'accéder qu'à un serveur d'extranet, tandis que les commerciaux peuvent se
connecter aux e-mails, à l'intranet de l'entreprise et aux systèmes de CRM.s
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 43/102
Livre ouvert sur la sécurité
Description :
1. Le boîtier SSL est dans une DMZ. Les flux en provenance des utilisateurs vers la solution VPN
SSL sont gérés par un Firewall et les flux vers les applications en provenance de la passerelle
VPN SSL sont gérés par un deuxième Firewall.
2. Le firewall1 filtre les accès et les flux de données en SSL en provenance des utilisateurs.
3. Le Firewall2 filtre les accès de la solution VPN SSL vers les applications de l’entreprise.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 44/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 45/102
Livre ouvert sur la sécurité
Fonctionnement :
2.7.4 Anti-virus
La solution VPN SSL doit supporter les différentes solutions d’Anti-Virus pour permettre à
l’entreprise de contrôler les fichiers que l’utilisateur introduirait dans celle-ci. La passerelle VPN-SSL
supporte en interne une solution d’Anti-Virus, mais les besoins de l’entreprise sont de supporter les
solutions internes à celle-ci, ainsi le support du protocole ICAP permet l’interconnexion pour la
décontamination des fichiers transférés entre l’utilisateur et le réseau interne avec des solution
d’Anti-Virus qui intègrent ce protocole.
Les solutions d’Anti-Virus supportant ICAP sont par exemple :
Trend Micro,
Symantec,
Sophos,
…
Les solutions de VPN-SSL sont souvent présentées sous forme de boitier/serveur rackable, mais
certains fournisseurs les présentent sous forme logicielle.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 46/102
Livre ouvert sur la sécurité
partitions confidentielles et de déchiffrer les fichiers qu’elles contiennent. Inversement, les fichiers de
ces partitions sont chiffrées et les partitions ne sont plus visibles quand on retire la carte à puce.
Pour prouver l’origine d’une clé publique, on l’insère dans un certificat qui est remis aux utilisateurs
qui en ont besoin pour chiffrer un message à destination du détenteur de la clé privée, ou pour
déchiffrer une signature émise par le détenteur de cette clé privée. Ce certificat est signé par une
autorité en qui les utilisateurs (personne ou passerelle), placés aux deux extrémités du tunnel ont
confiance.
Le certificat ne peut être falsifié parce qu’il contient une partie chiffrée par la clé privée de l’autorité
de certification. A la réception, il y a comparaison entre cette zone qui est déchiffrée par la clé
publique de l’autorité de certification du certificat de l’autre extrémité du tunnel, et de la même zone
en clair contenue dans le certificat. Si le certificat n’a pas été compromis, il est établi que la clé
publique qu’il contient est bien la clé publique qui correspond à la clé secrète que l’autre extrémité
du tunnel seule détient. Le certificat présente également d’autres renseignements sur l’identité et la
société du possesseur du certificat, ainsi que sur l’autorité de certification qui l’a signé et sur les
dates de validité du certificat.
Produire et gérer des certificats à grande échelle est le métier des tiers de confiance qui fournissent
des PKI (Infrastructures de Clés Publiques). On peut être son propre tiers de confiance ou
externaliser la gestion de ses clés, la signature et la distribution des certificats à une autorité
extérieure.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 47/102
Livre ouvert sur la sécurité
d’une personne de la direction des ressources humaines lance à distance une compilation de C++,
la sonde détectera l’anomalie et réagira. Ce type de sonde signale beaucoup moins de fausses
alarmes que celles des détecteurs d’intrusion, et affecte moins les performances du réseau. Il n’est
ici plus question de comparer chaque paquet avec une base de signature qui s’allonge avec le
temps, et possède parfois une signature proche du paquet que la sonde analyse.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 48/102
Livre ouvert sur la sécurité
plusieurs aller-retours avec un appareil photo. De leur côté, les smartphones ont une fâcheuse
tendance à « tomber ».
Une autre notion en sécurité porte sur l'identification du périmètre de sécurité et sur les contrôles
d'accès aux données. Si cette notion peut s'appliquer plus ou moins facilement à des PCs
physiquement résidents dans un bureau potentiellement fermé à clé et relié à un Ethernet câblé, que
dire d'un PC portable Wifi qui voyage dans une voiture, prend l'avion, se connecte sur une borne Wifi
à la maison ou à l'hôtel et qui pratique le libre-échangisme de données avec ses pairs par clés USB
interposées. On ose à peine parler du double-attachement. Que le premier qui n'a jamais laissé son
PC portable en salle de réunion sans surveillance pendant 5 minutes lance la pierre.
Parlons donc du vol des mobiles et des portables. Dans toute entreprise, les chiffres sont édifiants,
quand bien même l'auto-déclaration donne une image fidèle de ces sinistres. Aujourd'hui, un PC
portable vaut presque le tiers d'un modèle équivalent en gamme il y a 3 ans. Quel est l'intérêt pour
un voleur de franchir le périmètre de sécurité d'une grande entreprise pour dérober 4 ou 6 portables
? Il n'en tirera au mieux que quelques centaines d'euros pièce. Sans être paranoïaque, il suffit de se
balader sur certains forums underground pour trouver des pirates qui revendent des bases de
données de mots de passe, de numéros d'accès à des Extranets, des numéros de cartes de crédit
(avec dates d'expiration). N'est-il pas plus facile de voler des PCs ou de racheter des disques durs
sur Ebay que de pénétrer des systèmes d'informations bardés de contre-mesures ?
L'information ne vaut-elle pas désormais plus que le matériel qui la traite ?
Voici donc maintenant quelques conseils de base qui facilitent la vie (et le sommeil) d'un utilisateur
de portable ou de mobile :
Règle N°1 - Penser aux sauvegardes - Utiliser le graveur de CD ou de DVD qui équipe
désormais la grande majorité des portables pour effectuer périodiquement des sauvegardes
des données les plus importantes. La clé USB est aussi un bon outil (pour les échanges de vos
Powerpoint, préférer à chaque fois que c'est possible le courrier électronique et les répertoires
partagés) ;
Règle N°2 - Utiliser les répertoires partagés et les fonctions de synchronisation - Si vous oubliez
de faire vos sauvegardes, vous pourrez toujours compter sur celles effectuées par votre
administrateur réseau sur vos serveurs de fichiers d'entreprise.
Règle N°3 - Utiliser le chiffrement - Pour les données sensibles, ne pas hésiter à recourir aux
fonctions de chiffrement de votre système d'exploitation ou à celles d'une solution dédiée. Bien
évidemment, ne pas succomber à la facilité de sauvegarder le mot de passe sur le disque dur.
Règle N°4 - Toujours considérer que votre portable risque d'avoir été infecté. Vous avez passé
une semaine en mission sans vous connecter au réseau de votre entreprise et donc sans mise
à jour de votre anti-virus. Pendant cette même période, vous avez échangé des fichiers avec
cette sacrée clé USB, vous avez fait du Wifi à l'hôtel et à l'aéroport et vous vous êtes connecté
en mode « invité » chez votre client. Assurez-vous de forcer une mise à jour de l'anti-virus de
votre portable dès votre retour au bureau.
Règle N°5 - Différencier les mots de passe - Votre portable ou mobile ne devrait jamais avoir le
même mot de passe qu'un autre système « fixe » que vous utilisez au bureau.
Règle N°6 - Bien choisir ses mots de passe - La longueur est plus importante que la complexité.
Le mot de passe suivant « Par un bel et chaud après-midi d'automne à Paris » est plus dur à
cracker (dictionnaire ou force brute) que « #@&é@=}é ».
Le proxy et le cache ne sont pas, à proprement parler des solutions de sécurité, mais ils y
participent, en assurant le confort des utilisateurs et sont souvent associés à la fourniture d’une
solution complète pour sécuriser le réseau interne de l’entreprise, au moins au niveau humain. Le
proxy a pour fonction de se faire passer pour un serveur (web par exemple) pour masquer le vrai
serveur aux utilisateurs. C’est sur ce principe que sont bâtis les firewalls haut de gamme. Le cache
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 49/102
Livre ouvert sur la sécurité
est un espace disque dans lequel l’information demandée est stockée un certain temps pour être
resservie en cas de nouvelle demande de cette information.
Le proxy constitue un endroit stratégique pour contrôler l’information demandée aux serveurs Web.
Un proxy « intelligent » permet de réunir les utilisateurs par groupes ou par fonctions, de diviser le
temps en plages horaires et de regrouper les pages Web par catégories. On peut alors conseiller ou
interdire telle catégorie de pages web, durant telle plage horaire à tel groupe d’utilisateurs. Le proxy
placé dans l’Intranet, derrière le firewall, souvent sur une DMZ, peut également limiter les abus en
établissant des quotas, en temps de connexion, en nombre de pages web lues, en volume de
données chargé par jour, par semaine, par mois pour chaque groupe d’utilisateurs, dans une période
choisie. Les noms des collaborateurs indélicats peuvent être placés, un certain temps, dans une liste
noire. Ces collaborateurs perdent alors toute possibilité d’accéder au web, le temps du séjour de
leurs noms dans cette liste qui sera vite redoutée.
Ces mesures vous semblent incompatibles avec le droit, que tout utilisateur peut revendiquer, de
garder une parcelle de sa vie privée même durant les horaires de travail ? Ce même utilisateur a
aussi des devoirs, et en particulier celui d’utiliser les outils mis à sa disposition par son employeur, à
des fins uniquement professionnelles. Une fois les employés avertis qu’un tel système de
surveillance est mis en place, l’employeur peut alors l’utiliser. Et le seul fait de savoir que ce système
de surveillance existe dans une entreprise rend les employés plus sensibles à n’ouvrir que les pages
web utiles dans le cadre de leurs fonctions et au moins à éviter de charger certaines pages, si ce
n’est celles improductives, au moins celles répréhensibles par la loi.
Ainsi, avec quelques précautions, et quelques outils et réglementations acceptées de part et d’autre,
l’accès à cette incroyable ressource qu’est l’Internet, pourra se faire avec efficacité, et sans
conséquences préjudiciables pour l’employé comme pour son employeur.
La morale n’ayant pas sa place quand il est question d’observer son prochain, certains éditeurs de
logiciels placent dans leurs programmes des bouts de code qui vont fonctionner comme des
mouchards et renseigner des régies publicitaires, des concurrents ou des faux amis, à l’extérieur.
Dans le dernier roman de Tom Clancy, l’ours et le dragon, vous avez un magnifique exemple de
logiciel espion tournant sur le poste de travail d’un dirigeant chinois, et qui va devenir un facteur
essentiel de la victoire des Etats-Unis en guerre contre la Chine. Sans aller chercher si loin, voyons
ce que vous avez sur votre propre poste de travail. Téléchargez le logiciel adaware que vous
trouverez gratuitement sur le web www.lavasoft.de (rassurez vous, il ne contient ni virus, ni logiciel
espion). Installez le et lancez le.
Si vous avez déjà navigué sur le web, comme la plupart d’entre nous, vous trouverez sur votre poste
de travail au moins un pointeur vers le cookie du fournisseur de bannières doubleclick qui peut
renseigner une régie publicitaire sur vos habitudes de navigation. Ca n’est pas très grave. Mais si
vous avez téléchargé des logiciels, peut être avez-vous installé, bien sûr à votre insu, de redoutables
logiciels espions qui envoient, par le réseau, à vos concurrents les fichiers confidentiels contenus
dans votre disque, tels que les conditions de remises, vos remarques personnelles sur vos clients et
partenaires, les spécifications des produits non encore annoncés, vos propositions de réponse à
appel d’offre en préparation.
Si vous avez téléchargé et installé un logiciel et vous apprenez qu’il contient un spyware (logiciel
espion), ne pensez pas pouvoir supprimer ce logiciel espion simplement en désinstallant le
programme qui vous en a fait cadeau. Les spywares ont la vie dure et ne se laissent pas facilement
éradiquer car ils se cachent à des endroits du disque où on ne pense pas aller les chercher.
Heureusement un logiciel comme adaware sait les éradiquer correctement.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 50/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 51/102
Livre ouvert sur la sécurité
Il n’y a pas de législation spécifique concernant les pots de miel placés sur les STAD (Système de
Traitement Automatisée des Données) comme on nomme de manière désuète les systèmes
d’information dans les livres de droit. Tout réside dans l’intention et dans la manière dont les
créateurs de pots de miel s’y prennent. De même qu’un fonctionnaire de police n’a pas le droit, du
moins en France, de créer les circonstances et l’environnement d’un méfait pour prendre un
délinquant en flagrant délit, de même il ne peut être fait de publicité pour attirer un pirate dans un
réseau piégé pour utiliser les preuves de son attaque en justice. Pour que l’agressé puisse donc
utiliser les preuves d’une attaque, l’agresseur doit être tombé naturellement dans le piège tendu.
Placer des pots de miel s’apparente donc plus à une partie de pêche au pirate qu’à une embuscade
montée sur les grands chemins des autoroutes de l’information. On pourrait aussi concevoir un pot
de miel qui réagisse en attaquant l’agresseur pour compromettre son propre système d’information
en remontant aux sources de l’attaque. Mais le pirate pourrait alors se plaindre d’avoir été attaqué
alors qu’il était tombé sur votre réseau (comme) par hasard sans intention malveillante. Et que dire si
le hacker utilise pour vous attaquer, un poste intermédiaire comme celui de la police ! Le monde est
loin d’être simple et binaire et mieux vaut donc garder son pot de miel passif.
Dans un Intranet, un honeypot doit être bien évidemment considéré comme un outil de surveillance
et sa légitimité repose sur une obligation d’information des représentants sociaux des employés sur
ce qui est mis en fonction. Ceci enlève au pot de miel son effet surprise, mais c’est bien le but de la
protection des employés contre les outils de surveillance non déclarés, d’autre part, sa mise en
place doit reposer sur le principe de proportionnalité qui dit qu’un outil de surveillance ne peut être
mis en place par l’employeur que s’il est justifié par la valeur de l’information qu’il protège et par les
ardeurs des attaquants à le compromettre. En théorie, que le pot de miel soit placé en dehors de
l’Intranet pour coincer les pirates extérieurs ou à l’intérieur pour surveiller les employés, il devrait être
accompagné d’un message du genre : « Attention ce serveur n’est accessible qu’aux personnes
autorisées. En entrant dans ce serveur, vous acceptez que votre activité soit contrôlée et
divulguée » D’ailleurs à bien y réfléchir, c’est peut être astucieux de mettre cette recommandation,
pot de miel ou pas, pour obtenir un effet dissuasif, un peu comme ceux qui mettent un écriteau
« Chien méchant !!!» dans leur jardin alors que n’y réside qu’une paisible tortue.
Signalons qu’un pot de miel d’un genre nouveau vient de faire son apparition à l’occasion de la sortie
du film Blueberry. Ce film est proposé en DivX sur les serveurs d’échanges tels que KazaA et
eDonkey. Vous téléchargez, comme plusieurs dizaines de milliers d’internautes l’ont déjà fait, le
fichier DivX de 700MO ( !) et vous obtenez le tout début du film, mais au détour du chemin, voici
Vincent Cassel qui apparaît et vous explique que vous venez de télécharger une copie vidéo de très
mauvaise qualité comme ce qu’on trouve habituellement avec ce genre d’échanges, et que pour
apprécier le film, mieux vaut aller le voir au cinéma. Le reste du DivX est constitué de scènes de
tournage du film pour vous faire comprendre que la création d’une telle œuvre ne peut être
envisagée que si les spectateurs paient leurs places de cinéma. Dissuasif mais moral !
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 52/102
Livre ouvert sur la sécurité
3 LA GESTION DE LA SECURITE
3.3.1 Introduction
3.3.1.1 Le problème
Plusieurs tendances sont actuellement observables:
Les entreprises s’étendent, les lieux de travail sont de plus en plus dispersés.
Les points d’accès aux réseaux de collecte, les réseaux d’interconnexion IP privés ou publics
se multiplient, les réseaux sans fil (WLAN, GPRS et bientôt UMTS) facilitent la mobilité intra et
extra entreprise mais sont vulnérables en raison de la technique de transmission utilisée (l’air).
Les ressources physiques des réseaux sont pour des raisons de coût, mutualisées, ce qui fait
que les VPN IP sont la voie royale de migration des entreprises vers IP.
Une bande passante élevée devient disponible à des coûts abordables,
Les attaques via des virus, vers etc se sont intensifiées et se focalisent sur les systèmes
d’exploitation les plus utilisés (ex Windows).
On assiste ainsi à la mise à disposition de l’entreprise d’une ressource de communication donnant
l’illusion, quel que soit la distance, d’un réseau local mais par contre plus vulnérable.
Enfin, les entreprises pour leur développement commercial, utilisent de plus en plus internet qui
s’intègre au cœur du fonctionnement de l’entreprise.
Ceci montre la problématique que doit résoudre l’entreprise qui est de s’organiser face à cette
intensification des communications et des attaques, à l’ouverture sur le monde concrétisée par
l’utilisation d’internet, à l’augmentation de la vulnérabilité des environnements de travail, des
réseaux et des systèmes.
3.3.1.2 La situation actuelle
De nombreuses d’entreprises sont déjà équipées de systèmes pour pallier à des disfonctionnements
ou à des défaillances et de systèmes de protection basés principalement sur le cloisonnement de
leur système par des pare-feux (firewalls) , sur des outils d’éradication d’infections et de filtrage.
Dans un contexte de communications en forte progression avec l’entreprise étendue, des réseaux et
des environnements vulnérables, des attaques nombreuses, ces niveaux de protection se révèlent
de plus en plus complexes à maîtriser et insuffisants en couverture de sécurité.
3.3.1.3 La solution
La solution à cette problématique est d’une part la prise en compte de la sécurité dans la conception
du système d’information, de ne pas la considérer comme une pièce rapportée et d’autre part de
mettre en place une gestion globale de la sécurité, ceci afin d’apporter les moyens de défense
nécessaires au SI (système d’information) pour faire face aux intrusions internes et externes et
également aux défaillances et disfonctionnements préjudiciables au bon fonctionnement du SI.
Seule une gestion centralisée de la sécurité peut assurer une vision globale.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 53/102
Livre ouvert sur la sécurité
A la base, il est nécessaire que l’entreprise élabore une politique de sécurité de son système
d’information qui reflète sa vision stratégique en terme de sécurité de système d’information.
Cette politique de sécurité doit couvrir les aspects environnementaux, organisationnels, physiques,
logiques et techniques du SI et aboutir à l’élaboration de règles de sécurité qui devront être
appliquées.
L’application de ces règles doit être administrée, supervisée, surveillée et contrôlée et justifie la
présence d’un centre de gestion de la sécurité.
VPN IP
services VPN IP
Composants administrés
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 54/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 55/102
Livre ouvert sur la sécurité
3.3.5 La surveillance
Un système de sécurité nécessite un sous-système de surveillance qui recueille en permanence des
informations (exemple enregistrements de logs) en provenance des composants sécurisés. Des
corrélations sont effectuées et produisent des informations exploitables pour :
Signaler des anomalies ou des intrusions (alertes)
Elaborer des historiques de fonctionnement.
3.3.6 La supervision
La supervision contrôle et surveille l’exécution des opérations et recouvre l’aspect fonctionnement
normal et anormal.
Exemple :
contrôle de l’état d’activité d’un équipement de réseau (ping),
contrôle de l’approvisionnement d’un appareil,
3.3.7 Le contrôle
Plusieurs types de contrôle peuvent être effectués:
Contrôle de l’environnement physique (gardiennage),
Contrôle périodique de l’état de vulnérabilité de tous les systèmes du système d’information.
Contrôle de la configuration d’un poste pour l’autoriser à se connecter à l’entreprise.
Contrôle des sauvegardes. Essai de restauration d’un système à partir de la dernière
sauvegarde,
Etc..
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 56/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 57/102
Livre ouvert sur la sécurité
La généralisation des infrastructures exploitant des services de type Voix sur IP (VoIP), pose
naturellement avec une plus grande acuité le problème de la vulnérabilité de ces systèmes.
Des systèmes de protection bien spécifiques ont donc été développés pour répondre aux problèmes
et faiblesses intrinsèques des solutions VoIP courantes, en cohérence avec les contraintes de QoS
(qualité de Service) requises pour le transport de la parole.
Dans la majorité des cas, ces équipements, comparables en terme de positionnement aux Firewalls
et autres IDS, placés entre les serveurs et éléments VoIP, et les postes clients, filtrent les
connexions et suivent le trafic avec une compréhension des protocoles mis en oeuvre.
Actuellement ces fonctions sont souvent intégrées à un produit dédié nommé Session Border
Controler (SBC), mais peuvent aussi se retrouver dans d'autres éléments de l'architecture VoIP (tels
que SIP Proxy, SoftSwitch, etc.).
Nous allons voir les risques particuliers qui existent dans le monde VoIP, et quelle solution les
produits spécifiques récents apportent.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 58/102
Livre ouvert sur la sécurité
(visible de l'Internet) pour les différents utilisateurs du réseau. Cette conversion n'ayant que peu ou
pas de compréhension des protocoles applicatifs, elle rend incohérents les paquets de signalisation
(SIP ou MGCP par exemple), dans lesquels les adresses IP de l'en-tête et de la partie signalisation
n'ont plus aucune correspondance. Pour remédier à ce problème, une solution peut être de modifier
tous les équipements NAT (comme par exemple toutes les Residential Gateway) pour qu'ils
comprennent et gèrent correctement la conversion des adresses IP de l'en-tête mais aussi celles
apparaissant dans le champ de la signalisation. Cette solution est hélas très utopique. Une solution
beaucoup plus réaliste consiste à palier à la modification des adresses IP à posteriori (après le
passage par le NAT), pour rendre la cohérence aux datagrammes de signalisation lors de leur
réception par l'opérateur VoIP. C'est que l'on appelle le NAT Remote Traversal, puisque la
correction est effectuée à distance.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 59/102
Livre ouvert sur la sécurité
4.1.4 Fonctions
Les fonctions de sécurisation que nous allons détailler sont les suivantes :
Cryptage
Firewall VoIP Stateful (Signal & Media Validation)
Admission Control List (ACL)
Topology Hiding
Observation et interception légale
DoS protection
4.1.4.1 Cryptage
Un moyen de protéger les flux (signalisation et média) lors de leur transit de toute observation, est
naturellement de les crypter, par exemple via un VPN. Il s'agit d'une solution commune à tous les
échanges de données, qui dans le cas de la VoIP doit cependant ne pas ajouter de délai de codage
trop important, sous peine de dégrader la qualité de la voix. Le fait d'avoir des équipements de
terminaison hardware permet généralement d'éviter cet écueil.
4.1.4.2 Firewall VoIP Stateful
Cette capacité correspond dans la pratique à l'ouverture et la fermeture dynamique de "pinhole" par
le SBC, à partir de l'établissement d'une connexion et jusqu'à sa clôture.
Le SBC qui a la compréhension des protocoles de signalisation, va suivre l'échange menant à
l'établissement effectif de la connexion VoIP, et ouvrir automatiquement le "trou" correspondant à la
combinaison (adresse IP, numéro de port) dans les deux sens. Notons par ailleurs que la plupart des
SBC effectuent aussi du NAT Traversal et sont effectivement obligés de suivre l'établissement de la
connexion, et au passage, de modifier certaines adresses IP à l'intérieur du datagramme, de
manière à permettre le passage au travers du NAT distant.
Naturellement les SBC, tels un Firewall Stateful, bloquent implicitement toutes les combinaisons
d'adresses IP et de numéro de port qui ne correspondent pas à l'ouverture ou la continuation d'une
session VoIP identifiée.
4.1.4.3 Admission Control List
D'une manière parfaitement comparable à la configuration d'un Firewall ou des règles de sécurité
applicables sur un routeur, il est possible et recommandé de définir un certain nombre de filtres sur
le SBC, restreignant les communications VoIP à un ensemble délimité d'adresses IP référencées.
Tout équipement non-référencé verra ses tentatives de connexion systématiquement rejetées.
4.1.4.4 Topology Hiding
L'équipement chargé de la protection de l'infrastructure VoIP bloque systématiquement toute
tentative d'accès aux serveurs et entités média situés dans la zone protégée. Cela correspond à
cacher, ou occulter l'ensemble des éléments VoIP du cœur du système et qui n'ont pas de raison
d'être en "contact" direct avec l'extérieur.
4.1.4.5 Observation et interception légale
Le SBC est aussi l'élément stratégique privilégié pour effectuer un suivi des communications, voire
une écoute quand cela est requis par l'autorité adéquate. Les SBC sont donc généralement
capables de détecter en temps réel un comportement à risque, et de dupliquer la session sur un port
d'écoute, permettant la surveillance d'une connexion malveillante, comme peut le requérir le CALEA
(Communications Assistance for Law Enforcement Act) outre atlantique.
4.1.4.6 DoS Protection
Le moyen le plus efficace de se protéger des attaques de type DoS (Denial of Service) en VoIP
consiste à s'assurer d'une cohérence avec le protocole employé et le service requis.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 60/102
Livre ouvert sur la sécurité
Ainsi en limitant le taux d'établissement d'appel et média (call set-up rate & media rate) par flux, on
se protège implicitement des attaques DoS, mais aussi potentiellement des perturbations que
pourrait engendrer un équipement défectueux (dans un état instable), tout en maintenant le service
pour les utilisateurs légitimes.
La temporisation entre appels (call gapping) permet de protéger le SoftSwitch, les serveurs Proxy
SIP et les autres entités impliquées dans la signalisation, d'une sur-occupation temporaire
malveillante, voire de tendre vers un état inopérant.
La limitation du taux d'appels (rate limiting) quant à elle, permet de protéger aussi bien le Media
Gateway, serveur IVR, et autres équipements média, en définissant des taux naturellement
cohérents avec la technologie (par exemple, le codec employé pour un flot permet de situer un seuil
maximum du nombre de trames que l'on doit recevoir par seconde).
Note : Dans le monde de la VoIP, les Phreakers sont les pendants des Hackers (terme inapproprié
mais tellement galvaudé). Les Phreakers utilisent le système téléphonique pour :
passer des appels gratuitement
perturber le système téléphonique
pour se divertir (défi plus ou moins technique)
Ce sous-chapitre traite essentiellement des réseaux Wi-Fi basés sur les standards 802.11 de l’IEEE,
qui sont les plus répandus en tant que WLAN. D’autres technologies seront néanmoins évoquées à
la fin.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 61/102
Livre ouvert sur la sécurité
Une technique similaire consiste à ne pas répondre aux broadcast émis par des postes mobiles
désirant se connecter et qui demandent quels sont les SSID disponibles ou visibles. Les postes
mobiles du réseau doivent alors obligatoirement connaître le SSID.
Il s'agit cependant, d'une part, de protections très limitées, car les SSID peuvent être découverts via
les communications des autres postes mobiles observés, et d'autre part, l’inhibition de l’échange du
SSID peut bloquer l'attachement de certains NIC dont les implémentations nécessitent
ces étapes dans leur processus de connexion.
Personnaliser le SSID et ne pas le diffuser, c’est mieux, mais c’est insuffisant !
Le WEP
Le WEP est le mécanisme de sécurisation standard prévu par le protocole 802.11. Il repose sur un
mécanisme d’authentification et de chiffrement utilisant des clés de 40 ou 128 bits (plus un vecteur
d'initialisation de 24 bits). Jusqu’à ce qu’il impose WPA (voir ci-dessous), le label Wi-Fi n’imposait
qu’une clé de 40 bits.
Des implémentations à 128 (24+104) et 256 bits sont courantes et plus robustes. Mais des
programmes existent maintenant dans le public pour casser ces clés.
Le chiffrement utilise un « ou exclusif » des données à chiffrer avec une séquence pseudo aléatoire.
Les principales vulnérabilités de cet algorithme viennent des facteurs suivants :
la séquence pseudo aléatoire est obtenue au moyen d’un algorithme linéaire et est facilement
prédictible
la clé est statique et commune à l’ensemble des points d’accès et postes mobiles du réseau,
le contrôle d’intégrité est faible et ne filtre pas efficacement les altérations des trames,
il ne comporte pas d’indication de séquencement, ce qui facilite les attaques par rejeu,
la séquence pseudo aléatoire est initialisée au moyen d’un vecteur d’initialisation, transmis en
clair sur l’interface air et de ce fait interceptable par sniffing.
Face à ces faiblesses, diverses méthodes ont été ajoutées pour résoudre cette insuffisance. Citons
le dynamic WEP et surtout le TKIP qui permettent le changement fréquent de la clé de chiffrement.
Ces dernières fonctionnalités se trouvent en standard dans les mécanismes du 802.11i.
L’authentification est tout autant vulnérable, du fait qu’elle est basée sur la même protection que le
chiffrement. Elle se fait par envoi d’un texte à chiffrer au poste mobile qui désire se connecter. Cette
dernière renvoie le texte chiffré par le WEP. Si le chiffrement est connu, l’intrusion est immédiate.
Sinon, il suffit d’écouter la séquence de connexion d’un poste mobile puisque le texte
d’authentification passe successivement en clair puis chiffré sur l’interface air. En tout état de cause,
l’authentification porte sur le poste et non sur son utilisateur.
En pratique, il suffit de deux heures pour « casser » le WEP, certains se vantant même de le faire en
un quart d’heure !
Pour faciliter le travail des hackers, il existe des dictionnaires de séquences pseudo aléatoires en
fonction des valeurs du vecteur d’initialisation. On trouve également sur Internet d’excellents logiciels
de cracking du WEP (Airsnort ou Netstrumbler sous Linux, par exemple).
Utiliser le WEP, c’est mieux, mais c’est insuffisant !
Modification de la clé
La clé de chiffrement est unique et partagée par tous les points d’accès et postes mobiles du réseau.
Une clé, ça s’use… et une des règles élémentaires de la sécurité des réseaux chiffrés consiste à
changer périodiquement les clés.
Le protocole 802.11 ne prévoit aucun mécanisme de mise à jour des clés. Par conséquent, la mise à
jour doit se faire manuellement et simultanément sur tous les équipements radio du réseau. Ceci
n’est possible que sur de très petits réseaux et, en pratique, personne ne se livre à une opération
manuelle sur un réseau qui comprend un nombre significatif de points d’accès et de postes mobiles.
Modifier les clés, c’est mieux, mais c’est irréaliste !
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 62/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 63/102
Livre ouvert sur la sécurité
visibles sur le réseau câblé après passage par l'équipement de protection (commutateur, firewall,
etc.) et non pas détournées vers un réseau pirate via un Fake AP.
Le monitoring
Le mode de fonctionnement de Wi-Fi implique que dès qu'un AP est associé à un canal de
fréquence, il ne fonctionne que sur ce canal et n'a plus la possibilité de superviser les autres canaux.
Ceci est donc le rôle de points d’accès particuliers dédiés à l'écoute, donc passifs, qui balayent
continuellement les différents canaux pour surveiller les flux des différentes cellules qu'ils reçoivent
et vérifier le bon fonctionnement des points d’accès voisins.
Tout le trafic de ces AP de surveillance est remonté vers le commutateur qui peut s'assurer qu'aucun
de ses clients connus ne se connecte à un AP "non référencé".
Les AP passifs, donc en mode d'écoute, peuvent détecter et suivre des signaux relativement faibles,
provenant d'équipements assez éloignés. Par conséquent, leur couverture est beaucoup plus large
que celle des AP actifs.
Enfin, concernant les capacités de monitoring, un administrateur réseau peut mettre en œuvre un
système Wi-Fi non pas dans le but d’offrir un service de mobilité, mais dans celui de surveiller
qu'aucune installation pirate (Rogue AP) n'a effectivement été installée et connectée au réseau.
Ainsi, un commutateur WLAN uniquement équipé d'AP passifs permet de surveiller quotidiennement
le réseau et de détecter l'apparition de transmissions Wi-Fi avant même qu'une installation
« officielle » ne soit déployée.
Détachement forcé
La protection la plus courante consiste à forcer systématiquement le dé-attachement du client en
cause ou de tous les clients connus qui se seraient attachés à un AP frauduleux. De cette façon le
réseau Wi-Fi apparaît inaccessible à ces postes de travail qui ne parviennent pas à établir une
connexion complète.
Cette capacité apporte une protection forte mais elle nécessite néanmoins de régler définitivement le
problème par une intervention physique sur le poste client ou l'AP à la source du danger. des outils
de localisation facilitent la recherche de l’équipement visé.
L’audit de la couverture radio
Lors de l’installation des points d’accès, il est important de vérifier que la couverture radio ne
déborde pas inutilement hors de la zone prévue, même si ceci ne met pas le réseau à l’abri des
hackers équipés d’équipements amplificateurs qui leur permettent d’agir bien au-delà de la zone de
couverture nominale.
Une disposition judicieuse des points d’accès et des antennes permet d’optimiser la couverture
radio. Celle-ci doit ensuite être vérifiée périodiquement, pour s’assurer qu’aucun point d’accès pirate
n’a été ajouté sur le réseau. Cette précaution vaut également pour les réseaux câblés non Wi-Fi…
certains utilisateurs ont déjà eu la surprise de trouver des points d’accès Wi-Fi sur des réseaux qui
n’étaient pas supposés en intégrer.
4.2.2.2 L’ingénierie du réseau
Le commutateur
Si les points d’accès sont connectés sur un simple concentrateur et non sur un commutateur, les
données à destination de tout poste fixe ou mobile sont diffusées sur le réseau et peuvent être
interceptées par un sniffer. Il est vivement recommandé de déployer les WLAN sur des
infrastructures de commutateurs et de contrôler le trafic des postes mobiles vers le réseau câblé..
Il existe deux types d’architecture WLAN :
La première repose sur un commutateur standard. Les points d’accès intègrent les fonctions
radio réseau et sécurité. Le commutateur peut gérer aussi bien les postes fixes que les postes
mobiles.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 64/102
Livre ouvert sur la sécurité
La seconde repose sur un commutateur spécifique WLAN qui fédère les fonctions radio, réseau
et sécurité. Les points d’accès n’ont aucune intelligence et se contentent de jouer leur rôle
d’émetteur-récepteur radio.
Cette seconde configuration est plus résistante aux attaques de type Rogue AP, puisque
nécessite une intervention au niveau du commutateur.
Notons qu'idéalement le commutateur WLAN possède plusieurs queues, permettant d'envisager la
gestion de flux avec garantie de qualité de service (QoS), typiquement la VoIP à partir d'ordinateurs
ou de téléphones Wi-Fi.
Le VLAN
Une précaution consiste à segmenter le réseau afin d’isoler les données sensibles du réseau radio
et à déployer le WLAN sur une infrastructure VLAN2 qui lui est propre. Le réseau peut comporter
plusieurs VLAN, chacun correspondant à un sous-réseau WLAN spécifique avec son propre SSID.
Il est ainsi fortement recommandé de faire arriver systématiquement tous les VLAN du réseau sur le
commutateur WLAN, même ceux qui ne feront transiter aucun trafic par celui-ci. Cela permet au
commutateur de localiser tous les équipements, de mettre à jour sa base de connaissance du
réseau et de détecter la présence anormale d'un flux ou d'un client sur un segment où il ne devrait
pas figurer.
Les sous-réseaux radio sont mis logiquement dans une zone démilitarisée d’un firewall qui contrôle
le flux d’informations entre le réseau radio et le réseau filaire (cf. ci-dessous).
Le firewall
Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre la
partie WLAN et le reste de l'infrastructure réseau. Il est intégré au commutateur WLAN, quand il y en
a un.
Idéalement, ce firewall doit mettre en œuvre des protections au niveau de l’adressage, gérer des
filtres, journaliser les connexions, posséder des ACL (Access Control List) à partir desquelles les
accès sont filtrés, suivre les connexions dans le temps (capacité dite « stateful ») afin de garantir un
niveau de sécurité au moins égal à celui de l'environnement câblé.
La meilleure protection est de considérer tout ce qui concerne le réseau sans fil (à l’intérieur et à
l’extérieur de l’entreprise) comme étant dans une bulle d’insécurité à mettre logiquement sur une
DMZ du firewall et activer une authentification forte et des mécanismes de chiffrement VPN.
2 Partition logique d’un réseau physique visant à créer des sous-réseaux (segments) virtuels.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 65/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 66/102
Livre ouvert sur la sécurité
En retour l'utilisateur est assigné à une catégorie définissant son VLAN, ses droits, etc. Par exemple
si l'utilisateur est connu mais qu'il n'a plus de crédit, il peut être redirigé vers un VLAN aboutissant à
une page particulière qui l’invite à renouveler son abonnement.
Pour sécuriser totalement les communications authentifiées par serveur Web, un moyen est de faire
suivre la phase d'authentification par la mise en service d'un client VPN éventuellement téléchargé
(Dialer VPN).
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 67/102
Livre ouvert sur la sécurité
Chiffrement TKIP
Tout en conservant l’architecture du WEP, TKIP met en jeu un certain nombre de mécanismes
propres à améliorer la résistance aux attaques, en résolvant notamment le problème de la
réutilisation cyclique des clés :
le calcul de la clé est basé sur une clé temporelle partagée par les postes mobiles et les points
d’accès et changée tous les 10 000 paquets,
une méthode de distribution dynamique assure le rafraîchissement de la clé temporelle,
le calcul de la séquence de clés fait intervenir l’adresse MAC de la station, donc chaque poste
mobile dispose de sa propre séquence,
le vecteur d’initialisation est incrémenté à chaque paquet, ce qui permet de rejeter des paquets
« rejoués » avec un numéro de séquence antérieur,
un code d’intégrité ICV (calculé selon un algorithme MIC nommé Michael) introduit une notion
de « CRC chiffré ».
La mise à niveau TKIP d’équipements WEP se fait par simple mise à jour de logiciel.
TKIP a l’avantage d’être compatible avec le WEP, autorisant ainsi l’interopérabilité d’équipements
WEP et d’équipements TKIP… avec bien sûr, un niveau de sécurité WEP. Son défaut est son temps
de calcul qui dégrade les performances du réseau et n’est pas compatible avec les contraintes de
QoS.
Authentification
L’authentification repose sur les protocoles standards 801.1x et EAP au-dessus desquels sont
développés des standards d’authentification interopérables.
Différentes couches sont définies au-dessus d’EAP pour supporter des polices de sécurité (par ordre
de protection croissante) :
EAP-MD5 utilise un serveur RADIUS qui ne contrôle qu’un hash-code du mot de passe du
poste mobile et ne fait pas d’authentification mutuelle. Ce protocole est déconseillé pour les
réseaux radio car il peut laisser le poste mobile se connecter sur un pot de miel.
LEAP, développé par CISCO, introduit une authentification mutuelle et délivre des clés WEP
pour le chiffrement du WLAN. L’authentification est basée sur un échange login/password. Il
n’en demeure pas moins vulnérable par le risque qu’un tiers non autorisé puisse avoir
connaissance des mots de passe et est également exposé à des attaques de type dictionnaire
(ASLEAP).
PEAP et EAP-TTLS utilisent un serveur RADIUS et sont basés sur un échange de certificats.
Les serveurs RADIUS qui supportent PEAP et EAP-TTLS peuvent s’appuyer sur des bases de
données externes : Domaine Windows ou annuaire LDAP, par exemple
EAP-TLS est le standard recommandé de sécurisation des WLAN. Il met en œuvre un serveur
d’authentification RADIUS. Les postes mobiles et le serveur doivent s’authentifier mutuellement
au moyen de certificats. La transaction est sécurisée par un tunnel chiffré.
EAP-TLS/TTLS et PEAP sont particulièrement résistants aux attaques de type dictionnaire et man in
the middle.
4.2.3.3 802.11i
L’arrivée du protocole 802.11i, extension du protocole de base pour la sécurité
du Wi-Fi, est attendue depuis plusieurs années et serait annoncée pour
l’automne 2004.
Il s’appuie sur TKIP et 802.1x et reprend l’allongement de la clé, le code
d’intégrité MIC et le séquencement des paquets. Mais la grande innovation est
l’introduction d’un chiffrement AES particulièrement performant et compatible
avec les contraintes de QoS.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 68/102
Livre ouvert sur la sécurité
Un inconvénient est la puissance de calcul nécessaire à AES, qui exige l’implémentation d’un co-
processeur, déjà présent par mesure conservatoire sur les équipements récents supportant WPA.
Pour cette raison, il sera nécessaire de prévoir un rétrofit matériel des équipements WEP d’une
génération antérieure à WPA.
4.2.3.4 En bref
4.2.4 Application
Le niveau de sécurisation demandé varie selon les situations
WLAN entreprise
WPA s’adresse aux entreprises. Les protocoles EAP-TLS, EAP-TTLS et PEAP s’appuyant sur un
serveur RADIUS sont particulièrement recommandés.
Dans ce type d’implémentation, le VPN n’est pas nécessaire, du moins en ce qui concerne la
confidentialité du réseau radio. Il est même déconseillé si le réseau Wi-Fi sert également de support
à la voix, car il dégrade la qualité de service.
WLAN résidentiel et SoHo
Il est peu probable de trouver un serveur d’authentification dans ce domaine. WPA propose pour ces
réseaux, un mode allégé nommé WPA-PSK.
L’authentification se fait sans avoir recours à un serveur et repose sur l’échange d’un password
partagé. Ce même password sert à initialiser le processus de chiffrement TKIP.
La gestion étant faite manuellement, WPA-PSK ne peut s’appliquer qu’à des réseaux de petite taille.
Hotspot
Afin de faciliter l’accès au réseau des postes itinérants, aucun mécanisme de sécurité n’est mis en
œuvre dans les hotspots publics.
En particulier, il n’y a pas d’authentification au niveau Wi-Fi, puisque l'utilisateur lors de sa connexion
n'a aucune connaissance du réseau, et réciproquement. L'authentification se fait alors sur un portail
Web.
C’est à l’utilisateur de prévoir sa propre protection, par VPN, par chiffrement applicatif, en utilisant un
firewall client et en configurant correctement sa station afin de bloquer l’intrusion directe d’une autre
station.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 69/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 70/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 71/102
Livre ouvert sur la sécurité
À l’heure actuelle, les télé travailleurs sont de plus en plus nombreux à utiliser la technologie VPN
(Virtual Private Network, réseau privé virtuel) pour accéder aux ressources internes des entreprises
via les technologies d’accès Internet, telles que les modems câble ou les lignes DSL. Cependant, la
disponibilité constante de ces services Internet haut débit est une véritable porte ouverte aux
intrusions, lesquelles menacent aussi bien le poste client que le réseau de l’entreprise. Pour
empêcher les pirates de détourner une session VPN dans le but d’accéder aux ressources internes
de l’entreprise, il est primordial de déployer une solution de sécurité de bout en bout pour les clients
VPN.
Les administrateurs informatiques ont le choix entre différentes approches pour sécuriser les
systèmes des utilisateurs distants, allant d’une politique d’autorisation souple à une politique très
restrictive qui risque d’empêcher les utilisateurs de profiter pleinement des connexions haut débit. La
meilleure approche reste toutefois le déploiement concerté d’une solution complète garantissant un
niveau de sécurité optimal tout en permettant aux utilisateurs d’exploiter au maximum le service
Internet haut débit.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 72/102
Livre ouvert sur la sécurité
tunnel VPN pourrait dès lors être menacé sans que l’administrateur informatique ni l’utilisateur ne
s’en rendent compte, avec de lourdes conséquences pour le réseau.
En outre, si une entreprise envisage de déployer deux solutions distinctes pour la connectivité VPN
d’accès distant et la sécurité du poste de travail, elle ne doit pas perdre de vue le coût de leur charge
administrative. En effet, chaque nouvelle version devra subir un test de compatibilité, que ce soit au
niveau du client VPN ou du pare-feu du poste de travail. Les administrateurs informatiques devraient
également tenir compte d’autres aspects tels que l’évolutivité et l’administration s’ils veulent utiliser
plusieurs produits de sécurité client indépendants. Par exemple, quelles seront les implications de
l’ajout d’un nouvel utilisateur ou de la mise à jour de la politique de sécurité au niveau des deux
solutions, et ce, pour tous les utilisateurs du VPN ?
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 73/102
Livre ouvert sur la sécurité
5.1.5 Résumé
Pour profiter pleinement des avantages d’un réseau VPN d’accès distant, les entreprises doivent
veiller à ce que la technologie choisie offre une sécurité optimale aux clients VPN. Même si les
fonctions VPN standard, telles que le cryptage et l’authentification des utilisateurs, sécurisent les
transmissions échangées par les utilisateurs du réseau VPN, la protection des postes de travail est
également un élément capital de la sécurité globale de l’entreprise. Les systèmes client doivent être
protégés avec des technologies de pare-feu personnel étroitement intégrées au réseau VPN.
Quant à la solution VPN globale, elle doit permettre d’imposer les exigences de sécurité sur les
clients du VPN, préalablement à toute connexion au réseau. Ce n’est qu’après avoir protégé leurs
clients VPN que les entreprises pourront être assurées de l’intégrité de leur réseau.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 74/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 75/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 76/102
Livre ouvert sur la sécurité
6.3.1 Préambule
Tout est désormais affaire de risques. Accepter, comprendre les situations de danger, gérer ses
états de vulnérabilités sont pour les dirigeants et les managers une exigence permanente. Il est bien
sûr de leur devoir traiter les menaces qui portent sur les activités de leur entreprise, sur leurs
systèmes d’information et leurs réseaux de communication.
Une fois levée, la question essentielle de l’engagement de l’entreprise qui nomme un ou des
collaborateurs et leur fixe des objectifs clairs, il n’y a pas de démarche « sécurité » sans orientations
politiques. Elles posent les fondements d’une réglementation interne, mais aussi les bases des
relations avec les tiers. Les dirigeants n’ont d’autre choix que de montrer, leur engagement, non pas
en paroles, mais en actes, non pas en symboles, mais en mesures concrètes.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 77/102
Livre ouvert sur la sécurité
Face à la complexité du sujet, tout plan d’action ne peut se concevoir sans une approche politique
claire, affichée et formelle. Une réglementation écrite est nécessaire. Sa mise en œuvre ne peut
réussir sans l’adhésion et implication de toute l’entreprise. Seuls les hommes et l’organisation
garantiront sa mise en oeuvre.
Le terme « politique » a été utilisé dans des sens très variés dans la sécurité informatique.
Est-ce une charte composée de quelques principes fondateurs ?
Est-ce un programme (politique) qui s’appuie sur une vision du risque ?
Est-ce un ensemble de règles à appliquer obligatoirement ?
Est-ce un ensemble de principes, de bonnes pratiques de sécurité qu’il convient d’appliquer
lorsqu’on le peut en fonction de critères opérationnels ou économiques ?
Est-ce une spécification technique des processus à mettre en place voire des configurations
requises pour les infrastructures et les services ?
6.3.2 Fondamentaux
Indépendamment de son champ et de son contenu, une politique de sécurité repose sur 4 bases
fondamentales :
La volonté des dirigeants doit être clairement exprimée.
Les principes de base et les règles fondamentales doivent être formulés.
Les interlocuteurs et responsables doivent être identifiés.
Les procédures et sources d’information doivent être diffusées et facilement accessibles.
Une politique cherche à répondre à des enjeux stratégiques liés au business, mais elle peut aussi
s’attacher à fixer des objectifs de sécurité déterminés par l’étude de scénarios de risques. Enfin, elle
peut reposer sur une démarche organisationnelle imposée par des exigences réglementaires (secret
médical, sécurité financière, …) ou environnementales (concurrence, terrorisme, …).
Toute politique s’appuie donc sur des enjeux et des orientations stratégiques. Telle entreprise mettra
en avant sa croissance économique, une autre privilégiera la qualité de ses produits ou la relation
avec ses clients, telle autre la réduction de son endettement. Dans l’administration, les enjeux seront
différents : la qualité des soins et le secret médical auront la priorité dans la santé, la qualité de
service et la sécurité des usagers seront privilégiées dans les transports publics. La lutte contre
l’espionnage industriel sera l’enjeu majeur des centres de recherche nationaux et de certaines
universités et grandes écoles.
C’est en fonction de ces paramètres que la politique sécurité prendra son sens en rappelant des
objectifs forts :
protection du savoir-faire
respect des obligations juridiques et réglementaires
protection des revenus
protection de l’image de marque
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 78/102
Livre ouvert sur la sécurité
financière des plans d’actions ? Comment imaginer une mise en œuvre de moyens qui ne soit
pas cohérente avec les risques évalués et les impacts économiques des incidents, des fraudes
et des piratages ? L’entreprise doit clairement rappeler que l’on ne dépense par 100 si l’on
risque 10.
L’intégration
Pour qu’elle soit efficace, que ce soit au sein d’une organisation ou d’un système d’information,
dans le cadre d’un projet ou d’un processus, la sécurité est intégrée sous des formes diverses :
• par la responsabilisation des acteurs
• par l’identification des risques dans les phases amonts des projets
• par l’utilisation, quand c’est possible, de dispositifs et d’outils (physiques ou logiques)
existants
L’efficacité des mesures mises en œuvre sera garantie par l’implication de chacun et non en
s’appuyant sur quelques individus.
La cohérence
La sécurité globale d’un système, d’un processus, d’une organisation doit être cohérente. Elle
dépend toujours du maillon le plus faible. La mise en oeuvre des dispositifs de sécurité vise à
garantir un niveau de sécurité homogène dans tous les domaines de la prévention/protection et
de la détection/réaction.
Il est inutile de blinder une porte si les fenêtres restent ouvertes ou chiffrer des données si les
documents confidentiels restent sur les bureaux, les portes ouvertes.
La simplicité
Face à la complexité et à la rapidité d’évolution de l’environnement (politique, social, technique,
marketing et organisationnel), les mesures de sécurité seront d’autant plus acceptées et
efficaces qu’elles seront simples et compréhensibles par les collaborateurs, les fournisseurs, les
partenaires et les clients.
Une action bien ciblée, quelques règles bien comprises et appliquées seront plus efficaces que
de multiples consignes s’appuyant sur des outils difficiles à utiliser.
La proportion
Dans un souci d’efficience, les dispositifs de sécurité sont proportionnés aux risques et aux
menaces encourus. Les coûts et les conditions de mise en oeuvre des mesures ne sont validés
qu’après identification et évaluation précises des enjeux. Trois niveaux de sécurité peuvent être
définis :
• standard : applicable pour toute information en faisant appel à des dispositifs de sécurité
existants.
• renforcé : applicable à des informations sensibles et des systèmes critiques, en faisant
appel à des dispositifs de sécurité complémentaires sans remise en cause fondamentale
de l’environnement technique et organisationnel.
• sur mesure : applicable à des informations secrètes et des systèmes vitaux reposant sur
des dispositifs de sécurité certifiés ou spécifiques dont seule l’entreprise possède la
maîtrise.
La transparence
La politique se met en oeuvre dans un souci de transparence des décisions et des processus
opérationnels. Ceci vise à faciliter le contrôle et l’audit et s’applique dans le cadre des projets,
des opérations quotidiennes et des incidents.
La pérennité
Les solutions de sécurité doivent être conçues à partir de produits pérennes et sur des
technologies éprouvées. Ils offrent des garanties d’évolutivité dans le temps, d’adaptation à
l’apparition de nouveaux risques et de facilité de maintenance à un coût raisonnable.
La politique évoluera en fonction de l’expérience acquise au quotidien et sur l’évolution de
l’environnement notamment législatif et organisationnel.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 79/102
Livre ouvert sur la sécurité
Il n’est pas toujours nécessaire de répondre à des enjeux pour faire de la sécurité. On peut se
satisfaire d’une démarche plus qualitative, analogique voire historique. Peut-on concevoir une
maison sans portes ? Même dans les plus beaux quartiers, a priori les plus sûrs, on met des portes
et des verrous ! L’assureur l’exige bien sûr. Par ailleurs, il est possible d’observer ce que font les
partenaires, les autres entités du groupe, … On s’adapte plus tactiquement que politiquement à des
pratiques de sécurité, à des exigences ou des contraintes externes.
Dans la cyber-sécurité, des services se sont imposés peu à peu et rien ne semble en mesure de les
remettre en cause sur le fond :
sauvegardes
codes secrets
coupe-feu
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 80/102
Livre ouvert sur la sécurité
anti-virus
…
Certes, ils répondent à des risques réels et souvent quotidiens mais se pose-t-on encore la question
du risque avant de mettre en œuvre et d’acheter ces dispositifs ? Ne peut-on se convaincre une
bonne fois pour toutes que c’est une sécurité « intégrée » à d’autres processus comme la mise en
œuvre d’une application, le déploiement d’une architecture bureautique ou de réseaux ? Nous
sommes ici dans une approche politique de type « bonnes pratiques », qualitative et reposant sur de
l’expérience. On rentre dans le domaine de l’expertise plus que du management, ce dernier étant de
toute façon requis pour la mise en œuvre.
Quelques familles de « bonnes pratiques » se sont peu à peu imposées. Elles répondent à une
démarche de prévention et d’anticipation. Ce sont :
les contrôles d’accès logiques
le cloisonnement de réseaux
la gestion des attaques logiques
la confidentialité des informations
les contrôles d’accès physiques
la continuité des activités
Elles peuvent être complétées par d’autres domaines émergents qui s’adressent à de nouveaux
cyber-risques liés à l’e-business et à l’e-commerce.
la signature électronique
les moyens de paiement sécurisés
…
Les guides de « bonnes pratiques » seront complétés par des guides de management qui décrivent
la veille et les relations extérieures
la sécurité dans les projets
l’analyse de risque et l’audit
la gestion des incidents et des crises
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 81/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 82/102
Livre ouvert sur la sécurité
Le dirigeant doit écrire que les systèmes d’information, les réseaux de communication, et
l’information elle-même :
représentent une composante essentielle du patrimoine et contribuent, par leur maîtrise et leur
qualité à l’efficacité des actions, à la confiance accordée par les clients, usagers, les
actionnaires les instances de tutelle, au développement et à la pérennité des activités.
sont un bien vulnérable soumis à des menaces très diverses. Toute altération, divulgation,
destruction, accidentelle ou malveillante, peut porter de graves préjudices à l’organisation et par
voie de conséquence à ses collaborateurs ou à ses clients et partenaires.
sont soumis à des menaces spécifiques liées au métier (concurrence, service public, relation
client/usager, gestion financière, …) qui exigent une vigilance accrue. L’Internet, ses
technologies et ses services, sont une source de développement, d’efficacité et de revenus
potentiels. Mais il introduit aussi des vulnérabilités très importantes dont il convient de se
prémunir.
Les décideurs doivent aussi chercher à impliquer l’ensemble des collaborateurs en insistant sur les
bonnes pratiques individuelles et essentiellement comportementales que chacun doit respecter. Elle
doit mentionner les acteurs en charge de la gestion de ces nouveaux risques et l’existence de la
Politique Sécurité qui constitue un cadre de référence applicable à l’ensemble des entités et avant
tout un objectif à atteindre. Cette politique est par nature insuffisante mais traduit une volonté
stratégique Sa mise en oeuvre nécessite l’implication de chaque collaborateur. Sans doute, l’enjeu
est de faire passer le message que la sécurité ne peut plus, ne doit plus être considérée comme une
arme de défense, mais comme un atout.
6.3.6.2 Entre « bonnes pratiques » et « obligations »
Pourquoi ne pas se satisfaire d’une « petite lumière » que chacun se chargerait de maintenir en vie
pour que dure la politique sécurité ? Plutôt que des obligations quasi-dictatoriales que chacun
passerait son temps à dénigrer ou ne pas respecter ?
Il y a un grand enjeu éducatif. C’est le choix classique de l’éducation ou de la répression. Nous
voyons sur les routes combien sont inefficaces les rappels à l’ordre, les contraventions et les retraits
de permis pour tenter de faire conduire les automobilistes moins vite, avec leur ceinture de sécurité
et sans avoir (trop) bu.
La sécurité est toujours contraignante et il est si simple de passer outre sans prendre beaucoup de
risques (personnels) d’ailleurs. Dans le monde de l’immatériel, nous devons nous poser la question
de la responsabilité individuelle, consciente, adaptable et non collective, uniforme, imposée.
C’est pour cela que l’approche par les bonnes pratiques prend du sens par rapport à des obligations
permanentes et imposées. Certes, il existe des domaines qui ne mériteront aucun compromis, mais
l’exception « obligatoire » confirmera la règle permanente du « libre choix », du « libre arbitre ».
Les obligations seront idéalement présentées dans un règlement intérieur en respectant les
processus d’élaboration avec l’assistance d’un avocat et de validation du Comité d’Entreprise ou des
représentants du personnel.
6.3.6.3 Entre technologies et processus
La sécurité informatique est un domaine principalement méthodologique et technique. La tentation
est grande, et l’expérience quotidienne le prouve, de conserver une approche par les outils. « Vous
avez un risque X, j’ai l’outil Y qu’il vous faut ». Discours classique d’offreur, qui possède bien des
avantages :
Il donne bonne conscience au client qui pense mettre en œuvre les moyens adaptés.
Il donne de l’activité aux experts de l’entreprise et aux prestataires qui peuvent justifier leur rôle
et leurs « alertes ».
Il développe un marché de produits essentiellement américains.
Malgré ce développement marketing et cette profusion d’outils, la sécurité des entreprises s’en
porte-t-elle mieux ?. Il nous faut sans doute reprendre le travail et ici encore rentrer dans une
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 83/102
Livre ouvert sur la sécurité
approche « qualité ». Quels sont les processus de sécurité essentiels, vitaux que doit posséder
l’entreprise pour couvrir ses risques ?
Nous retombons encore une fois sur les « bonnes pratiques » qui se déclineront quasi-
mécaniquement en « processus » et non pas en outils techniques. Bien sûr ils existent et sont fort
utiles mais ils ne peuvent rentrer dans une approche politique sans de nombreux pré-requis souvent
oubliés.
6.3.6.4 Entre règles et procédures
Elaborer des règles et des bonnes pratiques démontre la connaissance des risques et la volonté de
les gérer. Le danger des bonnes pratiques, c’est d’élaborer, de proposer des règles fonctionnelles
ou opérationnelles mais qui n’indiqueront pas comment il faut les respecter voire les appliquer. Les
bonnes pratiques n’ont de sens que si des procédures adaptées aux règles et aux processus sont
définies, formalisées et implémentées.
Combien d’entreprises possèdent des procédures de « cyber-sécurité » formelles et maintenues ?
C’est toute la difficulté du choix politique des « bonnes pratiques ». Si elles restent des vœux pieux,
elles reviennent elles-aussi à se donner bonne conscience. D’où l’intérêt extrêmement important qu’il
faut porter à la sensibilisation voire à la formation.
6.3.6.5 Entre information et formation
Il y a une différence fondamentale entre se sentir responsable (sans forcément l’être) parce qu’on
est informé et être acteur, actif, parce que l’on sait précisément ce que l’on doit faire et comment.
Les efforts à consentir dans un cas comme dans l’autre sont forts différents. Les résultats le sont
aussi.
Le cas de la gestion des mots de passe ou des virus est exemplaire. Combien de fois a-t-il été
répété, écrit et re-écrit qu’un code secret, parce qu’il est secret ne se communique à personne ? Et
pourtant …
De la même façon, combien de fois a-t-il été dit et redit au sein des entreprises et par de nombreux
médias comment se propageaient les nouveaux virus ainsi que les consignes à respecter ? Et
pourtant …
La véritable question reste que chacun à son niveau assume ses responsabilités, et cela commence
au niveau des dirigeants. Se contenter d’informer le personnel est nécessaire mais n’est plus
suffisant. Les chartes n’ont de sens et seront satisfaisantes et utiles que si elles sont signées
individuellement. Peut-on se contenter de transmettre un savoir ? Peut-on se satisfaire de
collaborateurs qui « ont » plus qu’ils ne « sont » ? Comment passer d’une culture de l’ « avoir » à
une culture de l’ « être » ?
L’enjeu n’est-il pas aujourd’hui de former l’ensemble des collaborateurs en fonction de leur profil à ce
qu’ils doivent faire quotidiennement pour réduire la négligence humaine naturelle, limiter les
capacités de malveillance et réellement responsabiliser ?
6.3.6.6 Entre sensibilisation et contractualisation
Nous pouvons aller plus loin que cette dichotomie sur l’information ou la formation qui vise à
responsabiliser en communiquant un savoir, une connaissance ou en apportant des compétences,
un savoir-faire. L’objectif est-il de se satisfaire d’une sensibilisation, une formation de surface ou de
rechercher une véritable responsabilité professionnelle et contractuelle. Aujourd’hui, nous sommes
bien obligés de considérer que seule une véritable contractualisation des droits et devoirs de chaque
acteur est rendue nécessaire. Comment peut-elle se mettre en œuvre ?
Tout d’abord au sein du contrat de travail, puis du règlement intérieur comme nous l’avons vu plus
haut. Mais aussi sous la forme de clauses contractuelles que l’entreprise élabore avec ses
fournisseurs. Nous pouvons schématiser ces intervenants externes en trois catégories :
les accords de confidentialité applicables à tous acteurs et tout contexte
les engagements de sécurité des services sous traités
les exigences de sécurité pour l’hébergement de sites informatiques et services Internet
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 84/102
Livre ouvert sur la sécurité
les engagements contractuels des parties dans le cadre des contrats de prestation de services
6.3.6.7 Entre concentration et décentralisation
Finalement, pour mettre en œuvre cette politique, l’entreprise doit se déterminer clairement dans le
domaine de l’organisation. Une approche « centralisatrice », concentrée, des missions et des
acteurs prend un sens dans les petites structures, mono-métier et dont les implantations sont
limitées par exemple à une région ou un pays. Néanmoins, s’il existe une entité centrale responsable
des aspects « politiques », il n’est pas inutile de prévoir des « correspondants » décentralisés sur le
terrain dont la mission non permanente sera d’animer, de conseiller et de contrôler au quotidien la
mise en œuvre de la réglementation.
A l’autre extrême, dans les grands groupes et les multinationales, présentes sur un ou plusieurs
continents, et qui exercent leurs activités dans plusieurs métiers, une approche centralisée reste
possible mais devient très délicate. Une approche décentralisée ne doit pas omettre le devoir du
dirigeant voire de l’actionnaire. Comment alors concilier l’expression d’une volonté commune, unique
et la mise en œuvre adaptée, efficace, respectueuse des différences dans les entités et les métiers,
le tout en évitant les redondances, incohérences et dépenses superflues ?
6.3.7 Synthèse
Les « meilleures pratiques » sont avant tout des exigences « qualité » et si elles répondent à des
menaces, ne nécessitent pas fondamentalement de mesures de risque. Ne pas faire, n’est-ce pas
tout simplement être inconscient voire irresponsable ? Sécurité et qualité des infrastructures ne font
plus qu’un.
Avoir une approche stratégique du risque, élaborer des textes de politique sont importants mais non
suffisants. L’ensemble des acteurs doit connaître et appliquer des consignes adaptées à cette
réglementation. Ne pas informer et former ses collaborateurs et ses prestataires, voire ses clients
des droits et devoirs de chacun relève si ce n’est de l’incohérence, de l’erreur.
A l’heure de la sous-traitance des systèmes d’information, des réseaux et de leur sécurité,
l’entreprise doit s’adapter en termes de technologies, de processus, d’offreurs. Omettre les aspects
juridiques de la sécurité dans ses contrats fournisseurs est une faute parfois lourde de conséquence.
Avoir confiance dans ses technologies, ses hommes et ses fournisseurs, là se situe l’avenir de la
sécurité. Mais qu’est-ce qu’un offreur de confiance ? Peut-on acheter de la confiance ?
Ce concept essentiel nous ramène finalement au principe fondateur de la sécurité, à la science du
secret qu’est la cryptologie, dans ses deux déclinaisons fondamentales :
Pour la confidentialité des informations qui s’adresse à la vie privée, à la guerre économique
Pour la signature électronique et les paiements sécurisés qui s’adresse au monde de l’e-
business et de l’e-commerce
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 85/102
Livre ouvert sur la sécurité
7 LES CERTIFICATIONS
Les instances nationales officielles telles que la DCSSI en France, organisme inter ministériel
dépendant des services du Premier Ministre (Secrétariat Général de la Défense Nationale) apportent
la garantie qu’un outil de sécurité est lui-même sécurisé. Cette Direction Centrale pour la Sécurité
des Systèmes d’Information délivre des certificats qui attestent du sérieux des phases de
développement des produits, de leur aptitude à remplir les fonctions de sécurité dans des conditions
définies et du degré de confiance qu’on peut accorder au produit certifié. Des sociétés françaises,
les CESTI (Centre d'Evaluation de la Sécurité des Technologies de l'Information) expertes dans les
travaux de validation des produits et bien sûr indépendantes de tout constructeur, s’assurent en
amont de la conformité des produits de sécurité candidats aux certifications et aux exigences des
degrés de confiance que les cibles évaluées souhaitent atteindre. Elles portent ensuite le dossier de
certification auprès de la DCSSI qui signe et décerne le certificat de conformité.
Ainsi, les sociétés utilisatrices peuvent accorder à leurs solutions de sécurité un degré de confiance
précisément défini par un certificat dans une échelle qui comprend six niveaux pour la certification
ITSEC (Information Technology Security Evaluation Criteria) et sept niveaux pour la certification
Critères Communs (EAL1 à EAL7) . Les constructeurs peuvent alors prouver la qualité de leurs
produits de sécurité par un certificat officiel, après une validation effectuée par des centres
d’expertises français agréés par cet organisme. Cette certification apporte l’assurance que tout au
long de la phase de développement des produits, puis dans les tests de validation, les failles les plus
insidieuses donc les plus dangereuses que peut comporter tout logiciel n’entachent pas les produits
de sécurité certifiés à un niveau raisonnable sur une cible de sécurité suffisamment large.
La sécurité des systèmes d’informations obtenue par des firewalls, VPN, sondes de détection
d’intrusion, systèmes d’authentification forte ne sera pas compromise par des portes dérobées
éventuelles cachées dans ces logiciels car elles auraient été décelées et bien entendu supprimées
au cours de la conception et de l’évaluation de ces produits.
7.2 L'ISO17799
Partie prise en charge par Anne Coat-Rames (AQL et AFNOR) anne.coat@aql.fr
7.3.1 Historique
L'ISO 21827 est issue du passage en Fast Track en octobre 2002 auprès de l'ISO/ JTC1/ SC27 du
modèle Systems Security Engineering- Capability Maturity Model (SSE-CMM(®)) du Software
Engineering Institute (université de Carnegie Mellon http://www.sei.cmu.edu/sei-home.html ).
Le modèle SEI devient alors la norme ISO 21827:2002 Technologies de l'information-Ingénierie
de sécurité système-Modèle de capacité de maturité (SSE-CMM(®)). Il est actuellement
disponible en anglais, gratuitement sur le site de l'ISSEA (international Systems Security
Engineering Association), ou sur le site de l'ISO.
Ce référentiel a été développé à partir de 1995, à l'initiative de la NSA et de la DoD, sur les bases
génériques de CMM(®) par un groupe de projet composé d'industriels, d'universitaires, et d'entités
gouvernementales.
Son objectif était de :
Démontrer les relations entre l'ingénierie de système et l'ingénierie de la sécurité,
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 86/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 87/102
Livre ouvert sur la sécurité
les processus focalisés sur l'évaluation et le management du risque, identification des menaces
et vulnérabilités puis analyse de leur impact sur l'organisation, qui permettent d'identifier les
risques suffisamment importants pour devoir être pris en compte par l'organisation,
les processus de spécification des besoins de sécurité, des mesures de sécurité, et de mise en
œuvre de ces dispositions, dans un objectif de réduction et de contrôle des risques identifiés et
retenus précédemment. Ces processus sont mis en œuvre conjointement aux processus de
construction des produits et systèmes,
les processus d'assurance sécurité, qui vérifie la mise en œuvre des dispositions, et mesurent
leur efficacité dans l'atteinte du niveau de sécurité souhaité.
Ce référentiel, même sous sa forme d'ISO 21827, ne permet pas de certification, mais permet de
compléter des (auto) évaluations, en fournissant un cadre d'évaluation des pratiques de
l'organisation en matière de sécurité.
Son principal intérêt est d'engager l'organisation dans une démarche d'amélioration continue de sa
sécurité, compatible avec d'autres démarches d'amélioration continue, et d'autres systèmes de
management (ISO 9001, CMMi(®), ISO 15504, par exemple).
Les utilisateurs, surtout américains, œuvrent dans des domaines pointus, comme la fabrication de
micro-processeurs, ou de systèmes technologiques avancés, ou pour la sécurité nationale. De par
sa nature (culture sécurité), le nombre précis d'utilisateurs réguliers de ce référentiel n'est pas
connu.
A la suite des attentats du 11 septembre les USA ont encore considérablement accru leurs moyens
de recherche dans ce domaine pour éviter ce qu'ils nomment un "digital Pearl Harbor. L’Europe a
son niveau tente de s’organiser.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 88/102
Livre ouvert sur la sécurité
7.4.1 Le NIAP US
Lors de la conférence RSA (2004.rsaconference.com) qui s'est ouverte ce 23 Février à San
Francisco, le NIAP (niap.nist.gov) proposait un tutoriel sur les critères communs (norme ISO 15408).
Jean Schaffer, directrice du NIAP, a exposé les objectifs du gouvernement américain qui impose
l'évaluation de tous les produits de sécurité (IA products) et des produits incluant des fonctions de
sécurité (IA-enabled products), achetés par tout organisme public aux USA.
Le NIAP est le National Information Assurance Partnership, l'équivalent américain du CESTI au sein
de la DCSSI en France. Le NIAP est né d'une collaboration du NIST et de la NSA pour promouvoir
ce qu'ils appellent "security testing", "security evaluation", et "security assessment", à la fois auprès
des éditeurs et auprès des consommateurs.
Le NIAP a défini des profils de protections pour tous les principaux produits de sécurité : firewalls,
boîtiers de chiffrement et IDS, et poursuit cette initiative pour tous les produits incluant des fonctions
de sécurité comme les routeurs, les serveurs de messagerie ou les systèmes d'exploitation. Ces
profils répondent aux besoins du gouvernement américain et l'évaluation est obligatoire pour qu'un
produit sur étagère puisse être acheté. Lorsqu'un profil de protection existe l'évaluation doit être faite
obligatoirement vis-à-vis du profil de protection, ou avec une cible de sécurité qui inclue le profil de
protection.
Le NIAP est bien sûr dans l'accord de reconnaissance mutuelle qui lit les 8 pays ayant un schéma
de certification et les 18 autres qui reconnaissent la certification, mais l'usage obligatoire des profils
de protection américains est une limite majeure à cette reconnaissance internationale.
Officiellement depuis Juillet 2002, l'obtention du certificat d'évaluation est obligatoire, et la politique
du gouvernement US n'a jamais changée.
Cependant les vendeurs ont crus que le gouvernement ne respecterait pas sa politique de n'acquérir
que des produits évalués aux critères communs et il se sont dit qu'il était urgent d'attendre et n'ont
pas lancé d'évaluation, mais Jean Schaffer nous assure que le gouvernement a respecté sa
promesse et interdit l'achat de produits non évalués.
7.4.2 Le DCA
Pour respecter le code des marchés public américains, il manquait des produits évalués, alors le
NIAP a accepté de faire le DCA : Deferred Compliance Authorization. Chaque institution américaine
peut faire une liste des produits pas encore évalués, qui pourront répondre aux appels d'offre sur
l'engagement formel d'une évaluation réussie dans un délai fixé.
Cette méthode ferme peut expliquer la forte croissance de l'évaluation aux USA. Si le nombre de
laboratoires d'évaluation agréés n'a pas beaucoup changé, 7 en 2003 et 8 en 2004, le nombre de
produits en cours d'évaluation est en croissance constante. Le NIAP a 53 certificats en cours de
validité, 38 avec des cibles d'évaluation et 17 avec des profils de protection. Il y a au 23 Février
2004, 73 produits en cours d'évaluation aux USA, 70 avec une cible de sécurité spécifique et 3 vis-à-
vis d'un profil de protection. Il y a eu aussi 16 certificats qui ont été annulés, abandonnés ou
remplacés, et 40 évaluations qui n'ont pas étés à leur terme soit en tout 182 dossiers au NIAP. Il y a
eu des abandons en cours d'évaluation, des cas où la relation étroite nécessaire entre l'éditeur et le
laboratoire d'évaluation n'a pas marché, etc.
Jean Schaffer précise que le schéma de certification américain est une excellente opportunité pour
les produits américains de conquérir le monde et faire des affaires.
En ce qui concerne le processus, un éditeur souhaitant être certifié doit choisir un laboratoire
d'évaluation parmi les 8 agréés. Ce dernier doit valider la cible d'évaluation de l'éditeur, et ensuite ils
viennent voir le NIAP qui réuni tout le monde et lance l'évaluation. Jean Schaffer rappelle que plus
de 90% des évaluateurs n'ont pas respecté l'agenda prévu et qu'il ne sert à rien en tant que vendeur
d'être agressif avec l'évaluateur, le NIAP vérifie en permanence que le laboratoire ne subit pas de
pressions du vendeur et n'arrondit pas les angles.
Aux USA l'évaluation la plus courte a durée 3 mois, et la plus longue 3 ans.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 89/102
Livre ouvert sur la sécurité
Pour gérer l'épineux problème des correctifs et des nouvelles versions d'un produit par rapport à une
évaluation, un nouveau processus de maintenance de l'évaluation a été approuvé de manière
internationale en Janvier 2004. Lorsqu'un certificat a été émis sur un produit, lors de la sortie de
correctifs ou d'une évolution du produit, il faut fournir au NIAP un rapport analysant les impacts des
nouveautés par rapport à l'évaluation déjà faite.
Il faut prouver au NIAP que les changements effectués n'affectent pas l'évaluation réalisée et
l'assurance de celle-ci. La grande différence entre une évaluation et sa maintenance, est que
l'éditeur ne doit pas retourner voir le laboratoire, il s'adresse directement au NIAP.
Le NIAP va revoir si nécessaire le laboratoire qui a fait l'évaluation. Si le NIAP considère que les
correctifs ou évolutions n'affectent pas le certificat obtenu il publie un ajout sur son site web
précisant les nouvelles versions du produit concernées. Si le NIAP n'est pas sûr, il demande une
réévaluation par le laboratoire qui va uniquement regarder les changements réalisés. Cette
réévaluation demande un mois en général, à l'issue de laquelle l'éditeur obtient un nouveau certificat
comme s'il avait tout recommencé depuis le début.
La seule exception à l'évaluation par le schéma du NIAP est celle des produits cryptographiques
dont la partie cryptographique doit être évaluée par le NIST vis-à-vis du standard FIPS140 en
préalable à une évaluation aux critères communs.
Visiblement plusieurs éditeurs ont souffert, ils considèrent l'évaluation trop conceptuelle et pas assez
réaliste, trop lente et pas adaptée aux produits renouvelés tous les 3 mois. Il n'en demeure pas
moins que le processus d'évaluation vis-à-vis des critères communs semble décoller aux USA.
Prudence cependant, en réponse à une question, Ken Eliott, évaluateur senior, a confirmé qu'il était
possible qu'un produit soit certifié avec une porte-dérobée permettant à l'éditeur d'effectuer un
diagnostic à distance.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 90/102
Livre ouvert sur la sécurité
8 LA VEILLE SECURITE
Partie prise en charge par Olivier Caleff (Apogée Communications)
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 91/102
Livre ouvert sur la sécurité
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 92/102
Livre ouvert sur la sécurité
10 BIBLIOGRAPHIE ET REFERENCES
10.1 GENERAL
(Réf. 1) http://www.netcost-security.comhttp://www.mag-securs.com/
(Réf. 3) http://secuser.com
(Réf. 4) http://www.zataz.com/
(Réf. 5) http://securiteinfo.com/
(Réf. 6) http://www.clusif.asso.fr/
10.3 VOIP
(Réf. 8) http://www.forumvoip.com/
(Réf. 9) http://www.sipforum.org/
(Réf. 10) http://www.voipwatch.com/
(Réf. 11) http://www.vonmag.com/
(Réf. 12) http://www.sipcenter.com/
(Réf. 13) http://www.voip-info.org/
(Réf. 14) http://www.iptel.org/
(Réf. 15) http://www.voip-news.com/
(Réf. 16) http://www.voip.org.uk/
(Réf. 17) http://vomit.xtdnet.nl/
10.4 WI-FI
(Réf. 18) ART http://www.art-telecom.fr/
(Réf. 19) WECA http://www.weca.net/OpenSection/index.asp
(Réf. 20) WLANA : http://www.wlana.org/index.html
(Réf. 21) IEEE 802.11 : http://grouper.ieee.org/groups/802/11/
(Réf. 22) Wi-Fi Planet : http://www.wi-fiplanet.com/
(Réf. 23) Wi-Fi Networking News : http://wifinetnews.com/
(Réf. 24) Paul Mühlethaler : 802.11 et les réseaux sans fil (Eyrolles)
(Réf. 25) HiperLAN/2 : http://www.etsi.org/
(Réf. 26) Bluetooth : http://bluetooth.com
(Réf. 27) UnStrung : http://www.unstrung.com/
(Réf. 28) Rappels de théorie radio http://www.swisswireless.org/wlan_calc_fr.html
(Réf. 29) Microsoft Technology Center :
http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx
(Réf. 30) O'Reilly - comparaison technique de TTLS et PEAP
http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 93/102
Livre ouvert sur la sécurité
10.6 JURIDIQUE
(Réf. 37) http://www.clic-droit.com/
(Réf. 38) http://www.iteanu.com/
(Réf. 39) http://www.juriscom.net/
(Réf. 40) http://www.murielle-cahen.com
(Réf. 41) http://www.cnil.fr/
(Réf. 42) http://legifrance.gouv.fr
(Réf. 43) http://www.legalbiznext.com/
(Réf. 44) Livre “Tous Cyber Criminels“ de Olivier Itéanu (Laffont éditeur)
10.7 LOISIRS
10.7.1 Livres
(Réf. 45) L’ours et le dragon de Tom Clancy
Comment un logiciel espion s’avère déterminant pour gagner la guerre entre les USA et la Russie
d’un côté et la Chine de l’autre.
(Réf. 46) Mademoiselle Chat de Frank et Vautrin (Fayard)
Les services secrets alliés essaient de voler la machine à chiffrer allemande ENIGMA
(Réf. 47) Piège sur le réseau de Philipp Finch (titre original : f2f) Presses de la Cité
Un serial killer recrute ses victimes sur le Net. Intrusions, capture d'information, cheval de troie, vers,
phreaking, vol de n° de cartes de crédit (codeZ)... l'attaque informatique dans toute sa splendeur.
(Réf. 48) Histoire des codes secrets de Simon Singh
De l'Égypte des pharaons à l'ordinateur quantique
(Réf. 49) Da Vinci Code de Dan Brown
Un méchant albinos, une jolie cryptographe et quelques espions du Vatican pour déchiffrer un code
secret et découvrir l'un des plus grands mystères de notre temps.
(Réf. 50) Operation Fiat Lux de Thomas O'Neil et Jean de Kerily
Un grand groupe français victime d'un crack boursier découvre une manipulation orchestrée par un
fond d'investissement proche de la NSA.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 94/102
Livre ouvert sur la sécurité
10.7.2 Films
(Réf. 51) U571 – (Universal studios)
Comment l’équipage d’un sous-marin américain s’empare de la machine ENIGMA en abordant un
sous-marin allemand en perdition.
(Réf. 52) Le rideau déchiré (Alfred Hitchcock)
Les secrets étaient cachés dans une note de musique. Bel exemple de stéganographie.
(Réf. 53) Contact (Robert Zemeckis)
Encore un bel exemple de stéganographie : un vieux film d'actualité livre ses secrets
(Réf. 54) Wargames (John Badham)
David commence par infiltrer le réseau informatique de son lycée et finit par celui du Pentagone. A
quoi tient le déclenchement de la 3° guerre mondiale !
(Réf. 55) Matrix (Andy Wachowski)
Inutile de présenter....
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 95/102
Livre ouvert sur la sécurité
11 GLOSSAIRE
11.1 ACRONYMES
AP Access Point
ART Autorité de régulation des Télécommunications.
BAS Broadband Access Server
BLR Boucle Locale Radio
BPSK Binary Phase Shift Keying
CCK Complementary Code Keying
DSSS Direct Sequence Spread Spectrum
EAP Extensible Authentication Protocol
EAP-TLS EAP with Transport Layer Security
EAP-TTLS EAP with Tunnelled Transport Layer Security
ESS Extended Service Set
ETSI European Telecommunications Standard Institute
FHSS Frequency Hopping Spread Spectrum
IBSS Independent BSS
IDS Intrusion Detection System
IEEE Institute of Electrical & Electronic Engineers
IETF Internet Engineering Task Force
L2TP Layer 2 Tunneling Protocol
LAN Local Area Network
LEAP Lightweight EAP
MD5 Message Digest 5
MEGACO Media Gateway Controller
MGCP Media Gateway Control Protocol
NAS Network Access Server
OFDM Orthogonal Frequency Division Multiplexing
PAN Personnal Area Network
PBX Private Branch Exchange
PEAP Protected EAP
PIRE Puissance Isotrope Rayonnée Equivalente
PPTP Point-to-Point Tunneling Protocol
PSK Pre-Shared Key
QAM Quadrature Amplitude Modulation
QPSK Quadrature Phase Shift Keying
RAS Remote Access Server
RLAN Radio LAN
ROI Return on Investment
RTCP Realtime Control Protocol
RTP RealtimeTransport Protocol
SCTP Stream Control Transmission Protocol
SDP Session Description Protocol
SIP Session Initiation Protocol
SSID Service Set Identification
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 96/102
Livre ouvert sur la sécurité
11.2 DÉFINITIONS
DES, 3DES Data Encryption Standard : Chiffrement symétrique qui permet d’assurer le
chiffrement des données. Le DES a une longueur de clé utile de 56 bits, le triple
DES de 168 bits.
802.11a Autre variante du protocole 802.11, également qualifié Wi-Fi, mais opérant dans
une autre bande de fréquences d’accès encore très limité en France
802.11b, 802.11g Variantes du protocole 802.11 adoptées par les produits courants "WiFi" et qui
correspondent à des techniques de modulation différentes, dont la différence
tangible pour l'utilisateur se traduit par le débit maximum.
802.11i Extension du protocole 802.11 pour la sécurité.
AAA Authentication, Autorisation and Accounting : Un serveur AAA est un serveur
d’authentification forte qui délivre les autorisations d’accès et gènère les
éléments comptables.
ACL Access Control List : Liste d’adresses ou de ports fonctionnant comme un filtre
pour gérer les autorisations/interdictions d’accès.
AES Advanced Encryption Standard : Méthode de chiffrement symétrique, d'origine
belge, utilisée par l’armée américaine, plus moderne que le DES, plus rapide,
dont les clés sont plus longues.
AH Authentication Header, champ ajouté par l’IPSEC devant chaque paquet IP pour
permettre son authentification
Appliance Plate-forme matérielle sur laquelle sont préchargés les logiciels de sécurité
(Firewall et VPN, parfois aussi détecteur d’intrusion). Les appliances peuvent être
des PC standards modèle tour, ou des racks 1u et 2u, ou encore des boîtiers
spécifiques.
ASLEAP Attaque de type dictionnaire sur LEAP
BLR Boucle Locale Radio
Booter Lancer les services du système d’exploitation pour que les applications qui les
utilisent soient prêtes à fonctionner. Le boot (amorçage) se fait à l’allumage du
poste de travail et du serveur.
BPSK Binary Phase Shift Keying
Broadcast Diffusion : Émission depuis un point vers toutes les stations susceptibles de
détecter le signal.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 97/102
Livre ouvert sur la sécurité
BSS Basic Service Set : Ensemble formé un point d'accès et les stations situées dans
sa zone de couverture radio électrique.
BSSID Basic Service Set IDentifier : identifiant d’un point d’accès, concrètement son
adresse MAC.
Centrino Une offre matérielle d’INTEL, composée d'un processeur (Pentium-M), d'un jeu
de composants associé (le 855) et d'un module Wi-Fi qui assure l'émission et la
réception des données (contrôleur RLAN Intel PRO/2100).
CERT Computer Emergency Response Team. Réseau mondial de centres qui
réceptionne et diffuse les alertes de sécurité et les vulnérabilités des systèmes.
Voir sur www.cert.org.
Certificat Fichier contenant divers renseignements qui permettent d’authentifier un
utilisateur, avec en particulier son nom, sa société, l’autorité de confiance qui a
signé ce certificat, les dates de validité du certificat, la clé publique qui va
permettre de chiffrer / déchiffrer lors d’un chiffrement asymétrique et une partie
chiffrée qui permet d’en contrôler l’origine.
Clé USB Ou token USB. Objet amovible contenant un chip dans lequel sont stockés les
certificats et les clés de chiffrement. La différence avec une carte à puce est que
la clé USB se positionne dans le port USB que tous les postes de travail
possèdent en standard et ne nécessite donc pas d’acquérir un lecteur
additionnel. Le contenu du chip de la clé USB ne peut être recopié, ce qui offre
une sécurité plus grande que le stockage de la clé privée sur un disque dur ou
sur une disquette.
CNIL La Commission Nationale de l’Informatique et des Libertés est une autorité
administrative indépendante à qui toute action de constitution de liste nominative
doit être communiquée. Voir www.cnil.fr
Codec Le codec identifie le mode de numérisation et de compression du signal (la voix
dans notre cas) se distinguent par leurs caractéristiques : qualité du signal
sonore, bande passante et capacité de traitement CPU requise. Les codec les
plus courants sont des recommandations ITU : G.711 (64 kb/s a & µlaw) ;
G.723.1(5,3/6,3 kb/s 30 ms frame size) ; G.729 (8 kb/s 10 ms frame size) ; mais
aussi GSM (13+ kb/s) ; Speex (2,15 - 44,2 kb/s)
Commutateur (Switch) : Équipement qui aiguille les paquets d’un segment vers un autre en se
basant sur un mécanisme d’adressage.
Concentrateur (Hub) : Équipement qui relie les différents segments physiques d’un réseau en
étoile. Le concentrateur laisse passer tous les flux sans contrôle.
Coupe-feu Voir firewall.
CRC Cyclic Redundancy Check : résultat d’un algorithme, destiné à vérifier l’intégrité
d’un message et éventuellement détecter des erreurs de transmission.
DES – 3DES Data Encryption Standard. Algorithmes de chiffrement symétriques. Le DES
utilise une clé de 56 bits, le 3DES utilise trois clés en série de 56 bits, qui
donnent une clé virtuelle de chiffrement de 168 bits.
Dialer VPN Appel Java qui ouvre un tunnel chiffrant depuis un poste client vers un RAS.
DMZ DeMilitarized Zone. Un ou plusieurs réseaux partant d’un firewall et qui ne sont ni
le réseau externe non protégé, ni le réseau interne très protégé. C’est une zone
intermédiaire avec une politique de sécurité particulière, dans laquelle on place
souvent le serveur Web institutionnel de l’entreprise, le serveur anti-virus et le
serveur de messagerie.
DoS Deny of Service (déni de service) : Attaque qui consiste à rendre un réseau
inopérant par saturation ou destruction de ses ressources.
DS Distribution System : Réseau d’infrastructure qui permet de relier plusieurs BSS
pour constituer un ESS. Le système de distribution peut être un réseau filaire, un
câble entre deux points d'accès voire un réseau.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 98/102
Livre ouvert sur la sécurité
ESP Encryption Standard Protocol, champs ajoutés devant et derrière chaque paquet
IP pour permettre l’authentification et le chiffrement / déchiffrement de ces
paquets.
ESS Extended Service Set : Ensemble de BSS reliés entre eux par système de
distribution (voir DS)
ESSID Extended Service Set IDentifier : Identifiant servant de reconnaissance mutuelle
entre un réseau et ses terminaux, souvent abrégé en SSID.
Firewall Solution logicielle ou matérielle placée en coupure entre deux ou plusieurs
réseaux et qui contrôle tous les échanges entre ces réseaux pour ne laisser
passer que les échanges autorisés par la politique de sécurité de l’entreprise qu’il
protège.
Garde barrière Voir firewall.
H.323 Recommandation ITU (Study Group 16) pour la transmission temps-réel de vidéo
et de données sur un réseau à commutation de paquet, traditionnellement
appliquée à la visio-conférence sur IP, mais aussi à la phonie.
Hacker Pirate qui attaque votre réseau par méchanceté, bravade, divertissement ou
simplement parce que c’est son travail. On trouve de plus en plus de hackers non
spécialistes mais équipés de logiciels d’attaques qui peuvent être trouvés
gratuitement sur l’Internet, et dont ils n’ont pas à connaître finement le
comportement pour les utiliser.
Hoax Fausse alerte de virus ou de ver, souvent un canular qui ne repose sur aucune
menace réelle mais génère néanmoins la peur, cause des pertes de temps et
empoisonne la vie des utilisateurs. Voir en http://hoaxbusters.ciac.org/
Hot Spot Réseau radio ouvert au public pour offrir l'accès à l'Internet à des utilisateurs de
passage.
HTTP Hyper Text Transfert Protocol. Protocole applicatif définissant les échanges entre
un client Web (tel que l’Internet Explorer ou le Netscape Navigator) et un serveur
Web tel que l’IIE ou Apache.
IKE Internet Key Exchange, méthodes de l’IPSec, basées sur le chiffrement
asymétrique, pour échanger la clé de chiffrement symétrique.
Intranet Réseau interne de l’entreprise dont les applications utilisent les protocoles
réseaux de l’Internet (protocoles IP).
IPSec Internet Protocol Security, suite de protocoles et méthodes qui ajoutent des
fonctionnalités d’authentification et de chiffrement à la version actuelle du
protocole IP, l’IPv4. La prochaine version des protocoles IP, l’IPv6, contient
d’origine toutes ces fonctionnalités de sécurité.
LDAP Le Lightweight Directory Access Protocol est un protocole IP qui définit comment
accéder à des services en ligne d'annuaire.
MIC Message Integrity Code : algorithme utilisé par TKIP pour calculer un code
d’intégrité d’un paquet.
NAT Network Address Translation, méthodes pour cacher les adresses IP d’un réseau
protégé, en les modifiant pour présenter des adresses différentes à l’extérieur. Il
y a la NAT statique qui fait correspondre une adresse publique à chaque adresse
interne privée, et la NAT dynamique qui attribue une adresse prise dans un pool
limité d’adresses publiques à chaque adresse interne, jusqu’à épuisement des
adresses disponibles.
NIC Network Information Centre : Autorité qui attribue des plages d’adresses Internet
et des noms de domaine aux utilisateurs.
NIC Network Interface Card : Carte d’adaptation installées dans un ordinateur et qui
fournit un point de connexion vers un réseau.
Paquet IP Parcelle élémentaire d’information dans laquelle les données sont transportées
dans les réseaux IP. Un paquet IP se compose d’une partie en-tête, et d’une
partie donnée.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 99/102
Livre ouvert sur la sécurité
PIN Personal Identification Number : Code secret à quatre chiffres (ou plus) qui
permet d’activer le dispositif d’authentification d’une clé USB ou d’une carte à
puce.
Pinhole Le trou d'une aiguille correspond dans le cas du Firewall à la brèche très limitée
qui est créée de manière temporaire pour laisser passer une connexion de son
ouverture à sa clôture.
PKI Public Key Infrastructure, infrastructure à clé publique qui se compose de
diverses autorités (de certification, d’enregistrement) et d’un système de
distribution de clés asymétriques.
Port D’un point de vue logiciel, numéro caractérisant une application (par exemple 80
est un numéro de port affecté au protocole web HTTP). D’un point de vue
matériel, un port caractérise un connecteur physique par exemple une clé
d’authentification s’adapte sur un port USB.
Poste mobile Poste qui peut accéder à un service sans se raccorder par câble..
Poste nomade Poste qui peut accéder à un service depuis n’importe quel point câblé.
Protocoles IP Série de protocoles définis par les RFC (Requests for Comments) et sur lesquels
les échanges Internet et par extension Intranet reposent.
Proxy Logiciel entre l’utilisateur et le serveur d’application, qui masque cette application
en se faisant passer pour le serveur
RADIUS Remote Authentication Dial-In User Service : Protocole normalisé qui décrit la
communication entre un RAS et un serveur AAA nommé RADIUS.
RLAN Réseau local (LAN) dont tout ou partie de l'infrastructure repose sur une
technologie radio.
RSA Du nom des inventeurs : Rivest, Shamir, Adelman. Le RSA est une méthode
d’authentification et de chiffrement à base de clés asymétriques basé sur des
clés de 1024 bits ou 2048 bits. Le RSA est souvent utilisé pour une
authentification mutuelle et un échange d’une clé de chiffrement symétrique.
RTC Réseau Téléphonique Commuté : La connexion RTC permet de se connecter à
Internet à partir de n'importe quelle prise téléphonique en connectant un modem
entre l'ordinateur et la ligne. Les modems RTC offrent un débit maximum de 56
Kbps (ou Kb/s pour kilo bits par seconde).
SDR Session Detail Records, correspond à la notion de tickets de consommation,
directement déduit des communications ayant eu lieu, et permettant donc la
facturation.
SMTP Simple Mail Transfert Protocol. Protocole applicatif sur lequel repose la
messagerie sur l’Internet.
Sniffer Sonde logicielle destinée à analyser le trafic sur un réseau. Les hackers les
utilisent pour récupérer à la volée des informations sensibles (par exemple mots
de passe) à l'insu des administrateurs réseau.
Softswitch Textuellement, commutateur logiciel, correspond au serveur de l'architecture
VoIP qui regroupe les fonctions autrefois réalisées par l'autocommutateur
(PABX), telles que la messagerie vocale, les fonctions de renvois, mais aussi
l'ACD ou l'IVR.
Spoofing Méthode de piratage qui consiste à usurper l'adresse IP d'un ordinateur du
système à attaquer, de manière à pouvoir l'accéder de manière transparente.
SSID Service Set IDentifier : Drapeau servant de reconnaissance mutuelle entre un
réseau et ses terminaux
TKIP Temporal Key Integrity Protocol : Protocole de chiffrement utilisé par WPA
USB Clé USB : objet amovible contenant un chip (une puce) dans lequel sont stockés
les certificats et les clés de chiffrement. La clé USB se positionne dans le port
USB des postes de travail. Son contenu ne peut être recopié et la clé
asymétrique ne quitte jamais le token USB.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 100/102
Livre ouvert sur la sécurité
VPN Virtual Private Network : Tunnel chiffrant entre deux réseaux protégés bâti sur un
réseau non-protégé et qui, après authentification mutuelle des deux bouts du
tunnel, chiffre les transactions qui doivent l’être et en assure l’authenticité, la
confidentialité et l’intégrité.
War-chalking Ensemble de symboles tracés par les hackers pour indiquer la présence d’un
réseau WiFi.
War-driving Technique utilisée par les hackers, qui consiste à se déplacer avec un ordinateur
portable et un système de réception radio, afin de détecter la présence de
réseaux WiFi. Le système peut être complété par un GPS pour localisation
automatique.
WEP Wireless Equivalent Privacy : mécanisme d’authentification et de chiffrement
standard du protocole 802.11
WiFi Label délivré par le WECA qui garantit l'interopérabilité des équipements radio
répondant au standard 802.11. Par extension de langage, désigne le standard
lui-même.
WPA WiFi Protected Access : mécanisme d’authentification et de chiffrement préconisé
comme solution d’attente de 802.11i, en alternative au WEP
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 101/102
Livre ouvert sur la sécurité
La reproduction et/ou la représentation de ce document sur tous supports est autorisée à la condition d'en
citer la source comme suit
L'utilisation à but lucratif ou commercial , la traduction et l'adaptation de ce document sous quelque support
que ce soit est interdite sans la permission écrite de l’etna.
12 août 2004 © etna – Voir en dernière page pour les droits de reproduction 102/102