Académique Documents
Professionnel Documents
Culture Documents
CONGO
ENSEIGNEMENT SUPERIEUR ET UNIVERSITAIRE
JUILLET 2O18
1
CHAP 1. LES FONDEMENTS DE LA SECURITE
INFORMATIQUE
2
3
I.1.2 VULNERABILITE(FAILLE)
4
I.1.3 INTRODUCTION AUX ATTAQUES INFORMATIQUES
5
6
7
8
9
10
11
I.1.4 RISQUES ET POLITIQUES DE SECURITE
12
13
I.2. PROTECTION
I.2.2 PROTECTION
14
15
16
I.3 LES PROGRAMMES MALVEILLANTS (MALWARES)
17
I.3.2.2 TYPES DE VIRUS
18
19
I.3.2.3 EVITER LES VIRUS
20
I.3.2 LES VERS RESEAU
I.3.2.1 GENERALITES
21
I.3.2.3 PARADES
I.3.3.1 Historique
L'origine du concept
22
Turing4 qu'il donna à la réception du prix Turing en 1983, prix qu'il avait
reçu pour avoir créé UNIX. Sa conférence est sous-titrée:
autrement dit :
Le cheval de Troie
23
Les chevaux de Troie aujourd’hui
24
I.3.3.5 Origines fréquentes des chevaux de Troie
25
Le RAT (Remote administration tool) est un logiciel de prise de
contrôle à distance d'un ordinateur. Un RAT peut être un outil
légitime (par exemple pour le dépannage à distance), mais il peut
aussi être utilisé par un pirate pour s'emparer d'une machine. Dans
ce cas, l'introduction du RAT sur la machine à contrôler se fait à
l'insu de l'utilisateur. Par exemple, par un cheval de Troie qui
contient le RAT, mais le RAT n'est pas le cheval. Contrairement à ce
qu'on lit parfois, le T de RAT ne signifie pas Trojan mais Tool (outil).
26
Les programmes commencent ou terminent leur exécution de
manière inattendue.
Le navigateur accède tout seul à certains sites Internet.
Présence d'autres programmes qui n'ont pas été volontairement
installés (y compris des logiciels malveillants).
Vol de renseignements personnels : informations bancaires, mots
de passe, codes de sécurité...
Suppression, modification ou transfert de fichiers (téléchargement
ou upload).
Exécution ou arrêt de processus.
Arrêt ou redémarrage impromptus de l'ordinateur.
Surveillance des frappes (voir Enregistreur de frappe)
Captures d'écran impromptues.
Espace libre du disque dur occupé par des fichiers inutiles.
Prévention et lutte
Pour lutter contre ce genre de programme malveillant, l'utilisation
d'un antivirus peut s'avérer efficace, mais reste souvent
insuffisante. Il est conseillé de faire une analyse complète de son
système d'exploitation et un nettoyage profond effectué de
préférence par un technicien agréé. Dans certains cas, l'utilisateur
peut se retrouver obligé de démarrer sur un autre système
d'exploitation, puis de redémarrer en mode sans échec pour pouvoir
reprendre la main.
27
I.3.5 SPYWARES (ESPIOGICIEL)
I.3.5.1 GENERALITES
28
I.3.5.2 TYPES DE SPYWARES
I.3.5.3 PARADES
29
I.3.6 LES RANSOMWARES (RANCOLOGICIEL)
30
I.3.7 LES KEYLOGGERS (ENREGISTREURS DE TOUCHE)
31
I.3.8 LES SPAMS(Pourriels)
32
33
34
35
I.3.9 LES ROOTKITS
I.3.9.1 GENERALITES
Pour l'« attaquant », l'utilité d'un rootkit est soit de mettre à disposition
des ressources système (temps processeur, connexions réseaux, etc.) sur
une, voire plusieurs machines (voir infra), parfois en utilisant la « cible »
comme intermédiaire pour une autre attaque ; soit d'espionner, d'accéder
aux données stockées ou en transit sur la machine cible L 2.
Ils sont généralement classés parmi les logiciels malveillants, mais pas
toujoursL 1 ; ils peuvent utiliser des « techniques virales » pour se
transmettre (par exemple, en utilisant un virus ou un cheval de Troie)5. Il
existe des outils de détection et des méthodes de protection pour les
contrer mais elles ne sont pas totalement efficaces.
I.3.9.2 Historique
En 1989 sont apparus des programmes manipulant les logs système (un
log est un « journal des opérations », sorte de livre de bord où sont
36
enregistrées les informations concernant l'état et l'activité d'un
ordinateur) pour cacher leur présence. D'autres programmes permettaient
de se dissimuler en manipulant les outils servant à vérifier les
informations sur les utilisateurs, telles que les commandes who, w, ou
last6, et ainsi être invisibles pour les administrateurs des machines.
La mise au jour de rootkits passe par leur publication ou se fait grâce aux
honeypots, des machines sciemment vulnérables utilisées par les
professionnels de la sécurité pour analyser le mode opératoire d'un
attaquant. Les résultats obtenus sont régulièrement évoqués lors de
conférences sur la sécurité, comme la conférence Black Hat.
Cette mise en œuvre peut être le fait d'un virus, mais elle résulte aussi,
souvent, de botnets qui réalisent des scans de machines afin d'identifier
et d'exploiter les failles utiles à l'attaque.
Même s'il n'est pas un virus à proprement parler, un rootkit peut utiliser
des techniques virales pour se transmettre, notamment via un cheval de
37
Troie. Un virus peut avoir pour objet de répandre des rootkits sur les
machines infectées. A contrario, un virus peut aussi utiliser les techniques
utilisées par des rootkits pour parfaire sa dissimulation 11.
Dissimulation
38
certains dossiersC 5. Une fois en place, le rootkit peut supprimer ses
propres fichiers d'installation pour éviter qu'il ne soit reconnu par une
recherche de fichiersC 2.
Le rootkit tente de ne pas apparaître dans les fichiers logC 4. Pour cela, il
efface certaines entrées des logs ou, de manière beaucoup plus
sophistiquée, utilisera des techniques de type « Stealth by Design »
(« furtif par conception »)13, à savoir implémenter à l'intérieur du rootkit
des fonctions système afin de ne pas avoir à appeler les fonctions
standards du système d'exploitation et ainsi éviter l'enregistrement
d'événements système suspectsC 4. Il peut ainsi désactiver certains
daemons et l'historique des shellsC 2.
39
Maintien de l'accès
40
comme un serveur de messagerie afin d'envoyer des mails (pourriel ou
spam) en quantité. Les ressources réseaux intéressent également les
attaquants, la machine pouvant alors servir de base pour d'autres
attaques (DDoS14, exploits) ou pour inspecter, sniffer l'activité réseau.
Bien que le terme ait souvent désigné des outils ayant la faculté d'obtenir
un niveau de privilège de type administrateur (utilisateur root) sur les
systèmes Unix, un rootkit ne cherche pas obligatoirement à obtenir un tel
accès sur une machine et ne nécessite pas non plus d'accès
administrateur pour s'installer, fonctionner et se dissimuler 16. Le
programme malveillant « Haxdoor »17, même s'il employait des
techniques de type noyau18 pour parfaire sa dissimulation, écoutait les
communications sous Windows en mode utilisateur19 : en interceptant les
API de haut niveau, il recueillait des données confidentielles avant leur
chiffrement.
I.3.9.4 Types
Un rootkit peut intervenir à un ou plusieurs niveaux du système parmi les
cinq suivants : micrologiciel, hyperviseur, noyau, bibliothèque ou
applicatifC 8.
Niveau micrologiciel/matériel
41
du code20 en détournant par exemple l'usage d'un module de persistance
souvent implanté dans le BIOS de certains systèmes.
Niveau hyperviseur
Blue Pill est un autre exemple de rootkit utilisant cette technique. En mai
2010, Zhi Wang et Xuxian Jiang, deux chercheurs de l'Université de
Caroline du Nord, publient « HyperSafe »26, un outil permettant de
sécuriser BitVisor et Xen — mais portable sur les hyperviseurs de type 1
— contre entre autres Blue Pill27 : le principe est d'empêcher l'injection et
l'exécution arbitraire de code par overflow (non-bypassable memory
lockdown) et de protéger les pointeurs de fonction pour empêcher les
attaques par hooking.
42
Niveau noyau
Les rootkits noyau sont dangereux à la fois parce qu'ils ont acquis des
privilèges élevés (il est alors plus facile de leurrer tout logiciel de
protection), mais aussi par les instabilités qu'ils peuvent causer sur le
système infecté comme cela a été le cas lors de la correction de la
vulnérabilité MS10-01531, où des écrans bleus sont apparus en raison
d'un conflit entre le fonctionnement du rootkit Alureon et la correction de
cette vulnérabilité32.
Niveau bibliothèque
Ce type de rootkit est assez fréquent, mais il est aussi le plus facile à
contrer, notamment par un contrôle d'intégrité des fichiers essentiels, en
surveillant leur empreinte grâce à une fonction de hachage ; par une
détection de signature du programme malveillant ; ou par exemple, par
un examen des hooks au moyen d'outils comme unhide sous GNU/Linux
ou HijackThis sous Windows.
43
Niveau applicatif
I.3.9.5 Exemples
44
par mail, et il a même été jusqu'à corriger la faille qui a été exploitée, afin
qu'un autre pirate ne vienne pas prendre le contrôle de la machine.
TDL-4
I.3.9.6 Prévention
Moyens de détection
45
idéalement, l'outil de contrôle a la possibilité d'accéder à une base de
référence de ces sommes de contrôles, selon la version du système
utilisée (rkhunter par exemple).
46
L’analyse automatisée des logs système54 s'appuie sur le principe de
corrélation, avec des outils de type HIDS qui disposent de règles
paramétrables55 pour repérer les événements anormaux et mettre en
relation des événements systèmes distincts, sans rapport apparent ou
épars dans le temps.
L’utilisation d'un pare-feu, qui fait partie des bonnes pratiques dans le
domaine de la sécurité informatique, se révèle efficace dans le cas des
rootkits51,54,58 car cela empêche les communications inattendues
(téléchargements de logiciel, dialogue avec un centre de contrôle et de
commande d'un botnet, etc.) dont ont besoin les rootkits.
47
ports ou en interdisant la communication avec une source (adresse IP)
douteuse, ou toute autre action appropriée. La détection sera d'autant
meilleure que l'outil utilisé sera externe au système examiné, puisque
certains rootkits peuvent atteindre des parties de très bas niveau dans le
système, jusqu'au BIOS. Un des avantages de ces outils est
l'automatisation des tâches de surveillance13.
48
chkrootkit ; plusieurs projets open-source existent sur Freshmeat et
Sourceforge.net.
Blacklight de F-Secure
Rootkit Hook Analyzer[réf. souhaitée]
RootAnalyser (Safer Networking)
HijackThis
GMER (en)
DarkSpy
Trend Micro Rootkit Buster2
49
I.4.1.2 Outils anti-malware
Ad-Aware
AdwCleaner
Malwarebytes Anti-Exploit
Malwarebytes Anti-Malware
Spybot S&D (Safer Networking)
SpywareBlaster
SpywareGuard
Windows Defender
Modsecurity
I.4.1.5 Pare-feux
ThreatFire
Prevx
I.4.1.7 Anti-virus
Il est également utile de savoir que des outils dits anti-virus complètent
leurs mécanismes de protection avec la détection de rootkits, le filtrage
de courrier, la protection des informations personnelles, les logiciels
espions (ou spywares), etc (cf p Liste de logiciels antivirus).
50
I.4.2 LOGICIELS ANTI-VIRUS
Fonctionnement
Un logiciel antivirus vérifie les fichiers et courriers électroniques, les
secteurs de démarrage (afin de détecter les virus de boot), mais aussi la
mémoire vive de l'ordinateur, les médias amovibles (clefs USB, CD, DVD,
etc.), les données qui transitent sur les éventuels réseaux (dont internet),
etc.
Les antivirus peuvent balayer le contenu d'un disque dur, mais également
la mémoire vive de l'ordinateur. Pour les antivirus les plus modernes, ils
agissent en amont de la machine en scrutant les échanges de fichiers
avec l'extérieur, aussi bien en flux descendant (téléchargement) que
montant (téléversement ou upload). Ainsi, les courriels sont examinés,
mais aussi les fichiers copiés sur ou à partir de supports amovibles tels
que cédéroms, disquettes, connexions réseau, clefs USB…
Approches
51
On distingue plusieurs types de logiciels antivirus selon leur
fonctionnement. La première méthode est celle du dictionnaire.
Dictionnaire
52
une détection par signature et permet de démultiplier les fichiers
malicieux à partir d'une base unique en changeant de packers/crypters.
Liste blanche
La « liste blanche » est une technique de plus en plus utilisée pour lutter
contre les logiciels malveillants. Au lieu de rechercher les logiciels connus
comme malveillants, on empêche l'exécution de tout logiciel à l'exception
de ceux qui sont considérés comme fiables par l'administrateur système.
En adoptant cette méthode de blocage par défaut, on évite les problèmes
inhérents à la mise à jour du fichier de signatures virales. De plus, elle
permet d'empêcher l'exécution de logiciels indésirables.
Étant donné que les entreprises modernes possèdent de nombreuses
applications considérées comme fiables, l'efficacité de cette technique
dépend de la capacité de l'administrateur à établir et mettre à jour la liste
blanche. Cette tâche peut être facilitée par l'utilisation d'outils
d'automatisation des processus d'inventaire et de maintenance.
Comportements suspects
Une autre approche pour localiser les virus consiste à détecter les
comportements suspects des programmes. Par exemple, si un
programme tente d’écrire des données sur un programme exécuté,
modifier/supprimer des fichiers système l’antivirus détectera ce
comportement suspect et en avisera l’utilisateur qui choisira les mesures
à suivre.
53
Autres approches
Les packers[à définir] posent des problèmes d'efficacité aux détections par
signature. Une autre limite était le temps assez long entre le moment où
l'éditeur mettait à jour ses définitions virales, la disponibilité en ligne et la
mise à jour des clients antivirus. Temps pendant lequel les utilisateurs
pouvaient être vulnérables.
Pour pallier cela, les éditeurs utilisent des "Antivirus Cloud", où des bases
de données gigantesques sont disponibles en ligne, permettant de
recouper certaines données. En outre, ces bases de données sont utilisées
en temps réel par les antivirus et permettent donc de supprimer le laps
de temps entre la mise en ligne et le téléchargement des définitions
virales.
Enfin, cela permet aussi d'alléger les clients antivirus où les bases locales
étaient de plus en plus volumineuses face à la multiplication des menaces
et l'utilisation des packers/crypters[à définir].
54
Logo symbolisant les antivirus.
55
Security · Malwarebytes' Anti-Malware · McAfee VirusScan · Microsoft
Security Essentials · Windows Defender · Panda · 360 Safeguard (en) · Outpost
Security Suite (en) · Sophos · Symantec Endpoint Protection (en) ·
Immunet (en) · Element Anti-Virus (en) · Norton AntiVirus · Norton Internet
Security · Spyware Doctor · VirusBarrier · Trend Micro Internet Security (en) ·
TrustPort (en) · Vba32 AntiVirus (en) · Zone Alarm
AhnLab Mobile Security (en) · Avast Antivirus · AVG AntiVirus (en) · Avira Free
Android Security · Bitdefender Mobile Security · CM Security · Comodo
Mobile, Mobile Security (en) · Dr. Web Mobile Security Suite (en) · ESET Mobile
tablette Security · F-Secure Mobile Security · G Data MobileSecurity · Lookout Mobile
Security (en) · McAfee Mobile Security · FireAMP Mobile · Trend Micro Mobile
Security · TrustPort Mobile Security (en) · VirusBarrier
Scan
Wind Mac OS GNU/Li Scan sur Protection en
Logiciel FreeBSD Unix Licence d'amorça
ows X nux demande temps réel
ge
Ad-Aware Oui Non Non Non Non Propriétaire Oui Oui Non
AOL Active Virus Shield Oui Non Non Non Non Freeware Oui Oui Non
Avast! Home Edition Oui Oui Oui Non Non Nagware Oui Oui Oui
Avast! Professional
Oui Oui Oui Non Non Propriétaire Oui Oui Oui
Edition
Avetix Antivirus Pro Oui Non Non Non Non Propriétaire Oui Oui Non
AVG Anti-Virus Oui Non Oui Oui Non Propriétaire Oui Oui Non
AVG Anti-Virus Free Oui Non Oui Non Non Nagware Oui Oui Non
Avira AntiVir Premium Oui Oui Oui Oui Oui Propriétaire Oui Oui Non
BitDefender Oui Oui Oui Oui Non Propriétaire Oui Oui Non
56
Scan
Wind Mac OS GNU/Li Scan sur Protection en
Logiciel FreeBSD Unix Licence d'amorça
ows X nux demande temps réel
ge
Oui
BitDefender Free Edition Oui Non Non Non Non Nagware Oui Non
(avec
Winpooch)
BullGuard Oui Non Non Non Non Propriétaire Oui Oui Non
CA Anti-Virus Oui Oui Oui Non Oui Propriétaire Oui Non Non
Oui (en
Avec ajoutant
Avec
Avec KlamA ClamWin et
Clam AntiVirus Clam Oui Oui GNU GPL Oui Non
ClamXav V et Clam Sentinel
Win
ClamTk sous
MSWindows)
Avec
Winpooch
ClamWin Oui Non Non Non Non GNU GPL Oui Non
(périmé) ou
Clam Sentinel
Comodo AntiVirus Oui Non Oui Non Non Freeware Oui Oui Oui
Emsisoft Anti-Malware Oui Non Non Non Non Propriétaire Oui Oui Oui
Emsisoft Anti-Malware Oui Non Non Non Non Freeware Oui Non Non
F-Prot Oui Non Oui Oui Oui Propriétaire Oui Oui Non
F-Secure Oui Non Oui Non Non Propriétaire Oui Oui Non
G Data Software Oui Non Non Non Non Propriétaire Oui Oui Non
Iantivirus Oui Oui Non Non Non Freeware Oui Oui Non
Oui Oui
Kaspersky Anti-Virus Oui Oui Oui Propriétaire Oui Oui Non
(SMB (SMB et
et ENT) ENT)
McAfee VirusScan Oui Oui Oui Oui Oui Propriétaire Oui Oui Non
Microsoft Security
Oui Non Non Non Non Freeware Oui Oui Non
Essentials
57
Scan
Wind Mac OS GNU/Li Scan sur Protection en
Logiciel FreeBSD Unix Licence d'amorça
ows X nux demande temps réel
ge
NOD32 Oui Oui Oui Oui Oui Propriétaire Oui Oui Non
Norman Oui Non Oui Non Non Propriétaire Oui Oui Non
Norton AntiVirus
2 Oui Oui Non Oui Oui Propriétaire Oui Oui Oui
(Symantec)
Panda Antivirus Oui Oui Oui Non Non Propriétaire Oui Oui Non
PC Tools AntiVirus Oui Oui Non Non Non Propriétaire Oui Oui Non
PCSafer Home edition Oui Non Non Non Non Freeware Oui Oui Non
Qihoo 360 Total Security Oui Oui Non Non Non Freeware Oui Oui Oui
Sophos Anti-Virus Oui Oui Oui Oui Oui Propriétaire Oui Oui Non
TrustPort Antivirus Oui Non Non Non Non Propriétaire Oui Oui
Seulement sur
Vba32Antivirus Oui Non Oui Oui Non Propriétaire Oui Non
Windows
VIPRE Antivirus +
Antispyware (Sunbelt Oui Oui Non Non Non Propriétaire Oui Oui Oui
Software)
VirusBarrier Express
Oui Oui Non Non Non Freeware Oui Oui Oui
(Intego)
VirusBarrier Plus (Intego) Oui Oui Non Non Non Propriétaire Oui Oui Oui
VirusBarrier X5 (Intego) Oui Oui Non Non Non Propriétaire Oui Oui Oui
VirusBuster Oui Non Oui Oui Oui Propriétaire Oui Oui Non
VirusKeeper (AxBx) Oui Non Non Non Non Propriétaire Oui Oui Oui
Windows Defender Oui Non Non Non Non Freeware Oui Oui Oui
Zone Alarm Antivirus Oui Non Non Non Non Propriétaire Oui Oui Oui
58
I.4.3 AVAST ANTIVIRUS
Avast Antivirus
Type Antivirus
Licence Propriétaire
modifier
I.4.3.1 Historique
À la fin des années 19802[réf. insuffisante], deux informaticiens tchèques
Eduard Kučera et Pavel Baudiš ont élaboré un programme qu'ils ont
appelé « anti-virus advanced set » (AVAST). « Avast » est aussi un terme
nautique hollandais (et anglais) qui signifie « stop ». Les deux
programmeurs ont développé leur idée et ont fini par produire un
antivirus complet du nom d'Avast.
59
I.4.3.2 Présentation
À la différence de certains antivirus gratuits[réf. nécessaire], ses mises à jour
s'effectuent automatiquement dès la connexion à Internet, à l'instar de
ses concurrents payants. Avast bénéficie également d'un moteur anti-
rootkit (basé sur la technologie GMER) et anti-spyware depuis sa version
4.8.1169, ce qui en fait une suite de sécurité.
Il existe une version gratuite pour les Très Petites Entreprises et PME en
France ainsi que pour les établissements éducatifs aux États-Unis.
60
I.4.4.1 PRESENTATION
Windows Defender, appelé officiellement Windows Defender
Antivirus dans Windows 10 Creators Update, est un composant antivirus
de Microsoft Windows.
61
Microsoft a d'abord offert le logiciel en téléchargement comme un
programme antiespion gratuit pour Windows XP. Microsoft a par la suite
livré le logiciel comme un antiespion avec Windows Vista et Windows 7.
Finalement, le logiciel a été transformé en un programme antivirus
complet remplaçant Microsoft Security Essentials dans Windows 8 et les
versions ultérieures de Windows.
Ce logiciel était édité par Giant Software (en) avant son achat par
Microsoft.
Développeur Microsoft
Langues Multilingue
Licence Gratuiciel
62
Avant Windows 8, Windows Defender protégeait ses utilisateurs contre les
logiciels espions1. Il comprenait un certain nombre d'agents de sécurité
qui surveillaient en temps réel plusieurs zones de Windows pour détecter
des modifications qui auraient pu être causées par des logiciels espions.
I.4.4.2 Histoire
Versions bêta
63
Windows Server 2003 pour aider à sécuriser leurs systèmes contre la
menace croissante des logiciels malveillants5.
64
Dans Windows 8, Microsoft a amélioré Windows Defender en en faisant un
programme antivirus très similaire à Microsoft Security Essentials pour
Windows 7 et en utilisant les mêmes mises à jour de définitions de virus
que Microsoft Security Essentials13.
65
est conçu pour analyser des systèmes infectés alors que leurs systèmes
d'exploitation sont hors ligne18. Depuis la mise à jour anniversaire de
Windows 10, cette fonctionnalité hors ligne est intégrée dans le
programme régulier de Windows Defender19.
S’applique à : Windows 10
Remarque
66
Si vous installez une autre application antivirus, Windows Defender est
automatiquement désactivé.
Développeur Microsoft
Fichier
msseces.exe
exécutable
Première
29 septembre 2009
version
67
Dernière
4.10.205.0 (2 octobre 2016)
version
Type Antivirus
Licence Propriétaire
windows.microsoft.com/fr-FR/windows/products/security-
Site web
essentials [archive]
modifier
Licence
Microsoft Security Essentials vérifie la validité du système d'exploitation
pendant et après l'installation. Si le système d'exploitation n'est pas
authentique, Microsoft Security Essentials en informe l'utilisateur de la
question, et peut cesser de fonctionner après une période de temps1.
Performances
Plusieurs tests ont montré que la protection en temps réel de Microsoft
Security Essentials est efficace et que le logiciel gère très bien les
nouveaux virus et sa très bonne détection des virus, trojans [et] rogues"
permet d'affirmer que "pour une utilisation simple et quotidienne, ce
68
produit peut largement faire l’affaire". Sa lenteur de nettoyage est
cependant pointée du doigt.
Type Antivirus
Licence Propriétaire
Symantec.com [archive
Site web
]
modifier
69
Norton Antivirus : antivirus et antiphishing seulement ;
Norton Internet Security : suite de logiciels offrant une protection plus
complète ;
Norton 360 : suite offrant une protection optimum et divers outils de
sauvegarde de données en ligne et d'optimisation du PC.
Ce logiciel est souvent offert pour une période d'essai de 30 jours à trois
mois à l'achat d'un ordinateur, ce qui explique en partie sa part de
marché importante chez les particuliers. Cependant, cette pratique est
dénoncée par certains comme étant de la vente liée.
Historique
Développé par Peter Tippett, le premier logiciel antivirus "Vaccine" est
revendu à Symantec en 1992 et renommé à cette occasion Norton
Antivirus.
Kaspersky
Langues Multilingue
70
Site web kaspersky.com [archive]
modifier
Présentation
Kaspersky est un antivirus doté de fonctions classiques de protection
telles que :
Mise en mémoire
Analyse des courriels
Analyse heuristique
Analyse des fichiers compressés
Protection contre les logiciels espions, les virus, autres vers et chevaux de
Troie.
Défense proactive, empêchant notamment l'installation de rootkits.
La possibilité de lancer des applications en mode virtuel.
Récompenses
Selon AV-Comparative, Kaspersky Antivirus se classe parmi les premiers
scanneurs de virus en termes de détection en dépit du fait que l'antivirus
a échoué à deux tests réalisés en 2007 et 2008 par le magazine Virus
Bulletin. Par ailleurs, PC World a récompensé cet antivirus dans sa version
6 par l'octroi du prix Editor's Choice en 2007. Enfin, Ars Technica classe
Kaspersky Antivirus parmi les meilleurs logiciels de sécurité destinés aux
plateformes Windows.
71
Limites
Plusieurs options ne se trouvent pas dans cette édition comme : Pare-feu
personnel, AntiSpam, AntiBanner et le contrôle parental. Ces outils sont
disponibles avec Kaspersky Internet Security.
Macintosh
En 2009 une édition de Kaspersky Antivirus est disponible pour la
plateforme Mac OS X. Les tests ont permis de conclure que l'antivirus
consomme seulement 1 % de CPU.[réf. nécessaire] Cette édition contient des
signatures pour bloquer les virus destinés aux plateformes Windows et
Linux.
Configuration requise
Linux (Red Hat,
Windows 7 Mac OS X
XP (32/64- Mandriva,
(32/64- (v.10.4.11 «
bit) Fedora, Debian,
bit) Tiger » ou +)
SUSE)
Espace
disponible sur 50 MB 50 MB 80 MB 100 MB
le disque dur
I.4.8 DARKSPY
72
conception des étudiants-chercheurs diplômés de l'University of Science
and Technology of China.
Sommaire
Description
L'essentiel de son développement s'est fait au premier semestre 2006.
Environnement et installation
73
DarkSpy fonctionne avec les systèmes d'exploitation 32 bits de Microsoft :
Windows 2000(SP4 et +) / Windows XP / Windows 2003. Il consomme
très peu de ressources et convient donc à pratiquement tous les PCs.
HKLM\SYSTEM\ControlSetxxx\Enum\Root\
HKLM\SYSTEM\ControlSetxxx\Services.
Des efforts particuliers ont été faits pour que DarkSpy réduise au mieux
les possibilités de conflit. Actuellement, il a été testé en compagnie des
suites de Kaspersky / McAfee / Norton / Jetico + Avast! et d'autres, sous
différentes versions de Windows (2k/XP/2k3), mais c'est peut-être encore
insuffisant. Dans un environnement système complexe, il peut encore y
avoir des conflits avec d'autres logiciels. En cas de problème, vous devrez
vérifier votre système et essayer de neutraliser ou même désinstaller le
logiciel de sécurité qui s'oppose au fonctionnement de DarkSpy.
74
ne jamais essayer de déboguer DarkSpy avec des outils comme "Softice" /
"Windbg" / "Syser debugger", car, naturellement, des fonctionnalités anti-
debugg sont incluses.
ne pas appliquer à DarkSpy un outil de rétro-ingénierie.
Driver Module
Port
DarkSpy recherche et affiche de tous les ports ouverts, dont les ports
cachés par un rootkit ayant des fonctions de cheval de Troie.
Registry
75
Grâce à cet outil, ces clés pourront être modifiées ou supprimées afin que
le rootkit ne se relance pas après un arrêt-redémarrage du système
d'exploitation.
File
I.5 PARE-FEU
I.5.1 Terminologie
Un pare-feu est parfois appelé coupe-feu, garde-barrière, barrière de
sécurité, ou encore firewall. Traduction littérale : mur de feu[réf. souhaitée].
76
feu virtuel" tout ce qui tente d'entrer avec l'intention de nuire dans une
machine ou un réseau. Il établit une barrière de protection contre les
intrusions et les contaminations venant de l’extérieur.
Le pare-feu est jusqu'à ces dernières années considéré comme une des
pierres angulaires de la sécurité d'un réseau informatique (il perd en
importance au fur et à mesure que les communications basculent vers le
HTTP sur SSL, court-circuitant tout filtrage). Il permet d'appliquer une
politique d'accès aux ressources réseau (serveurs).
77
l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP,
interface réseau, etc.) ;
les options contenues dans les données (fragmentation, validité, etc.) ;
les données elles-mêmes (taille, correspondance à un motif, etc.) ;
les utilisateurs pour les plus récents.
78
I.5.5 Catégories de pare-feu
Les pare-feux sont un des plus vieux équipements de sécurité
informatique et, en tant que tel, ils ont été soumis à de nombreuses
évolutions. Suivant la génération du pare-feu ou son rôle précis, on peut
les classer en différentes catégories.
C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs.
Il regarde chaque paquet indépendamment des autres et le compare à
une liste de règles préconfigurées.
Ces règles peuvent avoir des noms très différents en fonction du pare-
feu :
79
apporte en fiabilité puisqu'il est plus sélectif quant à la nature du trafic
autorisé. Cependant dans le cas d'UDP, cette caractéristique peut être
utilisée pour établir des connexions directes (P2P) entre deux machines
(comme le fait Skype par exemple).
Pare-feu applicatif
80
ApplicationLayerGateway sur Proventia M,
Predefined Services sur Juniper ScreenOS
Stateful Inspection sur Check Point FireWall-1
Deep Packet Inspection sur Qosmos [archive]
Web Application Firewall sur BinarySEC [archive]
Pare-feu identifiant
Pare-feu personnel
Portail captif
Les portails captifs sont des pare-feux dont le but est d'intercepter les
usagers d'un réseau de consultation afin de leur présenter une page web
spéciale (par exemple : avertissement, charte d'utilisation, demande
d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont
utilisés pour assurer la traçabilité des connexions et/ou limiter l'utilisation
81
abusive des moyens d'accès. On les déploie essentiellement dans le cadre
de réseaux de consultation Internet mutualisés filaires ou Wi-Fi.
Versions libres
Linux Netfilter/Iptables, pare-feu libre des noyaux Linux 2.4, 2.6, 3.0 et
suivants.
Linux Ipchains, pare-feu libre de l'ancien noyau Linux 2.2.
Packet Filter ou PF, pare-feu libre de OpenBSD, importé depuis sur les
autres BSD.
IPFilter ou IPF, pare-feu libre de BSD et Solaris 10 et 11.
Ipfirewall ou IPFW, pare-feu libre de FreeBSD.
iSafer, pare-feu libre pour Windows.
Distributions Linux
SmoothWall : distribution linux packageant Netfilter et d'autres outils de
sécurité pour transformer un PC en pare-feu dédié et complet.
IPCop : distribution linux packageant Netfilter et d'autres outils de
sécurité pour transformer un PC en pare-feu dédié et complet.
Ipfire : Dérivé de IPCop, mais avec des idées très nouvelles et de design.
Pfsense, distribution firewall open source très avancée basée sur FreeBSD
et dérivée de m0n0wall qui utilise entre autres OpenBSD packet Filter.
Zeroshell
Amon, module du projet EOLE, distribution GNU/Linux se basant sur
Ubuntu et proposant des outils d'administration.
Pare-feu identifiants
NuFW : Un pare-feu identifiant (authentifiant). La partie serveur et les
clients pour OS libres sont sous licence GPL. Le client Windows est sous
licence propriétaire.
Portails captifs
ALCASAR : Solution complète et intégrée pour contrôler et imputer les
accès Internet. Sous licence GPL et gratuit.
82
Boîtiers pare-feu
Arkoon Network Security
o Appliances UTM FAST360, certifiées Critères communs niveau
EAL3+
Check Point
o Check Point FireWall-1
Cisco Systems
o Cisco PIX, Cisco ASA et Cisco FWSM, boîtier pare-feu
o Cisco VPN3000, boîtier pare-feu orienté RPV
EdenWall Technologies
o EdenWall, boîtier pare-feu dont la technologie est basée sur NuFW,
apportant la notion d'identité des utilisateurs, en cours de
qualification Critères communs niveau EAL3+[réf. nécessaire]
Fortinet
o Appliances UTM FortiGate, certifiées Critères communs niveau
EAL4+, FIPS 140-2, multiple ICSA Labs Certifications dont SSL-TLS
(VPN), IPSec, Network IPS, Antivirus, et Firewall
Juniper Networks
o Juniper Screen OS, boîtier pare-feu
NetASQ
o Appliances UTM NetASQ, certifiées Critères Communs niveau
EAL4+(fr)) et IPv6 ready ipv6forum [archive]
Nortel
o Famille Nortel VPN Router
o Famille Nortel Switched Firewall
Stonesoft
o StoneGate, pare-feu professionnel commercial centralisé pour
gérer ses grappes d'appliances Pare-feu VPN et NIDS
ZyXEL
83
o ZyWALL, pare-feu professionnel UTM (Antivirus, filtrage applicatif,
IDP, filtrage de contenu, antispam) avec Tunnel VPN IPSEC et SSL
Pare-feu personnels
Comodo Firewall : gratuit pour usage personnel, compatible avec d'autres
logiciels de protection, très complet et paramétrable, choix du tout
automatique au tout manuel suivant le niveau de l'utilisateur.
Zone Alarm : le pare-feu personnel de ZoneLabs repris par Check Point,
maintenant incompatible avec tout autre logiciel de protection sauf MS
Windows Defender.
NetBarrier : le pare-feu personnel pour Mac OS X d'Intego
Microsoft
o Pare-feu de connexion Internet de Windows XP
o Windows Firewall
o Microsoft Internet Security and Acceleration Server, le pare-feu
proxy-cache de Microsoft
Jetico Personal Firewall
Pare-feu applicatifs
Microsoft Internet Security and Acceleration Server, le pare-feu proxy-
cache de Microsoft
Modsecurity module pour le serveur Web Apache. (Open Source)
84
85
I.6 LES PROTOCOLES DE SECURITE
PRESENTATION
86
87
88
89
90
CHAP.II LES PORTS LOGIQUES, LES VULNERABILITES
INFORMATIQUES ET LES JOURNAUX D’EVENEMENTS
LOGS
Origine du mot
Port, en informatique, est une traduction erronée de l'anglais port (en) [archive] ;
l'étymologie du mot au sens informatique est le latin porta (→ porte), et non portus
(→ port)1.
Explication métaphorique
Pour simplifier, on peut considérer les ports comme des portes donnant accès
au système d'exploitation : (Microsoft Windows, Mac OS, GNU/Linux, Solaris…). Pour
fonctionner, un programme (par exemple un jeu à accélération 3D/2D, ou un logiciel
de retouche photo) ouvre des portes pour entrer dans le système d'exploitation,
mais lorsque l'on quitte le programme, la porte n'a plus besoin d'être ouverte.
Utilité
Grâce à cette abstraction, on peut exécuter plusieurs logiciels serveurs sur une
même machine, et même simultanément des logiciels clients et des serveurs, ce qui
est fréquent sur les systèmes d'exploitation multitâches et multiutilisateurs.
Un numéro de port est codé sur 16 bits, ce qui fait qu'il existe un maximum
de soit 65 536 ports distincts par machine. Ces ports sont classés en 3
catégories en fonction de leur numéro:
91
Lorsqu'un logiciel client veut dialoguer avec un logiciel serveur, aussi appelé service,
il a besoin de connaître le port écouté par ce dernier. Les ports utilisés par les
services devant être connus par les clients, les principaux types de services utilisent
des ports qui sont dits réservés. Par convention, ce sont tous ceux compris entre 0
et 1 0232 inclus et leur utilisation par un logiciel serveur nécessite souvent que celui-
ci s'exécute avec des droits d'accès particuliers. Les services utilisant ces ports sont
appelés les services bien connus("Well-Known Services").
Le fichier services indique la liste de ces services dits well-known. Sous UNIX, ce
fichier est directement dans /etc ; sous Windows, ce fichier est par défaut dans
C:\Windows\System32\drivers\etc. Les services les plus utilisés sont :
92
Liste de ports logiciels
Liste de ports TCP et UDP.
Afin de permettre aux clients de connecter des serveurs, des numéros de ports
logiciels sont bien connus.
Les informations qui suivent sont en général reprises par chaque système dans un
fichier ; par exemple :
Les ports affichés ci-dessous peuvent être changés selon la configuration du
programme
TCP et UDP
n° Type Description
7 TCP echo
93
n° Type Description
23 TCP telnet
29 TCP msg-icp
94
n° Type Description
41 TCP Graphics
47 TCP ni-ftp
95
n° Type Description
61 TCP ni-mail
96
n° Type Description
70 TCP gopher
78 TCP VetTCP
79 TCP finger
83 TCP mit-ml-dev
97
n° Type Description
85 TCP mit-ml-dev
88 TCP kerberos
95 TCP Supdup
98 TCP Tacnews
98
n° Type Description
99
n° Type Description
100
n° Type Description
101
n° Type Description
102
n° Type Description
103
n° Type Description
104
n° Type Description
105
n° Type Description
106
n° Type Description
107
n° Type Description
108
n° Type Description
109
n° Type Description
110
n° Type Description
111
n° Type Description
112
n° Type Description
113
n° Type Description
587 TCP Message Submission for Mail RFC 5068 RFC 6409
114
n° Type Description
Serveur Oracle
1521 TCP NB : ce numéro de port était (ou est) aussi utilisé
par ncube-lm (nCUBE (en))
115
n° Type Description
116
n° Type Description
117
n° Type Description
118
n° Type Description
119
n° Type Description
27000
à TCP/UDP Serveur Steam
27050
II.2.1 PRESENTATION
Dans le domaine de la sécurité informatique, une vulnérabilité
ou faille est une faiblesse dans un système informatique permettant à un
attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son
fonctionnement normal, à la confidentialité ou à l'intégrité des données
qu'il contient.
120
II.2.2 Causes
Les vulnérabilités informatiques proviennent souvent de la négligence ou
de l'inexpérience d'un programmeur. Il peut y avoir d'autres causes liées
au contexte comme l'évolution des technologies, notamment en
cryptographie. Une vulnérabilité permet généralement à l'attaquant de
duper l'application, par exemple en outrepassant les vérifications de
contrôle d'accès ou en exécutant des commandes sur le système
hébergeant l'application.
121
laisser un délai - considéré raisonnable - aux éditeurs pour corriger les
vulnérabilités avant de les divulguer. Ainsi la société TippingPoint laisse
un délai de 6 mois avant de divulguer les détails d'une vulnérabilité 1.
D'un point de vue sécurité, seule une publication libre d'accès et complète
peut assurer que toutes les parties intéressées obtiennent l'information
appropriée. La sécurité par l'obscurité est un concept qui n'a jamais
fonctionné.
Référence
122
II.2.4 Identification et correction des vulnérabilités
Des vulnérabilités ont été trouvées dans tous les principaux systèmes
d'exploitation, en premier lieu sur Windows, mais aussi sur Mac OS,
différentes versions d'Unix et Linux, OpenVMS, et d'autres. La seule
manière de réduire la probabilité qu'une vulnérabilité puisse être exploitée
est de rester constamment vigilant, en développant la maintenance
système (par exemple en appliquant les patchs de sécurité), de déployer
une architecture sécurisée (par exemple en plaçant judicieusement des
pare-feu), de contrôler les accès, et de mettre en place des audits de
sécurité (à la fois pendant le développement et pendant le cycle de vie).
123
On parle de faille distante lorsque la vulnérabilité se situe dans un
logiciel constituant un service réseau (par exemple un serveur Web) et
qu'elle peut être exploitée par un attaquant distant, qui ne dispose pas
d'un compte local. Les vulnérabilités locales peuvent être utilisées par un
utilisateur malintentionné, qui possède un compte, pour effectuer une
élévation des privilèges, ou bien par un attaquant distant pour augmenter
ses privilèges, après l'exploitation d'une vulnérabilité distante. On parle
de faille locale lorsque la vulnérabilité n'est exploitable que par un
utilisateur disposant d'un compte local. Les vulnérabilités distantes
peuvent être utilisées par des attaquants pour obtenir un accès sur un
système.
dépassement de tampon ;
injection SQL ;
cross site scripting.
124
II.3 JOURNAUX DES EVENEMENTS (FICHIERS LOGS) ET
SYSLOG
Fonctionnalités offertes
L'enregistrement d'un historique permet de mettre en œuvre des fonctionnalités
telles que les « derniers fichiers ouverts », les « dernières commandes tapées » ou
les « dernières pages web consultées ».
Applications
La journalisation est une technique importante, utilisé entre autres en sécurité
informatique et dans les systèmes de comptabilité et paiement.
125
Dans le cadre de la sécurité, les événements enregistrés seront les accès au
système, les modifications de fichiers, etc. On consacre typiquement une ligne par
événement, en commençant par le moment exact (date, heure, minute, seconde) où
il a eu lieu.
La journalisation permet d'effectuer des analyses diverses,
généralement statistiques ; de faire des hypothèses sur les dysfonctionnements ou
les pertes de performance d'un système.
L'accès aux journaux peut contrevenir à certaines exigences de confidentialité, voire
de sécurité.
La journalisation permet aussi d'enregistrer les événements dans deux places
différentes.
Les enregistrements d'événements peuvent également avoir une importance légale.
Par exemple un fournisseur d'accès à Internet est tenu de fournir un historique des
connexions de ses clients (Loi du 15 novembre 2001 "LSQ", Loi du 21 juin 2004
"LCEN").
Journalisation applicative
La journalisation applicative désigne l'enregistrement chronologique des opérations
de la logique métier pendant le fonctionnement de l'application. Un journal applicatif
est lui-même une exigence du métier. Il est donc défini comme une fonctionnalité
faisant partie de la logique applicative. Par conséquent, il ne devrait pas être arrêté
pendant le fonctionnement de l'application.
Journalisation système
La journalisation système désigne l'enregistrement chronologique des événements
survenant au niveau des composants du système. Le niveau de cette journalisation
peut être paramétré, afin de filtrer les différents événements selon leur catégorie de
gravité. Les catégories généralement utilisées sont, par ordre croissant de gravité :
information, débogage, avertissement, erreur.
Pour exemple, les systèmes Unix mettent en œuvre cette journalisation système à
l'aide du protocole Syslog.
126
II.3.2 Syslog
Syslog
Fonction
Transmission de journaux
Port
UDP 514
RFC 31641
RFC RFC 31952
RFC 54243
RFC 54264
modifier
Historique
Syslog a été développé dans les années 1980 par Eric Allman dans le cadre du
projet Sendmail5, et n'était initialement prévue que pour Sendmail. Il s'est avéré si
utile que d'autres applications ont commencé à l'utiliser. Syslog est depuis devenu la
solution de journalisation standard sur les systèmes Unix et Linux6, il y a également
une variété d'implémentations syslog sur d'autres systèmes d'exploitation
(Windows notamment7) et est généralement trouvé dans les périphériques réseau
tels que les commutateurs ou routeurs.
Le protocole Syslog
Présentation générale
En tant que protocole, Syslog se compose d'une partie cliente et d'une
partie serveur. La partie cliente émet les informations sur le réseau, via
le port UDP 514. Les serveurs collectent l'information et se chargent de créer les
journaux.
L'intérêt de Syslog est donc de centraliser les journaux d'événements, permettant
de repérer plus rapidement et efficacement les défaillances d'ordinateurs présents
sur un réseau.
Il existe aussi un logiciel appelé Syslog, qui est responsable de la prise en charge
des fichiers de journalisation du système. Ceci inclut aussi le démon klogd,
responsable des messages émis par le noyau Linux.
127
Plate-forme Méthode
Solaris (2.5 et
Un flux SVR4 appelé /dev/log.
inférieurs)
Le format Syslog
Un journal au format syslog comporte dans l'ordre les informations suivantes : la
date à laquelle a été émis le log, le nom de l'équipement ayant généré le log
(hostname), une information sur le processus qui a déclenché cette émission, le
niveau de priorité du log, un identifiant du processus ayant généré le log et enfin un
corps de message.
Certaines de ces informations sont optionnelles.
exemple :
Niveau de priorité
La priorité du message permet de déterminer la catégorie et la gravité du journal,
elle est entre chevrons dans le journal syslog6 :priorité = (catégorie × 8) + gravité.
Cette indication est particulièrement importante car elle normalise de fait la
représentation de la catégorie et de la gravité d'un log, ce qui rend par exemple
128
possible l'interopérabilitéentre équipements de collecte de journaux et équipements
de génération d'alertes.
Catégories
Les messages sont orientés au regard de leur origine, dont les codes sont regroupés
suivant 24 types ci-dessous énumérés6 :
Codes de catégorie
9 clock daemon
129
11 ftp FTP daemon
12 - NTP subsystem
13 - log audit
14 - log alert
Les niveaux de gravité Syslog, appelés Severity level en anglais sont au nombre de
huit représentés par un chiffre de 0 (Emergency) à 7 (Debug)6 :
Codes de gravité
130
Code Gravité Mot-clé Description
emerg
0 Emergency Système inutilisable.
(panic)
131
Dans les versions récentes (rsyslog, syslog-ng, nxlog ...), la configuration est plus
évoluée et permet des filtrages plus élaborés, bien que dans certains cas la
configuration basique soit encore utilisée.
Origine
Les origines peuvent être multiples et sont juxtaposées à l'aide d'un ';'.
Elles sont construites sous la forme :
facility.criticity
La criticité doit être comprise comme la criticité minimale, ainsi user.crit correspond
au message d'origine utilisateur pour le niveau de criticité critical et les niveaux
supérieurs, en l'occurrence alert et emergency.
Le mot clef "none" peut lui aussi être utilisé afin de filtrer les messages, il est alors
utilisé en lieu et place de la criticité.
Destination
Dans syslog classique, la destination peut être soit un fichier soit un serveur distant.
La destination peut être précédé d'un - afin d'indiquer la finalité de celle-ci. Le signe
« - » est utilisé devant les chemins de fichiers les moins critiques pour améliorer les
performances en écriture (pas de synchronisation des fichiers) au risque de perdre
des données en cas de crash du système.
Exemple
Extrait d'une partie d'un fichier de configuration :
daemon.* -/var/log/daemon.log
user.crit @serveurdelog
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err
Auth/authpriv ⇒ traces sécurité/identifiant ion
cron ⇒ traces d'un cron
daemon.* ⇒ trace d'un daemon
kern.* ⇒ traces du noyau
lpr.* ⇒ traces du système d'impression
mail ⇒ traces du système de messagerie
news ⇒ traces d'un service de news/réseau
syslog ⇒ traces du service syslog lui-même
user ⇒ trace des processus utilisateur
local0 à 7 ⇒ traces issues des klogd
132
CHAP.III : LES OUTILS DE SECURITE INFORMATIQUE
1. TCP
133
de savoir si un logiciel est en écoute sur un numéro de port donné. Si un
logiciel écoute, on dit que le port est ouvert, sinon on dit qu'il est fermé.
Le balayage d'un port se passe en deux étapes :
ACK ;
FIN ;
Maimon1 (FIN/ACK) ;
NULL (aucun) ;
Xmas2 (tous) ;
Window (ACK).
La technique Mainon est utilisée sur les systèmes BSD. Uriel Maimon a
constaté que ces systèmes ignorent un paquet TCP FIN/ACK (invalide) si
le port est ouvert au lieu d'envoyer la réponse TCP RST.
134
Une autre technique consiste à passer par un serveur FTP. On utilise la
fonctionnalité de serveur mandataire des serveurs FTP pour balayer les
ports.
3. UDP et IP
Pour le protocole UDP, on envoie un paquet UDP vide (de longueur nulle).
Si le port est fermé, un message ICMP de type 3 (destinataire
inaccessible) et code 3 est envoyé.
III.3.2.1 PRESENTATION
Nmap
135
Développeur Fyodor
Environnements Multiplate-forme
modifier
Nmap est un scanneur de ports libre créé par Fyodor et distribué par
Insecure.org. Il est conçu pour détecter les ports ouverts, identifier les
services hébergés et obtenir des informations sur le système
d'exploitation d'un ordinateur distant. Ce logiciel est devenu une
référence pour les administrateurs réseaux car l'audit des résultats de
Nmap fournit des indications sur la sécurité d'un réseau. Il est disponible
sous Windows, Mac OS X, Linux, BSD et Solaris.
136
Ces états ne font pas partie des propriétés intrinsèques des ports eux-
mêmes, mais décrivent comment Nmap les perçoit. Par exemple, un scan
Nmap depuis le même réseau que la cible pourrait voir le port 135/tcp
comme ouvert alors qu'un scan au même instant avec les mêmes options
au travers d'Internet pourrait voir ce même port comme filtré.
ouvert (open)
fermé (closed)
Un port fermé est accessible (il reçoit et répond aux paquets émis
par Nmap), mais il n'y a pas d'application en écoute. Ceci peut
s'avérer utile pour montrer qu'un hôte est actif (découverte d'hôtes
ou scan ping), ou pour la détection de l'OS. Comme un port fermé
est accessible, il peut être intéressant de le scanner de nouveau
plus tard au cas où il s'ouvrirait. Les administrateurs pourraient
désirer bloquer de tels ports avec un pare-feu, mais ils
apparaîtraient alors dans l'état filtré décrit dans la section suivante.
filtré (filtered)
Nmap ne peut pas toujours déterminer si un port est ouvert car les
dispositifs de filtrage des paquets empêchent les paquets de tests
(probes) d'atteindre leur port cible. Le dispositif de filtrage peut être
un pare-feu dédié, des règles de routeurs filtrants ou un pare-feu
logiciel. Ces ports ennuient les attaquants car ils ne fournissent que
très peu d'informations. Quelques fois ils répondent avec un
message d'erreur ICMP de type 3 code 13 (« destination
unreachable: communication administratively prohibited »), mais
les dispositifs de filtrage qui rejettent les paquets sans rien
137
répondre sont bien plus courants. Ceci oblige Nmap à essayer
plusieurs fois au cas où ces paquets de tests seraient rejetés à
cause d'une surcharge du réseau et pas du filtrage. Ceci ralenti
terriblement les choses.
non-filtré (unfiltered)
L'état non-filtré signifie qu'un port est accessible, mais que Nmap
est incapable de déterminer s'il est ouvert ou fermé. Seul le scan
ACK, qui est utilisé pour déterminer les règles des pare-feux,
catégorise les ports dans cet état. Scanner des ports non-filtrés
avec un autre type de scan, comme le scan Windows, SYN ou FIN
peut aider à savoir si un port est ouvert ou pas.
ouvert|filtré (open|filtered)
Nmap met dans cet état les ports dont il est incapable de
déterminer l'état entre ouvert et filtré. Ceci arrive pour les types de
scans où les ports ouverts ne renvoient pas de réponse. L'absence
de réponse peut aussi signifier qu'un dispositif de filtrage des
paquets a rejeté le test ou les réponses attendues. Ainsi, Nmap ne
peut s'assurer ni que le port est ouvert, ni qu'il est filtré. Les scans
UDP, protocole IP, FIN, Null et Xmas catégorisent les ports ainsi.
fermé|filtré (closed|filtered)
Tout ce qui n'est pas une option (ou l'argument d'une option) dans la
ligne de commande de Nmap est considéré comme une spécification
d'hôte cible. Le cas le plus simple est de spécifier une adresse IP cible ou
un nom d'hôte à scanner.
138
00000000) et 192.168.10.255 (en binaire: 11000000 10101000 00001010
11111111) inclusivement. 192.168.10.40/24 ferait donc aussi la même
chose. Étant donné que l'hôte scanme.nmap.org est à l'adresse IP
205.217.153.62, scanme.nmap.org/16 scannerait les 65 536 adresses IP
entre 205.217.0.0 et 205.217.255.255. La plus petite valeur autorisée est
/1 qui scanne la moitié d'Internet. La plus grande valeur autorisée est 32,
ainsi Nmap ne scanne que la cible de référence car tous les bits de
l'adresse sont fixés.
La notation CIDR est concise mais pas toujours des plus pratiques. Par
exemple, vous voudriez scanner 192.168.0.0/16 mais éviter toutes les
adresses se terminant par .0 ou .255 car se sont souvent des adresses de
diffusion (broadcast). Nmap permet de le faire grâce à l'adressage par
intervalles. Plutôt que de spécifier une adresse IP normale, vous pouvez
spécifier pour chaque octet de l'IP une liste d'intervalles séparés par des
virgules. Par exemple, 192.168.0-255.1-254 évitera toutes les adresses
se terminant par .0 ou .255. Les intervalles ne sont pas limités aux octets
finals: 0-255.0-255.13.37 exécutera un scan de toutes les adresses IP se
terminant par 137.37. Ce genre de spécifications peut s'avérer utile pour
des statistiques sur Internet ou pour les chercheurs.
Les adresses IPv6 ne peuvent être spécifiées que par une adresse IPv6
pleinement qualifiée ou un nom d'hôte. L'adressage CIDR ou par
intervalles n'est pas géré avec IPv6 car les adresses ne sont que rarement
utiles.
Même si les cibles sont souvent spécifiées dans les lignes de commandes,
les options suivantes sont également disponibles pour sélectionner des
cibles :
139
pour identifier les hôtes qui utilisent des adresses IP statiques non-
autorisées. Générez simplement la liste des hôtes à scanner et
passez ce fichier comme argument de l'option -iL. Les entrées
peuvent être spécifiées dans n'importe quel des formats acceptés
par la ligne de commande de Nmap (adresses IP, noms d'hôtes,
CIDR, IPv6 ou par intervalles). Les entrées doivent être séparées
par un ou plusieurs espaces, tabulations ou retours chariot. Vous
pouvez utiliser un tiret (-) comme nom de fichier si vous souhaitez
que Nmap lise les hôtes depuis l'entrée standard.
141
142
143
144
III.3.2.6 UTILISATION DU NMAP AVEC INTERFACE GRAPHIQUE
145
146
147
148
III.3.2.6 UTILISATION DU NMAP EN GENERAL
149
150
151
152
153
154
155
156
157
158
159
160
161
162
III.2 SCANNER DE VULNERABILITES
III.2.1 NOTIONS SUR LES SCANNERS DE VULNERABILITES
1. Utilisation
Cet outil peut être une brique intégrée d'une solution de sécurité plus
large: un SIEM ou un SOC par exemple.
2. Principes de fonctionnement
2.1 Généralités
détection des cibles actives (attente d'une réponse ICMP, ARP, TCP, etc.
pour déterminer si la cible répondra au scanner)
détection des ports TCP et UDP accessibles sur la cible (scan de ports)
détection des services actifs (SSH, HTTP, etc.) sur chacun de ces ports et
de leurs versions (phase de "fingerprint")
163
éventuellement: utilisation d'un compte fourni pour se connecter sur la
machine et lister les programmes non visibles depuis le réseau
(navigateur, liseuse, suite bureautique, etc.)
éventuellement: reconnaissance des applications Web accessibles et
construction de l'arbre de chaque site Web (phase dite de "crawling")
sélection des modules de sécurité à lancer sur la cible selon les services
précédemment reconnus
lancement des modules de sécurité
génération du rapport de sécurité
2.2 Cibles
Ordinateur
Serveur
Routeur, commutateur, pare-feu
Smartphone
Objet connecté
Site Web
Automate, robot, machine
Caméra IP
IPBX, poste téléphonique sur IP
etc.
164
a) Fingerprint de version
Pour cela, il peut se fier aux bannières présentées par les différents
services, rechercher des motifs caractéristiques d'une version dans les
réponses du serveur (notamment dans les en-têtes), etc.
Une fois que la version est déterminée, l'outil utilise une base qui associe
à chaque version d'un outil, la liste des vulnérabilités publiquement
connues sur celui-ci.
Cette méthode est cependant notoirement sujette aux faux positifs et aux
faux négatifs. De nombreux programmes ne laissent pas transparaître
leur version (désactivation des bannières, etc.), le scanner ne pourra donc
pas en déduire leurs vulnérabilités (faux négatifs). Inversement, des
programmes peuvent donner leur version mais avoir subi un rétroportage
des correctifs et donc, ne pas souffrir des vulnérabilités officiellement
rattachées à cette version (faux positifs). Ce dernier cas se produit très
fréquemment sur les versions paquetagées par les distributions Linux
comme Debian ou Ubuntu.
165
b) Exploitation active
Cette méthode est donc très efficace mais souffre de deux inconvénients.
Premièrement il existe peu de vulnérabilités pour lesquelles un exploit est
disponible: pour donner un ordre de grandeur, il existe 90 000 CVE
enregistrées et moins de 4000 exploits dans metasploit. Deuxièmement,
certains exploits peuvent avoir des effets de bord significatifs et perturber
le fonctionnement de la machine auditées (pouvant aller jusqu'à un
crash). Ils doivent donc être utilisés avec parcimonie et être
rigoureusement qualifiés.
c) Scan de configuration
Ceci concerne par exemple les options de sécurité activées sur les
cookies, les cipher suite dans la configuration SSL/TLS, les transferts de
zone pour un server DNS, les mots de passe par défaut inchangés, les
services par défaut laissés activés, etc.
Cette méthode est généralement sans risque (excepté tester les mots de
passe par défaut qui peut bloquer des comptes après trop d'échecs) et la
base des bonnes pratiques est relativement simple à maintenir (par
rapport à celle des nouvelles vulnérabilités où l'on compte en moyenne 13
nouvelles CVE par jour). Cependant, il y a des risques de faux positifs
166
puisque le scanner de vulnérabilités n'est pas forcément à même de
connaître le contexte et donc de juger si la configuration en question est
adaptée ou non (exemple: un transfert de zone DNS est problématique
vers Internet mais relativement sans danger dans un réseau interne).
d) Scans authentifiés
Bien que la plupart des scanners soient "sans agents", ils fournissent
souvent la possibilité d'utiliser un compte renseigné par l'utilisateur pour
mener des tests authentifiés.
Lors d'un scan authentifié, le scanner utilise des modules appelés "local
security check" qui consistent à consulter la base des programmes
installés et leur version (en interrogeant le registre Windows ou Aptitude,
pacman, emerge, etc. pour Linux). En se basant sur les alertes de
sécurités des éditeurs (DSA, CSA, RHSA, etc.), le scanner pourra
constater la présence ou l'absence de programmes ayant des
vulnérabilités connues.
168
de lister toutes les vulnérabilités identifiées dans le scan et de donner
pour chacune d'elle la liste des machines affectées. Deuxièmement, une
vue "par machine" listant les cibles de l'audit associées à la liste de leur
vulnérabilités respectives.
169
Le nom de la vulnérabilité
Sa criticité
La cible touchée
Une brève description de sa nature
Une référence à une base de connaissance type CVE, OSVDB, DSA...
Une mention de la simplicité de l'exploitation
Une description de l'impact en cas d'exploitation réussie
Une ou plusieurs préconisations pour la résoudre
Les rapports sont souvent exportables aux formats PDF, CSV, HTML, etc.
170
vulnérabilités. Ces fonctionnalités sont cependant limités : pas de
corrélation des versions (seulement de l'exploitation active et du scan de
configuration), pas de scans authentifiés, pas de scans Web.
Des outils comme lynis peuvent être déployés localement sur une
machine pour vérifier le respect des bonnes pratiques de sécurité:
permissions, mises à jour, configuration des services, etc. Leur approche
les exclu cependant de découvrir certaines vulnérabilités puisqu'ils
n'auditent la machine que d'après une liste figée de règles. Un mot de
passe trivial sur un service de base de données ou un service lancée sans
être installé sur le serveur (programme portable par exemple) échappent
à ces outils.
171
Ergonomie
Rapidité de la détection des cibles et ports ouverts
Qualité de la fonction de fingerprint
Support de la fonctionnalité de tests authentifiés
Services testés: Web uniquement (comme BurpSuite, Wapiti, ...), tous
excepté le Web (comme OpenVas, Nexpose free...), tous
Richesse du catalogue des modules de sécurité et des technologies
pouvant être auditées (systèmes d'exploitation, programmes, etc.)
Rapidité du scan de vulnérabilités
Clarté et exploitabilité des résultats restitués par le scanner
Conformité à certaines normes sectorielles (PCI DSS, etc.)
172
II.2.2 LE NESSUS
1. Généralités
Nessus
173
les fautes de configuration (relais de messagerie ouvert par
exemple)
les patchs de sécurité non appliqués, que les failles corrigées soient
exploitables ou non dans la configuration testée
les mots de passe par défaut, quelques mots de passe communs, et
l'absence de mots de passe sur certains comptes systèmes. Nessus
peut aussi appeler le programme externe Hydra (de) pour attaquer
les mots de passe à l'aide d'un dictionnaire.
les services jugés faibles (on suggère par exemple de remplacer
Telnet par SSH)
les dénis de service contre la pile TCP/IP
2. Architecture et fonctionnement
Nessus détecte les machines vivantes sur un réseau, balaie les ports
ouverts, identifie les services actifs, leur version, puis tente diverses
attaques.
174
5. attaques susceptibles d'être destructrices
6. dénis de service (contre les logiciels visés)
7. dénis de service contre la machine ou les équipements réseaux
intermédiaires.
Le logiciel client standard peut exporter les données sous divers formats
(XML, HTML, LaTeX). Outre les failles, Nessus présente également
diverses informations utiles à un auditeur comme la version des services
ou du système d'exploitation.
3. Types de tests
4. Licence
175
4. Téléchargement
5. Installation et configuration
176
6. UTILISATION NESSUS
177
178
179
180
181
182
183
184
185
III.3 TESTS D’INTRUSION AVEC LE SNORT
186
187
188
189
III.4 LA SURVEILLANCE ET ANALYSE DES JOURNAUX LOGS (journaux
d’évènements)
a) Généralité
190
b) Surveillance de journaux Logs avec Syslog-ng
191
192
Utilisation
193
194
III.2 ANALYSEUR DES JOURNAUX D’EVENEMENTS (LOG) AWSTATS
195
196
197
CHAP.IV LES NORMES ET METHODES DE SECURITE
INFORMATIQUE
Introduction
La sécurité du système d'information d'une entreprise est un requis important pour la
poursuite de ses activités. Qu'il s'agisse de la dégradation de son image de marque, du vol de
ses secrets de fabrication ou de la perte de ses données clients ; une catastrophe informatique
a toujours des conséquences fâcheuses pouvant aller jusqu'au dépôt de bilan.
Organiser cette sécurité n'est pas chose facile, c'est pourquoi il existe des méthodes reconnues
pour aider les responsables informatiques à mettre en place une bonne politique de sécurité et
à procéder aux audits permettant d'en vérifier l'efficacité.
Le but de ce document n'est pas d'expliquer comment concevoir une politique de sécurité
mais de présenter les méthodes existantes.
A. Politique de sécurité
Une politique de sécurité peut être vue comme l'ensemble des modèles d'organisation, des
procédures et des bonnes pratiques techniques permettant d'assurer la sécurité du système
d'information.
Mais qu'est-ce que la sécurité d'un SI ? Elle tourne autour des 5 principaux concepts suivants
: l'intégrité des données, la confidentialité de l'information et des échanges, la disponibilité
des services, l'authentification des utilisateurs et la non répudiation des transactions.
Pour garantir la sécurité, une politique de sécurité est généralement organisée autour de 3
axes majeurs : la sécurité physique des installations, la sécurité logique du système
d'information et la sensibilisation des utilisateurs aux contraintes de sécurité.
B. Audit
Un audit de sécurité permet de mettre en évidence les faiblesses de la mise en œuvre d'une
politique de sécurité. Le problème peut venir de la politique elle-même : mal conçue ou
inadaptée aux besoins de l'entreprise, ou bien d'erreurs quand à sa mise en application.
Des audits sont nécessaires : suite à la mise en place initiale d'une politique de sécurité, puis
régulièrement pour s'assurer que les mesures de sécurité sont mises à niveau et que les usages
restent conformes aux procédures.
198
Popul Outils
Méthode Création Auteur Soutenue par Pays Etat
arité disponibles
EBIOS 1995 *** DCSSI gouvernement France logiciel gratuit
abandonné
Melisa ** DGA armement France
e
abandonné
Marion 1980 ** CLUSIF association France
e
Mehari 1995 *** CLUSIF association France logiciel Risicare
Université
de Etats-
Octave 1999 ** universitaire logiciel payant
Carnegie Unis
Mellon
Anglete
Cramm 1986 ** Siemens gouvernement logiciel payant
rre
Anglete
SPRINT 1995 * ISF association logiciel payant
rre
Anglete
BS 7799 *** gouvernement
rre
ISO
*** international
17799
ISO
international
13335
ISO
international
15408
Ageris
SCORE 2004 secteur privé France logiciel payant
Consulting
CALLIO
CALLI
2001 Technologi secteur privé Canada logiciel payant
O
es
C&A
Systems Anglete
COBRA 2001 secteur privé logiciel payant
Security rre
Limited
Belgiqu
ISAMM 2002 Evosec secteur privé
e
Allema
RA2 2000 aexis secteur privé logiciel payant
gne
En ce qui concerne les normes de sécurité des SI, la famille de normes ISO 27000 constitue
un véritable espoir pour les RSSI dans la mesure où elle apporte une aide indéniable dans la
définition, la construction et la déclinaison d'un SMSI efficace à travers une série de normes
dédiées à la sécurité de l'information :
199
§ ISO/CEI 27001 : système de Gestion de la Sécurité de l'Information (ISMS) -Exigences ;
A. EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet
d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoin de
l'entreprise (ou d'une administration). Elle a été créée par la DCSSI (Direction Centrale de la
Sécurité des Systèmes d'Information), du Ministrère de la Défence (France). Elle est destinée
avant tout aux administrations françaises et aux entreprises.
La méthode EBIOS se compose de 5 guides (Introduction, Démarche, Techniques,
Outillages) et d'un logiciel permettant de simplifier l'application de la méthodologie
explicitée dans ces guides. Le logiciel libre et gratuit (les sources sont disponibles) permet de
simplifier l'application de la méthode et d'automatiser la création des documents de synthèse.
La DCSSI possède un centre de formation où sont organisés des stages à destination des
organismes publics français. Un club d'utilisateurs EBIOS a été créé en 2003 et constitue une
communauté experts permettant le partage des expériences. Une base de connaissances à
laquelle se connecte le logiciel EBIOS permet d'avoir à accès à la description d'un ensemble
de vulnérabilités spécifiques, de contraintes de sécurité, de méthodes d'attaques. Elle peut être
enrichie via le logiciel.
La méthode EBIOS est découpée en 5 étapes :
Les 5 étapes de la méthode EBIOS
1. étude du contexte
200
2. expression des besoins de sécurité
3. étude des menaces
4. identification des objectifs de sécurité
5. détermination des exigences de sécurité
L'expression des besoins de sécurité permet d'estimer les risques et de définir les critères de
risque. Les utilisateurs du SI expriment durant cette étape leurs besoins de sécurité en
fonction des impacts qu'ils jugent inacceptables.
L'étude des menaces permet d'identifier les risques en fonction non plus des besoins des
utilisateurs mais en fonction de l'architecture technique du système d'information. Ainsi la
liste des vulnérabilités et des types d'attaques est dressée en fonction des matériels, de
l'architecture réseau et des logiciels employés. Et ce, quelles que soient leur origine
(humaine, matérielle, environnementale) et leur cause (accidentelle, délibérée).
L'identification des objectifs de sécurité confronte les besoins de sécurité exprimés et les
menaces identifiées afin de mettre en évidence les risques contre lesquels le SI doit être
protégé. Ces objectifs vont former un cahier des charges de sécurité qui traduira le choix fait
sur le niveau de résistance aux menaces en fonction des exigences de sécurité.
201
C'est notamment la stratégie de gestion du risque tel que cela est défini dans un plan de risque
qui sera déterminé ici : accepter, réduire ou refuser un risque. Cette stratégie est décidée en
fonction du coût des conséquences du risque et de sa probabilité de survenue. La justification
argumentée de ces exigences donne l'assurance d'une juste évaluation.
EBIOS fournit donc la méthode permettant de contruire une politique de sécurité en fonction
d'une analyse des risques qui repose sur le contexte de l'entreprise et des vulnérabilités liées à
son SI.
B. Melisa
Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information) fut
inventée par Albert Harari au sein de la Direction Générale de l'Armement (DGA/DCN)
en France. Elle a été rachetée par la société CF6 qui en a fait la promotion pendant de
nombreuses années. Depuis le rachat de CF6 par Telindus, Melisa a été abandonnée par
ses propriétaires bien qu'elle fut largement utilisée en France.
Melisa est une méthode assez lourde basée sur un thésaurus de questions. Elle a vocation à
être utilisée par de grandes entreprises.
En raison de son abandon, cette méthode ne sera pas traitée ici.
C. Marion
Marion (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux) a été
dévelopée par le CLUSIF dans les années 1980 mais a été abandonnée en 1998 au profit de la
méthode Mehari. C'est une méthode d'audit de la sécurité d'une entreprise, elle ne permet pas
de mettre en oeuvre une politique de sécuritée en tant que tel. A base d'un questionnaire, elle
donne une évaluation chiffrée du risque informatique.
Marion repose sur l'évaluation des aspects organisationnels et techniques de la sécurité de
l'entreprise à auditer.
Elle utilise 27 indicateurs classés en 6 thématiques. Chaque indicateur se voit attribuer une
note entre 0 (insécurité) et 4 (excellent), la valeur 3 indiquant une sécurité correcte.
Thématiques des indicateurs de la méthode Marion
Sécurité organisationnelle
Sécurité physique
Continuité
Organisation informatique
Sécurité logique et exploitation
Sécurité des applications
202
1. Préparation
2. Audit des vulnérabilités
3. Analyse des risques
4. Plan d'action
La phase de préparation permet de définir les objectifs de sécuriter à atteindre ainsi que le
champs d'action de l'audit et le découpage fonctionnel du SI à adopter pour simplifier la
réalisation de l'étude.
L'audit des vulnérabilités consiste à répondre aux questionnaires. Ces réponses données
vont permettre de recenser les risques du SI et les contraintes de l'entreprise. A l'issu de cet
audit, sont construits une rosace et un diagramme différentiel représentant respectivement la
note attribuée à chacun des indicateurs et les facteurs de risques particulièrement importants.
L'analyse des risques permet de classer les risques selon leur criticité (en classes : Risques
Majeurs et Risques Simples). Elle procède au découpage fonctionnel du SI pour une analyse
203
détaillée des menaces, de leur impact respectif et de leur probabilité. La méthode Marion
définit 17 types de menaces :
Accidents physiques
Malveillance physique
Carence de personnel
Carence de prestataire
Panne du SI
Interruption de fonctionnement du réseau
Erreur de saisie
Erreur de transmission
Erreur d'exploitation
Erreur de conception / développement
Détournement de fonds
Détournement de biens
Vice caché d'un progiciel
Copie illicite de logiciels
Indiscrétion / détournement d'information
Sabotage immatériel
Attaque logique du réseau
Le plan d'action propose les solutions à mettre en oeuvre pour élever la valeur des 27
indicateurs à la valeur 3 (niveau de sécurité satisfaisant) de l'audit des vulnérabilités et
atteindre les objectifs fixés en préparation. Le coût de la mise à niveau est évalué et les
tâches à réaliser pour y parvenir sont ordonnancées.
Cette méthode par questionnaire est assez simple à mettre oeuvre et est bien rodée du fait de
son âge. Son pouvoir de comparaison des entreprises auditées est un plus indéniable.
La méthode Mehari qui lui succède va plus loin en proposant la création complète de la
politique de sécurité.
D. Mehari
Mehari (MEthode Harmonisée d'Analyse de RIsques) est dévelopée par le CLUSIF depuis
1995, elle est dérivée des méthodes Melisa et Marion. Existant en langue française et en
anglais, elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur
privé.
Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des
risques basé sur la méthode Mehari.
La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les
scénarios redoutés ?, et en la classification préalable des entités du SI en fonction de trois
critères de sécurité de base (confidentialité, intégrité, disponibilité). Ces enjeux expriment les
204
dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. Puis, des audits
identifient les vulnérabilités du SI. Et enfin, l'analyse des risques proprement dite est réalisée.
Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques
permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par
l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI
pour ses utilisateurs.
Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité
qui doivent être mises en oeuvre. Pour cela, ils élaborent des scénarios de compromission et
audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque
(probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et
par la même les mesures de protections nécessaires. Enfin, une planification de la mise à
niveau de la sécurité du SI est faite.
205
Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios
de risques, proposent des liens entre menaces et parades...
Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et
fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose
permettent la création de plan d'actions concrets. Cette méthode permet donc de construire
une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits du
Plans Opérationnels de Sécurité et d'atteindre le niveau de sécurité correspondant aux
objectifs fixés dans le Plan Stratégique de Sécurité.
E. Octave
Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation) a été créé par
l'université de Carnegie Mellon (Etats-Unis) en 1999. L'université de Carnegie Mellon est
le centre de coordination des CERT. Octave est destinée aux grandes entreprises, mais depuis
peu une version adaptée aux petites structures existe : Octave-S. Elle a pour but de permettre
à une entreprise de réaliser par elle-même l'analyse des risques de leur SI, sans aide extérieure
(consultants). Pour cela, un catalogue de bonnes pratiques de sécurité est fourni avec la
méthode.
Octave est contitué de 3 phases :
Phases de la méthode Octave
1. vue organisationelle
2. vue technique
3. stratégie de sécurité
206
La vue technique identifie les éléments essentiels de chaque actif identifié plus haut et les
audite afin d'en connaître les vulnérabilités.
Le développement de la stratégie de sécurité consiste à évaluer les risques identifiés
(impact, probabilité) plus haut et à proposer les mesures permettant de les réduire. Un plan de
réduction des risques est alors planifié.
La simplicité de la méthode Octave en fait dans le principe une méthode efficace, elle est
assez répandue eux Etats-Unis et au Québec. Elle est centrée sur la protection des actifs de
l'entreprise et le management du personnel. Elle couvre l'ensemble des processus métiers de
l'entreprise à tous les niveaux (organisationnel et technique).
Cette méthode suppose la constitution d'une équipe pluridisciplinaire comprenant des
membres de tous les services de l'entreprise. Elle leur permettra d'améliorer leur connaissance
de leur entreprise et de mutualiser les bonnes pratiques de sécurité.
F. Cramm
Cramm (CCTA Risk Analysis and Management Method) a été inventée par Siemens en
Anglettre et est soutenue par l'état. Cramm est une méthode exhaustive assez lourde, réservée
aux grandes entreprises puisqu'elle recourt à près de 3 000 points de contrôle. Elle possède
deux variantes : Cramm Express et Cramm Expert et est compatible avec la norme BS7799.
Des logiciels sont fournis avec la méthode à des fins de simulation, de reporting et de suivi
des mesures de sécurité.
1. identification de l'existant
2. évaluation des menaces et des vulnérabilités
3. choix des remèdes
207
L'évaluation des menaces et des vulnérabilités met en évidence les problèmes possibles.
Pour cela, la base de connaissances de Cramm fournit une liste importante des risques
possibles dont il faut évaluer le niveau de criticité.
Le choix des remèdes consiste à sélectionner parmis une base de 3 000 contre-mesures
possibles classées en 70 thèmes les remèdes aux risques identifiés plus haut. Le logiciel
fourni avec Cramm détermine les remèdes à adopter en fonction des risques, de leur criticité
identifiés précédement et du niveau de sécurité désiré.
V. Conclusion
Il existe de nombreuses méthodes d'analyse des risques, certaines simples d'utilisation, avec
parfois des outils logiciels en simplifiant l'utilisation. D'autres méthodes sont réservées à des
grands comptes du fait de leur complexité et des ressources humaines impliquées. Il vous
reste à choisir la méthode qui s'applique le mieux à votre entreprise ou organisme public.
208
VI. SUPERVISION RESEAU ET SECURITE
209
1.1 PRINCIPES DE SUPERVISION RESEAU
1.1.1. Généralités
210
d’une bonne stratégie de surveillance réseau est de prévenir les défaillances. Ainsi, si un
administrateur ne prend pas en compte les alertes successives sur un appareil particulier,
la panne aura lieu comme si la supervision réseau n’existait pas.
La supervision est d’un point de vue théorique assez simple à expliquer.il s’agit en fait
de répéter de manière régulière un processus de test ou de surveillance d’un équipement ou
d’une application. Le but étant d’obtenir très rapidement et simplement une vision précise des
événements ou anomalies sur la période analysée. 1
211
Généralement la supervision regroupe les fonctionnalités illustrées dans la figure
suivante :
Envoi d'alertes : c'est une émission de message d'alerte sous forme sonore, visuelle
ou encore par e-mail.
212
Rapports d'activité (reporting) : comme les tableaux de bord et les histogrammes.
Il est à noter qu'à partir de ces fonctionnalités qui sont réalisées par des modules
spécifiques constituant le système de monitoring. 2
2
fr.wikipedia.org/wiki/Fonctionnalités et niveaux d’information
3
www.cnrtl.fr/definition/monitoring
213
1.2.2 Le monitoring de la performance du réseau
214
L’exactitude du réseau représente le temps durant lequel aucune erreur ne survient,
pendant la livraison des données d’un élément du réseau à un autre. Bien sûr, idéalement ce
temps doit tendre vers l’infini.
En raison de la façon dont sont conçus actuellement les protocoles de communication, cette
partie de la performance réseau n’est pas souvent visible par l’utilisateur. En effet, les
protocoles modernes sont construits autour de fonctions de correction d’erreur et de
récupération de celles-ci.
Cependant il y a parfois des sources de ¨bruit¨ qui nuisent à la bonne circulation des
informations sur le backbone ou le câblage qui peuvent être localisées et corrigées par
l’administrateur.
4) La charge
On peut définir la charge comme le nombre d’évènements réseau qui ont lieu sur une
période de temps donné. On compte par exemple dans la charge les éléments suivants :
- Le nombre de transaction d’un type précis sur une période donnée ;
- Le nombre de broadcast réseau généré par certains éléments du réseau ;ou - D’autres types
de transactions réseau.
Il est important de garder une vue précise et permanente sur la charge afin de voir quels sont
les éléments de défaillance en cas d’augmentation du trafic et de pouvoir mettre à niveau
rapidement le réseau à moindre cout.
5) La capacité
La capacité est le pourcentage d’utilisation d’une ressource par rapport à son potentiel
théorique, par exemple une carte full duplex 100mbs doit délivrer un taux de transfert
théorique de 100 mégabits par seconde.
C’est une mesure beaucoup plus fine que la charge bien qu’elle soit basée sur un débit
théorique car il est plus facile de comparer une mesure réelle à un maximum théorique , que
d’essayer de calculer une réelle valeur de la charge maximale du réseau. En fonction de
certaines informations, il est possible de diviser la charge réseau pour la rendre équivalente
sur chaque lien du réseau. Ce qui permet également d’augmenter la performance d’un réseau
sans en changer l’infrastructure ou la technologie mais en opérant juste un bon équilibrage
des charge.
215
Afin d’avoir une bonne vision de la performance du réseau et après avoir pris
connaissance des indicateurs à surveiller et de ce qu’ils représentent, il faut mettre en place
les méthodes de surveillance de ceux-ci. La mesure de la performance s’effectue en générant
des statistiques sur le trafic réseau, de façon instantanée ou sur une période donnée. Dans un
LAN, la plupart des informations importantes peuvent être collectées par un agent distant qui
observe simplement le trafic du réseau. Cette simple méthode permet d’identifier les nœuds
d’importance du réseau et de les surveiller pour éviter toute défaillance.
L’analyse de la performance réseau est donc l’étape essentielle qui suit la récupération des
informations. Pour cela les divers logiciels de monitoring proposent une mise en forme de
l’information pour la rendre plus claire, ce qui permet aux administrateurs de répondre aux
questions les plus importantes telles que, quelles sont les erreurs possibles ou les défaillances
actuelles du réseau, les impacts de l’augmentation du trafic, le nombre de paquets perdus, etc.
il est donc ainsi possible de générer une vue du réseau qui permet une réelle surveillance de
celui-ci.
On peut opposer cependant les deux façons de recueillir les informations sur le réseau, de
façon exhaustive ou de façon statistique.il n’est évidemment pas simple de recueillir les
informations de façon exhaustive surtout durant des périodes de grande activité réseau ou le
trafic engendré par les tests peuvent augmenter la charge inutilement voire même être la
source de défaillance. L’alternative est de prendre des mesures à des moments aléatoires et
d’établir une statistique qui donnera un état du réseau, les décisions réseau sont ensuite prises
par rapport à la donnée statistique, ce qui permet de minimiser l’impact de certains tests qui
peuvent échouer en raison d’un trafic réseau ponctuellement trop important.
Néanmoins, la méthode statistique comporte elle aussi des désavantages. Tout d’abord, les
données une fois traitées par cette voie, sont moins pertinentes et peuvent plus facilement être
trompeuses : un chiffre moyen sur la charge ne permet pas de savoir si la charge est bonne le
plus clair du temps et si seul quelques pics ont eu lieu, ou si le trafic est toujours moyen.
Enfin, certains points d’un réseau ne peuvent pas se permettre de subir des défaillances,
mêmes minimes.
a) Définition et objectifs
L’objectif du monitoring des défaillances est d’identifier les possibles défaillances du
réseau le plus rapidement possible après leur occurrence et de pouvoir définir la source de ces
défaillances facilement. Et ainsi, de rendre la reprise sur incident la plus efficace possible.
216
Cependant, ce type de surveillance n’est pas toujours facile à mettre en place car certaines
défaillances ne sont pas faciles à mettre en évidence. Par exemple, un disque dur dont un
secteur devient corrompu ou défectueux n’est pas toujours repérable, ou seulement
localement à la machine par un test qui doit être conduit manuellement et donc hors de porter
du monitoring réseau. Pire encore, certaines ressources ne peuvent tout simplement pas être
testées car les constructeurs n’ont pas mis en place de moyens de diagnostique disponibles
pour l’utilisateur. De plus, de nombreuses défaillances peuvent être observées mais l’origine
de la défaillance ne peut pas toujours être mise en lumière aisément. Par exemple, un routeur
qui ne délivre plus de paquet correctement peut représenter un véritable casse-tête pour ce qui
est de localiser la panne, elle peut être matérielle comme logicielle ou ce peut être les
infrastructures d’interconnexion qui sont défaillantes.
Enfin, certaines alertes peuvent tout simplement être factices. En effet, un logiciel du
monitoring indiquer que toute une partie du réseau ne répond plus, cela pouvant provenir
d’un concentrateur défectueux, mais il peut s’agir simplement d’un trafic trop important qui a
empêché les tests d’aboutir.
b) Méthode de gestion des défaillances
Afin d’agir de la meilleure façon contre les défaillances du réseau il est nécessaire
de maintenir des fichiers de rapport qui contiennent tous les éléments et les erreurs qui se sont
produites sur le réseau.
Il peut être nécessaire de mettre en place une surveillance des agents ou du logiciel de
monitoring lui-même, afin de ne pas avoir de faux rapport en cas de défaillance de ceux-ci.
Toute la finesse de ce type surveillance est de mettre en place un système de tests et
de rapports qui permettent d’anticiper la défaillance d’un composant du réseau. Il faut donc
mettre en place des quotas ou des limites sur tous les éléments quantifiables tels que la
charge, la bande passante, ou encore le temps de réponse.
Il est aussi nécessaire de croiser les types de tests sur une même ressource pour
pouvoir plus facilement découvrir la raison d’une défaillance, ou pour pouvoir noter
dégradation progressive d’un service. L’analyse précise des rapports est bien sur un élément
essentiel : les fichiers de rapport générés par les résultats doivent être très attentivement
étudiés afin de détecter les défaillances possibles à venir.
217
La surveillance des utilisateurs vise à garder une trace de l’utilisation des ressources
réseau par les utilisateurs. Il ne s’agit pas d’espionner le travail ou la vie privée des
utilisateurs d’un réseau d’entreprise, mais de veiller à la façon dont les utilisateurs se servent
de l’outil qui est mis à leur disposition. De plus, cela permet bien souvent découvre les
problèmes de charge du réseau en localisant les ressources fréquemment utilisées pour
permettre de diviser les charge soit en séparant certaine ressources qui, regroupées, crée un
goulot d’étranglement sur le réseau, ou pour augmenter la bande passante de certains
éléments qui ne donnent pas satisfaction aux utilisateurs, comme des serveurs mail, par
exemple.
1.2.2.4.2 Méthode de surveillance des utilisateurs
Dans la pluparts des réseaux d’entreprise, la premier stratégie de surveillance des
utilisateurs est mis en place par le contrôle de ressources réseau, par la gestion des droits
d’accès à ces dites ressources. Les politiques de sécurité réseau n’étant pas liées directement
au monitoring réseau, nous ne bâteront pas de ce sujet. Cependant, une stratégie de
monitoring réseau doit être établie en fonction des politiques des droits réseau et système
existants. D’une façon générale, la surveillance des utilisateurs revint surtout à vérifier le
comportement des utilisateurs sur le réseau. En effet, il est important de mettre en place des
systèmes de surveillance des volumes des stockages utilisés par les utilisateurs pour parer à
une crise de l’espace qui peut s’avérer très dommageable pour une entreprise.
De même, les utilisateurs sont souvent la proie de nombreuses attaques visant à
ouvrir des moyens d’accès aux ressources réseau à l’entreprise. En cela le monitoring des
utilisateurs se rapproche beaucoup de la sécurité réseau: en surveillant le nombre de sessions
qu’un utilisateur peut avoir ouvert en simultané, on peut découvrir des tentatives d’intrusion.
Enfin les utilisateurs sont souvent à l’origine de défaillances réseau dues à un manque de
connaissance des outils, donc être utile de vérifier la façon dont un utilisateur se comporte sur
le réseau, taille des mails, travail en réseau, alors que le local serait moins consommateur de
ressources etc. sur cet aspect, la surveillance des utilisateurs se rapproche de la surveillance
des défaillances.
218
la fiabilité : il s’agit de loin de l’utilisation la plus courante de la supervision
informatique. Le but ici est de surveiller en permanence la disponibilité de
l’équipement afin de détecter la moindre anomalie et si nécessaire de remonter
une alerte ;
La performance : la supervision de performance a pour but de retourner des
informations sur la disponibilité d’un équipement comme par exemple le temps de
résolution DNS, le temps de connexion, le temps de récupération du premier octet
et dans le cas d’une page Web le temps de récupération de page et de l’ensemble
des éléments de celle-ci(image scripts…). Grace à cette analyse, nous allons pouvoir
diagnostiquer une montée en charge difficile ou même un surdimensionnement de
votre bande passante ;
Le contenu : dans ce cas, les informations retournées par les éléments surveillés
sont analysés, pour par exemple, détecter la suppression d’un fichier sur un
serveur ftp, la modification d’une page Web ou la disparition d’un mot clef. Toutes
ces approches sont complémentaires et peuvent bien entendu se retrouver
regroupées dans une seule analyse. L’analyse fiabilité étant implicitement présente
dans le cas d’une analyse performance et contenu.
a. La gestion de performance
b. La gestion des configurations
c. La gestion de la comptabilité
d. La gestion des anomalies
e. La gestion de la sécurité.
a) Gestion Des Performances
Elle doit pouvoir évaluer les performances des ressources du système et leur efficacité. Elle
comprend les procédures de collecte de données et statistique. Elle doit aboutir à
l’établissement de tableaux de bord. Les informations recueillies doivent aussi permettre de
planifier les évolutions du réseau. Les performances du réseau sont évaluées à partir de quatre
paramètres :
219
1. Le temps de réponse
2. Le débit
3. Le taux d’erreur
4. La disponibilité
b) Gestion Des Configurations
1. La collecte d’information
2. Le contrôle d’état
3. La sauvegarde historique de la configuration de l’état du système.
c) Gestion De La Comptabilité
Son rôle est de connaître les charges des objets gérés ainsi que leurs coûts de
communication. Des quotas d’utilisation peuvent être fixés temporairement ou non sur
chacune des ressources réseaux. De plus, la gestion de la comptabilité autorise la mise
en place de systèmes de facturation en fonction de l’utilisation pour chaque utilisateur.
e) Gestion De La Sécurité
220
accéder à certaines ressources protégées. Elle a également pour rôle de mettre en application
les politiques de sécurité.4
1.5.1 Définition
La grande majorité des solutions de supervision de base sur l'utilisation du protocole SNMP
pour fonctionner. SNMP signifie « Simple Network Management Protocol », en français
« Protocole simple de gestion de réseau ».
C'est un protocole de communication qui permet aux administrateurs réseau de gérer les
équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels
à distance. Pour cela, deux principes sont utilisés afin de récolter des informations :
1.5.2 Architecture
Les différents éléments que l’on peut identifier avec le protocole SNMP sont
synthétises par le schéma ci-dessous.
Les agents SNMP : ce sont les équipements (réseau ou serveur) qu’il faut superviser.
Le superviseur SNMP : c’est une machine centrale à partir de laquelle un opérateur
humain peut superviser en temps réel toute son infrastructure et diagnostiquer les
problèmes
Le MIB : ce sont les informations dynamiques instanciées par les différents agents SNMP
et remontées en temps réel au superviseur.
4
https://astuces-top.blogspot.com/2016/08/livre-nagios-supervision.html
221
1.5.3 Le manager
Rappelons que le Manager se trouvera sur une machine d’administration (un poste de
travail en général). Il reste un client avant tout, étant donné que c'est lui qui envoie les
différentes requêtes aux agents. Il devra disposer d'une fonction serveur, car il doit également
rester à l'écoute des alertes que les différents équipements sont susceptibles d'émettre à tout
moment Si l'on se base sur le schéma précédent, l'administrateur peut observer
correctement le comportement de ses différents équipements en réseau. Le Manager dispose
d'un serveur qui reste à l'écoute sur le port UDP 162 ainsi que d’éventuels signaux d'alarme
appelés des "traps". Le Manager peut tout autant être installé sur une machine.
L'agent est un programme qui fait partie de l'élément actif du réseau. L'activation de
cet agent permet de recueillir la base de données d'informations et la rend disponible aux
interrogations. Les principales fonctions d'un agent SNMP :
Par ailleurs même si la principale fonction de l'agent est de rester à l'écoute des éventuelles
requêtes du Manager et y répondre s’il y est autorisé, il doit également être capable d'agir de
sa propre initiative, s'il a été configuré. Par exemple, il pourra émettre une alerte si le débit
d'une interface réseau, atteint une valeur considérée par l'administrateur comme étant critique.
Plusieurs niveaux d'alertes peuvent ainsi être définis, selon la complexité de l'agent
(température du processeur, occupation disque dur, utilisation CPU...)5
1.5.5 MIB :
Chaque agent SNMP maintient une base de données décrivant les paramètres de
l'appareil géré. Le Manager SNMP utilise cette base de données pour demander à l'agent des
renseignements spécifiques. Cette base de données commune partagée entre l'agent et le
Manager est appelée Management Information Base (MIB). Généralement ces MIB
contiennent l'ensemble des valeurs statistiques et de contrôle définis pour les éléments actif
5
https://astuces-top.blogspot.com/2016/08/livre-nagios-supervision.html
222
du réseau. SNMP permet également l'extension de ces valeurs standards avec des valeurs
spécifiques à chaque agent, grâce à l'utilisation de MIB privées.Un fichier MIB est écrit en
utilisant une syntaxe particulière, cette syntaxe s'appelle SMI 3, basée sur ASN.1 tout comme
SNMP lui-même.
En résumé, les fichiers MIB sont l'ensemble des requêtes que le Manager peut
effectuer vers l'agent. L'agent collecte ces données localement et les stocke, tel que défini
dans la MIB. Ainsi le Manager doit être conscient de la structure (que celle -ci soit de type
standard ou privée) de la MIB afin d'interroger l'agent au bon endroit. La structure d’une
MIB est une arborescence hiérarchique dont chaque nœud est défini par un nombre ou un
Object Identifier (OID). Chaque identifiant est unique et représente les caractéristiques
spécifiques du périphérique géré. Lorsqu'un OID est interrogé, la valeur de retour n'est pas
un type unique (texte, entier, compteur, tableau...) Un OID est donc une séquence de
chiffres séparés par des points. Une MIB est un arbre très dense, il peut y avoir des milliers
d'OID dans la MIB6
Une requête SNMP est un datagramme UDP habituellement à destination des ports 161
et 162 lorsqu'il s'agit de traps. Les systèmes de gestion de réseau sont basés sur trois éléments
principaux : un superviseur, des équipements et des agents. Le superviseur est la console qui
permet à l'administrateur réseau d'exécuter des requêtes de management. Il a le rôle du
serveur de management et est la cible pour la gestion des traps. Les agents sont des entités qui
se trouvent au niveau de chaque interface, connectant au réseau l'équipement et permettant de
récupérer des informations sur différents objets issus de la MIB.
Pour les réseaux informatiques, le terme de bande passante est synonyme de taux de transfert
de données, c'est-à-dire le volume de données pouvant être transporté d'un point à un autre
dans un laps de temps donné (généralement une seconde).
Dans cette acceptation, la bande passante d'un réseau est généralement exprimée en bits par
seconde (bit/s). Sur les réseaux modernes, le débit est mesuré en millions de bits par seconde
6
https://fr.wikipedia.org/wiki/MIB
223
(mégabits par seconde, ou Mbit/s) ou en milliards de bits par seconde (gigabits par seconde,
ou Gbit/s).
La bande passante n'est pas le seul facteur qui affecte les performances du réseau : la perte de
paquets, la latence et la gigue sont d'autres facteurs qui dégradent le débit d'un réseau et
ramènent le fonctionnement d'une liaison au niveau de celle d'une bande passante inférieure.
Les applications n'utilisent pas toutes la même bande passante. Ainsi, une conversation par
messagerie instantanée peut utiliser moins de 1 000 bits par seconde (bit/s) ; une conversation
en voix sur IP (VoIP) nécessite 56 kilobits par seconde (Kbit/s) pour être de bonne qualité. La
vidéo à définition standard (480p) fonctionne à 1 mégabit par seconde (Mbit/s), la vidéo HD
(720p) exige environ 4 Mbit/s et la vidéo HDX (1080p), plus de 7 Mbit/s.
La bande passante effective, soit le plus haut débit fiable d'un chemin de réseau, est mesurée
au moyen d'un test. Ce débit peut être déterminé par la mesure répétée du temps nécessaire au
téléchargement d'un fichier de son point d'origine à sa destination. 7
Il nous faudra installer "Net-SNMP" afin de pouvoir lancer des requêtes snmp pour
superviser des routeurs ou switchs par exemple.
7
Lemagit.fr/définition/bande-passante
224
Après nous avons téléchargé les paquets d’installation des versions stables
disponibles à partir du site de officiel de whatsup gold qui sont : le paquet de l‘outil
whatsup gold (Version 3.1.0) et le paquet contenant les plugins (Version 2.0.2).
Pour téléchargé whatsup gold il nous est demande de remplir un formulaire tel que
si dessous ;
Nous avons une configuration de base sur les routeurs: adresses IP, communauté SNMP,
combinaison nom d'utilisateur / mot de passe, etc. La configuration sur R1
Puisqu'il doit y avoir une connectivité entre l'outil de surveillance du réseau et les
périphériques à surveiller, assurons-nous que nous pouvons envoyer un ping aux deux routeurs à
partir de Windows Server:
225
Avec la configuration de nos appareils, nous allons maintenant procéder à l'installation et à la
configuration de WhatsUp Gold. La version WhatsUp Gold 2017.
L'installation de WhatsUp Gold est assez simple, du moins si vous choisissez l'installation
standard par rapport à l'installation avancée.
226
Ensuite, on reçoit les détails de notre licence. Dans notre cas, puisque j'utilise une licence
d'évaluation, il me dit que j'ai 30 jours de plus. Je n'ai pas eu à spécifier cela parce que la clé de
licence d'évaluation était liée au fichier d'installation.
On devra ensuite spécifier une adresse IP que le scrutateur local utilisera pour communiquer
avec les scrutateurs distants (le cas échéant). Vous pouvez utiliser des interrogateurs distants pour
distribuer la charge sur le serveur principal WhatsUp Gold à d'autres systèmes.
227
On sera alors présenté avec un résumé de ce qui sera installé et après environ 10 minutes,
l'installation devrait être terminée et il nous sera demandé si l’on veut redémarrer notre système.
Après le redémarrage, on recherche WhatsUp Gold comme on le fera pour n'importe quelle
autre application. On Clique sur "WhatsUp Gold" qui ouvre la console Web WhatsUp Gold dans
notre navigateur Web par défaut.
Une fois que nous dépassons l'écran de démarrage de la licence, une boîte de dialogue de
visite s'affiche. On peut passer par la visite pour obtenir un cours de base sur l'utilisation de WhatsUp
Gold. Cependant, puisque nous allons passer en revue la configuration dans cet article, je vais passer
la visite.
Une chose que nous remarquons lorsque vous ouvrez WhatsUp Gold pour la première fois est
qu'il n'y a pas de périphériques surveillés. Pour ce faire, des outils installent généralement un agent de
surveillance sur leur serveur local. Cependant, il semble que WhatsUp Gold soit sans agent même sur
le serveur local sur lequel il est installé.
Il existe différentes options pour découvrir un réseau: analyser un sous-réseau, analyser une
plage d'adresses IP, en utilisant un périphérique de départ.
228
En spécifiant un périphérique de démarrage, l'outil peut analyser ce périphérique, puis passer
de ce périphérique à d'autres réseaux connectés. On peut spécifier jusqu'où on veut que l'outil saute.
Pour ce laboratoire, je vais juste spécifier R1 (172.16.123.1) comme le périphérique de départ et je
m'attends à trouver R2.
Sur l'écran suivant, on doit spécifier les informations d'identification avec lesquelles scanner /
découvrir les périphériques. Les outils de surveillance de réseau s’appuient sur le protocole SNMP
pour la découverte de périphériques.
Un autre avantage avec WhatsUp Gold, c'est comment ils ont toutes les informations
d'identification dans un endroit plutôt que d'avoir une page pour SNMP, une autre page pour
WMI et ainsi de suite.
229
Une fois que nous décidons les appareils à surveiller, on clique simplement sur le bouton
Démarrer. Avec cela, les appareils devraient maintenant être surveillés
Il y a plusieurs onglets sur la page État du périphérique, notamment l'onglet Général, l'onglet
Disque / CPU / Mémoire, Routeur / Commutateur / Interface et Surveillance.
230
4.1.3. Gestion de la configuration
Une autre fonctionnalité intéressante disponible uniquement dans l'édition Total Plus de
WhatsUp Gold est la gestion de la configuration. Avec la gestion de la configuration, on peut archiver
les fichiers de configuration, alerter sur les modifications apportées à la configuration, et également
respecter certaines normes réglementaires (qui nécessitent une configuration à auditer fréquemment).
Pour simplifier, on va créer une tâche simple pour sauvegarder la configuration de démarrage
sur l'un de nos routeurs pour un essai. Accédez à Paramètres → Gestion de la configuration →
Bibliothèque de tâches on ajouter une nouvelle tâche. Nous allons planifier cette tâche pour
fonctionner tous les jours à 23h00.
Après avoir créé la tâche, je l'exécuterai immédiatement afin que nous ayons un fichier de
configuration sauvegardé.
Si je vais dans les propriétés du périphérique de R1 et que je regarde l'onglet Tâche, j'y verrai
ma tâche planifiée et aussi le résultat de l'exécution de la tâche une fois.
231
4.1.4. Configurer les alertes
Il est en fait assez facile de configurer des actions d'alerte pour un périphérique;
Cependant, il était difficile au début de déterminer où trouver des alertes pour tous les appareils
surveillés. Par exemple, il n'y a pas un seul tableau de bord "d’alerte" qui me montre tous les
problèmes sur le réseau en une fois, comme les périphériques qui sont en panne ou les périphériques
avec un processeur élevé. Il existe plutôt plusieurs tableaux de bord sous l'onglet ANALYSE qui
affichent des informations spécifiques.
Une chose que l’on devrait pouvoir faire avec n'importe quel outil de surveillance est d'être
avertie quand quelque chose ne va pas. L'outil devrait fournir plusieurs moyens d'alerte comme l'envoi
d'un e-mail, SMS, ou même simplement apparaître sur le tableau de bord (par défaut).
C’est ici que nous allons mettre en place des alertes de sorte que lorsque R2 tombe pendant
plus de deux minutes, un email sera envoyé et une alarme web sera affichée sur le tableau de bord.
Pour commencer, cliquez sur les propriétés du périphérique pour R2.
Allez dans l'onglet Actions cliquez sur le bouton Actions et stratégies. La boîte de dialogue
Actions et stratégies comporte deux parties: la bibliothèque d'actions et les stratégies d'action. Nous
pouvons spécifier les actions à entreprendre (par exemple envoyer un e-mail, une alarme sonore)
232
lorsqu'une politique particulière est déclenchée (par exemple, l'appareil a été arrêté pendant 2
minutes).
Alors commençons par créer une action pour envoyer un email. Cliquez sur le signe plus dans
la section Bibliothèque d'actions et sélectionnez "Action par e-mail".
WhatsUp Gold ne possède pas son propre serveur SMTP interne, on doit donc configurer nos
propres paramètres de serveur de messagerie. On peut également consulter le modèle d'e-mail par
défaut qui sera utilisé pour envoyer l'e-mail. Cliquez sur OK une fois terminée.
C’est là que l’on pourra définir notre politique d'action. Cliquez sur le signe plus pour ajouter
une nouvelle politique d'action. Nous appellerons cette politique "Device Down 2 minutes" et y
ajouterons deux actions: sonner une alarme web lorsque l'appareil est arrêté depuis 2 minutes et
envoyer un e-mail.
Pour simuler une panne, nous allons fermer l'interface Fa0 / 0 de R2 en utilisant la commande
no shutdown. Une fois cela fait, nous verrons que R2 est dans l'onglet MY NETWORKS.
233
Après deux minutes, une alarme web sera affichée:
Il n'y a pas de tableau de bord spécifique pour les rapports dans WhatsUp Gold. Cependant,
ce qui est bon, c'est qu’on peut exporter les informations affichées à partir des différents tableaux de
bord sous l'onglet ANALYSE.
3.1. Zabbix
Avantage :
234
De performance au rendez-vous : l'application a été testée avec succès ayant 1000
équipement a supervisé.
Inconvénients :
l'interface est vaste, la mise en place des templates n'est pas évidente
au début : petits temps de formation nécessaire.
commence à être connus, mais pas encore auprès des entreprises: peut
d'interfaçage avec d'autre solution commerciale.
3.2 Op Manager :
Présentation de l’outil :
Prendre les bonnes décisions en identifiant les points de contention et les ressources
non utilisées, grâce à de nombreux rapports disponibles en ligne ou en différé.
235
L'Intérêts de Op Manager et de;
Prendre les bonnes décisions en identifiant les points de contention et les ressources
non utilisées, grâce à de nombreux rapports disponibles en ligne ou en différé.
3.3 Nagios :
Avantages
236
Alarmes : Il est possible de configurer des évènements qui avertissent
l'administrateur d'un fonctionnement anormal.
Inconvénient
PRTG Network Monitor est un logiciel de surveillance réseau facile à utiliser qui existe
en 2 versions : l'une gratuite et l'autre payante. La version gratuite est limitée à 10 sondes. Ses
fonctionnalités contiennent : la surveillance de la disponibilité, du trafic et de la consommation,
le packet sniffing, l’analyse détaillée, des rapports précis, et plus. PRTG Network Monitor est
optimisé pour une installation, une configuration et une utilisation faciles. Il vous permet de
configurer la surveillance de votre réseau en quelques minutes :
237
L'interface conviviale permet aux utilisateurs de configurer rapidement les périphériques
réseau et les sondes. Toutes les méthodes courantes pour l'acquisition de données de la
consommation du réseau sont soutenues : SNMP, WMI, Packet Sniffing et NetFlow. PRTG
Network Monitor fonctionne avec plus de 10.000 capteurs. La surveillance LAN, WAN, WLAN
et VPN des réseaux éloignés géographiquement à l’aide de remote probes (agents) est possible.
PRTG contient 30 sortes de sondes pour tous les services communs du réseau (par exemple
PING, HTTP, SMTP, POP3, FTP, etc.) permettant aux utilisateurs de surveiller la vitesse et les
pannes d’un réseau. Dès qu’une panne survient, le logiciel vous informe immédiatement en vous
envoyant un e-mail, un SMS, un message pager ou par d’autres canaux d’information.
NTOPNG n’est autre que la dernière évolution en date de l’outil NTOP. C’est un logiciel
libre multiplate-forme de surveillance et de mesure du trafic IP. Il est complet et stable, et
permet de connaître très précisément la caractérisation de la bande passante en temps réel sur un
réseau telle que : quelle est la charge, quelles sont les stations qui consomme le plus la bande
passante, les protocoles utilisés, qui échange avec qui, et tout ceci par le biais d’une interface
web.
Pour capturer les paquets sur une ou plusieurs interfaces, il utilise la bibliothèque portable
« libpcap ». NTOPNG utilise les couches 2 et 3 pour présenter par machines, une synthèse de
tous les protocoles utilisés. Dans sa nouvelle version, il vient résoudre certains problèmes de
stabilité et de persistance des données dont soufrai NTOP.
238
Ainsi cet outil fournit un ensemble d’information sur l’utilisation de la bande à savoir qui
l’utilise et pour quoi. Parmi ces fonctionnalités, il permet de faire un monitoring de la bande
passante du réseau, de l'allocation de la bande passante nécessaire aux applications importantes.
En plus, il permet de faire des notifications en temps réel du réseau en fonction des alarmes
établies et permet de détecter les machines et applications gourmandes en bande passante. De
plus, il permet de faire une gestion de priorité des paquets du réseau en fonction des applications
utilisées, et dispose d’outils de monitoring capable d’interagir avec des équipements Cisco. Les
principaux avantages que possèdent cet outil sont qu’il est multiplateforme, ne nécessite pas de
matériel physique dédié, possèdent des outils avancés d’analyse et de gestion, et qu’il supporte
les technologies de plusieurs grands équipementiers. Le principale inconvénient est qu’il est
payant, avec une version de démonstration complète utilisable uniquement 30 jours.
239
effet, les problèmes réseaux sont souvent fugitifs et lorsqu’un incident survient, le temps
d’activer une capture ne permet pas de trouver l’origine du problème. D’un autre côté, une
capture linéaire permet de remonter dans l’historique des trames capturées mais la manipulation
d’un fichier unique et souvent de taille imposante et difficile. La capture circulaire résout ces
problèmes
Nous pouvons résumer sous forme de tableau les différents points forts et faiblesse de ces
outils
Pour assurer une bonne gestion de la bande passante, l’outil de supervision devra entre
autres, lors de ses analyses du flux, reconnaitre la majorité des protocoles qui y sont utilisés,
avoir une bonne représentation des données de façon claire, utiliser le minimum de ressource
240
possible , et avoir une mise en œuvre et une utilisation des plus aisées, sans compter l’absence
de client à installer sur les terminaux que l’on veut superviser. L’outil dans ses fonctions, devrait
également comprendre les considérations suivantes :
Affichage hiérarchique : en présentant les données via des rapports de plusieurs niveaux
et en facilitant le repérage en allant au flux de trafic individuel selon les besoins.
Profondeur illimitée : ceci dans le but de voir au-delà des hôtes « Top N », des
conversations, des protocoles, ou d’autres mesures. Bien que l’examen du sommet d’une liste
classée puisse aider à l’identification des problèmes évidents, il se peut que cela ne révèle les
parties émergées de l’iceberg. Une telle approche ne reflète pas toujours ce qui se produit
vraiment sur le réseau, où d’autres anomalies plus subtiles provoquées par des virus, des vers, et
des intrus peuvent traîner sous la surface. 8
Les types de statistiques présentées par les quatre outils sont à peu près les mêmes. Mais il
en ressort deux du lot qui se démarque par leur plus large gamme de fonctionnalités, PTRG du
côté propriétaire, et NTOPNG du côté libre. La structure ayant des perspective d’extension de
leur réseau, ainsi que la mise en place d’un outil de gestion de celui-ci, PTRG pourrai être un
bon choix. Mais vu que la structure aimerait une solution avec un outil gratuit, le choix s’est
porté sur NTOPNG. NTOPNG à d’autres avantages par rapport à PTRG. Il possède une
interface web intuitif et beaucoup plus épuré allant directement à l’information essentielle, ainsi
8
Jean-François CASQUET .dans la Quels sont les outils d’aujourd’hui de supervision réseau LAN/WAN. AZERTY
MicroSystem.fr 2015
241
qu’une plus grande base de données de reconnaissance des protocoles. Un de ses atouts c’est
qu’il est intégrable à des outils de supervision du réseau tel que nagios, cacti ou pfsen, sous
forme de plugins, à fin de former un ensemble complet d’outil supervision réseau.
NTOPNG dans sa version actuelle la 3.5, est utilisé comme analyseur de flux nous
permettant ainsi de visualiser à travers son interface web le trafic du réseau en temps réel. Dans
ses précédentes versions, il pouvait être utilisé directement pour collecter les données à travers
divers sondes. Mais par soucis de clarté et de simplicité de configuration, ses développeurs ont
attribué la tache de collecte à une autre entité. Ainsi NTOPNG ne peut surveiller qu'un seul
réseau, celui auquel il est rattaché, si il utilise la méthode du « Packet Sniffing », ou analyser le
flux à travers une autre entité qui est chargé de collecter les données « netflow » reçu par les
sondes des différents réseaux. Pour son bon fonctionnement, NTOPNG utilise deux entités:
NPROBE
NDPI
C’est une base de données de protocoles open-source mise à disposition par les
développeurs de ntop. C’est à travers cette base de données que ntopng est en mesure de détecter
les applications effectuant du trafic, quel que soit le port utilisé. Cela signifie qu’il sera possible
de détecter des protocoles connus sur des ports non standards (par exemple détecter http qui ne
sera pas sur le port 80), et aussi le contraire (par exemple détecter le trafic Skype qui sera sur le
port 80).
242
Figure 6 : NDIP
Implémentation de NTOPNG N’ayant pas un accès physique au réseau concret pour des
raisons de sécurité et par la suite pour des raisons de maintenance, nous nous somme basé sur de
la simulation. Ainsi pour nos test, nous avons pratiqué sur un réseau restreint, composé
uniquement de :
243
Figure 7 : déploiement ntopng
Cette partie nous montre comment installer et configurer ntopng. [Voir annexe A.1] étapes
d’installation et de configuration de ntopng]
Ici le but ne serait pas de présenter l'interface web dans son intégralité, mais les interfaces
dont on a besoin pour surveiller en temps réel l'utilisation du réseau, et avoir les informations à
coup d'œil des différents point cruciaux à savoir les terminaux présent sur le réseau, et
l'utilisation qui en est faite. On peut utiliser ntopng sous deux aspects, soit pour de la
maintenance, soit pour de la surveillance. Le but de la maintenance, c'est de déceler les
problèmes qui surviennent sur le réseau, et la surveillance a pour but d'avoir un visuel sur
l'utilisation du réseau.
244
Avoir les informations relatives à un hôte,
Identifier les applications ou les hôtes qui consomme le plus la bande passante
Aspect surveillance Lorsque l’on aborde ntopng sur un aspect surveillance, on peut
obtenir les informations suivantes :
Nous avons ainsi les pages ainsi les pages suivantes qui résumeront les fonctions de
maintenance et de surveillance.
La page
d’authentification
245
1) La page d’accueil de ntopng
Les menus
Les services ou
onglet
Pour y accéder, on clique sur le menu « Hosts » puis « Hosts List ». Dans cet onglet sont
on y trouve la de listé tous les hôtes communiquant à travers le réseau, répartit selon l'adresse IP,
le VLAN aux quel il appartient, sa location (indique si c'est un hôte local ou distant), le nom de
la machine hôte, sa dernière connexion, ASN (Autonomous System Number), une vue des
pannes ou échec sur l’émission ou la réception, le débit, la taille du trafic échangé. En cliquant
sur une colonne on effectue un tri croissant ou décroissant selon la nature de la colonne.
246
Une vue de pannes ou l’échec sur
Le Nom d’hôte l’émission
L’adresse IP
Le débit
Trafic
échangé
Figure 15 : Tous les hôtes du réseau
Il est possible en cliquant sur l'adresse IP d'un hôte d'obtenir toute les informations
relative à son utilisation du réseau. Ainsi nous avons comme service onglet :
Home : Cet onglet nous présente un résumé des informations concernant l’hôte soit son
adresse MAC, son adresse IP, le système d’exploitation qu’il utilise si c’est un ordinateur, le
nom de la machine avec indication si c’est une machine local ou distante, sa première et sa
dernière apparition sur le réseau, rapport entre le trafic total envoyé et reçu, la vitesse et le total
du trafic envoyé et reçu, et pour finir son activé sur le réseau sous forme de map. Il est
également possible d’exporter ces données pour un traitement particulier
247
Service
Home
4) Traffic
Cet onglet nous présente le trafic total écoulé, sous forme de diagramme circulaire et
tableau, par l'hôte en envoi comme en réception
5) Packets
Représentation sous forme de diagramme circulaire le pourcentage des paquets émis et reçu.
248
Figure 18 : Pourcentage des paquets émis et reçu
6) Protocols
Représente sous forme de diagramme circulaire et tableau les protocoles utilisés par l’hôte avec
le total envoyé, reçu et global.
7) Historical
Cet onglet nous présente un historique de l’utilisation du réseau faite par l’hôte
249
Figure 20 : Historique d’utilisation du réseau pour un hôte
8) Flows
Les informations concernant les flux échangé à travers le réseau Grace à l’onglet « Flows
», on a une liste de tous les flux échangé à travers le réseau réparti selon :
- Info : l’information
- Application : le protocole d’application de niveau 7
- L4 Proto : le protocole de niveau 4 utilisé
- Vlan : Le vlan auquel appartient le client
- Client : Le nom de l’hôte avec le numéro de port de l’application qui fait la requête
- Server : Le nom ou adresse du serveur avec numéro de port de la réponse
- Duration : La durée de l’échange
- Breakdown : les erreurs survenu lors de l’échange
- Throughput : le débit de l’échange
- Total Bytes : Le volume de données échangé.
250
Figure 21 : Liste des flux actif du réseau
9) L’interface de capture
Lorsque l’on veut un aperçu global de l’utilisation du réseau, ntopng possède un bouton
interface qui permet de les avoir selon l’interface de capture choisi. Ces informations sont réparti
sous forme d’onglet:
Overview : Cet onglet nous renseigne sur le nom de l’interface, le type de capture
effectué, le volume de données transité à travers cette interface.
10) Packets
251
Représentation sous forme de diagramme circulaire des statistiques sur les paquets échangés à
travers le réseau
11) Protocols
Affiche des statistiques sous forme de diagramme circulaire et tableau, les protocoles
dialoguant à travers l’interface réseau.
252
Présente des statistiques périodique sous forme graphique de l’activité globale du réseau
NTOPNG permet également de gérer ses utilisateurs en créent ou supprimant des comptes
254
Test de mise en production
Après une recherche des solutions correspondant au cahier des charges, une phase de tests à été
effectué. Le but étant de juger des points secondaires de types : - lisibilité, -simplicité, -stabilité…
voici le retour obtenue
Solution
FAN (base Dell OpenManage
Critères Nagios PRTG
nagios) Network Manager
stabilité stable stable stable stable
compréhension
lisibilité complexe très peu lisible très peu lisible
aisée
Prise en main prise en main prise en main très prise en main
simplicité
complexe très complexe complexe relativement simple
interopérabilité avec l'existant complète complète partiel complète
interopérabilité
graph, graph, cartographie,
fonctions supplémentaires aucune complète avec
cartographie statistique, WMI
équipement DELL
Après les tests de mises en production, un budget étant alloué à cette solution, le choix a été porté
sur PRTG cette solution ayant le gros avantage de la simplicité d’utilisation et de configuration, tout
en répondants aux demandes du cahier des charges. En effet même si les solutions gratuites
proposent quasiment le même service, leurs lectures post configuration est assez complexe, sans
oublier leurs configurations qui est elle très complexe et laborieuse, un inconvénient suffisant pour
justifier l’acquisition d’une License PRTG
255
PRTG : solution de monitoring
PRTG est une solution de supervision de réseau en temps réel basé sur le protocole SNMP. Il
permet au service informatique d’avoir une remonté d’information quasi instantané lors d’un
problème. Malgré un système basé sur le SNMP, PRTG utilise d’autres protocoles ou ressources
systèmes pour obtenir un maximum d’information sur les différents éléments du réseau.
Utilisation
La gestion de PRTG se fait via une interface WEB (http://192.168.8.6/) pour se connecter un
clique sur «login par défaut », cela nous amène à la page d’accueil qui recense tous les périphériques
déjà ajouté
L’interface
256
(bac ouvert, imprimante en surchauffe…) sans préciser les
disfonctionnement
Les « maps » sont des pages qui permettent de représenter en cartographie le réseau ou toutes
autres informations importantes : graphiques, erreurs, valeurs (nb de clients wifi)…
Pour y accéder il faut cliquer sur l’icône présente sur l’interface WEB :
Ici, deux « maps » on était créé une pour une représentation graphique du réseau à surveiller et
l’autre pour afficher tous les graphiques de débits. Quand on clique sur le nom de l’une des «maps»
on accède à une page avec ces onglets :
Le premier affiche la « maps » le second permet de la créer, l’éditer, le troisième modifie les
paramètres tels que les couleurs, l’image de fond, la taille de la « maps » enfin le dernier donne
l’accès aux liens direct de la « map » qui affiche directement la « map » dans un navigateur sans
cadre ni autre option.
257
Configuration
Ajout d’un équipement :
Pour surveiller un périphérique sur certains points il faut d’abord le renseigner dans PRTG :
IP de la machine
Logo associé à la
machine dans l’aperçu
général
On valide et suivant le mode de gestion des capteurs une exploration automatique se lance, ou pas.
258
Ajout d’un capteur :
Le principe du SNMP
Le SNMP est un protocole qui fonctionne dans un ensemble appelé « communauté » qui n’inclue
une sécurité qu’à partir de la version 3. Dans cette « communauté » il y a les « agents » (Switchs,
imprimantes : les éléments à surveiller) et l’élément charger de récupérer les informations envoyé
par les « agents » : le « manager » (l’outil de supervision : PRTG, Nagios…).
Le fonctionnement du SNMP
La Communication entre les différents éléments de la « communauté » SNMP se fait avec un langage
particulier, comme pour toute choses les constructeurs, malgré la standardisation du protocole, se
veulent unique c’est pour cette raison que les fichiers MIBs existent : en somme les fichiers MIB sont
des fichiers d’interprétation, il permet au « manager » de comprendre les informations envoyé par
les « agents »
Le schéma
259
260
Configuration de l’agent
L’agent SNMP qui sera supervisé doit être configuré en fonction du protocole SNMP c’est-à-dire qu’il
doit être ajouté à la même communauté que le superviseur et doit connaitre sont IP.
Création du capteur
Soit via l’exploration automatique, qui avec des fichiers MIB déjà implémenté dans la solution PRTG
va aller vérifier quelles informations il peut récupérer de l’agent. PRTG revoie une liste de capteurs
dans laquelle il faut sélectionner les capteurs voulus.
Soit via une liste de requêtes proposé par PRTG (WMI, Ping, tests de charges…), où à contrario de
l’exploration automatique, va vous donner la possibilité ou non d’effectuer ce contrôle sur l’agent.
261