Vous êtes sur la page 1sur 98

Livre ouvert sur la scurit

Livre ouvert sur la scurit


Issu dun travail de groupe de la commission scurit de letna
28 juillet 2004

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

1/98

Livre ouvert sur la scurit

Ont particip, ce jour, la rdaction de ce papier blanc de letna sur la scurit

Nom
Bichard de Groot Ferrero Franchin Germain Habert Karsenti Peliks Refalo Thibaud

Prnom
Jean-Philippe Max Alexis Franck Michle Michel Thierry Grard Pierre-Luc Alain

Socit
NetCost&Security Gemplus OrbitIQ France Telecom ComXper Netcelo CheckPoint EADS Comprendre et Russir F5 Networks

ml
redaction@netcost-security.fr max.de-groot@gemplus.com alexisf@OrbitIQ.com franck.franchin@francetelecom.com comxper@free.fr michel.habert@netcelo.com thierry@checkpoint.com gerard.peliks@eads-telecom.com plr@comprendre-et-reussir.com a.thibaud@F5.com

Les illustrations sont luvre de Laurent Germain (laurentgermain@yahoo.fr) Le dveloppement de ce livre ouvert est coordonn par gerard.peliks@eads-telecom.com tel : 01.34.60.88.82 06.80.36.51.69

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

2/98

Livre ouvert sur la scurit

Le mot du Prsident de letna


Les solutions de scurit, pour tre efficaces, doivent tre accompagnes d'une sensibilisation et d'une responsabilisation de ceux qui en bnficient. Votre systme d'information sera vraiment protg quand chacun de vos utilisateurs sera devenu un maillon fort de votre chane de scurit. En d'autres termes, tant qu'il existera dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et des utilisateurs nafs qui mettent en danger votre rseau, vos serveurs et les informations qu'ils contiennent, ce travail commun de la commission scurit de l'etna pourra se rvler trs utile. Edmond Cohen, Prsident de Western Telecom, ecohen@western.fr

Le mot de la Reprsentante de la commission scurit auprs du Conseil dAdministration de letna


En tant que marraine de cette commission scurit de l'Etna, je me flicite devant la passion qui anime ce groupe de travail et la rdaction de cet ouvrage. Il s'agit de technologies concurrentes, de personnes d'environnements htrognes mais tout le monde consacre beaucoup d'nergie et d'enthousiasme ce qui reprsente un des enjeux majeurs de ce nouveau sicle, la scurit et la protection des flux d'informations. Le nombre de personnes intresses participer nos journes networking ainsi qu' ce booklet montre que personne ne s'y trompe, les enjeux sont considrables pour les utilisateurs, les socits et les gouvernements. Ils sont la fois conomiques, politiques voire mme d'ordre sociologique. Un grand merci Grard qui est celui qui nous communique sa passion et qui met de l'ordre dans tout ce qui lui arrive parfois de faon un peu chaotique mais toujours scurise. Un grand bravo tous. Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, l.cohen-laloum@F5.com

Le mot du Prsident de la commission scurit de letna


Le pari un peu surraliste de raliser un livre ouvert sur la scurit destination des dcideurs non-spcialistes de ces technologies partir des inputs des meilleurs acteurs de la scurit des systmes dinformation sur le march franais a t lanc ds la cration de la commission scurit de letna. Lambition de ce booklet tait, ds le dpart, dvangliser le monde des tlcoms sur les diverses facettes de la scurit des systmes dinformation avec lide que de la diversit de ses auteurs natrait la richesse de cet ouvrage et son adquation au but recherch. Cette bonne rsolution est toutefois reste thorique jusqu ce que Michle Germain, consultante tlcom menvoie une premire contribution sur la scurit des rseaux sans fils, donnant ainsi un aspect trs concret cette ide belle et ambitieuse. Michle a galement dfini le style et la mise en page de cet ouvrage. Alexis Ferrero (OrbitIQ), Secrtaire Gnral de la commission Wi-Fi de l'etna a rejoint notre petit groupe pour mettre sa comptence sur la scurit du Wi-Fi au service de cette ralisation commune, et ce fut un exemple de coopration pour fusionner, modifier, simplifier les textes soumis. Il a ensuite trait lapplication de la scurit la voix sous IP. Puis Franck Franchin, Directeur dlgu oprations la direction de la scurit de l'information de France Tlcom, qui avait anim une intervention aussi intressante que mouvemente au cours de

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

3/98

Livre ouvert sur la scurit lvnement networking de notre commission, en dcembre 2003, sur le thme des menaces sur les rseaux sans fils, a trait les parties Ingnierie Sociale , Cyber Racket et Scurit et Mobilit . Michel Habert, Directeur Technique de Netcelo avait prsent les VPN IPSec lors de notre vnement networking davril 2004 sur les postes mobiles. Il traite du mme sujet pour ce booklet et aussi de la gestion centralise de la scurit. Alain Thibaud, Directeur Technique Europe du Sud de F5 Networks avait prsent ce mme vnement les VPN SSL et les traite dans cet ouvrage. Jean-Philippe Bichard, Rdacteur en chef de la trs intressante revue hebdomadaire en ligne NetCost&Security nous a fait bnficier dune prsentation quil avait faite dans le cadre du colloque EPF 2004 sur la certification des logiciels aux Etats Unis. Thierry Karsenti, Directeur Technique EMEA de CheckPoint nous a ouvert laccs aux white papers de CheckPoint que nous avons exploits dans le chapitre la scurit de bout en bout . Max de Groot, Technical Marketing WLAN Business Line chez GEMPLUS a commenc une entre sur lauthentification forte et explique trs clairement pourquoi linformation contenue dans le chip dune carte puce est scurise. Nous avons trouv un artiste pour illustrer nos textes. Merci Laurent Germain qui nous apporte son talent et son humour pour que notre booklet soit certes instructif, mais aussi plaisant lire. Merci aussi celles et ceux qui se sont dclars trs enthousiastes pour participer llaboration de cet ouvrage et dont nous attendons impatiemment les contributions en textes et en images. Et noublions pas ceux qui ne tarderont pas rejoindre les contributeurs de ce booklet, car il ne sera jamais trop tard pour participer. Grard Pliks , EADS Defence and Communications Systems

Le mot du hacker
Ce qui me gnerait le plus, cest que vos utilisateurs perdent leur navet face aux menaces de lInternet. Quand jattaque votre systme dinformation, soit pour jouer avec, soit pour vous nuire, soit pour lutiliser comme relais pour raliser dautres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension scurit entrait dans lesprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que jencourre de lourdes sanctions pnales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tche encore plus difficile et surtout plus risque.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

4/98

Livre ouvert sur la scurit

LIVRE OUVERT SUR LA SECURITE


1

...1

LA CYBERCRIMINALITE ......................................................................................................................................8 1.1 LES MENACES, ......................................................................................................................................................8 1.2 LES VULNERABILITES ............................................................................................................................................9 1.2.1 Les faiblesses du Web ......................................................................................................................................9 1.2.2 Les faiblesses de la messagerie......................................................................................................................10 1.3 LES ATTAQUES ....................................................................................................................................................10 1.3.1 Le vol de donnes...........................................................................................................................................10 1.3.2 Les accs non autoriss .................................................................................................................................10 1.3.3 Les dnis de services......................................................................................................................................10 1.3.4 Les attaques sur la messagerie ......................................................................................................................11 1.3.5 Les attaques sur le Web .................................................................................................................................11 1.3.6 Les attaques par systme dexploitation ........................................................................................................11 1.3.7 Les attaques combines .................................................................................................................................11 1.4 FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE, ................................................................................12 1.4.1 Face au virus Mydoom.A ...............................................................................................................................12 1.4.2 Les logiciels espions ......................................................................................................................................14 1.5 LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS,.......................................................................14 1.5.1 Les hoax .........................................................................................................................................................14 1.6 LES MENACES SUR LES POSTES NOMADES ...........................................................................................................14 1.7 LE CAS DU RESEAU SANS FIL............................................................................................................................15 1.7.1 La "rvolution" radio.....................................................................................................................................16 1.7.2 Les proccupations de lAdministrateur Rseau............................................................................................18 1.7.3 Risques et attaques.........................................................................................................................................18 1.8 LINGENIERIE SOCIALE ........................................................................................................................................22 1.9 LE CYBER RACKET ..............................................................................................................................................24 1.9.1 La prolifration des risques ...........................................................................................................................24 1.9.2 Les approches ................................................................................................................................................24 1.9.3 Un exemple ....................................................................................................................................................25 1.9.4 Les rgles suivre .........................................................................................................................................25

LES CONTRE-MESURES ET MOYENS DE DEFENSE....................................................................................26 2.1 LES FIREWALLS BASTION ...................................................................................................................................26 2.1.1 Les paramtres pour filtrer les donnes ........................................................................................................26 2.1.2 A quel niveau du paquet IP le filtrage doit-il se situer ? ...............................................................................27 2.1.3 Le masquage des adresses IP du rseau interne............................................................................................27 2.1.4 Les zones dmilitarises.................................................................................................................................27 2.1.5 Firewall logiciel ou firewall matriel ? .........................................................................................................28 2.1.6 En parallle ou en srie ? ..............................................................................................................................28 2.1.7 Sous quel systme dexploitation ? ................................................................................................................28 2.2 LE FIREWALL APPLICATIF....................................................................................................................................29 2.3 LE FIREWALL PERSONNEL ...................................................................................................................................29 2.4 LAUTHENTIFICATION FORTE, .............................................................................................................................29 2.4.1 Lauthentification et la chane de scurisation..............................................................................................29 2.4.2 Le rle de la carte puce dans lauthentification .........................................................................................30 2.4.3 Exemples actuels dutilisation de carte puce ..............................................................................................31 2.4.4 Conclusion .....................................................................................................................................................32 2.5 LE CHIFFREMENT, ...............................................................................................................................................32 2.6 LA STEGANOGRAPHIE .........................................................................................................................................33 2.7 LES VPN.............................................................................................................................................................33 2.7.1 Les VPN IPSec, ..............................................................................................................................................34 2.7.2 Le VPN-SSL ou laccs distant scuris nouvelle gnration........................................................................39 2.7.3 VPN-SSL ou laccs au rseau dentreprise ..................................................................................................43

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

5/98

Livre ouvert sur la scurit 2.7.4 Anti-virus .......................................................................................................................................................44 2.7.5 Choisir entre un VPN IPSec et un VPN SSL ..................................................................................................44 2.8 LE CHIFFREMENT DES DONNEES SUR DISQUE.......................................................................................................44 2.9 LES INFRASTRUCTURES A CLE PUBLIQUE (PKI)...................................................................................................45 2.10 LA SIGNATURE ELECTRONIQUE ...........................................................................................................................45 2.11 LA DETECTION D'INTRUSIONS,.............................................................................................................................45 2.12 LES ANTI (VIRUS, SPAMS, SPYWARES),................................................................................................................46 2.13 SECURITE ET MOBILITE.......................................................................................................................................46 2.14 LES OUTILS DE CONTROLE ET DE SURVEILLANCE, ...............................................................................................47 2.15 LERADICATION DES LOGICIELS ESPIONS ............................................................................................................48 2.16 LES POTS DE MIELS..............................................................................................................................................48 3 LA GESTION DE LA SECURITE .........................................................................................................................51 3.1 LES ASPECTS DE VERIFICATION ET DAUDIT ........................................................................................................51 3.2 LA REMONTEE ET LA CORRELATION DES LOGS ....................................................................................................51 3.3 LA GESTION CENTRALISEE DE LA SECURITE ........................................................................................................51 3.3.1 Introduction ...................................................................................................................................................51 3.3.2 Caractristiques dun systme de gestion centralis de la scurit ..............................................................52 3.3.3 Le systme dadministration (SOC- Security Operations center) ..................................................................53 3.3.4 Les oprations................................................................................................................................................53 3.3.5 La surveillance...............................................................................................................................................54 3.3.6 La supervision................................................................................................................................................54 3.3.7 Le contrle .....................................................................................................................................................54 3.3.8 La scurit et ladministration du centre de gestion de la scurit ...............................................................54 3.3.9 Fonctionnement dun centre de gestion centralis de la scurit ..................................................................54 3.3.10 Garanties de scurit.................................................................................................................................55 3.3.11 Standards et Modles de rfrence utiles ..................................................................................................55 3.4 LA GESTION DES CORRECTIFS ET DES PATCH .......................................................................................................55 4 LES RESEAUX PARTICULIERS..........................................................................................................................56 4.1 APPLICATIONS A LA VOIX SUR IP........................................................................................................................56 4.1.1 Architecture d'un systme VoIP .....................................................................................................................56 4.1.2 Les risques .....................................................................................................................................................57 4.1.3 Les attaques ...................................................................................................................................................57 4.1.4 Fonctions .......................................................................................................................................................58 4.2 LA SECURITE DES RESEAUX SANS FIL ..................................................................................................................59 4.2.1 Le problme du WEP .....................................................................................................................................59 4.2.2 Les contre-mesures de base ...........................................................................................................................61 4.2.3 Les volutions du protocole : WPA et 802.11i...............................................................................................65 4.2.4 Application.....................................................................................................................................................67 4.2.5 Autres technologies........................................................................................................................................68 5 UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT .........................................................................70 5.1 LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES ................................................................70 5.1.1 Identification des risques ...............................................................................................................................70 5.1.2 Correction des lacunes de scurit ................................................................................................................70 5.1.3 Approche intgre..........................................................................................................................................71 5.1.4 Amlioration de la scurit par ladministration...........................................................................................72 5.1.5 Rsum...........................................................................................................................................................72 6 LES ASPECTS JURIDIQUES ET HUMAINS ......................................................................................................73 6.1 LES RISQUES DU METIER ,...............................................................................................................................73 6.2 QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE .....................................................................................73 6.2.1 Larrt Nikon .................................................................................................................................................73 6.2.2 LEcole de Physique et Chimie Industrielle de Paris ....................................................................................74 6.2.3 Laffaire Escota .............................................................................................................................................74 6.3 POLITIQUE ET REFERENTIELS DE SECURITE,.........................................................................................................75 6.3.1 Prambule......................................................................................................................................................75

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

6/98

Livre ouvert sur la scurit Fondamentaux ...............................................................................................................................................76 Des principes fondateurs ...............................................................................................................................76 6.3.4 Lorganisation dans le cadre politique ...............................................................................................77 6.3.5 Une Charte et quatre politiques.....................................................................................................................79 6.3.6 Des choix essentiels .......................................................................................................................................80 6.3.7 Synthse .........................................................................................................................................................83 6.4 LES RESPONSABILITES ET LES ACTEURS DE LENTREPRISE, .................................................................................83 6.5 EXTERNALISER OU INTERNALISER ?....................................................................................................................83 6.6 LE CALCUL DU RETOUR SUR INVESTISSEMENT DE LA SECURITE (ROI) ...............................................................83 7 LES CERTIFICATIONS .........................................................................................................................................84 7.1 LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) ....................................84 7.2 L'ISO17799.........................................................................................................................................................84 7.3 LEVALUATION DE SECURITE PAR LE BIAIS DE L'ISO 21827................................................................................84 7.4 LA CERTIFICATION AUX ETATS UNIS ...................................................................................................................84 7.4.1 Le NIAP US....................................................................................................................................................84 7.4.2 Le DCA ..........................................................................................................................................................85 7.4.3 La cration de lENISA Europenne..............................................................................................................86 8 9 10 LA VEILLE SECURITE .........................................................................................................................................87 LES ENJEUX ECONOMIQUES DE LA SECURITE .......................................................................................... 88 BIBLIOGRAPHIE ET REFERENCES..................................................................................................................89 10.1 GENERAL ............................................................................................................................................................89 10.2 ATTAQUES ET MENACES ......................................................................................................................................89 10.3 VOIP...................................................................................................................................................................89 10.4 WI-FI ..................................................................................................................................................................89 10.5 INGENIERIE SOCIALE ...........................................................................................................................................90 10.6 JURIDIQUE ...........................................................................................................................................................90 10.7 LOISIRS ...............................................................................................................................................................90 10.7.1 Livres.........................................................................................................................................................90 10.7.2 Films..........................................................................................................................................................90 11 GLOSSAIRE .............................................................................................................................................................92 11.1 11.2 ACRONYMES .......................................................................................................................................................92 DFINITIONS .......................................................................................................................................................93 6.3.2 6.3.3

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

7/98

Livre ouvert sur la scurit

LA CYBERCRIMINALITE
Partie prise en charge par Olivier Caleff (Apoge Communications) / Jean-Philippe Bichard (NetCost&Security)

Jusqu'alors les conflits opposaient des tats bass sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus vident encore, on assiste un affrontement entre les tats d'un ct et les rseaux de l'autre (intgristes religieux, politique, mafias et cyber-mafias). Cet attentat dramatique a clairement montr que ce n'tait ni le nombre, ni la technologie qui prdominaient mais la matrise de l'information et la confiance que lon place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC prsentent de nouvelles vulnrabilits : des quipes peu nombreuses et ne disposant que de moyens limits, sont nanmoins susceptibles de crer de graves perturbations tant dans le domaine militaire que civil. "Aujourd'hui la France n'avance dans les NTIC que sur la pointe des pieds par rapport aux avions et aux chars" a dclar aux Echos Paul Ivan de Saint Germain ancien directeur de recherche au ministre de la Dfense.

1.1

LES MENACES,
Auteur : Grard Pliks (EADS) gerard.peliks@eads-telecom.com

Ds quun utilisateur se connecte un rseau, son poste de travail se trouve confront de nombreuses menaces dont certaines peuvent conduire une perte de donnes sur les disques durs voire mme une perte totale des fichiers systmes, avec impossibilit de rebooter son PC. Quand lutilisateur se connecte sur lIntranet de sa socit, ce rseau est automatiquement sujet des menaces pouvant porter atteinte lintgrit, et mme lexistence des informations et aux applications des serveurs connects qui manipulent ces informations. Plus inquitant encore, si lutilisateur connect son Intranet, a aussi accs simultanment lInternet, les menaces sont multiplies tant dans leur nombre que dans leur diversit. Nous ne pouvons rien contre lexistence de ces menaces, qui sont lies la nature humaine et la nature des rseaux informatiques, mais ces menaces ne prsentent de rels dangers que si le rseau et le poste de travail prsentent des vulnrabilits qui permettent ces menaces de se concrtiser par des attaques russies. Contre les vulnrabilits, heureusement pour lutilisateur, pour son poste de travail et pour les rseaux privs et publics, des outils de scurit sont disponibles. Cette tude se propose de les explorer. Mais les outils ne sont efficaces quintgrs dans une politique de scurit connue et librement accepte par lentreprise ou la collectivit, car on ne le rptera jamais assez, ce nest pas le rseau qui est dangereux, cest bel et bien lutilisateur, parfois de manire consciente mais aussi souvent sans le vouloir et sans mme le savoir. Les menaces sont bien relles. Pour se protger contre elles, puisquon ne peut les liminer, il faut les connatre pour mettre en uvre des solutions visant rduire les vulnrabilits qui permettent ces menaces de conduire des attaques qui peuvent causer des dgts intolrables lentreprise cible. Il nest pas possible de se prmunir contre toutes les menaces, donc il nest pas crdible de se croire hors datteinte de toute attaque. Heureusement les informations et les applications rsidant dans votre rseau et dans vos postes de travail nont pas toute la mme valeur stratgique pour lentreprise et pour ses utilisateurs. Toute solution de scurit a un cot, de mme toute information a un prix. Il convient donc de mettre ses ressources et son budget scurit lendroit o les

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

8/98

Livre ouvert sur la scurit informations et les applications stratgiques doivent tre protges. Il faut aussi trouver le bon quilibre entre le cot des solutions mises en uvre pour la protection des donnes et le cot quinduirait une perte ou une altration de ces donnes, si on ne les protgeait pas. Autrement dit, pour chaque domaine dinformation, pour chaque application, il y a un seuil au-del duquel, il nest pas rentable dinvestir plus pour protger une information dont la perte causerait un prjudice infrieur au cot des solutions de scurit mises en place. Inversement, il y a un cot en de duquel il convient de ne pas descendre pour protger une information dont la perte serait sans commune mesure avec le cot de la solution de protection de cette information.

1.2 1.2.1

LES VULNERABILITES Les faiblesses du Web


Partie traite provisoirement par Grard Pliks (EADS)

Par son tendue, sa richesse de contenu et sa simplicit dutilisation, lInternet est une mine dinformations pour les entreprises et un mdia sans prcdent pour faire connatre les informations mises disposition des utilisateurs, en interne comme en externe. En naviguant sur lInternet, lutilisateur peut accder des millions de pages Web, et peut, laide de portails et de moteurs de recherche, obtenir linformation qui lui est ncessaire dans le cadre de son travail, au moment o il en a besoin (caractristiques dun produit, liste de prix, conditions de vente, contacts, plan daccs)

1.2.1.1 Les cookies


Le Web est ainsi une ressource devenue indispensable pour la productivit dune entreprise, mais qui nest pas sans dangers. Avec les pages Web, on rcolte souvent son insu, ces fameux cookies. Un cookie est un petit document texte, amen, et exploit par une page Web, lors de sa lecture, qui rside sur votre disque dur et qui renseigne le serveur Web sur votre identit, sur vos commandes, sur vos habitudes. Faut til les accepter, sachant que si on les refuse, la navigation Web sur certains sites peut devenir difficile, voire impossible ? Quels en sont les dangers, que dit la rglementation europenne ? Quels sont les outils pour ventuellement les dtruire ?

1.2.1.2 Le surf abusif


Mais le plus dangereux, pour la productivit des employs, cest louverture libre des accs au Web, avec les drives que lon constate. En laissant sans surveillance ses collaborateurs naviguer sur lInternet, lemployeur sexpose certains risques : baisse de productivit des employs, effondrement des performances du rseau interne, voire mme poursuites judiciaires en tant que responsable pnal au mme titre que lemploy ayant effectu un acte illgal. Par exemple, sur le territoire franais, le tlchargement dimages pdophiles ou racistes est un dlit, donc passible de sanctions judiciaires pour lutilisateur comme, sous certaines conditions, pour son employeur. Que dit la rglementation, quels sont les risques juridiques pour lemploy et pour lemployeur ? Comment provoquer une auto discipline ou restreindre laccs de certains employs, durant certaines plages horaires ? Comment obtenir les listes de pages Web interdire ou conseiller ? La solution ce problme est simple : faire diminuer la consommation Web des fins non professionnelles, pour permettre et favoriser laugmentation de la consommation Web des fins utiles aux missions des collaborateurs, et leur enrichissement professionnel. Par voie de consquence, la bande passante du rseau sera bien employe, et il conviendra mme, par des fonctions de relais (proxy/cache) de laugmenter en ne laissant sortir, vers lInternet, que les demandes de connexions ncessaires.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

9/98

Livre ouvert sur la scurit

1.2.2 1.3 1.3.1

Les faiblesses de la messagerie LES ATTAQUES Le vol de donnes


Partie traite provisoirement par Grard Pliks (EADS)

Par o passe le voleur moderne, dans ce monde o linformation est devenue le bien le plus prcieux dune entreprise ? Et bien par le modem de votre PC portable ou par le contrleur Ethernet de votre poste de travail fixe, qui branch sur le rseau de votre entreprise, met celui-ci porte du hacker et se trouve ainsi en grave danger. Mais le hacker nest le plus souvent pas seul en cause. Plus de 50% dattaques russies bnficient dune complicit lintrieur de lentreprise. Lemploy est-il pour autant un indlicat potentiel ? Parfois oui, par esprit de vengeance ou par intrt inavouable, mais le plus souvent par manque de maturit vis vis du problme de la scurit. Si on lui demande, par tlphone, au nom de son responsable, ou du responsable systme, de fournir son login et son mot de passe, parce quil y a un besoin urgent de le connatre pour mettre jour les postes de travail distance avec un nouvel utilitaire indispensable, pensez-vous que tous ragiront de manire professionnelle, en refusant de les donner ? Et on voit alors, par exemple, la liste des salaires dune entreprise publie lextrieur, les dossiers mdicaux et autres renseignements des plus confidentiels dvoils au grand public. Lemploy dtenteur de ses donnes nominatives donc confidentielles et le chef dentreprise peuvent alors tre, juste titre inquiets car ils sont responsables devant la loi de la protection des donnes confidentielles quils dtiennent, et se doivent de les protger. On entend souvent quentre le droit et lInternet existe un grand vide juridique. Il nen est rien, et le chapitre 3 traite de ce sujet dun point de vue juridique.

1.3.2

Les accs non autoriss


Partie traite provisoirement par Grard Pliks (EADS)

Pour offrir ou refuser un utilisateur laccs au rseau, il convient bien entendu dauthentifier cet utilisateur afin de contrler si la politique de scurit de lentreprise lui accorde le droit dy accder. La solidit dun systme de protection est toujours celle de son maillon le plus faible, et souvent ce maillon cest prcisment lauthentification. Il faut savoir que lauthentification dun individu par son mot de passe noffre aucune garantie relle de scurit, surtout si ce mot de passe est re-jouable, encore plus sil nexpire pas dans le temps, et davantage encore si le mot de passe est laiss au libre choix de lutilisateur. De toute manire les mots de passe transitent en clair sur le rseau o ils peuvent tre facilement lus. Il existe aussi des utilitaires qui rcuprent les mots de passe sur les disques pour essayer de les dchiffrer et ce nest alors quune question de temps pour y parvenir. Donc avant daccorder une permission, il faut sassurer que le bnficiaire de cette permission est bien celui quil prtend tre, sinon il aura accs aux informations dune autre personne, et le vol de donnes potentiel sera difficilement identifiable puisque la personne autorise semblera les avoir prises.

1.3.3

Les dnis de services


Partie traite provisoirement par Grard Pliks (EADS)

Il nest pas indispensable de chercher pntrer un rseau pour le mettre hors dtat, il suffit de le saturer. Quoi de plus facile, avec un programme adapt, denvoyer vers un serveur de messagerie des milliers de emails par heures, ou de faire des centaines de milliers daccs vers un serveur web, uniquement pour monopoliser la bande passante et les ressources des serveurs, afin de les rendre inaccessibles. Mais lassaillant sera dcouvert puisquil est facile de dterminer do viennent les attaques, pensezvous ? Non, mme pas, car les attaques sophistiques en dnis de service utilisent, en gnral, des serveurs relais tout fait honntes mais investis le temps du forfait, car manquant des scurits indispensables. Et il est alors plus difficile de remonter lorigine des attaques. Cest ainsi que des

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

10/98

Livre ouvert sur la scurit serveurs trs sollicits dans le monde internet, comme yahoo, et mme comme des serveurs principaux de noms de domaines, qui constituent le talon dAchille de lInternet, ont cess virtuellement dexister sur le net, durant quelques heures, au grand moi de leurs centaines de milliers dutilisateurs quotidiens. Dautres serveurs non moins srieux ont constitu les bases avances de ces attaques. Ce qui est arriv sur ces serveurs, peut aussi arriver vos serveurs sans dispositif de protection, ou vos serveurs peuvent servir de relais dattaque. Vous serez alors responsables, bien que non coupables ou du moins inconsciemment non coupables, donc vous pourriez tre inquits par la loi.

1.3.4

Les attaques sur la messagerie


Partie prise en charge par Alexandre le Faucheur Partie traite provisoirement par Grard Pliks (EADS)

Tout ml ouvert peut mettre en pril votre poste de travail et le rseau de l'entreprise et la messagerie, change le plus utilis sur l'Internet constitue une menace grandissante pour les rseaux d'entreprise. Les mthodes d'attaques ou de simple nuisance sont multiples. Parmi les attaques les plus classiques citons : Le mail bombing, tir de barrage contre votre bote lettres qui bloque vos ressources avec pour but de causer un dni de service. Le mass mailer qui cre votre insu, par rebond sur votre bote lettres, des chanes malfiques de e-mails, votre nom, vers les destinataires de vos listes de messagerie. Destinataires avec qui vous ne serez plus copains aprs. Le spamming, vritable harclement lectronique, mais sans mauvaises intentions en principe, qui noie vos messages importants dans une fort de messages non sollicits et dont les contre-mesures aboutissent supprimer des messages honntes et importants en mme temps que les spams.

1.3.5 1.3.6 1.3.7

Les attaques sur le Web


Partie prise en charge par Alexandre le Faucheur

Les attaques par systme dexploitation


Partie prise en charge par Alexandre le Faucheur

Les attaques combines


Partie traite provisoirement par Grard Pliks (EADS)

1.3.7.1 Le phishing
Le phishing, la plus actuelle des menaces, repose sur trois impostures et sur votre navet (nous sommes plus de 700 millions de pigeons potentiels connects sur l'Internet). 1. Envoi de l'hameon : vous recevez un e-mail qui l'air de venir d'un destinataire de confiance, mais provient en ralit de l'attaquant. 2. Attente que a morde : le e-mail vous demande de cliquer sur un hyperlien qui vous dirige sur un site Web qui a l'air d'tre celui d'un site de confiance, d'aprs son adresse et le look de la page affiche. C'est en ralit celui de l'attaquant. 3. Le site Web de l'attaque par phishing, sur lequel vous emmne la deuxime imposture, vous demande, pour prparer la troisime imposture, celle qui fait mal, d'entrer des renseignements tels que votre couple login et mot de passe, vos coordonnes bancaires, votre numro de carte de crdit... Avec ces renseignements, comme l'attaque est en gnral but lucratif, l'attaquant usurpe votre identit, en utilisant les renseignements que vous lui avez aimablement fournis, pour vider votre compte bancaire ou attaquer notre rseau.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

11/98

Livre ouvert sur la scurit

1.3.7.2 Le panach
Citons maintenant la combinaison redoutable entre toute, flau des temps modernes qui arrive par la messagerie. C 'est le quartet : spam + mass mailer + ver + phishing, le tout simultanment. Le ver est l pour installer un logiciel espion, un cheval de Troie ou une porte drobe sur votre poste de travail, pour exploitation ultrieure. Par exemple le ver Bugbear.B, apparut en 2003 et vhicul par la messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active automatiquement si vous contactez l'une des milliers de banques, dont plusieurs franaises, contenues dans sa liste. Il envoie ensuite l'intgrale des changes lectroniques, entre vous et avec votre banque, on ne sait qui.

1.4

FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE,


Partie prise en charge par Alexandre le Faucheur Partie traite provisoirement par Grard Pliks (EADS)

On ne prsente plus la menace des virus, des vers et autres codes malicieux, tels que ILOVEYOU, Nimda et trs rcemment Bugbear et chaque jour apporte sa moisson de nouvelles menaces, parfois de nouvelles catastrophes, souvent de fausses alertes les hoax . Lutilisateur qui a subit une perte de donnes qui lui taient indispensables, et qui a transmis son insu, linfection tout le carnet dadresses de sa messagerie, o figurent les adresses email de ses clients, de ses fournisseurs et de ses partenaires comprend immdiatement que les menaces ne sont pas que pour les autres, et que les dangers dont il apprend lexistence sur lInternet et dans la presse sont un risque pour lui-mme quil convient de considrer avec srieux. Cette menace, trs visible, sournoise et de plus en plus sophistique, a donc eu au moins le mrite de motiver lutilisateur sur la ncessit de se protger des dangers du rseau, mais les virus sont loin dtre la seule menace qui peut empoisonner lexistence de lutilisateur et dtruire des applications sur le rseau.

1.4.1

Face au virus Mydoom.A


Auteur Grard Pliks EADS gerard.peliks@eads-telecom.com

En ces jours mmorables qui ont termin le mois de janvier et dbut celui de fvrier 2004, il tait difficile de passer travers les tentatives des virus Mydoom A et B pour infecter votre poste de travail. Un matin, en ouvrant ma messagerie, jai trouv parmi les e-mails reus quelques-uns dont la provenance mtait inconnue. Ils ne mtaient adresss ni par des clients, ni par des partenaires ou des fournisseurs, et ce ntaient pas non plus des newsletters auxquelles je suis abonn. Mon premier sentiment fut de penser quil devait sagir de spams, ces messages non sollicits envoys en nombre. Mais ctait curieux car notre entreprise a mis en uvre un filtre anti spams trs efficace. De plus les titres des messages hello , hi ou carrment des caractres alatoires dont lassemblage ne constituait pas des mots, au moins en franais ou en anglais, minspirrent lide quil devait sagir de mails porteurs de virus ou de vers. Aussi les ai-je effacs sans les lire, et sans aucuns regrets car je ne montre aucune piti envers les quelques spams qui russissent tromper notre filtre. Mais au cours de la journe jai reu dautres e-mails dont les titres mtonnrent. Il semblait que des messages que javais envoys me revenaient avec un message derreur parce quils navaient pas pu atteindre leurs destinataires. Les titres des messages taient du genre Mail transaction failed . L jtais impliqu, quavais-je envoy qui navait pas atteint son destinataire ? Le document que jtais cens avoir envoy tait-il important ? Devais-je renvoyer le e-mail non parvenu ? Sans hsiter jai ouvert le premier de ces e-mails dont le destinataire mtait totalement inconnu. Quimporte, peut-tre la pice jointe allait-elle mclairer sur lidentit de ce destinataire car je sais tout de mme ce que jenvoie et qui ! Au moment de cliquer sur la pice jointe qui tait cense contenir le mail revenu avec mon fichier attach, un doute sempara de mon esprit et mon doigt resta suspendu au-dessus de ma souris. Et si ctait un pige ? et si ctait un virus ? Avant de concrtiser un clic que je pouvais regretter, je suis sorti de mon bureau pour demander autour de moi si dautres avaient remarqu cette bizarrerie

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

12/98

Livre ouvert sur la scurit incroyable de Outlook 2000 qui retournait, parce que non reus, des messages jamais envoys ! Devant la machine caf j'ai constat que jtais loin dtre le seul m'inquiter. Les conversations allaient bon train, ce matin l, sur ces messages qui revenaient suite un envoi qui navait jamais eu lieu. Le risque zro tant la meilleure des pratiques en pareil cas, jai dtruit tous ces messages et jen ai eu beaucoup dautres les jours qui suivirent, venant de personnes que je ne connaissais pas, mais aussi de partenaires, fournisseurs ou clients que je connaissais trs bien et qui eux avaient donc sans doute t infects. Ainsi fut en ces jours de virulence extrme mon vcu face au virus Mydoom-A. Ce que jai appris plus tard, cest quen ralit je ne risquais rien car notre anti virus dentreprise avait trs tt dtect le virus et remplaait systmatiquement le fichier en attachement des e-mails, contenant la charge utile par un fichier texte qui avertissait que la pice jointe avait t mise en quarantaine suite au soupon dune attaque virale. Tirons la principale leon de cette histoire. La meilleure dfense contre vers et virus, de mme que contre dautres menaces est davoir systmatiquement, par dfaut, un instinct scuritaire. Mieux vaut perdre un e-mail, effac tort, que perdre ses donnes et peut-tre son rseau. Mieux vaut sabstenir de tlcharger par le Web un fichier important mais sans origine certifie que chercher ensuite ses images et ses fichiers PowerPoint et Word qui auront disparu et toujours au moment o on en a un besoin indispensable. Si le-mail effac tait vraiment trs important, lexpditeur vous contactera en stonnant de navoir pas eu de rponse de votre part. Vous ne vous serez pas fait un ami, mais vous aurez peut tre vit davoir comme ennemis toutes vos connaissances dont vous avez entr les adresses e-mail dans vos listes de distribution. Prenons une analogie : si on vous disait que dans le courrier, celui base de papier lettre qui aboutit dans votre bote, il pouvait y avoir des lettres piges et quil suffisait pour le prouver de remarquer tous vos voisins avec des gueules de travers pour ne pas sen tre mfi, ouvririez-vous sans mfiance les enveloppes dont vous ntes assurs ni de la provenance ni de lexpditeur ? Il faut ragir de mme avec les e-mails. Les virus de ces derniers temps, trs mdiatiss, vont au moins prsenter lavantage de faire voluer les mentalits. Le e-mail ne doit plus tre considr comme un texte anodin dont la lecture au pire vous fait perdre du temps. Un e-mail qui vous clate en plein poste de travail peut marquer la fin de votre systme dinformation. La deuxime leon est quil est indispensable dactiver un antivirus dentreprise efficace qui filtre les changes entre lextrieur et votre rseau interne. Il faut aussi sur chaque poste de travail un antivirus personnel qui filtre les changes entre votre Intranet et le poste de travail, car on peut supposer que vous ou quelquun sur votre rseau charge sur son poste de travail des fichiers partir de CDROM, de disquettes, ou simplement nest pas aussi attentif que vous face linscurit du rseau et cet inconscient peut aussi vous envoyer des e-mails partir de lintrieur du rseau ? Analysons ce qutait ce fameux virus Mydoom. Cest un mass-mailer , un virus qui, lorsquil vous contamine, se communique automatiquement toutes les adresses quil trouve dans vos listes de messagerie. Si vous avez reu de nombreux e-mails contenant ce virus, cest que votre adresse email figure dans beaucoup de listes de messagerie dordinateurs qui ont t infects. Comment saiton quun message reu contient ce virus ? Par le titre dabord, qui prsente plusieurs variantes : hi , hello ou carrment comme nous lavons dj voqu Mail Transaction Failed ou Mail Delivery System . Ensuite le e-mail, dont le corps du texte parfois contient des caractres unicode, donc pas toujours lisibles, est accompagn dune pice jointe par laquelle le mal arrive. Un excutable joint un message ne doit jamais tre excut car la prsomption de virus est maximale surtout si lextension de la pice jointe est un ".exe". Mais si cest un .zip , vous pensez que louvrir ne vous engage rien puisque vous allez simplement excuter votre utilitaire Winzip qui va vous indiquer si lextension du fichier attach est ou nest pas un .exe ? Attention !!! ce virus l, et sans doute ceux qui suivront, sont trs malins. Vous croyez excuter un .zip , mais le nom du fichier document.zip , par exemple, est suivi de quelques dizaines despaces pour se terminer par sa vraie extension .exe ! Suivant la configuration de votre cran, soit cette extension est cache dans la partie non visible de votre cran sur la droite, soit elle napparat que sur la ligne du dessous et jamais vous nallez remarquer cette ligne ! Vous navez alors plus que vos yeux pour

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

13/98

Livre ouvert sur la scurit pleurer sur votre cran qui reste fig, sur le Ctrl Alt Supr qui met un temps infini agir ou sur vos fichiers perdus ! Mais rassurez-vous, dans le cas de Mydoom-A, chez vous point de fichiers perdus, car ce nest pas vous qui tes viss en ralit, vous ntes dans cette histoire quun tremplin malchanceux bien que coupable davoir t naf ou inconscient devant linscurit du rseau. La cible de Mydoom-A, ce nest pas vous donc, cest SCO, cet diteur de logiciel de la lointaine cte ouest des Etats Unis qui affirme avoir des droits sur le systme UNIX, se mettant dos en particulier la communaut des logiciels libres. Mydoom-A installe sur les postes de travail une porte drobe qui lui permet, une date dtermine, d'utiliser votre poste contamin pour bombarder de requtes le serveur Web de SCO, le saturer et le faire tomber. Lattaque sest dclenche le 1er fvrier. Le serveur Web de SCO a t agress ce jour l par plusieurs centaines de milliers de postes de travail qui le sollicitaient sans relche, et SCO a prfr retirer son serveur Web du paysage Internet. Si votre poste de travail tait contamin et que vous tiez connects sur le rseau ce 1er fvrier, vous avez peut-tre particip votre insu cette cure.

1.4.2

Les logiciels espions


Auteur Grard Pliks EADS gerard.peliks@eads-telecom.com

On se pose parfois la question : mais pourquoi ce logiciel si puissant est disponible gratuitement en tlchargement sur lInternet ? Qui finance ses dveloppements ? Cette question est pertinente quand on connat le cot de dveloppement dun logiciel ! La rponse est parfois aussi simple quinquitante. Le dveloppement du logiciel gratuit peut tre financ par un logiciel espion qui sinstalle, linsu de lutilisateur, et qui renseigne une rgie publicitaire ou pire un organisme de guerre conomique travaillant pour un concurrent, sur vos habitudes de navigation, parfois mme lui envoie des fichiers rcuprs sur votre disque. Vous doutez que ce scnario puisse reflter la ralit ? Ne vous tes-vous jamais tonn quand parfois, votre poste de travail fait des accs disque ou rseau, alors que vous ne pressez aucune touche, et ne sollicitez pas votre souris ? Ne vous tesvous jamais tonn que votre curseur se bloque par intermittence, suite loccupation de vos ressources par quelque chose qui vous chappe ? Parfois cest bien d un logiciel espion, qui tapi au fond de votre disque, se rveille pour envoyer lextrieur les renseignements confidentiels que votre disque contient. Aujourdhui, alors que se dchane la guerre lectronique, o le renseignement est roi, la menace omniprsente sur le rseau, et les hackers malveillants ou professionnels toujours plus nombreux, il ne faut plus ngliger ce type de menace. Vous doutez encore que votre disque puisse contenir un ou plutt plusieurs logiciels espions ? Tlchargez et installez le logiciel gratuit ad-aware qui se trouve sur le web www.lavasoft.de (rassurez-vous, celui-ci ne contient pas de logiciels espions, et passe pour tre le meilleur des logiciels pour trouver et radiquer de votre disque ce genre de menaces). Vous serez fix ! et peuttre aprs radication de ces logiciels espions, votre poste de travail offrira de meilleures performances.

1.5 1.5.1 1.6

LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS,


Partie prise en charge par Franck Franchin (France Telecom)

Les hoax LES MENACES SUR LES POSTES NOMADES


Partie prise en charge par Olivier Caleff (Apoge Communications) / Alexandre le Faucheur (VALEO) Partie traite provisoirement par Grard Pliks (EADS)

Dj lintrieur de lentreprise, votre PC est soumis des menaces et pour cela il est ncessaire de lattacher un point fixe par un cordon dacier, et dutiliser lconomiseur dcran quand vous

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

14/98

Livre ouvert sur la scurit vous absentez provisoirement de votre bureau. Que dire alors des risques quil encourt quand vous le sortez de lentreprise ! Justement parlons-en. Votre PC portable peut, comme cela arrive plusieurs milliers de PC, chaque anne en France, tre gar ou vol. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, parat-il, disparaissent. Ce nest pas toujours luvre de simples voleurs intresss par la valeur marchande du PC le plus souvent trs infrieure celle des informations stockes sur son disque dur. Jai connu une situation, lors dun salon, il y a quelques annes, o la paroi de la remise dun stand avait t force durant la nuit. Au petit matin, quatre PC portables laisss imprudemment dans la rserve avaient disparu. Au-del de la gne vidente pour leurs propritaires, lun des portables contenait le planning et lvolution des fonctionnalits des produits conus et commercialiss par lentreprise et les carnets dadresses des partenaires et des clients. Que pouvait esprer le propritaire de mieux quun miracle fasse quune mtorite tombt sur son PC vol en dtruisant son disque dur avant que son contenu ne soit exploit ! Mais la probabilit pour que ce miracle se produise nest pas bien grande. Ajout cela, durant la journe, des coffres de voitures avaient t forcs sur le parking du salon et un autre PC portable avait t drob ! Ce nest pas sur lespoir dun miracle que doit reposer la scurit des donnes contenues dans les postes de travail et des changes entre un poste nomade scuris et son Intranet, mais sur un tat desprit, une politique de scurit, et des outils correctement paramtrs. Durant la connexion votre poste nomade peut prsenter un danger pour lintgrit du systme dinformation de votre Intranet car il est expos aux attaques dites par rebond qui permettent un agresseur de prendre la main distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans lIntranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalits de firewall personnel qui le protgent contre cette vulnrabilit. Ainsi, quand votre VPN est activ, le poste nomade naccepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en mme temps surfer sur lInternet. Quand vous navez plus besoin dtre connect lIntranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte puce du lecteur. Votre poste nomade est alors devenu un poste de travail banalis sans fichiers confidentiels en clair ni possibilit de connexion vers notre Intranet. Il peut alors tre vol ou perdu sans consquences catastrophiques pour notre systme dinformation. Ce nest pas une raison, bien sr pour relcher votre vigilance. Le poste nomade possde un lecteur de disquette et un port sur lequel peut tre connecte une cl mmoire USB* par lesquels il est possible de charger des fichiers. Le problme est que ces fichiers chappent videmment au contrle de lantivirus de lentreprise. Une fois le poste nomade connect lIntranet, il peut infecter son systme dinformation. Il est indispensable, avant tout chargement de fichiers par disquette ou cl mmoire de les passer par un antivirus personnel que votre poste nomade doit possder. Et bien entendu si un fichier est souponn de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur.

Firewall

Zone non protge nomade 1.7 LE CAS DU RESEAU SANS FIL

V P N

Zone protge

Auteurs Michle Germain (ComXper) ComXper@free.fr et Alexis Ferrero (OrbitIQ) alexisf@OrbitIQ.com

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

15/98

Livre ouvert sur la scurit

1.7.1 La "rvolution" radio 1.7.1.1 Le WLAN dans le paysage informatique


Le nomadisme voqu ci-dessus se faisait sur un rseau filaire, par consquent dans un espace connu, relativement bien matris. L'avnement des rseaux voix et donnes radio - les WLAN change les habitudes des utilisateurs et tend encore leur rayon d'action en faisant abstraction du fil. L'utilisateur, de nomade qu'il tait, devient mobile. La presse, la frquentation des "hotspots", sont les signes de l'engouement du public pour le WLAN. Les WLAN reposent en majorit sur les standards 802.11b et 802.11g de lIEEE, plus communment connus sous le label Wi-Fi . Les utilisations du WLAN sont nombreuses. Citons tout d'abord le "hotspot", c'est dire l'infrastructure radio ouverte dans un lieu public qui permet chacun de se connecter l'Internet ou l'Intranet de son entreprise. L'intrt est vident la fois pour l'usager et pour le fournisseur du service, celui-ci pouvant offrir l'accs Rseau un nombre quasi illimit d'usagers et avec un investissement minimal, c'est dire sans avoir dployer des cbles et des prises. Les hotspots, dont l'usage a t autoris en France fin 2002 par l'ART, se multiplient dans les lieux de passage (arogares, gares, htels, cafs, etc.). Une autre application est le WLAN priv pour l'usage exclusif d'une entreprise ou d'un particulier. Le WLAN peut tre utilis seul pour constituer un rseau avec un minimum d'infrastructure. Cette configuration est souvent utilise dans le domaine rsidentiel ou SoHo, en premier lieu pour partager un accs ADSL entre plusieurs stations, linterconnexion des stations ntant pas ncessairement le besoin premier. En entreprise, le WLAN est adopt pour offrir un service de mobilit informatique (prsence au chevet des malades en milieu hospitalier, inventaires en entrept, accueil de visiteurs dans des centres de confrence, etc.). Le WLAN constitue galement une solution complmentaire au LAN filaire pour couvrir des zones difficiles d'accs ou difficiles cbler. En particulier, le WLAN est apprci dans des btiments historiques classs o les possibilits de cblage sont limites et strictement contrles. Des liaisons point point Wi-Fi sont parfois mises en uvre pour raliser des ponts radio entre les rseaux filaires de btiments spars. Enfin, la plupart des ordinateurs portables sont maintenant quips nativement dune carte ou dun module Wi-Fi intgr pour se raccorder aux rseaux Wi-Fi. Centrino de Intel est un package technologique Wi-Fi qui quipe de nombreux ordinateurs.

1.7.1.2 Constitution dun WLAN


Dans la configuration considre dans ce document, le WLAN est constitu de points daccs (AP) connects sur une infrastructure filaire qui peut supporter des quipements fixes (serveurs, postes fixes). Le schma ci-dessous reprsente un WLAN dans sa forme la plus simple.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

16/98

Livre ouvert sur la scurit

1.7.1.3 Les spcificits d'un rseau radio


Les menaces qui psent sur le poste nomade psent galement sur le poste mobile, mais il existe d'autres dangers inhrents au support radio. La propagation des ondes radio Un rseau filaire est relativement bien matris, dans le sens o il se dveloppe sur une infrastructure fixe, le cble, dans un lieu donn, le btiment, et est accessible uniquement depuis un nombre limit de points connus, les prises. Ceci permet notamment d'interdire toute utilisation frauduleuse du rseau en dehors des lieux qu'il dessert. Il n'en est pas de mme du rseau radio puisque les ondes ne connaissent ni murs ni frontires : une borne place devant une fentre, rayonne sans vergogne dans la rue, les murs laissent toujours passer une partie du signal, et la porte du rseau dpasse largement la zone couvrir. Sans prcaution, un pirate peut se connecter sur votre rseau, accder lInternet depuis votre propre compte et intercepter les transactions entre vos ordinateurs. Les perturbations radio Un autre problme du WLAN est la qualit de la transmission. Les rseaux de type Wi-Fi fonctionnent dans une bande de frquences d'usage libre qui, contrairement aux frquences DECT ou GSM, nest pas rserve des applications dtermines, en loccurrence aux WLAN. Ainsi, votre rseau radio pourra-t-il tre perturb par celui du voisin, mais aussi tre perturb ou perturber nombre d'utilisations sans rapport avec le Wi-Fi : tlcommandes (portails, voitures), systmes d'alarmes, fours micro-ondes, radioamateurs, etc. En dehors de ces lments perturbateurs, la transmission radio est galement soumise ses propres alas. En particulier, les conditions mtorologiques peuvent tre l'origine d'une dgradation de la transmission. La plupart des problmes lis la transmission radio (mauvaise propagation, perturbations) peuvent tre contourns par une tude pralable d'ingnierie radio. Celle-ci vise rechercher le meilleur emplacement pour installer les points daccs en fonction de la configuration des lieux et de la nature de l'environnement (murs, mobilier mtallique). Il sera aussi ncessaire de prendre en compte la prsence d'quipements fonctionnant dans la mme bande de frquence avec une attention particulire pour les quipements Bluetooth qui fonctionnent dans la mme bande de frquences. Le facteur humain Cette menace, strictement humaine, n'en est pas moins relle. L'usager mobile ou nomade qui utilise son ordinateur dans des lieux publics (gare, aroport), le fait parfois pour le plus grand intrt de voisins indlicats et non innocents qui ont les yeux rivs sur l'cran. Les moins scrupuleux nhsiteront pas tablir une liaison pirate avec lordinateur linsu de son propritaire.

1.7.1.4 Le contrle de laccs au rseau


Laccs au rseau radio est contrl au cours de diffrentes tapes : Lattachement Cest lopration par laquelle le point daccs et le poste mobile se reconnaissent mutuellement en tant que constituants dun mme rseau. En effet, si plusieurs rseaux se chevauchent, il est bon de sassurer que lon se connecte sur le sien et non sur celui du voisin. Lattachement joue en gros le rle de la prise sur un rseau filaire. Il est bas sur lchange dun identifiant rseau, SSID pour un rseau Wi-Fi. Lauthentification Lauthentification permet de sassurer de lidentit et des droits de lusager pour lui accorder le droit de se connecter, en regard de la politique dutilisation du rseau. Elle est gnralement ralise par un mcanisme dfini par le protocole et peut aussi mettre en uvre des solutions additives bases sur des protocoles dauthentification plus rigoureux.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

17/98

Livre ouvert sur la scurit La phase dauthentification peut galement tre supprime dans des rseaux qui, tels les hotspots, ont pour vocation de recevoir tout utilisateur qui en fait la requte. Elle doit alors se faire au niveau du portail Web (niveau applicatif). La communication Une fois l'utilisateur authentifi et autoris, et donc associ une catgorie, toutes les transactions qu'il va oprer au travers du WLAN sont encore soumises un niveau lev de contrle et de surveillance. Il s'agit d'une part de se protger contre les coutes indlicates (eavesdropping), mais aussi potentiellement contre les attaques vhicules par le trafic lui-mme. La protection contre les premiers risques consiste crypter les communications, celle contre les seconds consiste contrler le contenu du trafic contenu l'aide d'un firewall et/ou d'un IDS (Intrusion Detection System) orient sans-fil. Le cryptage Le protocole prvoit un chiffrement mis en uvre sur les trajets radio de linformation, cest dire entre les points daccs et les postes mobiles. Dans un rseau Wi-Fi, le chiffrement est ralis par le WEP ou lAES. Le chiffrement peut galement tre inhib, notamment dans les hotspots. Il est galement possible dappliquer un chiffrement de bout en bout qui se superpose au chiffrement radio, au moyen dun protocole de niveau applicatif (SSL) ou au niveau rseau (IPSec).

1.7.2 Les proccupations de lAdministrateur Rseau


La scurit est la proccupation critique d'un Administrateur Rseau confront au Wi-Fi, d'une part parce que les faiblesses des technologies ont t trs largement rapportes et commentes par la Presse, d'autre part parce qu'il s'agit d'une approche effectivement nouvelle du sujet qui prsente une grande diversit. Comme nous l'avons vu, le Wi-Fi repose sur une transmission radio, gnralement omnidirectionnelle, de type broadcast, (diffusion gnrale) o tout le monde peut couter toutes les communications, voire transmettre des paquets en prtendant tre un autre quipement (impersonation). A la diffrence des rseaux locaux de ces dernires annes qui ont vu le remplacement du cble Ethernet par une arborescence de commutateurs, le WLAN est implicitement ouvert et par l, prsente une forme de vulnrabilit spcifique. Les constructeurs et organismes de standardisation se sont donc employs dvelopper des mthodes de protection capables de fournir un niveau de scurit comparable aux rseaux "cbls", voire suprieur. Pour un administrateur rseau, le dveloppement d'un rseau Wi-Fi en extension de son LAN cbl, ne peut tre envisag s'il prsente une vulnrabilit suprieure l'architecture dj en place ou bien, si le rseau Wi-Fi apparat comme un maillon faible, mettant en pril l'ensemble de l'infrastructure (tel un cheval de Troie). En entreprise, la connexion d'un poste Client au rseau Wi-Fi est considre comme celle dun poste nomade via modem tlphonique, donc au travers d'une infrastructure non-sre. On applique donc des procds trs comparables : authentification forte de la connexion et cryptage des communications. Un certain nombre de complments fondamentaux est apport par des solutions spcialises, comme des filtres ACL, un firewall, un IDS, paralllement la dtection de tout vnement pouvant tre la prmisse d'une attaque Wi-Fi.

1.7.3 Risques et attaques


Du fait des faiblesses des solutions standards, de nombreux risques existent en Wi-Fi, dont typiquement les Fake AP, Rogue AP, Honey Pot, Man in the Middle dont on parle le plus souvent, mais aussi les attaques par dni de service (DoS) et intrusion.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

18/98

Livre ouvert sur la scurit Le piratage du WLAN peut viser plusieurs objectifs, dont le premier est de disposer gratuitement d'un accs Internet en se connectant depuis l'extrieur sur le rseau radio d'un particulier ou d'une entreprise. Outre l'aspect financier, l'attaque peut mener au dni de service, si le hacker occupe toute la bande passante, par exemple en envoyant des spams. Le hacker peut galement mener des attaques sur lInternet et visiter des sites terroristes ou pdophiles en toute impunit puisque le responsable identifi sera le propritaire du rseau attaqu ! Les autres attaques relvent du dsir de nuire en s'infiltrant sur le rseau dans le but d'accder des informations, voire mme de modifier ou dtruire ces informations.

1.7.3.1 Dnis de service


Ces attaques visent rendre le rseau inoprant. Contre elles, il n'existe pas de moyen de se protger et l'administrateur est contraint de se dplacer et d'agir sur place, ventuellement aid doutils de localisation. Le brouillage (jamming) Le brouillage dun rseau radio est relativement facile raliser avec un quipement radio qui met dans la mme bande de frquence que le rseau Wi-Fi. Il ne prsente aucun risque dintrusion, mais constitue un dni de service efficace. Au-del dune certaine puissance, le brouillage peut saturer les quipements physiques du rseau attaqu et le rendre totalement inefficace. Accs en rafale Les attaques DoS, qui ne sont pas propres au sans-fil, consistent bloquer l'accs au rseau par un trafic ou des connexions malveillantes en rafale (trames d'authentification/association), en dgradant trs significativement la qualit des communications ou en gnrant une charge de traitement sur les quipements rseau ou client (requtes de probe). Des outils permettent de dtecter ce genre de flux, de gnrer un avertissement et daider l'administrateur localiser la source de l'attaque. Certains commutateurs Wi-Fi sont capables de se dfendre deux-mmes en bloquant laccs Wi-Fi ds dtection dun flux anormal de trafic entrant. Spoofed deauthenticate frames (dsauthentifications forces) Ce type dattaque consiste gnrer des trames qui visent annuler lauthentification dun poste mobile. Celui-ci ne peut plus se reconnecter sur le rseau. Une autre attaque consiste envoyer des trames broadcastes, cest dire sans adresse dfinie, qui attaquent de la mme faon tous les postes mobiles porte.

1.7.3.2 Intrusions
LIntrusion Client Cette attaque consiste exploiter les vulnrabilits du client pour accder au rseau. Comme pour les rseaux cbls, la meilleure protection est la mise en place d'un firewall entre la partie WLAN et le reste de l'infrastructure rseau, qui garantit un niveau de scurit au moins gal celui de l'environnement cbl. LIntrusion Rseau C'est une des attaques les plus critiques. Une intrusion rseau vise prendre le contrle des ressources rseau d'une entreprise. Les protections contre ce risque sont les systmes IDS ddis au Wi-Fi, qui vont chercher corrler plusieurs vnements douteux pour dterminer si le rseau ou un systme particulier est en train de subir une intrusion

1.7.3.3 Falsification des points daccs


Le Fake AP (faux AP) Le faux point daccs (Fake AP) n'est pas un vritable AP, mais une station du rseau.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

19/98

Livre ouvert sur la scurit Des logiciels (gnralement sous Linux) permettent de faire apparatre l'interface Wi-Fi d'un poste client comme un point daccs et de configurer son SSID et adresse MAC dans un but d'impersonation. Le PC du hacker joue le rle de point daccs en usurpant le SSID du rseau et peut donc rcuprer les connexions Wi-Fi des utilisateurs : pour se livrer une attaque man-in-the-middle en reproduisant donc au fil de l'eau les trafics vers le rseau WiFi, et rcuprer ou dduire les donnes de scurit, pour rcuprer les mots de passe sur une page Web identique au serveur d'authentification (cas d'une authentification Web), ou simplement pour pirater les PC clients s'il n'y a aucune scurit. Le Rogue AP (AP indsirable) La faille de scurit dite Rogue AP est la plus redoute en entreprise. Lattaque consiste brancher sur le rseau un point daccs pirate qui diffuse dans une zone o peut se trouver le hacker. Elle ncessite certaines complicits au sein de lentreprise. La faille de scurit peut aussi tre ouverte innocemment et sans intention malveillante quand un utilisateur du rseau, par commodit au niveau de ses bureaux par exemple, connecte un AP sur la prise Ethernet murale, lui confrant une certaine mobilit avec son ordinateur l'intrieur de la cellule ainsi cre. Ces installations pirates sont particulirement dangereuses parce qu'elles ouvrent le rseau de l'entreprise au monde Wi-Fi, gnralement avec un niveau de scurit insuffisant. Au pire, l'AP est un ordinateur qui peut fonctionner comme un pont, crant un Wireless Bridge, savoir un lien entre le rseau Wi-Fi et le rseau local cbl. Le pot de miel (honeypot) invers Lattaquant installe dans la zone de couverture du rseau radio un point daccs avec un signal plus fort qui cherche apparatre comme faisant partie intgrante du rseau de la socit pour attirer les postes clients (utilisation du mme SSID), et les laisser se connecter (au niveau WLAN). De cette faon le pot de miel espre pouvoir espionner la phase de connexion, pour en dduire les paramtres utiles, quitte effectivement reproduire simultanment la phase de connexion vers le rseau rel (cas du Man in the Middle).

1.7.3.4 Impersonation (Usurpation didentit)


Ce type d'attaque consiste prendre la place d'un poste mobile ou d'un point daccs valide dans le but d'accder au rseau ou aux services. Elle peut tre la consquence dune attaque de type Fake AP. Elle peut se faire au niveau du poste mobile en usurpant son adresse MAC ou au niveau du point daccs en usurpant son adresse MAC et son SSID. Dans le pire des cas, les lments du rseau n'tant pas aisment localisables en transmission radio, un AP frauduleux peut inviter un client se connecter au rseau par son accs et en dduire les lments d'authentification de ce client.

1.7.3.5

Probing et Dcouverte du rseau


Bien que la dcouverte du rseau soit une des fonctions initiales normales de Wi-Fi, c'est aussi une des premires tapes qu'un intrus doit accomplir, et au cours de laquelle il faut essayer de le dtecter, mme s'il est assez peu "bavard".

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

20/98

Livre ouvert sur la scurit Le Wardriving et le Warchalking Les pratiques de Wardriving utilises par les hackers qui se dplacent avec un poste mobile l'coute des rseaux radio pour les reprer et les signaler sur une carte sont bien connues. L'association un systme GPS permet de dresser une cartographie des points de prsence de rseaux radio. La pratique du Warchalking consiste matrialiser la prsence de ces rseaux en taggant des signes convenus dans les rues : Les quipements ncessaires se trouvent aisment dans le commerce et des logiciels libres de Wardriving sont disponibles sur lInternet. Certaines listes de hotspots trouves sur lInternet ne donnent pas que les hotspots officiels des cafs et restaurants, mais incluent galement des sites victimes du Wardriving. Des quipements sont capables de dtecter l'emploi des applications de Wardriving les plus rpandues (Netstumbler, Wellenreiter et AirSnort sous Linux) grce leur "signature" spcifique, et d'envoyer un message d'avertissement l'administrateur du rseau. A ce stade aucune agression n'a encore t mene contre le rseau, mais il est indispensable de savoir qu'il est sous "observation" extrieure.

Le Warflying Lemploi dantennes omnidirectionnelles pour les AP Wi-Fi permet une excellente propagation de ceux-ci la verticale, dautant plus excellente quil ne sy rencontre gure dobstacles. Les hackers les mieux quips pratiquent ainsi le Warflying depuis des hlicoptres ou de petits avions volant 1500 2500 pieds.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

21/98

Livre ouvert sur la scurit

1.7.3.6 Rcupration des informations sensibles du rseau


Par informations sensibles , on entend les informations qui vont permettre au hacker de se connecter au rseau attaqu, recueillir en clair les informations qui y circulent, dintroduire luimme ses informations sous forme de virus, de vers, voire de donnes errones ou encore de dtruire des donnes. Lintrusion par sniffing Le principe est le mme que sur les rseaux Ethernet et utilise un sniffer qui capture les messages douverture de session pour rcuprer le nom et le mot de passe. Il suffit au sniffer dtre dans la zone de couverture radio du rseau, soit dans un rayon dune centaine de mtres autour dun point daccs. Munis dun amplificateur de signal (une simple boite de biscuits peut faire laffaire), les sniffers ont la possibilit de travailler avec des signaux particulirement faibles, ce qui leur permet daugmenter cette distance. Lcoute tant passive, lattaquant a peu de chances de se faire remarquer. La zone de couverture du rseau doit tre comprise dans son sens le plus large. Il ne sagit pas seulement de la couverture fournie par les points daccs, mais aussi de la zone dans laquelle rayonnent les terminaux raccords au rseau, mme loigns. Ainsi, un usager travaillant dans un hotspot daroport loin de son entreprise devient une cible potentielle pour un hacker et lIntranet de la victime peut tre alors attaqu par rebond depuis son poste nomade. Lattaquant peut ensuite se connecter comme un utilisateur lgitime (spoofing) puis envoyer toutes sortes de commandes, virus, etc. sur le rseau. Un moyen plus pernicieux consiste forcer la dconnexion abusive d'un client pour pouvoir dduire les lments dauthentification et de chiffrement en observant la phase de reconnexion qui s'ensuit. coute malveillante (Eavesdropping) Lcoute malveillante consiste observer et dcoder le trafic du rseau. Comme voqu prcdemment, certains modes de cryptage possdent des faiblesses intrinsques qui permettent de "craquer" le codage (le temps de traitement est inversement proportionnel la quantit de trafic espionn). La principale protection est l'emploi d'un cryptage fort. Au WEP standard, peu robuste, on prfrera un VPN SSL ou IPSec.

1.7.3.7 Attaque au niveau de la station


Attaque par rebond Le hacker se connecte la station et constitue avec elle un rseau ad-hoc , cest dire sans infrastructure de distribution, et peut accder au rseau de lentreprise par rebond sur cette station. Ce type dattaque nest pas propre au poste mobile. Des postes fixes quips dune option WiFi non dsactive sont tout autant vulnrables.

1.8

LINGENIERIE SOCIALE
Auteur : Franck Franchin (France Telecom) franck.franchin@francetelecom.com

Lingnierie sociale (ou social engineering ) est une pratique qui consiste exploiter le maillon souvent le plus faible dun systme ou dun processus de scurit : le facteur humain . Nous allons prsenter quelques techniques couramment utilises par ces piratages qui prfrent hacker des humains plutt que des systmes informatiques. On peut distinguer deux types dattaques en ingnierie sociale : lattaque cible sur une entreprise ou un individu Ce type dattaque repose sur la connaissance prcise dune organisation, des pratiques spcifiques des mtiers dans une volont dtermine de nuire ou de tirer un profit prcisment identifi.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

22/98

Livre ouvert sur la scurit lattaque de masse, sans cible spcifique (bien quil puisse exister des cibles gnriques : banques, organisme de dfense nationale) Ce type dattaque est bas sur des comportements humains et/ou internautes bien connus (lettre pyramidale, pice jointe pour adultes, usurpation didentit non dtecte) Avant toute attaque de type ingnierie sociale, lagresseur va chercher se renseigner sur les organisations et/ou les personnes qui sont ou seront ses cibles. Il va utiliser des attaques de type rebond : une information disponible permet den obtenir une autre, etc. Ces informations sont obtenues soit par une attaque humaine , soit par une attaque informatique qui utilise de la technologie pour tromper une personne (exemple : site factice Ebay). Elles permettent entre autre dhumaniser la relation avec la victime potentielle en obtenant des information de proximit : date et lieu de naissance, club de sport, marque du vhicule, nom de la petite amie, etc. Une fois ces informations glanes et les victimes identifies, voici quelques techniques et mthodes bien connues que va mettre en uvre lagresseur : Lapproche directe Lagresseur va entrer en relation avec sa victime et lui demander deffectuer une tche particulire, comme lui communiquer un mot de passe. Quand bien mme le taux dchec de cette mthode soit important, la persvrance de lattaquant est souvent statistiquement couronne de succs. Le syndrome VIP - Lattaquant va se faire passer pour une personne trs importante et lgitime (directeur de lentreprise, officier de police, magistrat, etc.) pour faire pression sur sa victime et par exemple demander un accs distance au systme dinformation parce quil a un urgent besoin de remettre un document confidentiel au Prsident Lutilisateur en dtresse Lattaquant prtend tre un utilisateur qui narrive pas se connecter au systme dinformation (stagiaire, intrimaire). La victime croit souvent rendre service cette personne fort sympathique et dans lembarras. Le correspondant informatique Lagresseur se fait passer pour un membre de lquipe du support technique ou pour un administrateur systme qui a besoin du compte utilisateur et du mot de passe de sa victime pour effectuer par exemple une sauvegarde importante. Lauto-compromission (RSE Reverse Social Engineering) Lattaquant va modifier lenvironnement de sa victime (ordinateur, bureau physique) de manire aisment dtectable afin que ce dernier cherche de laide en la personne de lagresseur. Le contact seffectue via une carte de visite laisse sur place, un courrier opportun ou un coup de fil anodin. Le courrier lectronique Deux types dattaque sont possibles : le code malicieux (virus, vers) en pice jointe quil est ncessaire douvrir (hors exception) pour lactiver ou les hoax. Le site Internet Un site web de type jeu/concours peut demander un utilisateur de saisir son adresse de courrier lectronique et son mot de passe. Statistiquement, le mot de passe ainsi donn est trs proche, voire identique, au mot de passe de lutilisateur sur son systme dinformation. Le vol didentit Lattaquant a obtenu suffisamment dinformation sur la victime ou une des relations de la victime pour sidentifier et sauthentifier. Il lui suffit alors dendosser cette nouvelle identit. Au cours de ces dernires annes, cet art de la persuasion sest transform quelquefois en art de la menace. Certains attaquants ont eu recours des mthodes proches du chantage ou de lextorsion, en menaant par exemple leur victime de les dnoncer leur patron suite des changes de fichiers caractres pornographiques. Malgr le sentiment commun a narrive quaux autres , il nest pas si facile de se protger contre des attaques de types ingnierie sociale. Les agresseurs sont souvent trs experts dans leur dmarche, jouent sur le registre de lentraide et de lhumain, la plupart du temps sans tre agressif, ont appris improviser, faire appel aux meilleurs sentiments de leurs victimes et surtout construisent souvent une premire relation inter-personnelle avant de rechercher rellement soutirer des informations. Quelques bonnes pratiques de sensibilisation permettent toutefois de rduire les risques.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

23/98

Livre ouvert sur la scurit Tout dabord il faut informer sur les mthode utilises, puis il peut tre ncessaire de fournir quelques lignes directrices pour les contrer : La politique de scurit de linformation doit clairement dfinir les rles et responsabilits de chacun, comme par exemple les droits daccs et les droits de savoir des quipes de support technique. Les responsables doivent accepter de limiter leurs primtres au besoin de savoir et cette limitation doit tre connue de tous dans lentreprise. La politique de nommage des adresses de courrier lectronique, des applications, des rles et plus gnralement la politique de diffusion des annuaires de lentreprise doit tre renforce et contrle vis vis de lextrieur. Les utilisateurs doivent prendre lhabitude didentifier et dauthentifier les personnes, les messages ou les applications qui leur demandent deffectuer certaines tches sensibles. Une procdure ad-hoc doit tre aisment accessible ainsi quune autre permettant dinformer leur administrateur en cas de doute.

1.9

LE CYBER RACKET
Auteur : Franck Franchin (France Telecom) franck.franchin@francetelecom.com

Tout utilisateur de lInternet doit dsormais faire face une cybercriminalit galopante, terme qui regroupe lensemble des actes de nature dlictuelle et criminelle qui sont perptrs via la Toile. A limage de sa grande sur ane du monde physique, la cybercriminalit est constitue aussi bien par les infractions de blanchiment dargent, de pdophilie, dusage de faux sur Internet en passant par lattaque par dni de service dun site web ou encore de chantage. Le spectre couvert est large et lentreprise tout comme le particulier en sont donc potentiellement victimes.

1.9.1

La prolifration des risques


La prolifration des cyber-risques sappuie principalement sur laugmentation des abonns au haut dbit via lADSL, technologie qui a permis daccrotre le temps pass surfer et a cr la notion de connexion permanente encore inconnue du particulier il y a quelques annes. Profitant de ces conditions, un nouveau dlit informatique svit actuellement sur le web : le cyber-racket ou la cyber-extorsion. Selon le code pnal franais, lextorsion est le fait dobtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la rvlation dun secret, soit la remise de fonds, de valeurs ou dun bien quelconque. Lextorsion est punie de sept ans demprisonnement et de 100 000 euros d'amende . Appliqu au domaine informatique, le cyber-racket consiste menacer une personne physique ou morale via son courrier lectronique ou son site web pour lui soustraire de largent. Issus principalement dEurope de lEst, du Brsil ou de la Chine, leurs auteurs tirent leurs motivations aussi bien de largent escompt dune telle escroquerie que de la rputation quils peuvent en jouir dans lunivers underground de la cybercriminalit. Tout un nouvel cosystme sest rapidement mis en place. Les chimistes ont t remplacs par des hackers et les passeurs par des prtes-noms qui ouvrent des comptes bancaires et possdent des adresses de courrier lectronique. Les lieux des infractions sont, pour linstant, concentrs sur les entreprises aux tats Unis et Londres mais tous les tats occidentaux sont concerns potentiellement par ces nouveaux dlits. Plusieurs cas ont dfray la chronique outremanche et outre-atlantique comme lors du Superbowl ou de certaines courses hippiques.

1.9.2

Les approches
Les approches sont diffrentes selon que la cible soit une personne morale, un salari dun personne morale ou un particulier, personne physique. Le mode opratoire du cyber-racket appliqu lentreprise est assez simple. En effet, des attaques par dni de service distribu (DDoS) via des machines compromises (dites zombies) sont capables de bloquer pendant de longues priodes laccs un site ou un rseau dentreprise en le bombardant de fausses requtes. Les criminels rclament ensuite de largent leurs victimes en change de larrt des attaques. De cette faon, lentreprise qui cre habituellement de la richesse grce son site web parce quelle offre la possibilit de parier en ligne ou de commander distance

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

24/98

Livre ouvert sur la scurit diffrents produits, subit lindisponibilit de ses offres de services et, par consquent, linsatisfaction de ses clients et une perte dexploitation. Concrtement, les racketteurs sattaquent principalement aux casinos en ligne et aux sites de commerce lectronique, mais galement des victimes plus inattendues comme le port amricain de Houston. Autre exemple connu, durant le Superbowl 2003 aux tats-Unis, un racketteur a menac plusieurs sites de paris en ligne dune attaque en dni de service sils ne sacquittaient par dune somme allant de 10 000 USD 50 000 USD. Dun autre ct, les particuliers et notamment les collaborateurs dune entreprise doivent galement faire face ces nouvelles menaces. L encore, le mode opratoire est assez simple. Le courrier lectronique est le moyen retenu la plupart du temps par les cybercriminels pour extorquer de petites sommes dargent des salaris. Le chantage peut porter sur la menace deffacer des fichiers importants sur leur ordinateur ou dy copier des photographies pdophiles. Cette technique dbute en gnral par un courrier lectronique demandant au destinataire de payer de 20 30 USD sur un compte bancaire lectronique. Bien videmment, il ne faut surtout pas obtemprer une telle injonction car ce serait leffet boule de neige assur ! Le fait que lobjet de linfraction soit une petite somme conduit souvent les victimes accepter et ne pas vouloir bruiter laffaire.

1.9.3

Un exemple
Par exemple, F-Secure, un diteur informatique finlandais spcialis dans la scurit, a rvl que le personnel dune grande universit scandinave avait t la cible dune tentative d'extorsion de ce genre. Selon Mikko Hypponen, directeur de recherche chez F-Secure, des membres du personnel ont ainsi reu un e-mail, apparemment en provenance dEstonie, qui indiquait que lexpditeur avait dcouvert plusieurs failles de scurit dans le rseau informatique et menaait deffacer un grand nombre de fichiers, sauf si les destinataires payaient 20 euros sur un compte bancaire en ligne . Ce dernier poursuit et affirme mme qu avant, si vous vouliez extorquer de largent des entreprises, il fallait pirater leur systme dinformation et les persuader que vous aviez vol des informations. Maintenant, il n'y a rien dautre faire que denvoyer un e-mail .

1.9.4

Les rgles suivre


Il convient dobserver certaines rgles au sein de son entreprise pour viter ce type de dboires : Rgle N0 : Le cyber-chantage use du mme cercle vicieux que le chantage physique. Une fois rentr dans le jeu de votre adversaire, il est impossible den sortir facilement et cest lescalade assure.Il vaut mieux refuser ds le dbut quand bien mme la menace soit mise excution et informer qui de droit. Rgle N1 : Ne pas rpondre un courrier lectronique en provenance dune personne inconnue et/ou dont ladresse de courrier lectronique semble trange (quant bien mme il nest pas difficile pour un pirate de se prsenter avec une adresse de courrier lectronique usurpe). Rgle N2 : Ne jamais verser de somme dargent, si petite soit elle, sur un compte bancaire dun tiers non clairement identifi. Rappelons aussi que le protocole SSL mis en avant dans le commerce lectronique ne garantit pas lhonntet du possesseur du certificat serveur ! Rgle N3 : En cas de rception dun courrier lectronique de type cyber-racket, prvenir immdiatement votre correspondant de scurit. Rgle N4 : Ne jamais donner ses coordonnes bancaires une personne ou sur un site dans lequel vous navez pas pleinement confiance.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

25/98

Livre ouvert sur la scurit

LES CONTRE-MESURES ET MOYENS DE DEFENSE


Comme nous lavons voqu, lanti-virus nest pas le seul outil ncessaire pour scuriser un rseau. En fait toute une panoplie de solutions doit tre envisage pour offrir un niveau acceptable de scurit. Lidal est de possder une interface commune de gestion de ces outils et doffrir lutilisateur une totale transparence et un moyen unique de sauthentifier qui sera cascad entre tous les outils quand ncessaire.

2.1

LES FIREWALLS BASTION


Auteur : Grard Pliks (EADS) gerard.peliks@eads-telecom.com

Le firewall, appel aussi pare-feu ou garde-barrire, est llment ncessaire, mais pas suffisant, pour commencer implmenter une politique de scurit sur son Intranet. La premire caractristique dun Intranet est dtre un rseau priv. Mais si ce rseau priv prsente des connexions vers lInternet ou vers tout autre rseau public, pourquoi doitil tre considr comme un rseau priv plutt que comme une extension de lInternet ou du rseau public ? avec tous les risques que cela entrane. Un firewall est un dispositif logiciel ou matriel (les appliances) qui filtre tous les changes qui passent par lui pour leur appliquer la politique de scurit de lentreprise. Cette politique, au niveau du firewall consiste laisser passer tout ou partie de ces changes sils sont autoriss, et bloquer et journaliser les changes qui sont interdits. Bien entendu, la finesse et la granularit des lments entrant en jeux dans le filtrage des changes, et la hauteur de vue du firewall pour traiter ce quil convient de laisser passer ou de bloquer, mesurent la capacit dun firewall prendre en compte des politiques de scurit qui peuvent tre trs complexes, au moins durant leur phase de conception, dans lesprit de ceux qui les rdigent.

Le firewall contrle toutes les transactions qui passent dun rseau lautre, ne laisse passer que celles autorises et journalise les tentatives dattaque.

2.1.1

Les paramtres pour filtrer les donnes


Lidal est bien sr de pouvoir filtrer les donnes suivant le plus de critres possibles. Filtrer suivant le protocole du paquet IP, qui caractrise lapplication, est un minimum. Pour filtrer la messagerie ou les accs Web, en leur attribuant des permissions ou des interdictions, on se base sur le protocole applicatif utilis au-dessus du protocole IP (SMTP pour la messagerie, HTTP pour le Web). Il est ainsi possible de permettre un utilisateur nomade, de lextrieur, laccs son serveur de messagerie et de lui refuser laccs au Web situ sur lIntranet.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

26/98

Livre ouvert sur la scurit Les Firewalls volus permettent de filtrer aussi en fonction de lorigine et de la destination des changes. Ainsi suivant lindividu, ou le groupe auquel il appartient, suivant le serveur auquel il souhaite accder, situ de lautre ct du Firewall, une politique de scurit particulire sera applique cet individu. Le filtrage en fonction du port est galement une fonctionnalit importante. Le port est un nombre qui caractrise une application. Par exemple le port standard et rserv du Web est le port 80, mais on peut galement faire des accs web travers bien dautres ports (il y en a plus de 65000 possibles). Une politique de scurit complte pour le Web doit tenir compte de tous les ports utiliss, et par exemple bloquer les ports qui ne sont pas ddis aux flux dont on tolre le passage.

2.1.2

A quel niveau du paquet IP le filtrage doit-il se situer ?


Il existe des firewalls qui ne filtrent quau niveau lmentaire du paquet IP et dautres, plus volus qui montent jusquau niveau applicatif pour appliquer une politique de scurit centre sur lutilisateur et lutilisation faite des applications que le firewall protge. Le paquet IP se compose de deux lments : len-tte et la donne. Dans len-tte on trouve ladresse IP, le nom de lhte origine et destination, et le numro de port entrant et sortant. Les firewalls qui se contentent de filtrer ce niveau offrent peu de souplesse pour implmenter une politique de scurit, par contre offrent de trs bonnes performances rseaux puisquils ne passent pas beaucoup de temps filtrer les paquets. Certains firewalls fonctionnent base de relais de proxies. Un proxy est une application situe sur le firewall, qui permet celui-ci de se faire passer, vis vis de lutilisateur, pour le serveur de lapplication laquelle il veut accder. Avec ce mcanisme de proxy, un firewall est capable de fonctionner comme un sas qui demande lutilisateur de sauthentifier, prend en compte sa demande, la transmet au serveur si celle ci est autorise. Au retour, il analyse les paquets IP au niveau applicatif et peut les recomposer en des paquets conformes la politique de scurit de lentreprise, avant de transmettre le rsultat lutilisateur. Par exemple dans un flux web, le proxy HTTP est capable denlever des pages web les ActivesX, les applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de limiter la taille des fichiers attachs aux emails, de refuser les attachements de fichiers excutables et de bloquer les messages qui, dans leur champ sujet, contiennent les fameux mots I LOVE YOU. Plus un firewall dispose dun nombre important de proxies, plus souple et plus complte peut tre la politique de scurit quil implmente. On trouve aussi dans certains firewalls, un proxy gnrique qui peut tre programm pour sadapter des besoins trs spcifiques dune entreprise. Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on trouve un niveau intermdiaire connu sous le nom de statefull Inspection o ltat dun paquet IP entrant est mmoris pour pouvoir traiter ce quil convient de faire avec le paquet rponse qui revient par le firewall.

2.1.3

Le masquage des adresses IP du rseau interne


La premire information que le hacker dsire connatre est larchitecture de lIntranet quil cherche attaquer. Cela ne lui suffit pas pour russir son attaque mais cela lui fait gagner du temps, alors, pour ne pas faciliter ses coupables desseins, et pour lui mettre des entraves autant commencer par cacher larchitecture du rseau priv et en particulier les adresses IP qui peuvent lui permettre de la reconstituer. Les firewalls offrent cette possibilit en substituant aux adresses IP de lIntranet, ladresse du contrleur rseau qui permet au firewall de communiquer avec lextrieur. Cest ce quon appelle en jargon de scurit la NAT (Network Address Translation) translation des adresses du rseau. Le monde extrieur ne verra le rseau Intranet que comme une adresse IP unique, celle du contrleur rseau externe du Firewall, mme si lIntranet possde plusieurs milliers dadresses IP.

2.1.4

Les zones dmilitarises


Un firewall doit tre plac en coupure entre un rseau non protg (par exemple lInternet) et les rseaux quil protge. Il contrle les informations qui passent entre les deux rseaux. Plus de deux

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

27/98

Livre ouvert sur la scurit interfaces rseaux peuvent quiper un firewall. Celui-ci contrle alors ce qui passe entre chacune de ses interfaces rseau et applique une politique de scurit qui peut tre particulire chacune de ces interfaces. Supposons un firewall avec trois interfaces rseaux, donc duquel partent trois rseaux. Le premier est celui qui va vers lextrieur, vers le rseau non protg, comme lInternet, via un routeur. Le deuxime est le rseau interne protger. Le troisime rseau nest ni tout fait le rseau interne protger, ni le rseau public. Cest un rseau sur lequel on peut appliquer une politique de scurit particulire, moins stricte que celle du rseau interne. Il sagit l dune DMZ (DeMilitarized Zone zone dmilitarise) sur laquelle on place en gnral le serveur Web de lentreprise et parfois le serveur anti-virus et le serveur de messagerie.

2.1.5

Firewall logiciel ou firewall matriel ?


On trouve sur le march des offres de firewalls logiciels proposs pr-chargs sur une plate-forme matrielle. Ce sont les appliances. Les constructeurs proposent des gammes dappliances sous forme de mini tours ou de racks. Lappliance est un moyen simple dinstaller un firewall dans une entreprise puisquil suffit de booter la machine et le firewall est prt fonctionner. Tous les flux sont bloqus linstallation. Bien videmment il reste ensuite particulariser cette appliance selon la politique de scurit de lentreprise. Certains constructeurs proposent leurs propres plates-formes matrielles charges avec leurs firewalls logiciels, dautres ne proposent quune plate-forme matrielle avec les logiciels venant dun autre diteur de logiciels avec qui ils sont en partenariat technologique, dautres encore proposent des logiciels pr-chargs sur une plate-forme du commerce qui est gnralement un PC avec des contrleurs rseaux galement du commerce.

2.1.6

En parallle ou en srie ?
Le firewall est un point de passage stratgique de lentreprise car cest par lui que tout flux entant et sortant doit transiter. Dans certain cas, par exemple pour le commerce lectronique, une interruption de fonctionnement du firewall peut reprsenter une perte dargent consquente. Une bonne solution est de prvoir deux firewalls ou plus, en parallle, et un dispositif automatique pour que si lun tombe en panne, un autre prenne le relais. Et puisque on dispose alors de plusieurs firewalls, en fonctionnement normal Il est intressant de les faire fonctionner en partage de charge, le moins charg un instant donn devenant davantage disponible pour traiter les nouveaux flux qui arrivent. Si lon veut assurer une scurit optimale, il est intressant de mettre deux firewalls de technologie diffrente en srie. Ainsi si un agresseur russi passer la premire ligne de dfense constitue par le firewall en amont, il tombera sur la deuxime ligne de dfense, diffrente dans sa manire de traiter la politique de scurit. Lagresseur devra donc recommencer son travail de pntration alors quil aura toutes les malchances davoir t repr durant son intrusion dans le premier firewall. Ce systme est utilis quand la scurit doit tre maximale. On place souvent un firewall qui fonctionne par filtrage de circuits lextrieur, et un firewall fonctionnant par relais de proxies lintrieur.

2.1.7

Sous quel systme dexploitation ?


Le systme dexploitation est compos des services systme qui assurent la correspondance entre la plate-forme matrielle et les logiciels du firewall. Cest donc un socle trs important qui intervient dans la scurit globale de la solution de scurit. On trouve des systmes dexploitation crits par des fournisseurs de firewalls, et donc bien adapts au logiciel firewall, et aussi la plate-forme matrielle propritaire dune appliance. On trouve galement des firewalls tournant sur des systmes dexploitation du commerce tels que les UNIX ou les systmes dexploitation de Microsoft. Dans les divers systmes UNIX, certains proposent leur offre sous une implmentation de LINUX, sous un driv du systme UNIX BSD (Free BSD, Open BSD, NetBSD), sous Solaris de SUN, et encore sous dautres systmes UNIX. Il nest pas question ici de trancher sur le meilleur systme dexploitation sur lequel doit sappuyer un firewall, mais il est vident que dun point de vue scurit, il est inutile, voir dangereux de btir un

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

28/98

Livre ouvert sur la scurit mur infranchissable (le firewall) sur un terrain meuble (le systme dexploitation) travers lequel un hacker pourrait creuser un passage. Il est bon quun fournisseur de firewall matrise le systme dexploitation sur lequel tourne son logiciel firewall, jusquau niveau des codes sources et des compilateurs qui servent, partir de ces sources, obtenir ce systme dexploitation. Pour ne pas connatre de mauvaises surprises lors de linstallation dun firewall logiciel sur site, il faut sassurer galement qu tous les lments matriels de la plate-forme, et en particulier aux contrleurs rseau, correspond un driver dans le systme dexploitation. Un firewall aura de meilleures performances si le systme dexploitation est conu dans le but de grer au plus fin sa plate-forme matrielle. Dun autre ct si le systme dexploitation est un systme du commerce, lutilisateur aura plus de choix pour sa plate-forme matrielle, et le firewall logiciel acquis sera transfrable vers une plate-forme matrielle plus puissante quand les besoins des utilisateurs volueront.

2.2 2.3

LE FIREWALL APPLICATIF
Partie prise en charge par Sami Jourdain (Deny All) sjourdain@denyall.com et Isabelle Bouet (F5) ibouet@f5.com

LE FIREWALL PERSONNEL
Partie traite provisoirement par Grard Pliks (EADS)

Aprs authentification mutuelle des deux extrmits du tunnel, et cration du tunnel chiffrant, lutilisateur nomade accde, depuis lextrieur, aux serveurs de son Intranet, qui lui sont autoriss, avec autant de scurit que sil tait rest dans son Intranet. Cela constitue toutefois un srieux danger. Si le poste de travail nomade est attaqu par un hacker qui prend le contrle de ce poste distance, souvent sans que lutilisateur qui a cr un tunnel, puisse sapercevoir temps de lagression, une voie royale est offerte lattaquant vers les serveurs de lIntranet, et tout le rseau priv est ainsi mis en danger. Pour viter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum de scurit, quivalent celui dun firewall personnel. Les fonctions anti-rebond et blocage des flux entrants dun tunnel client apportent ce niveau de scurit. Le blocage des flux entrants empche toute tentative de connexion vers le poste nomade. Lantirebond ne permet pas de passer par le poste nomade pour emprunter un tunnel. Sans ces fonctionnalits, un tunnel offre lattaquant un accs direct vers les serveurs de lIntranet, car le flux tant autoris, aucun firewall ne sinquiterait de son contenu et le flux tant chiffr, aucune sonde de dtection, place en amont de la passerelle tunnel constituant lautre bout, ne pourrait lanalyser pour ragir une attaque. Pour prserver lintgrit des donnes sur un disque dur, il est aussi intressant, mme hors priode o des tunnels sont tablis entre le poste de travail et lIntranet, de mettre en uvre un firewall personnel qui dtectera les agressions. Celles-ci sont frquentes surtout si le poste de travail reste longtemps connect (comme cest le cas avec des connexions permanentes, avec le cble par exemple).

2.4

LAUTHENTIFICATION FORTE,
Partie prise en charge par Frdric Hubert (THALES) Frederic.HUBERT@fr.thalesgroup.com et Max de Groot (Gemplus) max.de-groot@gemplus.com

2.4.1 Lauthentification et la chane de scurisation


La scurisation des changes de donnes sur des rseaux prives ou publics prend de plus en plus dimportance. Non pas seulement parce quavec lessor de rseaux sans fil publics on trouve davantage dendroits pour se connecter sur lInternet, rseau ouvert et vulnrable et vecteur de nombreux virus, menaces, chevaux de Troie et autre Spam, mais aussi parce quen marge du succs du GSM, les fournisseurs daccs cherchent se faire rmunrer par lutilisateur. On va donc vouloir protger les donnes, mais aussi le revenu.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

29/98

Livre ouvert sur la scurit Pour atteindre ces deux buts, il faut forcment commencer par une authentification forte, obtenue par la mise en uvre de protocoles dauthentification bien connus, analyss et souvent mme attaqus pour en tester la robustesse. A lissue de lauthentification, le client et le serveur dauthentification partagent un secret qui peut ensuite tre utilis pour le chiffrement des donnes, permettant den garantir la confidentialit et lintgrit. Toute personne qui intercepterait le flux ne pourrait en comprendre le contenu et aucun malfaiteur ne peut modifier des donnes ou utiliser la connexion dun tiers sans possder le secret partag. La mise en uvre de cette protection na aucun sens si, la base, le serveur nest pas sr de lauthenticit de lutilisateur et inversement. Les normes Wi-Fi spcifient comment monter une protection dite robuste en se fondant sur un protocole dauthentification gnrique. On parle dune chane de protection, associant la protection physique et logique du serveur dauthentification, les protocoles dauthentification et les donnes de lidentit de lutilisateur, stockes sur son poste de travail. Le maillon le plus faible de cette chane est souvent lauthentification de lutilisateur. En effet, de toute la chane dauthentification, seul le poste de lutilisateur se ne trouve pas dans le domaine matris et contrl par loprateur ou dans lIntranet contrl par lentreprise. Pour simplifier la tche de lutilisateur qui, hors de son Intranet, est incontrlable, des mthodes simples et rapides dauthentification ont t inventes. Cependant leur utilisation nest sous contrle ni de lentreprise, ni du fournisseur de services. Le mot de passe est-il sauvegard sur le poste de travail, fait-il partie des 79% des mots de passe aisment devinables, est-il partag entre plusieurs individus ? Les oprateurs GSM ont bien compris la problmatique. En utilisant la carte puce pour lauthentification, ils ont dans le poste de travail (le tlphone mobile) un objet quils contrlent et qui renforce la chane de bout en bout. La scurisation de rseaux commence donc par une authentification forte, gnralement obtenue par deux facteurs, cest dire par la prsentation simultane de quelque chose que lon possde et quelque chose que lon sait ou que lon est. La carte puce (quelque chose que lon a), par exemple, ne devient oprationnelle quaprs prsentation dun mot de passe (quelque chose que lon sait) ou vrification dune empreinte digitale (quelque chose que lon est.) La mthode classique dauthentification par nom dutilisateur et mot de passe est bannir des rseaux scuriss car elle ne met en uvre quun seul des facteurs nomms ci-dessus (quelque chose que lon sait) et le mot de passe est gnralement aisment devinable (quand il nest pas stock sur le PC.)

Carte puce, cl USB ou empreinte digitale combine un code PIN constituent un moyen dauthentification beaucoup plus sr quun simple mot de passe.

2.4.2 Le rle de la carte puce dans lauthentification


Une carte puce est un morceau de plastique rectangulaire, plat, quip dun microprocesseur avec mmoire, capable de dialoguer en direct avec le monde extrieur, tel quun PC. Son point fort se trouve dans la protection physique et logique du composant, sa mmoire et les donnes quelle contient dune part, et la faon dont une carte est produite, personnalise, distribue et active dautre part. Ainsi, le composant microlectronique est conu en vue de la protection des donnes sensibles. Par exemple, la mmoire inclue se trouve en rgle gnrale non pas en surface, mais au cur du silicium, pour viter lespionnage par balayage dlectrons. Des filtres lectriques protgent son fonctionnement en dehors de la marge normalement prvue, pour viter des attaques se fondant sur les limites de fonctionnement. Le systme dexploitation des cartes fournit une protection logique, vitant laccs non autoris aux donnes et permet des calculs cryptographiques sur des donnes secrtes qui ne seront jamais divulgues lextrieur. Les systmes de dveloppement modernes comme Java, sont disponibles sur la carte puce et fournissent une plate-forme ouverte sur laquelle une large population de

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

30/98

Livre ouvert sur la scurit dveloppeurs de services peuvent intgrer leurs applications, sans interfrer sur les donnes dautres applications. Les phases de la vie dune carte, les processus de fabrication, dinitialisation et de personnalisation, de distribution et dactivation sont protgs, documents, audits et accrdits par des organismes veillant sur la scurit des donnes. Il existe dailleurs des processus dvaluation de scurit de cartes puce bass sur les Critres Communes et les cartes et leurs systmes dexploitation sont certifi des niveaux de plus en plus levs. La carte puce possde donc des atouts srieux pour participer lauthentification forte, : une fois son porteur authentifi par code didentification personnel (PIN) ou par comparaison des minuties de ses empreintes digitales ou de la structure de son iris avec des donnes stockes dans la carte la carte permet dexcuter tout ou partie du protocole dauthentification en utilisant les donnes secrtes stockes dans sa mmoire indpendamment du niveau de scurit du poste de travail. Elle prouve ainsi la fois lidentit de son porteur (qui connat le code PIN) et sa propre connaissance de donnes justificatives, sans pour autant divulguer des donnes sensibles. Un autre avantage de la carte puce est sa portabilit. Un utilisateur porte les donnes justificatives de son identit sur sa carte didentit lectronique qui est en permanence sur lui. Il peut utiliser nimporte quel ordinateur pour se connecter au rseau ou service souhait, sans laisser traces de son authentification, contrairement un nom dutilisateur et mot de passe, par exemple, qui peuvent tre gracieusement sauvegards par le systme dexploitation de lordinateur pour une utilisation future. Par ailleurs, lutilisateur na pas divulguer de mot de passe un tiers, et le secret partag avec le serveur dauthentification lui est inconnu et stock sur sa carte.

2.4.3 Exemples actuels dutilisation de carte puce


Lexemple le plus connu de lutilisation de la carte puce pour lauthentification est la tlphonie mobile. La carte SIM contenant une cl secrte effectue un calcul cryptographique avec cette cl et un numro alatoire envoy par le rseau. Le rsultat est compar par le rseau avec un rsultat attendu pour vrifier si la carte est authentique. Ce processus tant protg par la saisie du code PIN de lutilisateur, il permet aussi de confirmer lidentification de lutilisateur. Dsirant utiliser la carte SIM aussi pour les rseaux sans fil publics quils oprent, les oprateurs de tlphone mobile ont spcifi un protocole dauthentification sinsrant dans les spcifications Wi-Fi, mettant en uvre la SIM. Ainsi, au fur et mesure du dploiement des nouveaux rseaux, les systmes bass sur nom/mot de passe seront remplacs par des systmes dauthentification forte, bas sur la SIM. A lintrieur des tlphones portables des abonns GSM, la carte puce peut tre rutilise pour des applications nouvelles. Ainsi, le poste de travail peut utiliser des applications localises sur cette carte SIM, sans que cela ne ncessite le branchement sur le PC dun lecteur de carte. Le tlphone mobile, dialoguant avec le PC par une connexion Bluetooth, remplit cette fonction. Ainsi, le tlphone portable devient, grce la carte puce, un dispositif dauthentification multimodale.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

31/98

Livre ouvert sur la scurit

Tlphone portable devenant un dispositif dauthentification en donnant accs sa carte puce via un lien Bluetooth, permettant au poste de travail daccder au rseau.

Un autre exemple est lauthentification forte des rseaux virtuels privs base de cl publique, utilisant les cartes puce. Larchitecture systme de Microsoft Windows permet dores et dj lutilisation des cartes puce comme fournisseur de service cryptographique pour viter de devoir mmoriser la cl prive dans la mmoire du poste de travail. En fait, la carte contient la cl prive dans une zone scurise et lutilise seulement pour des services bien dfinis. La carte avec la cl peut tre distribue facilement et de faon contrle en vitant toute divulgation inopine de la cl prive.

2.4.4 Conclusion
Lauthentification forte est un maillon essentiel de la chane de scurit des changes distants pour les entreprise. La carte puce est un vecteur de confiance important dans lauthentification et la scurisation des rseaux, auxquelles oprateurs de tlphonie mobile GSM ou 3G font confiance depuis plus dune dcennie. Elle permet de plus la mise en uvre simple dauthentifications fortes pour divers contextes juxtaposs. De ce fait, elle constitue une option technique incontournable pour lauthentification forte dans le cadre des rseaux dentreprises.

2.5

LE CHIFFREMENT,
Partie prise en charge par Abdallah Mhamed (INT Evry) et Anne Coat (AQL) Partie traite provisoirement par Grard Pliks (EADS)

Le chiffrement consiste traiter les donnes, par une cl de chiffrement qui met en oeuvre des algorithmes mathmatiques qui brouillent ces donnes une extrmit du tunnel, puis retraiter lautre extrmit du tunnel ces donnes par une cl de dchiffrement qui les rtablit en clair. Si la cl de chiffrement est identique la cl de dchiffrement, le chiffrement est dit symtrique. Si la cl de chiffrement et la cl de dchiffrement sont diffrentes, le chiffrement est dit asymtrique. Le chiffrement symtrique type DES et 3DES est rapide mais le problme est de faire passer, de manire scurise, la cl de chiffrement, dune extrmit du tunnel lautre, sur le rseau non protg. A moins que les cls ne rsident en dur sur chaque extrmit du tunnel, le danger est de voir sa cl de chiffrement vole durant son transfert. Il est dangereux de garder longtemps la mme cl de chiffrement, et cest une bonne ide de la changer souvent, mais il faut alors faire transiter

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

32/98

Livre ouvert sur la scurit chaque nouvelle cl sur le rseau non protg. Cela augmente dautant plus le danger de voir ces cls secrtes subtilises par des individus mal intentionns, ou au moins non autoriss les dtenir. Le chiffrement asymtrique dont le plus connu est le RSA offre de moins bonnes performances en vitesse de traitement mais il ne ncessite pas dchanger une cl secrte entre les extrmits du tunnel. Lune des deux cls est publique et le but est mme de la diffuser largement. Lautre, proprit dun utilisateur, doit absolument rester secrte et il ne doit jamais la communiquer. Les deux cls asymtriques sont lies par des algorithmes qui rendent impossible, connaissant lune des deux cls, de recomposer lautre. Le couple de cl de chiffrement / dchiffrement se compose dune cl prive que lutilisateur dtient et quil ne communique personne, et dune cl publique qui nest pas un secret et dont le but est dtre communique tout le monde. Si la cl prive est utilise pour chiffrer un message, il ne sera possible de dchiffrer ce message quavec la cl publique correspondante. Inversement, si une cl publique est utilise pour chiffrer, il ne sera possible de dchiffrer quavec la cl prive associe. Dans le cas de la signature dun message, lutilisateur chiffre avec sa cl prive. Tous ceux qui possdent la cl publique correspondante peuvent dchiffrer le message et sont srs que le message ne peut venir que de celui qui possde la cl prive associe la cl publique quils dtiennent. Dans le cas du chiffrement dun message, lutilisateur chiffre avec la cl publique de son correspondant et se trouve ainsi certain que seul son correspondant, qui possde la cl prive associe, pourra dchiffrer le message. Un rseau priv virtuel combine gnralement les deux techniques, une cl symtrique pour chiffrer / dchiffrer, et un couple de cls asymtriques pour authentifier mutuellement les deux extrmits du tunnel et changer la cl symtrique travers le rseau non protg. Dans le scnario des cls asymtriques, il reste un problme rgler : comment tre sr que la cl publique que lon dtient est bien la cl associe la cl prive de son correspondant ? Cest ici quinterviennent les certificats et les PKI.

2.6

LA STEGANOGRAPHIE
Partie prise en charge par Olivier Caleff (Apoge Communications) / Alexandre le Faucheur(VALEO) Partie traite provisoirement par Grard Pliks (EADS)

La technique de la stganographie, considre parfois tord comme le chiffrement du pauvre, est trs utilise selon la CIA, dans les vidos et les sonos de Ben Laden ou par le cartel de medellin. Du grec, (chiffrement), la stganographie est une technique de dissimulation dun secret dans un message en clair. Alors que le chiffrement assure la confidentialit, lintgrit et lauthenticit dun message, il attire aussi immanquablement lattention des hackers. Un message cach dans un message en clair (texte, image, son, vido) peut par contre transiter sans veiller les convoitises, ce qui rend la stganographie redoutable.

2.7

LES VPN
Partie traite provisoirement par Grard Pliks (EADS)

Un VPN est un rseau priv virtuel recouvrement construit au-dessus de rseaux de transit IP. Lentreprise tendue et les communauts sont de plus en plus interconnectes via les rseaux, pour des relations entre des sites distants, avec des travailleurs domicile, avec des clients, des fournisseurs, des partenaires, etc. Les diffrents types de VPN identifis pour rpondre aux besoins des utilisateurs sont : les VPN de type Intranet pour les communications entre sites dune entreprise, les VPN de type accs distant pour les utilisateurs qui veulent se connecter distance au moyen de postes de travail fixes ou mobiles leur entreprise via un rseau public, filaire ou sans fil, les VPN de type Extranet pour des communications entre une entreprise et ses partenaires, ses fournisseurs et ses clients.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

33/98

Livre ouvert sur la scurit Les VPN sont utiliss galement pour raliser : des VPN administratifs, pour la tl-maintenance de machines ou de services Web des VPN voix qui transportent et scurisent la voix sur des rseaux convergs.

Un rseau priv virtuel est donc un tunnel qui stablit sur un rseau entre deux passerelles. Aprs authentification mutuelle entre ces deux passerelles, et change dune cl secrte de chiffrement, chiffre les transactions sortant dune passerelle, et les dchiffre lautre extrmit, la sortie de la deuxime passerelle, si la politique de chiffrement limpose. Entre les deux passerelles peut se trouver un rseau non protg, voire un rseau public comme lInternet. Les paquets IP qui passent dans le rseau non protg ne pouvant y tre dchiffrs, lutilisateur peut considrer, durant le temps de passage des paquets entre les deux passerelles, que ses donnes ne pourront tre lues par des personnes non autorises. Donc le temps de ltablissement du tunnel, le rseau non protg appartient virtuellement cet utilisateur. Ainsi un Rseau Priv Virtuel assure plusieurs fonctions : Lauthentification des deux extrmits du tunnel, pour sassurer que les paquets arrivent bien la bonne destination, et partent bien de la bonne origine. La confidentialit pour que les paquets ne puissent tre lus durant leur transfert sur le rseau non scuris. Lintgrit pour viter que les paquets puissent tre altrs durant leur transfert. La non-rpudiation qui permet dtablir que les paquets reus ont bien t envoys.

2.7.1

Les VPN IPSec,


Auteur : Michel Habert (Netcelo) michel.habert@netcelo.com

Il y a une trentaine dannes, quand fut conu le protocole IP, autour duquel lInternet est bti, il ntait pas question de rseaux scuriss. Bien au contraire, le but de lInternet tait de tout partager, dans un monde essentiellement universitaire. Il y a une dizaine dannes, les entreprises purent enfin utiliser ce mdia de communication. Apparurent alors la ncessit dassurer un adressage plus tendu, et le besoin de faire voluer ltat du protocole, alors IPv4, vers un nouveau protocole IP mieux adapt au monde commercial avec en particulier des fonctions dauthentification et de chiffrement. lIPv6, nouvelle norme des rseaux IP a t dfini cet effet.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

34/98

Livre ouvert sur la scurit Mais le passage de lIPv4 lIPv6 impliquant dimportantes modifications dans les infrastructures rseaux existantes, - on attend aujourdhui la gnralisation de lIPv6 vers lanne 2005 - lIETF (lInternet Engineering Task Force) proposa, en attendant, des extensions au protocole IPv4, aujourdhui dcrites dans les RFC 2401 2409. Cest ainsi que lIPSec fut dfini, en natif dans lIPv6 et ajout lIPv4. LIPSec permet de crer un rseau priv virtuel entre un poste de travail et un serveur dapplication (mode transport) ou entre deux passerelles rseau (mode tunnel). Pour chacun de ces deux modes, lIPSec ajoute des champs supplmentaires aux paquets IP.

2.7.1.1 Quest ce qu IPSec ?


IPSec est un ensemble de protocoles, dvelopps par lIETF (Internet Engineering Task Force) dont le but est de scuriser le paquet IP et de raliser des VPN. IPSec est indpendant des rseaux et des applications, il supporte tous les services IP (exemple HTTP, FTP, SNMP,..).

Un protocole de scurit
Les services de scurit offerts sont lintgrit en mode non connect, lauthentification de lorigine des donnes, la protection contre le rejeu et la confidentialit (confidentialit des donnes et protection partielle contre lanalyse du trafic). Ces services sont fournis au niveau de la couche IP, offrant donc une protection pour le protocole IP et tous les protocoles de niveau suprieur. IPSec supporte plusieurs algorithmes de chiffrement (DES, 3DES, AES) et il est conu pour supporter dautres protocoles de chiffrement. Lintgrit des donnes est obtenue de deux manires: un message digest 5 de 128-bits (MD5)HMAC ou un algorithme de hachage scuris de 160-bits (SHA)-HMAC. Pour assurer la confidentialit des donnes et lauthentification de leur origine, IPSec utilise deux protocoles : AH et ESP. Le protocole AH Le protocole AH (Authentication Header) assure lintgrit des donnes en mode non connect, lauthentification de lorigine des donnes et, de faon optionnelle, la protection contre le rejeu en ajoutant un bloc de donnes supplmentaire au paquet. AH est un protocole trs peu utilis par rapport au protocole ESP. Le protocole ESP Le protocole ESP (Encapsulating Security Payload) peut assurer, au choix, un ou plusieurs des services suivants : confidentialit (confidentialit des donnes et protection partielle contre lanalyse du trafic si lon utilise le mode tunnel), intgrit des donnes en mode non connect et authentification de lorigine des donnes, protection contre le rejeu. En mode transport, ESP traite la partie des paquets IP rserve aux donnes (mode transport), en mode tunnel, ESP traite lensemble du paquet, donnes et adresses.

Un protocole dadministration IKE


IPSec inclut galement un protocole administratif de gestion de cls : IKE (dvelopp galement par lIETF). IKE est un protocole dadministration hors bande et de gestion de cls servant une authentification forte et un chiffrement des donnes. IKE comprend quatre modes : le mode principal (Main mode), le mode agressif (Aggressive Mode), le mode rapide (Quick mode) et le mode nouveau groupe (New Group Mode). IKE est utilis pour ngocier, sous la forme dassociations de scurit (SA) les paramtres relatifs IPSec. Pralablement ltablissement dun tunnel, le module IKE du correspondant initiateur tablit avec le module IKE du correspondant rcepteur une association de scurit qui va permettre de raliser cette ngociation.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

35/98

Livre ouvert sur la scurit IKE procde en deux tapes appeles phase 1 et phase 2. Dans la premire phase, il met en place les paramtres de scurit pour protger ses propres changes dans la SA ; dans la deuxime phase il met en place les paramtres de scurit pour protger le trafic IPSec. Par mesure de scurit, les phases 1 et 2 sont ractives priodiquement pour rengocier les cls.

Un protocole de VPN
IPSec est galement un protocole VPN au mme titre que dautres protocoles VPN IP: PPTP, L2TP, GRE ; il supporte un mode tunnel qui consiste encapsuler le paquet IP de lutilisateur dans un paquet IP le tunnel qui est appliqu les fonctions de scurit IPSec.

Un protocole pour traverser les appareils qui font du NAT (translation dadresses)
Entre deux correspondants VPN, il peut y avoir des quipements qui ralisent la fonction de translation dadresse NAT/PAT, par exemple des firewalls. Ces quipements modifient les paquets IP lors de la translation dadresse et de port. Ceci pose un problme IPSec lors du contrle dintgrit du paquet qui se trouve modifi. Pour rsoudre ce problme, le protocole NAT-traversal a t dvelopp par lIETF. Ce protocole implment dans chaque correspondant VPN, encapsule le paquet IPSec dans un protocole applicatif (UDP ou TCP) ce qui prserve le paquet IPSec de modifications lors de la traverse dun quipement NAT.

Les options IPSec/IKE


Les options sont nombreuses : le mode transport, le mode tunnel, lintgrit et la confidentialit des donnes sont optionnelles, il y a plusieurs modes dauthentification, il y a un mode manuel qui noblige pas de disposer dIKE, IKE a quatre modes, on peut slectionner le protocole de chiffrement, etc. Les raisons de ces nombreuses options sont : permettre limplmentation dIPSec sur des matriels dentre de gamme, fournir un niveau de service adapt aux besoins de lutilisateur.

La configuration dIPSec
Le paramtrage dIPSec que ce soit pour choisir les options ou dfinir les options fait lobjet dune politique de scurit. Cette politique se traduit par des fichiers de configuration cohrents qui doivent tre enregistrs chez les correspondants VPN.

Un protocole trs utilis


IPSec a t au dpart conu pour le protocole IPV6. Une implmentation IPV6 doit obligatoirement comporter IPSec. Cependant bien quil soit optionnel pour une implmentation IPV4, la plupart des quipements de rseau et les systmes supportent aujourdhui IPSec.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

36/98

Livre ouvert sur la scurit

Un protocole de scurit part entire


IPSec est galement utilis pour scuriser des protocoles VPN comme PPTP, L2TP, GRE. Dans ce cas IPSec est utilis en mode transport.

Les performances IPSec


IPSec/IKE a un cot en terme de performances d principalement : A la latence induite par les trames de traitement et les changes IKE, Au nombre doctets supplmentaires dans les paquets scuriss par IPSec, Au temps de traitement des paquets IPSec par les correspondants VPN hors chiffrement, Au temps de chiffrement. Ce cot nest aujourdhui pas rdhibitoire pour des implmentations dIPSec /IKE sur des appareils sans fil faible puissance comme des PDAs. Par ailleurs laugmentation de la bande passante des rseaux de transit et la puissance des machines sont des facteurs qui vont minimiser de plus en plus ce cot. Des amliorations ont toutefois t apportes pour amliorer les performances IPSec/IKE : introduction de nouveaux algorithmes comme AES, et de type Elliptic Curve Cryptography (ECC) moins coteux en traitements, En compressant les donnes, En faisant effectuer le chiffrement par du matriel, En utilisant des techniques de hachage pour parcourir les tables de contexte IPSec dans les correspondants VPN.

Les volutions dIPSec


LIETF travaille amliorer IPSec. Les travaux rcents portent sur : Le protocole NAT-traversal, IKE V2 qui permet un correspondant de travailler face plusieurs autres correspondants en tant quinitiateur ou rcepteur aussi bien en mode symtrique (peer-to-peer) que client/serveur.

2.7.1.2 Caractristiques dun VPN IPSec


Un VPN IPSec utilise IPSec deux niveaux : pour raliser un VPN qui interconnecte des correspondants par des tunnels, pour la scurit des tunnels.

Les correspondants
Les correspondants VPN sont soit des quipements intermdiaires (passerelles) qui desservent plusieurs machines, soit des logiciels intgrs des machines (stations, serveurs). Les tunnels sont tablis entre des correspondants. Lorsquun correspondant VPN est install sur un site client, le terme de CPE (Customer Premise Equipment) est utilis, par opposition un correspondant VPN plac dans une infrastructure de rseau oprateur (exemple concentrateur de collecte VPN IPSec pour un rseau MPLS).

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

37/98

Livre ouvert sur la scurit


Rseau de Rseau de transit transit tunnel

Correspondants VPN tunnel

Rseau de Rseau de transit transit

Correspondants VPN Rseau de Rseau de transit transit tunnel

Correspondants VPN

Les tunnels
Un tunnel est un canal bi-directionnel tabli entre deux correspondants. Un tunnel peut multiplexer plusieurs communications IP. La ralit dun tunnel dans le rseau de transit est un paquet IP qui encapsule un paquet utilisateur et qui comprend des octets supplmentaires dus au protocole IPSec utilis (protocoles AH, ESP). Exemple application du protocole ESP en mode tunnel un paquet IP
Avant application ESP

Aprs application ESP

Ladressage du tunnel Chaque extrmit dun tunnel a dans le cas le plus simple une adresse IP dans lespace dadressage du rseau de transit. Dans des situations plus compliques o des appareils qui ralisent la fonction NAT sont placs entre le rseau de transit et le correspondant VPN il y a des redirections de paquets pour quun paquet du tunnel transport sur le rseau de transit arrive lextrmit du tunnel chez le correspondant destination. La scurit du tunnel IPSec scurise le paquet IP transmis dans un tunnel, cette scurit est robuste et si les correspondants sont des CPEs, le protocole IPSec assure une scurit permettant dutiliser tout type de rseau de transit : WLAN, Internet, Chaque extrmit dun tunnel est associe une zone reprsente par un espace dadressage interne qui est desservi par le tunnel. Cette technique peut tre utilise diffrentes fins : crer des

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

38/98

Livre ouvert sur la scurit zones (zonage) ou raliser du partage de charge en associant les tunnels diffrents correspondants sur un site.

Ladressage dun VPN


Quand un paquet IPSec a t trait par un correspondant rcepteur, il nest plus encapsul et retrouve son aspect dorigine avant son entre dans le tunnel ct correspondant metteur. Ceci signifie qu lintrieur dun VPN, un adressage interne est utilis. Un VPN IPSec se comporte comme un commutateur interne qui fait passer les paquets dun sous rseau interne un autre sous rseau interne. Ladressage de tous les participants dun VPN doit tre cohrent comme sur un rseau local comprenant plusieurs sous-rseaux. On utilisera les recommandations du RFC 1918 pour tablir un plan dadressage cohrent dun VPN.

La topologie des VPN


Les VPN peuvent avoir diffrentes topologies : maills, en toile ou hub-and-spoke. Les VPN huband-spoke permettent deux sites dextrmit de communiquer via un routage par le site central.

Maill

En toile

Hub-and-spoke

Les types de VPN


Les VPN ont t classifis lorigine en VPN site--site (symtriques) et VPN accs distants (client/serveur). Cette typologie devrait sestomper avec la gnralisation du mode symtrique (peerto-peer) applicable ds aujourdhui des postes clients.

Ladministration dun VPN IPSec


Administrer un VPN IPSec signifie administrer un rseau et la scurit de ce rseau. Cest administrer un ensemble de correspondants VPN distribus. Une administration centralise base sur des politiques est ncessaire pour tirer partie de la mthode de configuration dun correspondant VPN (base sur des politiques) et pour assurer une cohrence entre les configurations des correspondants amens communiquer. Par rapport une administration de rseau classique, la dimension scurit est importante. Par exemple, la gestion de certificats pour les correspondants VPN ncessite les services dune PKI.

Le rle des VPN IPSec dans la scurit


Avec la gnralisation de lutilisation de rseaux de transit vulnrables comme les WLAN et Internet, IPSec devient incontournable pour scuriser les changes rseau. Les VPN IPSec sont utilisables aussi bien dans lentreprise que pour les changes de lentreprise tendue entre diffrents sites, pour des accs distants et pour des changes avec des partenaires. La scurit VPN est complmentaire avec la scurit qui protge le site ou le poste daccs internet et qui est base sur les techniques de firewall, de dtection et de prvention dintrusions et de contrle de contenu (anti-virus, filtrages URL, anti-spam). La tendance actuelle est lapparition de nouveaux matriels et logiciels qui rassemblent la plupart de ces fonctions. Les nouvelles gnrations de passerelles et de routeurs vont intgrer un anti-virus en plus de la fonction IDS, firewall et VPN IPSec.

2.7.2

Le VPN-SSL ou laccs distant scuris nouvelle gnration


Auteur : Alain Thibaud (F5 Networks) a.thibaud@F5.com

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

39/98

Livre ouvert sur la scurit Les solutions de VPN-SSL offrent un accs distant qui rpond la fois aux besoins des administrateurs et des utilisateurs finaux. Il permet aux entreprises de fournir laccs distant scuris, fiable et intuitif que demandent les utilisateurs, sans les migraines et le temps pass l'installation et la configuration des logiciels clients, et sans devoir modifier les applications ct serveur.

2.7.2.1 Un accs rseau appropri par type dutilisateur


Le VPN ou (Rseau Priv Virtuel) SSL assurent l'accs le plus large aux utilisateurs des ressources rseau de l'entreprise. Nous pouvons regrouper les types d'utilisateurs en quatre catgories, leur offrant un accs scuris appropri tel que dfini par l'administrateur rseau. L'utilisateur de PC portable de l'entreprise Egalement appel utilisateur "de confiance", est un employ utilisant des quipements fournis et maintenus par l'entreprise. Pour ces utilisateurs, le connecteur VPN offre un accs distant la totalit du rseau sans aucune modification aux applications, que ce soit ct serveur ou ct client. Cette solution apporte aux administrateurs la possibilit de dtecter les virus et de mettre en uvre les antivirus et firewall standards. L'utilisateur de kiosques ou d'ordinateur domestique Est un employ qui ncessite un accs aux ressources de l'entreprise depuis un dispositif qui n'est pas fourni et maintenu par l'entreprise (galement qualifi de dispositif "non prouvs"). Pour ces utilisateurs, les adaptateurs VPN-SSL proposent l'accs une large gamme d'applications et ressources du rseau, depuis le partage de fichiers jusqu'aux applications mainframe. Le systme VPN-SSL masque l'identit des ressources rseau via un mapping de l'URL et limine les donnes sensibles, laisses derrire par le navigateur et la session de l'application. L'utilisateur partenaire Est un non employ utilisant du matriel fourni et maintenu par une autre entreprise, avec des normes inconnues. Il est galement qualifi de "non prouv". L'utilisateur du partenaire commercial ncessite gnralement l'accs des ressources limites afin de raliser des partages de fichiers ou d'accder l'extranet. Le dispositif VPN permet aux administrateurs d'offrir ces utilisateurs un accs limit et appropri aux applications et sites de l'extranet via l'adaptateur Web. Le VPNSSL offre une scurit au niveau des couches applicatives et peut protger contre les attaques des applications telles que les attaques de scripts travers le site, directement sur les serveurs Web internes. L'utilisateur de dispositif mobile Est un employ qui a besoin d'accder au rseau depuis un dispositif mobile personnel. Pour les utilisateurs de Palm OS, PocketPC, WAP et de tlphones iMode, le VPN-SSL permet aux utilisateurs mobiles d'envoyer et recevoir des messages, de tlcharger des attachements et d'attacher des fichiers du LAN aux e-mails.

2.7.2.2 Les fonctions de scurit du VPN-SSL


Les administrateurs trouvent souvent difficile de supporter les systmes d'accs distants. Le haut niveau de maintenance requis pour administrer les groupes d'utilisateurs et dployer les mises jour, tout en maintenant la scurit du rseau et l'accs des utilisateurs, est vraiment complexe. Les solutions anciennes offraient des possibilit d'authentification limites pour garder la trace des utilisateurs du rseau ou pour donner des indications prcieuses afin de rgler les problmes lorsqu'ils surviennent. Voici, quelques exemples de fonctions de scurit prsentes dans une appliance de VPN-SSL : Contrle granulaire. Les administrateurs disposent d'un contrle rapide et granulaire sur leurs ressources rseau. Il supporte les rgles autorisant l'accs aux applications en fonction du dis positif d'affichage utilis pour l'accs distant. Authentification stricte de l'utilisateur.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

40/98

Livre ouvert sur la scurit Par dfaut, les utilisateurs sont authentifis vis vis d'une base de donnes interne au systme, en utilisant un mot de passe. Mais il peut galement tre configur pour exploiter les mthodes d'authentification RADIUS et LDAP, l'authentification HTTP de base et par formulaires, et les serveurs de domaines Windows. De nombreuses entreprises exigent une authentification deux facteurs, consistant utiliser une mthode supplmentaire, au del du profil et du mot de passe. Ce type de solutions supporte compltement l'authentification RSA SecurID base sur les jetons. et il propose galement une version intgre de VASCO Digipass. Internal user database RADIUS authentication VASCO DigiPass authentication LDAP authentication Initial signup on LDAP with subsequent strong internal password Windows domain authentication HTTP Form & Basic authentication Auto login La fonction dauto login permet la solution de VPN SSL de rutiliser le login /passsword fourni par lutilisateur pour sauthentifier pour une nouvelle authentification auprs des applications de lEntreprise auxquelles il souhaite accder : Web interne, Citrix, Windows Terminal server, Fichiers partags NT, Double mot de passe La mise en uvre dune stratgie dauthentification forte lors de la connexion sur la solution de VPN SSL ncessite lutilisation du mot de passe pour lauthentification forte et le mot de passe statique utilis en interne si lutilisateur souhaite accder aux applications avec la fonction dauto login. Cette solution est supporte par les solutions de VPN SSL. Il existe deux stratgies pour effectuer ce type dauthentification forte: Lutilisateur fournit les deux mots de passe lors de son authentification sur la solution de VPN SSL, Lutilisateur fournit uniquement son mot de passe dauthentification forte pour ce connecter sur la passerelle, puis sa premire authentification sur une application sera cache par la solution VPN SSL et sera utilise pour lauto login aux autres applications. Le mapping de groupe La fonction de mapping groupe permet de rcuprer en Radius, LDAP, ActivDirectory ou NTLM le groupe dun utilisateur et le faire correspondre un des groupes configurs sur le VPN-SSL. Cette fonctionnalit permet : De faire correspondre un utilisateur un profil du botier en utilisant la stratgie de groupe de lEntreprise centralise sur un serveur. De mettre en uvre des stratgies dauthentification diffrentes selon le groupe de lutilisateur. La Gestion des autorisations Les privilges d'accs peuvent tre attribus des individus ou des groupes d'utilisateurs (par exemples "Commerciaux", "Partenaires", "Informatique"). Ainsi, le VPN-SSL peut limiter les individus ou groupes des ressources particulires. Les partenaires peuvent, par exemple, n'avoir le droit d'accder qu' un serveur d'extranet, tandis que les commerciaux peuvent se connecter aux e-mails, l'intranet de l'entreprise et aux systmes de CRM.s

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

41/98

Livre ouvert sur la scurit

2.7.2.3 Les fonctions daudit et reporting


Il fournit aux administrateurs des rapports sur les journaux de sessions et d'activations. Des rapports de synthse regroupent l'utilisation par jour de la semaine, heure, OS accd, dure de la session et type de fin de la session, pour une dure paramtrable par l'utilisateur. Des rapports dtaills, avec fonctions de forage, offrent un accs complet et granulaire toutes les donnes sur les utilisateurs finaux. Pour les entreprises ncessitant un accs distant souple leurs applications, les systmes de VPN SSL sans client offrent une solution fiable et scurise. Pour une scurit accrue, particulirement critique lorsque les applications sont accessibles par les partenaires, les entreprises devraient valuer les solutions offrant des possibilits de filtrage au niveau des couches applicatives telles que la prvention des attaques de scripts travers le site et la mise en uvre de trafic HTTP compatible RFC. David Thompson, Senior Research Analyst au META Group

2.7.2.4 Installation rapide, dploiement facile et volutif


Pour les administrateurs, le contrleur limine les cots associs aux VPN distants traditionnels, qui ncessitent l'installation de logiciels client sur chaque dispositif et/ou des modifications aux ressources centrales accdes. Ceci simplifie considrablement les dploiements et diminue le temps de mise en uvre. Gnralement, un VPN-SSL peut tre install en quelques heures au lieu des quelques jours ou semaines que demandent les systmes traditionnels. Il peut ajouter automatiquement des utilisateurs en authentifiant l'utilisateur auprs d'un serveur AAA et en affectant l'utilisateur un groupe dfini dans l'annuaire de l'entreprise.

2.7.2.5 Administration facile et cot de maintenance rduits


Outre une installation rapide, Les VPN-SSL offrent une interface d'administration intuitive et familire, base sur un navigateur Web. Cette interface est personnalisable afin de permettre d'ajuster l'apparence et le comportement du produit votre intranet d'entreprise. Parce qu'il s'agit d'une solution sans client, les cots de support sont considrablement rduits. La maintenance des systmes clients est limine et il n'est pas ncessaire de modifier ou mettre jour les ressources rseau, les dispositifs distants ou l'architecture rseau.

Description : 1. Le botier SSL est dans une DMZ. Les flux en provenance des utilisateurs vers la solution VPN SSL sont grs par un Firewall et les flux vers les applications en provenance de la passerelle VPN SSL sont grs par un deuxime Firewall. 2. Le firewall1 filtre les accs et les flux de donnes en SSL en provenance des utilisateurs. 3. Le Firewall2 filtre les accs de la solution VPN SSL vers les applications de lentreprise.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

42/98

Livre ouvert sur la scurit

2.7.2.6 Webifyer ou webification des applications


Les webifyers permettent aux utilisateurs distants partir de leur browser daccder un grand nombre dapplications et de ressources de lentreprise qui ont ou nont pas dinterface Web. La solution de VPN-SSL leur fournira celle-ci. Exemple de webification dapplication: Systmes de fichiers NT ou NFS Accs la sa messagerie en POP3 ou IMAP4 Terminal services : Citrix, WTS ou VNC Host Access : VTxxx , ssh, telnet, 3270, 5250 X Window Access : X11, Gnome, KDE, TWM, Openwindows Desktop

2.7.2.7 Tunnel Applicatif ou translation de port : Solutions Client/Serveur


Le Tunnel Applicatif permet de supporter les applications de type Client Server pour les ordinateurs dutilisateurs distants. Cette solution permet de crer un tunnel scuris ddi uniquement lapplication utilise. Elle permet de fournir une plus grande flexibilit pour la restriction des applications accessibles par les utilisateurs. La passerelle VPN-SSL fournit en standard des templates de configuration pour les applications les plus utilises. Mais il est possible de customiser des applications propritaires lentreprise. Fonctionnement :

2.7.3

VPN-SSL ou laccs au rseau dentreprise


La fonction daccs au rseau dentreprise dune solution VPN-SSL permet dutiliser toutes les applications au-dessus dIP : UDP, TCP, ICMP. La passerelle VPN-SSL avec cette fonctionnalit permet de supporter tous les types dapplications au dessus dIP, tel que la vido confrence, le streaming video, la voix sur IP : H323, SIP , Description Le VPN SSL est similaire au VPN IPSec, il est totalement transparent Il est permet de crer un tunnel scuris pour tous types dapplications au dessus dIP : TCP/UDP, ICMP, Lordinateur de lutilisateur aura lattribution dune adresse IP qui pourra tre route dans le rseau de lentreprise. Aucune configuration particulire nest ncessaire sur le poste de lutilisateur avant la cration du VPN SSL. Le split tunneling permet ladministrateur de spcifier quels sont les rseaux qui seront atteints travers ce tunnel sinon la totalit du trafic empruntera le tunnel. Il est possible ladministrateur de vrifier avant ltablissement un certain nombre de paramtres de scurit sur le poste de lutilisateur : Prsence ou pas dun Firewall et/ou dun anti-virus et/ou dun autre type dapplication, Vrifier la version de ces types dapplication, Template pour les diffrentes applications utilises,

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

43/98

Livre ouvert sur la scurit LIP Forwarding est dvalid, Vrification des tables de routage, Vrification des paramtres qui doivent tre valides sur le poste client Site de quarantaine si un ou plusieurs points vrifis ne seraient pas corrects pour permettre lutilisateur de les corriger par une mise jour dune version logicielle par exemple. Le tunnel SSL tablit une liaison PPP entre le client distant et le VPN-SSL. Lensemble du trafic en provenance du client sera rout vers le rseau de lentreprise.

Fonctionnement :

2.7.4

Anti-virus
La solution VPN SSL doit supporter les diffrentes solutions dAnti-Virus pour permettre lentreprise de contrler les fichiers que lutilisateur introduirait dans celle-ci. La passerelle VPN-SSL supporte en interne une solution dAnti-Virus, mais les besoins de lentreprise sont de supporter les solutions internes celle-ci, ainsi le support du protocole ICAP permet linterconnexion pour la dcontamination des fichiers transfrs entre lutilisateur et le rseau interne avec des solution dAnti-Virus qui intgrent ce protocole. Les solutions dAnti-Virus supportant ICAP sont par exemple : Trend Micro, Symantec, Sophos, Les solutions de VPN-SSL sont souvent prsentes sous forme de boitier/serveur rackable, mais certains fournisseurs les prsentent sous forme logicielle.

2.7.5 2.8

Choisir entre un VPN IPSec et un VPN SSL LE CHIFFREMENT DES DONNEES SUR DISQUE
Partie traite provisoirement par Grard Pliks (EADS)

Le poste de travail nomade quand il nest pas connect au rseau ne constitue plus un danger pour lIntranet, mais il peut contenir des renseignements confidentiels et qui doivent le rester. Mme si ce poste de travail est vol ou perdu, les renseignements confidentiels quil contient ne doivent pas tre lus par des personnes non autorises. Pour cela, il est impratif de pouvoir chiffrer certaines parties du disque dur, dans lesquelles on placera imprativement les fichiers qui ne doivent tre accessibles quau propritaire du poste de travail. Les logiciels de chiffrement des donnes sur disque permettent non seulement de chiffrer les fichiers contenus dans certaines partitions disque, mais aussi peuvent masquer ces partitions aux personnes non habilites lire ces fichiers confidentiels. Une bonne solution est de coupler lauthentification forte (utilisation de sa carte puce par exemple) avec la possibilit daccder aux

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

44/98

Livre ouvert sur la scurit partitions confidentielles et de dchiffrer les fichiers quelles contiennent. Inversement, les fichiers de ces partitions sont chiffres et les partitions ne sont plus visibles quand on retire la carte puce.

2.9

LES INFRASTRUCTURES A CLE PUBLIQUE (PKI)


Partie traite provisoirement par Grard Pliks (EADS) Partie prise en charge par Herve Chappe (Alcatel) / Anne Coat (AQL)

Pour prouver lorigine dune cl publique, on linsre dans un certificat qui est remis aux utilisateurs qui en ont besoin pour chiffrer un message destination du dtenteur de la cl prive, ou pour dchiffrer une signature mise par le dtenteur de cette cl prive. Ce certificat est sign par une autorit en qui les utilisateurs (personne ou passerelle), placs aux deux extrmits du tunnel ont confiance. Le certificat ne peut tre falsifi parce quil contient une partie chiffre par la cl prive de lautorit de certification. A la rception, il y a comparaison entre cette zone qui est dchiffre par la cl publique de lautorit de certification du certificat de lautre extrmit du tunnel, et de la mme zone en clair contenue dans le certificat. Si le certificat na pas t compromis, il est tabli que la cl publique quil contient est bien la cl publique qui correspond la cl secrte que lautre extrmit du tunnel seule dtient. Le certificat prsente galement dautres renseignements sur lidentit et la socit du possesseur du certificat, ainsi que sur lautorit de certification qui la sign et sur les dates de validit du certificat. Produire et grer des certificats grande chelle est le mtier des tiers de confiance qui fournissent des PKI (Infrastructures de Cls Publiques). On peut tre son propre tiers de confiance ou externaliser la gestion de ses cls, la signature et la distribution des certificats une autorit extrieure.

2.10 2.11

LA SIGNATURE ELECTRONIQUE LA DETECTION D'INTRUSIONS,


Partie traite provisoirement par Grard Pliks (EADS)

Le firewall assure une protection primtrique autour du rseau priv de lentreprise, mais il ne peut analyser que les paquets IP qui le traversent, et ne peut ragir contre des attaques qui se perptuent derrire lui dans lIntranet. Il est bon de prvoir une deuxime ligne de dfense et mme plusieurs lignes de dfense en profondeur. Cest ce que font les sondes de dtection dintrusion et les dtecteurs danomalies rseaux. Les sondes de dtection dintrusion Une sonde de dtection dintrusion place un endroit sensible du rseau, analyse les paquets IP qui passent et les compare une base de signatures dattaques, qui doit tre tenue jour, pour dceler si les paquets sont dangereux. La sonde ragit, si son analyse conduit penser que le paquet est douteux, par exemple en gnrant une alarme et parfois mme en modifiant la configuration dun routeur. Un problme pos par certaines sondes de dtection dintrusion est de ragir trop souvent et laccumulation des alarmes, souvent de fausses alarmes, alourdit la tche de ladministrateur. Mais mieux vaut signaler une fausse alarme que den laisser passer une vraie, pensez-vous ? Oui, condition davoir le temps et les ressources pour reprer et traiter les vraies alarmes si elles sont noyes dans le flot des fausses. Les dtecteurs danomalie rseau On trouve sur le march une autre famille de dtecteurs : les dtecteurs danomalies rseau et danomalies systme. Un moteur cognitif apprend la sonde le fonctionnement normal du rseau ou du systme. Cette normalit est modlise dans des quations et les sondes sont alors prtes ragir quand un vnement leur semble scarter dun certain seuil de ce qui est considr comme un vnement normal. Ainsi, dans une entreprise o le rseau nest sollicit habituellement que pour la messagerie ou le Web et seulement durant la journe, si trois heures du matin le poste de travail

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

45/98

Livre ouvert sur la scurit dune personne de la direction des ressources humaines lance distance une compilation de C++, la sonde dtectera lanomalie et ragira. Ce type de sonde signale beaucoup moins de fausses alarmes que celles des dtecteurs dintrusion, et affecte moins les performances du rseau. Il nest ici plus question de comparer chaque paquet avec une base de signature qui sallonge avec le temps, et possde parfois une signature proche du paquet que la sonde analyse.

2.12

LES ANTI (VIRUS, SPAMS, SPYWARES),


Partie prise en charge par Yann Berson (WEBWASHER) / Alexandre le Faucheur (VALEO) Partie traite provisoirement par Grard Pliks (EADS)

Lanti-virus de lentreprise install sur un serveur intercepte et analyse les messages et surtout les pices excutables jointes aux messages, mais il est bien entendu impuissant contre les programmes qui sont rcuprs par les utilisateurs partir de CDROM ou de disquettes, directement sur leur poste de travail. Cest pourquoi un anti-virus personnel, sur chaque poste de travail est indispensable. Mme si lutilisateur na sur son poste de travail que des fichiers personnels et dautres fichiers sans grande valeur pour lentreprise, labsence dun anti-virus personnel sur son poste de travail peut tout de mme faire courir de gros risques lentreprise, car quand lutilisateur inconscient branchera son PC sur le rseau, il pourra contaminer tout lIntranet. On ne peut demander lutilisateur de faire diligence pour rester jour dans ses versions dantivirus, lexprience prouve quil chargera les nouvelles versions et les nouvelles bases de signatures de virus connus une fois ou deux, mais quil ne le fera pas systmatiquement et son anti-virus personnel deviendra vite obsolte. Les anti-virus personnels doivent tre mis jour et lancs automatiquement par un serveur de lentreprise, chaque fois que lutilisateur se connecte sur le rseau. Il est mme conseill, vu les dgts que peuvent causer les virus et les vers de mettre en uvre deux anti-virus provenant de constructeurs diffrents, par exemple un anti-virus X sur les postes de travail et un anti-virus Y sur le serveur dentreprise.

2.13

SECURITE ET MOBILITE
Auteur : Franck Franchin (FRANCE TELECOM) franck.franchin@francetelecom.com

La grande gnralisation des terminaux portables ou mobiles associe la banalisation du travail en situation de mobilit engendre de nouvelles menace sur la protection des informations de l'entreprise. La principale menace qui pse sur les donnes stockes dans un terminal mobile (PC portable, PDA, smartphone) demeure le vol physique du-dit terminal. Toutefois, d'autres menaces commencent poindre l'horizon. Par exemple, qui n'a pas renvoy son PDA dfaillant directement au fabricant, via le SAV du vendeur. Si on peut ventuellement faire confiance aux services aprs-vente du fabricant (et cela reste prouver...), le plaisir d'en recevoir un tout neuf en change sous garantie ne doit pas faire oublier ce qu'est devenu l'ancien... Revendu sur un site d'enchres par exemple, il a pu devenir la proie d'un pirate. Selon le Gartner, 90% des terminaux mobiles n'ont pas les protections ncessaires pour viter la rcupration d'information sensibles : comptes de messagerie, mots de passe, contacts stratgiques, et autres documents confidentiels. Une autre nouvelle menace est lie l'intgration par dfaut de systmes de communication sans fil (Bluetooth, Wifi, IrDa) activs par dfaut, quelquefois l'insu du propritaire du terminal. Un portable devient alors vulnrable dans tous les lieux publics. Mais la notion de scurit n'implique pas uniquement la confidentialit . Parlons plutt intgrit et disponibilit . La facilit d'utilisation et l'ubiquit de ces terminaux nous fait souvent oublier les bonnes rgles de base : sauvegarde et synchronisation. Les disques durs des PCs portables sont soumis des contraintes importantes qui les fragilisent quant bien mme ils aient t conus en ce sens. Les cartes CF ou autres des PDAs sont sensibles l'lectricit statique et supportent quelquefois mal plusieurs aller-retours avec un appareil photo. De leur ct, les smartphones ont une fcheuse tendance tomber .

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

46/98

Livre ouvert sur la scurit Une autre notion en scurit porte sur l'identification du primtre de scurit et sur les contrles d'accs aux donnes. Si cette notion peut s'appliquer plus ou moins facilement des PCs physiquement rsidents dans un bureau potentiellement ferm cl et reli un Ethernet cbl, que dire d'un PC portable Wifi qui voyage dans une voiture, prend l'avion, se connecte sur une borne Wifi la maison ou l'htel et qui pratique le libre-changisme de donnes avec ses pairs par cls USB interposes. On ose peine parler du double-attachement. Que le premier qui n'a jamais laiss son PC portable en salle de runion sans surveillance pendant 5 minutes lance la pierre. Parlons donc du vol des mobiles et des portables. Dans toute entreprise, les chiffres sont difiants, quand bien mme l'auto-dclaration donne une image fidle de ces sinistres. Aujourd'hui, un PC portable vaut presque le tiers d'un modle quivalent en gamme il y a 3 ans. Quel est l'intrt pour un voleur de franchir le primtre de scurit d'une grande entreprise pour drober 4 ou 6 portables ? Il n'en tirera au mieux que quelques centaines d'euros pice. Sans tre paranoaque, il suffit de se balader sur certains forums underground pour trouver des pirates qui revendent des bases de donnes de mots de passe, de numros d'accs des Extranets, des numros de cartes de crdit (avec dates d'expiration). N'est-il pas plus facile de voler des PCs ou de racheter des disques durs sur Ebay que de pntrer des systmes d'informations bards de contre-mesures ? L'information ne vaut-elle pas dsormais plus que le matriel qui la traite ? Voici donc maintenant quelques conseils de base qui facilitent la vie (et le sommeil) d'un utilisateur de portable ou de mobile : Rgle N1 - Penser aux sauvegardes - Utiliser le graveur de CD ou de DVD qui quipe dsormais la grande majorit des portables pour effectuer priodiquement des sauvegardes des donnes les plus importantes. La cl USB est aussi un bon outil (pour les changes de vos Powerpoint, prfrer chaque fois que c'est possible le courrier lectronique et les rpertoires partags) ; Rgle N2 - Utiliser les rpertoires partags et les fonctions de synchronisation - Si vous oubliez de faire vos sauvegardes, vous pourrez toujours compter sur celles effectues par votre administrateur rseau sur vos serveurs de fichiers d'entreprise. Rgle N3 - Utiliser le chiffrement - Pour les donnes sensibles, ne pas hsiter recourir aux fonctions de chiffrement de votre systme d'exploitation ou celles d'une solution ddie. Bien videmment, ne pas succomber la facilit de sauvegarder le mot de passe sur le disque dur. Rgle N4 - Toujours considrer que votre portable risque d'avoir t infect. Vous avez pass une semaine en mission sans vous connecter au rseau de votre entreprise et donc sans mise jour de votre anti-virus. Pendant cette mme priode, vous avez chang des fichiers avec cette sacre cl USB, vous avez fait du Wifi l'htel et l'aroport et vous vous tes connect en mode invit chez votre client. Assurez-vous de forcer une mise jour de l'anti-virus de votre portable ds votre retour au bureau. Rgle N5 - Diffrencier les mots de passe - Votre portable ou mobile ne devrait jamais avoir le mme mot de passe qu'un autre systme fixe que vous utilisez au bureau. Rgle N6 - Bien choisir ses mots de passe - La longueur est plus importante que la complexit. Le mot de passe suivant Par un bel et chaud aprs-midi d'automne Paris est plus dur cracker (dictionnaire ou force brute) que #@&@=} .

2.14

LES OUTILS DE CONTROLE ET DE SURVEILLANCE,


Partie prise en charge par Yann Berson (WEBWASHER) Partie traite provisoirement par Grard Pliks (EADS)

Le proxy et le cache ne sont pas, proprement parler des solutions de scurit, mais ils y participent, en assurant le confort des utilisateurs et sont souvent associs la fourniture dune solution complte pour scuriser le rseau interne de lentreprise, au moins au niveau humain. Le proxy a pour fonction de se faire passer pour un serveur (web par exemple) pour masquer le vrai serveur aux utilisateurs. Cest sur ce principe que sont btis les firewalls haut de gamme. Le cache est un espace disque dans lequel linformation demande est stocke un certain temps pour tre resservie en cas de nouvelle demande de cette information.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

47/98

Livre ouvert sur la scurit Le proxy constitue un endroit stratgique pour contrler linformation demande aux serveurs Web. Un proxy intelligent permet de runir les utilisateurs par groupes ou par fonctions, de diviser le temps en plages horaires et de regrouper les pages Web par catgories. On peut alors conseiller ou interdire telle catgorie de pages web, durant telle plage horaire tel groupe dutilisateurs. Le proxy plac dans lIntranet, derrire le firewall, souvent sur une DMZ, peut galement limiter les abus en tablissant des quotas, en temps de connexion, en nombre de pages web lues, en volume de donnes charg par jour, par semaine, par mois pour chaque groupe dutilisateurs, dans une priode choisie. Les noms des collaborateurs indlicats peuvent tre placs, un certain temps, dans une liste noire. Ces collaborateurs perdent alors toute possibilit daccder au web, le temps du sjour de leurs noms dans cette liste qui sera vite redoute. Ces mesures vous semblent incompatibles avec le droit, que tout utilisateur peut revendiquer, de garder une parcelle de sa vie prive mme durant les horaires de travail ? Ce mme utilisateur a aussi des devoirs, et en particulier celui dutiliser les outils mis sa disposition par son employeur, des fins uniquement professionnelles. Une fois les employs avertis quun tel systme de surveillance est mis en place, lemployeur peut alors lutiliser. Et le seul fait de savoir que ce systme de surveillance existe dans une entreprise rend les employs plus sensibles nouvrir que les pages web utiles dans le cadre de leurs fonctions et au moins viter de charger certaines pages, si ce nest celles improductives, au moins celles rprhensibles par la loi. Ainsi, avec quelques prcautions, et quelques outils et rglementations acceptes de part et dautre, laccs cette incroyable ressource quest lInternet, pourra se faire avec efficacit, et sans consquences prjudiciables pour lemploy comme pour son employeur.

2.15

LERADICATION DES LOGICIELS ESPIONS


Partie traite provisoirement par Grard Pliks (EADS)

La morale nayant pas sa place quand il est question dobserver son prochain, certains diteurs de logiciels placent dans leurs programmes des bouts de code qui vont fonctionner comme des mouchards et renseigner des rgies publicitaires, des concurrents ou des faux amis, lextrieur. Dans le dernier roman de Tom Clancy, lours et le dragon, vous avez un magnifique exemple de logiciel espion tournant sur le poste de travail dun dirigeant chinois, et qui va devenir un facteur essentiel de la victoire des Etats-Unis en guerre contre la Chine. Sans aller chercher si loin, voyons ce que vous avez sur votre propre poste de travail. Tlchargez le logiciel adaware que vous trouverez gratuitement sur le web www.lavasoft.de (rassurez vous, il ne contient ni virus, ni logiciel espion). Installez le et lancez le. Si vous avez dj navigu sur le web, comme la plupart dentre nous, vous trouverez sur votre poste de travail au moins un pointeur vers le cookie du fournisseur de bannires doubleclick qui peut renseigner une rgie publicitaire sur vos habitudes de navigation. Ca nest pas trs grave. Mais si vous avez tlcharg des logiciels, peut tre avez-vous install, bien sr votre insu, de redoutables logiciels espions qui envoient, par le rseau, vos concurrents les fichiers confidentiels contenus dans votre disque, tels que les conditions de remises, vos remarques personnelles sur vos clients et partenaires, les spcifications des produits non encore annoncs, vos propositions de rponse appel doffre en prparation. Si vous avez tlcharg et install un logiciel et vous apprenez quil contient un spyware (logiciel espion), ne pensez pas pouvoir supprimer ce logiciel espion simplement en dsinstallant le programme qui vous en a fait cadeau. Les spywares ont la vie dure et ne se laissent pas facilement radiquer car ils se cachent des endroits du disque o on ne pense pas aller les chercher. Heureusement un logiciel comme adaware sait les radiquer correctement.

2.16

LES POTS DE MIELS


Auteur : Grard Pliks (EADS) gerard.peliks@eads-telecom.com

Le temps qui sgraine inexorablement est un cauchemar pour le hacker durant lattaque dun rseau. Au dbut, les pousses dadrnalines le transportent au nirvana des pirates quand il peroit les premiers signes de rupture du systme dinformation de sa victime sous ses coups de boutoirs dirigs sur les vulnrabilits quil a trouves dans ce systme. Mais si lattaque dure plus que prvu, le hacker ressent alors quun

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

48/98

Livre ouvert sur la scurit danger diffus le menace et que les tenailles menaantes du risque se rapprochent doucement de lui au risque de le broyer. Il arrive en effet que le chemin de lattaque passe par un terrain min. Ces piges, ce sont les honeypots, les pots de miel placs en amont dun systme dinformation et qui lmule par un firewall, par-ci, un serveur de fichier et de messagerie par-l, mais ce sont en ralit des leurres dans lesquels le hacker senglue et narrive plus en sortir sans laisser des traces quil ne pourra pas effacer. Son attaque est observe, analyse et ses mthodes sont ventes, et soudain lespoir changea de camp, le combat changea dme du hacker maintenant, on capturait les trames. et le pirate peut se faire serrer par les autorits judiciaires comptentes. On distingue les pots de miel qui se contentent de simuler des fonctionnalits dun logiciel et qui entament un dialogue avec lattaquant et dautres plus labors qui sont de vraies applications, une base de donnes Oracle par exemple, mais truffes de sondes de dtections dintrusions, danalyseurs de logs o tout est journalis et archiv sur un serveur qui est lui totalement inaccessible au pirate englu dans le pige. Le hacker croit agir dans lobscurit de lanonymat, son attaque est en fait expose en pleine lumire sans espoir deffacer les indices quil sme. A linverse dun firewall, le pot de miel laisse pntrer les hackers mais ne les laisse abandonner la place quaprs avoir mis en vidence le droulement des attaques. Un pot de miel peut confiner vers et virus dans une enceinte pour mieux les analyser et trouver une parade. Riches sont les informations qui en sont tires. Il y a mme un projet de recherche, le honeynet auquel participent les plus fins limiers de la scurit qui gre tout un rseau de pots de miel. Ce rseau nest pas plus attaqu quun autre mais pas moins non plus, cest dire quil est donc trs attaqu et ces attaques sont dcortiques dans le but de diffuser aux participants du projet des informations sur la psychologie et la sociologie des agresseurs et de concevoir des contre-mesures pour les coincer. O placer un pot de miel ? Ceux grande chelle, comme le projet honeynet sont des rseaux part entire et se trouvent quelque part sur lInternet. Les attaquants y entrent mais nen sortent pas. Pour une entreprise, il est prfrable disoler les pots de miel dans une zone dmilitarise (DMZ), cre par leur firewall et de nen rvler bien sr lexistence quaux utilisateurs quon ne souhaite pas voir tomber dans le pige. La mise en place dun pot de miel est-elle lgale ? Faut-il tre du ct du gendarme ou du ct du voleur ? Il ny a pas de lgislation spcifique concernant les pots de miel placs sur les STAD (Systme de Traitement Automatise des Donnes) comme on nomme de manire dsute les systmes dinformation dans les livres de droit. Tout rside dans lintention et dans la manire dont les crateurs de pots de miel sy prennent. De mme quun fonctionnaire de police na pas le droit, du moins en France, de crer les circonstances et lenvironnement dun mfait pour prendre un dlinquant en flagrant dlit, de mme il ne peut tre fait de publicit pour attirer un pirate dans un rseau pig pour utiliser les preuves de son attaque en justice. Pour que lagress puisse donc utiliser les preuves dune attaque, lagresseur doit tre tomb naturellement dans le pige tendu. Placer des pots de miel sapparente donc plus une partie de pche au pirate qu une embuscade monte sur les grands chemins des autoroutes de linformation. On pourrait aussi concevoir un pot de miel qui ragisse en attaquant lagresseur pour compromettre son propre systme dinformation en remontant aux sources de lattaque. Mais le pirate pourrait alors se plaindre davoir t attaqu alors quil tait tomb sur votre rseau (comme) par hasard sans intention malveillante. Et que dire si le hacker utilise pour vous attaquer, un poste intermdiaire comme celui de la police ! Le monde est loin dtre simple et binaire et mieux vaut donc garder son pot de miel passif. Dans un Intranet, un honeypot doit tre bien videmment considr comme un outil de surveillance et sa lgitimit repose sur une obligation dinformation des reprsentants sociaux des employs sur

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

49/98

Livre ouvert sur la scurit ce qui est mis en fonction. Ceci enlve au pot de miel son effet surprise, mais cest bien le but de la protection des employs contre les outils de surveillance non dclars, dautre part, sa mise en place doit reposer sur le principe de proportionnalit qui dit quun outil de surveillance ne peut tre mis en place par lemployeur que sil est justifi par la valeur de linformation quil protge et par les ardeurs des attaquants le compromettre. En thorie, que le pot de miel soit plac en dehors de lIntranet pour coincer les pirates extrieurs ou lintrieur pour surveiller les employs, il devrait tre accompagn dun message du genre : Attention ce serveur nest accessible quaux personnes autorises. En entrant dans ce serveur, vous acceptez que votre activit soit contrle et divulgue Dailleurs bien y rflchir, cest peut tre astucieux de mettre cette recommandation, pot de miel ou pas, pour obtenir un effet dissuasif, un peu comme ceux qui mettent un criteau Chien mchant !!! dans leur jardin alors que ny rside quune paisible tortue. Signalons quun pot de miel dun genre nouveau vient de faire son apparition loccasion de la sortie du film Blueberry. Ce film est propos en DivX sur les serveurs dchanges tels que KazaA et eDonkey. Vous tlchargez, comme plusieurs dizaines de milliers dinternautes lont dj fait, le fichier DivX de 700MO ( !) et vous obtenez le tout dbut du film, mais au dtour du chemin, voici Vincent Cassel qui apparat et vous explique que vous venez de tlcharger une copie vido de trs mauvaise qualit comme ce quon trouve habituellement avec ce genre dchanges, et que pour apprcier le film, mieux vaut aller le voir au cinma. Le reste du DivX est constitu de scnes de tournage du film pour vous faire comprendre que la cration dune telle uvre ne peut tre envisage que si les spectateurs paient leurs places de cinma. Dissuasif mais moral !

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

50/98

Livre ouvert sur la scurit

3
3.1 3.2 3.3 3.3.1

LA GESTION DE LA SECURITE
LES ASPECTS DE VERIFICATION ET DAUDIT
Partie prise en charge par Olivier Caleff (Apoge Communications)

LA REMONTEE ET LA CORRELATION DES LOGS


Partie prise en charge par Olivier Caleff (Apoge Communications)

LA GESTION CENTRALISEE DE LA SECURITE


Auteur : Michel Habert (Netcelo) michel.habert@netcelo.com

Introduction
Plusieurs tendances sont actuellement observables: Les entreprises stendent, les lieux de travail sont de plus en plus disperss. Les points daccs aux rseaux de collecte, les rseaux dinterconnexion IP privs ou publics se multiplient, les rseaux sans fil (WLAN, GPRS et bientt UMTS) facilitent la mobilit intra et extra entreprise mais sont vulnrables en raison de la technique de transmission utilise (lair). Les ressources physiques des rseaux sont pour des raisons de cot, mutualises, ce qui fait que les VPN IP sont la voie royale de migration des entreprises vers IP. Une bande passante leve devient disponible des cots abordables, Les attaques via des virus, vers etc se sont intensifies et se focalisent sur les systmes dexploitation les plus utiliss (ex Windows). On assiste ainsi la mise disposition de lentreprise dune ressource de communication donnant lillusion, quel que soit la distance, dun rseau local mais par contre plus vulnrable. Enfin, les entreprises pour leur dveloppement commercial, utilisent de plus en plus internet qui sintgre au cur du fonctionnement de lentreprise. Ceci montre la problmatique que doit rsoudre lentreprise qui est de sorganiser face cette intensification des communications et des attaques, louverture sur le monde concrtise par lutilisation dinternet, laugmentation de la vulnrabilit des environnements de travail, des rseaux et des systmes.

3.3.1.1 Le problme

3.3.1.2 La situation actuelle


De nombreuses dentreprises sont dj quipes de systmes pour pallier des disfonctionnements ou des dfaillances et de systmes de protection bass principalement sur le cloisonnement de leur systme par des pare-feux (firewalls) , sur des outils dradication dinfections et de filtrage. Dans un contexte de communications en forte progression avec lentreprise tendue, des rseaux et des environnements vulnrables, des attaques nombreuses, ces niveaux de protection se rvlent de plus en plus complexes matriser et insuffisants en couverture de scurit.

3.3.1.3 La solution
La solution cette problmatique est dune part la prise en compte de la scurit dans la conception du systme dinformation, de ne pas la considrer comme une pice rapporte et dautre part de mettre en place une gestion globale de la scurit, ceci afin dapporter les moyens de dfense ncessaires au SI (systme dinformation) pour faire face aux intrusions internes et externes et galement aux dfaillances et disfonctionnements prjudiciables au bon fonctionnement du SI. Seule une gestion centralise de la scurit peut assurer une vision globale.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

51/98

Livre ouvert sur la scurit A la base, il est ncessaire que lentreprise labore une politique de scurit de son systme dinformation qui reflte sa vision stratgique en terme de scurit de systme dinformation. Cette politique de scurit doit couvrir les aspects environnementaux, organisationnels, physiques, logiques et techniques du SI et aboutir llaboration de rgles de scurit qui devront tre appliques. Lapplication de ces rgles doit tre administre, supervise, surveille et contrle et justifie la prsence dun centre de gestion de la scurit.

3.3.2

Caractristiques dun systme de gestion centralis de la scurit


Un moyen dappliquer et de contrler lapplication les rgles dune politique de scurit globale est de disposer dun systme de gestion central de la scurit bas sur des politiques. Le principe est de denregistrer les rgles dcoulant de la politique de scurit dans le systme de gestion, de les interprter et de les faire appliquer. Les rgles vont porter sur la scurit : de lenvironnement : systmes daccs physiques, systmes dalarmes (vido-surveillance), systmes de protection (incendie, eau, nergie,..) des ressources systme et rseau du rseau, rseaux, services systme dinformation : stations/serveurs, sites en

3.3.2.1 Un systme de gestion de la scurit bas sur des politiques

des personnes sous la forme de rles (utilisateurs, administrateur, administrateur privilgi , superviseur) et de droits. Le systme de gestion de la scurit sappuiera sur un systme dadministration exploit.

3.3.2.2 Un systme de gestion intgr


Un des problmes de la scurit est la diversit des techniques mise en uvre. Ladministration peut vite se rvler complexe si par exemple il y a une grande varit de consoles dadministration ddies ladministration de tel ou tel appareil. Il est par consquent ncessaire de disposer dun centre dadministration intgr qui rassemble sur une seule console lensemble des oprations de scurit pour lensemble des quipements et lensemble des techniques de scurit administrs.
Console intgre gestion

Centre de gestion de la scurit

services

VPN IP VPN IP

Composants administrs

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

52/98

Livre ouvert sur la scurit

3.3.3

Le systme dadministration (SOC- Security Operations center)


Le systme dadministration de la scurit est la partie informatise du systme de gestion. Il est intgr un environnement scuris et est lui-mme scuris : configuration haute disponibilit, site de secours (disaster recovery). Il est associ une exploitation qui met en uvre des procdures dexploitation. Une architecture de systme ltat de lart base sur le modle TMN (Telecommunicaitons Management Networks) et les fonctions ISO FCAPS (Fault, Configuration, Accounting, Performance, Security) est recommande. Le systme dadministration sera organis en plusieurs sous systmes pour raliser les fonctions dadministration : enregistrement des politiques configuration gestion des certificats (PKI) mise jour des logiciels et des bases de signatures supervision surveillance (collecte, analyse de logs) et alertes Mises jour logiciel et bases de donnes (ex bases anti-virales, filtrages URL, anti-spam) fabrication de rapports, gestion des tickets dincidents. Le systme sera opr par des consoles : pour les oprations (consoles de gestionnaire) pour le contrle (consoles de supervision de SLA) client pour ladministration du systme de scurit,

3.3.4

Les oprations
Lapplication des rgles de scurit est ralise par des oprations qui interviennent :

Lors de lapprovisionnement
Avant le dmarrage dune activit, une personne ou un appareil doit possder des informations et des droits ncessaires laccomplissement des tches qui lui incombent, ces informations dapprovisionnement prcdent lactivation. Cette phase dapprovisionnement peut se raliser de plusieurs manires : Un systme de configuration qui fournit (mode pull) ou applique (mode push) les fichiers de configuration de scurit lors de la mise en service des stations/serveurs, quipements de rseau, services applicatifs, applications. Un systme PKI (Public Key Infrastructure) qui fournit les certificats aux utilisateurs et aux quipements, Lenvoi confidentiel par messagerie lectronique de login/mots de passe aux utilisateurs ou aux administrateurs Fournir un badge une personne. Fournir une procdure dexploitation un administrateur

En cours de fonctionnement
En cours de fonctionnement, des oprations de scurit sont effectues. Ces oprations peuvent tre programmes ( exemple : procdure dexploitation : sauvegarde, date de premption dun

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

53/98

Livre ouvert sur la scurit certificat) ou non programmes, dclenches en fonction dvnements, par exemple dtection dintrusion, modification de politique. Exemple doprations : mise jour de logiciel mise jour de base anti-virale renouvellement de mots de passe renouvellement de certificats mises jour de logiciel reconfigurations suite une modification de politique dsactivation suite une dtection dintrusion ractivation suite la fermeture dun incident ayant provoqu une dsactivation sauvegarde. 3.3.5

La surveillance
Un systme de scurit ncessite un sous-systme de surveillance qui recueille en permanence des informations (exemple enregistrements de logs) en provenance des composants scuriss. Des corrlations sont effectues et produisent des informations exploitables pour : Signaler des anomalies ou des intrusions (alertes) Elaborer des historiques de fonctionnement.

3.3.6

La supervision
La supervision contrle et surveille lexcution des oprations et recouvre laspect fonctionnement normal et anormal. Exemple : contrle de ltat dactivit dun quipement de rseau (ping), contrle de lapprovisionnement dun appareil,

3.3.7

Le contrle
Plusieurs types de contrle peuvent tre effectus: Contrle de lenvironnement physique (gardiennage), Contrle priodique de ltat de vulnrabilit de tous les systmes du systme dinformation. Contrle de la configuration dun poste pour lautoriser se connecter lentreprise. Contrle des sauvegardes. Essai de restauration dun systme partir de la dernire sauvegarde, Etc..

3.3.8

La scurit et ladministration du centre de gestion de la scurit


Le centre de gestion de la scurit doit lui-mme disposer de ses propres fonctions de scurit pour scuriser son propre fonctionnement. Ce type de scurit fait partie des fonctions dadministration du centre de gestion.

3.3.9

Fonctionnement dun centre de gestion centralis de la scurit


Plusieurs types de fonctionnement sont possibles :

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

54/98

Livre ouvert sur la scurit SOC ( Security Operations center) entreprise Lentreprise dispose de son centre de gestion centralis de la scurit Cette formule ncessite des moyens et des comptences. SOC externalis Services administrs Le centre de gestion est exploit par une socit tiers mais lentreprise garde le contrle de sa scurit tout en nayant plus la complexit de gestion et les investissements dun SOC. Infogrance Le systme dinformation et le centre de gestion sont exploits par une socit tiers.

3.3.10 Garanties de scurit


Pour disposer de garanties de scurit pour la gestion de la scurit, le centre de gestion pourra faire lobjet dune certification critres communs (CC) un niveau de scurit EALi (Evaluation Assurance Level i). Ceci implique lcriture dune cible de scurit concernant le systme de gestion.

3.3.11 Standards et Modles de rfrence utiles


Le guide PSSI (gratuit) dit par la DCSSI : Elaboration de politiques de scurit des systmes dinformation Le modle TMN (Telecommunications Management Network) : modle de rfrence pour la ralisation de systmes dadministration Les fonctions FCAPS (Fault, Configuration, Accounting, Performance, Security) : standard ISO qui dcrit les fonctions dun systme dadministration. Rendre des services administrs : le standard ITIL ( IT infrastructure Library) dfinit comment dlivrer des services et les supporter.

3.4

LA GESTION DES CORRECTIFS ET DES PATCH


Partie prise en charge par Olivier Caleff (Apoge Communications)

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

55/98

Livre ouvert sur la scurit

4
4.1

LES RESEAUX PARTICULIERS


APPLICATIONS A LA VOIX SUR IP
Auteur Alexis Ferrero (OrbitIQ) alexisf@OrbitIQ.com

La gnralisation des infrastructures exploitant des services de type Voix sur IP (VoIP), pose naturellement avec une plus grande acuit le problme de la vulnrabilit de ces systmes. Des systmes de protection bien spcifiques ont donc t dvelopps pour rpondre aux problmes et faiblesses intrinsques des solutions VoIP courantes, en cohrence avec les contraintes de QoS (qualit de Service) requises pour le transport de la parole. Dans la majorit des cas, ces quipements, comparables en terme de positionnement aux Firewalls et autres IDS, placs entre les serveurs et lments VoIP, et les postes clients, filtrent les connexions et suivent le trafic avec une comprhension des protocoles mis en oeuvre. Actuellement ces fonctions sont souvent intgres un produit ddi nomm Session Border Controler (SBC), mais peuvent aussi se retrouver dans d'autres lments de l'architecture VoIP (tels que SIP Proxy, SoftSwitch, etc.). Nous allons voir les risques particuliers qui existent dans le monde VoIP, et quelle solution les produits spcifiques rcents apportent.

4.1.1

Architecture d'un systme VoIP


Le SBC est gnralement plac en frontal du systme VoIP protger, en point de coupure entre l'infrastructure VoIP de l'oprateur et, soit les rseaux clients, soit les infrastructures des autres oprateurs avec lesquels il a des accords d'change. Il occupe cette position pour pouvoir, par exemple raliser des fonctions de NAT Remote Traversal ou la gnration de SDR, mais il est surtout plac un point stratgique pour pouvoir protger le rseau VoIP de l'oprateur en filtrant les connexions malveillantes, mais aussi en masquant certains dtails vis--vis de l'extrieur. Dans la plupart des cas le trafic VoIP est achemin sur un rseau ou un VLAN distinct de celui des donnes, et doit donc remplir toutes les fonctions de scurit pour ce rseau, puisqu'il n'est pas second par un quipement traditionnel. Inversement, il n'est sens grer que le trafic de type VoIP (signalisation et flux de phonie). Rappel : NAT Remote Traversal De par la pnurie d'adresses IP publiques, et le besoin de se protger de divers types d'attaques, une grande partie des rseaux d'utilisateurs, en entreprise comme en rsidentiel, sont placs derrire des quipements chargs de la fonction de NAT (Network Address Translation) qui convertissent les adresses IP entre l'Internet et le rseau interne, et dans la majorit des cas, de manire asymtrique, c'est dire en n'utilisant, par exemple, qu'une unique adresse IP publique

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

56/98

Livre ouvert sur la scurit (visible de l'Internet) pour les diffrents utilisateurs du rseau. Cette conversion n'ayant que peu ou pas de comprhension des protocoles applicatifs, elle rend incohrents les paquets de signalisation (SIP ou MGCP par exemple), dans lesquels les adresses IP de l'en-tte et de la partie signalisation n'ont plus aucune correspondance. Pour remdier ce problme, une solution peut tre de modifier tous les quipements NAT (comme par exemple toutes les Residential Gateway) pour qu'ils comprennent et grent correctement la conversion des adresses IP de l'en-tte mais aussi celles apparaissant dans le champ de la signalisation. Cette solution est hlas trs utopique. Une solution beaucoup plus raliste consiste palier la modification des adresses IP posteriori (aprs le passage par le NAT), pour rendre la cohrence aux datagrammes de signalisation lors de leur rception par l'oprateur VoIP. C'est que l'on appelle le NAT Remote Traversal, puisque la correction est effectue distance.

4.1.2

Les risques
Les risques de la VoIP compars aux systmes voix traditionnels existent car le rseau VoIP est, comme son quivalent data, connect l'Internet, et de ce fait, expos toutes les tentatives d'intrusion, et d'attaques que l'on y trouve. Parce que l'ensemble des communications avec l'extrieur va circuler sur le mme lien, le risque d'coute indiscrte est d'autant plus important. (En tlphonie traditionnelle, le multiplexage des canaux rendait un peu plus complexe ce type d'espionnage, puisque chaque communication devrait alors faire l'objet d'une coute spcifique). La probabilit d'attaque est plus leve que dans le monde data, parce que l'environnement tlphonique fait intervenir une composante conomique (cots et revenus) beaucoup plus rigoureuse que dans le monde de la data. Une communication tlphonique vers l'international ou vers un mobile, dont l'metteur est mal- ou non-identifiable, a un cot intrinsque rel, que l'oprateur va certainement devoir rgler, sans pouvoir rpercuter vers le vritable appelant. A grande chelle (dure et quantit de communications) cela devient trs vite un problme critique. Un autre risque, qui n'est pas propre la VoIP mais cependant fondamental est qu'en mutualisant l'utilisation de l'infrastructure de communication pour supporter les services Voix et Data, on prend le risque de voir les deux services devenir simultanment indisponibles en cas de dfaillance ou d'attaque srieuse, et donc de perdre de cette faon le moyen ultime habituel : Appeler le technicien rseau par tlphone en cas de panne rseau.

4.1.3

Les attaques
La plupart des attaques spcifiques VoIP ont un quivalent dans le monde des PBX traditionnels. Certaines sont plus faciles en VoIP, d'autres au contraire plus complexes : Le DoS (Denial of Service) qui consiste dgrader ou inhiber un service en bombardant un lment de l'infrastructure VoIP (serveur Proxy, Gateway par exemple) d'une grande quantit de paquets malveillants (tels des trames TCP SYN ou ICMP Echo destination d'un SIP Proxy) L'Eavesdropping ou Call Interception, qui correspond l'observation indlicate et/ou illgale des flux (signalisation et phonie) et au dcodage pour une coute passive et prohibe des communications Le Packet Spoofing, ou Presence Theft, o le malfaiteur gnre des paquets en utilisant ou en usurpant l'identit d'un utilisateur (permettant donc une impersonation soit au niveau paquet au niveau de l'quipement, ou bien au niveau de l'individu). Typiquement ce genre d'attaque permet de tricher sur la facturation (Toll Fraud) Le Rejeu (Replay) qui est la re-transmission de tout ou partie d'une session relle, de manire ce qu'elle soit traite nouveau ( priori dans un but malintentionn), ce qui correspond aussi au Signal Protocol Tampering Le Message integrity, qui modifie ou corrompt le ou les messages lors de leur circulation En VoIP il est aussi possible d'injecter un virus un flot de donnes. Les quipements de scurit ddis doivent donc vrifier le contenu des communications au fil de l'eau, si un anti-virus n'est pas dj actif sur le circuit vers l'Internet.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

57/98

Livre ouvert sur la scurit

4.1.4

Fonctions
Les fonctions de scurisation que nous allons dtailler sont les suivantes : Cryptage Firewall VoIP Stateful (Signal & Media Validation) Admission Control List (ACL) Topology Hiding Observation et interception lgale DoS protection

4.1.4.1 Cryptage
Un moyen de protger les flux (signalisation et mdia) lors de leur transit de toute observation, est naturellement de les crypter, par exemple via un VPN. Il s'agit d'une solution commune tous les changes de donnes, qui dans le cas de la VoIP doit cependant ne pas ajouter de dlai de codage trop important, sous peine de dgrader la qualit de la voix. Le fait d'avoir des quipements de terminaison hardware permet gnralement d'viter cet cueil.

4.1.4.2 Firewall VoIP Stateful


Cette capacit correspond dans la pratique l'ouverture et la fermeture dynamique de "pinhole" par le SBC, partir de l'tablissement d'une connexion et jusqu' sa clture. Le SBC qui a la comprhension des protocoles de signalisation, va suivre l'change menant l'tablissement effectif de la connexion VoIP, et ouvrir automatiquement le "trou" correspondant la combinaison (adresse IP, numro de port) dans les deux sens. Notons par ailleurs que la plupart des SBC effectuent aussi du NAT Traversal et sont effectivement obligs de suivre l'tablissement de la connexion, et au passage, de modifier certaines adresses IP l'intrieur du datagramme, de manire permettre le passage au travers du NAT distant. Naturellement les SBC, tels un Firewall Stateful, bloquent implicitement toutes les combinaisons d'adresses IP et de numro de port qui ne correspondent pas l'ouverture ou la continuation d'une session VoIP identifie.

4.1.4.3 Admission Control List


D'une manire parfaitement comparable la configuration d'un Firewall ou des rgles de scurit applicables sur un routeur, il est possible et recommand de dfinir un certain nombre de filtres sur le SBC, restreignant les communications VoIP un ensemble dlimit d'adresses IP rfrences. Tout quipement non-rfrenc verra ses tentatives de connexion systmatiquement rejetes.

4.1.4.4 Topology Hiding


L'quipement charg de la protection de l'infrastructure VoIP bloque systmatiquement toute tentative d'accs aux serveurs et entits mdia situs dans la zone protge. Cela correspond cacher, ou occulter l'ensemble des lments VoIP du cur du systme et qui n'ont pas de raison d'tre en "contact" direct avec l'extrieur.

4.1.4.5 Observation et interception lgale


Le SBC est aussi l'lment stratgique privilgi pour effectuer un suivi des communications, voire une coute quand cela est requis par l'autorit adquate. Les SBC sont donc gnralement capables de dtecter en temps rel un comportement risque, et de dupliquer la session sur un port d'coute, permettant la surveillance d'une connexion malveillante, comme peut le requrir le CALEA (Communications Assistance for Law Enforcement Act) outre atlantique.

4.1.4.6 DoS Protection


Le moyen le plus efficace de se protger des attaques de type DoS (Denial of Service) en VoIP consiste s'assurer d'une cohrence avec le protocole employ et le service requis.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

58/98

Livre ouvert sur la scurit Ainsi en limitant le taux d'tablissement d'appel et mdia (call set-up rate & media rate) par flux, on se protge implicitement des attaques DoS, mais aussi potentiellement des perturbations que pourrait engendrer un quipement dfectueux (dans un tat instable), tout en maintenant le service pour les utilisateurs lgitimes. La temporisation entre appels (call gapping) permet de protger le SoftSwitch, les serveurs Proxy SIP et les autres entits impliques dans la signalisation, d'une sur-occupation temporaire malveillante, voire de tendre vers un tat inoprant. La limitation du taux d'appels (rate limiting) quant elle, permet de protger aussi bien le Media Gateway, serveur IVR, et autres quipements mdia, en dfinissant des taux naturellement cohrents avec la technologie (par exemple, le codec employ pour un flot permet de situer un seuil maximum du nombre de trames que l'on doit recevoir par seconde). Note : Dans le monde de la VoIP, les Phreakers sont les pendants des Hackers (terme inappropri mais tellement galvaud). Les Phreakers utilisent le systme tlphonique pour : passer des appels gratuitement perturber le systme tlphonique pour se divertir (dfi plus ou moins technique)

4.2

LA SECURITE DES RESEAUX SANS FIL


Auteurs : Michle Germain ( ComXper) comxper@free.fr et Alexis Ferrero (OrbitIQ) alexisf@OrbitIQ.com

Ce sous-chapitre traite essentiellement des rseaux Wi-Fi bass sur les standards 802.11 de lIEEE, qui sont les plus rpandus en tant que WLAN. Dautres technologies seront nanmoins voques la fin.

4.2.1 Le problme du WEP


Le standard 802.11 qui rgit les rseaux sans fil Wi-Fi a t pens pour donner un maximum de facilit demploi et de flexibilit pour se connecter un rseau, au dtriment hlas de la scurit. Il prvoit un mcanisme dauthentification rseau et un chiffrement WEP, trop fragile pour rsister longtemps aux attaques des hackers. De plus, nombre dutilisateurs ngligent de mettre en uvre ces scurits lmentaires. L'identification rseau Un rseau radio Wi-Fi est identifi par un SSID (drapeau alphanumrique non crypt) qui sert de reconnaissance mutuelle entre le point daccs et les terminaux. Pour tre clair, le SSID na pas la vocation dtre un lment de scurit ; il a pour seul but de garantir lindpendance de rseaux radiolectriquement proches. Chaque fabriquant utilise un SSID constructeur qui est programm par dfaut sur tous les quipements commercialiss. Bien videmment, les listes SSID constructeurs sont largement publies sur lInternet. La premire prcaution consiste donc personnaliser le SSID. Le SSID nest malgr tout quune pitre protection, puisquil est diffus en clair sur linterface air. Les tags de Warchalking ne sy trompent pas et indiquent explicitement le SSID du rseau. La diffusion du SSID se fait priodiquement ou bien la demande dun poste mobile qui dsire se connecter. Loption programme par dfaut est la diffusion priodique. Plusieurs mcanismes permettent d'amliorer significativement la scurit de la phase de connexion. Le premier consiste inhiber la diffusion priodique du SSID. Dans ce cas, c'est au poste client de connatre ce SSID pour s'attacher (ou dmettre une demande de connexion, cf. ci-dessous). Cest une sage prcaution mais une pitre protection. Lattaquant na qu attendre patiemment quun usager mobile se prsente : lheure douverture des bureaux dune entreprise est un moment trs favorable linterception du SSID.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

59/98

Livre ouvert sur la scurit Une technique similaire consiste ne pas rpondre aux broadcast mis par des postes mobiles dsirant se connecter et qui demandent quels sont les SSID disponibles ou visibles. Les postes mobiles du rseau doivent alors obligatoirement connatre le SSID. Il s'agit cependant, d'une part, de protections trs limites, car les SSID peuvent tre dcouverts via les communications des autres postes mobiles observs, et d'autre part, linhibition de lchange du SSID peut bloquer l'attachement de certains NIC dont les implmentations ncessitent ces tapes dans leur processus de connexion. Personnaliser le SSID et ne pas le diffuser, cest mieux, mais cest insuffisant ! Le WEP Le WEP est le mcanisme de scurisation standard prvu par le protocole 802.11. Il repose sur un mcanisme dauthentification et de chiffrement utilisant des cls de 40 ou 128 bits (plus un vecteur d'initialisation de 24 bits). Jusqu ce quil impose WPA (voir ci-dessous), le label Wi-Fi nimposait quune cl de 40 bits. Des implmentations 128 (24+104) et 256 bits sont courantes et plus robustes. Mais des programmes existent maintenant dans le public pour casser ces cls. Le chiffrement utilise un ou exclusif des donnes chiffrer avec une squence pseudo alatoire. Les principales vulnrabilits de cet algorithme viennent des facteurs suivants : la squence pseudo alatoire est obtenue au moyen dun algorithme linaire et est facilement prdictible la cl est statique et commune lensemble des points daccs et postes mobiles du rseau, le contrle dintgrit est faible et ne filtre pas efficacement les altrations des trames, il ne comporte pas dindication de squencement, ce qui facilite les attaques par rejeu, la squence pseudo alatoire est initialise au moyen dun vecteur dinitialisation, transmis en clair sur linterface air et de ce fait interceptable par sniffing. Face ces faiblesses, diverses mthodes ont t ajoutes pour rsoudre cette insuffisance. Citons le dynamic WEP et surtout le TKIP qui permettent le changement frquent de la cl de chiffrement. Ces dernires fonctionnalits se trouvent en standard dans les mcanismes du 802.11i. Lauthentification est tout autant vulnrable, du fait quelle est base sur la mme protection que le chiffrement. Elle se fait par envoi dun texte chiffrer au poste mobile qui dsire se connecter. Cette dernire renvoie le texte chiffr par le WEP. Si le chiffrement est connu, lintrusion est immdiate. Sinon, il suffit dcouter la squence de connexion dun poste mobile puisque le texte dauthentification passe successivement en clair puis chiffr sur linterface air. En tout tat de cause, lauthentification porte sur le poste et non sur son utilisateur. En pratique, il suffit de deux heures pour casser le WEP, certains se vantant mme de le faire en un quart dheure ! Pour faciliter le travail des hackers, il existe des dictionnaires de squences pseudo alatoires en fonction des valeurs du vecteur dinitialisation. On trouve galement sur Internet dexcellents logiciels de cracking du WEP (Airsnort ou Netstrumbler sous Linux, par exemple). Utiliser le WEP, cest mieux, mais cest insuffisant ! Modification de la cl La cl de chiffrement est unique et partage par tous les points daccs et postes mobiles du rseau. Une cl, a suse et une des rgles lmentaires de la scurit des rseaux chiffrs consiste changer priodiquement les cls. Le protocole 802.11 ne prvoit aucun mcanisme de mise jour des cls. Par consquent, la mise jour doit se faire manuellement et simultanment sur tous les quipements radio du rseau. Ceci nest possible que sur de trs petits rseaux et, en pratique, personne ne se livre une opration manuelle sur un rseau qui comprend un nombre significatif de points daccs et de postes mobiles. Modifier les cls, cest mieux, mais cest irraliste !

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

60/98

Livre ouvert sur la scurit Le filtrage des adresses MAC Cette protection consiste nautoriser laccs au rseau qu un ensemble de stations dment rpertories au moyen de leur adresse MAC. Cette protection nest pas non plus parfaite, car les adresses MAC peuvent tre rcupres par les sniffers et rutilises par des hackers. Enfin, le filtrage des adresses MAC est contraignant pour lutilisateur puisque lintroduction dun nouveau poste mobile ncessite une reconfiguration du rseau. En pratique, cette technique nest raliste que si le rseau contient un nombre relativement restreint et stable de stations. Filtrer les adresses MAC, cest mieux, mais cest insuffisant ! Alors que faire ? La mauvaise rputation des rseaux sans fil vient de ce que nombre dutilisateurs nont voulu mettre en uvre que les mcanismes standards, ou aucun, ou encore se font une bonne conscience en inhibant la diffusion du SSID. Les techniques des rseaux filaires, notamment le VPN, peuvent venir au secours des rseaux sans fil, pour apporter une scurit applicative. Consciente des failles de scurit du protocole, lIEEE travaille une extension du protocole de base, dsigne 802.11i, qui repose sur des techniques prouves de chiffrement et dauthentification, dont le WPA (Wi-Fi Protected Access) constitue une premire tape (cf. 4.2.3).

4.2.2 Les contre-mesures de base 4.2.2.1 La surveillance du rseau


LIDS Les protections contre les intrusions rseau se font essentiellement par les systmes IDS ddis au Wi-Fi, qui cherchent corrler plusieurs vnements douteux pour dterminer si le rseau ou un systme particulier est en train de subir une intrusion Les capacits de l'IDS wireless intgres au commutateur Wi-Fi consistent surveiller continuellement les changes et les flux Wi-Fi pour dtecter au plus tt tout risque ou vnement anormal, informer immdiatement l'administrateur et ragir en temps rel. Les quipements volus savent reprer les WEP faibles, les Rogue AP, les ponts wireless (WBS), localiser les quipements responsables d'un dni de service, dtecter une impersonation ou une attaque ASLEAP1. Ces capacits reposent sur la base de connaissance que possde le commutateur central et qu'il enrichit au fil de l'eau lors de toute connexion, authentification, tout change, tout dplacement ou toute modification des caractristiques d'un quipement. La surveillance du trafic Un mode de protection particulirement efficace contre limpersonation consiste observer continuellement tout le trafic Wi-Fi, tout le trafic sur les rseaux cbls, et de pouvoir dtecter toute station ou AP incohrent. Il s'agit de dtecter l'apparition d'un lment inconnu (station ou AP), la "duplication" dune station ou dun point daccs, le "dplacement" d'un point daccs. Un moyen de surveillance est, par exemple, de vrifier que le trafic des postes mobiles Wi-Fi connus et dtects passe bien par les LAN appropris. Un autre consiste associer chaque poste mobile la puissance du signal mis. Si pour la mme adresse MAC, deux puissances diffrentes sont perues un moment donn, les deux postes sont mis en quarantaine et une alarme est envoye vers l'administrateur. Les quipements qui supervisent les diffrents flux de communication s'assurent que les communications provenant des AP ne parviennent pas directement au cur du rseau par un circuit illicite (Rogue AP typiquement) et l'inverse, que ces communications radio sont effectivement

1 ASLEAP est un outil permettant de cracker le cryptage LEAP

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

61/98

Livre ouvert sur la scurit visibles sur le rseau cbl aprs passage par l'quipement de protection (commutateur, firewall, etc.) et non pas dtournes vers un rseau pirate via un Fake AP. Le monitoring Le mode de fonctionnement de Wi-Fi implique que ds qu'un AP est associ un canal de frquence, il ne fonctionne que sur ce canal et n'a plus la possibilit de superviser les autres canaux. Ceci est donc le rle de points daccs particuliers ddis l'coute, donc passifs, qui balayent continuellement les diffrents canaux pour surveiller les flux des diffrentes cellules qu'ils reoivent et vrifier le bon fonctionnement des points daccs voisins. Tout le trafic de ces AP de surveillance est remont vers le commutateur qui peut s'assurer qu'aucun de ses clients connus ne se connecte un AP "non rfrenc". Les AP passifs, donc en mode d'coute, peuvent dtecter et suivre des signaux relativement faibles, provenant d'quipements assez loigns. Par consquent, leur couverture est beaucoup plus large que celle des AP actifs. Enfin, concernant les capacits de monitoring, un administrateur rseau peut mettre en uvre un systme Wi-Fi non pas dans le but doffrir un service de mobilit, mais dans celui de surveiller qu'aucune installation pirate (Rogue AP) n'a effectivement t installe et connecte au rseau. Ainsi, un commutateur WLAN uniquement quip d'AP passifs permet de surveiller quotidiennement le rseau et de dtecter l'apparition de transmissions Wi-Fi avant mme qu'une installation officielle ne soit dploye. Dtachement forc La protection la plus courante consiste forcer systmatiquement le d-attachement du client en cause ou de tous les clients connus qui se seraient attachs un AP frauduleux. De cette faon le rseau Wi-Fi apparat inaccessible ces postes de travail qui ne parviennent pas tablir une connexion complte. Cette capacit apporte une protection forte mais elle ncessite nanmoins de rgler dfinitivement le problme par une intervention physique sur le poste client ou l'AP la source du danger. des outils de localisation facilitent la recherche de lquipement vis. Laudit de la couverture radio Lors de linstallation des points daccs, il est important de vrifier que la couverture radio ne dborde pas inutilement hors de la zone prvue, mme si ceci ne met pas le rseau labri des hackers quips dquipements amplificateurs qui leur permettent dagir bien au-del de la zone de couverture nominale. Une disposition judicieuse des points daccs et des antennes permet doptimiser la couverture radio. Celle-ci doit ensuite tre vrifie priodiquement, pour sassurer quaucun point daccs pirate na t ajout sur le rseau. Cette prcaution vaut galement pour les rseaux cbls non Wi-Fi certains utilisateurs ont dj eu la surprise de trouver des points daccs Wi-Fi sur des rseaux qui ntaient pas supposs en intgrer.

4.2.2.2 Lingnierie du rseau


Le commutateur Si les points daccs sont connects sur un simple concentrateur et non sur un commutateur, les donnes destination de tout poste fixe ou mobile sont diffuses sur le rseau et peuvent tre interceptes par un sniffer. Il est vivement recommand de dployer les WLAN sur des infrastructures de commutateurs et de contrler le trafic des postes mobiles vers le rseau cbl.. Il existe deux types darchitecture WLAN : La premire repose sur un commutateur standard. Les points daccs intgrent les fonctions radio rseau et scurit. Le commutateur peut grer aussi bien les postes fixes que les postes mobiles.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

62/98

Livre ouvert sur la scurit La seconde repose sur un commutateur spcifique WLAN qui fdre les fonctions radio, rseau et scurit. Les points daccs nont aucune intelligence et se contentent de jouer leur rle dmetteur-rcepteur radio. Cette seconde configuration est plus rsistante aux attaques de type Rogue AP, puisque ncessite une intervention au niveau du commutateur. Notons qu'idalement le commutateur WLAN possde plusieurs queues, permettant d'envisager la gestion de flux avec garantie de qualit de service (QoS), typiquement la VoIP partir d'ordinateurs ou de tlphones Wi-Fi. Le VLAN Une prcaution consiste segmenter le rseau afin disoler les donnes sensibles du rseau radio et dployer le WLAN sur une infrastructure VLAN2 qui lui est propre. Le rseau peut comporter plusieurs VLAN, chacun correspondant un sous-rseau WLAN spcifique avec son propre SSID. Il est ainsi fortement recommand de faire arriver systmatiquement tous les VLAN du rseau sur le commutateur WLAN, mme ceux qui ne feront transiter aucun trafic par celui-ci. Cela permet au commutateur de localiser tous les quipements, de mettre jour sa base de connaissance du rseau et de dtecter la prsence anormale d'un flux ou d'un client sur un segment o il ne devrait pas figurer. Les sous-rseaux radio sont mis logiquement dans une zone dmilitarise dun firewall qui contrle le flux dinformations entre le rseau radio et le rseau filaire (cf. ci-dessous). Le firewall Comme pour les rseaux cbls, la meilleure protection est la mise en place d'un firewall entre la partie WLAN et le reste de l'infrastructure rseau. Il est intgr au commutateur WLAN, quand il y en a un. Idalement, ce firewall doit mettre en uvre des protections au niveau de ladressage, grer des filtres, journaliser les connexions, possder des ACL (Access Control List) partir desquelles les accs sont filtrs, suivre les connexions dans le temps (capacit dite stateful ) afin de garantir un niveau de scurit au moins gal celui de l'environnement cbl. La meilleure protection est de considrer tout ce qui concerne le rseau sans fil ( lintrieur et lextrieur de lentreprise) comme tant dans une bulle dinscurit mettre logiquement sur une DMZ du firewall et activer une authentification forte et des mcanismes de chiffrement VPN.

Configuration du WLAN dans la DMZ dun firewall

2 Partition logique dun rseau physique visant crer des sous-rseaux (segments) virtuels.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

63/98

Livre ouvert sur la scurit Le pot de miel (honeypot) La configuration du WLAN peut galement inclure des piges (pots de miel), sous la forme de points daccs peu scuriss naccdant qu des donnes sans importance qui attireront les hackers et les tiendront hors du rseau protg. Le VPN Le VPN fournit un tunnel chiffr qui constitue une protection efficace, notamment lorsque lutilisateur travaille dans une zone non scurise, par exemple sur un hotspot public. L'utilisation de rseau virtuel priv gre la liaison de la mme manire que pour un poste nomade filaire raccord via modem tlphonique. Le VPN assure le cryptage et l'authentification mutuelle, protgeant ainsi tous les trafics de l'ordinateur client jusqu'au commutateur Wi-Fi. Ce dernier a la charge de terminer les VPN de tous les clients et de livrer un trafic "sain" au rseau LAN auquel il est connect.

4.2.2.3 La configuration des stations radio


Interdiction de liaison ad hoc Les postes mobiles, ainsi que les postes fixes quips de loption Wi-Fi, doivent tre configurs pour interdire toute connexion ad-hoc , cest dire de station station, sans passer par un point daccs. Ceci fait barrage aux hackers qui tenteraient une intrusion du rseau via une station du rseau. Cette prcaution est essentielle pour les utilisateurs amens se connecter leur entreprise depuis un hotspot public. Concernant les postes fixes quips de loption Wi-Fi, il est bon de dsactiver celle-ci hors utilisation. Il est vivement conseill que les postes mobiles soient galement quipes dun firewall personnel pour filtrer les accs entrants indsirables et limiter les possibilits de connexions sortantes. Contrle du dbit radio Un type de protection assez rpandu contre les AP frauduleux (Fake AP) positionns par exemple l'extrieur du btiment (et donc avec une puissance radio faible), consiste interdire aux postes mobiles de se connecter avec un dbit trop bas (1 ou 2 Mb/s), car a priori incohrent avec la topologie de disposition des AP issue de lingnierie radio du rseau.

4.2.2.4 Les dfenses radio


Les leurres Cette forme de dfense, propre aux rseaux Wi-Fi, est une riposte contre le Wardriving ( Fake AP de Black Alchimy sous Linux). Elle consiste diffuser en grand nombre des trames contrefaites avec des SSID, adresses MAC et numro de canal alatoires. Les outils de Wardriving voient des multitudes de rseaux et sont incapables de reprer le vrai.

4.2.2.5 La scurisation au niveau applicatif


La scurisation de linformation transporte peut tre faite au niveau des applications, sans protger lassociation du poste mobile au point d'accs. Linformation peut tre dtourne mais elle est inutilisable. Chiffrement Des protocoles standards, comme SSL, peuvent tre employs cet effet. Authentification Ce mode d'authentification par un serveur Web "forc" la connexion, rpond au besoin de type hotspot pour les oprateurs. Il revient authentifier l'utilisateur par login/password sur un portail Web, le serveur Web rsidant dans le commutateur WLAN. La liaison entre le Client et le commutateur est scurise par SSL et l'authentification peut tre ralise via une base dauthentification locale.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

64/98

Livre ouvert sur la scurit En retour l'utilisateur est assign une catgorie dfinissant son VLAN, ses droits, etc. Par exemple si l'utilisateur est connu mais qu'il n'a plus de crdit, il peut tre redirig vers un VLAN aboutissant une page particulire qui linvite renouveler son abonnement. Pour scuriser totalement les communications authentifies par serveur Web, un moyen est de faire suivre la phase d'authentification par la mise en service d'un client VPN ventuellement tlcharg (Dialer VPN).

4.2.3 Les volutions du protocole : WPA et 802.11i 4.2.3.1 Petit historique

4.2.3.2 WPA 1.0


En attendant lavnement de 802.11i (voir ci-dessous), lIEEE a introduit WPA (Wi-Fi Protected Access), qui en est un sous-ensemble et apporte un plus trs significatif.. Depuis 2003, tous les produits radio ayant le label Wi-Fi supportent obligatoirement WPA. Il fait usage du standard IEEE 802.1x pour faire rfrence un serveur d'authentification RADIUS, ce qui correspond considrer le commutateur WLAN comme un concentrateur de modems (RAS ou BAS) dans une architecture de collecte traditionnelle. Le protocole dauthentification utilis entre le commutateur et le serveur peut tre une des couches bties au-dessus d'EAP (Extensible Authentication Protocol). WPA fait aussi usage de TKIP qui gre la gnration et lchange dynamique des cls de chiffrement, tout en sappuyant sur le WEP 802.1x est un protocole de contrle daccs rseau qui sapplique tout type de LAN radio ou filaire. Il dfinit un cadre dutilisation dEAP. EAP, initialement conu pour PPP, est un protocole de transport de lauthentification, celle-ci tant supporte par une application de niveau suprieur (ULA) et reposant sur un serveur Radius. Le protocole RADIUS est un protocole client/serveur permettant de grer de faon centralise les comptes des utilisateurs et les droits d'accs associs. Il supporte de multiples mcanismes dauthentification dont EAP. Le serveur RADIUS est un serveur dauthentification (AAA) dont les communications avec les clients sont supportes par le protocole RADIUS. Les produits WPA sont compatibles ascendants 802.11i.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

65/98

Livre ouvert sur la scurit Chiffrement TKIP Tout en conservant larchitecture du WEP, TKIP met en jeu un certain nombre de mcanismes propres amliorer la rsistance aux attaques, en rsolvant notamment le problme de la rutilisation cyclique des cls : le calcul de la cl est bas sur une cl temporelle partage par les postes mobiles et les points daccs et change tous les 10 000 paquets, une mthode de distribution dynamique assure le rafrachissement de la cl temporelle, le calcul de la squence de cls fait intervenir ladresse MAC de la station, donc chaque poste mobile dispose de sa propre squence, le vecteur dinitialisation est incrment chaque paquet, ce qui permet de rejeter des paquets rejous avec un numro de squence antrieur, un code dintgrit ICV (calcul selon un algorithme MIC nomm Michael) introduit une notion de CRC chiffr . La mise niveau TKIP dquipements WEP se fait par simple mise jour de logiciel. TKIP a lavantage dtre compatible avec le WEP, autorisant ainsi linteroprabilit dquipements WEP et dquipements TKIP avec bien sr, un niveau de scurit WEP. Son dfaut est son temps de calcul qui dgrade les performances du rseau et nest pas compatible avec les contraintes de QoS. Authentification Lauthentification repose sur les protocoles standards 801.1x et EAP au-dessus desquels sont dvelopps des standards dauthentification interoprables. Diffrentes couches sont dfinies au-dessus dEAP pour supporter des polices de scurit (par ordre de protection croissante) : EAP-MD5 utilise un serveur RADIUS qui ne contrle quun hash-code du mot de passe du poste mobile et ne fait pas dauthentification mutuelle. Ce protocole est dconseill pour les rseaux radio car il peut laisser le poste mobile se connecter sur un pot de miel. LEAP, dvelopp par CISCO, introduit une authentification mutuelle et dlivre des cls WEP pour le chiffrement du WLAN. Lauthentification est base sur un change login/password. Il nen demeure pas moins vulnrable par le risque quun tiers non autoris puisse avoir connaissance des mots de passe et est galement expos des attaques de type dictionnaire (ASLEAP). PEAP et EAP-TTLS utilisent un serveur RADIUS et sont bass sur un change de certificats. Les serveurs RADIUS qui supportent PEAP et EAP-TTLS peuvent sappuyer sur des bases de donnes externes : Domaine Windows ou annuaire LDAP, par exemple EAP-TLS est le standard recommand de scurisation des WLAN. Il met en uvre un serveur dauthentification RADIUS. Les postes mobiles et le serveur doivent sauthentifier mutuellement au moyen de certificats. La transaction est scurise par un tunnel chiffr. EAP-TLS/TTLS et PEAP sont particulirement rsistants aux attaques de type dictionnaire et man in the middle.

4.2.3.3 802.11i
Larrive du protocole 802.11i, extension du protocole de base pour la scurit du Wi-Fi, est attendue depuis plusieurs annes et serait annonce pour lautomne 2004. Il sappuie sur TKIP et 802.1x et reprend lallongement de la cl, le code dintgrit MIC et le squencement des paquets. Mais la grande innovation est lintroduction dun chiffrement AES particulirement performant et compatible avec les contraintes de QoS.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

66/98

Livre ouvert sur la scurit Un inconvnient est la puissance de calcul ncessaire AES, qui exige limplmentation dun coprocesseur, dj prsent par mesure conservatoire sur les quipements rcents supportant WPA. Pour cette raison, il sera ncessaire de prvoir un rtrofit matriel des quipements WEP dune gnration antrieure WPA.

4.2.3.4 En bref
Protocole de chiffrement WEP Longueur de Mthode de cl chiffrement 40, 128 bits RC-4 Vulnrabilits Vulnrable l'injection de paquet et rejeu, car pas de code d'intgrit de message Vecteur d'initialisation faible Vulnrable l'injection de paquet Vecteur d'initialisation faible Code d'intgrit de message faible, injection de paquet

Dynamic WEP TKIP - WPA 1.0 IPsec AES-CCMP IEEE 802.11i

40, 128 bits 128 bits

RC-4 RC-4

128, 168, 192 3DES, AES ou 256 bits 128, 192 or Code d'intgrit de message et cls AES 256 bits de chiffrement identiques

4.2.4 Application
Le niveau de scurisation demand varie selon les situations WLAN entreprise WPA sadresse aux entreprises. Les protocoles EAP-TLS, EAP-TTLS et PEAP sappuyant sur un serveur RADIUS sont particulirement recommands. Dans ce type dimplmentation, le VPN nest pas ncessaire, du moins en ce qui concerne la confidentialit du rseau radio. Il est mme dconseill si le rseau Wi-Fi sert galement de support la voix, car il dgrade la qualit de service. WLAN rsidentiel et SoHo Il est peu probable de trouver un serveur dauthentification dans ce domaine. WPA propose pour ces rseaux, un mode allg nomm WPA-PSK. Lauthentification se fait sans avoir recours un serveur et repose sur lchange dun password partag. Ce mme password sert initialiser le processus de chiffrement TKIP. La gestion tant faite manuellement, WPA-PSK ne peut sappliquer qu des rseaux de petite taille. Hotspot Afin de faciliter laccs au rseau des postes itinrants, aucun mcanisme de scurit nest mis en uvre dans les hotspots publics. En particulier, il ny a pas dauthentification au niveau Wi-Fi, puisque l'utilisateur lors de sa connexion n'a aucune connaissance du rseau, et rciproquement. L'authentification se fait alors sur un portail Web. Cest lutilisateur de prvoir sa propre protection, par VPN, par chiffrement applicatif, en utilisant un firewall client et en configurant correctement sa station afin de bloquer lintrusion directe dune autre station.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

67/98

Livre ouvert sur la scurit

4.2.5 Autres technologies 4.2.5.1 Bluetooth


Bluetooth est connu pour des applications point point, plutt que pour la ralisation de WLAN, bien que ceci soit techniquement possible. Bien que le protocole Bluetooth prvoie des mcanismes de scurisation performants, ceux-ci sont rarement mis en uvre. La faible porte (10 mtres) dune liaison Bluetooth protge contre les intrusions les plus courantes, ou du moins donne bonne conscience aux utilisateurs Ne perdons pas de vue que dans un lieu public, les personnes sont souvent moins de 10 mtres les unes des autres. Il faut tre particulirement vigilant en utilisant un clavier sans fil Bluetooth qui rayonne quand mme sur 10 mtres : tous les codes frapps sur le clavier passent sur la liaison, en particulier les mots de passe. Par ailleurs, le standard Bluetooth prvoit plusieurs puissances de transmission : 10mW, qui est celle couramment utilise et 100 mW qui donne une porte comparable celle dun rseau Wi-Fi. Des quipements 100mW commencent voir le jour, permettant de btir des WLAN de petite capacit, tout autant vulnrables que des rseaux Wi-Fi. Une autre attaque par Bluetooth concerne les tlphones portables bi-standard GSM Bluetooth. Une faille de Bluetooth permet dobtenir distance des informations stockes dans un combin. Les attaques se font essentiellement dans les hotspots publics. Par ce biais, le hacker peut rcuprer les coordonnes du fournisseur du service et le login/password quune victime qui se trouve prs de lui vient de recevoir par SMS. Une prcaution consiste dsactiver loption Bluetooth de son tlphone.

4.2.5.2 HiperLAN/2
HiperLAN/2 est un standard de lETSI concurrent du 802.11a. Il est cit ici pour mmoire, puisque HiperLAN/2 vient dtre dfinitivement abandonn. Contrairement 802.11, HiperLAN/2 prvoit de base des mcanismes de scurit efficaces, de chiffrement, dauthentification mutuelle et de distribution dynamique de cls. Lauthentification peut tre base sur un change de hash-code MD5 ou bien sur une cl publique RSA. HiperLAN/2 supporte divers identifiants dauthentification : identifiant de rseau, adresse IEEE, certificat. Le chiffrement prvoit deux options, bases sur les algorithmes DES et 3-DES.

4.2.5.3 WiMAX
WiMAX, autre standard 802.16 de lIEEE, se positionne sur le crneau du rseau mtropolitain, notamment comme alternative la desserte cble ou ADSL. Contrairement au Wi-Fi, les quipements finaux doivent tre pralablement dclars pour pouvoir tre connects au rseau WiMAX, ce qui ne facilite pas la tche des hackers. Lauthentification se fait par des certificats et par chiffrement asymtrique. Le chiffrement utilise une cl dlivre par la squence dauthentification et un algorithme 3-DES.

4.2.5.4 802.20
Le standard IEEE 802.20 sadresse des structures WAN pour des usagers mobiles. Contrairement aux rseaux 3G qui sont voix et donnes, les rseaux 802.20 sont ddis lInternet mobile. Lauthentification mutuelle est base sur des certificats avec signature RSA, au cours de laquelle sont distribues les cls de chiffrement symtrique.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

68/98

Livre ouvert sur la scurit

4.2.5.5 Rseaux 2G/2,5G/3G


Le GSM utilise des mcanismes de scurit particulirement efficaces qui assurent lauthentification de lidentit de labonn, la confidentialit de lidentit de labonn, la confidentialit de la signalisation change et la confidentialit de linformation change. La scurit est implmente trois niveaux : dans la carte SIM : informations personnelles de scurit (cl dauthentification, algorithmes dauthentification et de gnration des cls, identit de labonn, code personnel, dans le terminal : algorithme de cryptage, dans le rseau : algorithme de cryptage, serveur dauthentification. Lutilisation didentifiants temporaires permet de masquer lidentit du terminal et constitue une protection efficace contre les interceptions. Les algorithmes de chiffrement du GSM sont tenus secrets et apparemment le sont encore. Les mmes mcanismes sont reconduits pour lUMTS et le GPRS.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

69/98

Livre ouvert sur la scurit

5 UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT


5.1 LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES
Auteur Thierry Karsenti (CheckPoint) - thierry@checkpoint.com

lheure actuelle, les tl travailleurs sont de plus en plus nombreux utiliser la technologie VPN (Virtual Private Network, rseau priv virtuel) pour accder aux ressources internes des entreprises via les technologies daccs Internet, telles que les modems cble ou les lignes DSL. Cependant, la disponibilit constante de ces services Internet haut dbit est une vritable porte ouverte aux intrusions, lesquelles menacent aussi bien le poste client que le rseau de lentreprise. Pour empcher les pirates de dtourner une session VPN dans le but daccder aux ressources internes de lentreprise, il est primordial de dployer une solution de scurit de bout en bout pour les clients VPN. Les administrateurs informatiques ont le choix entre diffrentes approches pour scuriser les systmes des utilisateurs distants, allant dune politique dautorisation souple une politique trs restrictive qui risque dempcher les utilisateurs de profiter pleinement des connexions haut dbit. La meilleure approche reste toutefois le dploiement concert dune solution complte garantissant un niveau de scurit optimal tout en permettant aux utilisateurs dexploiter au maximum le service Internet haut dbit.

5.1.1 Identification des risques


Les rseaux VPN daccs distant menacent la scurit de lentreprise bien des gards. Tout dabord, chaque poste usage professionnel est susceptible de contenir des donnes sensibles qui doivent tre protges. ce titre, il doit donc tre soumis des mesures de contrle daccs, telles que celles offertes par les firewalls. Ensuite, les donnes transmises par et vers lordinateur dun employ doivent galement tre protges. Cette fonction est dailleurs lobjectif intrinsque de tout rseau VPN ! Malheureusement, les services haut dbit permanents accentuent les dangers car les sessions longues sont par nature davantage exposes aux attaques. La troisime et probablement la principale raison justifiant la protection des ordinateurs individuels est quelle les empche dtre contamins long terme, notamment par des programmes de type Cheval de Troie. Prenons un exemple : imaginez quun pirate place discrtement un programme sur un PC non protg et connect Internet. Ce programme capture et consigne toutes les oprations au clavier de cet utilisateur. Le pirate peut donc facilement se procurer le mot de passe daccs au rseau VPN de lentreprise, annihilant ainsi la fonction premire du VPN. Autre type de programme tout aussi dangereux, le Cheval de Troie enregistre un PC non protg pour lutiliser comme attaquant involontaire, ou zombie , lors dune attaque DDoS (Dni de service distribu). Les administrateurs informatiques sont de plus en plus conscients de ces dangers. Voil pourquoi ils sont de plus en plus nombreux demander des solutions de scurit dentreprise de bout en bout. Mais quelle approche adopter ?

5.1.2 Correction des lacunes de scurit


Une approche de scurisation des clients VPN consiste mettre en place une politique dentreprise demandant aux utilisateurs de dployer une solution personnelle de pare-feu administrer individuellement. Plusieurs constructeurs en proposent sur le march. Malheureusement, cette approche place le fardeau de linstallation, de la configuration et de ladministration du pare-feu sur les paules des utilisateurs finaux. La difficult de fournir lassistance et la formation ncessaires pour cette approche du chacun pour soi la rend irraliste. Une autre approche consiste acheter une solution de pare-feu personnelle administre de manire centralise pour scuriser les postes individuels. Cependant, cette mthode noffre pas de garantie suffisante : les utilisateurs sont libres de dsactiver ou de modifier la configuration de leur pare-feu avant douvrir une session VPN. Si les produits de pare-feu et de client VPN ne sont pas intgrs, rien ne permet daffirmer que le pare-feu personnel fonctionne en continu sur le poste client. Un

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

70/98

Livre ouvert sur la scurit tunnel VPN pourrait ds lors tre menac sans que ladministrateur informatique ni lutilisateur ne sen rendent compte, avec de lourdes consquences pour le rseau. En outre, si une entreprise envisage de dployer deux solutions distinctes pour la connectivit VPN daccs distant et la scurit du poste de travail, elle ne doit pas perdre de vue le cot de leur charge administrative. En effet, chaque nouvelle version devra subir un test de compatibilit, que ce soit au niveau du client VPN ou du pare-feu du poste de travail. Les administrateurs informatiques devraient galement tenir compte dautres aspects tels que lvolutivit et ladministration sils veulent utiliser plusieurs produits de scurit client indpendants. Par exemple, quelles seront les implications de lajout dun nouvel utilisateur ou de la mise jour de la politique de scurit au niveau des deux solutions, et ce, pour tous les utilisateurs du VPN ?

5.1.3 Approche intgre


Aujourdhui, certaines solutions intgrent troitement des fonctions de scurit du poste de travail dans une solution de clients VPN. Cette approche offre de rels avantages. Ainsi, un pare-feu/client VPN intgr peut imposer automatiquement la scurit sur lordinateur de chaque utilisateur final. Alors que les VPN apportent la connectivit standard avec un cryptage ct client et lauthentification des utilisateurs, ces solutions ajoutent de puissantes fonctions de scurit telles que le contrle daccs et le contrle de la scurit client. Ces fonctions permettent aux administrateurs dimposer une politique de scurit des clients administre de manire centralise. Elles permettent galement dimplmenter un contrle daccs aux clients bas sur des rgles et de dfinir des politiques diffrentes pour chaque groupe dutilisateurs. Et bien plus encore... Les entreprises qui comptent diffrents types dutilisateurs VPN distants, comme des commerciaux et des informaticiens, peuvent adapter les politiques de scurit aux besoins de chaque utilisateur. Autre avantage de ces solutions : elles permettent dtendre la scurit du rseau pour englober des contrles de scurit personnaliss. Elles pourraient impliquer, par exemple, des fichiers .dll Windows pouvant vrifier une multitude de conditions sur les postes client, notamment linstallation dune application spcifique ou encore une valeur du registre Windows. Les rsultats positifs de ces contrles pourraient tre la condition ltablissement dune connexion VPN. Ces solutions pourraient tre configures de manire garantir la mise jour de la solution antivirus dun poste client avant ltablissement dune session VPN avec ce poste. De cette faon, les clients et le rseau de lentreprise seront efficacement protgs contre les virus potentiellement dangereux.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

71/98

Livre ouvert sur la scurit

5.1.4 Amlioration de la scurit par ladministration


Les solutions de scurit des clients difficiles administrer ne fourniront pas le niveau de scurit requis. Voil pourquoi il importe de sassurer que les solutions offrent des fonctionnalits capables daider les administrateurs dployer et administrer un grand nombre dutilisateurs distants. Ainsi, si le logiciel client est difficile configurer, il y a de fortes chances que de nombreux utilisateurs exploiteront des systmes mal paramtrs dont le niveau de scurit sera insuffisant. Certains fournisseurs de VPN proposent des outils de cration de package logiciels auto-excutables et autoextractibles qui sinstallent de manire transparente sur les systmes client. Ils nexigent pas de savoir-faire ni dinteraction spcifiques de la part de lutilisateur final. Les frais dassistance technique sont donc rduits et le logiciel est correctement install. Les entreprises devraient galement rechercher des solutions qui mettent jour automatiquement le logiciel client. La scurit du client sen trouverait considrablement amliore grce lutilisation dun logiciel constamment actualis. Les nouveaux composants logiciels devraient tre transfrs vers le client et mis en place de manire transparente, avec un ventuel redmarrage automatique des services ou de la machine.

5.1.5 Rsum
Pour profiter pleinement des avantages dun rseau VPN daccs distant, les entreprises doivent veiller ce que la technologie choisie offre une scurit optimale aux clients VPN. Mme si les fonctions VPN standard, telles que le cryptage et lauthentification des utilisateurs, scurisent les transmissions changes par les utilisateurs du rseau VPN, la protection des postes de travail est galement un lment capital de la scurit globale de lentreprise. Les systmes client doivent tre protgs avec des technologies de pare-feu personnel troitement intgres au rseau VPN. Quant la solution VPN globale, elle doit permettre dimposer les exigences de scurit sur les clients du VPN, pralablement toute connexion au rseau. Ce nest quaprs avoir protg leurs clients VPN que les entreprises pourront tre assures de lintgrit de leur rseau.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

72/98

Livre ouvert sur la scurit

6
6.1 6.2

LES ASPECTS JURIDIQUES ET HUMAINS


Partie prise en charge par Olivier Iteanu (Iteanu associs)

LES RISQUES DU METIER , QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE
Partie traite provisoirement par Grard Pliks (EADS)

Nous abordons le ct juridique pos par lutilisation des outils de lInternet, mis disposition des employs sils ne sont pas utiliss, durant les heures de bureau, des fins conformes lthique de leur employeur. Nous ne sommes pas, ici, dans le domaine de linformatique, du rationnel et du binaire mais dans celui du droit qui est une discipline profondment subjective dpendant de la comprhension des problmes, de linterprtation et de lintime conviction des juges. Certes leurs dcisions sappuient sur des textes du code du travail, du code civil, du code pnal et du code europen, mais, en dernier lieu, ce nest pas un ordinateur qui tranche, ce sont des hommes et des femmes avec leurs convictions et leurs doutes. Nous allons voir, travers trois affaires, larrt Nikon, laffaire de lEcole de Physique et Chimie Industrielle de la ville de Paris et laffaire Escota que lutilisation non conforme du e-mail et du Web durant les heures de travail si elle est porte devant les tribunaux ne se heurte pas un vide juridique, comme on le pense souvent, et cest parfois larroseur qui se fait arroser avec lobligation de payer les frais de justice.

6.2.1

Larrt Nikon
Ce cas jug jusquen en cassation a cr un vritable sisme dans la vision quavait la justice de la surveillance des e-mails des salaris pratique par leur employeur et fait aujourdhui jurisprudence dans tous les cas semblables. Un ingnieur de Nikon, tirant parti du statut quil avait dans lentreprise, vendait par e-mail pour son compte personnel du matriel photographique et tenait sa comptabilit dans un dossier not personnel Tous ses e-mails taient galement placs dans un folder nomm personnel . Avec le temps, ayant eu vent des pratiques videmment prohibes de cet employ, lemployeur entreprit de le confondre en portant un oeil, en dehors de sa prsence, sur ses messages et ses fichiers concernant ces coupables changes et surtout bien entendu sur ceux marqus personnel . Lescroquerie ainsi mise jour de faon vidente, lemploy fut licenci pour faute grave. Mais laffaire nen resta pas l. Considrant inadmissible la violation de son espace priv, lemploy attaqua Nikon devant le tribunal des prudhommes pour licenciement abusif, arguant dune violation inacceptable de la confidentialit de ses fichiers et de sa messagerie prive ralise sans son accord. Le tribunal des prudhommes donna raison lemployeur. Lemploy fit porter alors laffaire devant la cour dappel de Paris qui donna encore raison lemployeur. Convaincu dtre victime dune atteinte inqualifiable sa vie prive et dun abus caractris de son employeur qui stait permis de lire ses e-mails personnels, persuad dautre part quun tribunal de prudhommes et une cour dappel ne pouvaient comprendre ce qutait les affaires concernant la haute technologie, lex employ porta le jugement de la cour dappel devant la cour de cassation. Contrairement aux prcdentes juridictions, la cour de cassation de Paris, par larrt devenu le clbre arrt Nikon du 2 octobre 2001 donna raison lemploy et invalida les condamnations prcdentes, en sappuyant sur larticle L120-2 du Code du Travail qui souligne que lon peut rechercher dans les fichiers personnels du salari uniquement sous rserve quil y ait une justification par rapport la tche quil doit accomplir et des circonstances graves justifiant la

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

73/98

Livre ouvert sur la scurit mesure . La Cour de Cassation a ainsi affirm, et cela est considr comme une doctrine que : "Le salari a droit, mme au temps et au lieu de travail, au respect de l'intimit de sa vie prive ; que celle-ci implique en particulier le secret des correspondances; que l'employeur ne peut ds lors sans violation de cette libert fondamentale prendre connaissance des messages personnels mis par le salari et reus par lui grce un outil informatique mis sa disposition pour son travail, et ceci mme au cas o l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur." Pour rsumer, larrt autorise un employ utiliser Internet des fins personnelles pendant son temps de travail dans la mesure o cela ne dborde pas sur sa productivit. Cet arrt marqua le dbut dune jurisprudence partir de laquelle aucun jugement ne peut aller lencontre dun employ qui rclame son droit un espace priv dans son entreprise pour stocker les fichiers ou les e-mails dclars comme tant personnels. Cet arrt impose galement pour lemployeur un devoir de pertinence dans ses pratiques vis vis de ses employs.

6.2.2

LEcole de Physique et Chimie Industrielle de Paris


Dans cette affaire opposant un tudiant cette prestigieuse Grande Ecole se mlent la haine, la dlation, largent le chantage et mme lexotisme, tous les ingrdients pour assurer le succs dun tlfilm ou dun roman de plage. Un chercheur dun machisme exacerb dcide de mener une assistante rcalcitrante une vie impossible, multipliant les e-mails laccusant des pires dviations et dpravations, usurpant son adresse e-mail et dtruisant les fichiers sur son disque, allant mme jusqu modifier les rsultats de ses recherches et les slides de ses prsentations. Eplore, la pauvre fille se plaint au Directeur de lEcole lui demandant des mesures pour que sarrte ce harclement quotidien. Le Directeur demande au RSSI et lIngnieur Systme de surveiller les changes par e-mail du chercheur pour confondre ce triste individu. Et des e-mails ainsi mis en lumire clata la vrit. Comme preuves conviction, le contenu de ces e-mails fut port la connaissance du Directeur de lEcole qui convoqua le chercheur pour lui passer un savon, le sommer de cesser immdiatement ses coupables agissements et de faire des excuses lassistante harcele sinon Et l lEcole commit une erreur. Il ne fallait pas chercher un arrangement lamiable avec ce triste sire, car lui sempressa de porter plainte contre lEcole pour violation inadmissible de son espace priv. Le tribunal donna raison au chercheur qui obtint tout de mme 20 000 payables par le Directeur de lEcole, le RSSI et lingnieur systme. Ce qui tait reproch ntait pas tant la lecture des e-mails puisque ctait une obligation pour tablir les responsabilits dans une situation conflictuelle, dautant plus que les e-mails avaient t lus mais pas dtourns par lingnieur systme. Ce qui tait reproch lIngnieur Systme tait surtout la divulgation du contenu de ces e-mails au Directeur de lEcole. Je cite : Si la proccupation de la scurit du rseau justifiait que les administrateurs de rseaux fassent usage de leurs positions et des possibilits techniques leur disposition pour mener des investigations et prendre des mesures que la scurit imposait en revanche la divulgation du contenu de ces messages ne relevait pas de ces objectifs . En conclusion, un RSSI, ou un responsable systme peut lextrme limite et sil en a lobligation pour la bonne marche du service et la demande de son employeur observer au moins statistiquement lutilisation de la messagerie mais il ne peut en aucun cas rvler ce quil dcouvre son employeur. Laffaire fut porte en Cour dappel qui confirma une partie des condamnations mais assortit les amendes de sursis.

6.2.3

Laffaire Escota
Un motard en colre, employ chez Lucent Technologies ulcr par le montant du page de la portion dautoroute quil empruntait chaque jour pour se rendre son travail et par les conditions dinscurit de cette autoroute dcida de se venger sa faon. Escota est la socit qui a bti et gre les autoroutes Estrel Cte dAzur Provence Alpes. Ce motard monta, partir de son lieu de travail, un site Web pour parodier celui de la socit dautoroutes www.escota.com. Il nomma ce web satirique qui se substituait ses pages personnelles hberges chez Lycos, galement hbergeur du web de Lucent www.escroca.com en prenant bien sr la mme calligraphie pour le logo et la mme ligne ditoriale que le vrai site escota.com. Et il ne fut pas tendre pour la socit dautoroute, mettant mme des images qui ne jouaient pas en faveur de laffirmation de scurit et de services que cette socit disait fournir aux usagers. Quand la socit Escota saperut de

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

74/98

Livre ouvert sur la scurit lexistence de ce site, cela ne la fit pas rire du tout. Elle obtint sa fermeture immdiate. Six mois plus tard la socit Escota porta plainte contre la socit Lucent Technologie, employeur du crateur du site parodique parce que les pages taient mises jour durant les heures de bureau. Elle porta aussi plainte contre lhbergeur. Bien que lemploy sengagea payer toutes sommes incombant Lucent si le tribunal obtenait pour la socit Escota des dommages et intrts, il fut licenci pour faute grave. Escota demanda 200 000 euros de dommages et intrts la socit Lucent Technologies. Quand le Tribunal de Grande Instance de Marseille statua sur cette affaire, en juin 2003, la question fut de trancher si le site tait satirique et destin amuser le public ou sil tait haineux et destin nuire la socit dautoroute. Cest cette dernire hypothse que reteint le Tribunal. Si lemploy navait critiqu que la socit Escota, il aurait pu sen tirer sans trop de mal, mais il avait aussi critiqu la qualit de ses services La socit Lucent pour ne pas avoir explicitement interdit dans sa charte de scurit, lusage des outils mis disposition des employs pour nuire dautres socits, car je cite : aucune interdiction spcifique ntait formule lattention des salaris quant lventuelle ralisation de sites Internet ou de fournitures dinformations sur des pages personnelles et lex employ furent condamns verser 4000 euros de frais de justice et 12000 euros pour payer la publication du jugement dans deux quotidiens nationaux. En conclusion Lucent Technologies fut reconnue co fautive du dlit commis par son ex employ pour lui avoir laiss la possibilit de crer un site personnel contenus diffamatoires lencontre de la socit autoroutire Escota. Lucent Technologies se retourne maintenant contre son ex employ pour lui faire payer tous ces frais. Les dommages et intrts rclams par Escota nont pas t accords. Aucune faute ne fut retenue contre lhbergeur Lycos. La cour dappel saisie confirma la dcision du tribunal de Grande Instance. Ces affaires vont certainement se multiplier et la jurisprudence stoffera. Nous avons droit notre espace priv, sur le rseau, condition quil soit clairement identifi, mais nous avons aussi lobligation dutiliser les outils mis notre disposition, durant les heures de travail des fins professionnelles.

6.3 6.3.1

POLITIQUE ET REFERENTIELS DE SECURITE,


Auteur : Pierre-Luc Refalo (Comprendre et Russir) plr@comprendre-et-reussir.com

Prambule
Tout est dsormais affaire de risques. Accepter, comprendre les situations de danger, grer ses tats de vulnrabilits sont pour les dirigeants et les managers une exigence permanente. Il est bien sr de leur devoir traiter les menaces qui portent sur les activits de leur entreprise, sur leurs systmes dinformation et leurs rseaux de communication. Une fois leve, la question essentielle de lengagement de lentreprise qui nomme un ou des collaborateurs et leur fixe des objectifs clairs, il ny a pas de dmarche scurit sans orientations politiques. Elles posent les fondements dune rglementation interne, mais aussi les bases des relations avec les tiers. Les dirigeants nont dautre choix que de montrer, leur engagement, non pas en paroles, mais en actes, non pas en symboles, mais en mesures concrtes. Face la complexit du sujet, tout plan daction ne peut se concevoir sans une approche politique claire, affiche et formelle. Une rglementation crite est ncessaire. Sa mise en uvre ne peut russir sans ladhsion et implication de toute lentreprise. Seuls les hommes et lorganisation garantiront sa mise en oeuvre. Le terme politique a t utilis dans des sens trs varis dans la scurit informatique. Est-ce une charte compose de quelques principes fondateurs ? Est-ce un programme (politique) qui sappuie sur une vision du risque ? Est-ce un ensemble de rgles appliquer obligatoirement ? Est-ce un ensemble de principes, de bonnes pratiques de scurit quil convient dappliquer lorsquon le peut en fonction de critres oprationnels ou conomiques ?

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

75/98

Livre ouvert sur la scurit Est-ce une spcification technique des processus mettre en place voire des configurations requises pour les infrastructures et les services ?

6.3.2

Fondamentaux
Indpendamment de son champ et de son contenu, une politique de scurit repose sur 4 bases fondamentales : La volont des dirigeants doit tre clairement exprime. Les principes de base et les rgles fondamentales doivent tre formuls. Les interlocuteurs et responsables doivent tre identifis. Les procdures et sources dinformation doivent tre diffuses et facilement accessibles. Une politique cherche rpondre des enjeux stratgiques lis au business, mais elle peut aussi sattacher fixer des objectifs de scurit dtermins par ltude de scnarios de risques. Enfin, elle peut reposer sur une dmarche organisationnelle impose par des exigences rglementaires (secret mdical, scurit financire, ) ou environnementales (concurrence, terrorisme, ). Toute politique sappuie donc sur des enjeux et des orientations stratgiques. Telle entreprise mettra en avant sa croissance conomique, une autre privilgiera la qualit de ses produits ou la relation avec ses clients, telle autre la rduction de son endettement. Dans ladministration, les enjeux seront diffrents : la qualit des soins et le secret mdical auront la priorit dans la sant, la qualit de service et la scurit des usagers seront privilgies dans les transports publics. La lutte contre lespionnage industriel sera lenjeu majeur des centres de recherche nationaux et de certaines universits et grandes coles. Cest en fonction de ces paramtres que la politique scurit prendra son sens en rappelant des objectifs forts : protection du savoir-faire respect des obligations juridiques et rglementaires protection des revenus protection de limage de marque

6.3.3

Des principes fondateurs


Toute politique de scurit rpond des enjeux qui doivent tre clairement explicits. Mais elle doit aussi reposer sur des bases solides, conceptuelles mais fondamentales pour donner du sens aux rgles et aux processus. Sept grands principes fondamentaux peuvent ainsi tre formuls. Le premier dentre eux est lconomie, les six autres lui tant trs troitement lis. Ils visent tous garantir lefficacit de la mise en uvre de la politique. Lconomie Aucune dmarche dentreprise ne peut faire abstraction des cots. Comment concevoir une dmarche qui ne reposerait pas sur une valuation quantitative des risques et une approche financire des plans dactions ? Comment imaginer une mise en uvre de moyens qui ne soit pas cohrente avec les risques valus et les impacts conomiques des incidents, des fraudes et des piratages ? Lentreprise doit clairement rappeler que lon ne dpense par 100 si lon risque 10. Lintgration Pour quelle soit efficace, que ce soit au sein dune organisation ou dun systme dinformation, dans le cadre dun projet ou dun processus, la scurit est intgre sous des formes diverses : par la responsabilisation des acteurs par lidentification des risques dans les phases amonts des projets par lutilisation, quand cest possible, de dispositifs et doutils (physiques ou logiques) existants

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

76/98

Livre ouvert sur la scurit Lefficacit des mesures mises en uvre sera garantie par limplication de chacun et non en sappuyant sur quelques individus. La cohrence La scurit globale dun systme, dun processus, dune organisation doit tre cohrente. Elle dpend toujours du maillon le plus faible. La mise en oeuvre des dispositifs de scurit vise garantir un niveau de scurit homogne dans tous les domaines de la prvention/protection et de la dtection/raction. Il est inutile de blinder une porte si les fentres restent ouvertes ou chiffrer des donnes si les documents confidentiels restent sur les bureaux, les portes ouvertes. La simplicit Face la complexit et la rapidit dvolution de lenvironnement (politique, social, technique, marketing et organisationnel), les mesures de scurit seront dautant plus acceptes et efficaces quelles seront simples et comprhensibles par les collaborateurs, les fournisseurs, les partenaires et les clients. Une action bien cible, quelques rgles bien comprises et appliques seront plus efficaces que de multiples consignes sappuyant sur des outils difficiles utiliser. La proportion Dans un souci defficience, les dispositifs de scurit sont proportionns aux risques et aux menaces encourus. Les cots et les conditions de mise en oeuvre des mesures ne sont valids quaprs identification et valuation prcises des enjeux. Trois niveaux de scurit peuvent tre dfinis : standard : applicable pour toute information en faisant appel des dispositifs de scurit existants. renforc : applicable des informations sensibles et des systmes critiques, en faisant appel des dispositifs de scurit complmentaires sans remise en cause fondamentale de lenvironnement technique et organisationnel. sur mesure : applicable des informations secrtes et des systmes vitaux reposant sur des dispositifs de scurit certifis ou spcifiques dont seule lentreprise possde la matrise. La transparence La politique se met en oeuvre dans un souci de transparence des dcisions et des processus oprationnels. Ceci vise faciliter le contrle et laudit et sapplique dans le cadre des projets, des oprations quotidiennes et des incidents. La prennit Les solutions de scurit doivent tre conues partir de produits prennes et sur des technologies prouves. Ils offrent des garanties dvolutivit dans le temps, dadaptation lapparition de nouveaux risques et de facilit de maintenance un cot raisonnable. La politique voluera en fonction de lexprience acquise au quotidien et sur lvolution de lenvironnement notamment lgislatif et organisationnel.

6.3.4

Lorganisation dans le cadre politique


Lapproche politique de lentreprise se concrtise sous la forme des responsabilits quelle souhaite attribuer pour rpondre ses exigences ou ses proccupations tires dune vision ou dune connaissance des risques oprationnels. Lentreprise considre-t-elle que seuls comptent les aspects lgaux et notamment le respect de la vie prive ? Mais comment traiter aussi la protection du patrimoine, notamment immatriel ? Comment veiller aussi aux menaces lies lespionnage conomique ? Et peut-elle ignorer la fraude ou le piratage informatique ? Ds que la problmatique cyber-scurit apparat comme une volont stratgique et globale, lattribution des responsabilits devient difficile. Car, en effet, combien est-il difficile de faire cooprer des acteurs aussi diffrents et souvent trs comptents dans leur domaine que des informaticiens et des juristes, des anciens fonctionnaires de police et des agents de scurit physique, le tout en cohrence et en bonne synergie avec les autres mtiers concerns dans lentreprise, Juridique, Ressources Humaines, Stratgie et Marketing, Systmes dInformation, Achats,

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

77/98

Livre ouvert sur la scurit Lenjeu est ici de sparer le management stratgique et le management oprationnel. Le lien entre les deux sera un des aspects de la Politique de Scurit exprime sous la forme des meilleures pratiques (cf schma).
Politique Rgulateur Veilleur Educateur Auditeur
Juridique RH Comm Qualit Audit Mtiers

Enjeux

Management stratgique

Cellule Politique et pilotage

Analyste Architecte Meilleures pratiques (rgles) Fournisseur Intgrateur Administrateur Contrleur Processus
IT

Projets
Mtiers IT

Processus

Management oprationnel

Cellule Mise en oeuvre

Urgentiste Enquteur

Copyright Comprendre et Russir -

Il nest pas toujours ncessaire de rpondre des enjeux pour faire de la scurit. On peut se satisfaire dune dmarche plus qualitative, analogique voire historique. Peut-on concevoir une maison sans portes ? Mme dans les plus beaux quartiers, a priori les plus srs, on met des portes et des verrous ! Lassureur lexige bien sr. Par ailleurs, il est possible dobserver ce que font les partenaires, les autres entits du groupe, On sadapte plus tactiquement que politiquement des pratiques de scurit, des exigences ou des contraintes externes. Dans la cyber-scurit, des services se sont imposs peu peu et rien ne semble en mesure de les remettre en cause sur le fond : sauvegardes codes secrets coupe-feu anti-virus Certes, ils rpondent des risques rels et souvent quotidiens mais se pose-t-on encore la question du risque avant de mettre en uvre et dacheter ces dispositifs ? Ne peut-on se convaincre une bonne fois pour toutes que cest une scurit intgre dautres processus comme la mise en uvre dune application, le dploiement dune architecture bureautique ou de rseaux ? Nous sommes ici dans une approche politique de type bonnes pratiques , qualitative et reposant sur de lexprience. On rentre dans le domaine de lexpertise plus que du management, ce dernier tant de toute faon requis pour la mise en uvre. Quelques familles de bonnes pratiques se sont peu peu imposes. Elles rpondent une dmarche de prvention et danticipation. Ce sont : les contrles daccs logiques

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

78/98

Livre ouvert sur la scurit le cloisonnement de rseaux la gestion des attaques logiques la confidentialit des informations les contrles daccs physiques la continuit des activits Elles peuvent tre compltes par dautres domaines mergents qui sadressent de nouveaux cyber-risques lis le-business et le-commerce. la signature lectronique les moyens de paiement scuriss Les guides de bonnes pratiques seront complts par des guides de management qui dcrivent la veille et les relations extrieures la scurit dans les projets lanalyse de risque et laudit la gestion des incidents et des crises

6.3.5

Une Charte et quatre politiques


Nous pouvons considrer que les aspects rglementation de la cyber-scurit ne peuvent pas tre traits dans une politique unique et quune certaine modularit est ncessaire. Il existe certes des principes fondamentaux applicables tous. Il existe aussi des bonnes pratiques issues de plus de quinze ans dexprience. Il existe des diffrences fondamentales, de maturit et de sens de responsabilit des dirigeants. Il existe des considrations fondamentalement diffrentes entre les rgles appliquer des collaborateurs, des clients ou des fournisseurs. Or, lheure des changes lectroniques gnraliss, on ne peut englober tout le monde dans une approche unique du risque. Il ne faut pas oublier, enfin, que dans certains domaines, des choix seront ncessairement tactiques et conomiques. Ainsi, quel que soit son mtier, sa taille et sa culture, une entreprise peut et doit aborder son approche rglementaire de la cyber-scurit en trois grands domaines introduits par une charte et supporte par les normes, les guides de bonnes pratiques et de management.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

79/98

Livre ouvert sur la scurit

Contrat de travail Codes de dontologie Rglement intrieur Politique collaborateurs Code de surveillance des salaris

Accords de confidentialit Scurit dans les projets Clauses de scurit dans les contrats de service Signature lectronique (e-business)

Engagement des dirigeants Principes fondateurs Charte dentreprise

Politique prestataires

Politique clients

Donnes personnelles Paiements et signature lectronique (e-commerce)

Politique gnrale Guides de bonnes pratiques et de management Organisation oprationnelle Scurit dans les projets Contrle et audit Veille et relations extrieures Gestion des incidents et crises Normes ISO 15408 ISO 17799 ISO 17024 Rfrentiels professionnels Banque, finance, sant, Contrle daccs logiques Cloisonnement de rseaux Gestion des attaques logiques Confidentialit des informations Continuit des activits

Le cadre gnral dune Politique de Scurit

6.3.6

Des choix essentiels


Pour aller plus loin, il y a toujours des choix qui se prsentent au dcideur. Les dcisions si elles reposent sur la culture, le mtier et la stratgie de lentreprise, ne doivent pas liminer des choix plus tactiques voire opportunistes, quotidiens et souvent effectus sous la pression.

6.3.6.1 Entre laxisme et paranoa


Nous vivons dans des rgimes dmocratiques o le droit est la rgle principale de nos fonctionnements collectifs. Cest aussi le cas dans lentreprise qui, si on accepte lide quelles sont lances dans une guerre conomique, doivent connatre leur ennemi et les menaces pour bien se protger. Si tu veux la paix, prpare la guerre disait Sun Tzu. Le dcideur, quel quil soit, peut trs bien se sentir labri (en se bandant les yeux) ou linverse voir des ennemis partout (alors quil ny en a pas). Dans les deux cas, il prend des risques. Ngligences voire irresponsabilit dans un cas, blocages et sans doute surcots dans lautre. Cest pourquoi, une approche responsable , ni laxiste, ni paranoaque doit prvaloir de nos jours. Pour quelle soit raliste et applicable, il convient que les dirigeants et les managers qui seront impliqus adhrent une telle orientation politique. Il est en effet frquent de voir des experts techniques chercher sur-protger, car conscients des menaces et des vulnrabilits techniques mais aussi des dcideurs obnubils par les dpenses et les cots et qui ne comprennent pas pourquoi tel ou tel investissement est ncessaire. Cest le cas des actions prventives comme la veille, ou ractive comme la gestion des incidents. On a bien dautres choses faire que danticiper des risques immatriels et de chercher expliquer pendant des jours comment a pu soprer une intrusion ou un vol. De toute faon, cela nintresse pas grand monde et le mal, de toute faon, est fait ! Le prsident ou le directeur gnral, le ministre, le recteur dAcadmie, le chef dtablissement, ne peuvent pas rester totalement absents de la dmarche cyber-scurit . Ils doivent exprimer dans une note de service puis dans des nominations et des dlgations de pouvoir en quoi cette gestion de risques est vitale pour lactivit et la sant de lentreprise ou de lorganisme.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

80/98

Livre ouvert sur la scurit Le dirigeant doit crire que les systmes dinformation, les rseaux de communication, et linformation elle-mme : reprsentent une composante essentielle du patrimoine et contribuent, par leur matrise et leur qualit lefficacit des actions, la confiance accorde par les clients, usagers, les actionnaires les instances de tutelle, au dveloppement et la prennit des activits. sont un bien vulnrable soumis des menaces trs diverses. Toute altration, divulgation, destruction, accidentelle ou malveillante, peut porter de graves prjudices lorganisation et par voie de consquence ses collaborateurs ou ses clients et partenaires. sont soumis des menaces spcifiques lies au mtier (concurrence, service public, relation client/usager, gestion financire, ) qui exigent une vigilance accrue. LInternet, ses technologies et ses services, sont une source de dveloppement, defficacit et de revenus potentiels. Mais il introduit aussi des vulnrabilits trs importantes dont il convient de se prmunir. Les dcideurs doivent aussi chercher impliquer lensemble des collaborateurs en insistant sur les bonnes pratiques individuelles et essentiellement comportementales que chacun doit respecter. Elle doit mentionner les acteurs en charge de la gestion de ces nouveaux risques et lexistence de la Politique Scurit qui constitue un cadre de rfrence applicable lensemble des entits et avant tout un objectif atteindre. Cette politique est par nature insuffisante mais traduit une volont stratgique Sa mise en oeuvre ncessite limplication de chaque collaborateur. Sans doute, lenjeu est de faire passer le message que la scurit ne peut plus, ne doit plus tre considre comme une arme de dfense, mais comme un atout.

6.3.6.2 Entre bonnes pratiques et obligations


Pourquoi ne pas se satisfaire dune petite lumire que chacun se chargerait de maintenir en vie pour que dure la politique scurit ? Plutt que des obligations quasi-dictatoriales que chacun passerait son temps dnigrer ou ne pas respecter ? Il y a un grand enjeu ducatif. Cest le choix classique de lducation ou de la rpression. Nous voyons sur les routes combien sont inefficaces les rappels lordre, les contraventions et les retraits de permis pour tenter de faire conduire les automobilistes moins vite, avec leur ceinture de scurit et sans avoir (trop) bu. La scurit est toujours contraignante et il est si simple de passer outre sans prendre beaucoup de risques (personnels) dailleurs. Dans le monde de limmatriel, nous devons nous poser la question de la responsabilit individuelle, consciente, adaptable et non collective, uniforme, impose. Cest pour cela que lapproche par les bonnes pratiques prend du sens par rapport des obligations permanentes et imposes. Certes, il existe des domaines qui ne mriteront aucun compromis, mais lexception obligatoire confirmera la rgle permanente du libre choix , du libre arbitre . Les obligations seront idalement prsentes dans un rglement intrieur en respectant les processus dlaboration avec lassistance dun avocat et de validation du Comit dEntreprise ou des reprsentants du personnel.

6.3.6.3 Entre technologies et processus


La scurit informatique est un domaine principalement mthodologique et technique. La tentation est grande, et lexprience quotidienne le prouve, de conserver une approche par les outils. Vous avez un risque X, jai loutil Y quil vous faut . Discours classique doffreur, qui possde bien des avantages : Il donne bonne conscience au client qui pense mettre en uvre les moyens adapts. Il donne de lactivit aux experts de lentreprise et aux prestataires qui peuvent justifier leur rle et leurs alertes . Il dveloppe un march de produits essentiellement amricains. Malgr ce dveloppement marketing et cette profusion doutils, la scurit des entreprises sen porte-t-elle mieux ?. Il nous faut sans doute reprendre le travail et ici encore rentrer dans une

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

81/98

Livre ouvert sur la scurit approche qualit . Quels sont les processus de scurit essentiels, vitaux que doit possder lentreprise pour couvrir ses risques ? Nous retombons encore une fois sur les bonnes pratiques qui se dclineront quasimcaniquement en processus et non pas en outils techniques. Bien sr ils existent et sont fort utiles mais ils ne peuvent rentrer dans une approche politique sans de nombreux pr-requis souvent oublis.

6.3.6.4 Entre rgles et procdures


Elaborer des rgles et des bonnes pratiques dmontre la connaissance des risques et la volont de les grer. Le danger des bonnes pratiques, cest dlaborer, de proposer des rgles fonctionnelles ou oprationnelles mais qui nindiqueront pas comment il faut les respecter voire les appliquer. Les bonnes pratiques nont de sens que si des procdures adaptes aux rgles et aux processus sont dfinies, formalises et implmentes. Combien dentreprises possdent des procdures de cyber-scurit formelles et maintenues ? Cest toute la difficult du choix politique des bonnes pratiques . Si elles restent des vux pieux, elles reviennent elles-aussi se donner bonne conscience. Do lintrt extrmement important quil faut porter la sensibilisation voire la formation.

6.3.6.5 Entre information et formation


Il y a une diffrence fondamentale entre se sentir responsable (sans forcment ltre) parce quon est inform et tre acteur, actif, parce que lon sait prcisment ce que lon doit faire et comment. Les efforts consentir dans un cas comme dans lautre sont forts diffrents. Les rsultats le sont aussi. Le cas de la gestion des mots de passe ou des virus est exemplaire. Combien de fois a-t-il t rpt, crit et re-crit quun code secret, parce quil est secret ne se communique personne ? Et pourtant De la mme faon, combien de fois a-t-il t dit et redit au sein des entreprises et par de nombreux mdias comment se propageaient les nouveaux virus ainsi que les consignes respecter ? Et pourtant La vritable question reste que chacun son niveau assume ses responsabilits, et cela commence au niveau des dirigeants. Se contenter dinformer le personnel est ncessaire mais nest plus suffisant. Les chartes nont de sens et seront satisfaisantes et utiles que si elles sont signes individuellement. Peut-on se contenter de transmettre un savoir ? Peut-on se satisfaire de collaborateurs qui ont plus quils ne sont ? Comment passer dune culture de l avoir une culture de l tre ? Lenjeu nest-il pas aujourdhui de former lensemble des collaborateurs en fonction de leur profil ce quils doivent faire quotidiennement pour rduire la ngligence humaine naturelle, limiter les capacits de malveillance et rellement responsabiliser ?

6.3.6.6 Entre sensibilisation et contractualisation


Nous pouvons aller plus loin que cette dichotomie sur linformation ou la formation qui vise responsabiliser en communiquant un savoir, une connaissance ou en apportant des comptences, un savoir-faire. Lobjectif est-il de se satisfaire dune sensibilisation, une formation de surface ou de rechercher une vritable responsabilit professionnelle et contractuelle. Aujourdhui, nous sommes bien obligs de considrer que seule une vritable contractualisation des droits et devoirs de chaque acteur est rendue ncessaire. Comment peut-elle se mettre en uvre ? Tout dabord au sein du contrat de travail, puis du rglement intrieur comme nous lavons vu plus haut. Mais aussi sous la forme de clauses contractuelles que lentreprise labore avec ses fournisseurs. Nous pouvons schmatiser ces intervenants externes en trois catgories : les accords de confidentialit applicables tous acteurs et tout contexte les engagements de scurit des services sous traits les exigences de scurit pour lhbergement de sites informatiques et services Internet

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

82/98

Livre ouvert sur la scurit les engagements contractuels des parties dans le cadre des contrats de prestation de services

6.3.6.7 Entre concentration et dcentralisation


Finalement, pour mettre en uvre cette politique, lentreprise doit se dterminer clairement dans le domaine de lorganisation. Une approche centralisatrice , concentre, des missions et des acteurs prend un sens dans les petites structures, mono-mtier et dont les implantations sont limites par exemple une rgion ou un pays. Nanmoins, sil existe une entit centrale responsable des aspects politiques , il nest pas inutile de prvoir des correspondants dcentraliss sur le terrain dont la mission non permanente sera danimer, de conseiller et de contrler au quotidien la mise en uvre de la rglementation. A lautre extrme, dans les grands groupes et les multinationales, prsentes sur un ou plusieurs continents, et qui exercent leurs activits dans plusieurs mtiers, une approche centralise reste possible mais devient trs dlicate. Une approche dcentralise ne doit pas omettre le devoir du dirigeant voire de lactionnaire. Comment alors concilier lexpression dune volont commune, unique et la mise en uvre adapte, efficace, respectueuse des diffrences dans les entits et les mtiers, le tout en vitant les redondances, incohrences et dpenses superflues ?

6.3.7

Synthse
Les meilleures pratiques sont avant tout des exigences qualit et si elles rpondent des menaces, ne ncessitent pas fondamentalement de mesures de risque. Ne pas faire, nest-ce pas tout simplement tre inconscient voire irresponsable ? Scurit et qualit des infrastructures ne font plus quun. Avoir une approche stratgique du risque, laborer des textes de politique sont importants mais non suffisants. Lensemble des acteurs doit connatre et appliquer des consignes adaptes cette rglementation. Ne pas informer et former ses collaborateurs et ses prestataires, voire ses clients des droits et devoirs de chacun relve si ce nest de lincohrence, de lerreur. A lheure de la sous-traitance des systmes dinformation, des rseaux et de leur scurit, lentreprise doit sadapter en termes de technologies, de processus, doffreurs. Omettre les aspects juridiques de la scurit dans ses contrats fournisseurs est une faute parfois lourde de consquence. Avoir confiance dans ses technologies, ses hommes et ses fournisseurs, l se situe lavenir de la scurit. Mais quest-ce quun offreur de confiance ? Peut-on acheter de la confiance ? Ce concept essentiel nous ramne finalement au principe fondateur de la scurit, la science du secret quest la cryptologie, dans ses deux dclinaisons fondamentales : Pour la confidentialit des informations qui sadresse la vie prive, la guerre conomique Pour la signature lectronique et les paiements scuriss qui sadresse au monde de lebusiness et de le-commerce

6.4 6.5 6.6

LES RESPONSABILITES ET LES ACTEURS DE LENTREPRISE, EXTERNALISER OU INTERNALISER ?


Partie prise en charge par Philippe Recoupp (COGICOM)

LE CALCUL DU RETOUR SUR INVESTISSEMENT DE LA SECURITE (ROI)


Partie prise en charge par Juan Antonio Hernandez (No Scurit)

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

83/98

Livre ouvert sur la scurit

7
7.1

LES CERTIFICATIONS
LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS)
Partie traite provisoirement par Grard Pliks (EADS)

Les instances nationales officielles telles que la DCSSI en France, organisme inter ministriel dpendant des services du Premier Ministre (Secrtariat Gnral de la Dfense Nationale) apportent la garantie quun outil de scurit est lui-mme scuris. Cette Direction Centrale pour la Scurit des Systmes dInformation dlivre des certificats qui attestent du srieux des phases de dveloppement des produits, de leur aptitude remplir les fonctions de scurit dans des conditions dfinies et du degr de confiance quon peut accorder au produit certifi. Des socits franaises, les CESTI (Centre d'Evaluation de la Scurit des Technologies de l'Information) expertes dans les travaux de validation des produits et bien sr indpendantes de tout constructeur, sassurent en amont de la conformit des produits de scurit candidats aux certifications et aux exigences des degrs de confiance que les cibles values souhaitent atteindre. Elles portent ensuite le dossier de certification auprs de la DCSSI qui signe et dcerne le certificat de conformit. Ainsi, les socits utilisatrices peuvent accorder leurs solutions de scurit un degr de confiance prcisment dfini par un certificat dans une chelle qui comprend six niveaux pour la certification ITSEC (Information Technology Security Evaluation Criteria) et sept niveaux pour la certification Critres Communs (EAL1 EAL7) . Les constructeurs peuvent alors prouver la qualit de leurs produits de scurit par un certificat officiel, aprs une validation effectue par des centres dexpertises franais agrs par cet organisme. Cette certification apporte lassurance que tout au long de la phase de dveloppement des produits, puis dans les tests de validation, les failles les plus insidieuses donc les plus dangereuses que peut comporter tout logiciel nentachent pas les produits de scurit certifis un niveau raisonnable sur une cible de scurit suffisamment large. La scurit des systmes dinformations obtenue par des firewalls, VPN, sondes de dtection dintrusion, systmes dauthentification forte ne sera pas compromise par des portes drobes ventuelles caches dans ces logiciels car elles auraient t dceles et bien entendu supprimes au cours de la conception et de lvaluation de ces produits.

7.2 7.3 7.4

L'ISO17799
Partie prise en charge par Anne Coat (AQL)

LEVALUATION DE SECURITE PAR LE BIAIS DE L'ISO 21827


Partie prise en charge par Anne Coat (AQL)

LA CERTIFICATION AUX ETATS UNIS


Auteur : Jean-Philippe Bichard (NetCost&Security) redaction@netcost-security.fr

A la suite des attentats du 11 septembre les USA ont encore considrablement accru leurs moyens de recherche dans ce domaine pour viter ce qu'ils nomment un "digital Pearl Harbor. LEurope a son niveau tente de sorganiser.

7.4.1

Le NIAP US
Lors de la confrence RSA (2004.rsaconference.com) qui s'est ouverte ce 23 Fvrier San Francisco, le NIAP (niap.nist.gov) proposait un tutoriel sur les critres communs (norme ISO 15408). Jean Schaffer, directrice du NIAP, a expos les objectifs du gouvernement amricain qui impose l'valuation de tous les produits de scurit (IA products) et des produits incluant des fonctions de scurit (IA-enabled products), achets par tout organisme public aux USA. Le NIAP est le National Information Assurance Partnership, l'quivalent amricain du CESTI au sein de la DCSSI en France. Le NIAP est n d'une collaboration du NIST et de la NSA pour promouvoir

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

84/98

Livre ouvert sur la scurit ce qu'ils appellent "security testing", "security evaluation", et "security assessment", la fois auprs des diteurs et auprs des consommateurs. Le NIAP a dfini des profils de protections pour tous les principaux produits de scurit : firewalls, botiers de chiffrement et IDS, et poursuit cette initiative pour tous les produits incluant des fonctions de scurit comme les routeurs, les serveurs de messagerie ou les systmes d'exploitation. Ces profils rpondent aux besoins du gouvernement amricain et l'valuation est obligatoire pour qu'un produit sur tagre puisse tre achet. Lorsqu'un profil de protection existe l'valuation doit tre faite obligatoirement vis--vis du profil de protection, ou avec une cible de scurit qui inclue le profil de protection. Le NIAP est bien sr dans l'accord de reconnaissance mutuelle qui lit les 8 pays ayant un schma de certification et les 18 autres qui reconnaissent la certification, mais l'usage obligatoire des profils de protection amricains est une limite majeure cette reconnaissance internationale. Officiellement depuis Juillet 2002, l'obtention du certificat d'valuation est obligatoire, et la politique du gouvernement US n'a jamais change. Cependant les vendeurs ont crus que le gouvernement ne respecterait pas sa politique de n'acqurir que des produits valus aux critres communs et il se sont dit qu'il tait urgent d'attendre et n'ont pas lanc d'valuation, mais Jean Schaffer nous assure que le gouvernement a respect sa promesse et interdit l'achat de produits non valus.

7.4.2

Le DCA
Pour respecter le code des marchs public amricains, il manquait des produits valus, alors le NIAP a accept de faire le DCA : Deferred Compliance Authorization. Chaque institution amricaine peut faire une liste des produits pas encore valus, qui pourront rpondre aux appels d'offre sur l'engagement formel d'une valuation russie dans un dlai fix. Cette mthode ferme peut expliquer la forte croissance de l'valuation aux USA. Si le nombre de laboratoires d'valuation agrs n'a pas beaucoup chang, 7 en 2003 et 8 en 2004, le nombre de produits en cours d'valuation est en croissance constante. Le NIAP a 53 certificats en cours de validit, 38 avec des cibles d'valuation et 17 avec des profils de protection. Il y a au 23 Fvrier 2004, 73 produits en cours d'valuation aux USA, 70 avec une cible de scurit spcifique et 3 vis-vis d'un profil de protection. Il y a eu aussi 16 certificats qui ont t annuls, abandonns ou remplacs, et 40 valuations qui n'ont pas ts leur terme soit en tout 182 dossiers au NIAP. Il y a eu des abandons en cours d'valuation, des cas o la relation troite ncessaire entre l'diteur et le laboratoire d'valuation n'a pas march, etc. Jean Schaffer prcise que le schma de certification amricain est une excellente opportunit pour les produits amricains de conqurir le monde et faire des affaires. En ce qui concerne le processus, un diteur souhaitant tre certifi doit choisir un laboratoire d'valuation parmi les 8 agrs. Ce dernier doit valider la cible d'valuation de l'diteur, et ensuite ils viennent voir le NIAP qui runi tout le monde et lance l'valuation. Jean Schaffer rappelle que plus de 90% des valuateurs n'ont pas respect l'agenda prvu et qu'il ne sert rien en tant que vendeur d'tre agressif avec l'valuateur, le NIAP vrifie en permanence que le laboratoire ne subit pas de pressions du vendeur et n'arrondit pas les angles. Aux USA l'valuation la plus courte a dure 3 mois, et la plus longue 3 ans. Pour grer l'pineux problme des correctifs et des nouvelles versions d'un produit par rapport une valuation, un nouveau processus de maintenance de l'valuation a t approuv de manire internationale en Janvier 2004. Lorsqu'un certificat a t mis sur un produit, lors de la sortie de correctifs ou d'une volution du produit, il faut fournir au NIAP un rapport analysant les impacts des nouveauts par rapport l'valuation dj faite. Il faut prouver au NIAP que les changements effectus n'affectent pas l'valuation ralise et l'assurance de celle-ci. La grande diffrence entre une valuation et sa maintenance, est que l'diteur ne doit pas retourner voir le laboratoire, il s'adresse directement au NIAP. Le NIAP va revoir si ncessaire le laboratoire qui a fait l'valuation. Si le NIAP considre que les correctifs ou volutions n'affectent pas le certificat obtenu il publie un ajout sur son site web

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

85/98

Livre ouvert sur la scurit prcisant les nouvelles versions du produit concernes. Si le NIAP n'est pas sr, il demande une rvaluation par le laboratoire qui va uniquement regarder les changements raliss. Cette rvaluation demande un mois en gnral, l'issue de laquelle l'diteur obtient un nouveau certificat comme s'il avait tout recommenc depuis le dbut. La seule exception l'valuation par le schma du NIAP est celle des produits cryptographiques dont la partie cryptographique doit tre value par le NIST vis--vis du standard FIPS140 en pralable une valuation aux critres communs. Visiblement plusieurs diteurs ont souffert, ils considrent l'valuation trop conceptuelle et pas assez raliste, trop lente et pas adapte aux produits renouvels tous les 3 mois. Il n'en demeure pas moins que le processus d'valuation vis--vis des critres communs semble dcoller aux USA. Prudence cependant, en rponse une question, Ken Eliott, valuateur senior, a confirm qu'il tait possible qu'un produit soit certifi avec une porte-drobe permettant l'diteur d'effectuer un diagnostic distance.

7.4.3

La cration de lENISA Europenne


En 2003, le parlement europen donne son accord pour la cration de lENISA (Agence europenne pour la scurit des rseaux et de linformation). A lpoque, Erkki Liikanen, commissaire europen l'entreprise et la socit de l'information, a comment la dcision en dclarant: "La confiance et la scurit sont des lments cruciaux dans la socit de l'information et, en tablissant l'ENISA, nous poursuivons notre uvre d'instauration de la "culture de la scurit" que nous nous tions proposs de crer dans le plan d'action eEurope 2005. Je suis trs satisfait que le Parlement et les tats membres aient compris l'urgence de mettre en place cette agence et soient parvenus un accord en premire lecture sur la proposition. Toutes les parties concernes par les questions de scurit des rseaux et de l'information se sont prononces en faveur d'une collaboration plus troite, et l'ENISA fournit l'infrastructure ncessaire cet effet."

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

86/98

Livre ouvert sur la scurit

LA VEILLE SECURITE
Partie prise en charge par Olivier Caleff (Apoge Communications)

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

87/98

Livre ouvert sur la scurit

LES ENJEUX ECONOMIQUES DE LA SECURITE


Partie prise en charge par Jean-Philippe Bichard (NetCost&Security)

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

88/98

Livre ouvert sur la scurit

10
10.1

BIBLIOGRAPHIE ET REFERENCES
GENERAL
(Rf. 1) http://www.netcost-security.comhttp://www.mag-securs.com/ (Rf. 3) http://secuser.com (Rf. 4) http://www.zataz.com/ (Rf. 5) http://securiteinfo.com/ (Rf. 6) http://www.clusif.asso.fr/

10.2

ATTAQUES ET MENACES
(Rf. 7) http://www.hoaxbuster.com/

10.3

VOIP
(Rf. 8) http://www.forumvoip.com/ (Rf. 9) http://www.sipforum.org/ (Rf. 10) http://www.voipwatch.com/ (Rf. 11) http://www.vonmag.com/ (Rf. 12) http://www.sipcenter.com/ (Rf. 13) http://www.voip-info.org/ (Rf. 14) http://www.iptel.org/ (Rf. 15) http://www.voip-news.com/ (Rf. 16) http://www.voip.org.uk/ (Rf. 17) http://vomit.xtdnet.nl/

10.4

WI-FI
(Rf. 18) ART (Rf. 19) WECA http://www.art-telecom.fr/ http://www.weca.net/OpenSection/index.asp

(Rf. 20) WLANA : http://www.wlana.org/index.html (Rf. 21) IEEE 802.11 : http://grouper.ieee.org/groups/802/11/ (Rf. 22) Wi-Fi Planet : http://www.wi-fiplanet.com/

(Rf. 23) Wi-Fi Networking News : http://wifinetnews.com/ (Rf. 24) Paul Mhlethaler : 802.11 et les rseaux sans fil (Eyrolles) (Rf. 25) HiperLAN/2 : (Rf. 26) Bluetooth : (Rf. 27) UnStrung : http://www.etsi.org/ http://bluetooth.com http://www.unstrung.com/

(Rf. 28) Rappels de thorie radio http://www.swisswireless.org/wlan_calc_fr.html (Rf. 29) Microsoft Technology Center : http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx (Rf. 30) O'Reilly - comparaison technique de TTLS et PEAP http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

89/98

Livre ouvert sur la scurit (Rf. 31) IEC - Tutoriel EAP pour 802.1X : http://www.iec.org/online/tutorials/acrobat/eap_methods.pdf

10.5

INGENIERIE SOCIALE
(Rf. 32) Avis du CERT Social Engineering http://www.cert.org/advisories/CA-1991-04.html (Rf. 33) Bernz The complete social engineering FAQ http://www.morehouse.org/hin/blckcrwl/hack/soceng.txt (Rf. 34) Harl People hacking. The Psychology of Social Engineering (Rf. 35) Tims Social Engineering : Policies and Education a Must http://www.sans.org/infosecFAQ/social/policies.htm (Rf. 36) Gartner http://www3.gartner.com/gc/webletter/security/issue1

10.6

JURIDIQUE
(Rf. 37) http://www.clic-droit.com/ (Rf. 38) http://www.iteanu.com/ (Rf. 39) http://www.juriscom.net/ (Rf. 40) http://www.murielle-cahen.com (Rf. 41) http://www.cnil.fr/ (Rf. 42) http://legifrance.gouv.fr

10.7

LOISIRS

10.7.1 Livres
(Rf. 43) Lours et le dragon de Tom Clancy Comment un logiciel espion savre dterminant pour gagner la guerre entre les USA et la Russie dun ct et la Chine de lautre. (Rf. 44) Mademoiselle Chat de Frank et Vautrin (Fayard) Les services secrets allis essaient de voler la machine chiffrer allemande ENIGMA (Rf. 45) Pige sur le rseau de Philipp Finch (titre original : f2f) Presses de la Cit Un serial killer recrute ses victimes sur le Net. Intrusions, capture d'information, cheval de troie, vers, phreaking, vol de n de cartes de crdit (codeZ)... l'attaque informatique dans toute sa splendeur. (Rf. 46) Histoire des codes secrets de Simon Singh De l'gypte des pharaons l'ordinateur quantique (Rf. 47) Da Vinci Code de Dan Brown Un mchant albinos, une jolie cryptographe et quelques espions du Vatican pour dchiffrer un code secret et dcouvrir l'un des plus grands mystres de notre temps.

10.7.2 Films
(Rf. 48) U571 (Universal studios) Comment lquipage dun sous-marin amricain sempare de la machine ENIGMA en abordant un sous-marin allemand en perdition. (Rf. 49) Le rideau dchir (Alfred Hitchcock) Les secrets taient cachs dans une note de musique. Bel exemple de stganographie.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

90/98

Livre ouvert sur la scurit (Rf. 50) Contact (Robert Zemeckis) Encore un bel exemple de stganographie : un vieux film d'actualit livre ses secrets (Rf. 51) Wargames (John Badham) David commence par infiltrer le rseau informatique de son lyce et finit par celui du Pentagone. A quoi tient le dclenchement de la 3 guerre mondiale ! (Rf. 52) Matrix (Andy Wachowski) Inutile de prsenter....

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

91/98

Livre ouvert sur la scurit

11
11.1

GLOSSAIRE
ACRONYMES
AP ART BAS BLR BPSK CCK DSSS EAP EAP-TLS EAP-TTLS ESS ETSI FHSS IBSS IDS IEEE IETF L2TP LAN LEAP MD5 MEGACO MGCP NAS OFDM PAN PBX PEAP PIRE PPTP PSK QAM QPSK RAS RLAN ROI RTCP RTP SCTP SDP SIP SSID Access Point Autorit de rgulation des Tlcommunications. Broadband Access Server Boucle Locale Radio Binary Phase Shift Keying Complementary Code Keying Direct Sequence Spread Spectrum Extensible Authentication Protocol EAP with Transport Layer Security EAP with Tunnelled Transport Layer Security Extended Service Set European Telecommunications Standard Institute Frequency Hopping Spread Spectrum Independent BSS Intrusion Detection System Institute of Electrical & Electronic Engineers Internet Engineering Task Force Layer 2 Tunneling Protocol Local Area Network Lightweight EAP Message Digest 5 Media Gateway Controller Media Gateway Control Protocol Network Access Server Orthogonal Frequency Division Multiplexing Personnal Area Network Private Branch Exchange Protected EAP Puissance Isotrope Rayonne Equivalente Point-to-Point Tunneling Protocol Pre-Shared Key Quadrature Amplitude Modulation Quadrature Phase Shift Keying Remote Access Server Radio LAN Return on Investment Realtime Control Protocol RealtimeTransport Protocol Stream Control Transmission Protocol Session Description Protocol Session Initiation Protocol Service Set Identification

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

92/98

Livre ouvert sur la scurit SSRC STA TCP/IP TLS TTLS VLAN VoIP VPN WAN WECA WISP WLAN WLL WMAN VoWLAN WPA WPAN Synchronization source identifier (RTP header) Station Transmission Control Protocol/Internet Protocol Transport Layer Security Tunneled TLS Virtual LAN Voice over Internet Protocol Virtual Private Network Wide Area Network. Utilis parfois la place de WLAN Wireless Ethernet Compatibility Alliance Wireless ISP Wireless LAN Wireless Local Loop Wireless MAN Voice over WLAN Wi-Fi Protected Access Wireless PAN

11.2

DFINITIONS
DES, 3DES Data Encryption Standard : Chiffrement symtrique qui permet dassurer le chiffrement des donnes. Le DES a une longueur de cl utile de 56 bits, le triple DES de 168 bits. 802.11a Autre variante du protocole 802.11, galement qualifi Wi-Fi, mais oprant dans une autre bande de frquences daccs encore trs limit en France 802.11b, 802.11g Variantes du protocole 802.11 adoptes par les produits courants "WiFi" et qui correspondent des techniques de modulation diffrentes, dont la diffrence tangible pour l'utilisateur se traduit par le dbit maximum. 802.11i Extension du protocole 802.11 pour la scurit. AAA Authentication, Autorisation and Accounting : Un serveur AAA est un serveur dauthentification forte qui dlivre les autorisations daccs et gnre les lments comptables. ACL Access Control List : Liste dadresses ou de ports fonctionnant comme un filtre pour grer les autorisations/interdictions daccs. AES Advanced Encryption Standard : Mthode de chiffrement symtrique, d'origine belge, utilise par larme amricaine, plus moderne que le DES, plus rapide, dont les cls sont plus longues. AH Authentication Header, champ ajout par lIPSEC devant chaque paquet IP pour permettre son authentification Appliance Plate-forme matrielle sur laquelle sont prchargs les logiciels de scurit (Firewall et VPN, parfois aussi dtecteur dintrusion). Les appliances peuvent tre des PC standards modle tour, ou des racks 1u et 2u, ou encore des botiers spcifiques. ASLEAP Attaque de type dictionnaire sur LEAP BLR Boucle Locale Radio Booter Lancer les services du systme dexploitation pour que les applications qui les utilisent soient prtes fonctionner. Le boot (amorage) se fait lallumage du poste de travail et du serveur. BPSK Binary Phase Shift Keying Broadcast Diffusion : mission depuis un point vers toutes les stations susceptibles de dtecter le signal.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

93/98

Livre ouvert sur la scurit BSS BSSID Centrino Basic Service Set : Ensemble form un point d'accs et les stations situes dans sa zone de couverture radio lectrique. Basic Service Set IDentifier : identifiant dun point daccs, concrtement son adresse MAC. Une offre matrielle dINTEL, compose d'un processeur (Pentium-M), d'un jeu de composants associ (le 855) et d'un module Wi-Fi qui assure l'mission et la rception des donnes (contrleur RLAN Intel PRO/2100). Computer Emergency Response Team. Rseau mondial de centres qui rceptionne et diffuse les alertes de scurit et les vulnrabilits des systmes. Voir sur www.cert.org. Fichier contenant divers renseignements qui permettent dauthentifier un utilisateur, avec en particulier son nom, sa socit, lautorit de confiance qui a sign ce certificat, les dates de validit du certificat, la cl publique qui va permettre de chiffrer / dchiffrer lors dun chiffrement asymtrique et une partie chiffre qui permet den contrler lorigine. Ou token USB. Objet amovible contenant un chip dans lequel sont stocks les certificats et les cls de chiffrement. La diffrence avec une carte puce est que la cl USB se positionne dans le port USB que tous les postes de travail possdent en standard et ne ncessite donc pas dacqurir un lecteur additionnel. Le contenu du chip de la cl USB ne peut tre recopi, ce qui offre une scurit plus grande que le stockage de la cl prive sur un disque dur ou sur une disquette. La Commission Nationale de lInformatique et des Liberts est une autorit administrative indpendante qui toute action de constitution de liste nominative doit tre communique. Voir www.cnil.fr Le codec identifie le mode de numrisation et de compression du signal (la voix dans notre cas) se distinguent par leurs caractristiques : qualit du signal sonore, bande passante et capacit de traitement CPU requise. Les codec les plus courants sont des recommandations ITU : G.711 (64 kb/s a & law) ; G.723.1(5,3/6,3 kb/s 30 ms frame size) ; G.729 (8 kb/s 10 ms frame size) ; mais aussi GSM (13+ kb/s) ; Speex (2,15 - 44,2 kb/s) (Switch) : quipement qui aiguille les paquets dun segment vers un autre en se basant sur un mcanisme dadressage. (Hub) : quipement qui relie les diffrents segments physiques dun rseau en toile. Le concentrateur laisse passer tous les flux sans contrle. Voir firewall. Cyclic Redundancy Check : rsultat dun algorithme, destin vrifier lintgrit dun message et ventuellement dtecter des erreurs de transmission. Data Encryption Standard. Algorithmes de chiffrement symtriques. Le DES utilise une cl de 56 bits, le 3DES utilise trois cls en srie de 56 bits, qui donnent une cl virtuelle de chiffrement de 168 bits. Appel Java qui ouvre un tunnel chiffrant depuis un poste client vers un RAS. DeMilitarized Zone. Un ou plusieurs rseaux partant dun firewall et qui ne sont ni le rseau externe non protg, ni le rseau interne trs protg. Cest une zone intermdiaire avec une politique de scurit particulire, dans laquelle on place souvent le serveur Web institutionnel de lentreprise, le serveur anti-virus et le serveur de messagerie. Deny of Service (dni de service) : Attaque qui consiste rendre un rseau inoprant par saturation ou destruction de ses ressources. Distribution System : Rseau dinfrastructure qui permet de relier plusieurs BSS pour constituer un ESS. Le systme de distribution peut tre un rseau filaire, un cble entre deux points d'accs voire un rseau.

CERT

Certificat

Cl USB

CNIL

Codec

Commutateur Concentrateur Coupe-feu CRC DES 3DES

Dialer VPN DMZ

DoS DS

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

94/98

Livre ouvert sur la scurit ESP Encryption Standard Protocol, champs ajouts devant et derrire chaque paquet IP pour permettre lauthentification et le chiffrement / dchiffrement de ces paquets. Extended Service Set : Ensemble de BSS relis entre eux par systme de distribution (voir DS) Extended Service Set IDentifier : Identifiant servant de reconnaissance mutuelle entre un rseau et ses terminaux, souvent abrg en SSID. Solution logicielle ou matrielle place en coupure entre deux ou plusieurs rseaux et qui contrle tous les changes entre ces rseaux pour ne laisser passer que les changes autoriss par la politique de scurit de lentreprise quil protge. Voir firewall. Recommandation ITU (Study Group 16) pour la transmission temps-rel de vido et de donnes sur un rseau commutation de paquet, traditionnellement applique la visio-confrence sur IP, mais aussi la phonie. Pirate qui attaque votre rseau par mchancet, bravade, divertissement ou simplement parce que cest son travail. On trouve de plus en plus de hackers non spcialistes mais quips de logiciels dattaques qui peuvent tre trouvs gratuitement sur lInternet, et dont ils nont pas connatre finement le comportement pour les utiliser. Fausse alerte de virus ou de ver, souvent un canular qui ne repose sur aucune menace relle mais gnre nanmoins la peur, cause des pertes de temps et empoisonne la vie des utilisateurs. Voir en http://hoaxbusters.ciac.org/ Rseau radio ouvert au public pour offrir l'accs l'Internet des utilisateurs de passage. Hyper Text Transfert Protocol. Protocole applicatif dfinissant les changes entre un client Web (tel que lInternet Explorer ou le Netscape Navigator) et un serveur Web tel que lIIE ou Apache. Internet Key Exchange, mthodes de lIPSec, bases sur le chiffrement asymtrique, pour changer la cl de chiffrement symtrique. Rseau interne de lentreprise dont les applications utilisent les protocoles rseaux de lInternet (protocoles IP). Internet Protocol Security, suite de protocoles et mthodes qui ajoutent des fonctionnalits dauthentification et de chiffrement la version actuelle du protocole IP, lIPv4. La prochaine version des protocoles IP, lIPv6, contient dorigine toutes ces fonctionnalits de scurit. Le Lightweight Directory Access Protocol est un protocole IP qui dfinit comment accder des services en ligne d'annuaire. Message Integrity Code : algorithme utilis par TKIP pour calculer un code dintgrit dun paquet. Network Address Translation, mthodes pour cacher les adresses IP dun rseau protg, en les modifiant pour prsenter des adresses diffrentes lextrieur. Il y a la NAT statique qui fait correspondre une adresse publique chaque adresse interne prive, et la NAT dynamique qui attribue une adresse prise dans un pool limit dadresses publiques chaque adresse interne, jusqu puisement des adresses disponibles. Network Information Centre : Autorit qui attribue des plages dadresses Internet et des noms de domaine aux utilisateurs. Network Interface Card : Carte dadaptation installes dans un ordinateur et qui fournit un point de connexion vers un rseau. Parcelle lmentaire dinformation dans laquelle les donnes sont transportes dans les rseaux IP. Un paquet IP se compose dune partie en-tte, et dune partie donne.

ESS ESSID Firewall

Garde barrire H.323

Hacker

Hoax

Hot Spot HTTP

IKE Intranet IPSec

LDAP MIC NAT

NIC NIC Paquet IP

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

95/98

Livre ouvert sur la scurit PIN Personal Identification Number : Code secret quatre chiffres (ou plus) qui permet dactiver le dispositif dauthentification dune cl USB ou dune carte puce. Le trou d'une aiguille correspond dans le cas du Firewall la brche trs limite qui est cre de manire temporaire pour laisser passer une connexion de son ouverture sa clture. Public Key Infrastructure, infrastructure cl publique qui se compose de diverses autorits (de certification, denregistrement) et dun systme de distribution de cls asymtriques. Dun point de vue logiciel, numro caractrisant une application (par exemple 80 est un numro de port affect au protocole web HTTP). Dun point de vue matriel, un port caractrise un connecteur physique par exemple une cl dauthentification sadapte sur un port USB. Poste qui peut accder un service sans se raccorder par cble.. Poste qui peut accder un service depuis nimporte quel point cbl. Srie de protocoles dfinis par les RFC (Requests for Comments) et sur lesquels les changes Internet et par extension Intranet reposent. Logiciel entre lutilisateur et le serveur dapplication, qui masque cette application en se faisant passer pour le serveur Remote Authentication Dial-In User Service : Protocole normalis qui dcrit la communication entre un RAS et un serveur AAA nomm RADIUS. Rseau local (LAN) dont tout ou partie de l'infrastructure repose sur une technologie radio. Du nom des inventeurs : Rivest, Shamir, Adelman. Le RSA est une mthode dauthentification et de chiffrement base de cls asymtriques bas sur des cls de 1024 bits ou 2048 bits. Le RSA est souvent utilis pour une authentification mutuelle et un change dune cl de chiffrement symtrique. Rseau Tlphonique Commut : La connexion RTC permet de se connecter Internet partir de n'importe quelle prise tlphonique en connectant un modem entre l'ordinateur et la ligne. Les modems RTC offrent un dbit maximum de 56 Kbps (ou Kb/s pour kilo bits par seconde). Session Detail Records, correspond la notion de tickets de consommation, directement dduit des communications ayant eu lieu, et permettant donc la facturation. Simple Mail Transfert Protocol. Protocole applicatif sur lequel repose la messagerie sur lInternet. Sonde logicielle destine analyser le trafic sur un rseau. Les hackers les utilisent pour rcuprer la vole des informations sensibles (par exemple mots de passe) l'insu des administrateurs rseau. Textuellement, commutateur logiciel, correspond au serveur de l'architecture VoIP qui regroupe les fonctions autrefois ralises par l'autocommutateur (PABX), telles que la messagerie vocale, les fonctions de renvois, mais aussi l'ACD ou l'IVR. Mthode de piratage qui consiste usurper l'adresse IP d'un ordinateur du systme attaquer, de manire pouvoir l'accder de manire transparente. Service Set IDentifier : Drapeau servant de reconnaissance mutuelle entre un rseau et ses terminaux Temporal Key Integrity Protocol : Protocole de chiffrement utilis par WPA Cl USB : objet amovible contenant un chip (une puce) dans lequel sont stocks les certificats et les cls de chiffrement. La cl USB se positionne dans le port USB des postes de travail. Son contenu ne peut tre recopi et la cl asymtrique ne quitte jamais le token USB.

Pinhole

PKI

Port

Poste mobile Poste nomade Protocoles IP Proxy RADIUS RLAN RSA

RTC

SDR

SMTP Sniffer

Softswitch

Spoofing SSID TKIP USB

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

96/98

Livre ouvert sur la scurit VPN Virtual Private Network : Tunnel chiffrant entre deux rseaux protgs bti sur un rseau non-protg et qui, aprs authentification mutuelle des deux bouts du tunnel, chiffre les transactions qui doivent ltre et en assure lauthenticit, la confidentialit et lintgrit. Ensemble de symboles tracs par les hackers pour indiquer la prsence dun rseau WiFi. Technique utilise par les hackers, qui consiste se dplacer avec un ordinateur portable et un systme de rception radio, afin de dtecter la prsence de rseaux WiFi. Le systme peut tre complt par un GPS pour localisation automatique. Wireless Equivalent Privacy : mcanisme dauthentification et de chiffrement standard du protocole 802.11 Label dlivr par le WECA qui garantit l'interoprabilit des quipements radio rpondant au standard 802.11. Par extension de langage, dsigne le standard lui-mme. WiFi Protected Access : mcanisme dauthentification et de chiffrement prconis comme solution dattente de 802.11i, en alternative au WEP

War-chalking War-driving

WEP WiFi

WPA

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

97/98

Livre ouvert sur la scurit

Echec et Mat

Copyright etna 2004 -

La reproduction et/ou la reprsentation de ce document sur tous supports est autorise la condition d'en citer la source comme suit etna 2004 - http://www.etnafrance.org/ressources/securiteip/booklet-etna.pdf L'utilisation but lucratif ou commercial , la traduction et l'adaptation de ce document sous quelque support que ce soit est interdite sans la permission crite de letna.

28 juillet 2004

etna Voir en dernire page pour les droits de reproduction

98/98