Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
28 juillet 2004
1/98
Nom
Bichard de Groot Ferrero Franchin Germain Habert Karsenti Peliks Refalo Thibaud
Prnom
Jean-Philippe Max Alexis Franck Michle Michel Thierry Grard Pierre-Luc Alain
Socit
NetCost&Security Gemplus OrbitIQ France Telecom ComXper Netcelo CheckPoint EADS Comprendre et Russir F5 Networks
ml
redaction@netcost-security.fr max.de-groot@gemplus.com alexisf@OrbitIQ.com franck.franchin@francetelecom.com comxper@free.fr michel.habert@netcelo.com thierry@checkpoint.com gerard.peliks@eads-telecom.com plr@comprendre-et-reussir.com a.thibaud@F5.com
Les illustrations sont luvre de Laurent Germain (laurentgermain@yahoo.fr) Le dveloppement de ce livre ouvert est coordonn par gerard.peliks@eads-telecom.com tel : 01.34.60.88.82 06.80.36.51.69
28 juillet 2004
2/98
28 juillet 2004
3/98
Livre ouvert sur la scurit lvnement networking de notre commission, en dcembre 2003, sur le thme des menaces sur les rseaux sans fils, a trait les parties Ingnierie Sociale , Cyber Racket et Scurit et Mobilit . Michel Habert, Directeur Technique de Netcelo avait prsent les VPN IPSec lors de notre vnement networking davril 2004 sur les postes mobiles. Il traite du mme sujet pour ce booklet et aussi de la gestion centralise de la scurit. Alain Thibaud, Directeur Technique Europe du Sud de F5 Networks avait prsent ce mme vnement les VPN SSL et les traite dans cet ouvrage. Jean-Philippe Bichard, Rdacteur en chef de la trs intressante revue hebdomadaire en ligne NetCost&Security nous a fait bnficier dune prsentation quil avait faite dans le cadre du colloque EPF 2004 sur la certification des logiciels aux Etats Unis. Thierry Karsenti, Directeur Technique EMEA de CheckPoint nous a ouvert laccs aux white papers de CheckPoint que nous avons exploits dans le chapitre la scurit de bout en bout . Max de Groot, Technical Marketing WLAN Business Line chez GEMPLUS a commenc une entre sur lauthentification forte et explique trs clairement pourquoi linformation contenue dans le chip dune carte puce est scurise. Nous avons trouv un artiste pour illustrer nos textes. Merci Laurent Germain qui nous apporte son talent et son humour pour que notre booklet soit certes instructif, mais aussi plaisant lire. Merci aussi celles et ceux qui se sont dclars trs enthousiastes pour participer llaboration de cet ouvrage et dont nous attendons impatiemment les contributions en textes et en images. Et noublions pas ceux qui ne tarderont pas rejoindre les contributeurs de ce booklet, car il ne sera jamais trop tard pour participer. Grard Pliks , EADS Defence and Communications Systems
Le mot du hacker
Ce qui me gnerait le plus, cest que vos utilisateurs perdent leur navet face aux menaces de lInternet. Quand jattaque votre systme dinformation, soit pour jouer avec, soit pour vous nuire, soit pour lutiliser comme relais pour raliser dautres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension scurit entrait dans lesprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que jencourre de lourdes sanctions pnales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tche encore plus difficile et surtout plus risque.
28 juillet 2004
4/98
...1
LA CYBERCRIMINALITE ......................................................................................................................................8 1.1 LES MENACES, ......................................................................................................................................................8 1.2 LES VULNERABILITES ............................................................................................................................................9 1.2.1 Les faiblesses du Web ......................................................................................................................................9 1.2.2 Les faiblesses de la messagerie......................................................................................................................10 1.3 LES ATTAQUES ....................................................................................................................................................10 1.3.1 Le vol de donnes...........................................................................................................................................10 1.3.2 Les accs non autoriss .................................................................................................................................10 1.3.3 Les dnis de services......................................................................................................................................10 1.3.4 Les attaques sur la messagerie ......................................................................................................................11 1.3.5 Les attaques sur le Web .................................................................................................................................11 1.3.6 Les attaques par systme dexploitation ........................................................................................................11 1.3.7 Les attaques combines .................................................................................................................................11 1.4 FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE, ................................................................................12 1.4.1 Face au virus Mydoom.A ...............................................................................................................................12 1.4.2 Les logiciels espions ......................................................................................................................................14 1.5 LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS,.......................................................................14 1.5.1 Les hoax .........................................................................................................................................................14 1.6 LES MENACES SUR LES POSTES NOMADES ...........................................................................................................14 1.7 LE CAS DU RESEAU SANS FIL............................................................................................................................15 1.7.1 La "rvolution" radio.....................................................................................................................................16 1.7.2 Les proccupations de lAdministrateur Rseau............................................................................................18 1.7.3 Risques et attaques.........................................................................................................................................18 1.8 LINGENIERIE SOCIALE ........................................................................................................................................22 1.9 LE CYBER RACKET ..............................................................................................................................................24 1.9.1 La prolifration des risques ...........................................................................................................................24 1.9.2 Les approches ................................................................................................................................................24 1.9.3 Un exemple ....................................................................................................................................................25 1.9.4 Les rgles suivre .........................................................................................................................................25
LES CONTRE-MESURES ET MOYENS DE DEFENSE....................................................................................26 2.1 LES FIREWALLS BASTION ...................................................................................................................................26 2.1.1 Les paramtres pour filtrer les donnes ........................................................................................................26 2.1.2 A quel niveau du paquet IP le filtrage doit-il se situer ? ...............................................................................27 2.1.3 Le masquage des adresses IP du rseau interne............................................................................................27 2.1.4 Les zones dmilitarises.................................................................................................................................27 2.1.5 Firewall logiciel ou firewall matriel ? .........................................................................................................28 2.1.6 En parallle ou en srie ? ..............................................................................................................................28 2.1.7 Sous quel systme dexploitation ? ................................................................................................................28 2.2 LE FIREWALL APPLICATIF....................................................................................................................................29 2.3 LE FIREWALL PERSONNEL ...................................................................................................................................29 2.4 LAUTHENTIFICATION FORTE, .............................................................................................................................29 2.4.1 Lauthentification et la chane de scurisation..............................................................................................29 2.4.2 Le rle de la carte puce dans lauthentification .........................................................................................30 2.4.3 Exemples actuels dutilisation de carte puce ..............................................................................................31 2.4.4 Conclusion .....................................................................................................................................................32 2.5 LE CHIFFREMENT, ...............................................................................................................................................32 2.6 LA STEGANOGRAPHIE .........................................................................................................................................33 2.7 LES VPN.............................................................................................................................................................33 2.7.1 Les VPN IPSec, ..............................................................................................................................................34 2.7.2 Le VPN-SSL ou laccs distant scuris nouvelle gnration........................................................................39 2.7.3 VPN-SSL ou laccs au rseau dentreprise ..................................................................................................43
28 juillet 2004
5/98
Livre ouvert sur la scurit 2.7.4 Anti-virus .......................................................................................................................................................44 2.7.5 Choisir entre un VPN IPSec et un VPN SSL ..................................................................................................44 2.8 LE CHIFFREMENT DES DONNEES SUR DISQUE.......................................................................................................44 2.9 LES INFRASTRUCTURES A CLE PUBLIQUE (PKI)...................................................................................................45 2.10 LA SIGNATURE ELECTRONIQUE ...........................................................................................................................45 2.11 LA DETECTION D'INTRUSIONS,.............................................................................................................................45 2.12 LES ANTI (VIRUS, SPAMS, SPYWARES),................................................................................................................46 2.13 SECURITE ET MOBILITE.......................................................................................................................................46 2.14 LES OUTILS DE CONTROLE ET DE SURVEILLANCE, ...............................................................................................47 2.15 LERADICATION DES LOGICIELS ESPIONS ............................................................................................................48 2.16 LES POTS DE MIELS..............................................................................................................................................48 3 LA GESTION DE LA SECURITE .........................................................................................................................51 3.1 LES ASPECTS DE VERIFICATION ET DAUDIT ........................................................................................................51 3.2 LA REMONTEE ET LA CORRELATION DES LOGS ....................................................................................................51 3.3 LA GESTION CENTRALISEE DE LA SECURITE ........................................................................................................51 3.3.1 Introduction ...................................................................................................................................................51 3.3.2 Caractristiques dun systme de gestion centralis de la scurit ..............................................................52 3.3.3 Le systme dadministration (SOC- Security Operations center) ..................................................................53 3.3.4 Les oprations................................................................................................................................................53 3.3.5 La surveillance...............................................................................................................................................54 3.3.6 La supervision................................................................................................................................................54 3.3.7 Le contrle .....................................................................................................................................................54 3.3.8 La scurit et ladministration du centre de gestion de la scurit ...............................................................54 3.3.9 Fonctionnement dun centre de gestion centralis de la scurit ..................................................................54 3.3.10 Garanties de scurit.................................................................................................................................55 3.3.11 Standards et Modles de rfrence utiles ..................................................................................................55 3.4 LA GESTION DES CORRECTIFS ET DES PATCH .......................................................................................................55 4 LES RESEAUX PARTICULIERS..........................................................................................................................56 4.1 APPLICATIONS A LA VOIX SUR IP........................................................................................................................56 4.1.1 Architecture d'un systme VoIP .....................................................................................................................56 4.1.2 Les risques .....................................................................................................................................................57 4.1.3 Les attaques ...................................................................................................................................................57 4.1.4 Fonctions .......................................................................................................................................................58 4.2 LA SECURITE DES RESEAUX SANS FIL ..................................................................................................................59 4.2.1 Le problme du WEP .....................................................................................................................................59 4.2.2 Les contre-mesures de base ...........................................................................................................................61 4.2.3 Les volutions du protocole : WPA et 802.11i...............................................................................................65 4.2.4 Application.....................................................................................................................................................67 4.2.5 Autres technologies........................................................................................................................................68 5 UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT .........................................................................70 5.1 LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES ................................................................70 5.1.1 Identification des risques ...............................................................................................................................70 5.1.2 Correction des lacunes de scurit ................................................................................................................70 5.1.3 Approche intgre..........................................................................................................................................71 5.1.4 Amlioration de la scurit par ladministration...........................................................................................72 5.1.5 Rsum...........................................................................................................................................................72 6 LES ASPECTS JURIDIQUES ET HUMAINS ......................................................................................................73 6.1 LES RISQUES DU METIER ,...............................................................................................................................73 6.2 QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE .....................................................................................73 6.2.1 Larrt Nikon .................................................................................................................................................73 6.2.2 LEcole de Physique et Chimie Industrielle de Paris ....................................................................................74 6.2.3 Laffaire Escota .............................................................................................................................................74 6.3 POLITIQUE ET REFERENTIELS DE SECURITE,.........................................................................................................75 6.3.1 Prambule......................................................................................................................................................75
28 juillet 2004
6/98
Livre ouvert sur la scurit Fondamentaux ...............................................................................................................................................76 Des principes fondateurs ...............................................................................................................................76 6.3.4 Lorganisation dans le cadre politique ...............................................................................................77 6.3.5 Une Charte et quatre politiques.....................................................................................................................79 6.3.6 Des choix essentiels .......................................................................................................................................80 6.3.7 Synthse .........................................................................................................................................................83 6.4 LES RESPONSABILITES ET LES ACTEURS DE LENTREPRISE, .................................................................................83 6.5 EXTERNALISER OU INTERNALISER ?....................................................................................................................83 6.6 LE CALCUL DU RETOUR SUR INVESTISSEMENT DE LA SECURITE (ROI) ...............................................................83 7 LES CERTIFICATIONS .........................................................................................................................................84 7.1 LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) ....................................84 7.2 L'ISO17799.........................................................................................................................................................84 7.3 LEVALUATION DE SECURITE PAR LE BIAIS DE L'ISO 21827................................................................................84 7.4 LA CERTIFICATION AUX ETATS UNIS ...................................................................................................................84 7.4.1 Le NIAP US....................................................................................................................................................84 7.4.2 Le DCA ..........................................................................................................................................................85 7.4.3 La cration de lENISA Europenne..............................................................................................................86 8 9 10 LA VEILLE SECURITE .........................................................................................................................................87 LES ENJEUX ECONOMIQUES DE LA SECURITE .......................................................................................... 88 BIBLIOGRAPHIE ET REFERENCES..................................................................................................................89 10.1 GENERAL ............................................................................................................................................................89 10.2 ATTAQUES ET MENACES ......................................................................................................................................89 10.3 VOIP...................................................................................................................................................................89 10.4 WI-FI ..................................................................................................................................................................89 10.5 INGENIERIE SOCIALE ...........................................................................................................................................90 10.6 JURIDIQUE ...........................................................................................................................................................90 10.7 LOISIRS ...............................................................................................................................................................90 10.7.1 Livres.........................................................................................................................................................90 10.7.2 Films..........................................................................................................................................................90 11 GLOSSAIRE .............................................................................................................................................................92 11.1 11.2 ACRONYMES .......................................................................................................................................................92 DFINITIONS .......................................................................................................................................................93 6.3.2 6.3.3
28 juillet 2004
7/98
LA CYBERCRIMINALITE
Partie prise en charge par Olivier Caleff (Apoge Communications) / Jean-Philippe Bichard (NetCost&Security)
Jusqu'alors les conflits opposaient des tats bass sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus vident encore, on assiste un affrontement entre les tats d'un ct et les rseaux de l'autre (intgristes religieux, politique, mafias et cyber-mafias). Cet attentat dramatique a clairement montr que ce n'tait ni le nombre, ni la technologie qui prdominaient mais la matrise de l'information et la confiance que lon place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC prsentent de nouvelles vulnrabilits : des quipes peu nombreuses et ne disposant que de moyens limits, sont nanmoins susceptibles de crer de graves perturbations tant dans le domaine militaire que civil. "Aujourd'hui la France n'avance dans les NTIC que sur la pointe des pieds par rapport aux avions et aux chars" a dclar aux Echos Paul Ivan de Saint Germain ancien directeur de recherche au ministre de la Dfense.
1.1
LES MENACES,
Auteur : Grard Pliks (EADS) gerard.peliks@eads-telecom.com
Ds quun utilisateur se connecte un rseau, son poste de travail se trouve confront de nombreuses menaces dont certaines peuvent conduire une perte de donnes sur les disques durs voire mme une perte totale des fichiers systmes, avec impossibilit de rebooter son PC. Quand lutilisateur se connecte sur lIntranet de sa socit, ce rseau est automatiquement sujet des menaces pouvant porter atteinte lintgrit, et mme lexistence des informations et aux applications des serveurs connects qui manipulent ces informations. Plus inquitant encore, si lutilisateur connect son Intranet, a aussi accs simultanment lInternet, les menaces sont multiplies tant dans leur nombre que dans leur diversit. Nous ne pouvons rien contre lexistence de ces menaces, qui sont lies la nature humaine et la nature des rseaux informatiques, mais ces menaces ne prsentent de rels dangers que si le rseau et le poste de travail prsentent des vulnrabilits qui permettent ces menaces de se concrtiser par des attaques russies. Contre les vulnrabilits, heureusement pour lutilisateur, pour son poste de travail et pour les rseaux privs et publics, des outils de scurit sont disponibles. Cette tude se propose de les explorer. Mais les outils ne sont efficaces quintgrs dans une politique de scurit connue et librement accepte par lentreprise ou la collectivit, car on ne le rptera jamais assez, ce nest pas le rseau qui est dangereux, cest bel et bien lutilisateur, parfois de manire consciente mais aussi souvent sans le vouloir et sans mme le savoir. Les menaces sont bien relles. Pour se protger contre elles, puisquon ne peut les liminer, il faut les connatre pour mettre en uvre des solutions visant rduire les vulnrabilits qui permettent ces menaces de conduire des attaques qui peuvent causer des dgts intolrables lentreprise cible. Il nest pas possible de se prmunir contre toutes les menaces, donc il nest pas crdible de se croire hors datteinte de toute attaque. Heureusement les informations et les applications rsidant dans votre rseau et dans vos postes de travail nont pas toute la mme valeur stratgique pour lentreprise et pour ses utilisateurs. Toute solution de scurit a un cot, de mme toute information a un prix. Il convient donc de mettre ses ressources et son budget scurit lendroit o les
28 juillet 2004
8/98
Livre ouvert sur la scurit informations et les applications stratgiques doivent tre protges. Il faut aussi trouver le bon quilibre entre le cot des solutions mises en uvre pour la protection des donnes et le cot quinduirait une perte ou une altration de ces donnes, si on ne les protgeait pas. Autrement dit, pour chaque domaine dinformation, pour chaque application, il y a un seuil au-del duquel, il nest pas rentable dinvestir plus pour protger une information dont la perte causerait un prjudice infrieur au cot des solutions de scurit mises en place. Inversement, il y a un cot en de duquel il convient de ne pas descendre pour protger une information dont la perte serait sans commune mesure avec le cot de la solution de protection de cette information.
1.2 1.2.1
Par son tendue, sa richesse de contenu et sa simplicit dutilisation, lInternet est une mine dinformations pour les entreprises et un mdia sans prcdent pour faire connatre les informations mises disposition des utilisateurs, en interne comme en externe. En naviguant sur lInternet, lutilisateur peut accder des millions de pages Web, et peut, laide de portails et de moteurs de recherche, obtenir linformation qui lui est ncessaire dans le cadre de son travail, au moment o il en a besoin (caractristiques dun produit, liste de prix, conditions de vente, contacts, plan daccs)
28 juillet 2004
9/98
Par o passe le voleur moderne, dans ce monde o linformation est devenue le bien le plus prcieux dune entreprise ? Et bien par le modem de votre PC portable ou par le contrleur Ethernet de votre poste de travail fixe, qui branch sur le rseau de votre entreprise, met celui-ci porte du hacker et se trouve ainsi en grave danger. Mais le hacker nest le plus souvent pas seul en cause. Plus de 50% dattaques russies bnficient dune complicit lintrieur de lentreprise. Lemploy est-il pour autant un indlicat potentiel ? Parfois oui, par esprit de vengeance ou par intrt inavouable, mais le plus souvent par manque de maturit vis vis du problme de la scurit. Si on lui demande, par tlphone, au nom de son responsable, ou du responsable systme, de fournir son login et son mot de passe, parce quil y a un besoin urgent de le connatre pour mettre jour les postes de travail distance avec un nouvel utilitaire indispensable, pensez-vous que tous ragiront de manire professionnelle, en refusant de les donner ? Et on voit alors, par exemple, la liste des salaires dune entreprise publie lextrieur, les dossiers mdicaux et autres renseignements des plus confidentiels dvoils au grand public. Lemploy dtenteur de ses donnes nominatives donc confidentielles et le chef dentreprise peuvent alors tre, juste titre inquiets car ils sont responsables devant la loi de la protection des donnes confidentielles quils dtiennent, et se doivent de les protger. On entend souvent quentre le droit et lInternet existe un grand vide juridique. Il nen est rien, et le chapitre 3 traite de ce sujet dun point de vue juridique.
1.3.2
Pour offrir ou refuser un utilisateur laccs au rseau, il convient bien entendu dauthentifier cet utilisateur afin de contrler si la politique de scurit de lentreprise lui accorde le droit dy accder. La solidit dun systme de protection est toujours celle de son maillon le plus faible, et souvent ce maillon cest prcisment lauthentification. Il faut savoir que lauthentification dun individu par son mot de passe noffre aucune garantie relle de scurit, surtout si ce mot de passe est re-jouable, encore plus sil nexpire pas dans le temps, et davantage encore si le mot de passe est laiss au libre choix de lutilisateur. De toute manire les mots de passe transitent en clair sur le rseau o ils peuvent tre facilement lus. Il existe aussi des utilitaires qui rcuprent les mots de passe sur les disques pour essayer de les dchiffrer et ce nest alors quune question de temps pour y parvenir. Donc avant daccorder une permission, il faut sassurer que le bnficiaire de cette permission est bien celui quil prtend tre, sinon il aura accs aux informations dune autre personne, et le vol de donnes potentiel sera difficilement identifiable puisque la personne autorise semblera les avoir prises.
1.3.3
Il nest pas indispensable de chercher pntrer un rseau pour le mettre hors dtat, il suffit de le saturer. Quoi de plus facile, avec un programme adapt, denvoyer vers un serveur de messagerie des milliers de emails par heures, ou de faire des centaines de milliers daccs vers un serveur web, uniquement pour monopoliser la bande passante et les ressources des serveurs, afin de les rendre inaccessibles. Mais lassaillant sera dcouvert puisquil est facile de dterminer do viennent les attaques, pensezvous ? Non, mme pas, car les attaques sophistiques en dnis de service utilisent, en gnral, des serveurs relais tout fait honntes mais investis le temps du forfait, car manquant des scurits indispensables. Et il est alors plus difficile de remonter lorigine des attaques. Cest ainsi que des
28 juillet 2004
10/98
Livre ouvert sur la scurit serveurs trs sollicits dans le monde internet, comme yahoo, et mme comme des serveurs principaux de noms de domaines, qui constituent le talon dAchille de lInternet, ont cess virtuellement dexister sur le net, durant quelques heures, au grand moi de leurs centaines de milliers dutilisateurs quotidiens. Dautres serveurs non moins srieux ont constitu les bases avances de ces attaques. Ce qui est arriv sur ces serveurs, peut aussi arriver vos serveurs sans dispositif de protection, ou vos serveurs peuvent servir de relais dattaque. Vous serez alors responsables, bien que non coupables ou du moins inconsciemment non coupables, donc vous pourriez tre inquits par la loi.
1.3.4
Tout ml ouvert peut mettre en pril votre poste de travail et le rseau de l'entreprise et la messagerie, change le plus utilis sur l'Internet constitue une menace grandissante pour les rseaux d'entreprise. Les mthodes d'attaques ou de simple nuisance sont multiples. Parmi les attaques les plus classiques citons : Le mail bombing, tir de barrage contre votre bote lettres qui bloque vos ressources avec pour but de causer un dni de service. Le mass mailer qui cre votre insu, par rebond sur votre bote lettres, des chanes malfiques de e-mails, votre nom, vers les destinataires de vos listes de messagerie. Destinataires avec qui vous ne serez plus copains aprs. Le spamming, vritable harclement lectronique, mais sans mauvaises intentions en principe, qui noie vos messages importants dans une fort de messages non sollicits et dont les contre-mesures aboutissent supprimer des messages honntes et importants en mme temps que les spams.
1.3.7.1 Le phishing
Le phishing, la plus actuelle des menaces, repose sur trois impostures et sur votre navet (nous sommes plus de 700 millions de pigeons potentiels connects sur l'Internet). 1. Envoi de l'hameon : vous recevez un e-mail qui l'air de venir d'un destinataire de confiance, mais provient en ralit de l'attaquant. 2. Attente que a morde : le e-mail vous demande de cliquer sur un hyperlien qui vous dirige sur un site Web qui a l'air d'tre celui d'un site de confiance, d'aprs son adresse et le look de la page affiche. C'est en ralit celui de l'attaquant. 3. Le site Web de l'attaque par phishing, sur lequel vous emmne la deuxime imposture, vous demande, pour prparer la troisime imposture, celle qui fait mal, d'entrer des renseignements tels que votre couple login et mot de passe, vos coordonnes bancaires, votre numro de carte de crdit... Avec ces renseignements, comme l'attaque est en gnral but lucratif, l'attaquant usurpe votre identit, en utilisant les renseignements que vous lui avez aimablement fournis, pour vider votre compte bancaire ou attaquer notre rseau.
28 juillet 2004
11/98
1.3.7.2 Le panach
Citons maintenant la combinaison redoutable entre toute, flau des temps modernes qui arrive par la messagerie. C 'est le quartet : spam + mass mailer + ver + phishing, le tout simultanment. Le ver est l pour installer un logiciel espion, un cheval de Troie ou une porte drobe sur votre poste de travail, pour exploitation ultrieure. Par exemple le ver Bugbear.B, apparut en 2003 et vhicul par la messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active automatiquement si vous contactez l'une des milliers de banques, dont plusieurs franaises, contenues dans sa liste. Il envoie ensuite l'intgrale des changes lectroniques, entre vous et avec votre banque, on ne sait qui.
1.4
On ne prsente plus la menace des virus, des vers et autres codes malicieux, tels que ILOVEYOU, Nimda et trs rcemment Bugbear et chaque jour apporte sa moisson de nouvelles menaces, parfois de nouvelles catastrophes, souvent de fausses alertes les hoax . Lutilisateur qui a subit une perte de donnes qui lui taient indispensables, et qui a transmis son insu, linfection tout le carnet dadresses de sa messagerie, o figurent les adresses email de ses clients, de ses fournisseurs et de ses partenaires comprend immdiatement que les menaces ne sont pas que pour les autres, et que les dangers dont il apprend lexistence sur lInternet et dans la presse sont un risque pour lui-mme quil convient de considrer avec srieux. Cette menace, trs visible, sournoise et de plus en plus sophistique, a donc eu au moins le mrite de motiver lutilisateur sur la ncessit de se protger des dangers du rseau, mais les virus sont loin dtre la seule menace qui peut empoisonner lexistence de lutilisateur et dtruire des applications sur le rseau.
1.4.1
En ces jours mmorables qui ont termin le mois de janvier et dbut celui de fvrier 2004, il tait difficile de passer travers les tentatives des virus Mydoom A et B pour infecter votre poste de travail. Un matin, en ouvrant ma messagerie, jai trouv parmi les e-mails reus quelques-uns dont la provenance mtait inconnue. Ils ne mtaient adresss ni par des clients, ni par des partenaires ou des fournisseurs, et ce ntaient pas non plus des newsletters auxquelles je suis abonn. Mon premier sentiment fut de penser quil devait sagir de spams, ces messages non sollicits envoys en nombre. Mais ctait curieux car notre entreprise a mis en uvre un filtre anti spams trs efficace. De plus les titres des messages hello , hi ou carrment des caractres alatoires dont lassemblage ne constituait pas des mots, au moins en franais ou en anglais, minspirrent lide quil devait sagir de mails porteurs de virus ou de vers. Aussi les ai-je effacs sans les lire, et sans aucuns regrets car je ne montre aucune piti envers les quelques spams qui russissent tromper notre filtre. Mais au cours de la journe jai reu dautres e-mails dont les titres mtonnrent. Il semblait que des messages que javais envoys me revenaient avec un message derreur parce quils navaient pas pu atteindre leurs destinataires. Les titres des messages taient du genre Mail transaction failed . L jtais impliqu, quavais-je envoy qui navait pas atteint son destinataire ? Le document que jtais cens avoir envoy tait-il important ? Devais-je renvoyer le e-mail non parvenu ? Sans hsiter jai ouvert le premier de ces e-mails dont le destinataire mtait totalement inconnu. Quimporte, peut-tre la pice jointe allait-elle mclairer sur lidentit de ce destinataire car je sais tout de mme ce que jenvoie et qui ! Au moment de cliquer sur la pice jointe qui tait cense contenir le mail revenu avec mon fichier attach, un doute sempara de mon esprit et mon doigt resta suspendu au-dessus de ma souris. Et si ctait un pige ? et si ctait un virus ? Avant de concrtiser un clic que je pouvais regretter, je suis sorti de mon bureau pour demander autour de moi si dautres avaient remarqu cette bizarrerie
28 juillet 2004
12/98
Livre ouvert sur la scurit incroyable de Outlook 2000 qui retournait, parce que non reus, des messages jamais envoys ! Devant la machine caf j'ai constat que jtais loin dtre le seul m'inquiter. Les conversations allaient bon train, ce matin l, sur ces messages qui revenaient suite un envoi qui navait jamais eu lieu. Le risque zro tant la meilleure des pratiques en pareil cas, jai dtruit tous ces messages et jen ai eu beaucoup dautres les jours qui suivirent, venant de personnes que je ne connaissais pas, mais aussi de partenaires, fournisseurs ou clients que je connaissais trs bien et qui eux avaient donc sans doute t infects. Ainsi fut en ces jours de virulence extrme mon vcu face au virus Mydoom-A. Ce que jai appris plus tard, cest quen ralit je ne risquais rien car notre anti virus dentreprise avait trs tt dtect le virus et remplaait systmatiquement le fichier en attachement des e-mails, contenant la charge utile par un fichier texte qui avertissait que la pice jointe avait t mise en quarantaine suite au soupon dune attaque virale. Tirons la principale leon de cette histoire. La meilleure dfense contre vers et virus, de mme que contre dautres menaces est davoir systmatiquement, par dfaut, un instinct scuritaire. Mieux vaut perdre un e-mail, effac tort, que perdre ses donnes et peut-tre son rseau. Mieux vaut sabstenir de tlcharger par le Web un fichier important mais sans origine certifie que chercher ensuite ses images et ses fichiers PowerPoint et Word qui auront disparu et toujours au moment o on en a un besoin indispensable. Si le-mail effac tait vraiment trs important, lexpditeur vous contactera en stonnant de navoir pas eu de rponse de votre part. Vous ne vous serez pas fait un ami, mais vous aurez peut tre vit davoir comme ennemis toutes vos connaissances dont vous avez entr les adresses e-mail dans vos listes de distribution. Prenons une analogie : si on vous disait que dans le courrier, celui base de papier lettre qui aboutit dans votre bote, il pouvait y avoir des lettres piges et quil suffisait pour le prouver de remarquer tous vos voisins avec des gueules de travers pour ne pas sen tre mfi, ouvririez-vous sans mfiance les enveloppes dont vous ntes assurs ni de la provenance ni de lexpditeur ? Il faut ragir de mme avec les e-mails. Les virus de ces derniers temps, trs mdiatiss, vont au moins prsenter lavantage de faire voluer les mentalits. Le e-mail ne doit plus tre considr comme un texte anodin dont la lecture au pire vous fait perdre du temps. Un e-mail qui vous clate en plein poste de travail peut marquer la fin de votre systme dinformation. La deuxime leon est quil est indispensable dactiver un antivirus dentreprise efficace qui filtre les changes entre lextrieur et votre rseau interne. Il faut aussi sur chaque poste de travail un antivirus personnel qui filtre les changes entre votre Intranet et le poste de travail, car on peut supposer que vous ou quelquun sur votre rseau charge sur son poste de travail des fichiers partir de CDROM, de disquettes, ou simplement nest pas aussi attentif que vous face linscurit du rseau et cet inconscient peut aussi vous envoyer des e-mails partir de lintrieur du rseau ? Analysons ce qutait ce fameux virus Mydoom. Cest un mass-mailer , un virus qui, lorsquil vous contamine, se communique automatiquement toutes les adresses quil trouve dans vos listes de messagerie. Si vous avez reu de nombreux e-mails contenant ce virus, cest que votre adresse email figure dans beaucoup de listes de messagerie dordinateurs qui ont t infects. Comment saiton quun message reu contient ce virus ? Par le titre dabord, qui prsente plusieurs variantes : hi , hello ou carrment comme nous lavons dj voqu Mail Transaction Failed ou Mail Delivery System . Ensuite le e-mail, dont le corps du texte parfois contient des caractres unicode, donc pas toujours lisibles, est accompagn dune pice jointe par laquelle le mal arrive. Un excutable joint un message ne doit jamais tre excut car la prsomption de virus est maximale surtout si lextension de la pice jointe est un ".exe". Mais si cest un .zip , vous pensez que louvrir ne vous engage rien puisque vous allez simplement excuter votre utilitaire Winzip qui va vous indiquer si lextension du fichier attach est ou nest pas un .exe ? Attention !!! ce virus l, et sans doute ceux qui suivront, sont trs malins. Vous croyez excuter un .zip , mais le nom du fichier document.zip , par exemple, est suivi de quelques dizaines despaces pour se terminer par sa vraie extension .exe ! Suivant la configuration de votre cran, soit cette extension est cache dans la partie non visible de votre cran sur la droite, soit elle napparat que sur la ligne du dessous et jamais vous nallez remarquer cette ligne ! Vous navez alors plus que vos yeux pour
28 juillet 2004
13/98
Livre ouvert sur la scurit pleurer sur votre cran qui reste fig, sur le Ctrl Alt Supr qui met un temps infini agir ou sur vos fichiers perdus ! Mais rassurez-vous, dans le cas de Mydoom-A, chez vous point de fichiers perdus, car ce nest pas vous qui tes viss en ralit, vous ntes dans cette histoire quun tremplin malchanceux bien que coupable davoir t naf ou inconscient devant linscurit du rseau. La cible de Mydoom-A, ce nest pas vous donc, cest SCO, cet diteur de logiciel de la lointaine cte ouest des Etats Unis qui affirme avoir des droits sur le systme UNIX, se mettant dos en particulier la communaut des logiciels libres. Mydoom-A installe sur les postes de travail une porte drobe qui lui permet, une date dtermine, d'utiliser votre poste contamin pour bombarder de requtes le serveur Web de SCO, le saturer et le faire tomber. Lattaque sest dclenche le 1er fvrier. Le serveur Web de SCO a t agress ce jour l par plusieurs centaines de milliers de postes de travail qui le sollicitaient sans relche, et SCO a prfr retirer son serveur Web du paysage Internet. Si votre poste de travail tait contamin et que vous tiez connects sur le rseau ce 1er fvrier, vous avez peut-tre particip votre insu cette cure.
1.4.2
On se pose parfois la question : mais pourquoi ce logiciel si puissant est disponible gratuitement en tlchargement sur lInternet ? Qui finance ses dveloppements ? Cette question est pertinente quand on connat le cot de dveloppement dun logiciel ! La rponse est parfois aussi simple quinquitante. Le dveloppement du logiciel gratuit peut tre financ par un logiciel espion qui sinstalle, linsu de lutilisateur, et qui renseigne une rgie publicitaire ou pire un organisme de guerre conomique travaillant pour un concurrent, sur vos habitudes de navigation, parfois mme lui envoie des fichiers rcuprs sur votre disque. Vous doutez que ce scnario puisse reflter la ralit ? Ne vous tes-vous jamais tonn quand parfois, votre poste de travail fait des accs disque ou rseau, alors que vous ne pressez aucune touche, et ne sollicitez pas votre souris ? Ne vous tesvous jamais tonn que votre curseur se bloque par intermittence, suite loccupation de vos ressources par quelque chose qui vous chappe ? Parfois cest bien d un logiciel espion, qui tapi au fond de votre disque, se rveille pour envoyer lextrieur les renseignements confidentiels que votre disque contient. Aujourdhui, alors que se dchane la guerre lectronique, o le renseignement est roi, la menace omniprsente sur le rseau, et les hackers malveillants ou professionnels toujours plus nombreux, il ne faut plus ngliger ce type de menace. Vous doutez encore que votre disque puisse contenir un ou plutt plusieurs logiciels espions ? Tlchargez et installez le logiciel gratuit ad-aware qui se trouve sur le web www.lavasoft.de (rassurez-vous, celui-ci ne contient pas de logiciels espions, et passe pour tre le meilleur des logiciels pour trouver et radiquer de votre disque ce genre de menaces). Vous serez fix ! et peuttre aprs radication de ces logiciels espions, votre poste de travail offrira de meilleures performances.
Dj lintrieur de lentreprise, votre PC est soumis des menaces et pour cela il est ncessaire de lattacher un point fixe par un cordon dacier, et dutiliser lconomiseur dcran quand vous
28 juillet 2004
14/98
Livre ouvert sur la scurit vous absentez provisoirement de votre bureau. Que dire alors des risques quil encourt quand vous le sortez de lentreprise ! Justement parlons-en. Votre PC portable peut, comme cela arrive plusieurs milliers de PC, chaque anne en France, tre gar ou vol. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, parat-il, disparaissent. Ce nest pas toujours luvre de simples voleurs intresss par la valeur marchande du PC le plus souvent trs infrieure celle des informations stockes sur son disque dur. Jai connu une situation, lors dun salon, il y a quelques annes, o la paroi de la remise dun stand avait t force durant la nuit. Au petit matin, quatre PC portables laisss imprudemment dans la rserve avaient disparu. Au-del de la gne vidente pour leurs propritaires, lun des portables contenait le planning et lvolution des fonctionnalits des produits conus et commercialiss par lentreprise et les carnets dadresses des partenaires et des clients. Que pouvait esprer le propritaire de mieux quun miracle fasse quune mtorite tombt sur son PC vol en dtruisant son disque dur avant que son contenu ne soit exploit ! Mais la probabilit pour que ce miracle se produise nest pas bien grande. Ajout cela, durant la journe, des coffres de voitures avaient t forcs sur le parking du salon et un autre PC portable avait t drob ! Ce nest pas sur lespoir dun miracle que doit reposer la scurit des donnes contenues dans les postes de travail et des changes entre un poste nomade scuris et son Intranet, mais sur un tat desprit, une politique de scurit, et des outils correctement paramtrs. Durant la connexion votre poste nomade peut prsenter un danger pour lintgrit du systme dinformation de votre Intranet car il est expos aux attaques dites par rebond qui permettent un agresseur de prendre la main distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans lIntranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalits de firewall personnel qui le protgent contre cette vulnrabilit. Ainsi, quand votre VPN est activ, le poste nomade naccepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en mme temps surfer sur lInternet. Quand vous navez plus besoin dtre connect lIntranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte puce du lecteur. Votre poste nomade est alors devenu un poste de travail banalis sans fichiers confidentiels en clair ni possibilit de connexion vers notre Intranet. Il peut alors tre vol ou perdu sans consquences catastrophiques pour notre systme dinformation. Ce nest pas une raison, bien sr pour relcher votre vigilance. Le poste nomade possde un lecteur de disquette et un port sur lequel peut tre connecte une cl mmoire USB* par lesquels il est possible de charger des fichiers. Le problme est que ces fichiers chappent videmment au contrle de lantivirus de lentreprise. Une fois le poste nomade connect lIntranet, il peut infecter son systme dinformation. Il est indispensable, avant tout chargement de fichiers par disquette ou cl mmoire de les passer par un antivirus personnel que votre poste nomade doit possder. Et bien entendu si un fichier est souponn de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur.
Firewall
V P N
Zone protge
28 juillet 2004
15/98
28 juillet 2004
16/98
28 juillet 2004
17/98
Livre ouvert sur la scurit La phase dauthentification peut galement tre supprime dans des rseaux qui, tels les hotspots, ont pour vocation de recevoir tout utilisateur qui en fait la requte. Elle doit alors se faire au niveau du portail Web (niveau applicatif). La communication Une fois l'utilisateur authentifi et autoris, et donc associ une catgorie, toutes les transactions qu'il va oprer au travers du WLAN sont encore soumises un niveau lev de contrle et de surveillance. Il s'agit d'une part de se protger contre les coutes indlicates (eavesdropping), mais aussi potentiellement contre les attaques vhicules par le trafic lui-mme. La protection contre les premiers risques consiste crypter les communications, celle contre les seconds consiste contrler le contenu du trafic contenu l'aide d'un firewall et/ou d'un IDS (Intrusion Detection System) orient sans-fil. Le cryptage Le protocole prvoit un chiffrement mis en uvre sur les trajets radio de linformation, cest dire entre les points daccs et les postes mobiles. Dans un rseau Wi-Fi, le chiffrement est ralis par le WEP ou lAES. Le chiffrement peut galement tre inhib, notamment dans les hotspots. Il est galement possible dappliquer un chiffrement de bout en bout qui se superpose au chiffrement radio, au moyen dun protocole de niveau applicatif (SSL) ou au niveau rseau (IPSec).
28 juillet 2004
18/98
Livre ouvert sur la scurit Le piratage du WLAN peut viser plusieurs objectifs, dont le premier est de disposer gratuitement d'un accs Internet en se connectant depuis l'extrieur sur le rseau radio d'un particulier ou d'une entreprise. Outre l'aspect financier, l'attaque peut mener au dni de service, si le hacker occupe toute la bande passante, par exemple en envoyant des spams. Le hacker peut galement mener des attaques sur lInternet et visiter des sites terroristes ou pdophiles en toute impunit puisque le responsable identifi sera le propritaire du rseau attaqu ! Les autres attaques relvent du dsir de nuire en s'infiltrant sur le rseau dans le but d'accder des informations, voire mme de modifier ou dtruire ces informations.
1.7.3.2 Intrusions
LIntrusion Client Cette attaque consiste exploiter les vulnrabilits du client pour accder au rseau. Comme pour les rseaux cbls, la meilleure protection est la mise en place d'un firewall entre la partie WLAN et le reste de l'infrastructure rseau, qui garantit un niveau de scurit au moins gal celui de l'environnement cbl. LIntrusion Rseau C'est une des attaques les plus critiques. Une intrusion rseau vise prendre le contrle des ressources rseau d'une entreprise. Les protections contre ce risque sont les systmes IDS ddis au Wi-Fi, qui vont chercher corrler plusieurs vnements douteux pour dterminer si le rseau ou un systme particulier est en train de subir une intrusion
28 juillet 2004
19/98
Livre ouvert sur la scurit Des logiciels (gnralement sous Linux) permettent de faire apparatre l'interface Wi-Fi d'un poste client comme un point daccs et de configurer son SSID et adresse MAC dans un but d'impersonation. Le PC du hacker joue le rle de point daccs en usurpant le SSID du rseau et peut donc rcuprer les connexions Wi-Fi des utilisateurs : pour se livrer une attaque man-in-the-middle en reproduisant donc au fil de l'eau les trafics vers le rseau WiFi, et rcuprer ou dduire les donnes de scurit, pour rcuprer les mots de passe sur une page Web identique au serveur d'authentification (cas d'une authentification Web), ou simplement pour pirater les PC clients s'il n'y a aucune scurit. Le Rogue AP (AP indsirable) La faille de scurit dite Rogue AP est la plus redoute en entreprise. Lattaque consiste brancher sur le rseau un point daccs pirate qui diffuse dans une zone o peut se trouver le hacker. Elle ncessite certaines complicits au sein de lentreprise. La faille de scurit peut aussi tre ouverte innocemment et sans intention malveillante quand un utilisateur du rseau, par commodit au niveau de ses bureaux par exemple, connecte un AP sur la prise Ethernet murale, lui confrant une certaine mobilit avec son ordinateur l'intrieur de la cellule ainsi cre. Ces installations pirates sont particulirement dangereuses parce qu'elles ouvrent le rseau de l'entreprise au monde Wi-Fi, gnralement avec un niveau de scurit insuffisant. Au pire, l'AP est un ordinateur qui peut fonctionner comme un pont, crant un Wireless Bridge, savoir un lien entre le rseau Wi-Fi et le rseau local cbl. Le pot de miel (honeypot) invers Lattaquant installe dans la zone de couverture du rseau radio un point daccs avec un signal plus fort qui cherche apparatre comme faisant partie intgrante du rseau de la socit pour attirer les postes clients (utilisation du mme SSID), et les laisser se connecter (au niveau WLAN). De cette faon le pot de miel espre pouvoir espionner la phase de connexion, pour en dduire les paramtres utiles, quitte effectivement reproduire simultanment la phase de connexion vers le rseau rel (cas du Man in the Middle).
1.7.3.5
28 juillet 2004
20/98
Livre ouvert sur la scurit Le Wardriving et le Warchalking Les pratiques de Wardriving utilises par les hackers qui se dplacent avec un poste mobile l'coute des rseaux radio pour les reprer et les signaler sur une carte sont bien connues. L'association un systme GPS permet de dresser une cartographie des points de prsence de rseaux radio. La pratique du Warchalking consiste matrialiser la prsence de ces rseaux en taggant des signes convenus dans les rues : Les quipements ncessaires se trouvent aisment dans le commerce et des logiciels libres de Wardriving sont disponibles sur lInternet. Certaines listes de hotspots trouves sur lInternet ne donnent pas que les hotspots officiels des cafs et restaurants, mais incluent galement des sites victimes du Wardriving. Des quipements sont capables de dtecter l'emploi des applications de Wardriving les plus rpandues (Netstumbler, Wellenreiter et AirSnort sous Linux) grce leur "signature" spcifique, et d'envoyer un message d'avertissement l'administrateur du rseau. A ce stade aucune agression n'a encore t mene contre le rseau, mais il est indispensable de savoir qu'il est sous "observation" extrieure.
Le Warflying Lemploi dantennes omnidirectionnelles pour les AP Wi-Fi permet une excellente propagation de ceux-ci la verticale, dautant plus excellente quil ne sy rencontre gure dobstacles. Les hackers les mieux quips pratiquent ainsi le Warflying depuis des hlicoptres ou de petits avions volant 1500 2500 pieds.
28 juillet 2004
21/98
1.8
LINGENIERIE SOCIALE
Auteur : Franck Franchin (France Telecom) franck.franchin@francetelecom.com
Lingnierie sociale (ou social engineering ) est une pratique qui consiste exploiter le maillon souvent le plus faible dun systme ou dun processus de scurit : le facteur humain . Nous allons prsenter quelques techniques couramment utilises par ces piratages qui prfrent hacker des humains plutt que des systmes informatiques. On peut distinguer deux types dattaques en ingnierie sociale : lattaque cible sur une entreprise ou un individu Ce type dattaque repose sur la connaissance prcise dune organisation, des pratiques spcifiques des mtiers dans une volont dtermine de nuire ou de tirer un profit prcisment identifi.
28 juillet 2004
22/98
Livre ouvert sur la scurit lattaque de masse, sans cible spcifique (bien quil puisse exister des cibles gnriques : banques, organisme de dfense nationale) Ce type dattaque est bas sur des comportements humains et/ou internautes bien connus (lettre pyramidale, pice jointe pour adultes, usurpation didentit non dtecte) Avant toute attaque de type ingnierie sociale, lagresseur va chercher se renseigner sur les organisations et/ou les personnes qui sont ou seront ses cibles. Il va utiliser des attaques de type rebond : une information disponible permet den obtenir une autre, etc. Ces informations sont obtenues soit par une attaque humaine , soit par une attaque informatique qui utilise de la technologie pour tromper une personne (exemple : site factice Ebay). Elles permettent entre autre dhumaniser la relation avec la victime potentielle en obtenant des information de proximit : date et lieu de naissance, club de sport, marque du vhicule, nom de la petite amie, etc. Une fois ces informations glanes et les victimes identifies, voici quelques techniques et mthodes bien connues que va mettre en uvre lagresseur : Lapproche directe Lagresseur va entrer en relation avec sa victime et lui demander deffectuer une tche particulire, comme lui communiquer un mot de passe. Quand bien mme le taux dchec de cette mthode soit important, la persvrance de lattaquant est souvent statistiquement couronne de succs. Le syndrome VIP - Lattaquant va se faire passer pour une personne trs importante et lgitime (directeur de lentreprise, officier de police, magistrat, etc.) pour faire pression sur sa victime et par exemple demander un accs distance au systme dinformation parce quil a un urgent besoin de remettre un document confidentiel au Prsident Lutilisateur en dtresse Lattaquant prtend tre un utilisateur qui narrive pas se connecter au systme dinformation (stagiaire, intrimaire). La victime croit souvent rendre service cette personne fort sympathique et dans lembarras. Le correspondant informatique Lagresseur se fait passer pour un membre de lquipe du support technique ou pour un administrateur systme qui a besoin du compte utilisateur et du mot de passe de sa victime pour effectuer par exemple une sauvegarde importante. Lauto-compromission (RSE Reverse Social Engineering) Lattaquant va modifier lenvironnement de sa victime (ordinateur, bureau physique) de manire aisment dtectable afin que ce dernier cherche de laide en la personne de lagresseur. Le contact seffectue via une carte de visite laisse sur place, un courrier opportun ou un coup de fil anodin. Le courrier lectronique Deux types dattaque sont possibles : le code malicieux (virus, vers) en pice jointe quil est ncessaire douvrir (hors exception) pour lactiver ou les hoax. Le site Internet Un site web de type jeu/concours peut demander un utilisateur de saisir son adresse de courrier lectronique et son mot de passe. Statistiquement, le mot de passe ainsi donn est trs proche, voire identique, au mot de passe de lutilisateur sur son systme dinformation. Le vol didentit Lattaquant a obtenu suffisamment dinformation sur la victime ou une des relations de la victime pour sidentifier et sauthentifier. Il lui suffit alors dendosser cette nouvelle identit. Au cours de ces dernires annes, cet art de la persuasion sest transform quelquefois en art de la menace. Certains attaquants ont eu recours des mthodes proches du chantage ou de lextorsion, en menaant par exemple leur victime de les dnoncer leur patron suite des changes de fichiers caractres pornographiques. Malgr le sentiment commun a narrive quaux autres , il nest pas si facile de se protger contre des attaques de types ingnierie sociale. Les agresseurs sont souvent trs experts dans leur dmarche, jouent sur le registre de lentraide et de lhumain, la plupart du temps sans tre agressif, ont appris improviser, faire appel aux meilleurs sentiments de leurs victimes et surtout construisent souvent une premire relation inter-personnelle avant de rechercher rellement soutirer des informations. Quelques bonnes pratiques de sensibilisation permettent toutefois de rduire les risques.
28 juillet 2004
23/98
Livre ouvert sur la scurit Tout dabord il faut informer sur les mthode utilises, puis il peut tre ncessaire de fournir quelques lignes directrices pour les contrer : La politique de scurit de linformation doit clairement dfinir les rles et responsabilits de chacun, comme par exemple les droits daccs et les droits de savoir des quipes de support technique. Les responsables doivent accepter de limiter leurs primtres au besoin de savoir et cette limitation doit tre connue de tous dans lentreprise. La politique de nommage des adresses de courrier lectronique, des applications, des rles et plus gnralement la politique de diffusion des annuaires de lentreprise doit tre renforce et contrle vis vis de lextrieur. Les utilisateurs doivent prendre lhabitude didentifier et dauthentifier les personnes, les messages ou les applications qui leur demandent deffectuer certaines tches sensibles. Une procdure ad-hoc doit tre aisment accessible ainsi quune autre permettant dinformer leur administrateur en cas de doute.
1.9
LE CYBER RACKET
Auteur : Franck Franchin (France Telecom) franck.franchin@francetelecom.com
Tout utilisateur de lInternet doit dsormais faire face une cybercriminalit galopante, terme qui regroupe lensemble des actes de nature dlictuelle et criminelle qui sont perptrs via la Toile. A limage de sa grande sur ane du monde physique, la cybercriminalit est constitue aussi bien par les infractions de blanchiment dargent, de pdophilie, dusage de faux sur Internet en passant par lattaque par dni de service dun site web ou encore de chantage. Le spectre couvert est large et lentreprise tout comme le particulier en sont donc potentiellement victimes.
1.9.1
1.9.2
Les approches
Les approches sont diffrentes selon que la cible soit une personne morale, un salari dun personne morale ou un particulier, personne physique. Le mode opratoire du cyber-racket appliqu lentreprise est assez simple. En effet, des attaques par dni de service distribu (DDoS) via des machines compromises (dites zombies) sont capables de bloquer pendant de longues priodes laccs un site ou un rseau dentreprise en le bombardant de fausses requtes. Les criminels rclament ensuite de largent leurs victimes en change de larrt des attaques. De cette faon, lentreprise qui cre habituellement de la richesse grce son site web parce quelle offre la possibilit de parier en ligne ou de commander distance
28 juillet 2004
24/98
Livre ouvert sur la scurit diffrents produits, subit lindisponibilit de ses offres de services et, par consquent, linsatisfaction de ses clients et une perte dexploitation. Concrtement, les racketteurs sattaquent principalement aux casinos en ligne et aux sites de commerce lectronique, mais galement des victimes plus inattendues comme le port amricain de Houston. Autre exemple connu, durant le Superbowl 2003 aux tats-Unis, un racketteur a menac plusieurs sites de paris en ligne dune attaque en dni de service sils ne sacquittaient par dune somme allant de 10 000 USD 50 000 USD. Dun autre ct, les particuliers et notamment les collaborateurs dune entreprise doivent galement faire face ces nouvelles menaces. L encore, le mode opratoire est assez simple. Le courrier lectronique est le moyen retenu la plupart du temps par les cybercriminels pour extorquer de petites sommes dargent des salaris. Le chantage peut porter sur la menace deffacer des fichiers importants sur leur ordinateur ou dy copier des photographies pdophiles. Cette technique dbute en gnral par un courrier lectronique demandant au destinataire de payer de 20 30 USD sur un compte bancaire lectronique. Bien videmment, il ne faut surtout pas obtemprer une telle injonction car ce serait leffet boule de neige assur ! Le fait que lobjet de linfraction soit une petite somme conduit souvent les victimes accepter et ne pas vouloir bruiter laffaire.
1.9.3
Un exemple
Par exemple, F-Secure, un diteur informatique finlandais spcialis dans la scurit, a rvl que le personnel dune grande universit scandinave avait t la cible dune tentative d'extorsion de ce genre. Selon Mikko Hypponen, directeur de recherche chez F-Secure, des membres du personnel ont ainsi reu un e-mail, apparemment en provenance dEstonie, qui indiquait que lexpditeur avait dcouvert plusieurs failles de scurit dans le rseau informatique et menaait deffacer un grand nombre de fichiers, sauf si les destinataires payaient 20 euros sur un compte bancaire en ligne . Ce dernier poursuit et affirme mme qu avant, si vous vouliez extorquer de largent des entreprises, il fallait pirater leur systme dinformation et les persuader que vous aviez vol des informations. Maintenant, il n'y a rien dautre faire que denvoyer un e-mail .
1.9.4
28 juillet 2004
25/98
2.1
Le firewall, appel aussi pare-feu ou garde-barrire, est llment ncessaire, mais pas suffisant, pour commencer implmenter une politique de scurit sur son Intranet. La premire caractristique dun Intranet est dtre un rseau priv. Mais si ce rseau priv prsente des connexions vers lInternet ou vers tout autre rseau public, pourquoi doitil tre considr comme un rseau priv plutt que comme une extension de lInternet ou du rseau public ? avec tous les risques que cela entrane. Un firewall est un dispositif logiciel ou matriel (les appliances) qui filtre tous les changes qui passent par lui pour leur appliquer la politique de scurit de lentreprise. Cette politique, au niveau du firewall consiste laisser passer tout ou partie de ces changes sils sont autoriss, et bloquer et journaliser les changes qui sont interdits. Bien entendu, la finesse et la granularit des lments entrant en jeux dans le filtrage des changes, et la hauteur de vue du firewall pour traiter ce quil convient de laisser passer ou de bloquer, mesurent la capacit dun firewall prendre en compte des politiques de scurit qui peuvent tre trs complexes, au moins durant leur phase de conception, dans lesprit de ceux qui les rdigent.
Le firewall contrle toutes les transactions qui passent dun rseau lautre, ne laisse passer que celles autorises et journalise les tentatives dattaque.
2.1.1
28 juillet 2004
26/98
Livre ouvert sur la scurit Les Firewalls volus permettent de filtrer aussi en fonction de lorigine et de la destination des changes. Ainsi suivant lindividu, ou le groupe auquel il appartient, suivant le serveur auquel il souhaite accder, situ de lautre ct du Firewall, une politique de scurit particulire sera applique cet individu. Le filtrage en fonction du port est galement une fonctionnalit importante. Le port est un nombre qui caractrise une application. Par exemple le port standard et rserv du Web est le port 80, mais on peut galement faire des accs web travers bien dautres ports (il y en a plus de 65000 possibles). Une politique de scurit complte pour le Web doit tenir compte de tous les ports utiliss, et par exemple bloquer les ports qui ne sont pas ddis aux flux dont on tolre le passage.
2.1.2
2.1.3
2.1.4
28 juillet 2004
27/98
Livre ouvert sur la scurit interfaces rseaux peuvent quiper un firewall. Celui-ci contrle alors ce qui passe entre chacune de ses interfaces rseau et applique une politique de scurit qui peut tre particulire chacune de ces interfaces. Supposons un firewall avec trois interfaces rseaux, donc duquel partent trois rseaux. Le premier est celui qui va vers lextrieur, vers le rseau non protg, comme lInternet, via un routeur. Le deuxime est le rseau interne protger. Le troisime rseau nest ni tout fait le rseau interne protger, ni le rseau public. Cest un rseau sur lequel on peut appliquer une politique de scurit particulire, moins stricte que celle du rseau interne. Il sagit l dune DMZ (DeMilitarized Zone zone dmilitarise) sur laquelle on place en gnral le serveur Web de lentreprise et parfois le serveur anti-virus et le serveur de messagerie.
2.1.5
2.1.6
En parallle ou en srie ?
Le firewall est un point de passage stratgique de lentreprise car cest par lui que tout flux entant et sortant doit transiter. Dans certain cas, par exemple pour le commerce lectronique, une interruption de fonctionnement du firewall peut reprsenter une perte dargent consquente. Une bonne solution est de prvoir deux firewalls ou plus, en parallle, et un dispositif automatique pour que si lun tombe en panne, un autre prenne le relais. Et puisque on dispose alors de plusieurs firewalls, en fonctionnement normal Il est intressant de les faire fonctionner en partage de charge, le moins charg un instant donn devenant davantage disponible pour traiter les nouveaux flux qui arrivent. Si lon veut assurer une scurit optimale, il est intressant de mettre deux firewalls de technologie diffrente en srie. Ainsi si un agresseur russi passer la premire ligne de dfense constitue par le firewall en amont, il tombera sur la deuxime ligne de dfense, diffrente dans sa manire de traiter la politique de scurit. Lagresseur devra donc recommencer son travail de pntration alors quil aura toutes les malchances davoir t repr durant son intrusion dans le premier firewall. Ce systme est utilis quand la scurit doit tre maximale. On place souvent un firewall qui fonctionne par filtrage de circuits lextrieur, et un firewall fonctionnant par relais de proxies lintrieur.
2.1.7
28 juillet 2004
28/98
Livre ouvert sur la scurit mur infranchissable (le firewall) sur un terrain meuble (le systme dexploitation) travers lequel un hacker pourrait creuser un passage. Il est bon quun fournisseur de firewall matrise le systme dexploitation sur lequel tourne son logiciel firewall, jusquau niveau des codes sources et des compilateurs qui servent, partir de ces sources, obtenir ce systme dexploitation. Pour ne pas connatre de mauvaises surprises lors de linstallation dun firewall logiciel sur site, il faut sassurer galement qu tous les lments matriels de la plate-forme, et en particulier aux contrleurs rseau, correspond un driver dans le systme dexploitation. Un firewall aura de meilleures performances si le systme dexploitation est conu dans le but de grer au plus fin sa plate-forme matrielle. Dun autre ct si le systme dexploitation est un systme du commerce, lutilisateur aura plus de choix pour sa plate-forme matrielle, et le firewall logiciel acquis sera transfrable vers une plate-forme matrielle plus puissante quand les besoins des utilisateurs volueront.
2.2 2.3
LE FIREWALL APPLICATIF
Partie prise en charge par Sami Jourdain (Deny All) sjourdain@denyall.com et Isabelle Bouet (F5) ibouet@f5.com
LE FIREWALL PERSONNEL
Partie traite provisoirement par Grard Pliks (EADS)
Aprs authentification mutuelle des deux extrmits du tunnel, et cration du tunnel chiffrant, lutilisateur nomade accde, depuis lextrieur, aux serveurs de son Intranet, qui lui sont autoriss, avec autant de scurit que sil tait rest dans son Intranet. Cela constitue toutefois un srieux danger. Si le poste de travail nomade est attaqu par un hacker qui prend le contrle de ce poste distance, souvent sans que lutilisateur qui a cr un tunnel, puisse sapercevoir temps de lagression, une voie royale est offerte lattaquant vers les serveurs de lIntranet, et tout le rseau priv est ainsi mis en danger. Pour viter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum de scurit, quivalent celui dun firewall personnel. Les fonctions anti-rebond et blocage des flux entrants dun tunnel client apportent ce niveau de scurit. Le blocage des flux entrants empche toute tentative de connexion vers le poste nomade. Lantirebond ne permet pas de passer par le poste nomade pour emprunter un tunnel. Sans ces fonctionnalits, un tunnel offre lattaquant un accs direct vers les serveurs de lIntranet, car le flux tant autoris, aucun firewall ne sinquiterait de son contenu et le flux tant chiffr, aucune sonde de dtection, place en amont de la passerelle tunnel constituant lautre bout, ne pourrait lanalyser pour ragir une attaque. Pour prserver lintgrit des donnes sur un disque dur, il est aussi intressant, mme hors priode o des tunnels sont tablis entre le poste de travail et lIntranet, de mettre en uvre un firewall personnel qui dtectera les agressions. Celles-ci sont frquentes surtout si le poste de travail reste longtemps connect (comme cest le cas avec des connexions permanentes, avec le cble par exemple).
2.4
LAUTHENTIFICATION FORTE,
Partie prise en charge par Frdric Hubert (THALES) Frederic.HUBERT@fr.thalesgroup.com et Max de Groot (Gemplus) max.de-groot@gemplus.com
28 juillet 2004
29/98
Livre ouvert sur la scurit Pour atteindre ces deux buts, il faut forcment commencer par une authentification forte, obtenue par la mise en uvre de protocoles dauthentification bien connus, analyss et souvent mme attaqus pour en tester la robustesse. A lissue de lauthentification, le client et le serveur dauthentification partagent un secret qui peut ensuite tre utilis pour le chiffrement des donnes, permettant den garantir la confidentialit et lintgrit. Toute personne qui intercepterait le flux ne pourrait en comprendre le contenu et aucun malfaiteur ne peut modifier des donnes ou utiliser la connexion dun tiers sans possder le secret partag. La mise en uvre de cette protection na aucun sens si, la base, le serveur nest pas sr de lauthenticit de lutilisateur et inversement. Les normes Wi-Fi spcifient comment monter une protection dite robuste en se fondant sur un protocole dauthentification gnrique. On parle dune chane de protection, associant la protection physique et logique du serveur dauthentification, les protocoles dauthentification et les donnes de lidentit de lutilisateur, stockes sur son poste de travail. Le maillon le plus faible de cette chane est souvent lauthentification de lutilisateur. En effet, de toute la chane dauthentification, seul le poste de lutilisateur se ne trouve pas dans le domaine matris et contrl par loprateur ou dans lIntranet contrl par lentreprise. Pour simplifier la tche de lutilisateur qui, hors de son Intranet, est incontrlable, des mthodes simples et rapides dauthentification ont t inventes. Cependant leur utilisation nest sous contrle ni de lentreprise, ni du fournisseur de services. Le mot de passe est-il sauvegard sur le poste de travail, fait-il partie des 79% des mots de passe aisment devinables, est-il partag entre plusieurs individus ? Les oprateurs GSM ont bien compris la problmatique. En utilisant la carte puce pour lauthentification, ils ont dans le poste de travail (le tlphone mobile) un objet quils contrlent et qui renforce la chane de bout en bout. La scurisation de rseaux commence donc par une authentification forte, gnralement obtenue par deux facteurs, cest dire par la prsentation simultane de quelque chose que lon possde et quelque chose que lon sait ou que lon est. La carte puce (quelque chose que lon a), par exemple, ne devient oprationnelle quaprs prsentation dun mot de passe (quelque chose que lon sait) ou vrification dune empreinte digitale (quelque chose que lon est.) La mthode classique dauthentification par nom dutilisateur et mot de passe est bannir des rseaux scuriss car elle ne met en uvre quun seul des facteurs nomms ci-dessus (quelque chose que lon sait) et le mot de passe est gnralement aisment devinable (quand il nest pas stock sur le PC.)
Carte puce, cl USB ou empreinte digitale combine un code PIN constituent un moyen dauthentification beaucoup plus sr quun simple mot de passe.
28 juillet 2004
30/98
Livre ouvert sur la scurit dveloppeurs de services peuvent intgrer leurs applications, sans interfrer sur les donnes dautres applications. Les phases de la vie dune carte, les processus de fabrication, dinitialisation et de personnalisation, de distribution et dactivation sont protgs, documents, audits et accrdits par des organismes veillant sur la scurit des donnes. Il existe dailleurs des processus dvaluation de scurit de cartes puce bass sur les Critres Communes et les cartes et leurs systmes dexploitation sont certifi des niveaux de plus en plus levs. La carte puce possde donc des atouts srieux pour participer lauthentification forte, : une fois son porteur authentifi par code didentification personnel (PIN) ou par comparaison des minuties de ses empreintes digitales ou de la structure de son iris avec des donnes stockes dans la carte la carte permet dexcuter tout ou partie du protocole dauthentification en utilisant les donnes secrtes stockes dans sa mmoire indpendamment du niveau de scurit du poste de travail. Elle prouve ainsi la fois lidentit de son porteur (qui connat le code PIN) et sa propre connaissance de donnes justificatives, sans pour autant divulguer des donnes sensibles. Un autre avantage de la carte puce est sa portabilit. Un utilisateur porte les donnes justificatives de son identit sur sa carte didentit lectronique qui est en permanence sur lui. Il peut utiliser nimporte quel ordinateur pour se connecter au rseau ou service souhait, sans laisser traces de son authentification, contrairement un nom dutilisateur et mot de passe, par exemple, qui peuvent tre gracieusement sauvegards par le systme dexploitation de lordinateur pour une utilisation future. Par ailleurs, lutilisateur na pas divulguer de mot de passe un tiers, et le secret partag avec le serveur dauthentification lui est inconnu et stock sur sa carte.
28 juillet 2004
31/98
Tlphone portable devenant un dispositif dauthentification en donnant accs sa carte puce via un lien Bluetooth, permettant au poste de travail daccder au rseau.
Un autre exemple est lauthentification forte des rseaux virtuels privs base de cl publique, utilisant les cartes puce. Larchitecture systme de Microsoft Windows permet dores et dj lutilisation des cartes puce comme fournisseur de service cryptographique pour viter de devoir mmoriser la cl prive dans la mmoire du poste de travail. En fait, la carte contient la cl prive dans une zone scurise et lutilise seulement pour des services bien dfinis. La carte avec la cl peut tre distribue facilement et de faon contrle en vitant toute divulgation inopine de la cl prive.
2.4.4 Conclusion
Lauthentification forte est un maillon essentiel de la chane de scurit des changes distants pour les entreprise. La carte puce est un vecteur de confiance important dans lauthentification et la scurisation des rseaux, auxquelles oprateurs de tlphonie mobile GSM ou 3G font confiance depuis plus dune dcennie. Elle permet de plus la mise en uvre simple dauthentifications fortes pour divers contextes juxtaposs. De ce fait, elle constitue une option technique incontournable pour lauthentification forte dans le cadre des rseaux dentreprises.
2.5
LE CHIFFREMENT,
Partie prise en charge par Abdallah Mhamed (INT Evry) et Anne Coat (AQL) Partie traite provisoirement par Grard Pliks (EADS)
Le chiffrement consiste traiter les donnes, par une cl de chiffrement qui met en oeuvre des algorithmes mathmatiques qui brouillent ces donnes une extrmit du tunnel, puis retraiter lautre extrmit du tunnel ces donnes par une cl de dchiffrement qui les rtablit en clair. Si la cl de chiffrement est identique la cl de dchiffrement, le chiffrement est dit symtrique. Si la cl de chiffrement et la cl de dchiffrement sont diffrentes, le chiffrement est dit asymtrique. Le chiffrement symtrique type DES et 3DES est rapide mais le problme est de faire passer, de manire scurise, la cl de chiffrement, dune extrmit du tunnel lautre, sur le rseau non protg. A moins que les cls ne rsident en dur sur chaque extrmit du tunnel, le danger est de voir sa cl de chiffrement vole durant son transfert. Il est dangereux de garder longtemps la mme cl de chiffrement, et cest une bonne ide de la changer souvent, mais il faut alors faire transiter
28 juillet 2004
32/98
Livre ouvert sur la scurit chaque nouvelle cl sur le rseau non protg. Cela augmente dautant plus le danger de voir ces cls secrtes subtilises par des individus mal intentionns, ou au moins non autoriss les dtenir. Le chiffrement asymtrique dont le plus connu est le RSA offre de moins bonnes performances en vitesse de traitement mais il ne ncessite pas dchanger une cl secrte entre les extrmits du tunnel. Lune des deux cls est publique et le but est mme de la diffuser largement. Lautre, proprit dun utilisateur, doit absolument rester secrte et il ne doit jamais la communiquer. Les deux cls asymtriques sont lies par des algorithmes qui rendent impossible, connaissant lune des deux cls, de recomposer lautre. Le couple de cl de chiffrement / dchiffrement se compose dune cl prive que lutilisateur dtient et quil ne communique personne, et dune cl publique qui nest pas un secret et dont le but est dtre communique tout le monde. Si la cl prive est utilise pour chiffrer un message, il ne sera possible de dchiffrer ce message quavec la cl publique correspondante. Inversement, si une cl publique est utilise pour chiffrer, il ne sera possible de dchiffrer quavec la cl prive associe. Dans le cas de la signature dun message, lutilisateur chiffre avec sa cl prive. Tous ceux qui possdent la cl publique correspondante peuvent dchiffrer le message et sont srs que le message ne peut venir que de celui qui possde la cl prive associe la cl publique quils dtiennent. Dans le cas du chiffrement dun message, lutilisateur chiffre avec la cl publique de son correspondant et se trouve ainsi certain que seul son correspondant, qui possde la cl prive associe, pourra dchiffrer le message. Un rseau priv virtuel combine gnralement les deux techniques, une cl symtrique pour chiffrer / dchiffrer, et un couple de cls asymtriques pour authentifier mutuellement les deux extrmits du tunnel et changer la cl symtrique travers le rseau non protg. Dans le scnario des cls asymtriques, il reste un problme rgler : comment tre sr que la cl publique que lon dtient est bien la cl associe la cl prive de son correspondant ? Cest ici quinterviennent les certificats et les PKI.
2.6
LA STEGANOGRAPHIE
Partie prise en charge par Olivier Caleff (Apoge Communications) / Alexandre le Faucheur(VALEO) Partie traite provisoirement par Grard Pliks (EADS)
La technique de la stganographie, considre parfois tord comme le chiffrement du pauvre, est trs utilise selon la CIA, dans les vidos et les sonos de Ben Laden ou par le cartel de medellin. Du grec, (chiffrement), la stganographie est une technique de dissimulation dun secret dans un message en clair. Alors que le chiffrement assure la confidentialit, lintgrit et lauthenticit dun message, il attire aussi immanquablement lattention des hackers. Un message cach dans un message en clair (texte, image, son, vido) peut par contre transiter sans veiller les convoitises, ce qui rend la stganographie redoutable.
2.7
LES VPN
Partie traite provisoirement par Grard Pliks (EADS)
Un VPN est un rseau priv virtuel recouvrement construit au-dessus de rseaux de transit IP. Lentreprise tendue et les communauts sont de plus en plus interconnectes via les rseaux, pour des relations entre des sites distants, avec des travailleurs domicile, avec des clients, des fournisseurs, des partenaires, etc. Les diffrents types de VPN identifis pour rpondre aux besoins des utilisateurs sont : les VPN de type Intranet pour les communications entre sites dune entreprise, les VPN de type accs distant pour les utilisateurs qui veulent se connecter distance au moyen de postes de travail fixes ou mobiles leur entreprise via un rseau public, filaire ou sans fil, les VPN de type Extranet pour des communications entre une entreprise et ses partenaires, ses fournisseurs et ses clients.
28 juillet 2004
33/98
Livre ouvert sur la scurit Les VPN sont utiliss galement pour raliser : des VPN administratifs, pour la tl-maintenance de machines ou de services Web des VPN voix qui transportent et scurisent la voix sur des rseaux convergs.
Un rseau priv virtuel est donc un tunnel qui stablit sur un rseau entre deux passerelles. Aprs authentification mutuelle entre ces deux passerelles, et change dune cl secrte de chiffrement, chiffre les transactions sortant dune passerelle, et les dchiffre lautre extrmit, la sortie de la deuxime passerelle, si la politique de chiffrement limpose. Entre les deux passerelles peut se trouver un rseau non protg, voire un rseau public comme lInternet. Les paquets IP qui passent dans le rseau non protg ne pouvant y tre dchiffrs, lutilisateur peut considrer, durant le temps de passage des paquets entre les deux passerelles, que ses donnes ne pourront tre lues par des personnes non autorises. Donc le temps de ltablissement du tunnel, le rseau non protg appartient virtuellement cet utilisateur. Ainsi un Rseau Priv Virtuel assure plusieurs fonctions : Lauthentification des deux extrmits du tunnel, pour sassurer que les paquets arrivent bien la bonne destination, et partent bien de la bonne origine. La confidentialit pour que les paquets ne puissent tre lus durant leur transfert sur le rseau non scuris. Lintgrit pour viter que les paquets puissent tre altrs durant leur transfert. La non-rpudiation qui permet dtablir que les paquets reus ont bien t envoys.
2.7.1
Il y a une trentaine dannes, quand fut conu le protocole IP, autour duquel lInternet est bti, il ntait pas question de rseaux scuriss. Bien au contraire, le but de lInternet tait de tout partager, dans un monde essentiellement universitaire. Il y a une dizaine dannes, les entreprises purent enfin utiliser ce mdia de communication. Apparurent alors la ncessit dassurer un adressage plus tendu, et le besoin de faire voluer ltat du protocole, alors IPv4, vers un nouveau protocole IP mieux adapt au monde commercial avec en particulier des fonctions dauthentification et de chiffrement. lIPv6, nouvelle norme des rseaux IP a t dfini cet effet.
28 juillet 2004
34/98
Livre ouvert sur la scurit Mais le passage de lIPv4 lIPv6 impliquant dimportantes modifications dans les infrastructures rseaux existantes, - on attend aujourdhui la gnralisation de lIPv6 vers lanne 2005 - lIETF (lInternet Engineering Task Force) proposa, en attendant, des extensions au protocole IPv4, aujourdhui dcrites dans les RFC 2401 2409. Cest ainsi que lIPSec fut dfini, en natif dans lIPv6 et ajout lIPv4. LIPSec permet de crer un rseau priv virtuel entre un poste de travail et un serveur dapplication (mode transport) ou entre deux passerelles rseau (mode tunnel). Pour chacun de ces deux modes, lIPSec ajoute des champs supplmentaires aux paquets IP.
Un protocole de scurit
Les services de scurit offerts sont lintgrit en mode non connect, lauthentification de lorigine des donnes, la protection contre le rejeu et la confidentialit (confidentialit des donnes et protection partielle contre lanalyse du trafic). Ces services sont fournis au niveau de la couche IP, offrant donc une protection pour le protocole IP et tous les protocoles de niveau suprieur. IPSec supporte plusieurs algorithmes de chiffrement (DES, 3DES, AES) et il est conu pour supporter dautres protocoles de chiffrement. Lintgrit des donnes est obtenue de deux manires: un message digest 5 de 128-bits (MD5)HMAC ou un algorithme de hachage scuris de 160-bits (SHA)-HMAC. Pour assurer la confidentialit des donnes et lauthentification de leur origine, IPSec utilise deux protocoles : AH et ESP. Le protocole AH Le protocole AH (Authentication Header) assure lintgrit des donnes en mode non connect, lauthentification de lorigine des donnes et, de faon optionnelle, la protection contre le rejeu en ajoutant un bloc de donnes supplmentaire au paquet. AH est un protocole trs peu utilis par rapport au protocole ESP. Le protocole ESP Le protocole ESP (Encapsulating Security Payload) peut assurer, au choix, un ou plusieurs des services suivants : confidentialit (confidentialit des donnes et protection partielle contre lanalyse du trafic si lon utilise le mode tunnel), intgrit des donnes en mode non connect et authentification de lorigine des donnes, protection contre le rejeu. En mode transport, ESP traite la partie des paquets IP rserve aux donnes (mode transport), en mode tunnel, ESP traite lensemble du paquet, donnes et adresses.
28 juillet 2004
35/98
Livre ouvert sur la scurit IKE procde en deux tapes appeles phase 1 et phase 2. Dans la premire phase, il met en place les paramtres de scurit pour protger ses propres changes dans la SA ; dans la deuxime phase il met en place les paramtres de scurit pour protger le trafic IPSec. Par mesure de scurit, les phases 1 et 2 sont ractives priodiquement pour rengocier les cls.
Un protocole de VPN
IPSec est galement un protocole VPN au mme titre que dautres protocoles VPN IP: PPTP, L2TP, GRE ; il supporte un mode tunnel qui consiste encapsuler le paquet IP de lutilisateur dans un paquet IP le tunnel qui est appliqu les fonctions de scurit IPSec.
Un protocole pour traverser les appareils qui font du NAT (translation dadresses)
Entre deux correspondants VPN, il peut y avoir des quipements qui ralisent la fonction de translation dadresse NAT/PAT, par exemple des firewalls. Ces quipements modifient les paquets IP lors de la translation dadresse et de port. Ceci pose un problme IPSec lors du contrle dintgrit du paquet qui se trouve modifi. Pour rsoudre ce problme, le protocole NAT-traversal a t dvelopp par lIETF. Ce protocole implment dans chaque correspondant VPN, encapsule le paquet IPSec dans un protocole applicatif (UDP ou TCP) ce qui prserve le paquet IPSec de modifications lors de la traverse dun quipement NAT.
La configuration dIPSec
Le paramtrage dIPSec que ce soit pour choisir les options ou dfinir les options fait lobjet dune politique de scurit. Cette politique se traduit par des fichiers de configuration cohrents qui doivent tre enregistrs chez les correspondants VPN.
28 juillet 2004
36/98
Les correspondants
Les correspondants VPN sont soit des quipements intermdiaires (passerelles) qui desservent plusieurs machines, soit des logiciels intgrs des machines (stations, serveurs). Les tunnels sont tablis entre des correspondants. Lorsquun correspondant VPN est install sur un site client, le terme de CPE (Customer Premise Equipment) est utilis, par opposition un correspondant VPN plac dans une infrastructure de rseau oprateur (exemple concentrateur de collecte VPN IPSec pour un rseau MPLS).
28 juillet 2004
37/98
Correspondants VPN
Les tunnels
Un tunnel est un canal bi-directionnel tabli entre deux correspondants. Un tunnel peut multiplexer plusieurs communications IP. La ralit dun tunnel dans le rseau de transit est un paquet IP qui encapsule un paquet utilisateur et qui comprend des octets supplmentaires dus au protocole IPSec utilis (protocoles AH, ESP). Exemple application du protocole ESP en mode tunnel un paquet IP
Avant application ESP
Ladressage du tunnel Chaque extrmit dun tunnel a dans le cas le plus simple une adresse IP dans lespace dadressage du rseau de transit. Dans des situations plus compliques o des appareils qui ralisent la fonction NAT sont placs entre le rseau de transit et le correspondant VPN il y a des redirections de paquets pour quun paquet du tunnel transport sur le rseau de transit arrive lextrmit du tunnel chez le correspondant destination. La scurit du tunnel IPSec scurise le paquet IP transmis dans un tunnel, cette scurit est robuste et si les correspondants sont des CPEs, le protocole IPSec assure une scurit permettant dutiliser tout type de rseau de transit : WLAN, Internet, Chaque extrmit dun tunnel est associe une zone reprsente par un espace dadressage interne qui est desservi par le tunnel. Cette technique peut tre utilise diffrentes fins : crer des
28 juillet 2004
38/98
Livre ouvert sur la scurit zones (zonage) ou raliser du partage de charge en associant les tunnels diffrents correspondants sur un site.
Maill
En toile
Hub-and-spoke
2.7.2
28 juillet 2004
39/98
Livre ouvert sur la scurit Les solutions de VPN-SSL offrent un accs distant qui rpond la fois aux besoins des administrateurs et des utilisateurs finaux. Il permet aux entreprises de fournir laccs distant scuris, fiable et intuitif que demandent les utilisateurs, sans les migraines et le temps pass l'installation et la configuration des logiciels clients, et sans devoir modifier les applications ct serveur.
28 juillet 2004
40/98
Livre ouvert sur la scurit Par dfaut, les utilisateurs sont authentifis vis vis d'une base de donnes interne au systme, en utilisant un mot de passe. Mais il peut galement tre configur pour exploiter les mthodes d'authentification RADIUS et LDAP, l'authentification HTTP de base et par formulaires, et les serveurs de domaines Windows. De nombreuses entreprises exigent une authentification deux facteurs, consistant utiliser une mthode supplmentaire, au del du profil et du mot de passe. Ce type de solutions supporte compltement l'authentification RSA SecurID base sur les jetons. et il propose galement une version intgre de VASCO Digipass. Internal user database RADIUS authentication VASCO DigiPass authentication LDAP authentication Initial signup on LDAP with subsequent strong internal password Windows domain authentication HTTP Form & Basic authentication Auto login La fonction dauto login permet la solution de VPN SSL de rutiliser le login /passsword fourni par lutilisateur pour sauthentifier pour une nouvelle authentification auprs des applications de lEntreprise auxquelles il souhaite accder : Web interne, Citrix, Windows Terminal server, Fichiers partags NT, Double mot de passe La mise en uvre dune stratgie dauthentification forte lors de la connexion sur la solution de VPN SSL ncessite lutilisation du mot de passe pour lauthentification forte et le mot de passe statique utilis en interne si lutilisateur souhaite accder aux applications avec la fonction dauto login. Cette solution est supporte par les solutions de VPN SSL. Il existe deux stratgies pour effectuer ce type dauthentification forte: Lutilisateur fournit les deux mots de passe lors de son authentification sur la solution de VPN SSL, Lutilisateur fournit uniquement son mot de passe dauthentification forte pour ce connecter sur la passerelle, puis sa premire authentification sur une application sera cache par la solution VPN SSL et sera utilise pour lauto login aux autres applications. Le mapping de groupe La fonction de mapping groupe permet de rcuprer en Radius, LDAP, ActivDirectory ou NTLM le groupe dun utilisateur et le faire correspondre un des groupes configurs sur le VPN-SSL. Cette fonctionnalit permet : De faire correspondre un utilisateur un profil du botier en utilisant la stratgie de groupe de lEntreprise centralise sur un serveur. De mettre en uvre des stratgies dauthentification diffrentes selon le groupe de lutilisateur. La Gestion des autorisations Les privilges d'accs peuvent tre attribus des individus ou des groupes d'utilisateurs (par exemples "Commerciaux", "Partenaires", "Informatique"). Ainsi, le VPN-SSL peut limiter les individus ou groupes des ressources particulires. Les partenaires peuvent, par exemple, n'avoir le droit d'accder qu' un serveur d'extranet, tandis que les commerciaux peuvent se connecter aux e-mails, l'intranet de l'entreprise et aux systmes de CRM.s
28 juillet 2004
41/98
Description : 1. Le botier SSL est dans une DMZ. Les flux en provenance des utilisateurs vers la solution VPN SSL sont grs par un Firewall et les flux vers les applications en provenance de la passerelle VPN SSL sont grs par un deuxime Firewall. 2. Le firewall1 filtre les accs et les flux de donnes en SSL en provenance des utilisateurs. 3. Le Firewall2 filtre les accs de la solution VPN SSL vers les applications de lentreprise.
28 juillet 2004
42/98
2.7.3
28 juillet 2004
43/98
Livre ouvert sur la scurit LIP Forwarding est dvalid, Vrification des tables de routage, Vrification des paramtres qui doivent tre valides sur le poste client Site de quarantaine si un ou plusieurs points vrifis ne seraient pas corrects pour permettre lutilisateur de les corriger par une mise jour dune version logicielle par exemple. Le tunnel SSL tablit une liaison PPP entre le client distant et le VPN-SSL. Lensemble du trafic en provenance du client sera rout vers le rseau de lentreprise.
Fonctionnement :
2.7.4
Anti-virus
La solution VPN SSL doit supporter les diffrentes solutions dAnti-Virus pour permettre lentreprise de contrler les fichiers que lutilisateur introduirait dans celle-ci. La passerelle VPN-SSL supporte en interne une solution dAnti-Virus, mais les besoins de lentreprise sont de supporter les solutions internes celle-ci, ainsi le support du protocole ICAP permet linterconnexion pour la dcontamination des fichiers transfrs entre lutilisateur et le rseau interne avec des solution dAnti-Virus qui intgrent ce protocole. Les solutions dAnti-Virus supportant ICAP sont par exemple : Trend Micro, Symantec, Sophos, Les solutions de VPN-SSL sont souvent prsentes sous forme de boitier/serveur rackable, mais certains fournisseurs les prsentent sous forme logicielle.
2.7.5 2.8
Choisir entre un VPN IPSec et un VPN SSL LE CHIFFREMENT DES DONNEES SUR DISQUE
Partie traite provisoirement par Grard Pliks (EADS)
Le poste de travail nomade quand il nest pas connect au rseau ne constitue plus un danger pour lIntranet, mais il peut contenir des renseignements confidentiels et qui doivent le rester. Mme si ce poste de travail est vol ou perdu, les renseignements confidentiels quil contient ne doivent pas tre lus par des personnes non autorises. Pour cela, il est impratif de pouvoir chiffrer certaines parties du disque dur, dans lesquelles on placera imprativement les fichiers qui ne doivent tre accessibles quau propritaire du poste de travail. Les logiciels de chiffrement des donnes sur disque permettent non seulement de chiffrer les fichiers contenus dans certaines partitions disque, mais aussi peuvent masquer ces partitions aux personnes non habilites lire ces fichiers confidentiels. Une bonne solution est de coupler lauthentification forte (utilisation de sa carte puce par exemple) avec la possibilit daccder aux
28 juillet 2004
44/98
Livre ouvert sur la scurit partitions confidentielles et de dchiffrer les fichiers quelles contiennent. Inversement, les fichiers de ces partitions sont chiffres et les partitions ne sont plus visibles quand on retire la carte puce.
2.9
Pour prouver lorigine dune cl publique, on linsre dans un certificat qui est remis aux utilisateurs qui en ont besoin pour chiffrer un message destination du dtenteur de la cl prive, ou pour dchiffrer une signature mise par le dtenteur de cette cl prive. Ce certificat est sign par une autorit en qui les utilisateurs (personne ou passerelle), placs aux deux extrmits du tunnel ont confiance. Le certificat ne peut tre falsifi parce quil contient une partie chiffre par la cl prive de lautorit de certification. A la rception, il y a comparaison entre cette zone qui est dchiffre par la cl publique de lautorit de certification du certificat de lautre extrmit du tunnel, et de la mme zone en clair contenue dans le certificat. Si le certificat na pas t compromis, il est tabli que la cl publique quil contient est bien la cl publique qui correspond la cl secrte que lautre extrmit du tunnel seule dtient. Le certificat prsente galement dautres renseignements sur lidentit et la socit du possesseur du certificat, ainsi que sur lautorit de certification qui la sign et sur les dates de validit du certificat. Produire et grer des certificats grande chelle est le mtier des tiers de confiance qui fournissent des PKI (Infrastructures de Cls Publiques). On peut tre son propre tiers de confiance ou externaliser la gestion de ses cls, la signature et la distribution des certificats une autorit extrieure.
2.10 2.11
Le firewall assure une protection primtrique autour du rseau priv de lentreprise, mais il ne peut analyser que les paquets IP qui le traversent, et ne peut ragir contre des attaques qui se perptuent derrire lui dans lIntranet. Il est bon de prvoir une deuxime ligne de dfense et mme plusieurs lignes de dfense en profondeur. Cest ce que font les sondes de dtection dintrusion et les dtecteurs danomalies rseaux. Les sondes de dtection dintrusion Une sonde de dtection dintrusion place un endroit sensible du rseau, analyse les paquets IP qui passent et les compare une base de signatures dattaques, qui doit tre tenue jour, pour dceler si les paquets sont dangereux. La sonde ragit, si son analyse conduit penser que le paquet est douteux, par exemple en gnrant une alarme et parfois mme en modifiant la configuration dun routeur. Un problme pos par certaines sondes de dtection dintrusion est de ragir trop souvent et laccumulation des alarmes, souvent de fausses alarmes, alourdit la tche de ladministrateur. Mais mieux vaut signaler une fausse alarme que den laisser passer une vraie, pensez-vous ? Oui, condition davoir le temps et les ressources pour reprer et traiter les vraies alarmes si elles sont noyes dans le flot des fausses. Les dtecteurs danomalie rseau On trouve sur le march une autre famille de dtecteurs : les dtecteurs danomalies rseau et danomalies systme. Un moteur cognitif apprend la sonde le fonctionnement normal du rseau ou du systme. Cette normalit est modlise dans des quations et les sondes sont alors prtes ragir quand un vnement leur semble scarter dun certain seuil de ce qui est considr comme un vnement normal. Ainsi, dans une entreprise o le rseau nest sollicit habituellement que pour la messagerie ou le Web et seulement durant la journe, si trois heures du matin le poste de travail
28 juillet 2004
45/98
Livre ouvert sur la scurit dune personne de la direction des ressources humaines lance distance une compilation de C++, la sonde dtectera lanomalie et ragira. Ce type de sonde signale beaucoup moins de fausses alarmes que celles des dtecteurs dintrusion, et affecte moins les performances du rseau. Il nest ici plus question de comparer chaque paquet avec une base de signature qui sallonge avec le temps, et possde parfois une signature proche du paquet que la sonde analyse.
2.12
Lanti-virus de lentreprise install sur un serveur intercepte et analyse les messages et surtout les pices excutables jointes aux messages, mais il est bien entendu impuissant contre les programmes qui sont rcuprs par les utilisateurs partir de CDROM ou de disquettes, directement sur leur poste de travail. Cest pourquoi un anti-virus personnel, sur chaque poste de travail est indispensable. Mme si lutilisateur na sur son poste de travail que des fichiers personnels et dautres fichiers sans grande valeur pour lentreprise, labsence dun anti-virus personnel sur son poste de travail peut tout de mme faire courir de gros risques lentreprise, car quand lutilisateur inconscient branchera son PC sur le rseau, il pourra contaminer tout lIntranet. On ne peut demander lutilisateur de faire diligence pour rester jour dans ses versions dantivirus, lexprience prouve quil chargera les nouvelles versions et les nouvelles bases de signatures de virus connus une fois ou deux, mais quil ne le fera pas systmatiquement et son anti-virus personnel deviendra vite obsolte. Les anti-virus personnels doivent tre mis jour et lancs automatiquement par un serveur de lentreprise, chaque fois que lutilisateur se connecte sur le rseau. Il est mme conseill, vu les dgts que peuvent causer les virus et les vers de mettre en uvre deux anti-virus provenant de constructeurs diffrents, par exemple un anti-virus X sur les postes de travail et un anti-virus Y sur le serveur dentreprise.
2.13
SECURITE ET MOBILITE
Auteur : Franck Franchin (FRANCE TELECOM) franck.franchin@francetelecom.com
La grande gnralisation des terminaux portables ou mobiles associe la banalisation du travail en situation de mobilit engendre de nouvelles menace sur la protection des informations de l'entreprise. La principale menace qui pse sur les donnes stockes dans un terminal mobile (PC portable, PDA, smartphone) demeure le vol physique du-dit terminal. Toutefois, d'autres menaces commencent poindre l'horizon. Par exemple, qui n'a pas renvoy son PDA dfaillant directement au fabricant, via le SAV du vendeur. Si on peut ventuellement faire confiance aux services aprs-vente du fabricant (et cela reste prouver...), le plaisir d'en recevoir un tout neuf en change sous garantie ne doit pas faire oublier ce qu'est devenu l'ancien... Revendu sur un site d'enchres par exemple, il a pu devenir la proie d'un pirate. Selon le Gartner, 90% des terminaux mobiles n'ont pas les protections ncessaires pour viter la rcupration d'information sensibles : comptes de messagerie, mots de passe, contacts stratgiques, et autres documents confidentiels. Une autre nouvelle menace est lie l'intgration par dfaut de systmes de communication sans fil (Bluetooth, Wifi, IrDa) activs par dfaut, quelquefois l'insu du propritaire du terminal. Un portable devient alors vulnrable dans tous les lieux publics. Mais la notion de scurit n'implique pas uniquement la confidentialit . Parlons plutt intgrit et disponibilit . La facilit d'utilisation et l'ubiquit de ces terminaux nous fait souvent oublier les bonnes rgles de base : sauvegarde et synchronisation. Les disques durs des PCs portables sont soumis des contraintes importantes qui les fragilisent quant bien mme ils aient t conus en ce sens. Les cartes CF ou autres des PDAs sont sensibles l'lectricit statique et supportent quelquefois mal plusieurs aller-retours avec un appareil photo. De leur ct, les smartphones ont une fcheuse tendance tomber .
28 juillet 2004
46/98
Livre ouvert sur la scurit Une autre notion en scurit porte sur l'identification du primtre de scurit et sur les contrles d'accs aux donnes. Si cette notion peut s'appliquer plus ou moins facilement des PCs physiquement rsidents dans un bureau potentiellement ferm cl et reli un Ethernet cbl, que dire d'un PC portable Wifi qui voyage dans une voiture, prend l'avion, se connecte sur une borne Wifi la maison ou l'htel et qui pratique le libre-changisme de donnes avec ses pairs par cls USB interposes. On ose peine parler du double-attachement. Que le premier qui n'a jamais laiss son PC portable en salle de runion sans surveillance pendant 5 minutes lance la pierre. Parlons donc du vol des mobiles et des portables. Dans toute entreprise, les chiffres sont difiants, quand bien mme l'auto-dclaration donne une image fidle de ces sinistres. Aujourd'hui, un PC portable vaut presque le tiers d'un modle quivalent en gamme il y a 3 ans. Quel est l'intrt pour un voleur de franchir le primtre de scurit d'une grande entreprise pour drober 4 ou 6 portables ? Il n'en tirera au mieux que quelques centaines d'euros pice. Sans tre paranoaque, il suffit de se balader sur certains forums underground pour trouver des pirates qui revendent des bases de donnes de mots de passe, de numros d'accs des Extranets, des numros de cartes de crdit (avec dates d'expiration). N'est-il pas plus facile de voler des PCs ou de racheter des disques durs sur Ebay que de pntrer des systmes d'informations bards de contre-mesures ? L'information ne vaut-elle pas dsormais plus que le matriel qui la traite ? Voici donc maintenant quelques conseils de base qui facilitent la vie (et le sommeil) d'un utilisateur de portable ou de mobile : Rgle N1 - Penser aux sauvegardes - Utiliser le graveur de CD ou de DVD qui quipe dsormais la grande majorit des portables pour effectuer priodiquement des sauvegardes des donnes les plus importantes. La cl USB est aussi un bon outil (pour les changes de vos Powerpoint, prfrer chaque fois que c'est possible le courrier lectronique et les rpertoires partags) ; Rgle N2 - Utiliser les rpertoires partags et les fonctions de synchronisation - Si vous oubliez de faire vos sauvegardes, vous pourrez toujours compter sur celles effectues par votre administrateur rseau sur vos serveurs de fichiers d'entreprise. Rgle N3 - Utiliser le chiffrement - Pour les donnes sensibles, ne pas hsiter recourir aux fonctions de chiffrement de votre systme d'exploitation ou celles d'une solution ddie. Bien videmment, ne pas succomber la facilit de sauvegarder le mot de passe sur le disque dur. Rgle N4 - Toujours considrer que votre portable risque d'avoir t infect. Vous avez pass une semaine en mission sans vous connecter au rseau de votre entreprise et donc sans mise jour de votre anti-virus. Pendant cette mme priode, vous avez chang des fichiers avec cette sacre cl USB, vous avez fait du Wifi l'htel et l'aroport et vous vous tes connect en mode invit chez votre client. Assurez-vous de forcer une mise jour de l'anti-virus de votre portable ds votre retour au bureau. Rgle N5 - Diffrencier les mots de passe - Votre portable ou mobile ne devrait jamais avoir le mme mot de passe qu'un autre systme fixe que vous utilisez au bureau. Rgle N6 - Bien choisir ses mots de passe - La longueur est plus importante que la complexit. Le mot de passe suivant Par un bel et chaud aprs-midi d'automne Paris est plus dur cracker (dictionnaire ou force brute) que #@&@=} .
2.14
Le proxy et le cache ne sont pas, proprement parler des solutions de scurit, mais ils y participent, en assurant le confort des utilisateurs et sont souvent associs la fourniture dune solution complte pour scuriser le rseau interne de lentreprise, au moins au niveau humain. Le proxy a pour fonction de se faire passer pour un serveur (web par exemple) pour masquer le vrai serveur aux utilisateurs. Cest sur ce principe que sont btis les firewalls haut de gamme. Le cache est un espace disque dans lequel linformation demande est stocke un certain temps pour tre resservie en cas de nouvelle demande de cette information.
28 juillet 2004
47/98
Livre ouvert sur la scurit Le proxy constitue un endroit stratgique pour contrler linformation demande aux serveurs Web. Un proxy intelligent permet de runir les utilisateurs par groupes ou par fonctions, de diviser le temps en plages horaires et de regrouper les pages Web par catgories. On peut alors conseiller ou interdire telle catgorie de pages web, durant telle plage horaire tel groupe dutilisateurs. Le proxy plac dans lIntranet, derrire le firewall, souvent sur une DMZ, peut galement limiter les abus en tablissant des quotas, en temps de connexion, en nombre de pages web lues, en volume de donnes charg par jour, par semaine, par mois pour chaque groupe dutilisateurs, dans une priode choisie. Les noms des collaborateurs indlicats peuvent tre placs, un certain temps, dans une liste noire. Ces collaborateurs perdent alors toute possibilit daccder au web, le temps du sjour de leurs noms dans cette liste qui sera vite redoute. Ces mesures vous semblent incompatibles avec le droit, que tout utilisateur peut revendiquer, de garder une parcelle de sa vie prive mme durant les horaires de travail ? Ce mme utilisateur a aussi des devoirs, et en particulier celui dutiliser les outils mis sa disposition par son employeur, des fins uniquement professionnelles. Une fois les employs avertis quun tel systme de surveillance est mis en place, lemployeur peut alors lutiliser. Et le seul fait de savoir que ce systme de surveillance existe dans une entreprise rend les employs plus sensibles nouvrir que les pages web utiles dans le cadre de leurs fonctions et au moins viter de charger certaines pages, si ce nest celles improductives, au moins celles rprhensibles par la loi. Ainsi, avec quelques prcautions, et quelques outils et rglementations acceptes de part et dautre, laccs cette incroyable ressource quest lInternet, pourra se faire avec efficacit, et sans consquences prjudiciables pour lemploy comme pour son employeur.
2.15
La morale nayant pas sa place quand il est question dobserver son prochain, certains diteurs de logiciels placent dans leurs programmes des bouts de code qui vont fonctionner comme des mouchards et renseigner des rgies publicitaires, des concurrents ou des faux amis, lextrieur. Dans le dernier roman de Tom Clancy, lours et le dragon, vous avez un magnifique exemple de logiciel espion tournant sur le poste de travail dun dirigeant chinois, et qui va devenir un facteur essentiel de la victoire des Etats-Unis en guerre contre la Chine. Sans aller chercher si loin, voyons ce que vous avez sur votre propre poste de travail. Tlchargez le logiciel adaware que vous trouverez gratuitement sur le web www.lavasoft.de (rassurez vous, il ne contient ni virus, ni logiciel espion). Installez le et lancez le. Si vous avez dj navigu sur le web, comme la plupart dentre nous, vous trouverez sur votre poste de travail au moins un pointeur vers le cookie du fournisseur de bannires doubleclick qui peut renseigner une rgie publicitaire sur vos habitudes de navigation. Ca nest pas trs grave. Mais si vous avez tlcharg des logiciels, peut tre avez-vous install, bien sr votre insu, de redoutables logiciels espions qui envoient, par le rseau, vos concurrents les fichiers confidentiels contenus dans votre disque, tels que les conditions de remises, vos remarques personnelles sur vos clients et partenaires, les spcifications des produits non encore annoncs, vos propositions de rponse appel doffre en prparation. Si vous avez tlcharg et install un logiciel et vous apprenez quil contient un spyware (logiciel espion), ne pensez pas pouvoir supprimer ce logiciel espion simplement en dsinstallant le programme qui vous en a fait cadeau. Les spywares ont la vie dure et ne se laissent pas facilement radiquer car ils se cachent des endroits du disque o on ne pense pas aller les chercher. Heureusement un logiciel comme adaware sait les radiquer correctement.
2.16
Le temps qui sgraine inexorablement est un cauchemar pour le hacker durant lattaque dun rseau. Au dbut, les pousses dadrnalines le transportent au nirvana des pirates quand il peroit les premiers signes de rupture du systme dinformation de sa victime sous ses coups de boutoirs dirigs sur les vulnrabilits quil a trouves dans ce systme. Mais si lattaque dure plus que prvu, le hacker ressent alors quun
28 juillet 2004
48/98
Livre ouvert sur la scurit danger diffus le menace et que les tenailles menaantes du risque se rapprochent doucement de lui au risque de le broyer. Il arrive en effet que le chemin de lattaque passe par un terrain min. Ces piges, ce sont les honeypots, les pots de miel placs en amont dun systme dinformation et qui lmule par un firewall, par-ci, un serveur de fichier et de messagerie par-l, mais ce sont en ralit des leurres dans lesquels le hacker senglue et narrive plus en sortir sans laisser des traces quil ne pourra pas effacer. Son attaque est observe, analyse et ses mthodes sont ventes, et soudain lespoir changea de camp, le combat changea dme du hacker maintenant, on capturait les trames. et le pirate peut se faire serrer par les autorits judiciaires comptentes. On distingue les pots de miel qui se contentent de simuler des fonctionnalits dun logiciel et qui entament un dialogue avec lattaquant et dautres plus labors qui sont de vraies applications, une base de donnes Oracle par exemple, mais truffes de sondes de dtections dintrusions, danalyseurs de logs o tout est journalis et archiv sur un serveur qui est lui totalement inaccessible au pirate englu dans le pige. Le hacker croit agir dans lobscurit de lanonymat, son attaque est en fait expose en pleine lumire sans espoir deffacer les indices quil sme. A linverse dun firewall, le pot de miel laisse pntrer les hackers mais ne les laisse abandonner la place quaprs avoir mis en vidence le droulement des attaques. Un pot de miel peut confiner vers et virus dans une enceinte pour mieux les analyser et trouver une parade. Riches sont les informations qui en sont tires. Il y a mme un projet de recherche, le honeynet auquel participent les plus fins limiers de la scurit qui gre tout un rseau de pots de miel. Ce rseau nest pas plus attaqu quun autre mais pas moins non plus, cest dire quil est donc trs attaqu et ces attaques sont dcortiques dans le but de diffuser aux participants du projet des informations sur la psychologie et la sociologie des agresseurs et de concevoir des contre-mesures pour les coincer. O placer un pot de miel ? Ceux grande chelle, comme le projet honeynet sont des rseaux part entire et se trouvent quelque part sur lInternet. Les attaquants y entrent mais nen sortent pas. Pour une entreprise, il est prfrable disoler les pots de miel dans une zone dmilitarise (DMZ), cre par leur firewall et de nen rvler bien sr lexistence quaux utilisateurs quon ne souhaite pas voir tomber dans le pige. La mise en place dun pot de miel est-elle lgale ? Faut-il tre du ct du gendarme ou du ct du voleur ? Il ny a pas de lgislation spcifique concernant les pots de miel placs sur les STAD (Systme de Traitement Automatise des Donnes) comme on nomme de manire dsute les systmes dinformation dans les livres de droit. Tout rside dans lintention et dans la manire dont les crateurs de pots de miel sy prennent. De mme quun fonctionnaire de police na pas le droit, du moins en France, de crer les circonstances et lenvironnement dun mfait pour prendre un dlinquant en flagrant dlit, de mme il ne peut tre fait de publicit pour attirer un pirate dans un rseau pig pour utiliser les preuves de son attaque en justice. Pour que lagress puisse donc utiliser les preuves dune attaque, lagresseur doit tre tomb naturellement dans le pige tendu. Placer des pots de miel sapparente donc plus une partie de pche au pirate qu une embuscade monte sur les grands chemins des autoroutes de linformation. On pourrait aussi concevoir un pot de miel qui ragisse en attaquant lagresseur pour compromettre son propre systme dinformation en remontant aux sources de lattaque. Mais le pirate pourrait alors se plaindre davoir t attaqu alors quil tait tomb sur votre rseau (comme) par hasard sans intention malveillante. Et que dire si le hacker utilise pour vous attaquer, un poste intermdiaire comme celui de la police ! Le monde est loin dtre simple et binaire et mieux vaut donc garder son pot de miel passif. Dans un Intranet, un honeypot doit tre bien videmment considr comme un outil de surveillance et sa lgitimit repose sur une obligation dinformation des reprsentants sociaux des employs sur
28 juillet 2004
49/98
Livre ouvert sur la scurit ce qui est mis en fonction. Ceci enlve au pot de miel son effet surprise, mais cest bien le but de la protection des employs contre les outils de surveillance non dclars, dautre part, sa mise en place doit reposer sur le principe de proportionnalit qui dit quun outil de surveillance ne peut tre mis en place par lemployeur que sil est justifi par la valeur de linformation quil protge et par les ardeurs des attaquants le compromettre. En thorie, que le pot de miel soit plac en dehors de lIntranet pour coincer les pirates extrieurs ou lintrieur pour surveiller les employs, il devrait tre accompagn dun message du genre : Attention ce serveur nest accessible quaux personnes autorises. En entrant dans ce serveur, vous acceptez que votre activit soit contrle et divulgue Dailleurs bien y rflchir, cest peut tre astucieux de mettre cette recommandation, pot de miel ou pas, pour obtenir un effet dissuasif, un peu comme ceux qui mettent un criteau Chien mchant !!! dans leur jardin alors que ny rside quune paisible tortue. Signalons quun pot de miel dun genre nouveau vient de faire son apparition loccasion de la sortie du film Blueberry. Ce film est propos en DivX sur les serveurs dchanges tels que KazaA et eDonkey. Vous tlchargez, comme plusieurs dizaines de milliers dinternautes lont dj fait, le fichier DivX de 700MO ( !) et vous obtenez le tout dbut du film, mais au dtour du chemin, voici Vincent Cassel qui apparat et vous explique que vous venez de tlcharger une copie vido de trs mauvaise qualit comme ce quon trouve habituellement avec ce genre dchanges, et que pour apprcier le film, mieux vaut aller le voir au cinma. Le reste du DivX est constitu de scnes de tournage du film pour vous faire comprendre que la cration dune telle uvre ne peut tre envisage que si les spectateurs paient leurs places de cinma. Dissuasif mais moral !
28 juillet 2004
50/98
3
3.1 3.2 3.3 3.3.1
LA GESTION DE LA SECURITE
LES ASPECTS DE VERIFICATION ET DAUDIT
Partie prise en charge par Olivier Caleff (Apoge Communications)
Introduction
Plusieurs tendances sont actuellement observables: Les entreprises stendent, les lieux de travail sont de plus en plus disperss. Les points daccs aux rseaux de collecte, les rseaux dinterconnexion IP privs ou publics se multiplient, les rseaux sans fil (WLAN, GPRS et bientt UMTS) facilitent la mobilit intra et extra entreprise mais sont vulnrables en raison de la technique de transmission utilise (lair). Les ressources physiques des rseaux sont pour des raisons de cot, mutualises, ce qui fait que les VPN IP sont la voie royale de migration des entreprises vers IP. Une bande passante leve devient disponible des cots abordables, Les attaques via des virus, vers etc se sont intensifies et se focalisent sur les systmes dexploitation les plus utiliss (ex Windows). On assiste ainsi la mise disposition de lentreprise dune ressource de communication donnant lillusion, quel que soit la distance, dun rseau local mais par contre plus vulnrable. Enfin, les entreprises pour leur dveloppement commercial, utilisent de plus en plus internet qui sintgre au cur du fonctionnement de lentreprise. Ceci montre la problmatique que doit rsoudre lentreprise qui est de sorganiser face cette intensification des communications et des attaques, louverture sur le monde concrtise par lutilisation dinternet, laugmentation de la vulnrabilit des environnements de travail, des rseaux et des systmes.
3.3.1.1 Le problme
3.3.1.3 La solution
La solution cette problmatique est dune part la prise en compte de la scurit dans la conception du systme dinformation, de ne pas la considrer comme une pice rapporte et dautre part de mettre en place une gestion globale de la scurit, ceci afin dapporter les moyens de dfense ncessaires au SI (systme dinformation) pour faire face aux intrusions internes et externes et galement aux dfaillances et disfonctionnements prjudiciables au bon fonctionnement du SI. Seule une gestion centralise de la scurit peut assurer une vision globale.
28 juillet 2004
51/98
Livre ouvert sur la scurit A la base, il est ncessaire que lentreprise labore une politique de scurit de son systme dinformation qui reflte sa vision stratgique en terme de scurit de systme dinformation. Cette politique de scurit doit couvrir les aspects environnementaux, organisationnels, physiques, logiques et techniques du SI et aboutir llaboration de rgles de scurit qui devront tre appliques. Lapplication de ces rgles doit tre administre, supervise, surveille et contrle et justifie la prsence dun centre de gestion de la scurit.
3.3.2
des personnes sous la forme de rles (utilisateurs, administrateur, administrateur privilgi , superviseur) et de droits. Le systme de gestion de la scurit sappuiera sur un systme dadministration exploit.
services
VPN IP VPN IP
Composants administrs
28 juillet 2004
52/98
3.3.3
3.3.4
Les oprations
Lapplication des rgles de scurit est ralise par des oprations qui interviennent :
Lors de lapprovisionnement
Avant le dmarrage dune activit, une personne ou un appareil doit possder des informations et des droits ncessaires laccomplissement des tches qui lui incombent, ces informations dapprovisionnement prcdent lactivation. Cette phase dapprovisionnement peut se raliser de plusieurs manires : Un systme de configuration qui fournit (mode pull) ou applique (mode push) les fichiers de configuration de scurit lors de la mise en service des stations/serveurs, quipements de rseau, services applicatifs, applications. Un systme PKI (Public Key Infrastructure) qui fournit les certificats aux utilisateurs et aux quipements, Lenvoi confidentiel par messagerie lectronique de login/mots de passe aux utilisateurs ou aux administrateurs Fournir un badge une personne. Fournir une procdure dexploitation un administrateur
En cours de fonctionnement
En cours de fonctionnement, des oprations de scurit sont effectues. Ces oprations peuvent tre programmes ( exemple : procdure dexploitation : sauvegarde, date de premption dun
28 juillet 2004
53/98
Livre ouvert sur la scurit certificat) ou non programmes, dclenches en fonction dvnements, par exemple dtection dintrusion, modification de politique. Exemple doprations : mise jour de logiciel mise jour de base anti-virale renouvellement de mots de passe renouvellement de certificats mises jour de logiciel reconfigurations suite une modification de politique dsactivation suite une dtection dintrusion ractivation suite la fermeture dun incident ayant provoqu une dsactivation sauvegarde. 3.3.5
La surveillance
Un systme de scurit ncessite un sous-systme de surveillance qui recueille en permanence des informations (exemple enregistrements de logs) en provenance des composants scuriss. Des corrlations sont effectues et produisent des informations exploitables pour : Signaler des anomalies ou des intrusions (alertes) Elaborer des historiques de fonctionnement.
3.3.6
La supervision
La supervision contrle et surveille lexcution des oprations et recouvre laspect fonctionnement normal et anormal. Exemple : contrle de ltat dactivit dun quipement de rseau (ping), contrle de lapprovisionnement dun appareil,
3.3.7
Le contrle
Plusieurs types de contrle peuvent tre effectus: Contrle de lenvironnement physique (gardiennage), Contrle priodique de ltat de vulnrabilit de tous les systmes du systme dinformation. Contrle de la configuration dun poste pour lautoriser se connecter lentreprise. Contrle des sauvegardes. Essai de restauration dun systme partir de la dernire sauvegarde, Etc..
3.3.8
3.3.9
28 juillet 2004
54/98
Livre ouvert sur la scurit SOC ( Security Operations center) entreprise Lentreprise dispose de son centre de gestion centralis de la scurit Cette formule ncessite des moyens et des comptences. SOC externalis Services administrs Le centre de gestion est exploit par une socit tiers mais lentreprise garde le contrle de sa scurit tout en nayant plus la complexit de gestion et les investissements dun SOC. Infogrance Le systme dinformation et le centre de gestion sont exploits par une socit tiers.
3.4
28 juillet 2004
55/98
4
4.1
La gnralisation des infrastructures exploitant des services de type Voix sur IP (VoIP), pose naturellement avec une plus grande acuit le problme de la vulnrabilit de ces systmes. Des systmes de protection bien spcifiques ont donc t dvelopps pour rpondre aux problmes et faiblesses intrinsques des solutions VoIP courantes, en cohrence avec les contraintes de QoS (qualit de Service) requises pour le transport de la parole. Dans la majorit des cas, ces quipements, comparables en terme de positionnement aux Firewalls et autres IDS, placs entre les serveurs et lments VoIP, et les postes clients, filtrent les connexions et suivent le trafic avec une comprhension des protocoles mis en oeuvre. Actuellement ces fonctions sont souvent intgres un produit ddi nomm Session Border Controler (SBC), mais peuvent aussi se retrouver dans d'autres lments de l'architecture VoIP (tels que SIP Proxy, SoftSwitch, etc.). Nous allons voir les risques particuliers qui existent dans le monde VoIP, et quelle solution les produits spcifiques rcents apportent.
4.1.1
28 juillet 2004
56/98
Livre ouvert sur la scurit (visible de l'Internet) pour les diffrents utilisateurs du rseau. Cette conversion n'ayant que peu ou pas de comprhension des protocoles applicatifs, elle rend incohrents les paquets de signalisation (SIP ou MGCP par exemple), dans lesquels les adresses IP de l'en-tte et de la partie signalisation n'ont plus aucune correspondance. Pour remdier ce problme, une solution peut tre de modifier tous les quipements NAT (comme par exemple toutes les Residential Gateway) pour qu'ils comprennent et grent correctement la conversion des adresses IP de l'en-tte mais aussi celles apparaissant dans le champ de la signalisation. Cette solution est hlas trs utopique. Une solution beaucoup plus raliste consiste palier la modification des adresses IP posteriori (aprs le passage par le NAT), pour rendre la cohrence aux datagrammes de signalisation lors de leur rception par l'oprateur VoIP. C'est que l'on appelle le NAT Remote Traversal, puisque la correction est effectue distance.
4.1.2
Les risques
Les risques de la VoIP compars aux systmes voix traditionnels existent car le rseau VoIP est, comme son quivalent data, connect l'Internet, et de ce fait, expos toutes les tentatives d'intrusion, et d'attaques que l'on y trouve. Parce que l'ensemble des communications avec l'extrieur va circuler sur le mme lien, le risque d'coute indiscrte est d'autant plus important. (En tlphonie traditionnelle, le multiplexage des canaux rendait un peu plus complexe ce type d'espionnage, puisque chaque communication devrait alors faire l'objet d'une coute spcifique). La probabilit d'attaque est plus leve que dans le monde data, parce que l'environnement tlphonique fait intervenir une composante conomique (cots et revenus) beaucoup plus rigoureuse que dans le monde de la data. Une communication tlphonique vers l'international ou vers un mobile, dont l'metteur est mal- ou non-identifiable, a un cot intrinsque rel, que l'oprateur va certainement devoir rgler, sans pouvoir rpercuter vers le vritable appelant. A grande chelle (dure et quantit de communications) cela devient trs vite un problme critique. Un autre risque, qui n'est pas propre la VoIP mais cependant fondamental est qu'en mutualisant l'utilisation de l'infrastructure de communication pour supporter les services Voix et Data, on prend le risque de voir les deux services devenir simultanment indisponibles en cas de dfaillance ou d'attaque srieuse, et donc de perdre de cette faon le moyen ultime habituel : Appeler le technicien rseau par tlphone en cas de panne rseau.
4.1.3
Les attaques
La plupart des attaques spcifiques VoIP ont un quivalent dans le monde des PBX traditionnels. Certaines sont plus faciles en VoIP, d'autres au contraire plus complexes : Le DoS (Denial of Service) qui consiste dgrader ou inhiber un service en bombardant un lment de l'infrastructure VoIP (serveur Proxy, Gateway par exemple) d'une grande quantit de paquets malveillants (tels des trames TCP SYN ou ICMP Echo destination d'un SIP Proxy) L'Eavesdropping ou Call Interception, qui correspond l'observation indlicate et/ou illgale des flux (signalisation et phonie) et au dcodage pour une coute passive et prohibe des communications Le Packet Spoofing, ou Presence Theft, o le malfaiteur gnre des paquets en utilisant ou en usurpant l'identit d'un utilisateur (permettant donc une impersonation soit au niveau paquet au niveau de l'quipement, ou bien au niveau de l'individu). Typiquement ce genre d'attaque permet de tricher sur la facturation (Toll Fraud) Le Rejeu (Replay) qui est la re-transmission de tout ou partie d'une session relle, de manire ce qu'elle soit traite nouveau ( priori dans un but malintentionn), ce qui correspond aussi au Signal Protocol Tampering Le Message integrity, qui modifie ou corrompt le ou les messages lors de leur circulation En VoIP il est aussi possible d'injecter un virus un flot de donnes. Les quipements de scurit ddis doivent donc vrifier le contenu des communications au fil de l'eau, si un anti-virus n'est pas dj actif sur le circuit vers l'Internet.
28 juillet 2004
57/98
4.1.4
Fonctions
Les fonctions de scurisation que nous allons dtailler sont les suivantes : Cryptage Firewall VoIP Stateful (Signal & Media Validation) Admission Control List (ACL) Topology Hiding Observation et interception lgale DoS protection
4.1.4.1 Cryptage
Un moyen de protger les flux (signalisation et mdia) lors de leur transit de toute observation, est naturellement de les crypter, par exemple via un VPN. Il s'agit d'une solution commune tous les changes de donnes, qui dans le cas de la VoIP doit cependant ne pas ajouter de dlai de codage trop important, sous peine de dgrader la qualit de la voix. Le fait d'avoir des quipements de terminaison hardware permet gnralement d'viter cet cueil.
28 juillet 2004
58/98
Livre ouvert sur la scurit Ainsi en limitant le taux d'tablissement d'appel et mdia (call set-up rate & media rate) par flux, on se protge implicitement des attaques DoS, mais aussi potentiellement des perturbations que pourrait engendrer un quipement dfectueux (dans un tat instable), tout en maintenant le service pour les utilisateurs lgitimes. La temporisation entre appels (call gapping) permet de protger le SoftSwitch, les serveurs Proxy SIP et les autres entits impliques dans la signalisation, d'une sur-occupation temporaire malveillante, voire de tendre vers un tat inoprant. La limitation du taux d'appels (rate limiting) quant elle, permet de protger aussi bien le Media Gateway, serveur IVR, et autres quipements mdia, en dfinissant des taux naturellement cohrents avec la technologie (par exemple, le codec employ pour un flot permet de situer un seuil maximum du nombre de trames que l'on doit recevoir par seconde). Note : Dans le monde de la VoIP, les Phreakers sont les pendants des Hackers (terme inappropri mais tellement galvaud). Les Phreakers utilisent le systme tlphonique pour : passer des appels gratuitement perturber le systme tlphonique pour se divertir (dfi plus ou moins technique)
4.2
Ce sous-chapitre traite essentiellement des rseaux Wi-Fi bass sur les standards 802.11 de lIEEE, qui sont les plus rpandus en tant que WLAN. Dautres technologies seront nanmoins voques la fin.
28 juillet 2004
59/98
Livre ouvert sur la scurit Une technique similaire consiste ne pas rpondre aux broadcast mis par des postes mobiles dsirant se connecter et qui demandent quels sont les SSID disponibles ou visibles. Les postes mobiles du rseau doivent alors obligatoirement connatre le SSID. Il s'agit cependant, d'une part, de protections trs limites, car les SSID peuvent tre dcouverts via les communications des autres postes mobiles observs, et d'autre part, linhibition de lchange du SSID peut bloquer l'attachement de certains NIC dont les implmentations ncessitent ces tapes dans leur processus de connexion. Personnaliser le SSID et ne pas le diffuser, cest mieux, mais cest insuffisant ! Le WEP Le WEP est le mcanisme de scurisation standard prvu par le protocole 802.11. Il repose sur un mcanisme dauthentification et de chiffrement utilisant des cls de 40 ou 128 bits (plus un vecteur d'initialisation de 24 bits). Jusqu ce quil impose WPA (voir ci-dessous), le label Wi-Fi nimposait quune cl de 40 bits. Des implmentations 128 (24+104) et 256 bits sont courantes et plus robustes. Mais des programmes existent maintenant dans le public pour casser ces cls. Le chiffrement utilise un ou exclusif des donnes chiffrer avec une squence pseudo alatoire. Les principales vulnrabilits de cet algorithme viennent des facteurs suivants : la squence pseudo alatoire est obtenue au moyen dun algorithme linaire et est facilement prdictible la cl est statique et commune lensemble des points daccs et postes mobiles du rseau, le contrle dintgrit est faible et ne filtre pas efficacement les altrations des trames, il ne comporte pas dindication de squencement, ce qui facilite les attaques par rejeu, la squence pseudo alatoire est initialise au moyen dun vecteur dinitialisation, transmis en clair sur linterface air et de ce fait interceptable par sniffing. Face ces faiblesses, diverses mthodes ont t ajoutes pour rsoudre cette insuffisance. Citons le dynamic WEP et surtout le TKIP qui permettent le changement frquent de la cl de chiffrement. Ces dernires fonctionnalits se trouvent en standard dans les mcanismes du 802.11i. Lauthentification est tout autant vulnrable, du fait quelle est base sur la mme protection que le chiffrement. Elle se fait par envoi dun texte chiffrer au poste mobile qui dsire se connecter. Cette dernire renvoie le texte chiffr par le WEP. Si le chiffrement est connu, lintrusion est immdiate. Sinon, il suffit dcouter la squence de connexion dun poste mobile puisque le texte dauthentification passe successivement en clair puis chiffr sur linterface air. En tout tat de cause, lauthentification porte sur le poste et non sur son utilisateur. En pratique, il suffit de deux heures pour casser le WEP, certains se vantant mme de le faire en un quart dheure ! Pour faciliter le travail des hackers, il existe des dictionnaires de squences pseudo alatoires en fonction des valeurs du vecteur dinitialisation. On trouve galement sur Internet dexcellents logiciels de cracking du WEP (Airsnort ou Netstrumbler sous Linux, par exemple). Utiliser le WEP, cest mieux, mais cest insuffisant ! Modification de la cl La cl de chiffrement est unique et partage par tous les points daccs et postes mobiles du rseau. Une cl, a suse et une des rgles lmentaires de la scurit des rseaux chiffrs consiste changer priodiquement les cls. Le protocole 802.11 ne prvoit aucun mcanisme de mise jour des cls. Par consquent, la mise jour doit se faire manuellement et simultanment sur tous les quipements radio du rseau. Ceci nest possible que sur de trs petits rseaux et, en pratique, personne ne se livre une opration manuelle sur un rseau qui comprend un nombre significatif de points daccs et de postes mobiles. Modifier les cls, cest mieux, mais cest irraliste !
28 juillet 2004
60/98
Livre ouvert sur la scurit Le filtrage des adresses MAC Cette protection consiste nautoriser laccs au rseau qu un ensemble de stations dment rpertories au moyen de leur adresse MAC. Cette protection nest pas non plus parfaite, car les adresses MAC peuvent tre rcupres par les sniffers et rutilises par des hackers. Enfin, le filtrage des adresses MAC est contraignant pour lutilisateur puisque lintroduction dun nouveau poste mobile ncessite une reconfiguration du rseau. En pratique, cette technique nest raliste que si le rseau contient un nombre relativement restreint et stable de stations. Filtrer les adresses MAC, cest mieux, mais cest insuffisant ! Alors que faire ? La mauvaise rputation des rseaux sans fil vient de ce que nombre dutilisateurs nont voulu mettre en uvre que les mcanismes standards, ou aucun, ou encore se font une bonne conscience en inhibant la diffusion du SSID. Les techniques des rseaux filaires, notamment le VPN, peuvent venir au secours des rseaux sans fil, pour apporter une scurit applicative. Consciente des failles de scurit du protocole, lIEEE travaille une extension du protocole de base, dsigne 802.11i, qui repose sur des techniques prouves de chiffrement et dauthentification, dont le WPA (Wi-Fi Protected Access) constitue une premire tape (cf. 4.2.3).
28 juillet 2004
61/98
Livre ouvert sur la scurit visibles sur le rseau cbl aprs passage par l'quipement de protection (commutateur, firewall, etc.) et non pas dtournes vers un rseau pirate via un Fake AP. Le monitoring Le mode de fonctionnement de Wi-Fi implique que ds qu'un AP est associ un canal de frquence, il ne fonctionne que sur ce canal et n'a plus la possibilit de superviser les autres canaux. Ceci est donc le rle de points daccs particuliers ddis l'coute, donc passifs, qui balayent continuellement les diffrents canaux pour surveiller les flux des diffrentes cellules qu'ils reoivent et vrifier le bon fonctionnement des points daccs voisins. Tout le trafic de ces AP de surveillance est remont vers le commutateur qui peut s'assurer qu'aucun de ses clients connus ne se connecte un AP "non rfrenc". Les AP passifs, donc en mode d'coute, peuvent dtecter et suivre des signaux relativement faibles, provenant d'quipements assez loigns. Par consquent, leur couverture est beaucoup plus large que celle des AP actifs. Enfin, concernant les capacits de monitoring, un administrateur rseau peut mettre en uvre un systme Wi-Fi non pas dans le but doffrir un service de mobilit, mais dans celui de surveiller qu'aucune installation pirate (Rogue AP) n'a effectivement t installe et connecte au rseau. Ainsi, un commutateur WLAN uniquement quip d'AP passifs permet de surveiller quotidiennement le rseau et de dtecter l'apparition de transmissions Wi-Fi avant mme qu'une installation officielle ne soit dploye. Dtachement forc La protection la plus courante consiste forcer systmatiquement le d-attachement du client en cause ou de tous les clients connus qui se seraient attachs un AP frauduleux. De cette faon le rseau Wi-Fi apparat inaccessible ces postes de travail qui ne parviennent pas tablir une connexion complte. Cette capacit apporte une protection forte mais elle ncessite nanmoins de rgler dfinitivement le problme par une intervention physique sur le poste client ou l'AP la source du danger. des outils de localisation facilitent la recherche de lquipement vis. Laudit de la couverture radio Lors de linstallation des points daccs, il est important de vrifier que la couverture radio ne dborde pas inutilement hors de la zone prvue, mme si ceci ne met pas le rseau labri des hackers quips dquipements amplificateurs qui leur permettent dagir bien au-del de la zone de couverture nominale. Une disposition judicieuse des points daccs et des antennes permet doptimiser la couverture radio. Celle-ci doit ensuite tre vrifie priodiquement, pour sassurer quaucun point daccs pirate na t ajout sur le rseau. Cette prcaution vaut galement pour les rseaux cbls non Wi-Fi certains utilisateurs ont dj eu la surprise de trouver des points daccs Wi-Fi sur des rseaux qui ntaient pas supposs en intgrer.
28 juillet 2004
62/98
Livre ouvert sur la scurit La seconde repose sur un commutateur spcifique WLAN qui fdre les fonctions radio, rseau et scurit. Les points daccs nont aucune intelligence et se contentent de jouer leur rle dmetteur-rcepteur radio. Cette seconde configuration est plus rsistante aux attaques de type Rogue AP, puisque ncessite une intervention au niveau du commutateur. Notons qu'idalement le commutateur WLAN possde plusieurs queues, permettant d'envisager la gestion de flux avec garantie de qualit de service (QoS), typiquement la VoIP partir d'ordinateurs ou de tlphones Wi-Fi. Le VLAN Une prcaution consiste segmenter le rseau afin disoler les donnes sensibles du rseau radio et dployer le WLAN sur une infrastructure VLAN2 qui lui est propre. Le rseau peut comporter plusieurs VLAN, chacun correspondant un sous-rseau WLAN spcifique avec son propre SSID. Il est ainsi fortement recommand de faire arriver systmatiquement tous les VLAN du rseau sur le commutateur WLAN, mme ceux qui ne feront transiter aucun trafic par celui-ci. Cela permet au commutateur de localiser tous les quipements, de mettre jour sa base de connaissance du rseau et de dtecter la prsence anormale d'un flux ou d'un client sur un segment o il ne devrait pas figurer. Les sous-rseaux radio sont mis logiquement dans une zone dmilitarise dun firewall qui contrle le flux dinformations entre le rseau radio et le rseau filaire (cf. ci-dessous). Le firewall Comme pour les rseaux cbls, la meilleure protection est la mise en place d'un firewall entre la partie WLAN et le reste de l'infrastructure rseau. Il est intgr au commutateur WLAN, quand il y en a un. Idalement, ce firewall doit mettre en uvre des protections au niveau de ladressage, grer des filtres, journaliser les connexions, possder des ACL (Access Control List) partir desquelles les accs sont filtrs, suivre les connexions dans le temps (capacit dite stateful ) afin de garantir un niveau de scurit au moins gal celui de l'environnement cbl. La meilleure protection est de considrer tout ce qui concerne le rseau sans fil ( lintrieur et lextrieur de lentreprise) comme tant dans une bulle dinscurit mettre logiquement sur une DMZ du firewall et activer une authentification forte et des mcanismes de chiffrement VPN.
2 Partition logique dun rseau physique visant crer des sous-rseaux (segments) virtuels.
28 juillet 2004
63/98
Livre ouvert sur la scurit Le pot de miel (honeypot) La configuration du WLAN peut galement inclure des piges (pots de miel), sous la forme de points daccs peu scuriss naccdant qu des donnes sans importance qui attireront les hackers et les tiendront hors du rseau protg. Le VPN Le VPN fournit un tunnel chiffr qui constitue une protection efficace, notamment lorsque lutilisateur travaille dans une zone non scurise, par exemple sur un hotspot public. L'utilisation de rseau virtuel priv gre la liaison de la mme manire que pour un poste nomade filaire raccord via modem tlphonique. Le VPN assure le cryptage et l'authentification mutuelle, protgeant ainsi tous les trafics de l'ordinateur client jusqu'au commutateur Wi-Fi. Ce dernier a la charge de terminer les VPN de tous les clients et de livrer un trafic "sain" au rseau LAN auquel il est connect.
28 juillet 2004
64/98
Livre ouvert sur la scurit En retour l'utilisateur est assign une catgorie dfinissant son VLAN, ses droits, etc. Par exemple si l'utilisateur est connu mais qu'il n'a plus de crdit, il peut tre redirig vers un VLAN aboutissant une page particulire qui linvite renouveler son abonnement. Pour scuriser totalement les communications authentifies par serveur Web, un moyen est de faire suivre la phase d'authentification par la mise en service d'un client VPN ventuellement tlcharg (Dialer VPN).
28 juillet 2004
65/98
Livre ouvert sur la scurit Chiffrement TKIP Tout en conservant larchitecture du WEP, TKIP met en jeu un certain nombre de mcanismes propres amliorer la rsistance aux attaques, en rsolvant notamment le problme de la rutilisation cyclique des cls : le calcul de la cl est bas sur une cl temporelle partage par les postes mobiles et les points daccs et change tous les 10 000 paquets, une mthode de distribution dynamique assure le rafrachissement de la cl temporelle, le calcul de la squence de cls fait intervenir ladresse MAC de la station, donc chaque poste mobile dispose de sa propre squence, le vecteur dinitialisation est incrment chaque paquet, ce qui permet de rejeter des paquets rejous avec un numro de squence antrieur, un code dintgrit ICV (calcul selon un algorithme MIC nomm Michael) introduit une notion de CRC chiffr . La mise niveau TKIP dquipements WEP se fait par simple mise jour de logiciel. TKIP a lavantage dtre compatible avec le WEP, autorisant ainsi linteroprabilit dquipements WEP et dquipements TKIP avec bien sr, un niveau de scurit WEP. Son dfaut est son temps de calcul qui dgrade les performances du rseau et nest pas compatible avec les contraintes de QoS. Authentification Lauthentification repose sur les protocoles standards 801.1x et EAP au-dessus desquels sont dvelopps des standards dauthentification interoprables. Diffrentes couches sont dfinies au-dessus dEAP pour supporter des polices de scurit (par ordre de protection croissante) : EAP-MD5 utilise un serveur RADIUS qui ne contrle quun hash-code du mot de passe du poste mobile et ne fait pas dauthentification mutuelle. Ce protocole est dconseill pour les rseaux radio car il peut laisser le poste mobile se connecter sur un pot de miel. LEAP, dvelopp par CISCO, introduit une authentification mutuelle et dlivre des cls WEP pour le chiffrement du WLAN. Lauthentification est base sur un change login/password. Il nen demeure pas moins vulnrable par le risque quun tiers non autoris puisse avoir connaissance des mots de passe et est galement expos des attaques de type dictionnaire (ASLEAP). PEAP et EAP-TTLS utilisent un serveur RADIUS et sont bass sur un change de certificats. Les serveurs RADIUS qui supportent PEAP et EAP-TTLS peuvent sappuyer sur des bases de donnes externes : Domaine Windows ou annuaire LDAP, par exemple EAP-TLS est le standard recommand de scurisation des WLAN. Il met en uvre un serveur dauthentification RADIUS. Les postes mobiles et le serveur doivent sauthentifier mutuellement au moyen de certificats. La transaction est scurise par un tunnel chiffr. EAP-TLS/TTLS et PEAP sont particulirement rsistants aux attaques de type dictionnaire et man in the middle.
4.2.3.3 802.11i
Larrive du protocole 802.11i, extension du protocole de base pour la scurit du Wi-Fi, est attendue depuis plusieurs annes et serait annonce pour lautomne 2004. Il sappuie sur TKIP et 802.1x et reprend lallongement de la cl, le code dintgrit MIC et le squencement des paquets. Mais la grande innovation est lintroduction dun chiffrement AES particulirement performant et compatible avec les contraintes de QoS.
28 juillet 2004
66/98
Livre ouvert sur la scurit Un inconvnient est la puissance de calcul ncessaire AES, qui exige limplmentation dun coprocesseur, dj prsent par mesure conservatoire sur les quipements rcents supportant WPA. Pour cette raison, il sera ncessaire de prvoir un rtrofit matriel des quipements WEP dune gnration antrieure WPA.
4.2.3.4 En bref
Protocole de chiffrement WEP Longueur de Mthode de cl chiffrement 40, 128 bits RC-4 Vulnrabilits Vulnrable l'injection de paquet et rejeu, car pas de code d'intgrit de message Vecteur d'initialisation faible Vulnrable l'injection de paquet Vecteur d'initialisation faible Code d'intgrit de message faible, injection de paquet
RC-4 RC-4
128, 168, 192 3DES, AES ou 256 bits 128, 192 or Code d'intgrit de message et cls AES 256 bits de chiffrement identiques
4.2.4 Application
Le niveau de scurisation demand varie selon les situations WLAN entreprise WPA sadresse aux entreprises. Les protocoles EAP-TLS, EAP-TTLS et PEAP sappuyant sur un serveur RADIUS sont particulirement recommands. Dans ce type dimplmentation, le VPN nest pas ncessaire, du moins en ce qui concerne la confidentialit du rseau radio. Il est mme dconseill si le rseau Wi-Fi sert galement de support la voix, car il dgrade la qualit de service. WLAN rsidentiel et SoHo Il est peu probable de trouver un serveur dauthentification dans ce domaine. WPA propose pour ces rseaux, un mode allg nomm WPA-PSK. Lauthentification se fait sans avoir recours un serveur et repose sur lchange dun password partag. Ce mme password sert initialiser le processus de chiffrement TKIP. La gestion tant faite manuellement, WPA-PSK ne peut sappliquer qu des rseaux de petite taille. Hotspot Afin de faciliter laccs au rseau des postes itinrants, aucun mcanisme de scurit nest mis en uvre dans les hotspots publics. En particulier, il ny a pas dauthentification au niveau Wi-Fi, puisque l'utilisateur lors de sa connexion n'a aucune connaissance du rseau, et rciproquement. L'authentification se fait alors sur un portail Web. Cest lutilisateur de prvoir sa propre protection, par VPN, par chiffrement applicatif, en utilisant un firewall client et en configurant correctement sa station afin de bloquer lintrusion directe dune autre station.
28 juillet 2004
67/98
4.2.5.2 HiperLAN/2
HiperLAN/2 est un standard de lETSI concurrent du 802.11a. Il est cit ici pour mmoire, puisque HiperLAN/2 vient dtre dfinitivement abandonn. Contrairement 802.11, HiperLAN/2 prvoit de base des mcanismes de scurit efficaces, de chiffrement, dauthentification mutuelle et de distribution dynamique de cls. Lauthentification peut tre base sur un change de hash-code MD5 ou bien sur une cl publique RSA. HiperLAN/2 supporte divers identifiants dauthentification : identifiant de rseau, adresse IEEE, certificat. Le chiffrement prvoit deux options, bases sur les algorithmes DES et 3-DES.
4.2.5.3 WiMAX
WiMAX, autre standard 802.16 de lIEEE, se positionne sur le crneau du rseau mtropolitain, notamment comme alternative la desserte cble ou ADSL. Contrairement au Wi-Fi, les quipements finaux doivent tre pralablement dclars pour pouvoir tre connects au rseau WiMAX, ce qui ne facilite pas la tche des hackers. Lauthentification se fait par des certificats et par chiffrement asymtrique. Le chiffrement utilise une cl dlivre par la squence dauthentification et un algorithme 3-DES.
4.2.5.4 802.20
Le standard IEEE 802.20 sadresse des structures WAN pour des usagers mobiles. Contrairement aux rseaux 3G qui sont voix et donnes, les rseaux 802.20 sont ddis lInternet mobile. Lauthentification mutuelle est base sur des certificats avec signature RSA, au cours de laquelle sont distribues les cls de chiffrement symtrique.
28 juillet 2004
68/98
28 juillet 2004
69/98
lheure actuelle, les tl travailleurs sont de plus en plus nombreux utiliser la technologie VPN (Virtual Private Network, rseau priv virtuel) pour accder aux ressources internes des entreprises via les technologies daccs Internet, telles que les modems cble ou les lignes DSL. Cependant, la disponibilit constante de ces services Internet haut dbit est une vritable porte ouverte aux intrusions, lesquelles menacent aussi bien le poste client que le rseau de lentreprise. Pour empcher les pirates de dtourner une session VPN dans le but daccder aux ressources internes de lentreprise, il est primordial de dployer une solution de scurit de bout en bout pour les clients VPN. Les administrateurs informatiques ont le choix entre diffrentes approches pour scuriser les systmes des utilisateurs distants, allant dune politique dautorisation souple une politique trs restrictive qui risque dempcher les utilisateurs de profiter pleinement des connexions haut dbit. La meilleure approche reste toutefois le dploiement concert dune solution complte garantissant un niveau de scurit optimal tout en permettant aux utilisateurs dexploiter au maximum le service Internet haut dbit.
28 juillet 2004
70/98
Livre ouvert sur la scurit tunnel VPN pourrait ds lors tre menac sans que ladministrateur informatique ni lutilisateur ne sen rendent compte, avec de lourdes consquences pour le rseau. En outre, si une entreprise envisage de dployer deux solutions distinctes pour la connectivit VPN daccs distant et la scurit du poste de travail, elle ne doit pas perdre de vue le cot de leur charge administrative. En effet, chaque nouvelle version devra subir un test de compatibilit, que ce soit au niveau du client VPN ou du pare-feu du poste de travail. Les administrateurs informatiques devraient galement tenir compte dautres aspects tels que lvolutivit et ladministration sils veulent utiliser plusieurs produits de scurit client indpendants. Par exemple, quelles seront les implications de lajout dun nouvel utilisateur ou de la mise jour de la politique de scurit au niveau des deux solutions, et ce, pour tous les utilisateurs du VPN ?
28 juillet 2004
71/98
5.1.5 Rsum
Pour profiter pleinement des avantages dun rseau VPN daccs distant, les entreprises doivent veiller ce que la technologie choisie offre une scurit optimale aux clients VPN. Mme si les fonctions VPN standard, telles que le cryptage et lauthentification des utilisateurs, scurisent les transmissions changes par les utilisateurs du rseau VPN, la protection des postes de travail est galement un lment capital de la scurit globale de lentreprise. Les systmes client doivent tre protgs avec des technologies de pare-feu personnel troitement intgres au rseau VPN. Quant la solution VPN globale, elle doit permettre dimposer les exigences de scurit sur les clients du VPN, pralablement toute connexion au rseau. Ce nest quaprs avoir protg leurs clients VPN que les entreprises pourront tre assures de lintgrit de leur rseau.
28 juillet 2004
72/98
6
6.1 6.2
LES RISQUES DU METIER , QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE
Partie traite provisoirement par Grard Pliks (EADS)
Nous abordons le ct juridique pos par lutilisation des outils de lInternet, mis disposition des employs sils ne sont pas utiliss, durant les heures de bureau, des fins conformes lthique de leur employeur. Nous ne sommes pas, ici, dans le domaine de linformatique, du rationnel et du binaire mais dans celui du droit qui est une discipline profondment subjective dpendant de la comprhension des problmes, de linterprtation et de lintime conviction des juges. Certes leurs dcisions sappuient sur des textes du code du travail, du code civil, du code pnal et du code europen, mais, en dernier lieu, ce nest pas un ordinateur qui tranche, ce sont des hommes et des femmes avec leurs convictions et leurs doutes. Nous allons voir, travers trois affaires, larrt Nikon, laffaire de lEcole de Physique et Chimie Industrielle de la ville de Paris et laffaire Escota que lutilisation non conforme du e-mail et du Web durant les heures de travail si elle est porte devant les tribunaux ne se heurte pas un vide juridique, comme on le pense souvent, et cest parfois larroseur qui se fait arroser avec lobligation de payer les frais de justice.
6.2.1
Larrt Nikon
Ce cas jug jusquen en cassation a cr un vritable sisme dans la vision quavait la justice de la surveillance des e-mails des salaris pratique par leur employeur et fait aujourdhui jurisprudence dans tous les cas semblables. Un ingnieur de Nikon, tirant parti du statut quil avait dans lentreprise, vendait par e-mail pour son compte personnel du matriel photographique et tenait sa comptabilit dans un dossier not personnel Tous ses e-mails taient galement placs dans un folder nomm personnel . Avec le temps, ayant eu vent des pratiques videmment prohibes de cet employ, lemployeur entreprit de le confondre en portant un oeil, en dehors de sa prsence, sur ses messages et ses fichiers concernant ces coupables changes et surtout bien entendu sur ceux marqus personnel . Lescroquerie ainsi mise jour de faon vidente, lemploy fut licenci pour faute grave. Mais laffaire nen resta pas l. Considrant inadmissible la violation de son espace priv, lemploy attaqua Nikon devant le tribunal des prudhommes pour licenciement abusif, arguant dune violation inacceptable de la confidentialit de ses fichiers et de sa messagerie prive ralise sans son accord. Le tribunal des prudhommes donna raison lemployeur. Lemploy fit porter alors laffaire devant la cour dappel de Paris qui donna encore raison lemployeur. Convaincu dtre victime dune atteinte inqualifiable sa vie prive et dun abus caractris de son employeur qui stait permis de lire ses e-mails personnels, persuad dautre part quun tribunal de prudhommes et une cour dappel ne pouvaient comprendre ce qutait les affaires concernant la haute technologie, lex employ porta le jugement de la cour dappel devant la cour de cassation. Contrairement aux prcdentes juridictions, la cour de cassation de Paris, par larrt devenu le clbre arrt Nikon du 2 octobre 2001 donna raison lemploy et invalida les condamnations prcdentes, en sappuyant sur larticle L120-2 du Code du Travail qui souligne que lon peut rechercher dans les fichiers personnels du salari uniquement sous rserve quil y ait une justification par rapport la tche quil doit accomplir et des circonstances graves justifiant la
28 juillet 2004
73/98
Livre ouvert sur la scurit mesure . La Cour de Cassation a ainsi affirm, et cela est considr comme une doctrine que : "Le salari a droit, mme au temps et au lieu de travail, au respect de l'intimit de sa vie prive ; que celle-ci implique en particulier le secret des correspondances; que l'employeur ne peut ds lors sans violation de cette libert fondamentale prendre connaissance des messages personnels mis par le salari et reus par lui grce un outil informatique mis sa disposition pour son travail, et ceci mme au cas o l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur." Pour rsumer, larrt autorise un employ utiliser Internet des fins personnelles pendant son temps de travail dans la mesure o cela ne dborde pas sur sa productivit. Cet arrt marqua le dbut dune jurisprudence partir de laquelle aucun jugement ne peut aller lencontre dun employ qui rclame son droit un espace priv dans son entreprise pour stocker les fichiers ou les e-mails dclars comme tant personnels. Cet arrt impose galement pour lemployeur un devoir de pertinence dans ses pratiques vis vis de ses employs.
6.2.2
6.2.3
Laffaire Escota
Un motard en colre, employ chez Lucent Technologies ulcr par le montant du page de la portion dautoroute quil empruntait chaque jour pour se rendre son travail et par les conditions dinscurit de cette autoroute dcida de se venger sa faon. Escota est la socit qui a bti et gre les autoroutes Estrel Cte dAzur Provence Alpes. Ce motard monta, partir de son lieu de travail, un site Web pour parodier celui de la socit dautoroutes www.escota.com. Il nomma ce web satirique qui se substituait ses pages personnelles hberges chez Lycos, galement hbergeur du web de Lucent www.escroca.com en prenant bien sr la mme calligraphie pour le logo et la mme ligne ditoriale que le vrai site escota.com. Et il ne fut pas tendre pour la socit dautoroute, mettant mme des images qui ne jouaient pas en faveur de laffirmation de scurit et de services que cette socit disait fournir aux usagers. Quand la socit Escota saperut de
28 juillet 2004
74/98
Livre ouvert sur la scurit lexistence de ce site, cela ne la fit pas rire du tout. Elle obtint sa fermeture immdiate. Six mois plus tard la socit Escota porta plainte contre la socit Lucent Technologie, employeur du crateur du site parodique parce que les pages taient mises jour durant les heures de bureau. Elle porta aussi plainte contre lhbergeur. Bien que lemploy sengagea payer toutes sommes incombant Lucent si le tribunal obtenait pour la socit Escota des dommages et intrts, il fut licenci pour faute grave. Escota demanda 200 000 euros de dommages et intrts la socit Lucent Technologies. Quand le Tribunal de Grande Instance de Marseille statua sur cette affaire, en juin 2003, la question fut de trancher si le site tait satirique et destin amuser le public ou sil tait haineux et destin nuire la socit dautoroute. Cest cette dernire hypothse que reteint le Tribunal. Si lemploy navait critiqu que la socit Escota, il aurait pu sen tirer sans trop de mal, mais il avait aussi critiqu la qualit de ses services La socit Lucent pour ne pas avoir explicitement interdit dans sa charte de scurit, lusage des outils mis disposition des employs pour nuire dautres socits, car je cite : aucune interdiction spcifique ntait formule lattention des salaris quant lventuelle ralisation de sites Internet ou de fournitures dinformations sur des pages personnelles et lex employ furent condamns verser 4000 euros de frais de justice et 12000 euros pour payer la publication du jugement dans deux quotidiens nationaux. En conclusion Lucent Technologies fut reconnue co fautive du dlit commis par son ex employ pour lui avoir laiss la possibilit de crer un site personnel contenus diffamatoires lencontre de la socit autoroutire Escota. Lucent Technologies se retourne maintenant contre son ex employ pour lui faire payer tous ces frais. Les dommages et intrts rclams par Escota nont pas t accords. Aucune faute ne fut retenue contre lhbergeur Lycos. La cour dappel saisie confirma la dcision du tribunal de Grande Instance. Ces affaires vont certainement se multiplier et la jurisprudence stoffera. Nous avons droit notre espace priv, sur le rseau, condition quil soit clairement identifi, mais nous avons aussi lobligation dutiliser les outils mis notre disposition, durant les heures de travail des fins professionnelles.
6.3 6.3.1
Prambule
Tout est dsormais affaire de risques. Accepter, comprendre les situations de danger, grer ses tats de vulnrabilits sont pour les dirigeants et les managers une exigence permanente. Il est bien sr de leur devoir traiter les menaces qui portent sur les activits de leur entreprise, sur leurs systmes dinformation et leurs rseaux de communication. Une fois leve, la question essentielle de lengagement de lentreprise qui nomme un ou des collaborateurs et leur fixe des objectifs clairs, il ny a pas de dmarche scurit sans orientations politiques. Elles posent les fondements dune rglementation interne, mais aussi les bases des relations avec les tiers. Les dirigeants nont dautre choix que de montrer, leur engagement, non pas en paroles, mais en actes, non pas en symboles, mais en mesures concrtes. Face la complexit du sujet, tout plan daction ne peut se concevoir sans une approche politique claire, affiche et formelle. Une rglementation crite est ncessaire. Sa mise en uvre ne peut russir sans ladhsion et implication de toute lentreprise. Seuls les hommes et lorganisation garantiront sa mise en oeuvre. Le terme politique a t utilis dans des sens trs varis dans la scurit informatique. Est-ce une charte compose de quelques principes fondateurs ? Est-ce un programme (politique) qui sappuie sur une vision du risque ? Est-ce un ensemble de rgles appliquer obligatoirement ? Est-ce un ensemble de principes, de bonnes pratiques de scurit quil convient dappliquer lorsquon le peut en fonction de critres oprationnels ou conomiques ?
28 juillet 2004
75/98
Livre ouvert sur la scurit Est-ce une spcification technique des processus mettre en place voire des configurations requises pour les infrastructures et les services ?
6.3.2
Fondamentaux
Indpendamment de son champ et de son contenu, une politique de scurit repose sur 4 bases fondamentales : La volont des dirigeants doit tre clairement exprime. Les principes de base et les rgles fondamentales doivent tre formuls. Les interlocuteurs et responsables doivent tre identifis. Les procdures et sources dinformation doivent tre diffuses et facilement accessibles. Une politique cherche rpondre des enjeux stratgiques lis au business, mais elle peut aussi sattacher fixer des objectifs de scurit dtermins par ltude de scnarios de risques. Enfin, elle peut reposer sur une dmarche organisationnelle impose par des exigences rglementaires (secret mdical, scurit financire, ) ou environnementales (concurrence, terrorisme, ). Toute politique sappuie donc sur des enjeux et des orientations stratgiques. Telle entreprise mettra en avant sa croissance conomique, une autre privilgiera la qualit de ses produits ou la relation avec ses clients, telle autre la rduction de son endettement. Dans ladministration, les enjeux seront diffrents : la qualit des soins et le secret mdical auront la priorit dans la sant, la qualit de service et la scurit des usagers seront privilgies dans les transports publics. La lutte contre lespionnage industriel sera lenjeu majeur des centres de recherche nationaux et de certaines universits et grandes coles. Cest en fonction de ces paramtres que la politique scurit prendra son sens en rappelant des objectifs forts : protection du savoir-faire respect des obligations juridiques et rglementaires protection des revenus protection de limage de marque
6.3.3
28 juillet 2004
76/98
Livre ouvert sur la scurit Lefficacit des mesures mises en uvre sera garantie par limplication de chacun et non en sappuyant sur quelques individus. La cohrence La scurit globale dun systme, dun processus, dune organisation doit tre cohrente. Elle dpend toujours du maillon le plus faible. La mise en oeuvre des dispositifs de scurit vise garantir un niveau de scurit homogne dans tous les domaines de la prvention/protection et de la dtection/raction. Il est inutile de blinder une porte si les fentres restent ouvertes ou chiffrer des donnes si les documents confidentiels restent sur les bureaux, les portes ouvertes. La simplicit Face la complexit et la rapidit dvolution de lenvironnement (politique, social, technique, marketing et organisationnel), les mesures de scurit seront dautant plus acceptes et efficaces quelles seront simples et comprhensibles par les collaborateurs, les fournisseurs, les partenaires et les clients. Une action bien cible, quelques rgles bien comprises et appliques seront plus efficaces que de multiples consignes sappuyant sur des outils difficiles utiliser. La proportion Dans un souci defficience, les dispositifs de scurit sont proportionns aux risques et aux menaces encourus. Les cots et les conditions de mise en oeuvre des mesures ne sont valids quaprs identification et valuation prcises des enjeux. Trois niveaux de scurit peuvent tre dfinis : standard : applicable pour toute information en faisant appel des dispositifs de scurit existants. renforc : applicable des informations sensibles et des systmes critiques, en faisant appel des dispositifs de scurit complmentaires sans remise en cause fondamentale de lenvironnement technique et organisationnel. sur mesure : applicable des informations secrtes et des systmes vitaux reposant sur des dispositifs de scurit certifis ou spcifiques dont seule lentreprise possde la matrise. La transparence La politique se met en oeuvre dans un souci de transparence des dcisions et des processus oprationnels. Ceci vise faciliter le contrle et laudit et sapplique dans le cadre des projets, des oprations quotidiennes et des incidents. La prennit Les solutions de scurit doivent tre conues partir de produits prennes et sur des technologies prouves. Ils offrent des garanties dvolutivit dans le temps, dadaptation lapparition de nouveaux risques et de facilit de maintenance un cot raisonnable. La politique voluera en fonction de lexprience acquise au quotidien et sur lvolution de lenvironnement notamment lgislatif et organisationnel.
6.3.4
28 juillet 2004
77/98
Livre ouvert sur la scurit Lenjeu est ici de sparer le management stratgique et le management oprationnel. Le lien entre les deux sera un des aspects de la Politique de Scurit exprime sous la forme des meilleures pratiques (cf schma).
Politique Rgulateur Veilleur Educateur Auditeur
Juridique RH Comm Qualit Audit Mtiers
Enjeux
Management stratgique
Analyste Architecte Meilleures pratiques (rgles) Fournisseur Intgrateur Administrateur Contrleur Processus
IT
Projets
Mtiers IT
Processus
Management oprationnel
Urgentiste Enquteur
Il nest pas toujours ncessaire de rpondre des enjeux pour faire de la scurit. On peut se satisfaire dune dmarche plus qualitative, analogique voire historique. Peut-on concevoir une maison sans portes ? Mme dans les plus beaux quartiers, a priori les plus srs, on met des portes et des verrous ! Lassureur lexige bien sr. Par ailleurs, il est possible dobserver ce que font les partenaires, les autres entits du groupe, On sadapte plus tactiquement que politiquement des pratiques de scurit, des exigences ou des contraintes externes. Dans la cyber-scurit, des services se sont imposs peu peu et rien ne semble en mesure de les remettre en cause sur le fond : sauvegardes codes secrets coupe-feu anti-virus Certes, ils rpondent des risques rels et souvent quotidiens mais se pose-t-on encore la question du risque avant de mettre en uvre et dacheter ces dispositifs ? Ne peut-on se convaincre une bonne fois pour toutes que cest une scurit intgre dautres processus comme la mise en uvre dune application, le dploiement dune architecture bureautique ou de rseaux ? Nous sommes ici dans une approche politique de type bonnes pratiques , qualitative et reposant sur de lexprience. On rentre dans le domaine de lexpertise plus que du management, ce dernier tant de toute faon requis pour la mise en uvre. Quelques familles de bonnes pratiques se sont peu peu imposes. Elles rpondent une dmarche de prvention et danticipation. Ce sont : les contrles daccs logiques
28 juillet 2004
78/98
Livre ouvert sur la scurit le cloisonnement de rseaux la gestion des attaques logiques la confidentialit des informations les contrles daccs physiques la continuit des activits Elles peuvent tre compltes par dautres domaines mergents qui sadressent de nouveaux cyber-risques lis le-business et le-commerce. la signature lectronique les moyens de paiement scuriss Les guides de bonnes pratiques seront complts par des guides de management qui dcrivent la veille et les relations extrieures la scurit dans les projets lanalyse de risque et laudit la gestion des incidents et des crises
6.3.5
28 juillet 2004
79/98
Contrat de travail Codes de dontologie Rglement intrieur Politique collaborateurs Code de surveillance des salaris
Accords de confidentialit Scurit dans les projets Clauses de scurit dans les contrats de service Signature lectronique (e-business)
Politique prestataires
Politique clients
Politique gnrale Guides de bonnes pratiques et de management Organisation oprationnelle Scurit dans les projets Contrle et audit Veille et relations extrieures Gestion des incidents et crises Normes ISO 15408 ISO 17799 ISO 17024 Rfrentiels professionnels Banque, finance, sant, Contrle daccs logiques Cloisonnement de rseaux Gestion des attaques logiques Confidentialit des informations Continuit des activits
6.3.6
28 juillet 2004
80/98
Livre ouvert sur la scurit Le dirigeant doit crire que les systmes dinformation, les rseaux de communication, et linformation elle-mme : reprsentent une composante essentielle du patrimoine et contribuent, par leur matrise et leur qualit lefficacit des actions, la confiance accorde par les clients, usagers, les actionnaires les instances de tutelle, au dveloppement et la prennit des activits. sont un bien vulnrable soumis des menaces trs diverses. Toute altration, divulgation, destruction, accidentelle ou malveillante, peut porter de graves prjudices lorganisation et par voie de consquence ses collaborateurs ou ses clients et partenaires. sont soumis des menaces spcifiques lies au mtier (concurrence, service public, relation client/usager, gestion financire, ) qui exigent une vigilance accrue. LInternet, ses technologies et ses services, sont une source de dveloppement, defficacit et de revenus potentiels. Mais il introduit aussi des vulnrabilits trs importantes dont il convient de se prmunir. Les dcideurs doivent aussi chercher impliquer lensemble des collaborateurs en insistant sur les bonnes pratiques individuelles et essentiellement comportementales que chacun doit respecter. Elle doit mentionner les acteurs en charge de la gestion de ces nouveaux risques et lexistence de la Politique Scurit qui constitue un cadre de rfrence applicable lensemble des entits et avant tout un objectif atteindre. Cette politique est par nature insuffisante mais traduit une volont stratgique Sa mise en oeuvre ncessite limplication de chaque collaborateur. Sans doute, lenjeu est de faire passer le message que la scurit ne peut plus, ne doit plus tre considre comme une arme de dfense, mais comme un atout.
28 juillet 2004
81/98
Livre ouvert sur la scurit approche qualit . Quels sont les processus de scurit essentiels, vitaux que doit possder lentreprise pour couvrir ses risques ? Nous retombons encore une fois sur les bonnes pratiques qui se dclineront quasimcaniquement en processus et non pas en outils techniques. Bien sr ils existent et sont fort utiles mais ils ne peuvent rentrer dans une approche politique sans de nombreux pr-requis souvent oublis.
28 juillet 2004
82/98
Livre ouvert sur la scurit les engagements contractuels des parties dans le cadre des contrats de prestation de services
6.3.7
Synthse
Les meilleures pratiques sont avant tout des exigences qualit et si elles rpondent des menaces, ne ncessitent pas fondamentalement de mesures de risque. Ne pas faire, nest-ce pas tout simplement tre inconscient voire irresponsable ? Scurit et qualit des infrastructures ne font plus quun. Avoir une approche stratgique du risque, laborer des textes de politique sont importants mais non suffisants. Lensemble des acteurs doit connatre et appliquer des consignes adaptes cette rglementation. Ne pas informer et former ses collaborateurs et ses prestataires, voire ses clients des droits et devoirs de chacun relve si ce nest de lincohrence, de lerreur. A lheure de la sous-traitance des systmes dinformation, des rseaux et de leur scurit, lentreprise doit sadapter en termes de technologies, de processus, doffreurs. Omettre les aspects juridiques de la scurit dans ses contrats fournisseurs est une faute parfois lourde de consquence. Avoir confiance dans ses technologies, ses hommes et ses fournisseurs, l se situe lavenir de la scurit. Mais quest-ce quun offreur de confiance ? Peut-on acheter de la confiance ? Ce concept essentiel nous ramne finalement au principe fondateur de la scurit, la science du secret quest la cryptologie, dans ses deux dclinaisons fondamentales : Pour la confidentialit des informations qui sadresse la vie prive, la guerre conomique Pour la signature lectronique et les paiements scuriss qui sadresse au monde de lebusiness et de le-commerce
28 juillet 2004
83/98
7
7.1
LES CERTIFICATIONS
LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS)
Partie traite provisoirement par Grard Pliks (EADS)
Les instances nationales officielles telles que la DCSSI en France, organisme inter ministriel dpendant des services du Premier Ministre (Secrtariat Gnral de la Dfense Nationale) apportent la garantie quun outil de scurit est lui-mme scuris. Cette Direction Centrale pour la Scurit des Systmes dInformation dlivre des certificats qui attestent du srieux des phases de dveloppement des produits, de leur aptitude remplir les fonctions de scurit dans des conditions dfinies et du degr de confiance quon peut accorder au produit certifi. Des socits franaises, les CESTI (Centre d'Evaluation de la Scurit des Technologies de l'Information) expertes dans les travaux de validation des produits et bien sr indpendantes de tout constructeur, sassurent en amont de la conformit des produits de scurit candidats aux certifications et aux exigences des degrs de confiance que les cibles values souhaitent atteindre. Elles portent ensuite le dossier de certification auprs de la DCSSI qui signe et dcerne le certificat de conformit. Ainsi, les socits utilisatrices peuvent accorder leurs solutions de scurit un degr de confiance prcisment dfini par un certificat dans une chelle qui comprend six niveaux pour la certification ITSEC (Information Technology Security Evaluation Criteria) et sept niveaux pour la certification Critres Communs (EAL1 EAL7) . Les constructeurs peuvent alors prouver la qualit de leurs produits de scurit par un certificat officiel, aprs une validation effectue par des centres dexpertises franais agrs par cet organisme. Cette certification apporte lassurance que tout au long de la phase de dveloppement des produits, puis dans les tests de validation, les failles les plus insidieuses donc les plus dangereuses que peut comporter tout logiciel nentachent pas les produits de scurit certifis un niveau raisonnable sur une cible de scurit suffisamment large. La scurit des systmes dinformations obtenue par des firewalls, VPN, sondes de dtection dintrusion, systmes dauthentification forte ne sera pas compromise par des portes drobes ventuelles caches dans ces logiciels car elles auraient t dceles et bien entendu supprimes au cours de la conception et de lvaluation de ces produits.
L'ISO17799
Partie prise en charge par Anne Coat (AQL)
A la suite des attentats du 11 septembre les USA ont encore considrablement accru leurs moyens de recherche dans ce domaine pour viter ce qu'ils nomment un "digital Pearl Harbor. LEurope a son niveau tente de sorganiser.
7.4.1
Le NIAP US
Lors de la confrence RSA (2004.rsaconference.com) qui s'est ouverte ce 23 Fvrier San Francisco, le NIAP (niap.nist.gov) proposait un tutoriel sur les critres communs (norme ISO 15408). Jean Schaffer, directrice du NIAP, a expos les objectifs du gouvernement amricain qui impose l'valuation de tous les produits de scurit (IA products) et des produits incluant des fonctions de scurit (IA-enabled products), achets par tout organisme public aux USA. Le NIAP est le National Information Assurance Partnership, l'quivalent amricain du CESTI au sein de la DCSSI en France. Le NIAP est n d'une collaboration du NIST et de la NSA pour promouvoir
28 juillet 2004
84/98
Livre ouvert sur la scurit ce qu'ils appellent "security testing", "security evaluation", et "security assessment", la fois auprs des diteurs et auprs des consommateurs. Le NIAP a dfini des profils de protections pour tous les principaux produits de scurit : firewalls, botiers de chiffrement et IDS, et poursuit cette initiative pour tous les produits incluant des fonctions de scurit comme les routeurs, les serveurs de messagerie ou les systmes d'exploitation. Ces profils rpondent aux besoins du gouvernement amricain et l'valuation est obligatoire pour qu'un produit sur tagre puisse tre achet. Lorsqu'un profil de protection existe l'valuation doit tre faite obligatoirement vis--vis du profil de protection, ou avec une cible de scurit qui inclue le profil de protection. Le NIAP est bien sr dans l'accord de reconnaissance mutuelle qui lit les 8 pays ayant un schma de certification et les 18 autres qui reconnaissent la certification, mais l'usage obligatoire des profils de protection amricains est une limite majeure cette reconnaissance internationale. Officiellement depuis Juillet 2002, l'obtention du certificat d'valuation est obligatoire, et la politique du gouvernement US n'a jamais change. Cependant les vendeurs ont crus que le gouvernement ne respecterait pas sa politique de n'acqurir que des produits valus aux critres communs et il se sont dit qu'il tait urgent d'attendre et n'ont pas lanc d'valuation, mais Jean Schaffer nous assure que le gouvernement a respect sa promesse et interdit l'achat de produits non valus.
7.4.2
Le DCA
Pour respecter le code des marchs public amricains, il manquait des produits valus, alors le NIAP a accept de faire le DCA : Deferred Compliance Authorization. Chaque institution amricaine peut faire une liste des produits pas encore valus, qui pourront rpondre aux appels d'offre sur l'engagement formel d'une valuation russie dans un dlai fix. Cette mthode ferme peut expliquer la forte croissance de l'valuation aux USA. Si le nombre de laboratoires d'valuation agrs n'a pas beaucoup chang, 7 en 2003 et 8 en 2004, le nombre de produits en cours d'valuation est en croissance constante. Le NIAP a 53 certificats en cours de validit, 38 avec des cibles d'valuation et 17 avec des profils de protection. Il y a au 23 Fvrier 2004, 73 produits en cours d'valuation aux USA, 70 avec une cible de scurit spcifique et 3 vis-vis d'un profil de protection. Il y a eu aussi 16 certificats qui ont t annuls, abandonns ou remplacs, et 40 valuations qui n'ont pas ts leur terme soit en tout 182 dossiers au NIAP. Il y a eu des abandons en cours d'valuation, des cas o la relation troite ncessaire entre l'diteur et le laboratoire d'valuation n'a pas march, etc. Jean Schaffer prcise que le schma de certification amricain est une excellente opportunit pour les produits amricains de conqurir le monde et faire des affaires. En ce qui concerne le processus, un diteur souhaitant tre certifi doit choisir un laboratoire d'valuation parmi les 8 agrs. Ce dernier doit valider la cible d'valuation de l'diteur, et ensuite ils viennent voir le NIAP qui runi tout le monde et lance l'valuation. Jean Schaffer rappelle que plus de 90% des valuateurs n'ont pas respect l'agenda prvu et qu'il ne sert rien en tant que vendeur d'tre agressif avec l'valuateur, le NIAP vrifie en permanence que le laboratoire ne subit pas de pressions du vendeur et n'arrondit pas les angles. Aux USA l'valuation la plus courte a dure 3 mois, et la plus longue 3 ans. Pour grer l'pineux problme des correctifs et des nouvelles versions d'un produit par rapport une valuation, un nouveau processus de maintenance de l'valuation a t approuv de manire internationale en Janvier 2004. Lorsqu'un certificat a t mis sur un produit, lors de la sortie de correctifs ou d'une volution du produit, il faut fournir au NIAP un rapport analysant les impacts des nouveauts par rapport l'valuation dj faite. Il faut prouver au NIAP que les changements effectus n'affectent pas l'valuation ralise et l'assurance de celle-ci. La grande diffrence entre une valuation et sa maintenance, est que l'diteur ne doit pas retourner voir le laboratoire, il s'adresse directement au NIAP. Le NIAP va revoir si ncessaire le laboratoire qui a fait l'valuation. Si le NIAP considre que les correctifs ou volutions n'affectent pas le certificat obtenu il publie un ajout sur son site web
28 juillet 2004
85/98
Livre ouvert sur la scurit prcisant les nouvelles versions du produit concernes. Si le NIAP n'est pas sr, il demande une rvaluation par le laboratoire qui va uniquement regarder les changements raliss. Cette rvaluation demande un mois en gnral, l'issue de laquelle l'diteur obtient un nouveau certificat comme s'il avait tout recommenc depuis le dbut. La seule exception l'valuation par le schma du NIAP est celle des produits cryptographiques dont la partie cryptographique doit tre value par le NIST vis--vis du standard FIPS140 en pralable une valuation aux critres communs. Visiblement plusieurs diteurs ont souffert, ils considrent l'valuation trop conceptuelle et pas assez raliste, trop lente et pas adapte aux produits renouvels tous les 3 mois. Il n'en demeure pas moins que le processus d'valuation vis--vis des critres communs semble dcoller aux USA. Prudence cependant, en rponse une question, Ken Eliott, valuateur senior, a confirm qu'il tait possible qu'un produit soit certifi avec une porte-drobe permettant l'diteur d'effectuer un diagnostic distance.
7.4.3
28 juillet 2004
86/98
LA VEILLE SECURITE
Partie prise en charge par Olivier Caleff (Apoge Communications)
28 juillet 2004
87/98
28 juillet 2004
88/98
10
10.1
BIBLIOGRAPHIE ET REFERENCES
GENERAL
(Rf. 1) http://www.netcost-security.comhttp://www.mag-securs.com/ (Rf. 3) http://secuser.com (Rf. 4) http://www.zataz.com/ (Rf. 5) http://securiteinfo.com/ (Rf. 6) http://www.clusif.asso.fr/
10.2
ATTAQUES ET MENACES
(Rf. 7) http://www.hoaxbuster.com/
10.3
VOIP
(Rf. 8) http://www.forumvoip.com/ (Rf. 9) http://www.sipforum.org/ (Rf. 10) http://www.voipwatch.com/ (Rf. 11) http://www.vonmag.com/ (Rf. 12) http://www.sipcenter.com/ (Rf. 13) http://www.voip-info.org/ (Rf. 14) http://www.iptel.org/ (Rf. 15) http://www.voip-news.com/ (Rf. 16) http://www.voip.org.uk/ (Rf. 17) http://vomit.xtdnet.nl/
10.4
WI-FI
(Rf. 18) ART (Rf. 19) WECA http://www.art-telecom.fr/ http://www.weca.net/OpenSection/index.asp
(Rf. 20) WLANA : http://www.wlana.org/index.html (Rf. 21) IEEE 802.11 : http://grouper.ieee.org/groups/802/11/ (Rf. 22) Wi-Fi Planet : http://www.wi-fiplanet.com/
(Rf. 23) Wi-Fi Networking News : http://wifinetnews.com/ (Rf. 24) Paul Mhlethaler : 802.11 et les rseaux sans fil (Eyrolles) (Rf. 25) HiperLAN/2 : (Rf. 26) Bluetooth : (Rf. 27) UnStrung : http://www.etsi.org/ http://bluetooth.com http://www.unstrung.com/
(Rf. 28) Rappels de thorie radio http://www.swisswireless.org/wlan_calc_fr.html (Rf. 29) Microsoft Technology Center : http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx (Rf. 30) O'Reilly - comparaison technique de TTLS et PEAP http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html
28 juillet 2004
89/98
Livre ouvert sur la scurit (Rf. 31) IEC - Tutoriel EAP pour 802.1X : http://www.iec.org/online/tutorials/acrobat/eap_methods.pdf
10.5
INGENIERIE SOCIALE
(Rf. 32) Avis du CERT Social Engineering http://www.cert.org/advisories/CA-1991-04.html (Rf. 33) Bernz The complete social engineering FAQ http://www.morehouse.org/hin/blckcrwl/hack/soceng.txt (Rf. 34) Harl People hacking. The Psychology of Social Engineering (Rf. 35) Tims Social Engineering : Policies and Education a Must http://www.sans.org/infosecFAQ/social/policies.htm (Rf. 36) Gartner http://www3.gartner.com/gc/webletter/security/issue1
10.6
JURIDIQUE
(Rf. 37) http://www.clic-droit.com/ (Rf. 38) http://www.iteanu.com/ (Rf. 39) http://www.juriscom.net/ (Rf. 40) http://www.murielle-cahen.com (Rf. 41) http://www.cnil.fr/ (Rf. 42) http://legifrance.gouv.fr
10.7
LOISIRS
10.7.1 Livres
(Rf. 43) Lours et le dragon de Tom Clancy Comment un logiciel espion savre dterminant pour gagner la guerre entre les USA et la Russie dun ct et la Chine de lautre. (Rf. 44) Mademoiselle Chat de Frank et Vautrin (Fayard) Les services secrets allis essaient de voler la machine chiffrer allemande ENIGMA (Rf. 45) Pige sur le rseau de Philipp Finch (titre original : f2f) Presses de la Cit Un serial killer recrute ses victimes sur le Net. Intrusions, capture d'information, cheval de troie, vers, phreaking, vol de n de cartes de crdit (codeZ)... l'attaque informatique dans toute sa splendeur. (Rf. 46) Histoire des codes secrets de Simon Singh De l'gypte des pharaons l'ordinateur quantique (Rf. 47) Da Vinci Code de Dan Brown Un mchant albinos, une jolie cryptographe et quelques espions du Vatican pour dchiffrer un code secret et dcouvrir l'un des plus grands mystres de notre temps.
10.7.2 Films
(Rf. 48) U571 (Universal studios) Comment lquipage dun sous-marin amricain sempare de la machine ENIGMA en abordant un sous-marin allemand en perdition. (Rf. 49) Le rideau dchir (Alfred Hitchcock) Les secrets taient cachs dans une note de musique. Bel exemple de stganographie.
28 juillet 2004
90/98
Livre ouvert sur la scurit (Rf. 50) Contact (Robert Zemeckis) Encore un bel exemple de stganographie : un vieux film d'actualit livre ses secrets (Rf. 51) Wargames (John Badham) David commence par infiltrer le rseau informatique de son lyce et finit par celui du Pentagone. A quoi tient le dclenchement de la 3 guerre mondiale ! (Rf. 52) Matrix (Andy Wachowski) Inutile de prsenter....
28 juillet 2004
91/98
11
11.1
GLOSSAIRE
ACRONYMES
AP ART BAS BLR BPSK CCK DSSS EAP EAP-TLS EAP-TTLS ESS ETSI FHSS IBSS IDS IEEE IETF L2TP LAN LEAP MD5 MEGACO MGCP NAS OFDM PAN PBX PEAP PIRE PPTP PSK QAM QPSK RAS RLAN ROI RTCP RTP SCTP SDP SIP SSID Access Point Autorit de rgulation des Tlcommunications. Broadband Access Server Boucle Locale Radio Binary Phase Shift Keying Complementary Code Keying Direct Sequence Spread Spectrum Extensible Authentication Protocol EAP with Transport Layer Security EAP with Tunnelled Transport Layer Security Extended Service Set European Telecommunications Standard Institute Frequency Hopping Spread Spectrum Independent BSS Intrusion Detection System Institute of Electrical & Electronic Engineers Internet Engineering Task Force Layer 2 Tunneling Protocol Local Area Network Lightweight EAP Message Digest 5 Media Gateway Controller Media Gateway Control Protocol Network Access Server Orthogonal Frequency Division Multiplexing Personnal Area Network Private Branch Exchange Protected EAP Puissance Isotrope Rayonne Equivalente Point-to-Point Tunneling Protocol Pre-Shared Key Quadrature Amplitude Modulation Quadrature Phase Shift Keying Remote Access Server Radio LAN Return on Investment Realtime Control Protocol RealtimeTransport Protocol Stream Control Transmission Protocol Session Description Protocol Session Initiation Protocol Service Set Identification
28 juillet 2004
92/98
Livre ouvert sur la scurit SSRC STA TCP/IP TLS TTLS VLAN VoIP VPN WAN WECA WISP WLAN WLL WMAN VoWLAN WPA WPAN Synchronization source identifier (RTP header) Station Transmission Control Protocol/Internet Protocol Transport Layer Security Tunneled TLS Virtual LAN Voice over Internet Protocol Virtual Private Network Wide Area Network. Utilis parfois la place de WLAN Wireless Ethernet Compatibility Alliance Wireless ISP Wireless LAN Wireless Local Loop Wireless MAN Voice over WLAN Wi-Fi Protected Access Wireless PAN
11.2
DFINITIONS
DES, 3DES Data Encryption Standard : Chiffrement symtrique qui permet dassurer le chiffrement des donnes. Le DES a une longueur de cl utile de 56 bits, le triple DES de 168 bits. 802.11a Autre variante du protocole 802.11, galement qualifi Wi-Fi, mais oprant dans une autre bande de frquences daccs encore trs limit en France 802.11b, 802.11g Variantes du protocole 802.11 adoptes par les produits courants "WiFi" et qui correspondent des techniques de modulation diffrentes, dont la diffrence tangible pour l'utilisateur se traduit par le dbit maximum. 802.11i Extension du protocole 802.11 pour la scurit. AAA Authentication, Autorisation and Accounting : Un serveur AAA est un serveur dauthentification forte qui dlivre les autorisations daccs et gnre les lments comptables. ACL Access Control List : Liste dadresses ou de ports fonctionnant comme un filtre pour grer les autorisations/interdictions daccs. AES Advanced Encryption Standard : Mthode de chiffrement symtrique, d'origine belge, utilise par larme amricaine, plus moderne que le DES, plus rapide, dont les cls sont plus longues. AH Authentication Header, champ ajout par lIPSEC devant chaque paquet IP pour permettre son authentification Appliance Plate-forme matrielle sur laquelle sont prchargs les logiciels de scurit (Firewall et VPN, parfois aussi dtecteur dintrusion). Les appliances peuvent tre des PC standards modle tour, ou des racks 1u et 2u, ou encore des botiers spcifiques. ASLEAP Attaque de type dictionnaire sur LEAP BLR Boucle Locale Radio Booter Lancer les services du systme dexploitation pour que les applications qui les utilisent soient prtes fonctionner. Le boot (amorage) se fait lallumage du poste de travail et du serveur. BPSK Binary Phase Shift Keying Broadcast Diffusion : mission depuis un point vers toutes les stations susceptibles de dtecter le signal.
28 juillet 2004
93/98
Livre ouvert sur la scurit BSS BSSID Centrino Basic Service Set : Ensemble form un point d'accs et les stations situes dans sa zone de couverture radio lectrique. Basic Service Set IDentifier : identifiant dun point daccs, concrtement son adresse MAC. Une offre matrielle dINTEL, compose d'un processeur (Pentium-M), d'un jeu de composants associ (le 855) et d'un module Wi-Fi qui assure l'mission et la rception des donnes (contrleur RLAN Intel PRO/2100). Computer Emergency Response Team. Rseau mondial de centres qui rceptionne et diffuse les alertes de scurit et les vulnrabilits des systmes. Voir sur www.cert.org. Fichier contenant divers renseignements qui permettent dauthentifier un utilisateur, avec en particulier son nom, sa socit, lautorit de confiance qui a sign ce certificat, les dates de validit du certificat, la cl publique qui va permettre de chiffrer / dchiffrer lors dun chiffrement asymtrique et une partie chiffre qui permet den contrler lorigine. Ou token USB. Objet amovible contenant un chip dans lequel sont stocks les certificats et les cls de chiffrement. La diffrence avec une carte puce est que la cl USB se positionne dans le port USB que tous les postes de travail possdent en standard et ne ncessite donc pas dacqurir un lecteur additionnel. Le contenu du chip de la cl USB ne peut tre recopi, ce qui offre une scurit plus grande que le stockage de la cl prive sur un disque dur ou sur une disquette. La Commission Nationale de lInformatique et des Liberts est une autorit administrative indpendante qui toute action de constitution de liste nominative doit tre communique. Voir www.cnil.fr Le codec identifie le mode de numrisation et de compression du signal (la voix dans notre cas) se distinguent par leurs caractristiques : qualit du signal sonore, bande passante et capacit de traitement CPU requise. Les codec les plus courants sont des recommandations ITU : G.711 (64 kb/s a & law) ; G.723.1(5,3/6,3 kb/s 30 ms frame size) ; G.729 (8 kb/s 10 ms frame size) ; mais aussi GSM (13+ kb/s) ; Speex (2,15 - 44,2 kb/s) (Switch) : quipement qui aiguille les paquets dun segment vers un autre en se basant sur un mcanisme dadressage. (Hub) : quipement qui relie les diffrents segments physiques dun rseau en toile. Le concentrateur laisse passer tous les flux sans contrle. Voir firewall. Cyclic Redundancy Check : rsultat dun algorithme, destin vrifier lintgrit dun message et ventuellement dtecter des erreurs de transmission. Data Encryption Standard. Algorithmes de chiffrement symtriques. Le DES utilise une cl de 56 bits, le 3DES utilise trois cls en srie de 56 bits, qui donnent une cl virtuelle de chiffrement de 168 bits. Appel Java qui ouvre un tunnel chiffrant depuis un poste client vers un RAS. DeMilitarized Zone. Un ou plusieurs rseaux partant dun firewall et qui ne sont ni le rseau externe non protg, ni le rseau interne trs protg. Cest une zone intermdiaire avec une politique de scurit particulire, dans laquelle on place souvent le serveur Web institutionnel de lentreprise, le serveur anti-virus et le serveur de messagerie. Deny of Service (dni de service) : Attaque qui consiste rendre un rseau inoprant par saturation ou destruction de ses ressources. Distribution System : Rseau dinfrastructure qui permet de relier plusieurs BSS pour constituer un ESS. Le systme de distribution peut tre un rseau filaire, un cble entre deux points d'accs voire un rseau.
CERT
Certificat
Cl USB
CNIL
Codec
DoS DS
28 juillet 2004
94/98
Livre ouvert sur la scurit ESP Encryption Standard Protocol, champs ajouts devant et derrire chaque paquet IP pour permettre lauthentification et le chiffrement / dchiffrement de ces paquets. Extended Service Set : Ensemble de BSS relis entre eux par systme de distribution (voir DS) Extended Service Set IDentifier : Identifiant servant de reconnaissance mutuelle entre un rseau et ses terminaux, souvent abrg en SSID. Solution logicielle ou matrielle place en coupure entre deux ou plusieurs rseaux et qui contrle tous les changes entre ces rseaux pour ne laisser passer que les changes autoriss par la politique de scurit de lentreprise quil protge. Voir firewall. Recommandation ITU (Study Group 16) pour la transmission temps-rel de vido et de donnes sur un rseau commutation de paquet, traditionnellement applique la visio-confrence sur IP, mais aussi la phonie. Pirate qui attaque votre rseau par mchancet, bravade, divertissement ou simplement parce que cest son travail. On trouve de plus en plus de hackers non spcialistes mais quips de logiciels dattaques qui peuvent tre trouvs gratuitement sur lInternet, et dont ils nont pas connatre finement le comportement pour les utiliser. Fausse alerte de virus ou de ver, souvent un canular qui ne repose sur aucune menace relle mais gnre nanmoins la peur, cause des pertes de temps et empoisonne la vie des utilisateurs. Voir en http://hoaxbusters.ciac.org/ Rseau radio ouvert au public pour offrir l'accs l'Internet des utilisateurs de passage. Hyper Text Transfert Protocol. Protocole applicatif dfinissant les changes entre un client Web (tel que lInternet Explorer ou le Netscape Navigator) et un serveur Web tel que lIIE ou Apache. Internet Key Exchange, mthodes de lIPSec, bases sur le chiffrement asymtrique, pour changer la cl de chiffrement symtrique. Rseau interne de lentreprise dont les applications utilisent les protocoles rseaux de lInternet (protocoles IP). Internet Protocol Security, suite de protocoles et mthodes qui ajoutent des fonctionnalits dauthentification et de chiffrement la version actuelle du protocole IP, lIPv4. La prochaine version des protocoles IP, lIPv6, contient dorigine toutes ces fonctionnalits de scurit. Le Lightweight Directory Access Protocol est un protocole IP qui dfinit comment accder des services en ligne d'annuaire. Message Integrity Code : algorithme utilis par TKIP pour calculer un code dintgrit dun paquet. Network Address Translation, mthodes pour cacher les adresses IP dun rseau protg, en les modifiant pour prsenter des adresses diffrentes lextrieur. Il y a la NAT statique qui fait correspondre une adresse publique chaque adresse interne prive, et la NAT dynamique qui attribue une adresse prise dans un pool limit dadresses publiques chaque adresse interne, jusqu puisement des adresses disponibles. Network Information Centre : Autorit qui attribue des plages dadresses Internet et des noms de domaine aux utilisateurs. Network Interface Card : Carte dadaptation installes dans un ordinateur et qui fournit un point de connexion vers un rseau. Parcelle lmentaire dinformation dans laquelle les donnes sont transportes dans les rseaux IP. Un paquet IP se compose dune partie en-tte, et dune partie donne.
Hacker
Hoax
28 juillet 2004
95/98
Livre ouvert sur la scurit PIN Personal Identification Number : Code secret quatre chiffres (ou plus) qui permet dactiver le dispositif dauthentification dune cl USB ou dune carte puce. Le trou d'une aiguille correspond dans le cas du Firewall la brche trs limite qui est cre de manire temporaire pour laisser passer une connexion de son ouverture sa clture. Public Key Infrastructure, infrastructure cl publique qui se compose de diverses autorits (de certification, denregistrement) et dun systme de distribution de cls asymtriques. Dun point de vue logiciel, numro caractrisant une application (par exemple 80 est un numro de port affect au protocole web HTTP). Dun point de vue matriel, un port caractrise un connecteur physique par exemple une cl dauthentification sadapte sur un port USB. Poste qui peut accder un service sans se raccorder par cble.. Poste qui peut accder un service depuis nimporte quel point cbl. Srie de protocoles dfinis par les RFC (Requests for Comments) et sur lesquels les changes Internet et par extension Intranet reposent. Logiciel entre lutilisateur et le serveur dapplication, qui masque cette application en se faisant passer pour le serveur Remote Authentication Dial-In User Service : Protocole normalis qui dcrit la communication entre un RAS et un serveur AAA nomm RADIUS. Rseau local (LAN) dont tout ou partie de l'infrastructure repose sur une technologie radio. Du nom des inventeurs : Rivest, Shamir, Adelman. Le RSA est une mthode dauthentification et de chiffrement base de cls asymtriques bas sur des cls de 1024 bits ou 2048 bits. Le RSA est souvent utilis pour une authentification mutuelle et un change dune cl de chiffrement symtrique. Rseau Tlphonique Commut : La connexion RTC permet de se connecter Internet partir de n'importe quelle prise tlphonique en connectant un modem entre l'ordinateur et la ligne. Les modems RTC offrent un dbit maximum de 56 Kbps (ou Kb/s pour kilo bits par seconde). Session Detail Records, correspond la notion de tickets de consommation, directement dduit des communications ayant eu lieu, et permettant donc la facturation. Simple Mail Transfert Protocol. Protocole applicatif sur lequel repose la messagerie sur lInternet. Sonde logicielle destine analyser le trafic sur un rseau. Les hackers les utilisent pour rcuprer la vole des informations sensibles (par exemple mots de passe) l'insu des administrateurs rseau. Textuellement, commutateur logiciel, correspond au serveur de l'architecture VoIP qui regroupe les fonctions autrefois ralises par l'autocommutateur (PABX), telles que la messagerie vocale, les fonctions de renvois, mais aussi l'ACD ou l'IVR. Mthode de piratage qui consiste usurper l'adresse IP d'un ordinateur du systme attaquer, de manire pouvoir l'accder de manire transparente. Service Set IDentifier : Drapeau servant de reconnaissance mutuelle entre un rseau et ses terminaux Temporal Key Integrity Protocol : Protocole de chiffrement utilis par WPA Cl USB : objet amovible contenant un chip (une puce) dans lequel sont stocks les certificats et les cls de chiffrement. La cl USB se positionne dans le port USB des postes de travail. Son contenu ne peut tre recopi et la cl asymtrique ne quitte jamais le token USB.
Pinhole
PKI
Port
RTC
SDR
SMTP Sniffer
Softswitch
28 juillet 2004
96/98
Livre ouvert sur la scurit VPN Virtual Private Network : Tunnel chiffrant entre deux rseaux protgs bti sur un rseau non-protg et qui, aprs authentification mutuelle des deux bouts du tunnel, chiffre les transactions qui doivent ltre et en assure lauthenticit, la confidentialit et lintgrit. Ensemble de symboles tracs par les hackers pour indiquer la prsence dun rseau WiFi. Technique utilise par les hackers, qui consiste se dplacer avec un ordinateur portable et un systme de rception radio, afin de dtecter la prsence de rseaux WiFi. Le systme peut tre complt par un GPS pour localisation automatique. Wireless Equivalent Privacy : mcanisme dauthentification et de chiffrement standard du protocole 802.11 Label dlivr par le WECA qui garantit l'interoprabilit des quipements radio rpondant au standard 802.11. Par extension de langage, dsigne le standard lui-mme. WiFi Protected Access : mcanisme dauthentification et de chiffrement prconis comme solution dattente de 802.11i, en alternative au WEP
War-chalking War-driving
WEP WiFi
WPA
28 juillet 2004
97/98
Echec et Mat
La reproduction et/ou la reprsentation de ce document sur tous supports est autorise la condition d'en citer la source comme suit etna 2004 - http://www.etnafrance.org/ressources/securiteip/booklet-etna.pdf L'utilisation but lucratif ou commercial , la traduction et l'adaptation de ce document sous quelque support que ce soit est interdite sans la permission crite de letna.
28 juillet 2004
98/98