La sécurité à l`usage des décideurs - Mag

Transcription

La sécurité à l’usage des décideurs
La sécurité
à l’usage des décideurs
15 nov 2004
Centre Français de réflexion
sur la sécurité des systèmes d’information
Ce travail a été coordonné par Gérard Péliks.
Ont contribués à la rédaction de ce livre :
Jean-Philippe Bichard, Matthieu Bonenfant, Olivier Caleff, Bernard Carayon, Hervé Chappe,
Patrick Chrisment, Dominique Ciupa, Philippe Clost, Anne Coat-Rames, Max de Groot, Alexis
Ferrero, Franck Franchin, Jean-Denis Garo, Laurent Germain, Michèle Germain, Gabriel Gross,
Michel Habert, Juan Antonio Hernandez, Sami Jourdain, Thierry Karsenti, Alexandre Le
Faucheur, Gérard Peliks, Frédéric Pierre, Pierre-Luc Refalo, Philippe Robin, Thierry Rouquet,
Eleonore Sichel-Dulong, Gérald Souyri, Alain Thibaud
15 nov 2004
© etna – Voir en dernière page pour les droits de reproduction
1/189
15 nov 2004
2/189
Le mot du Président de l’etna
Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une
sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système
d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu
un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera
dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et
des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les
informations qu'ils contiennent, ce travail commun du Centre français de réflexion
sur la sécurité des systèmes d’information, créé au sein de l'etna France, pourra se
révéler très utile.
Edmond Cohen, Président de Western Telecom, [email protected]
Le mot de la Représentante du centre français de réflexion sur la
sécurité des systèmes d’information auprès du Conseil
d’Administration de l’etna
Je félicite ce groupe de travail, devenu le Centre français de réflexion sur la
sécurité des systèmes d’information, devant la passion qu’il a prouvée, dans la
rédaction de cet ouvrage.
Il s'agit de technologies concurrentes, de personnes d'environnements
hétérogènes où tout le monde a consacré beaucoup d'énergie et d'enthousiasme à
ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la
protection des flux d'informations.
Un remerciement particulier à tous les auteurs qui ont contribué à réaliser un livre qui sera
certainement très utile et aussi à nos sponsors qui nous permettent en finançant les travaux d’édition
de le produire sous format papier.
Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, [email protected]
Le mot du Président du centre français de réflexion sur la sécurité
des systèmes d’information
Le pari un peu surréaliste d’écrire un livre ouvert sur la sécurité à destination des
décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs
acteurs de la sécurité des systèmes d’information sur le marché français a été lancé
dès la création de la commission sécurité de l’etna France. Son ambition est
d’évangéliser le monde des télécoms sur les diverses facettes de la sécurité des
systèmes d’information et des réseaux avec l’assurance que la diversité de ses
auteurs a apporté la richesse de cet ouvrage et son adéquation au but recherché.
Gérard Péliks , EADS Defence and Communications Systems
Le mot du hacker
Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté face aux menaces de
l’Internet. Quand j’attaque votre système d’information, soit pour jouer avec, soit pour vous nuire, soit
pour l’utiliser comme relais pour réaliser d’autres attaques, je dois pouvoir
compter sur leur inconscience des dangers qui les guettent. Si la dimension
sécurité entrait dans l’esprit de mes victimes potentielles, je passerais
beaucoup plus de temps pour que mes attaques aboutissent et le temps reste
mon principal ennemi. Je risque en effet de me faire pincer et je sais que
j’encours de lourdes sanctions pénales si vous portez plainte contre moi. Un
livre de la nature de celui-ci va donc rendre ma tâche encore plus difficile et
surtout plus risquée.
15 nov 2004
3/189
La sécurité
......................................................................................................... 1
1
2
L’intelligence économique ......................................................................................................................... 9
La cybercriminalité.................................................................................................................................... 13
2.1
ANALYSE DES GRANDES TENDANCES 2004 / 2005................................................................................................13
2.1.1
Les principaux enjeux 2004 / 2005 ............................................................................................... 13
2.1.2
Pourquoi se protéger ? ................................................................................................................. 14
2.2
E-SECURITE : DE QUEL MARCHE S’AGIT-IL EN 2004 ? ...........................................................................................15
2.3
LES MENACES .......................................................................................................................................................15
2.4
LES VULNERABILITES ...........................................................................................................................................18
2.4.1
Une histoire qui remonte à la nuit des temps ............................................................................... 18
2.4.2
Un changement de comportement avec les vulnérabilités informatiques .................................... 18
2.4.3
Les « exploits » ............................................................................................................................. 19
2.4.4
Les parades .................................................................................................................................. 19
2.4.5
Les attaques exploitant les vulnérabilités ..................................................................................... 19
2.4.6
La difficulté des corrections .......................................................................................................... 20
2.4.7
Les faiblesses du Web.................................................................................................................. 20
2.5
LES ATTAQUES .....................................................................................................................................................25
2.5.1
Le vol d’informations ..................................................................................................................... 26
2.5.2
Les accès non autorisés ............................................................................................................... 26
2.5.3
Les dénis de services ................................................................................................................... 26
2.5.4
Les attaques sur la messagerie.................................................................................................... 27
2.5.5
Les attaques sur le Web ............................................................................................................... 30
2.5.6
Les attaques par le système d’exploitation................................................................................... 34
2.5.7
Les attaques combinées ............................................................................................................... 34
2.6
LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES ........................................................................................35
2.6.1
Les éléments malfaisants ............................................................................................................. 35
2.6.2
Face au virus Mydoom.A .............................................................................................................. 36
2.6.3
Les logiciels espions ..................................................................................................................... 38
2.7
LE CAS DU RESEAU SANS FIL .................................................................................................................................38
2.7.1
La "révolution" radio...................................................................................................................... 38
2.7.2
Les préoccupations de l’Administrateur Réseau .......................................................................... 41
2.7.3
Risques et attaques ...................................................................................................................... 41
2.8
L’INGENIERIE SOCIALE .........................................................................................................................................46
2.9
LE CYBER RACKET ................................................................................................................................................47
2.9.1
La prolifération des risques........................................................................................................... 48
2.9.2
Les approches .............................................................................................................................. 48
2.9.3
Un exemple ................................................................................................................................... 48
2.9.4
Les règles à suivre........................................................................................................................ 49
2.10 LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS ...................................................................................49
2.10.1 Le spim.......................................................................................................................................... 49
2.10.2 Le googlebombing ........................................................................................................................ 49
2.10.3 Les attaques sur les téléphones portables ................................................................................... 49
2.10.4 Les attaques sur les photocopieurs .............................................................................................. 50
2.10.5 Le Peer-to-Peer ............................................................................................................................ 50
3 Les contre-mesures et moyens de défense ........................................................................................... 51
3.1
LES FIREWALLS BASTION .....................................................................................................................................51
3.1.1
Les paramètres pour filtrer les données ....................................................................................... 52
3.1.2
A quel niveau du paquet IP le filtrage doit-il se situer ?................................................................ 52
3.1.3
Le masquage des adresses IP du réseau interne ........................................................................ 53
3.1.4
Les zones démilitarisées............................................................................................................... 53
3.1.5
Firewall logiciel ou firewall matériel ? ........................................................................................... 54
3.1.6
En parallèle ou en série ? ............................................................................................................. 54
3.1.7
Sous quel système d’exploitation ? .............................................................................................. 54
3.2
LE FIREWALL APPLICATIF .....................................................................................................................................55
3.2.1
Des attaques sur les applications Web en forte croissance ......................................................... 55
15 nov 2004
4/189
3.2.2
Les limitations des solutions de sécurité traditionnelles ............................................................... 56
3.2.3
Le Firewall Applicatif ou Reverse Proxy Applicatif........................................................................ 56
3.3
LE FIREWALL PERSONNEL .....................................................................................................................................60
3.4
L’AUTHENTIFICATION FORTE ................................................................................................................................61
3.4.1
L’authentification et la chaîne de sécurisation .............................................................................. 61
3.4.2
Le rôle de la carte à puce dans l’authentification ......................................................................... 62
3.4.3
Exemples actuels d’utilisation de carte à puce ............................................................................. 62
3.4.4
Conclusion .................................................................................................................................... 63
3.5
LA BIOMETRIE ......................................................................................................................................................63
3.5.1
Introduction ................................................................................................................................... 63
3.5.2
Identification.................................................................................................................................. 64
3.5.3
Méthodes biométriques................................................................................................................. 64
3.5.4
Précision ....................................................................................................................................... 66
3.5.5
Applications des techniques biométriques.................................................................................... 66
3.6
LE CHIFFREMENT ET LA CRYPTOGRAPHIE .............................................................................................................67
3.6.1
Introduction ................................................................................................................................... 67
3.6.2
Cryptage symétrique..................................................................................................................... 68
3.6.3
Cryptage asymétrique................................................................................................................... 68
3.6.4
La signature électronique.............................................................................................................. 69
3.6.5
Combinaison des techniques........................................................................................................ 70
3.7
LA STEGANOGRAPHIE ...........................................................................................................................................71
3.7.1
Le but de la stéganographie ......................................................................................................... 71
3.7.2
Dissimuler l’information dans une image ...................................................................................... 71
3.7.3
Dissimuler l’information dans un texte .......................................................................................... 72
3.8
LES VPN ..............................................................................................................................................................72
3.8.1
Les VPN IPSec ............................................................................................................................. 74
3.8.2
Les VPN-SSL ou l’accès distant sécurisé nouvelle génération .................................................... 79
3.8.3
VPN IPSec ou SSL: Les critères de décision ............................................................................... 84
3.9
LE CHIFFREMENT DES DONNEES SUR DISQUE ........................................................................................................88
3.10 LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) ....................................................................................................89
3.10.1 Certificats Numériques et Autorités de Certification ..................................................................... 89
3.10.2 Applications de la PKI ................................................................................................................... 90
3.10.3 Certificats Numériques.................................................................................................................. 90
3.10.4 Autorité de Certification (CA, Certification Authority).................................................................... 90
3.11 LA PREVENTION D'INTRUSIONS .............................................................................................................................92
3.11.1 Les limites de la détection............................................................................................................. 93
3.11.2 Qu’est-ce que la prévention ? ....................................................................................................... 93
3.11.3 Périmètre d’action d’un système de prévention............................................................................ 94
3.11.4 Les moteurs d’analyse .................................................................................................................. 94
3.11.5 Performances du système ............................................................................................................ 95
3.12 LES ANTI (VIRUS, SPAMS, SPYWARES) ..................................................................................................................95
3.12.1 Les antivirus.................................................................................................................................. 96
3.12.2 Les antispams............................................................................................................................... 97
3.12.3 Les anti spywares ......................................................................................................................... 98
3.13 SECURITE ET MOBILITE ........................................................................................................................................98
3.14 LE FILTRAGE DE CONTENU INTERNET.................................................................................................................. 100
3.15 L’ERADICATION DES LOGICIELS ESPIONS ............................................................................................................ 101
3.16 LES POTS DE MIELS ............................................................................................................................................. 102
4 La gestion de la sécurité ........................................................................................................................ 104
4.1
LA GESTION CENTRALISEE DE LA SECURITE ........................................................................................................ 104
4.1.1
Introduction ................................................................................................................................. 104
4.1.2
Caractéristiques d’un système de gestion centralisé de la sécurité ........................................... 105
4.1.3
Le système d’administration (SOC- Security Operations center) ............................................... 105
4.1.4
Les opérations ............................................................................................................................ 106
4.1.5
La surveillance ............................................................................................................................ 107
4.1.6
La supervision............................................................................................................................. 107
4.1.7
Le contrôle .................................................................................................................................. 107
4.1.8
La sécurité et l’administration du centre de gestion de la sécurité ............................................. 107
15 nov 2004
5/189
4.1.9
Fonctionnement d’un centre de gestion centralisé de la sécurité............................................... 107
4.1.10 Garanties de sécurité.................................................................................................................. 108
4.1.11 Standards et Modèles de référence utiles .................................................................................. 108
4.2
LES SCANNERS DE VULNERABILITES ................................................................................................................... 108
4.2.1
Un sujet technique et une question d'organisation ..................................................................... 108
4.2.2
Les technologies de recherche de vulnérabilités........................................................................ 109
4.2.3
Les usages des scanners de vulnérabilités ................................................................................ 111
5 La gestion des correctifs........................................................................................................................ 114
5.1
CONTEXTE .......................................................................................................................................................... 114
5.2
PRINCIPE DE TRAITEMENT DES CORRECTIFS DE SECURITE ................................................................................... 115
5.2.1
la phase amont ........................................................................................................................... 115
5.2.2
Le déploiement ........................................................................................................................... 116
5.2.3
La phase de suivi ........................................................................................................................ 117
5.3
ÉLEMENTS COMPLEMENTAIRES OU SPECIFIQUES ................................................................................................ 117
5.3.1
le facteur temps .......................................................................................................................... 117
5.3.2
Les systèmes qui ne peuvent pas être pris en compte .............................................................. 117
5.4
CONCLUSION ...................................................................................................................................................... 118
6 Les réseaux particuliers ......................................................................................................................... 119
6.1
APPLICATIONS A LA VOIX SUR IP ....................................................................................................................... 119
6.1.1
Architecture d'un système VoIP.................................................................................................. 119
6.1.2
Les risques.................................................................................................................................. 120
6.1.3
Les attaques ............................................................................................................................... 121
6.1.4
Fonctions..................................................................................................................................... 121
6.2
LA SECURITE DU CENTRE D’APPELS.................................................................................................................... 122
6.2.1
Le centre d’appels....................................................................................................................... 122
6.2.2
Les enjeux................................................................................................................................... 123
6.2.3
Une double actualité : ................................................................................................................. 123
6.2.4
Les risques :................................................................................................................................ 124
6.2.5
Les chaînons............................................................................................................................... 124
6.2.6
Les solutions : ............................................................................................................................. 124
6.3
LA SECURITE DES RESEAUX SANS FIL .................................................................................................................. 125
6.3.1
Le problème du WEP.................................................................................................................. 125
6.3.2
Les contre-mesures de base ...................................................................................................... 127
6.3.3
Les évolutions du protocole : WPA et 802.11i ............................................................................ 131
6.3.4
Application................................................................................................................................... 134
6.3.5
Autres technologies .................................................................................................................... 134
6.4
LA VIDEOSURVEILLANCE SUR IP ......................................................................................................................... 136
6.4.1
La convergence des ressources et l’optimisation des systèmes................................................ 136
6.4.2
Exemple d’application : la vidéosurveillance sur IP :.................................................................. 136
7 Une architecture de sécurité de bout en bout...................................................................................... 138
7.1
LES EQUIPEMENTS DE SECURITE MULTIFONCTION .............................................................................................. 138
7.1.1
Le développement du marché des Network Security Appliance ................................................ 138
7.1.2
Les menaces polymorphes ......................................................................................................... 138
7.1.3
Les limites de l’approche « best of breed » ................................................................................ 138
7.1.4
Les avantages de l’approche multifonction................................................................................. 138
7.1.5
Le développement du marché de l’appliance multifonction........................................................ 139
7.2
LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES ............................................................... 139
7.2.1
Identification des risques ............................................................................................................ 139
7.2.2
Correction des lacunes de sécurité ............................................................................................ 140
7.2.3
Approche intégrée....................................................................................................................... 140
7.2.4
Amélioration de la sécurité par l’administration .......................................................................... 141
7.2.5
Résumé....................................................................................................................................... 141
7.3
LE SINGLE SIGN ON ............................................................................................................................................ 141
7.3.1
Origines du Single Sign-On ........................................................................................................ 142
7.3.2
Pourquoi le Single-Sign-On ? ..................................................................................................... 142
7.3.3
Aperçu des solutions existantes ................................................................................................. 143
7.4
LA CONTINUITE D’ACTIVITE ............................................................................................................................... 146
7.4.1
L’objectif de la continuité d’activité d’une entreprise .................................................................. 146
15 nov 2004
6/189
7.4.2
De quelle continuité a besoin l’entreprise ? ................................................................................ 146
7.4.3
Construire le Plan de Continuité d’Activité (PCA) dont l’entreprise a besoin ............................. 147
7.4.4
Une construction méthodique du PCA........................................................................................ 147
7.4.5
L’entreprise tout entière doit faire vivre son PCA ....................................................................... 147
7.4.6
Le PCA comme une boîte à outils pour faire face à d’autres situations..................................... 147
7.5
DE LA CORRELATION ENTRE SECURITE PHYSIQUE ET SECURITE LOGICIELLE ....................................................... 147
7.5.1
La sécurité physique et logique aujourd’hui................................................................................ 147
7.5.2
Les enjeux et la problématique ................................................................................................... 149
7.5.3
La solution................................................................................................................................... 150
8 Les aspects juridiques et humains........................................................................................................ 153
8.1
QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE .................................................................................... 153
8.1.1
L’arrêt Nikon................................................................................................................................ 153
8.1.2
L’Ecole de Physique et Chimie Industrielle de Paris .................................................................. 154
8.1.3
L’affaire Escota ........................................................................................................................... 155
8.2
POLITIQUE ET REFERENTIELS DE SECURITE ......................................................................................................... 155
8.2.1
Préambule................................................................................................................................... 155
8.2.2
Fondamentaux ............................................................................................................................ 156
8.2.3
Des principes fondateurs ............................................................................................................ 156
8.2.4 L’organisation dans le cadre politique .................................................................................. 158
8.2.5
Une Charte et quatre politiques .................................................................................................. 159
8.2.6
Des choix essentiels ................................................................................................................... 160
8.2.7
Synthèse ..................................................................................................................................... 163
8.3
LES RESPONSABILITES ET LES ACTEURS DE L’ENTREPRISE .................................................................................. 163
8.3.1
Une nette orientation en faveur du juridique et du réglementaire............................................... 163
8.3.2
RSSI : maîtriser les risques d’une délégation de pouvoirs ......................................................... 164
8.3.3
Quelle déontologie pour un cyber-comportement conforme avec les chartes Internet ?........... 165
9 Les certifications ..................................................................................................................................... 166
9.1
LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS).................................... 166
9.2
L'ISO17799........................................................................................................................................................ 167
9.2.1
Historique .................................................................................................................................... 167
9.2.2
La structure de l'ISO 17799:2000 ............................................................................................... 167
9.2.3
Comment l'utiliser ?..................................................................................................................... 169
9.3
L'ISO 21827 : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE ............................................................ 169
9.3.1
Historique .................................................................................................................................... 169
9.3.2
La structure du SSE-CMM(®) - ISO 21827:2002 ....................................................................... 170
10
Les enjeux économiques de la sécurité............................................................................................ 172
10.1 2004-2005 : DES ATTAQUES QUI EVOLUENT DE L’EXPLOIT TECHNOLOGIQUE A L’APPAT DU GAIN ...................... 172
10.2 SECURITE : QUELLES DEPENSES POUR QUELS USAGES ?...................................................................................... 172
10.3 DU SENS DU ROI EN SECURITE DES SYSTEMES D’INFORMATION ......................................................................... 173
10.3.1 Qu’est-ce qu’un ROI ? ................................................................................................................ 174
10.3.2 Système d’information, sécurité et ROI ...................................................................................... 174
10.3.3 Calcul du ROI : un exercice difficile ............................................................................................ 174
10.3.4 Un indicateur souvent inadapté .................................................................................................. 175
11
Bibliographie et références ................................................................................................................ 177
11.1 GENERAL ............................................................................................................................................................ 177
11.2 ATTAQUES ET MENACES ..................................................................................................................................... 177
11.3 VOIP .................................................................................................................................................................. 177
11.4 CENTRE D’APPELS .............................................................................................................................................. 177
11.5 WI-FI .................................................................................................................................................................. 178
11.6 GESTION DES CORRECTIFS .................................................................................................................................. 178
11.7 INGENIERIE SOCIALE ........................................................................................................................................... 178
11.8 JURIDIQUE .......................................................................................................................................................... 178
11.9 LOISIRS ............................................................................................................................................................... 179
11.9.1 Livres........................................................................................................................................... 179
11.9.2 Films............................................................................................................................................ 179
12
Glossaire............................................................................................................................................... 181
12.1 ACRONYMES ....................................................................................................................................................... 181
12.2 DÉFINITIONS ....................................................................................................................................................... 182
15 nov 2004
7/189
13
Contributions à l’écriture de ce livre ................................................................................................. 187
15 nov 2004
8/189
1
L’INTELLIGENCE ECONOMIQUE
Auteur : Bernard Carayon, (Député du Tarn, Rapporteur du budget au Secrétariat Général de la Défense Nationale et du
Renseignement à la Commission des finances) [email protected]
L’intelligence économique a connu en France depuis dix ans un sort assez désolant !
Comprise tantôt dans son acception anglo-saxonne (le renseignement), tantôt comme une méthode
antédiluvienne d’entreprise au service des seuls intérêts marchands (la « veille » juridique,
commerciale, technologique…), l’intelligence économique est restée marginale dans la société
française.
Les efforts de quelques pionniers de talent ont été gâchés par les ratiocinations de théoriciens de
second rang ou les vacations logomachiques de marchands du temple…
L’Etat, lui-même, n’a jamais produit le moindre corps doctrinal, restant aveugle, à de rares
exceptions près, aux constructions intellectuelles et institutionnelles de nos grands concurrents.
Dans l’entreprise, l’intelligence économique est restée cantonnée à des niveaux d’exécution ; dans
le système éducatif enfin, elle est restée une matière, sans accéder au statut de discipline
universitaire.
Durant dix ans, les Français ont ainsi confondu la fin et les moyens : le renseignement, la veille ne
sont que des outils. L’intelligence économique est une politique publique ; j’en ai défini dans mon
rapport le contenu, le périmètre, la finalité. Par la simple observation des dispositifs étrangers, et
l’adaptation à notre culture propre.
Politique de sécurité, d’abord : sécurité technologique, (celle des réseaux, des centres de
recherches, des process industriels), sécurité juridique (dans l’accès au capital, dans la protection
des secrets d’affaire, dans l’identification d’un périmètre stratégique de l’économie française),
sécurité commerciale…
Politique de compétitivité, ensuite : comment accompagner les entreprises dans la conquête des
marchés mondiaux ? Comment définir, conduire et valoriser les politiques de recherche et favoriser
l’innovation ?
Politique d’influence : comment anticiper l’évolution des normes, peser sur les décisions des
organisations internationales ? Comment identifier les nouveaux acteurs de la mondialisation ?
(ONG, fondations, fonds d’investissement…)
Politique de formation enfin : qui former, quel enseignement général, quel enseignement
spécialisé ?
Cette politique publique- comme partout dans le monde, n’est pas adaptée à tous les marchés :
seuls les marchés que je qualifie de stratégiques (et que ni la doctrine, ni la théorie économique
n’ont identifiés !) sont concernés : ceux qui créent, en plus de la richesse et de l’emploi, de la
puissance et de l’influence ; termes tabous ! Tant pis. On reconnaîtra l’aéronautique et le spatial, la
défense, l’énergie, la pharmacie, l’industrie des technologies de la communication, de l’information et
de la sécurité, certains domaines de l’industrie agro-alimentaire. La conquête de ces marchés,
partout dans le monde, ne repose plus sur la qualité et le prix des produits et services, mais sur de
nouveaux acteurs, de nouvelles méthodes.
Comment expliquer les retards français ?
D’abord par notre conception des relations commerciales internationales : autant nous sommes
socio démocrates dans la définition de nos politiques économiques intérieures, autant nous sommes
naïfs et libéraux dans le regard que nous portons sur les marchés mondiaux. Chez les anglo-saxons,
c’est exactement l’inverse.
Ensuite parce que l’histoire des relations entre l’administration et le monde économique est une
histoire de contentieux, d’incompréhension, voire de mépris mutuel. Or l’intelligence économique
repose sur le métissage des cultures, la définition de procédures de mutualisation de l’information,
l’identification de convergences d’intérêts.
15 nov 2004
9/189
J’ajouterai que nos élites politico- administratives ont une connaissance pour le moins réduite des
ressorts réels du marché et plus encore, de la vie internationale.
Enfin, la France n’a pas de culture du renseignement. Les services dits « spécialisés » sont encore
mal traités, budgétairement et administrativement, leur image est médiocre dans l’enseignement
supérieur, leur politique de communication nulle. Le regard des politiques lui-même est méfiant ;
celui des grands chefs d’entreprises dubitatif…
Quelles finalités pour cette politique publique, nouvelle comme l’ont été au cours des vingt dernières
années, la protection de l’environnement et le développement durable ?
Identifier le périmètre stratégique de l’économie française, cela veut dire se battre pour ce qui
est essentiel. S’affranchir des tutelles technologiques, comprendre qu’il existe des métiers
stratégiques dont certains sont concentrés entre les mains de nos grands concurrents (cabinets
d’avocats et d’expertise comptable, d’audit, de courtage d’assurance, de normalisation et de
certification).
Associer capitaux publics et privés dans de nouveaux fonds dédiés au développement
d’entreprises spécialisées dans les technologies de l’information, de la communication et de la
sécurité, accentuer nos moyens dédiés à la recherche.
Marier dynamiques publiques et privées pour conquérir des marchés, conduire l’Europe vers de
vraies stratégies industrielles, là où il n’y a qu’une politique concurrentielle entravant l’essor de nos
champions…
Autant de défis qui impliquent, pour paraphraser Paul Valery, un nouveau « regard sur le monde
actuel ».
L’Etat a tout à gagner à développer cette nouvelle politique. En termes d’image : l’intelligence
économique est « moderne ». En termes de fonction : privilégier la circulation de l’information plutôt
que sa rétention, valoriser celui qui donne plutôt que celui qui conserve, c’est révolutionnaire !
Pour les préfets, représentants de l’Etat par excellence, comme pour les ambassadeurs,
l’intelligence économique constitue une merveilleuse opportunité. L’occasion d’être les pilotes
d’une réforme porteuse de sens, d’être à coté des élus, des moteurs du développement économique
dans ce qu’il recèle de plus « fin » et de plus prospectif ; d’être enfin les moteurs de la réforme
administrative, la vraie, celle qui se veut au service de la Nation et non de ses corporatismes.
Si de notables avancés peuvent être constatées un an après la remise de mon rapport au Premier
ministre1, il reste encore un long chemin à parcourir pour que l’intelligence économique devienne en
France une véritable politique publique.
Le premier effet positif des débats qui ont suivi la publication de ces travaux fondés sur l’écoute et
le questionnement de près de quatre cents personnes est que l’intelligence économique est mieux
comprise aujourd’hui, dans l’administration et dans l’entreprise, comme une approche stratégique en
matière de compétitivité, de sécurité économique, d’influence et de formation, plutôt que comme la
simple mise en œuvre de techniques de traitement, d’échange ou de protection de l’information
stratégique.
L’idée selon laquelle les critères de conquête des marchés ne sont pas toujours ceux que définit
l’économie libérale est également mieux partagée. Dans le jeu classique de la globalisation des
échanges, pour les produits les plus courants, l’entreprise augmente ses parts de marché par un
avantage concurrentiel fondé sur le prix, la qualité de ses produits ou services, et une
communication adaptée à sa cible. Il n’en va pas de même dans certains secteurs stratégiques où
les Etats interviennent fréquemment en faveur des entreprises nationales2, en déployant, au besoin,
les arguments financiers ou diplomatiques les plus frappants.
1 « Intelligence économique, compétitivité et cohésion sociale », La Documentation Française, 2003
2 Pour la définition d’une entreprise nationale, on peut consulter par exemple le rapport du Commissariat
général du Plan publié en 1999 et intitulé «La nouvelle nationalité de l’entreprise dans la mondialisation » dans
lequel cinq critères d’évaluation sont proposés.
15 nov 2004
10/189
Deuxième élément positif, la nomination au début de l’année 2004 d’un Haut Responsable à
l’intelligence économique par décret du Président de la République et placé auprès du Premier
ministre a signé l’engagement des pouvoirs publics sur ce sujet, même si son positionnement
administratif final a donné lieu à de vraies interrogations quant à son efficacité, notamment dans le
dialogue avec les entreprises3.
L’actualité économique a montré que ce sujet est au cœur du développement de l’industrie
européenne. La constitution du troisième groupe pharmaceutique mondial et du premier européen –
SANOFI-AVENTIS - a pu s’effectuer grâce aux efforts conjugués d’un industriel visionnaire et d’un
Gouvernement audacieux. Les exemples de la consolidation du groupe ALSTOM défendue par le
ministre de l’Economie, des Finances et de l’Industrie à Bruxelles et de la disparition de PECHINEY,
absorbé par le canadien ALCAN (que l’entreprise française n’a pu racheter quelques années plus tôt
en raison du veto de la Commission européenne) ont porté leurs fruits.
En ce sens, la création annoncée en juin par le chancelier allemand d’un groupe franco-allemand
d’entrepreneurs visant à promouvoir une politique industrielle commune, va dans le bon sens.
L’essentiel pourtant reste à accomplir. La situation sociale insupportable de trop nombreux
compatriotes 4, la « découverte » du phénomène de délocalisations d’entreprises ou plutôt de son
accélération, y compris au sein de l’Europe ; la poursuite des conséquences de la libéralisation des
marchés – par exemple la levée le 1er janvier 2005 des quotas imposés en matière textiles à la
Chine ; les contraintes et les opportunités que les préoccupations nouvelles en matière
d’environnement ou de développement suscitent : autant de facteurs qui devraient nous pousser à
agir si nous ne voulons pas que la France ne soit demain qu’un hypermarché au milieu d’un champ
de ruines sociales.
La première urgence est de définir le « périmètre stratégique » de l’économie française. Ce que
nous devons défendre pour garantir une cohésion sociale menacée, ce que nous devons promouvoir
pour assurer à nos enfants richesse intellectuelle et professionnelle.
Les résultats de cette réflexion prospective doivent être connus de tous afin de permettre la création
des filières éducatives et professionnelles nécessaires, de favoriser le ciblage des soutiens publics,
d’assurer la meilleure mobilisation des acteurs éducatifs, sociaux et économiques. Ce travail
prospectif partagé et communiqué sera également un signe donné aux étudiants et aux jeunes
professionnels dont l’expatriation sonne comme une condamnation de l’avenir de la France. Il
encouragera également les entreprises étrangères à investir en France.
Ce concept de périmètre stratégique de l’économie française doit d’ailleurs être décliné
régionalement : à partir de leurs savoir-faire anciens ou plus récemment acquis, en fonction de leur
localisation géographique, les régions n’ont évidemment pas les mêmes atouts ou les mêmes
fragilités.
La dimension territoriale est un échelon essentiel de la mise en œuvre d’une politique publique
d’intelligence économique. Si une stratégie nationale en ce domaine s’oriente plus naturellement
vers les grandes entreprises, c’est bien au niveau régional que l’action auprès des petites et
moyennes entreprises et des entreprises régionales à envergure mondiale sera la plus efficace.
Dans certains secteurs d’activité, comme le textile par exemple, ce sont également ces entreprises
qui se révèlent le plus exposées à la concurrence issue de la mondialisation.
Dès l’automne 2003, Nicolas SARKOZY, alors ministre de l’Intérieur a compris le rôle majeur que les
préfets en poste territorial et certaines directions du ministère de l’intérieur peuvent jouer dans la
réussite d’une politique publique d’intelligence économique.
La mise en place d’expérimentations régionales a été décidée et sa coordination confiée au
Secrétaire général du ministère. Une orientation confirmée par Dominique de VILLEPIN qui a décidé
de faire passer de cinq à sept le nombre de Régions initialement prévues avec l’objectif de
généraliser l’expérimentation, en cas de succès, dès 2005.
3 Cf. Mon rapport de la Commission des finances « Pour une stratégie de sécurité économique nationale »
(www.assemblee-nationale.fr)
4 Qui peut se satisfaire d’une France dans laquelle un million d’enfants ou d’adolescents vivent sous le seuil de
pauvreté INSEE rapportée par le quotidien « Le Monde » mars 2003.
15 nov 2004
11/189
Le déroulement de ces expérimentations se heurtera vraisemblablement « sur le terrain » au double
obstacle culturel qui fragilise notre pays depuis trente ans : la délégation administrative de la
réflexion stratégique et le cloisonnement entre administrations.
Comme il est fréquent pour les hommes politiques qui accèdent aux responsabilités exécutives, la
« tyrannie du court terme » pourrait inciter les préfets de Région en charge ou les directeurs
d’administrations concernées à déléguer à un jeune « chargé de mission » la démarche
méthodologique, l’essentiel de la réflexion et l’établissement de propositions. Ce n’est pas la
meilleure garantie de succès.
Une des pistes ouvertes par mon rapport au Premier ministre propose la création de comités de
pilotage régionaux d’intelligence économique. Une telle structure – dont la nature juridique
importe peu - a l’avantage de pérenniser l’action engagée et d’en assurer la nature collective : ce
sont les croisements des expertises publiques et privées qui permettent d’établir les meilleurs
diagnostics, de définir les orientations et les actions à mettre en œuvre. C’est également au sein de
ce type de structure que l’on évite la tentation de se limiter à quelques opérations d’affichage et que
la collaboration active entre services déconcentrés de l’Etat peut être plus fluide.
Parce qu’il s’agit d’une politique régionale à inscrire dans le long terme qui comporte à la fois un
volet industriel et scientifique mais également un volet social et éducatif, parfois culturel, parce qu’il
connaît le mieux les administrations du ministère de l’intérieur utiles sur ces sujets, c’est au préfet de
Région qu’il appartient d’orienter, de coordonner et de suivre la réflexion stratégique, la mise en
place des outils et des actions à mettre en œuvre. Son rôle-charnière d’intermédiaire entre la
politique de l’Etat et l’exécutif régional - qui doit être étroitement associé à toute démarche
d’intelligence économique - est essentiel.
Nous pouvons nous montrer résolument optimistes. A côté de la mobilisation annoncée du
Gouvernement et de l’engagement des préfets dans les expériences régionales, de grandes
entreprises françaises et européennes, conscientes des enjeux, ont choisi de soutenir la réflexion et
l’action sur des sujets directement liés à l’intelligence économique. C’est le sens de la Fondation
d’entreprises Prométhée que je crée et à laquelle j’ai associé mon collègue de l’opposition JeanMichel BOUCHERON. Cet engagement collectif d’entreprises au service de l’intérêt général doit être
pour nous source d’exigences et d’espoir..
15 nov 2004
12/189
2
LA CYBERCRIMINALITE
Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]
Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et l'attaque du 11
septembre l'a rendu plus évident encore, on assiste à un affrontement entre les États d'un côté et les
réseaux de l'autre (intégristes religieux, politique, mafias et cyber-mafias…). Cet attentat dramatique
a clairement montré que ce n'était ni le nombre, ni la technologie qui prédominaient mais la maîtrise
de l'information et la confiance que l’on place en elle. Vous le savez, confiance et certification
marchent ensemble.
Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que
de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le
domaine militaire que civil.
2.1
ANALYSE DES GRANDES TENDANCES 2004 / 2005
C’est près d’un milliard d’hommes, de femmes et d’enfants qui deviendront internautes d’ici à 2005.
Ils échangeront alors environ 35 milliards de messages par jour. Or, de sérieuses menaces pèsent
sur ce secteur. En 2004, le cyber-racket ou chantage exercé par des cyber-bandes professionnels
du cyber-crime pour extorquer de l’argent aux entreprises après leur avoir dérobé des données sur
leur système d’information s‘est étendu. Ne parlons pas des spam, spim et autres vers qui
envahissent désormais les objets nomades comme les téléphones portables et les agendas
électroniques.
Internet s’est développé plus rapidement que n’importe quel autre média. Depuis 1995, Internet
connaît un succès foudroyant avec un trafic qui doublerait tous les 3 mois. Cette croissance
exceptionnelle ne va pas sans problème. Le premier d’entre eux, c’est l’absence de connaissances
et d’expertises sur le monde Internet, et surtout ceux de la E-Confiance et des Cyber-risques. La
deuxième observation, c’est la prise de risque stratégique que représente l’absence d’une politique
de sécurité appliquée aux utilisateurs des systèmes d’information. Trop d’entreprises ignorent les
menaces et les risques. Ils sont pourtant nombreux.
2.1.1
Les principaux enjeux 2004 / 2005
(Enquête NetCost&Security 2004)
Technologiques : avec les conséquences de l’usage du protocole IP devenu outil de référence pour
les applications de messagerie et d’échanges de données, le standard IP connu de tous est
désormais présent au sein de tous les systèmes d’information. PMI et PME ne sont pas encore en
2004 toutes raccordées à Internet. Si les usages liés aux procédures dématérialisées progressent,
ces dernières demeurent en retrait face à un marché encore inquiet face aux menaces liées aux
Cyber-risques via l’Internet (attaques virales et ingénierie sociale). Enfin, si les notions de mises à
jour commencent à êtres connues, les utilisateurs français souvent indisciplinés demeurent peu
réceptifs aux règles de sécurité notamment sur les aspects liés aux mises à jour de bases de
signatures et de patch (correctif)
Économiques : la messagerie se substitue au téléphone l’asynchrone au synchrone. A l’échelle
mondiale, 36 milliards de messages seront échangés au quotidien en 2005. Il y en avait 11 milliards
en 2001. En 2004, l’opérateur Wanadoo gère 20 millions de mails par jour. C’est dire son importance
en tant qu’outil «positif» mais aussi vecteur de spams, rumeurs… mais également éléments de
preuves avec la signature électronique encore discrète mais techniquement opérationnelle. Le
concept de Forensic computer ou la preuve via les NTIC est considéré comme une tendance
majeure de 2004.
N’oublions pas le piratage des logiciels et la création de sites de stockage ou le téléchargement de
logiciels: de plus en plus de logiciels sont disponibles sur le marché. Comme en 2003, les logiciels
sont en 2004 souvent piratés pour servir d’arme (la différence de connaissance entre les experts
Cyber-risques et les attaquants s’estompe) et téléchargés. En effet, de nombreux utilisateurs
novices trouvent sur certains sites des «outils» de hacking ne nécessitant aucune connaissance
particulière (ce qui ne réduit pas pour autant leurs effets). Autres tendances celles liées au piratage
15 nov 2004
13/189
d’œuvres musicales et vidéo. Ce type de piratage inquiète sérieusement les «majors» du disque et
de l’industrie cinématographique en 2004. Des plaintes sont déposées et des groupes de pression
se forment.
Organisation de la malveillance : des attaques nouvelles faisant appel à des regroupements, de
nombreuses attaques proviennent désormais d’un regroupement effectué entre hackers et
développeurs de codes malicieux. Avant 2003, les premiers étaient davantage «spécialisés» sur les
attaques réseaux (couches basses) et les seconds sur les couches hautes (dites applicatives) en
développant des codes malicieux qui exploitent les agendas des messageries pour accélérer leur
propagation. 2003-2004 «consacrent» les attaques par codes malicieux de Mydoom à Sasser, la
progression de l’exploitation des failles non «patchées» devient inquiétante à tel point que de grands
éditeurs comme Microsoft estiment que leurs priorités en sécurité en 2004-2005 reposent sur
l’écriture de code sécurisé et la bonne gestion des «patch» par leurs grands clients.
Les paradoxes des environnements ouverts : l’environnement Open Source peut être profitable
aux entreprises mais aussi à leurs attaquants (c’est un des paradoxes de l’open source). Cela dit,
Linux et les outils Open source retiennent l’attention de grands comptes.
La forte poussée chez les décideurs de réflexions sur la conformité réglementaire et la veille
juridique avec la notion de responsabilité de tiers (FAI, opérateurs, éditeurs…) et les
problématiques liées à la délégation de pouvoir, certification, contrat des prestataires…
Dernier point rarement évoqué dans les études, les signes que donnent les utilisateurs «TECHNOREBEL » se confirment face aux outils de Cyber-Surveillance et à des lois jugées «liberticides» par
certains regroupements (utilisateurs d’Internet, hébergeurs…). Ces nouvelles questions ne doivent
pas être oubliées, elles sont le signe profond d’un malaise chez bon nombre d’utilisateurs. Ne sontils pas de plus en plus nombreux à se sentir «cyber-surveillés» sans de réelles explications ? Un
utilisateur malheureux dans son environnement peut concevoir de se révolter contre cet
environnement. D’où risque. Les premiers signes apparaissent avec la progression inquiétante des
attaques internes. 2004 confirme une tendance apparue en 2003 liée aux comportements. Les outils
de traçabilité existent et inquiètent. Désormais des solutions de préventions liées à l’anticipation des
comportements apparaissent dans certaines entreprises afin d’anticiper les comportements «à
risque» et prévenir une menace. Surtout, le sacro-saint secret des correspondances privées est
remis en cause par des RSSI bien décidés à faire valoir en priorité les précautions liées aux risques
de menaces sur le patrimoine informationnel. D’où l’importance des chartes Internet de plus en plus
précises liées au règlement d’entreprise.
Au sein des entreprises, la délinquance d’utilisateurs internes «en col blanc» - ce sont eux qui ont
accès à l’information - augmente chaque année. En 2003 le nombre de menaces internes est
considéré comme supérieur face aux attaques externes par les grandes entreprises nordaméricaines. En 2004, ces chiffres se confirment sans toutefois augmenter considérablement en
raison de l’application stricte des règles de politique de sécurité.
2.1.2
Pourquoi se protéger ?
La réponse est évidente : les sites gouvernementaux, les institutions, les universités et écoles, les
banques, les industriels, les sites de commerce électronique… ont tous connus des attaques sur
leurs serveurs, sur leurs flux de transmission, sur leur Intranet et réseau interne, transactions…
Internet permet aux entreprises de tailles différentes de communiquer. C’est le concept de
l’entreprise étendue. Les sous traitants doivent disposer de maillons de la chaîne de sécurité aussi
robustes que ceux utilisés par les grands comptes avec qui ils travaillent. Dès lors, la politique de
sécurité s’étend à l’extérieur du périmètre connu de l’entreprise. Mais comment être certain que les
règles propres à la politique de sécurité sont appliquées et correctement analysées ?
Idem pour les utilisateurs particuliers : Les opérateurs en 2003 et 2004 se préoccupent de plus en
plus d’offrir des solutions «packagées» de sécurité (anti-virus, anti-spam, contrôle parental, filtrage
URL…).
Fait nouveau : les opérateurs interviennent eux-mêmes pour réaliser des contrôles et en font
connaître les résultats notamment auprès du grand public.
15 nov 2004
14/189
AOL prétend que son système de «scan» automatique des pièces-jointes avait bloqué 500 millions
de méls infectés par des virus, depuis son lancement mi-avril 2004. En moyenne, les 32 millions
d'abonnés d'AOL ont été individuellement protégés de l'attaque de 15 virus selon ce FAI.
2.2
E-SECURITE : DE QUEL MARCHE S’AGIT-IL EN 2004 ?
Les solutions de sécurité au sein des grandes entreprises mettent toutes en œuvre une partie ou
généralement la totalité des mécanismes suivants : disponibilité des données et des systèmes
d’information (systèmes, réseaux, applications et services), des plans de secours et de continuité de
services, les applications Cyber-risques et E-Confiance via des procédures d’authentification,
autorisation, intégrité, confidentialité et non-répudiation. De la sécurité informatique des années 80 à
la sécurité du système d’information des années 90 pour atteindre aujourd’hui les rivages de la
sécurité des informations/applications et des droits des utilisateurs avec les notions de patrimoine
informationnel à valoriser via un référentiel de sécurité audité chaque trimestre, les Cyber-risques
englobent de nombreux concepts en 2004 à commencer par la cyber-criminalité en forte
progression.
Plusieurs marchés composent le marché des Cyber-risques : celui de la sécurité applicative et des
services Web, celui de la sécurité système et celui de la sécurité des infrastructures.
Les Cyber-risques «applicatifs» confirment leur envol entamé en 2003. Selon le Gartner Group, 75
% des attaques provenant de l’Internet s’effectuent au niveau des couches applicatives.
Le marché Cyber-risque reste difficile à cerner d’autant qu’il est crédité de chiffres controversés.
Pour 2004, les enjeux liés à la Confiance viennent confirmer les tendances 2003 : les PME/PMI
s’intègrent de plus en plus aux systèmes d’informations des grands comptes et les discours des Risk
Managers évoluent de la technologie vers l’usage de cette technologie avec les environnements
indispensables : juridiques, réglementaires, économiques. Mais qu’est ce que la e-Confiance ?
Désormais, la gestion des risques majeurs et des utilisateurs l’emporte sur les discours axés sur la
«peur» et les solutions «totalement technologiques». Certains fournisseurs, éditeurs, intégrateurs
dont le discours reste uniquement axé sur les technologies, vont devoir revoir leur copie en 2005.
Deux mondes – grandes entreprises et PME/PMI – sont appelés à se rencontrer sur le terrain des
Cyber-risques. En effet, le concept d’entreprise étendue va obliger les PME/PMI sous-traitants à
respecter le cahier des charges de leurs clients, souvent des grandes entreprises dont la politique de
sécurité s’étend désormais aux partenaires. Ce marché de l’entreprise étendue sécurisée, peu
d’analystes semblent l’intégrer. Il est pourtant au cœur des préoccupations de la majorité des
PME/PMI. Reste que bon nombre de DSI (Direction des Systèmes d’Information) et RSSI
(Responsable de la Sécurité des Systèmes d’Information) cherchent encore une vision optimisée
d’un «monde du travail connecté». Cependant selon certaines estimations de plusieurs études
d’éditeurs, les grands comptes dans 20% des cas se montrent prescripteurs auprès de leurs
partenaires et sous-traitants. 2004 le confirme. Non seulement une chaîne de la e-confiance basée
sur des échanges dématérialisés se met en place mais les acteurs recherchent une plus grande
homogénéité dans les échanges d’applications. L’interopérabilité technique des années 90 fait place
après la distinction entre risques majeurs et risques mineurs des années 2000 à la «transparence»
des échanges codifiés par des textes juridiques et le respect de normes pour les années à venir.
Cette transparence s’accompagne d’une notion de gestion des droits liés aux usages des données
et documents.
2.3
LES MENACES
Auteur : Gérard Péliks (EADS) [email protected]
15 nov 2004
15/189
Dès qu’un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de
nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs
voire même à une perte totale des fichiers systèmes, avec impossibilité de « rebooter » son PC.
Quand l’utilisateur se connecte sur l’Intranet de sa société, ce réseau est automatiquement sujet à
des menaces pouvant porter atteinte à l’intégrité, et même à l’existence des informations et aux
applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si
l’utilisateur connecté à son Intranet, a aussi accès simultanément à l’Internet, les menaces sont
multipliées tant dans leur nombre que dans leur diversité.
Nous ne pouvons rien contre l’existence de ces menaces, qui sont liées à la nature humaine et à la
nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le
réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se
concrétiser par des attaques réussies.
Contre les vulnérabilités, heureusement pour l’utilisateur, pour son poste de travail et pour les
réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les
explorer. Mais les outils ne sont efficaces qu’intégrés dans une politique de sécurité connue et
librement acceptée par l’entreprise ou la collectivité, car on ne le répétera jamais assez, ce n’est pas
le réseau qui est dangereux, c’est bel et bien l’utilisateur, parfois de manière consciente mais aussi
souvent sans le vouloir et sans même le savoir.
Les menaces sont bien réelles. Pour se protéger contre elles, puisqu’on ne peut les éliminer, il faut
les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à
ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l’entreprise
cible.
Il n’est pas possible de se prémunir contre toutes les menaces, donc il n’est pas crédible de se croire
hors d’atteinte de toute attaque. Heureusement les informations et les applications résidant dans
votre réseau et dans vos postes de travail n’ont pas toute la même valeur stratégique pour
l’entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information
a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l’endroit où les
15 nov 2004
16/189
informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon
équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût
qu’induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit,
pour chaque domaine d’information, pour chaque application, il y a un seuil au-delà duquel, il n’est
pas rentable d’investir plus pour protéger une information dont la perte causerait un préjudice
inférieur au coût des solutions de sécurité mises en place.
Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une
information dont la perte serait sans commune mesure avec le coût de la solution de protection de
cette information.
Les menaces sur les postes nomades
Déjà à l’intérieur de l’entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire
de l’attacher à un point fixe par un cordon d’acier, et d’utiliser l’économiseur d’écran quand vous
vous absentez provisoirement de votre bureau. Que dire alors des risques qu’il encourt quand vous
le sortez de l’entreprise !
Justement parlons-en.
Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année
en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles
par exemple des PC portables, paraît-il, disparaissent. Ce n’est pas toujours l’œuvre
de simples voleurs intéressés par la valeur marchande du PC le plus souvent très
inférieure à celle des informations stockées sur son disque dur. J’ai connu une
situation, lors d’un salon, il y a quelques années, où la paroi de la remise d’un stand avait été forcée
durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient
disparu. Au-delà de la gène évidente pour leurs propriétaires, l’un des portables contenait le
planning et l’évolution des fonctionnalités des produits conçus et commercialisés par l’entreprise et
les carnets d’adresses des partenaires et des clients. Que pouvait espérer le
propriétaire de mieux qu‘un miracle fasse qu’une météorite tombât sur son PC volé en
détruisant son disque dur avant que son contenu ne soit exploité ! Mais la probabilité
pour que ce miracle se produise n’est pas bien grande. Ajouté à cela, durant la journée,
des coffres de voitures avaient été forcés sur le parking du salon et un autre PC
portable avait été dérobé !
Ce n’est pas sur l’espoir d’un miracle que doit reposer la sécurité des données contenues dans les
postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état
d’esprit, une politique de sécurité, et des outils correctement paramétrés.
Durant la connexion votre poste nomade peut présenter un danger pour l’intégrité du système
d’information de votre Intranet car il est exposé aux attaques dites « par rebond » qui permettent à
un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour
arriver directement dans l’Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade
des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre
VPN est activé, le poste nomade n’accepte aucune connexion autre que celle arrivant par le VPN.
Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l’Internet.
Quand vous n’avez plus besoin d’être connecté à l’Intranet ou simplement quand vous quittez
provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur.
Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair
ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences
catastrophiques pour notre système d’information. Ce n’est pas une raison, bien sûr pour relâcher
votre vigilance.
Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé
mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers
échappent évidemment au contrôle de l’antivirus de l’entreprise. Une fois le poste nomade connecté
à l’Intranet, il peut infecter son système d’information. Il est indispensable, avant tout chargement de
fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste
nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut
pas prendre le risque de le charger sur votre disque dur.
15 nov 2004
17/189
Remarque : Ne confondons pas poste nomade et utilisateur nomade, en effet l’utilisateur nomade
n’utilise pas forcement un ordinateur de l’entreprise pour se connecter. Les bornes Internet dans les
cafés, par exemple, permettrent de lire son courrier électronique à distance. Ces systèmes sont
cependant beaucoup plus dangereux car des spywares peuvent être installés et enregistrer les mots
de passe à l’insu de l’utilisateur. Il faut donc être encore plus vigilant lors de l’attribution des droits
d’accès aux serveurs pour des utilisateurs nomades.
2.4
LES VULNERABILITES
Auteur : Dominique Ciupa (Intranode) [email protected]
2.4.1
Une histoire qui remonte à la nuit des temps
Toute conception humaine a ses limites. Les logiciels et les réseaux comme les autres activités. A
l'instar de la quasi-totalité des personnes qui, quelque que soit leur niveau d'éducation, laissent de
temps à autre quelques fautes d'orthographe dans leurs écrits, les développeurs informatique font
de leur côté un certain nombre de fautes informatiques. « Errare humanum est » a existé bien avant
l'informatique. L'humanité a toujours connu les questions de vulnérabilités. Depuis le talon d'Achille
jusqu'à la ligne Maginot, l'histoire des vulnérabilités n'est qu'une longue répétition de point de
faiblesse et d'erreurs. Certaines fautes informatiques génèrent des « bugs », nom donné à l'époque
des premiers calculateurs électroniques lorsqu'un insecte, une punaise ou « bug » en anglais,
provoquait un court-circuit entre deux composants électrique. D'autres erreurs peuvent être
exploitées pour porter atteinte à la sécurité des réseaux et systèmes d'information. Accès à des
données confidentielles, corruption de données, blocage d'un système que l'on appelle « déni de
service », prise de contrôle d'une machine pour exécuter ce que l'on veut. On parle alors de failles
de sécurité, ou de vulnérabilités informatiques.
Rien de nouveau d'un point de vue technique, mais c’est aujourd'hui un véritable problème en raison
de l'exploitation à grande échelle qui est désormais faite des bugs et failles de sécurité. Ainsi, il y a
encore 10 ou 15 ans, des failles ou bugs pouvaient exister sans conséquences graves. Ainsi, dans
les systèmes de facturation téléphonique des bugs existaient qui permettaient de ne pas payer les
communications. Sur certains commutateurs et pour certains opérateurs télécoms, le système de
renvoi d'appel, faisant intervenir la couche dite « de réseau intelligent », permettait de faire
disparaître le ticket de taxation lorsqu'un premier poste était renvoyé sur un deuxième poste luimême renvoyé sur un troisième. Les développeurs n'avaient pas prévu un usage aussi curieux et le
pointeur des tickets de taxation se trouvait sur la valeur « nihl ». En clair, les tickets de taxation
disparaissaient. Le poste numéro 3, se faisant appeler après un tel double renvoi, bénéficiait d'une
communication gratuite pour l'appelant. Le risque d'un manque à gagner pour l'opérateur télécom
utilisant ces équipements était flagrant. Sauf que le « bug » n'était connu que d'un petit groupe
d'experts qui considéraient le strict respect de la confidentialité de certaines informations comme
étant une règle essentielle de bonne conduite professionnelle. Le tout se commentait donc ainsi en
1992 au sein de la communauté des experts internationaux des réseaux intelligents réunis en
congrès en Gironde au cours d'un fastueux dîner payé par France Télécom dans le Château de
Wayre, après une dégustation des meilleurs crus offerte par la Mairie de Bordeaux. L'information
était même confiée à des journalistes participant à ce congrès, sous le couvert du célèbre « off the
record », et tout en restait là ! Tout le monde a vécu sans problème avec cette faille, sans la corriger
pendant de nombreuses années. Constructeurs et opérateurs s'entendaient pour accepter de vivre
avec ce risque, en plaçant l'information sous le sceau du secret professionnel et en considérant que
la correction serait trop coûteuse pour une menace aussi faible, puisque la possibilité d'attaque était
inconnue du public.
2.4.2
Un changement de comportement avec les vulnérabilités informatiques
Tout est désormais radicalement différent. Une vulnérabilité découverte fait l'objet de communication
immédiatement relayée par tous les moyens de la communication moderne de l'Internet. Peu de
notion de confidentialité subsiste. Une éthique veut toutefois encore que la publication ne soit faite
que lorsque la correction de la faille a été réalisée par l'éditeur, ou qu'une solution de contournement
de la faille est identifiée. Cette éthique est heureusement souvent respectée. Mais le jeu collectif de
certaines communautés de chercheurs ou de développeurs est bel et bien la recherche des failles
de certains éditeurs, allant parfois au-delà de ce que la loi autorise en pratiquant la décompilation de
15 nov 2004
18/189
logiciels, et menaçant, tels des maîtres chanteurs, de publier la faille si la correction n'est pas
développée dans les plus brefs délais par l'éditeur. Le nombre de vulnérabilités découvertes et
publiées ne fait qu'augmenter.
Il existe toutefois aujourd'hui un débat sur le bien-fondé de la recherche des vulnérabilités. La loi a
désormais défini des limites aux possibilités de recherche de vulnérabilités à des fins de hacking. Le
délit existe donc avant même l'attaque dès la préparation possible de l'attaque. De nombreuses
communautés de chercheurs se sont élevées contre ces interdictions et ont affirmé que la recherche
devait être libre et sans contrainte pour faire progresser la qualité des logiciels. C'est pour nombre
de chercheurs de bonne foi un objectif réel, louable et légitime. Le débat a suscité de nombreuses
passions et parfois provoqué des prises de positions extrêmes. Toute l'ambiguïté du débat porte
autour de l'appréciation de qu'est une fin légitime de recherche de vulnérabilité. Suivant sa finalité, la
recherche est autorisée ou est qualifiée de criminelle par la loi. Le législateur ne tranche pas et
laisse le soin de l'interprétation à l'application de la loi. Le débat est donc loin d'être clos.
Les failles concernent tous les systèmes et tous les éditeurs de logiciels. Linux n'est pas
nécessairement mieux loti que Microsoft sur ce plan. La communication de chaque communauté
d'informaticiens s'apparente parfois à des guerres de clochers inutiles.
nombre de vulnérabilités
5000
4129
4000
2683
2437
3000
2000
1000
3784
1090
262
417
1998
1999
0
2000
2001
2002
2003
1Q-3Q 2004
Nombre de vulnérabilités répertoriées par les CERT www.cert.org/stats/
2.4.3
Les « exploits »
Après la publication de la vulnérabilité, la manière avec laquelle on peut exploiter la faille devient une
sorte de second challenge pour certaines communautés qui vont chercher à s'illustrer avec de
nouvelles publications et revendiquer leurs exploits respectifs. Tout circule à grande échelle et sans
délai sur le Web et les forums de discussions. Le monde est devenu très bavard, les « bugs » et
failles sont mis à nu devant tout le monde et les programmes d'attaques, dénommés « exploit »
affichés aux yeux de tous et signés par leurs auteurs, qui utilisent souvent par prudence des
pseudonymes connus seulement par leurs pairs. L'excitation de la recherche, la communication et
une certaine vantardise poussent le système. Le débat sur le bien-fondé de la publication des «
exploits » est esquissé par les nouveaux textes législatifs. La loi comprend désormais des
possibilités de restreindre ces publications. Des chercheurs déclarent par ailleurs utiliser ces exploits
à des fins de tests, pour vérifier si une vulnérabilité est présente. Là encore, la notion de fin légitime
apparaît. Le législateur n'a pas apporté de définition et les magistrats pourront interpréter.
2.4.4
Les parades
Pour le responsable sécurité, tout le problème réside donc dans la mise à jour des correctifs de
sécurité, ou les modifications des configurations pour palier les vulnérabilités. Nous sommes dans
une véritable course à la mise en œuvre des correctifs avant que les failles ne soient exploitées.
2.4.5
Les attaques exploitant les vulnérabilités
Plusieurs attaques sont en effet à craindre.
Le premier type d'attaque relève du hacker isolé qui va s'en prendre à une machine pour le plaisir, et
parfois sans grand géni. Cette personne surveille la publication des failles de sécurité, recherche les
« exploits » rédigés et publiés par d'autres en toute impunité sur le Web et mène ensuite son jeu
15 nov 2004
19/189
pour bloquer une machine, lire des informations confidentielles, changer des données ou prendre le
contrôle d'une machine pour lui faire exécuter ce qu'il veut. Le hacker se comporte parfois en
pensant que le coupable est en fait le responsable du système d'information qui n'a pas mis à jour
ses logiciels, lui-même ne faisant que jouer. L'inconscience est donc parfois la source de graves
préjudices. Il peut toutefois également s'agir d'espionnage industriel ou d'actes mafieux, sans aucun
caractère ludique, mais avec des enjeux financiers bien réels.
Le second type d'attaque est plus industriel et consiste à utiliser des vers pour mener à grande
échelle une attaque sur un nombre non limité de machines en un minimum de temps. Quelques
exemples de telles attaques sont les vers « Slammer », « Blaster » ou encore « Sasser ».
Très connus dans l'univers Microsoft Windows, les attaques de hackers ou des vers peuvent aussi
être conçus pour utiliser les vulnérabilités de tout autre machine : Linux, Unix, mais aussi des
routeurs, commutateurs, PDA ou téléphones portables. Nous n'oublierons pas également
qu'aujourd'hui des équipements téléphoniques sous IP, les IPBX ou PABX IP, sont d'abord et avant
tout des équipements data, fonctionnant sous des OS Windows, Linux ou Unix et qu'à ce titre ils
sont aussi vulnérables qu'un PC. D'autres équipements peuvent aussi être concernés, bien que l'on
y pense moins souvent : les imprimantes, dont les disques et mémoires peuvent contenir des
informations confidentielles, et tous les équipements ou solutions sur appliances, tels que les
firewalls, solutions de filtrage applicatif, enregistrement de vidéosurveillance numérique, etc.
2.4.6
La difficulté des corrections
La correction des vulnérabilités n'est pas un exercice anodin. Lorsqu'ils existent, les correctifs, ou
patches en anglais, proposés par les éditeurs sont parfois incompatibles avec d'autres applications
mises en œuvre sur la même machine. En fermant un « trou de sécurité », il est en effet possible
que l'on bloque une seconde application, qui utilise, sans penser à mal, les particularités de la
première application vulnérable. Les « trous de sécurité » apportent en effet parfois certaines
souplesses que les développeurs peuvent utiliser de façon légitime. Il faut alors développer un
second correctif à appliquer sur la seconde application pour qu'elle fonctionne avec le patch
appliqué sur la première. Une autre solution consiste parfois à développer un second patch qui va
corriger le premier patch et permettre un inter-fonctionnement satisfaisant des deux applications. On
patch alors le patch. Tout ceci prend naturellement du temps. L'entreprise doit choisir entre rester
vulnérable ou bloquer certaines applications. Le sujet n'est pas simple. La gestion des vulnérabilités
relève de questions d'organisation, de définition de processus et d'emploi d'outils adaptés que nous
présentons, notamment au paragraphe « Scanners de vulnérabilités » de cet ouvrage.
2.4.7
Les faiblesses du Web
Auteur : Sami Jourdain (Deny All) [email protected]
Par son étendue, sa richesse de contenu et sa simplicité d’utilisation, l’Internet est une mine
d’informations pour les entreprises et un média sans précédent pour faire connaître les informations
mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l’Internet,
l’utilisateur peut accéder à des millions de pages Web, et peut, à l’aide de portails et de moteurs de
recherche, obtenir l’information qui lui est nécessaire dans le cadre de son travail, au moment où il
en a besoin (caractéristiques d’un produit, liste de prix, conditions de vente, contacts, plan
d’accès…)
2.4.7.1 Les menaces sur les applications Web
Les entreprises continuent de déployer de nouvelles applications Web afin d’augmenter l’efficacité
de leurs échanges avec leurs clients, employés, fournisseurs et partenaires, de générer des revenus
additionnels et de réduire leurs coûts.
Tous les départements de l’entreprise bénéficient de l’ouverture au Web : sites de e-commerce et de
gestion de la relation client, automatisation de la chaîne achats, production, logistique, télétravail,
webmail…Confirmant cette tendance, les principaux éditeurs livrent maintenant leurs logiciels tels
que SAP, Peoplesoft, Notes, Outlook, Siebel, avec interface Web incluse.
En multipliant les accès Web via internet, extranet et intranet, les entreprises fournissent à des
utilisateurs malveillants de nouveaux points d’entrée à leurs applications. Avec l’aide d’un simple
15 nov 2004
20/189
navigateur, en jouant sur le contenu transmis dans les requêtes, les hackers peuvent parvenir à
exploiter les vulnérabilités des logiciels pour les déstabiliser voire en prendre le contrôle. Sachant
que les applications constituent les ressources les plus critiques de l’entreprise et hébergent leurs
données les plus confidentielles, ces menaces représentent des risques majeurs pour l’entreprise
tels que les ruptures de service, l’espionnage industriel, les vols d’informations confidentielles, la
fraude financière et les atteintes à l’image de marque.
Efficaces pour la protection au niveau réseau, les solutions traditionnelles de sécurité telles que les
firewalls « stateful », les systèmes de détection et de prévention d’intrusions ne sont pas adaptés
pour détecter et bloquer efficacement les attaques sur les applications Web.
Représentant plus de 65% des attaques selon le Gartner Group, les attaques au niveau applicatif
sont en constante augmentation. Un panel de 500 entreprises interrogées par le E-Crime Watch
survey a rapporté 666M$ de pertes liées à ce type d’attaques sur l’année 2003. Mais il est probable
que la réalité soit bien au-dessus, les entreprises étant peu enclines à déclarer des incidents qui
ternissent leur image de marque et affectent négativement la confiance des utilisateurs. Le fait peut
être le plus significatif est que depuis trois ans, le renforcement de la sécurité des applications Web
constitue la priorité numéro une des entreprises en matière de sécurité informatique, devant le
contrôle d’accès (Information Week Research, 2004).
Pourquoi les applications Web sont-elles vulnérables ? Quelles techniques utilisent les hackers pour
les attaquer ? Comment les protéger efficacement ?
En complément des solutions de sécurité traditionnelles telles que les firewall, les systèmes de
détection d’intrusions, de contrôle d’accès et de gestion des droits utilisateurs, le firewall applicatif
s’est imposé comme une solution incontournable pour sécuriser efficacement les applications Web.
2.4.7.2 Qu’est-ce qu’une application Web ?
Une application Web peut être définie comme un programme informatique rendu accessible par le
Web à partir d’un navigateur en utilisant les protocoles de transport de données HTTP ou HTTPS.
Loin d’être un ensemble homogène, une application est généralement constituée de composants
logiciels et matériels très divers qui interagissent entre eux pour remplir la fonction voulue. En prise
directe avec les utilisateurs, le serveur Web gère les communications (interfaces réseau, gestion des
sessions utilisateurs) et le logiciel de front office assure l’interface logique (couche de présentation,
formulaires, CGI, extraction des données). Derrière, le logiciel de back office constitue le poumon de
l’application et gère la partie métier. Enfin les bases de données permettent un accès rapide aux
informations.
Lorsqu’un utilisateur initie une requête, sa demande sera transmise et traitée successivement par les
différents composants de l’application. Si les requêtes utilisateurs s’appuient sur les protocoles
HTTP(S), les échanges internes entre composants peuvent utiliser des protocoles différents tels que
SQL pour l’accès aux bases de données, LDAP pour l’accès aux annuaires, SOAP/XML pour les
Web services. Au travers de la chaîne de liaison, un utilisateur Web possède ainsi un accès indirect
à chacun des composants logiciels de l’application. Chaque composant devra donc traiter les
requêtes de manière sécurisée, afin qu’un utilisateur malveillant ne puisse en tirer parti.
15 nov 2004
21/189
Les composants d’une application Web
2.4.7.3 De nombreuses vulnérabilités au sein des applications
Les applications Web contiennent des failles qui les rendent susceptibles à des attaques externes.
Les principales raisons de la présence de ces failles sont les suivantes :
Selon le centre de recherche IBM Watson, les logiciels comptent en moyenne une erreur de
code toutes les 1500 lignes. Or, les applications peuvent compter jusqu’à plusieurs millions de
lignes de codes.
Les applications ont été développées à l’origine pour des besoins internes sans intégrer des
standards de sécurité propres à l’environnement Web plus ouvert.
Les projets de développements Web, souvent sous-traités à l’extérieur, ont été gérés pour
obtenir le plus rapidement possible les fonctionnalités et les performances désirées, sans trop
se soucier des aspects sécurité.
Les applications Web sont complexes : leurs différents composants utilisent des technologies
très diverses, certains ayant fait l’objet de développements spécifiques, d’autres s’appuyant sur
des technologies tierces. Chaque composant possède son propre lot de vulnérabilités
provenant de la (non) qualité du développement et/ou de la (non) qualité du code source d’un
vendeur tiers.
Les composants sont souvent gérés par des équipes différentes. Même lorsque des correctifs
existent, la complexité de l’organisation et l’hétérogénéité des technologies utilisées font que en
pratique les opérations de patch ne sont que partiellement réalisées.
Les applications Web évoluent fréquemment, et même le plus petit changement sur l’un des
composants peut générer une faille de sécurité exploitable.
2.4.7.4 Manipuler une application est relativement simple
Les applications Web constituent des cibles de choix pour les utilisateurs malveillants : elles
permettent de réaliser des transactions financières, manipulent des informations confidentielles et
sont devenues indispensables au bon fonctionnement de l’entreprise. Qu’une application tombe et
les employés qui l’utilisent n’ont bien souvent qu’à aller boire un café en attendant que cela
redémarre !
Mais comment les hackers peuvent-ils lancer des attaques ? Prenons un exemple pour illustrer les
mécanismes en jeu :
Pierre est en train de surfer sur le site Web d’un concurrent. Il vient de demander la consultation
d’une brochure en accès public. Son navigateur affiche la commande suivante :
15 nov 2004
22/189
>http://server/query.asp?ID=3
Sans être développeur informatique, Pierre utilise ses quelques connaissances des bases de
données SQL pour modifier la requête précédente, et rajoute dans les paramètres passés les
instructions suivantes :
>http://server/query.asp?ID=3+OR+1=1
Les paramètres sont alors transmis à l’application qui les utilise pour générer une requête SQL vers
les bases de données. Normalement, les données fournies par les utilisateurs sont contrôlées avant
d’être transmises…Mais il arrive que les contrôles de paramètres au niveau applicatif soient
insuffisants voire même inexistants.
La base de données comprend alors l’instruction comme : SELECT* FROM PRODUCT WHERE
ID=3 OR 1=1.
Cette condition étant toujours vraie, l’application va renvoyer à Pierre la liste de toutes les données
disponibles sur le serveur y compris les données les plus confidentielles auxquelles il n’était pas
supposé avoir accès…
Cet exemple, même simpliste, traduit bien la facilité avec laquelle un hacker peut lancer une attaque
sur une application :
Le seul outil nécessaire est un simple navigateur Web
Pas besoin d’être un expert en programmation informatique, le hacker va utiliser les possibilités
d’interactions fournies par les applications Web. Initialement statiques, les applications
permettent maintenant aux utilisateurs de transmettre des paramètres et des données par
l’intermédiaire de formulaires, CGI ou autres composants interactifs : par exemple pour obtenir
un service personnalisé, transmettre des informations en interne pour qu’elles soient
immédiatement disponibles au reste de l’entreprise, ou encore procéder à des transactions
financières. Au lieu de transmettre des paramètres bénins, les hackers vont pouvoir modifier les
paramètres, insérer des scripts et même des commandes permettant d’exploiter les
vulnérabilités de l’application afin d’acquérir des privilèges qui leurs sont normalement interdits.
Le contenu des requêtes véhiculé par les flux Web traverse les firewall et pénètre l’entreprise
par les ports 80, 443 et autres ports laissés ouverts pour l’accès Web externe : efficaces au
niveau réseau et TCP/IP, les firewall, y compris les versions « stateful », n’ont pas suffisamment
d’intelligence au niveau applicatif pour distinguer avec précision les requêtes HTTP normales
des requêtes malveillantes. De plus ils ne déchiffrent pas les flux HTTPS.
Dans l’exemple précédent, Pierre a réussi à exploiter une vulnérabilité au niveau de l’interface
des bases de données, mais chaque composant de l’application constitue un point d’entrée
potentiel pour un hacker.
Les hackers disposent de multiples techniques d’attaques leur permettant de s’adapter aux
spécificités de chaque application.
2.4.7.5 Les navigateurs
Auteur : Alexandre le Faucheur ([email protected])
Une attaque de l’Internet peut passer par un navigateur web pour plusieurs raisons. Le navigateur
de Microsoft (Internet Explorer) par exemple, est utilisé par des millions de personnes et son
interface de contrôle (API) est publiée sur le web ce qui permet à des programmeurs mal
intentionnés de tester ces fonctions dans l'objectif de trouver des failles de sécurité et cela est aussi
vrai pour Mozilla, le navigateur de Netscape.
Comment cela est-il possible avec l’Internet Explorer ?
Il faut savoir que les applications Microsoft sont depuis quelques années totalement automatisables
(au sens OLE/COM/DCOM) ce qui signifie que n'importe quel programme peut utiliser ces
applications en tache de fond. L'exemple suivant est une illustration de ce qui peut se faire :
Une page web utilisant du VBscript (langage interprété supporté par Internet Explorer) peut lancer
un programme Excel qui effectue des opérations et envoie le résultat au pirate par l'intermédiaire
15 nov 2004
23/189
d'Outlook, cela en toute transparence pour l'utilisateur. Si un « buffer overflow » (dépassement de
mémoire avec prise de contrôle d'une application) permet à un pirate de prendre le contrôle de votre
Internet Explorer alors il peut avoir accès à vos informations.
Bien sûr il existe des contre-mesures, comme par exemple, l’interdiction de l'exécution des contrôles
ActiveX sur les postes de travail. Encore faut-il que l'administrateur ait correctement configuré ces
postes de travail. Mettre en œuvre ces contre-mesures est indispensable mais n’est pas fait par
défaut.
Citons en exemple, la Société Générale qui a choisi d’interdire l’accès à son service en ligne
« logitelnet » à certains navigateur web tant que des tests de sécurité n’auront pas garanti une
sécurité d’utilisation suffisante.
Navigateurs autorisés et homologués :
pour Windows : Netscape 6.2, Netscape 7.02, Mozilla (à partir de 1.0.1), Internet Explorer 5.5
SP2, Internet Explorer 6.0 et Opéra 7
Pour Mac OS : Netscape 6.2, Netscape 7.02, Mozilla (à partir de 1.0.1) et Internet -Explorer 5.x
Pour Linux : Netscape 6.2, Netscape 7.02, Mozilla (à partir de 1.0.1) et Opéra 7
Navigateurs non autorisés :
Netscape 4.x et antérieur,
Internet Explorer 4 et antérieur ainsi que les navigateurs ayant un cryptage en 40 et 56 bits.
2.4.7.6 Les failles du port 80
Auteur : Gabriel Gross (Dolphian) [email protected]
La consultation de sites Web est devenue en 10 ans la deuxième application reine de l’Internet,
devancée uniquement par le courrier électronique. Il est désormais très rare de trouver des
entreprises qui ne fournissent pas l’accès au Web à ceux de leurs employés qui utilisent un
ordinateur connecté au réseau. Les dérives et les dangers associés à ces usages sont souvent
méconnus, et leurs effets induits peuvent avoir des conséquences graves pour une entreprise, en
l’absence d’outils de contrôle adéquats.
Un autre article traite des attaques portant sur les serveurs Web, nous nous intéresserons ici aux
failles associées au Web mais ne portant pas sur les sites ou applications Web officielles de
l’entreprise. Nous regroupons ces aspects sous le terme générique des « failles du port 80 » c'est-àdire des vulnérabilités qui peuvent transiter dans le cadre de connexions au Web, ou en se faisant
passer par des connexions au Web. Compte tenu de l’usage extrêmement répandu du Web en
entreprise, il est très rare que les configurations des firewalls interdisent le transit de pages Web. Ce
transit peut générer des menaces qui sont soit liées à l’utilisation du Web par les employés
(productivité, confidentialité, espionnage industriel, virus et logiciels espions) ou à la présence de
sites Web pirates dans les réseaux d’entreprise.
Usage du Web par les employés :
1. Productivité :
Le temps passé par les employés à consulter des sites Web a fait l’objet de nombreuses
analyses, qui convergent toutes vers une évidence : en l’absence de systèmes de contrôle, le
temps passé à la navigation Web personnelle représente une part non négligeable du temps de
présence. D’après une étude Harris Interactive datant d’avril 2004, aux Etats-Unis, 51% des
employés reconnaissent utiliser le Web à titre personnel pendant une à cinq heures par
semaine… et dans ce panel, 22% des hommes et 12% des femmes indiquaient visiter des sites
pornographiques au bureau.
2. Confidentialité :
Accéder à un site Web dans le cadre de son travail, c’est souvent rechercher une information de
valeur… et qui dit information de valeur dit information qui se monnaie. Les éditeurs de site dont
le métier n’est pas de vendre l’accès à de l’information utilisent une autre forme de transfert de
valeur : le transfert d’information sur la personne qui demande à consulter les documents. Il est
fréquent qu’un site Web demande aux visiteurs de « s’enregistrer » avant de fournir les
documents les plus intéressants, ou les informations de valeur, et c’est une source de danger
pour l’entreprise. En effet, dans le cadre de ces questionnaires en ligne, que les employés
15 nov 2004
24/189
remplissent de bonne foi, un flot d’information sur l’entreprise sort souvent sans aucun contrôle
et surtout sans aucune traçabilité. De là à imaginer toutes les techniques qui sont à la disposition
d’un concurrent malveillant pour attirer un employé naïf…
3. Espionnage industriel
La logistique de l’accès à Internet (logiciels, systèmes d’exploitation, connexion d’entreprise)
recèle une mine d’information qui est communiquée aux sites visités à chaque requête Web. Les
sites Web bien configurés collectent généralement ces informations pour analyse, ce qui permet
à l’entreprise de connaître les visiteurs, leurs centres d’intérêt, leur lieu de connexion, les
versions de leurs logiciels, les adresses IP internes, et d’autres informations encore. Lorsque
ces informations sortent de l’entreprise sans contrôle, et que les employés peuvent naviguer
librement sur des sites externes, il n’est plus difficile de collecter des informations précieuses sur
l’entreprise, ses employés ou ses centres d’intérêt.
4. Virus
On parle beaucoup des virus qui transitent par le courrier électronique, ils sont les plus faciles à
écrire, et ceux qui sont les plus visibles, car les courriers infectés sont reconnaissables par les
utilisateurs. Mais il existe bien d’autres modes de propagation des virus, et notamment deux qui
utilisent comme vecteur le Web.
•
Les virus dans les fichiers téléchargés
Le téléchargement de fichiers ou de documents divers peut se produire sur le Web à
l’insu de l’utilisateur, ou en toute connaissance de cause. Quoiqu’il en soit, ce
téléchargement qui est difficile à réglementer en entreprise peut laisser passer des
fichiers infectés s’ils ne sont pas analysés à la volée.
•
Les serveurs Web infectés
De plus, certains serveurs Web peuvent être eux-mêmes infectés par des virus
spécifiques, et transmettre le virus à tous les postes de travail à partir desquels ils sont
visités, pour peu que les configurations et les vulnérabilités soient compatibles. C’est
ainsi que s’est propagé par exemple le fameux virus NIMDA ainsi que ses variantes
Code Red et Code Blue.
5. Logiciels espions
Sur les mêmes modes que les virus, de logiciels espions (aussi appelés espiogiciels ou
spyware) se répandent facilement au fil des navigations sur le Web des utilisateurs d’entreprise.
Loin d’avoir une action destructrice, ces logiciels peuvent néanmoins contribuer au
développement intempestif de l’activité sur le réseau, et à la fuite d’information hors de
l’entreprise.
Présence de sites Web pirates
A l’inverse, les réseaux d’entreprise offrent à des employés indélicats l’occasion d’héberger
facilement (et à peu de frais) des sites web complets, qui dans la pratique sont utilisés pour proposer
à des visiteurs internes ou externes l’accès à des ressources qui méritent au minimum que leur
diffusion soit contrôlée, et au maximum que la responsabilité de l’entreprise soit préservée
notamment dans le cadre de contenus illicites. Il a été observé dans plusieurs entreprises de taille
importante que cette faille dans le système de sécurité a été exploitée par des employés qui y ont
trouvé une source de revenus faciles.
Interdire le Web en entreprise, ce n’est souvent plus possible. En revanche, contrôler l’information
qui transite par ce canal, cela peut devenir une nécessité pour de nombreuses raisons.
2.5
LES ATTAQUES
La courbe ci-dessous indique le nombre d’attaques répertoriées par les CERT www.cert.org/stats/,;
les CERT (Computer Emergency Response Teams) sont des organismes répartis sur plusieurs pays
qui s’échangent des statistiques sur les vulnérabilités des systèmes d’information et les attaques
perpétrées sur l’Internet qu’on leur signale.
Cette courbe indique que les attaques signalées sont en croissance quasi exponentielle
15 nov 2004
25/189
nombre d'attaques
160000
140000
120000
100000
80000
60000
40000
20000
0
1998
2.5.1
1999
2000
2001
2002
2003
Le vol d’informations
Par où passe le voleur moderne, dans ce monde où l’information est devenue le bien le plus
précieux d’une entreprise ? Eh bien par le modem de votre PC portable ou par le contrôleur Ethernet
de votre poste de travail fixe, qui branché sur le réseau de votre entreprise, met celui-ci à portée du
hacker et se trouve ainsi en grave danger. Mais le hacker n’est le plus souvent pas seul en cause.
Plus de 50% d’attaques réussies bénéficient d’une complicité à l’intérieur de l’entreprise. L’employé
est-il pour autant un indélicat potentiel ? Parfois oui, par esprit de vengeance ou par intérêt
inavouable, mais le plus souvent par manque de maturité vis à vis du problème de la sécurité. Si on
lui demande, par téléphone, au nom de son responsable, ou du responsable système, de fournir son
login et son mot de passe, parce qu’il y a un besoin urgent de le connaître pour mettre à jour les
postes de travail à distance avec un nouvel utilitaire indispensable, pensez-vous que tous réagiront
de manière professionnelle, en refusant de les donner ?
Et on voit alors, par exemple, la liste des salaires d’une entreprise publiée à l’extérieur, les dossiers
médicaux et autres renseignements des plus confidentiels dévoilés au grand public. L’employé
détenteur de ses données nominatives donc confidentielles et le chef d’entreprise peuvent alors être,
à juste titre inquiets car ils sont responsables devant la loi de la protection des données
confidentielles qu’ils détiennent, et se doivent de les protéger.
2.5.2
Les accès non autorisés
Pour offrir ou refuser à un utilisateur l’accès au réseau, il convient bien entendu d’authentifier cet
utilisateur afin de contrôler si la politique de sécurité de l’entreprise lui accorde le droit d’y accéder.
La solidité d’un système de protection est toujours celle de son maillon le plus faible, et souvent ce
maillon c’est précisément l’authentification. Il faut savoir que l’authentification d’un individu par son
mot de passe n’offre aucune garantie réelle de sécurité, surtout si ce mot de passe est re-jouable,
encore plus s’il n’expire pas dans le temps, et davantage encore si le mot de passe est laissé au
libre choix de l’utilisateur. De toute manière les mots de passe transitent en clair sur le réseau où ils
peuvent être facilement lus. Il existe aussi des utilitaires qui récupèrent les mots de passe sur les
disques pour essayer de les déchiffrer et ce n’est alors qu’une question de temps pour y parvenir.
Donc avant d’accorder une permission, il faut s’assurer que le bénéficiaire de cette permission est
bien celui qu’il prétend être, sinon il aura accès aux informations d’une autre personne, et le vol de
données potentiel sera difficilement identifiable puisque la personne autorisée semblera les avoir
prises.
2.5.3
Les dénis de services
Il n’est pas indispensable de chercher à pénétrer un réseau pour le mettre hors d’état, il suffit de le
saturer. Quoi de plus facile, avec un programme adapté, d’envoyer vers un serveur de messagerie
des milliers de emails par heures, ou de faire des centaines de milliers d’accès vers un serveur web,
uniquement pour monopoliser la bande passante et les ressources des serveurs, afin de les rendre
inaccessibles.
15 nov 2004
26/189
Mais l’assaillant sera découvert puisqu’il est facile de déterminer d’où viennent les attaques, pensezvous ? Non, même pas, car les attaques sophistiquées en dénis de service utilisent, en général, des
serveurs relais tout à fait honnêtes mais investis le temps du forfait, car manquant des sécurités
indispensables. Et il est alors plus difficile de remonter à l’origine des attaques. C’est ainsi que des
serveurs très sollicités dans le monde internet, comme yahoo, et même comme des serveurs
principaux de noms de domaines, qui constituent le talon d’Achille de l’Internet, ont cessé
virtuellement d’exister sur le net, durant quelques heures, au grand émoi de leurs centaines de
milliers d’utilisateurs quotidiens. D’autres serveurs non moins sérieux ont constitué les bases
avancées de ces attaques. Ce qui est arrivé sur ces serveurs, peut aussi arriver à vos serveurs sans
dispositif de protection, ou vos serveurs peuvent servir de relais d’attaque. Vous serez alors
responsables, bien que non coupables ou du moins inconsciemment non coupables, donc vous
pourriez être inquiétés par la loi.
2.5.4
Les attaques sur la messagerie
Tout mél ouvert peut mettre en péril votre poste de travail et le réseau de l'entreprise et la
messagerie, échange le plus utilisé sur l'Internet constitue une menace grandissante pour les
réseaux d'entreprise. Les méthodes d'attaques ou de simple nuisance sont multiples.
Parmi les attaques les plus classiques citons :
Le mail bombing, tir de barrage contre votre boîte à lettres qui bloque vos ressources avec
pour but de causer un déni de service.
Le mass mailer qui crée à votre insu, par rebond sur votre boîte à lettres, des chaînes
maléfiques de e-mails, à votre nom, vers les destinataires de vos listes de
messagerie. Destinataires avec qui vous ne serez plus copains après.
Le spamming, véritable harcèlement électronique, mais sans mauvaises intentions en
principe, qui noie vos messages importants dans une forêt de messages non sollicités et dont
les contre-mesures aboutissent à supprimer des messages honnêtes et importants en même
temps que les spams.
2.5.4.1 Les pourriels (SPAM)
15 nov 2004
27/189
Le spam est un fléau qui menace aujourd’hui chacun des internautes dans sa vie quotidienne, et
toutes les entreprises qui utilisent la messagerie électronique. Insidieusement, ce danger ‘mineur’,
non vital, est présent jour après jour, généralement de plus en plus pesant, et suscite chez les
administrateurs et les utilisateurs de la messagerie électronique cette petite appréhension du matin :
« combien en aurai-je aujourd’hui ? Qu’est-ce qui va encore m’arriver ? »
Il y a une dizaine d’années, lorsque l’on s’abonnait à Internet, on nous expliquait qu’il fallait respecter
la Netiquette. Et tout particulièrement, ne pas envoyer un courrier à quelqu’un qui ne souhaitait pas
le recevoir. Ces consignes étaient suivies car Internet était un réseau très ouvert mais son accès
était limité aux personnes les plus motivées, à de petits groupes à l’intérieur desquels on se
connaissait. Les premiers internautes se respectaient les uns les autres, c’était la nature du réseau
qui le voulait.
Aujourd’hui, Internet a pénétré dans la vie quotidienne de plus de 500 millions de personnes et fait
partie des moyens de communication privilégiés du monde de l’entreprise
On accède facilement à Internet, et on y trouve tout ce que l’on cherche, à condition de connaître un
minimum de techniques. On utilise Internet pour travailler, s’informer, se divertir, faire ses courses,
rêver, dialoguer, rencontrer. On diffuse son adresse e-mail (ses adresses e-mail) et on reçoit du
courrier électronique. Beaucoup de courrier électronique. Trop en fait.
D’après les études récentes, le nombre moyen de spams reçus par jour et par internaute dans le
monde, tous internautes confondus, à titre personnel ou professionnel, va de 5 à 10 en Europe, en
Asie et aux Etats-Unis, et atteindra 30 à 40 dans 5 ans. Il s’agit d’une moyenne, ce qui signifie dans
les faits que beaucoup en reçoivent bien plus. (source : Frank N. Magrid & Associates, 2003, cité par
le Journal du Net). En pratique, on observe que les personnes spammées reçoivent 30 à 50 e-mails
indésirables ou non sollicités par jour, avec des pointes à 200 par jour pour ceux dont les adresses
sont les plus publiées.
On avance des explications diverses à ce phénomène, mais la réalité est simple : le réseau est
vulnérable, par construction, aux usages non prévus dans la logique des protocoles qui le
constituent.
15 nov 2004
28/189
Une adresse e-mail est faite pour être diffusée. N’importe qui peut écrire à n’importe qui, et le
courrier sera acheminé par tous les serveurs sollicités. Ce courrier pourra prendre des chemins
multiples, et n’importe quel émetteur peut envoyer un courrier de n’importe quel point d’accès vers
n’importe quel destinataire, sous réserve d’y être autorisé par le gestionnaire du réseau d’émission.
Et l’envoi du courrier ne demande pas une authentification forte de l’émetteur, dans la majorité des
cas.
Enfin, les adresses e-mail sont stockées dans les annuaires des logiciels de messagerie, qui sont
particulièrement vulnérables aux attaques des virus qui se sont répandus depuis trois ans.
Sur cette base, une véritable industrie s’est développée.
La logique économique du spam est fondée sur le calcul statistique. Sa chaîne de valeur ajoutée est
très claire :
6. Une entreprise qui a un produit à vendre décide de recourir au modèle de l’affiliation par Internet,
c’est-à-dire de motiver un grand nombre d’apporteurs d’affaires en les rémunérant au succès et
en leur facilitant le processus de distribution.
NB : les programmes d’affiliation légitimes sont extrêmement nombreux, ils sont loin d’être tous
associés au spam.
7. Cette entreprise construit une offre que les clients pourront acheter sur Internet, ainsi qu’un
système de suivi qui permettra de rémunérer les intermédiaires qui auront fait venir chaque
client. Cette offre est généralement matérialisée par un site Web de vente par correspondance.
8. Il ne lui reste plus qu’à recruter les affiliés par le biais de sites d’annonces spécialisés et de leur
proposer une rémunération. Ces affiliés seront dans la plupart des cas des particuliers, de tous
types de profils (de la mère de famille au retraité en passant par le salarié qui le dimanche
cherche à arrondir ses fins de mois facilement). Dans certains cas, assez rares, il s’agit de
professionnels.
9. Les affiliés, apprentis spammeurs ou spammeurs expérimentés, vont alors se procurer, sur
Internet, des logiciels en shareware, aux noms évocateurs comme par exemple ‘MailBomber’,
ainsi que des CD-ROMs contenant quelques millions d’adresses e-mail. Le prix de ces CDROMs peut aller de 30 à 150 dollars. Ils contiennent de quelques millions à quelques centaines
de millions d’adresses, de qualité variable. Quelques variantes existent : les spammeurs peuvent
par exemple acquérir des logiciels capables de récupérer des adresses sur Internet
automatiquement, ou de les deviner ce qui est encore plus intéressant.
Partant de là, l’équation est simple : sachant qu’un accès à Internet à haut débit coûte quelques
dizaines de dollars par mois, qu’ils sont déjà équipés d’un ordinateur, que le coût de l’envoi d’un email est négligeable, et que le taux de retour est supérieur à zéro, l’opération a tout pour être
rentable. (Cher lecteur, j’espère que je ne vous donne pas des idées que la morale et la Netiquette
réprouvent,).
On voit mal comment cette forme de spam, le spam sauvage, pourrait diminuer. Lorsque des
Fournisseurs d’Accès à Internet interdisent cette pratique à leurs clients, d’autres prennent le relais,
et c’est là que l’absence de limitation géographique se fait sentir : un spam en provenance de Chine
ou du Brésil arrivera aussi bien à Paris 15ème.
Il existe aussi une autre forme de spam, plus difficile à juger, car elle est le fait d’entreprises qui sont
plus proches de nous.
Lorsqu’un site collecte des adresses e-mail, que l’entreprise dont il dépend est amenée à louer ou à
vendre via une entreprise spécialisée ou directement à une autre entreprise, que celle-ci utilise le
fichier pour adresser sa propre correspondance commerciale aux destinataires, la frontière entre
spam et courrier légitime est difficile à établir. Les paramètres à prendre en compte sont la
connaissance et l’acceptation du processus par la personne dont l’adresse est collectée et
manipulée.
Et lorsqu’il s’agit d’une entreprise à laquelle on a donné son adresse, sciemment ou non,
volontairement ou non et que cette entreprise en profite pour nous écrire plus souvent que nous le
souhaiterions, s’agit-il de spam ? Ou est-ce le cas seulement quand il est impossible de demander
(d’obtenir ?) que cela cesse ? Et si l’on change d’avis après avoir « opté » pour une inscription ?
En quelques chiffres, le problème est assez simple à exprimer :
15 nov 2004
29/189
abonnement mensuel d’accès à Internet ADSL :
30 €
acquisition d’un CD-ROM de 70 millions d’adresses :
150 €
total des sorties
180 €
taux de réponse sur un envoi moyen* :
nombre de ventes attendues sur le même CD-ROM
chiffre d’affaire moyen estimé d’une vente sur spam :
chiffre d'affaires total sur l'opération
0.005%
3 500
15 €
52 500 €
* source : Businessweek
Tout cela nous amène à deux constatations :
le spam est un fléau qui demande à être traité au cas par cas de manière différenciée pour
chaque individu.
émis par des individus, motivés par l’appât du gain relativement facile, le spam évolue, change
de formes et de techniques très rapidement.
Un cas particulier : les virus spammeurs.
Il existe deux interactions fortes entre le monde du virus et le monde du spam :
les virus qui créent des relais ouverts
les virus qui génèrent des volumes de courriers importants, que l’on associe souvent à du spam
Au sens strict du terme, un spam est un courrier qui cherche à déclencher une réaction chez le
destinataire et non sur son ordinateur. Là où les virus entrent en scène, c’est soit parce qu’ils
infectent des ordinateurs vulnérables et les transforment en serveurs de messagerie acceptant les
connexions des émetteurs de spam, ce que l’on appelle les relais ouverts, soit parce qu’en se
répandant ils génèrent des quantités importantes de messages d’erreur qui ont le même impact
volumétrique que le spam. C’est la rencontre des deux mondes, mais les solutions à ces problèmes
sont très différentes.
L’expérience a montré qu’il n’est pas possible de traiter de la même manière une menace dont
l’objet est l’ordinateur qu’une menace dont l’objet est une personne. La difficulté de la lutte contre le
spam, c’est qu’elle doit se jouer au niveau des infrastructures si l’on souhaite empêcher les
spammeurs de faire leur besogne, ou au niveau du contenu des courriers si l’on se place du côté du
destinataire.
2.5.5
Les attaques sur le Web
2.5.5.1 Attaques directes et indirectes
Il existe différents types d’attaques web plus ou moins dangereuses pour une entreprise.
les attaques directes (DoS, defacing, …)
les attaques indirectes (Google bomb, DNS redirection, …)
Les attaques directes sont ciblées car les hackers utilisent des failles de sécurité pour pénétrer à
l’intérieur des serveurs WEB, qui hébergent en général des applications métiers, pour obtenir des
informations comme : noms des clients, numéros de carte bleue, …
Ces attaques peuvent être évitées en tenant à jour les correctifs sur les serveurs ainsi que sur les
applications liées au fonctionnement du site WEB (base de donnée, etc…)
Les attaques indirectes, elles, ne causent pas de dommages matériels et logiciels à l’entreprise
victime. Prenons un exemple : le « google bombing» (dé-référencement de sites web sur un moteur
de recherche), qui engendre une baisse d’activité du site et donne aussi une mauvaise réputation
(image de marque) de l’entreprise, ce qui peut lui causer du tord. L’inconvénient majeur avec ce type
15 nov 2004
30/189
d’attaque est que l’entreprise ne peut pas s’en protéger, elle peut (et doit) cependant alerter ses
clients sur l’inconvénient subit.
Les attaques de types « hijacking » (détournement) font croire aux utilisateurs qu’ils sont sur un site
officiel et qu’ils peuvent par conséquent taper leurs identifiants et mots de passe en toute sécurité ce
qui n’est bien sûr pas le cas.
Il existe par exemple le DNS hijacking qui pointe sur page web du pirate au lieu de pointer sur un
lien officiel. Récemment, des banques françaises ont prévenu leurs utilisateurs de ce type de
risques. Une contre-mesure élémentaire, pour ne pas se faire piéger, est de n’ouvrir les pages
officielles qu’à partir des enregistrements faits dans ses favoris. Une autre méthode plus sûre mais
plus technique est de n’utiliser que l’adresse IP du serveur distant ce qui évite de vous faire piéger
par les attaques de types DNS hijacking. Tout le monde est susceptible de tomber dans le panneau
alors il faut rester vigilants. Lorsque vous remarquez des changements anormaux sur votre page
web favorite sans en avoir été prévenu au préalable, méfiez-vous !
2.5.5.2 Les dix techniques d’attaques les plus courantes sur les applications Web
Auteur : Sami Jourdain (Deny All) [email protected] et Alexandre le Faucheur [email protected]
La presse s’est fait récemment l’écho de sites Web de grandes sociétés dont la page d’accueil avait
été contaminée par des scripts malicieux. Les utilisateurs se connectant à ces sites téléchargeaient
à leur insu ces codes malicieux qui venaient s’exécuter sur leurs ordinateurs personnels et
renvoyaient alors vers des sites pirates des informations confidentielles (séquences de saisie de
caractères...). Les sites Web avaient été initialement piratés en utilisant des combinaisons de
techniques d’attaques : un code malicieux assimilable à un trojan, la technique buffer overflow pour
déposer ce code sur le site Web et la technique cross site scripting pour que le code malicieux
infecte des postes d’utilisateurs qui se connectent au site.
Compte tenu de la complexité des applications, et des multiples possibilités de manipulations de
paramètres au niveau des requêtes, il est impossible de décrire toutes les attaques possibles au
niveau applicatif. Pour chaque application, il existe potentiellement au moins autant de requêtes
malveillantes que de requêtes « normales ». Afin de donner une idée de l’arsenal d’attaques à la
disposition des hackers et de mieux comprendre les risques pesant sur les applications, nous allons
donc décrire les dix techniques d’attaques les plus utilisées en 2003 selon le recensement du
OWASP (Open Web Application Security Project).
Entrée de paramètres invalides :
L’internaute modifie les paramètres utilisés dans les URL, les en têtes HTTP, les formulaires ou
les paramètres cachés et fournit des valeurs non attendues par l’application : par exemple des
valeurs négatives, des valeurs très larges, des caractères au lieu de chiffres, des méta
caractères… L’absence de filtre au niveau de l’application sur les caractères saisis par
l’internaute peut conduire à des comportements imprévisibles allant du crash par buffer overflow
à l’accès à des données confidentielles ou au système d’exploitation.
Injection de commandes
En utilisant des méta codes (par exemple des caractères « % » passés à des scripts en perl),
éventuellement encodés en hexadécimal, unicode ou UTF, l’internaute insère dans les
paramètres des commandes qui en l’absence de filtres seront passées à l’application. Ces
commandes peuvent contenir par exemple des appels au système d’exploitation, l’utilisation de
programmes externes via des commandes shell, ou des appels vers les bases de données (on
parle alors d’injection SQL). Des scripts écrits en perl, python, ou autres langages peuvent être
injectés et exécutés par des applications mal développées et utilisant un interpréteur.
Injection SQL
Utilisant le principe des injections de commandes, les injections SQL permettent d’exécuter des
commandes directement sur les bases de données, afin d’avoir accès ou de modifier des
données confidentielles.
Cross Site Scripting
15 nov 2004
31/189
La technique consiste à contaminer un site Web vulnérable avec un code malicieux écrit en un
langage interprétable par les navigateurs (Javascript, ActiveX, Shockwave, Flash..), qui sera
récupéré par les utilisateurs qui visitent ce site. Le script malicieux s’exécute alors sur le
navigateur des utilisateurs et permet au hacker de récupérer leurs droit d’accès (cookie,
sessions utilisateurs) ou même leurs mots de passe et autres informations confidentielles.
Violations de cookie et de session
La plupart des applications Web nécessitent un maintien de session pour suivre le fil des
requêtes utilisateurs. HTTP étant intrinsèquement un protocole « non connecté », les
applications doivent fournir ce mécanisme. La plupart des mécanismes de maintien de session
sont trop rudimentaires, basés sur des jetons de sessions, parfois même sur des seuls cookies
sans vérification de leur intégrité côté serveur. Or les cookies sont stockés sur les postes
utilisateurs, dans le meilleur des cas en mémoire, le plus souvent sur le disque. En procédant à
des « reverse engineering » des cookies, et/ou en récupérant des jetons de session active un
hacker peut les modifier afin d’acquérir l’identité et les droits d’accès d’un autre utilisateur.
Violation de contrôle d’accès
Le contrôle d’accès, également appelé habilitation, est la manière dont une application Web
donne accès à du contenu et à des ressources à certains utilisateurs mais pas à d’autres.
Découvrir des vulnérabilités au niveau des mécanismes de contrôle d’accès se limite souvent à
envoyer une requête vers des ressources ou du contenu auquel on n’a pas droit ! Les hackers
réussissant à exploiter ces vulnérabilités peuvent alors utiliser d’autres comptes clients et tous
les droits qui vont avec.
Buffer Overflow
Certains composants logiciels d’applications Web, typiquement CGI, librairies, drivers et
composants serveurs du marché ne vérifient pas suffisamment que les données entrées
tiennent dans les limites des buffers. Les hackers peuvent lancer des attaques sur les
applications présentant ces vulnérabilités afin de les crasher et parfois en prendre le contrôle.
L’exemple le plus connu de ce type d’attaques a été le vers « Code Red » qui s’est répandu sur
plus de 250 000 systèmes dans les quelques heures suivant son lancement et qui a occasionné
officiellement 2,6 milliard de $ de pertes financières. Plus récemment en juin dernier, l’attaque
download.ject est venue exploiter une faille buffer overflow au niveau de la couche SSL
Windows, permettant aux hackers de télécharger sur les serveurs présentant cette faille du
code malicieux. A noter que la faille a été comblée par Microsoft début août.
Traitement inapproprié des erreurs
Les applications Web sont sujettes à des dysfonctionnements même dans le cadre normal de
leurs opérations : manque de mémoire, exception de pointeur nul, appel système manqué,
timeout réseau, base de données non disponible…Il n’est pas rare que des messages d’erreurs
contenant des informations purement internes comme les traces de stack, les dumps de base
de données, les codes d’erreur soient envoyés spontanément à l’utilisateur externe. Un
utilisateur malveillant va solliciter ces dysfonctionnements applicatifs dans sa phase de
reconnaissance pour recueillir des informations sur la structure interne de l’application et sur
ses vulnérabilités.
Directory Traversal/ Forceful Browsing
Le hacker va modifier ses requêtes afin qu’elles ne demandent pas à l’application de lui
retourner un fichier mais la branche toute entière. Si l’application ne possède pas une page par
défaut au niveau de chaque branche et si le serveur web est mal configuré, le hacker peut ainsi
obtenir accès à des informations non prévues voire à tout le contenu de la branche.
Denis de service applicatifs
Les attaques par DoS sont souvent associées avec les attaques au niveau réseau par SYN
flood émanant d’une ou plusieurs sources (on parle dans ce cas d’attaques distribuées DDoS).
Les attaques DoS au niveau applicatif existent aussi. Elles sont particulièrement difficiles à
différencier du trafic normal, car les applications n’utilisent pas les adresses IP et ne peuvent
15 nov 2004
32/189
donc pas facilement identifier la provenance d’une requête HTTP. Un seul hacker peut générer
suffisamment de trafic pour saturer les ressources d’un serveur Web sur certaines URL
particulières, rendant le système indisponible pour les autres utilisateurs.
Les attaques exploitant des vulnérabilités encore inconnues
Les attaques exploitant des vulnérabilités inconnues sont particulièrement dangereuses car les
mesures préventives n’ont pas pu être prises en avance. Un exemple récent est l’attaque du 25
juin 2004 dernier perpétrée par des hackers basés en Russie qui a transformé des serveurs IIS
en distributeurs de codes malicieux. Le nombre de ces « zero day exploits », loin d’être
négligeable, semble croître rapidement. Ceci tient à plusieurs raisons :
•
De nouvelles vulnérabilités sont régulièrement découvertes dans les composants logiciels
tiers utilisés par les applications.
•
Les possibilités de manipulation des requêtes sont virtuellement illimitées ce qui rend les
combinaisons d’attaques et les vulnérabilités potentielles impossibles à répertorier. Par
exemple, un caractère utilisé dans des attaques injection SQL peut être codé de six
manières différentes tout en restant valide pour SQL. Ce qui fait que l’instruction
<SELECT> peut être codée de 86 manières différentes !
•
Combinant les différentes techniques d’attaques pour en concevoir de nouvelles, les
hacker cherchent constamment à innover afin de contourner les filtres de sécurité en
place.
2.5.5.3 Conclusion
Vols de données confidentielles, détournement de transactions, ruptures de service, atteintes à
l’image de marque : les risques sont bien réels pour les entreprises qui continuent d’ouvrir leurs
applications critiques au Web et de déployer des sites Web de plus en plus transactionnels.
Les hackers bénéficient d’un environnement favorable : des applications Web présentant de
nombreuses failles potentielles, des possibilités d’interaction à distance via les accès Web, de
multiples techniques pour parvenir à déstabiliser voire prendre le contrôle des applications sans être
inquiétés par les firewall traditionnels en place.
Des contre-mesures ont cependant été développées pour protéger les systèmes d’information vis à
vis de l’Internet comme par exemple des Firewalls applicatifs qui suppriment les codes malicieux
dans les pages web. Des correctifs sont régulièrement mis à la disposition des utilisateurs pour
protéger leurs systèmes.
Vous pouvez, vous-même, vous protéger en interdisant l’activation de contrôles ActiveX, des scripts
et en augmentant le niveau de sécurité de votre navigateur web.
2.5.5.4 Attaques DoS et DdoS
Auteur : Alexandre le Faucheur [email protected]
Il existe cependant des attaques moins ciblées, d’un niveau que nous qualifierons d’inférieur d’un
point de vu informatique. Le pirate ne cherche plus cette fois à prendre contrôle de votre application
mais cherche seulement à perturber le fonctionnement de vos serveurs. C’est le Deny of Service
(DoS) ou le Distributed Deny of Service (DDoS).
DoS : Le pirate, seul, cherche à perturber votre serveur en envoyant un nombre important de
requêtes. Si le nombre est suffisamment important le serveur sera saturé et s’arrêtera de
fonctionner. S’il ne l’est pas alors l’application sera seulement ralentie.
DDoS : Cette technique est beaucoup plus agressive que la précédente car le pirate n’utilise
plus un petit nombre de machines mais des réseaux entiers pour congestionner l’accès au
serveur. Si le réseau d’accès est suffisamment robuste seul le serveur en souffrira et cessera
finalement de fonctionner mais si le réseau d’accès n’est pas suffisamment robuste, toutes les
machines du réseau sur lequel se trouve le serveur cible en souffriront.
Microsoft et Yahoo ont déjà subi ce genre d’attaque. Il existe heureusement des parades comme par
exemple de bloquer les adresses IP des machines attaquantes car ce type d’attaques n’est pas
discret et se repère facilement sur un réseau. Les IDS peuvent, en autre, remplir cette fonction.
15 nov 2004
33/189
L’usage du web par browser (Juin 2004) :
1. MSIE 6.x
77%
2. MSIE 5.x
17%
3. Mozilla
2%
4. Netscape 7.x
1%
5. Safari
1%
Cela veut dire qu’en moyenne 94 % du surf est effectué par un browser de type Internet Explorer
mais cela ne signifie pas que 94 % du trafic total d’Internet soit du surf. Ces chiffres ne signifient pas
grand chose si on ne stipule pas que plus de 90% des browsers Web ont la fonctionnalité Java
activée et par conséquent des cibles potentielles pour certains hackers.
2.5.6
Les attaques par le système d’exploitation
Nous ne cherchons à référencer que les systèmes d’exploitation les plus usuels. Il existe deux types
de hackers :
Les occasionnels qui représentent 75 % des attaques. Ils parcourent l’Internet dans l’intention
d’attaquer une machine au hasard en utilisant des failles de sécurités déjà publiées. Ils
n’apportent strictement rien à la communauté informatique, leurs attaques sont simplement
faites pour nuire.
Les déterminés qui représentent 25 % des attaques. Ils cherchent à attaquer une compagnie ou
un système ciblé. Certains permettent de mettre en évidence des failles de sécurités et ainsi
améliorent la sécurité générale des Systèmes d’Information mais ce n’est malheureusement
pas souvent le cas pour la majeure partie d’entre eux qui ont des intentions malhonnêtes et
souvent à but lucratif.
D’après une étude de Symantec, Les systèmes Microsoft représentent à eux seuls 75 % des
attaques globales avec interruption de service ce qui assez conséquent et normal vu la
prédominance de Microsoft sur le marché du client/serveur. Ces chiffres sont cependant à nuancer
car il est préférable que la machine s’arrête de fonctionner plutôt que de laisser l’attaquant entrer
dans son système d’information.
Il faut souligner que les systèmes libres ne sont pas épargnés par les hackers. Des outils, les
rootkits, permettent de prendre le contrôle de systèmes Unix ou Linux.
Les hackers déterminent le type d’OS en analysant les temps de réponses et la configuration du
protocole TCP/IP, cette technique est appelée « fingerprinting ». Il existe aujourd’hui des techniques
pour s’en prémunir que ce soit par les Firewalls et/ou IDS ou par modification des paramètres de
configuration réseaux des serveurs.
Notons cependant qu’aujourd’hui la communauté s’accorde à dire que l’OS le plus sécurisé en terme
de client est Darwin (MacOS X), tout simplement parce qu’il est basé sur un OS libre et bien
sécurisé de type BSD (Unix - Berkeley Software Design). A cela il faut préciser qu’il est propriétaire
et par conséquent il bénéficie de la sécurité par l’obscurité.
2.5.7
Les attaques combinées
2.5.7.1 Le phishing
Le phishing, la plus actuelle des menaces, repose sur trois impostures et sur
votre naïveté (nous sommes plus de 700 millions de pigeons potentiels
connectés sur l'Internet).
10. Envoi de l'hameçon : vous recevez un e-mail qui à l'air de venir d'un
destinataire de confiance, mais provient en réalité de l'attaquant.
11. Attente que ça morde : le e-mail vous demande de cliquer sur un hyperlien
qui vous dirige sur un site Web qui a l'air d'être celui d'un site de confiance,
d'après son adresse et le look de la page affichée. C'est en réalité celui de
l'attaquant.
15 nov 2004
34/189
12. Le site Web de l'attaque par phishing, sur lequel vous emmène la deuxième imposture, vous
demande, pour préparer la troisième imposture, celle qui fait mal, d'entrer des renseignements
tels que votre couple login et mot de passe, vos coordonnées bancaires, votre numéro de carte
de crédit... Avec ces renseignements, comme l'attaque est en général à but lucratif,
l'attaquant usurpe votre identité, en utilisant les renseignements que vous lui avez aimablement
fournis, pour vider votre compte bancaire ou attaquer notre réseau.
2.5.7.2 Le panaché
Citons maintenant la combinaison redoutable entre toute, fléau des temps modernes qui arrive par la
messagerie. C 'est le quartet : spam + mass mailer + ver + phishing, le tout simultanément. Le ver
est là pour installer un logiciel espion, un cheval de Troie ou une porte dérobée sur votre poste de
travail, pour exploitation ultérieure. Par exemple le ver Bugbear.B, apparut en 2003 et véhiculé par la
messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active
automatiquement si vous contactez l'une des milliers de banques, dont plusieurs françaises,
contenues dans sa liste. Il envoie ensuite l'intégrale des échanges électroniques, entre vous et avec
votre banque, à on ne sait qui.
2.6
LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES
Il existe un grand nombre de logiciels capables de modifier à votre insu la
configuration de votre système d’exploitation ou de vos logiciels favoris. Nous allons
parler dans ce chapitre des principaux types d’attaques que nous pouvons rencontrer
sur Internet ou par sa messagerie.
2.6.1
Les éléments malfaisants
ActiveX/Java malicous code : Les contrôles ActiveX comme les applets Java permettent
d’améliorer l’affichage des pages web sur un ordinateur, en revanche, ils peuvent exécuter des
commandes locales malicieuses sur votre ordinateur lorsqu’ils sont activés. Il est donc conseillé
d’augmenter le niveau de sécurité de son bowser WEB pour en interdire l’exécution.
Adware : C’est un programme qui affiche de la publicité lorsque vous naviguez sur le Net. Les
adwares contiennent souvent des spywares pour savoir en fonctions des préférences
utilisateurs quel type de publicité afficher.
Keylogger : Les keyloggers sont des troyens (trojans) qui une fois activés, enregistrent toutes
les caractères tapés sur l’ordinateur infecté. Ce type de malware est très dangereux car il peut
enregistrer vos mots de passe et login à votre insu.
Macro/Script Viruses : Ce sont des virus interprétés et écris en langage macro de type VBA
(Visual Basic for Application) donc facile à créer pour un hacker. Ils sont exécutés par une
application tierce de type Excel/Word/… et peuvent infecter d’autres systèmes comme
endommager l’ordinateur courant. Il est donc souhaitable de désinstaller les applications
permettant d’interpréter ces codes (WSH, WMI, VBscript …).
Malware : C’est un mot générique utilisé pour référencer des applications inappropriés comme
du code malicieux ou autres troyens, vers, virus …
Spyware : C’est un logiciel qui enregistre les habitudes et autres informations personnelles de
l’utilisateur infecté. Ces informations sont envoyées à une personne tierce (l’attaquant).
Trojan (cheval de Troie) : c’est un malware qui exécute des actions non autorisées qui
peuvent compromettre la sécurité du système. La différence entre un troyen et un virus est que
ce dernier peut se répliquer dans d’autres programmes contrairement donc au trojan.
Virus : Il existe à l’heure actuelle 5 types principaux de virus :
15 nov 2004
35/189
•
•
•
•
•
Boot-sector : Le virus attaque l’ordinateur au démarrage du système et endommage
ensuite tous les fichiers accédés pour se reproduire.
File-infector : Le virus infect les fichiers exécutés (.exe .com …) pour se reproduire et
s’étendre.
Multi-partie : Boot-sector + File-infector virus
Macro.
Ver (Worm).
Ver (worm) : Un vers est un programme qui essaie de se reproduire sur d’autres systèmes. La
propagation s’effectue par un réseau local ou par attachement de fichier dans un e-mail.
Il est très fréquent de rencontrer ces virus, troyens et autres menaces lorsqu’on surfe sur l’Internet. Il
est donc impératif de se protéger. A titre d’information en 2002 les spécialistes estiment qu’en
moyenne une entreprise souffre d’environ 30 attaques par semaine, cependant 85% de ces attaques
sont considérées comme des pré-attaques (attaques de reconnaissances) et seulement 15 % (5
attaques) sont considérées comme des attaques réelles.
Certains sites web permettent de savoir quels sont les ports TCP et les adresses IP (les services
réseaux) les plus attaqués (http://www.incidents.org/reports.php). Ces bases de connaissances
permettent de prendre conscience de l’ampleur du phénomène dans le monde.
On apprend ainsi que que 1/3 compagnies ont détecté un spyware sur leurs réseaux. Il existe plus
de 7.000 spywares différents à travers le monde et bien que 98% des compagnies utilisent un antivirus, 80 % d’entre elles ont déjà été touchées par un virus ou un ver.
2.6.2
Face au virus Mydoom.A
Auteur Gérard Péliks – EADS – gerard.peliks @eads.com
En ces jours mémorables qui ont terminé le mois de janvier et débuté celui de février 2004, il était
difficile de passer à travers les tentatives des virus Mydoom A et B pour infecter votre poste de
travail. Un matin, en ouvrant ma messagerie, j’ai trouvé parmi les e-mails reçus quelques-uns dont la
provenance m’était inconnue. Ils ne m’étaient adressés ni par des clients, ni par des partenaires ou
des fournisseurs, et ce n’étaient pas non plus des newsletters auxquelles je suis abonné.
Mon premier sentiment fut de penser qu’il devait s’agir de spams, ces messages non sollicités
envoyés en nombre. Mais c’était curieux car notre entreprise a mis en œuvre un filtre anti spams très
efficace. De plus les titres des messages « hello », « hi » ou carrément des caractères aléatoires
dont l’assemblage ne constituait pas des mots, au moins en français ou en anglais, m’inspirèrent
l’idée qu’il devait s’agir de mails porteurs de virus ou de vers. Aussi les ai-je effacés sans les lire, et
sans aucuns regrets car je ne montre aucune pitié envers les quelques spams qui réussissent à
tromper notre filtre.
Mais au cours de la journée j’ai reçu d’autres e-mails dont les titres m’étonnèrent. Il semblait que des
messages que j’avais envoyés me revenaient avec un message d’erreur parce qu’ils n’avaient pas
pu atteindre leurs destinataires. Les titres des messages étaient du genre « Mail transaction failed ».
Là j’étais impliqué, qu’avais-je envoyé qui n’avait pas atteint son destinataire ? Le document que
j’étais censé avoir envoyé était-il important ? Devais-je renvoyer le e-mail non parvenu ? Sans
hésiter j’ai ouvert le premier de ces e-mails dont le destinataire m’était totalement inconnu.
Qu’importe, peut-être la pièce jointe allait-elle m’éclairer sur l’identité de ce destinataire car je sais
tout de même ce que j’envoie et à qui !
Au moment de cliquer sur la pièce jointe qui était censée contenir le mail revenu avec mon fichier
attaché, un doute s’empara de mon esprit et mon doigt resta suspendu au-dessus de ma souris. Et
si c’était un piège ? et si c’était un virus ? Avant de concrétiser un clic que je pouvais regretter, je
suis sorti de mon bureau pour demander autour de moi si d’autres avaient remarqué cette bizarrerie
incroyable de Outlook 2000 qui retournait, parce que non reçus, des messages jamais envoyés !
Devant la machine à café j'ai constaté que j’étais loin d’être le seul à m'inquiéter. Les conversations
allaient bon train, ce matin là, sur ces messages qui revenaient suite à un envoi qui n’avait jamais eu
lieu.
15 nov 2004
36/189
Le risque zéro étant la meilleure des pratiques en pareil cas, j’ai détruit tous ces messages et j’en ai
eu beaucoup d’autres les jours qui suivirent, venant de personnes que je ne connaissais pas, mais
aussi de partenaires, fournisseurs ou clients que je connaissais très bien et qui eux avaient donc
sans doute été infectés.
Ainsi fut en ces jours de virulence extrême mon vécu face au virus Mydoom-A. Ce que j’ai appris
plus tard, c’est qu’en réalité je ne risquais rien car notre anti virus d’entreprise avait très tôt détecté le
virus et remplaçait systématiquement le fichier en attachement des e-mails, contenant la charge «
utile » par un fichier texte qui avertissait que la pièce jointe avait été mise en quarantaine suite au
soupçon d’une attaque virale.
Tirons la principale leçon de cette histoire. La meilleure défense contre vers et virus, de même que
contre d’autres menaces est d’avoir systématiquement, par défaut, un instinct sécuritaire. Mieux vaut
perdre un e-mail, effacé à tort, que perdre ses données et peut-être son réseau. Mieux vaut
s’abstenir de télécharger par le Web un fichier important mais sans origine certifiée que chercher
ensuite ses images et ses fichiers PowerPoint et Word qui auront disparu et toujours au moment où
on en a un besoin indispensable. Si l’e-mail effacé était vraiment très important, l’expéditeur vous
contactera en s’étonnant de n’avoir pas eu de réponse de votre part. Vous ne vous serez pas fait un
ami, mais vous aurez peut être évité d’avoir comme ennemis toutes vos connaissances dont vous
avez entré les adresses e-mail dans vos listes de distribution.
Prenons une analogie : si on vous disait que dans le courrier, celui à base de papier à lettre qui
aboutit dans votre boîte, il pouvait y avoir des lettres piégées et qu’il suffisait pour le prouver de
remarquer tous vos voisins avec des gueules de travers pour ne pas s’en être méfié, ouvririez-vous
sans méfiance les enveloppes dont vous n’êtes assurés ni de la provenance ni de l’expéditeur ? Il
faut réagir de même avec les e-mails. Les virus de ces derniers temps, très médiatisés, vont au
moins présenter l’avantage de faire évoluer les mentalités. Le e-mail ne doit plus être considéré
comme un texte anodin dont la lecture au pire vous fait perdre du temps. Un e-mail qui vous éclate
en plein poste de travail peut marquer la fin de votre système d’information.
La deuxième leçon est qu’il est indispensable d’activer un antivirus d’entreprise efficace qui filtre les
échanges entre l’extérieur et votre réseau interne. Il faut aussi sur chaque poste de travail un
antivirus personnel qui filtre les échanges entre votre Intranet et le poste de travail, car on peut
supposer que vous ou quelqu’un sur votre réseau charge sur son poste de travail des fichiers à partir
de CDROM, de disquettes, ou simplement n’est pas aussi attentif que vous face à l’insécurité du
réseau et cet inconscient peut aussi vous envoyer des e-mails à partir de l’intérieur du réseau ?
Analysons ce qu’était ce fameux virus Mydoom. C’est un « mass-mailer », un virus qui, lorsqu’il vous
contamine, se communique automatiquement à toutes les adresses qu’il trouve dans vos listes de
messagerie. Si vous avez reçu de nombreux e-mails contenant ce virus, c’est que votre adresse email figure dans beaucoup de listes de messagerie d’ordinateurs qui ont été infectés. Comment saiton qu’un message reçu contient ce virus ? Par le titre d’abord, qui présente plusieurs variantes : « hi
», « hello » ou carrément comme nous l’avons déjà évoqué « Mail Transaction Failed » ou « Mail
Delivery System ». Ensuite le e-mail, dont le corps du texte parfois contient des caractères unicode,
donc pas toujours lisibles, est accompagné d’une pièce jointe par laquelle le mal arrive. Un
exécutable joint à un message ne doit jamais être exécuté car la présomption de virus est maximale
surtout si l’extension de la pièce jointe est un ".exe". Mais si c’est un « .zip », vous pensez que
l’ouvrir ne vous engage à rien puisque vous allez simplement exécuter votre utilitaire Winzip qui va
vous indiquer si l’extension du fichier attaché est ou n’est pas un « .exe » ? Attention !!! ce virus là,
et sans doute ceux qui suivront, sont très malins. Vous croyez exécuter un « .zip », mais le nom du
fichier « document.zip », par exemple, est suivi de quelques dizaines d’espaces pour se terminer par
… sa vraie extension « .exe » ! Suivant la configuration de votre écran, soit cette extension est
cachée dans la partie non visible de votre écran sur la droite, soit elle n’apparaît que sur la ligne du
dessous et jamais vous n’allez remarquer cette ligne ! Vous n’avez alors plus que vos yeux pour
pleurer sur votre écran qui reste figé, sur le « Ctrl Alt Supr » qui met un temps infini à agir ou sur vos
fichiers perdus !
Mais rassurez-vous, dans le cas de Mydoom-A, chez vous point de fichiers perdus, car
ce n’est pas vous qui êtes visés en réalité, vous n’êtes dans cette histoire qu’un tremplin
malchanceux bien que coupable d’avoir été naïf ou inconscient devant l’insécurité du
réseau. La cible de Mydoom-A, ce n’est pas vous donc, c’est SCO, cet éditeur de
15 nov 2004
37/189
logiciel de la lointaine côte ouest des Etats Unis qui affirme avoir des droits sur le système UNIX, se
mettant à dos en particulier la communauté des logiciels libres. Mydoom-A installe sur les postes de
travail une porte dérobée qui lui permet, à une date déterminée, d'utiliser votre poste contaminé pour
bombarder de requêtes le serveur Web de SCO, le saturer et le faire tomber. L’attaque s’est
déclenchée le 1er février. Le serveur Web de SCO a été agressé ce jour là par plusieurs centaines
de milliers de postes de travail qui le sollicitaient sans relâche, et SCO a préféré retirer son serveur
Web du paysage Internet. Si votre poste de travail était contaminé et que vous étiez connectés sur le
réseau ce 1er février, vous avez peut-être participé à votre insu à cette curée.
2.6.3
Les logiciels espions
On se pose parfois la question : « mais pourquoi ce logiciel si puissant est disponible gratuitement
en téléchargement sur l’Internet ? Qui finance ses développements ? » Cette question est pertinente
quand on connaît le coût de développement d’un logiciel !
La réponse est parfois aussi simple qu’inquiétante. Le développement du
logiciel gratuit peut être financé par un logiciel espion qui s’installe, à l’insu de
l’utilisateur, et qui renseigne une régie publicitaire ou pire un organisme de
guerre économique travaillant pour un concurrent, sur vos habitudes de
navigation, parfois même lui envoie des fichiers récupérés sur votre disque.
Vous doutez que ce scénario puisse refléter la réalité ?
Ne vous êtes-vous jamais étonné quand parfois, votre poste de travail fait des
accès disque ou réseau, alors que vous ne pressez aucune touche, et ne
sollicitez pas votre souris ? Ne vous êtes-vous jamais étonné que votre curseur se bloque par
intermittence, suite à l’occupation de vos ressources par quelque chose qui vous échappe ?
Parfois c’est bien dû à un logiciel espion, qui tapi au fond de votre disque, se réveille pour envoyer à
l’extérieur les renseignements confidentiels que votre disque contient. Aujourd’hui, alors que se
déchaîne la guerre électronique, où le renseignement est roi, la menace omniprésente sur le réseau,
et les hackers malveillants ou professionnels toujours plus nombreux, il ne faut plus négliger ce type
de menace.
Vous doutez encore que votre disque puisse contenir un ou plutôt plusieurs logiciels espions ?
Téléchargez et installez le logiciel gratuit ad-aware qui se trouve sur le web www.lavasoft.de
(rassurez-vous, celui-ci ne contient pas de logiciels espions, et passe pour être le meilleur des
logiciels pour trouver et éradiquer de votre disque ce genre de menaces). Vous serez fixé ! et peutêtre après éradication de ces logiciels espions, votre poste de travail offrira de meilleures
performances.
2.7
LE CAS DU RESEAU SANS FIL
Auteurs Michèle Germain (ComXper) [email protected] et Alexis Ferrero (OrbitIQ) [email protected]
2.7.1 La "révolution" radio
2.7.1.1 Le WLAN dans le paysage informatique
Le nomadisme évoqué ci-dessus se faisait sur un réseau filaire, par conséquent dans un espace
connu, relativement bien maîtrisé. L'avènement des réseaux voix et données radio - les WLAN change les habitudes des utilisateurs et étend encore leur rayon d'action en faisant abstraction du fil.
L'utilisateur, de nomade qu'il était, devient mobile. La presse, la fréquentation des "hotspots", sont
les signes de l'engouement du public pour le WLAN.
Les WLAN reposent en majorité sur les standards 802.11b et 802.11g de l’IEEE, plus
communément connus sous le label « Wi-Fi ».
Les utilisations du WLAN sont nombreuses. Citons tout d'abord le "hotspot", c'est à dire
l'infrastructure radio ouverte dans un lieu public qui permet à chacun de se connecter à l'Internet ou
à l'Intranet de son entreprise. L'intérêt est évident à la fois pour l'usager et pour le fournisseur du
service, celui-ci pouvant offrir l'accès Réseau à un nombre quasi illimité d'usagers et avec un
investissement minimal, c'est à dire sans avoir à déployer des câbles et des prises. Les hotspots,
15 nov 2004
38/189
dont l'usage a été autorisé en France fin 2002 par l'ART, se multiplient dans les lieux de passage
(aérogares, gares, hôtels, cafés, etc.).
Une autre application est le WLAN privé pour l'usage exclusif d'une entreprise ou d'un particulier. Le
WLAN peut être utilisé seul pour constituer un réseau avec un minimum d'infrastructure. Cette
configuration est souvent utilisée dans le domaine résidentiel ou SoHo, en premier lieu pour partager
un accès ADSL entre plusieurs stations, l’interconnexion des stations n’étant pas nécessairement le
besoin premier.
En entreprise, le WLAN est adopté pour offrir un service de mobilité informatique (présence au
chevet des malades en milieu hospitalier, inventaires en entrepôt, accueil de visiteurs dans des
centres de conférence, etc.). Le WLAN constitue également une solution complémentaire au LAN
filaire pour couvrir des zones difficiles d'accès ou difficiles à câbler. En particulier, le WLAN est
apprécié dans des bâtiments historiques classés où les possibilités de câblage sont limitées et
strictement contrôlées.
Des liaisons point à point Wi-Fi sont parfois mises en œuvre pour réaliser des ponts radio entre les
réseaux filaires de bâtiments séparés.
Enfin, la plupart des ordinateurs portables sont maintenant équipés nativement d’une carte ou d’un
module Wi-Fi intégré pour se raccorder aux réseaux Wi-Fi. « Centrino » de Intel est un package
technologique Wi-Fi qui équipe de nombreux ordinateurs.
2.7.1.2 Constitution d’un WLAN
Dans la configuration considérée dans ce document, le WLAN est constitué de points d’accès (AP)
connectés sur une infrastructure filaire qui peut supporter des équipements fixes (serveurs, postes
fixes…). Le schéma ci-dessous représente un WLAN dans sa forme la plus simple.
2.7.1.3 Les spécificités d'un réseau radio
Les menaces qui pèsent sur le poste nomade pèsent également sur le poste mobile, mais il existe
d'autres dangers inhérents au support radio.
La propagation des ondes radio
Un réseau filaire est relativement bien maîtrisé, dans le sens où il se développe sur une
infrastructure fixe, le câble, dans un lieu donné, le bâtiment, et est accessible uniquement
depuis un nombre limité de points connus, les prises. Ceci permet notamment d'interdire toute
utilisation frauduleuse du réseau en dehors des lieux qu'il dessert.
Il n'en est pas de même du réseau radio puisque les ondes ne connaissent ni murs ni frontières
: une borne placée devant une fenêtre, rayonne sans vergogne dans la rue, les murs laissent
toujours passer une partie du signal, et la portée du réseau dépasse largement la zone à
couvrir. Sans précaution, un pirate peut se connecter sur votre réseau, accéder à l’Internet
depuis votre propre compte et intercepter les transactions entre vos ordinateurs.
Les perturbations radio
15 nov 2004
39/189
Un autre problème du WLAN est la qualité de la transmission. Les réseaux de type Wi-Fi
fonctionnent dans une bande de fréquences d'usage libre qui, contrairement aux fréquences
DECT ou GSM, n’est pas réservée à des applications déterminées, en l’occurrence aux WLAN.
Ainsi, votre réseau radio pourra-t-il être perturbé par celui du voisin, mais aussi être perturbé ou
perturber nombre d'utilisations sans rapport avec le Wi-Fi : télécommandes (portails, voitures),
systèmes d'alarmes, fours à micro-ondes, radioamateurs, etc.
En dehors de ces éléments perturbateurs, la transmission radio est également soumise à ses
propres aléas. En particulier, les conditions météorologiques peuvent être à l'origine d'une
dégradation de la transmission.
La plupart des problèmes liés à la transmission radio (mauvaise propagation, perturbations…)
peuvent être contournés par une étude préalable d'ingénierie radio. Celle-ci vise à rechercher le
meilleur emplacement pour installer les points d’accès en fonction de la configuration des lieux
et de la nature de l'environnement (murs, mobilier métallique). Il sera aussi nécessaire de
prendre en compte la présence d'équipements fonctionnant dans la même bande de fréquence
avec une attention particulière pour les équipements Bluetooth qui fonctionnent dans la même
bande de fréquences.
Le facteur humain
Cette menace, strictement humaine, n'en est pas moins réelle. L'usager mobile ou nomade qui
utilise son ordinateur dans des lieux publics (gare, aéroport…), le fait parfois pour le plus grand
intérêt de voisins indélicats et non innocents qui ont les yeux rivés sur l'écran. Les moins
scrupuleux n’hésiteront pas à établir une liaison pirate avec l’ordinateur à l’insu de son
propriétaire.
2.7.1.4 Le contrôle de l’accès au réseau
L’accès au réseau radio est contrôlé au cours de différentes étapes :
L’attachement
C’est l’opération par laquelle le point d’accès et le poste mobile se reconnaissent mutuellement
en tant que constituants d’un même réseau. En effet, si plusieurs réseaux se
chevauchent, il est bon de s’assurer que l’on se connecte sur le sien et non sur
celui du voisin.
L’attachement joue en gros le rôle de la prise sur un réseau filaire. Il est basé
sur l’échange d’un identifiant réseau, SSID pour un réseau Wi-Fi.
L’authentification
L’authentification permet de s’assurer de l’identité et des droits de l’usager pour lui
accorder le droit de se connecter, en regard de la politique d’utilisation du réseau.
Elle est généralement réalisée par un mécanisme défini par le protocole et peut aussi
mettre en œuvre des solutions additives basées sur des protocoles d’authentification
plus rigoureux.
La phase d’authentification peut également être supprimée dans des réseaux qui, tels les
hotspots, ont pour vocation de recevoir tout utilisateur qui en fait la requête. Elle doit alors se
faire au niveau du portail Web (niveau applicatif).
La communication
Une fois l'utilisateur authentifié et autorisé, et donc associé à une catégorie, toutes les
transactions qu'il va opérer au travers du WLAN sont encore soumises à un niveau élevé de
contrôle et de surveillance.
Il s'agit d'une part de se protéger contre les écoutes indélicates (eavesdropping), mais
aussi potentiellement contre les attaques véhiculées par le trafic lui-même.
La protection contre les premiers risques consiste à crypter les communications, celle
contre les seconds consiste à contrôler le contenu du trafic contenu à l'aide d'un
firewall et/ou d'un IDS (Intrusion Detection System) orienté sans-fil.
15 nov 2004
40/189
Le cryptage
Le protocole prévoit un chiffrement mis en œuvre sur les trajets radio de
l’information, c’est à dire entre les points d’accès et les postes mobiles. Dans un
réseau Wi-Fi, le chiffrement est réalisé par le WEP ou l’AES. Le chiffrement peut
également être inhibé, notamment dans les hotspots.
Il est également possible d’appliquer un chiffrement de bout en bout qui se
superpose au chiffrement radio, au moyen d’un protocole de niveau applicatif (SSL) ou au
niveau réseau (IPSec).
2.7.2 Les préoccupations de l’Administrateur Réseau
La sécurité est la préoccupation critique d'un Administrateur Réseau confronté au Wi-Fi, d'une part
parce que les faiblesses des technologies ont été très largement rapportées et
commentées par la Presse, d'autre part parce qu'il s'agit d'une approche effectivement
nouvelle du sujet qui présente une grande diversité.
Comme nous l'avons vu, le Wi-Fi repose sur une transmission radio, généralement
omnidirectionnelle, de type broadcast, (diffusion générale) où tout le monde peut
écouter toutes les communications, voire transmettre des paquets en prétendant être
un autre équipement (impersonation). A la différence des réseaux locaux de ces dernières années
qui ont vu le remplacement du câble Ethernet par une arborescence de commutateurs, le WLAN est
implicitement ouvert et par là, présente une forme de vulnérabilité spécifique. Les constructeurs et
organismes de standardisation se sont donc employés à développer des méthodes de protection
capables de fournir un niveau de sécurité comparable aux réseaux "câblés", voire supérieur.
Pour un administrateur réseau, le développement d'un réseau Wi-Fi en extension de son LAN câblé,
ne peut être envisagé s'il présente une vulnérabilité supérieure à l'architecture déjà en place ou bien,
si le réseau Wi-Fi apparaît comme un maillon faible, mettant en péril l'ensemble de l'infrastructure
(tel un cheval de Troie).
En entreprise, la connexion d'un poste Client au réseau Wi-Fi est considérée comme celle d’un
poste nomade via modem téléphonique, donc au travers d'une infrastructure non-sûre. On applique
donc des procédés très comparables : authentification forte de la connexion et cryptage des
communications.
Un certain nombre de compléments fondamentaux est apporté par des solutions spécialisées,
comme des filtres ACL, un firewall, un IDS, parallèlement à la détection de tout événement pouvant
être la prémisse d'une attaque Wi-Fi.
2.7.3 Risques et attaques
Du fait des faiblesses des solutions standards, de nombreux risques existent en Wi-Fi, dont
typiquement les Fake AP, Rogue AP, Honey Pot, Man in the Middle dont on parle le plus souvent,
mais aussi les attaques par déni de service (DoS) et intrusion.
Le piratage du WLAN peut viser plusieurs objectifs, dont le premier est de disposer gratuitement
d'un accès Internet en se connectant depuis l'extérieur sur le réseau radio d'un particulier ou d'une
entreprise. Outre l'aspect financier, l'attaque peut mener au déni de service, si le hacker occupe
toute la bande passante, par exemple en envoyant des spams. Le hacker peut également mener
des attaques sur l’Internet et visiter des sites terroristes ou pédophiles en toute impunité… puisque
le responsable identifié sera le propriétaire du réseau attaqué !
Les autres attaques relèvent du désir de nuire en s'infiltrant sur le réseau dans le but d'accéder à
des informations, voire même de modifier ou détruire ces informations.
2.7.3.1 Dénis de service
Ces attaques visent à rendre le réseau inopérant. Contre elles, il n'existe pas de moyen de se
protéger et l'administrateur est contraint de se déplacer et d'agir sur place, éventuellement aidé
d’outils de localisation.
Le brouillage (jamming)
15 nov 2004
41/189
Le brouillage d’un réseau radio est relativement facile à réaliser avec un équipement radio
qui émet dans la même bande de fréquence que le réseau Wi-Fi. Il ne présente aucun
risque d’intrusion, mais constitue un déni de service efficace. Au-delà d’une certaine
puissance, le brouillage peut saturer les équipements physiques du réseau attaqué et le
rendre totalement inefficace.
Accès en rafale
Les attaques DoS, qui ne sont pas propres au sans-fil, consistent à bloquer l'accès au réseau
par un trafic ou des connexions malveillantes en rafale (trames d'authentification/association), en
dégradant très significativement la qualité des communications ou en générant une charge de
traitement sur les équipements réseau ou client (requêtes de probe). Des outils permettent de
détecter ce genre de flux, de générer un avertissement et d’aider l'administrateur à localiser la
source de l'attaque. Certains commutateurs Wi-Fi sont capables de se défendre d’eux-mêmes
en bloquant l’accès Wi-Fi dès détection d’un flux anormal de trafic entrant.
Spoofed deauthenticate frames (désauthentifications forcées)
Ce type d’attaque consiste à générer des trames qui visent à annuler l’authentification d’un
poste mobile. Celui-ci ne peut plus se reconnecter sur le réseau.
Une autre attaque consiste à envoyer des trames broadcastées, c’est à dire sans adresse
définie, qui attaquent de la même façon tous les postes mobiles à portée.
2.7.3.2 Intrusions
L’Intrusion Client
Cette attaque consiste à exploiter les vulnérabilités du client pour accéder au réseau.
Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre
la partie WLAN et le reste de l'infrastructure réseau, qui garantit un niveau de sécurité au moins
égal à celui de l'environnement câblé.
L’Intrusion Réseau
C'est une des attaques les plus critiques. Une intrusion réseau vise à prendre le contrôle des
ressources réseau d'une entreprise.
Les protections contre ce risque sont les systèmes IDS dédiés au Wi-Fi, qui vont chercher à
corréler plusieurs évènements douteux pour déterminer si le réseau ou un système particulier
est en train de subir une intrusion
2.7.3.3 Falsification des points d’accès
Le Fake AP (faux AP)
Le faux point d’accès (Fake AP) n'est pas un véritable AP, mais une station du réseau.
Des logiciels (généralement sous Linux) permettent de faire apparaître l'interface Wi-Fi d'un
poste client comme un point d’accès et de configurer son SSID et adresse MAC dans un but
d'impersonation.
Le PC du hacker joue le rôle de point d’accès en usurpant le SSID du réseau et peut donc
récupérer les connexions Wi-Fi des utilisateurs :
• pour se livrer à une attaque man-in-the-middle en
reproduisant donc au fil de l'eau les trafics vers
le réseau WiFi, et récupérer ou déduire les
données de sécurité,
• pour récupérer les mots de passe sur une page
Web identique au serveur d'authentification (cas
d'une authentification Web),
• ou simplement pour pirater les PC clients s'il n'y a aucune sécurité.
Le Rogue AP (AP indésirable)
15 nov 2004
42/189
La faille de sécurité dite Rogue AP est la plus redoutée en entreprise.
L’attaque consiste à brancher sur le réseau un point d’accès pirate qui diffuse dans une zone
où peut se trouver le hacker. Elle nécessite certaines complicités au sein de l’entreprise.
La faille de sécurité peut aussi être ouverte
« innocemment » et sans intention malveillante
quand un utilisateur du réseau, par commodité au
niveau de ses bureaux par exemple, connecte un
AP sur la prise Ethernet murale, lui conférant une
certaine mobilité avec son ordinateur à l'intérieur de
la cellule ainsi créée. Ces installations pirates sont
particulièrement dangereuses parce qu'elles ouvrent
le réseau de l'entreprise au monde Wi-Fi,
généralement avec un niveau de sécurité insuffisant.
Au pire, l'AP est un ordinateur qui peut fonctionner comme un pont, créant un Wireless Bridge,
à savoir un lien entre le réseau Wi-Fi et le réseau local câblé.
Le pot de miel (honeypot) inversé
L’attaquant installe dans la zone de couverture du réseau radio un point d’accès avec un signal
plus fort qui cherche à apparaître comme faisant partie intégrante du réseau de la société pour
attirer les postes clients (utilisation du même SSID), et les laisser se connecter (au niveau
WLAN).
De cette façon le pot de miel espère pouvoir espionner la phase de connexion, pour en déduire
les paramètres utiles, quitte à effectivement reproduire simultanément la phase de connexion
vers le réseau réel (cas du Man in the Middle).
2.7.3.4 Impersonation (Usurpation d’identité)
Ce type d'attaque consiste à prendre la place d'un poste mobile ou d'un point d’accès valide dans le
but d'accéder au réseau ou aux services. Elle peut être la conséquence d’une attaque de type Fake
AP.
Elle peut se faire au niveau du poste mobile en usurpant son adresse MAC ou au niveau du point
d’accès en usurpant son adresse MAC et son SSID.
Dans le pire des cas, les éléments du réseau n'étant pas aisément localisables en transmission
radio, un AP frauduleux peut inviter un client à se connecter au réseau par son accès et en déduire
les éléments d'authentification de ce client.
2.7.3.5
Probing et Découverte du réseau
Bien que la découverte du réseau soit une des fonctions initiales normales de Wi-Fi, c'est aussi une
des premières étapes qu'un intrus doit accomplir, et au cours de laquelle il faut essayer de le
détecter, même s'il est assez peu "bavard".
Le Wardriving et le Warchalking
15 nov 2004
43/189
Les pratiques de Wardriving utilisées par les hackers qui se déplacent avec un poste mobile à
l'écoute des réseaux radio pour les repérer et les signaler sur une carte sont bien connues.
L'association à un système GPS permet de dresser une cartographie des
points de présence de réseaux radio.
La pratique du Warchalking consiste à matérialiser la présence de ces
réseaux en taggant des signes convenus dans les rues :
Les équipements nécessaires se trouvent aisément dans le commerce et
des logiciels libres de Wardriving sont disponibles sur l’Internet. Certaines
listes de hotspots trouvées sur l’Internet ne donnent pas que les hotspots
« officiels » des cafés et restaurants, mais incluent également des sites
victimes du Wardriving.
Des équipements sont capables de détecter l'emploi des applications de
Wardriving les plus répandues (Netstumbler, Wellenreiter et AirSnort sous
Linux) grâce à leur "signature" spécifique, et d'envoyer un message
d'avertissement à l'administrateur du réseau. A ce stade aucune agression n'a encore été menée
contre le réseau, mais il est indispensable de savoir qu'il est sous "observation" extérieure.
15 nov 2004
44/189
Le Warflying
L’emploi d’antennes omnidirectionnelles pour les AP Wi-Fi permet une excellente propagation
de ceux-ci à la verticale, d’autant plus excellente qu’il ne s’y rencontre guère d’obstacles. Les
hackers les mieux équipés pratiquent ainsi le Warflying depuis des hélicoptères ou de petits
avions volant à 1500 – 2500 pieds.
2.7.3.6 Récupération des informations sensibles du réseau
Par « informations sensibles », on entend les informations qui vont permettre au hacker de se
connecter au réseau attaqué, à recueillir en clair les informations qui y circulent, d’introduire luimême ses informations sous forme de virus, de vers, voire de données erronées ou encore de
détruire des données.
L’intrusion par sniffing
Le principe est le même que sur les réseaux Ethernet et utilise un sniffer qui capture les
messages d’ouverture de session pour récupérer le nom et le mot de passe. Il suffit au sniffer
d’être dans la zone de couverture radio du réseau, soit dans un rayon d’une centaine de mètres
autour d’un point d’accès. Munis d’un amplificateur de signal (une simple boite de biscuits peut
faire l’affaire), les sniffers ont la possibilité de travailler avec des signaux particulièrement
faibles, ce qui leur permet d’augmenter cette distance. L’écoute étant passive, l’attaquant a peu
de chances de se faire remarquer.
La zone de couverture du réseau doit être comprise dans son sens le plus large. Il ne s’agit pas
seulement de la couverture fournie par les points d’accès, mais aussi de la zone dans laquelle
rayonnent les terminaux raccordés au réseau, même éloignés. Ainsi, un usager travaillant dans
un hotspot d’aéroport loin de son entreprise devient une cible potentielle pour un hacker et
l’Intranet de la victime peut être alors attaqué par rebond depuis son poste nomade. L’attaquant
peut ensuite se connecter comme un utilisateur légitime (spoofing) puis envoyer toutes sortes
de commandes, virus, etc. sur le réseau.
Un moyen plus pernicieux consiste à forcer la déconnexion abusive d'un client pour pouvoir
déduire les éléments d’authentification et de chiffrement en observant la phase de reconnexion
qui s'ensuit.
Écoute malveillante (Eavesdropping)
15 nov 2004
45/189
L’écoute malveillante consiste à observer et décoder le trafic du réseau. Comme évoqué
précédemment, certains modes de cryptage possèdent des faiblesses intrinsèques qui
permettent de "craquer" le codage (le temps de traitement est inversement proportionnel à la
quantité de trafic espionné). La principale protection est l'emploi d'un cryptage fort. Au WEP
standard, peu robuste, on préférera un VPN SSL ou IPSec.
2.7.3.7 Attaque au niveau de la station
Attaque par rebond
Le hacker se connecte à la station et
constitue avec elle un réseau « ad-hoc »,
c’est à dire sans infrastructure de distribution,
et peut accéder au réseau de l’entreprise par
rebond sur cette station.
Ce type d’attaque n’est pas propre au poste
mobile. Des postes fixes équipés d’une
option WiFi non désactivée sont tout autant
vulnérables.
2.8
L’INGENIERIE SOCIALE
Auteur : Franck Franchin (France Telecom) [email protected]
L’ingénierie sociale (ou « social engineering ») est une pratique qui consiste à exploiter le maillon
souvent le plus faible d’un système ou d’un processus de sécurité : le « facteur humain ».
Nous allons présenter quelques techniques couramment utilisées par ces piratages qui préfèrent
« hacker » des humains plutôt que des systèmes informatiques.
On peut distinguer deux types d’attaques en ingénierie sociale :
l’attaque ciblée sur une entreprise ou un individu – Ce type d’attaque repose sur la
connaissance précise d’une organisation, des pratiques spécifiques à des métiers dans une
volonté déterminée de nuire ou de tirer un profit précisément identifié.
l’attaque de masse, sans cible spécifique (bien qu’il puisse exister des cibles génériques :
banques, organisme de défense nationale) – Ce type d’attaque est basé sur des
comportements humains et/ou internautes bien connus (lettre pyramidale, pièce jointe pour
adultes, usurpation d’identité non détectée)
Avant toute attaque de type ingénierie sociale, l’agresseur va chercher à se renseigner sur les
organisations et/ou les personnes qui sont ou seront ses cibles. Il va utiliser des attaques de type
rebond : une information disponible permet d’en obtenir une autre, etc. Ces informations sont
obtenues soit par une « attaque humaine », soit par une « attaque informatique » qui utilise de la
technologie pour tromper une personne (exemple : site factice Ebay). Elles permettent entre autre
d’humaniser la relation avec la victime potentielle en obtenant des information de « proximité » : date
et lieu de naissance, club de sport, marque du véhicule, nom de la petite amie, etc.
Une fois ces informations glanées et les victimes identifiées, voici quelques techniques et méthodes
bien connues que va mettre en œuvre l’agresseur :
L’approche directe – L’agresseur va entrer en relation avec sa victime et lui demander
d’effectuer une tâche particulière, comme lui communiquer un mot de passe. Quand bien même
le taux d’échec de cette méthode est important, la persévérance de l’attaquant est souvent
statistiquement couronnée de succès.
Le syndrome « VIP » - L’attaquant va se faire passer pour une personne très importante et
légitime (directeur de l’entreprise, officier de police, magistrat, etc.) pour faire pression sur sa
victime et par exemple demander un accès à distance au système d’information parce qu’il a un
urgent besoin de remettre un document confidentiel au Président
15 nov 2004
46/189
L’utilisateur en détresse – L’attaquant prétend être un utilisateur qui n’arrive pas à se connecter
au système d’information (stagiaire, intérimaire). La victime croit souvent rendre service à cette
personne fort sympathique et dans l’embarras.
Le correspondant informatique – L’agresseur se fait passer pour un membre de l’équipe du
support technique ou pour un administrateur système qui a besoin du compte utilisateur et du
mot de passe de sa victime pour effectuer par exemple une sauvegarde importante.
L’auto-compromission (RSE – Reverse Social Engineering) – L’attaquant va modifier
l’environnement de sa victime (ordinateur, bureau physique) de manière aisément détectable
afin que ce dernier cherche de l’aide en la personne de l’agresseur. Le contact s’effectue via
une carte de visite laissée sur place, un courrier opportun ou un coup de fil anodin.
Le courrier électronique – Deux types d’attaque sont possibles : le code malicieux (virus, vers)
en pièce jointe qu’il est nécessaire d’ouvrir (hors exception) pour l’activer ou les hoax.
Le site Internet – Un site web de type jeu/concours peut demander à un utilisateur de saisir son
adresse de courrier électronique et son mot de passe. Statistiquement, le mot de passe ainsi
donné est très proche, voire identique, au mot de passe de l’utilisateur sur son système
d’information.
Le vol d’identité – L’attaquant a obtenu suffisamment d’information sur la victime ou une des
relations de la victime pour s’identifier et s’authentifier. Il lui suffit alors d’endosser cette nouvelle
identité.
Au cours de ces dernières années, cet art de la persuasion s’est transformé quelquefois en art de la
menace. Certains attaquants ont eu recours à des méthodes proches du chantage ou de l’extorsion,
en menaçant par exemple leur victime de les dénoncer à leur patron suite à des échanges de
fichiers à caractères pornographiques.
Malgré le sentiment commun « ça n’arrive qu’aux autres », il n’est pas si facile de se protéger contre
des attaques de types ingénierie sociale. Les agresseurs sont souvent très experts dans leur
démarche, jouent sur le registre de l’entraide et de l’humain, la plupart du temps sans être agressifs,
ont appris à improviser, à faire appel aux meilleurs sentiments de leurs victimes et surtout
construisent souvent une première relation inter-personnelle avant de rechercher réellement à
soutirer des informations.
Quelques bonnes pratiques de sensibilisation permettent toutefois de réduire les risques.
Tout d’abord il faut informer sur les méthode utilisées, puis il peut être nécessaire de fournir
quelques lignes directrices pour les contrer :
La politique de sécurité de l’information doit clairement définir les rôles et responsabilités de
chacun, comme par exemple les droits d’accès et les droits de savoir des équipes de support
technique.
Les responsables doivent accepter de limiter leurs périmètres au « besoin de savoir » et cette
limitation doit être connue de tous dans l’entreprise.
La politique de nommage des adresses de courrier électronique, des applications, des rôles et
plus généralement la politique de diffusion des annuaires de l’entreprise doit être renforcée et
contrôlée vis à vis de l’extérieur.
Les utilisateurs doivent prendre l’habitude d’identifier et d’authentifier les personnes, les messages
ou les applications qui leur demandent d’effectuer certaines tâches sensibles. Une procédure ad-hoc
doit être aisément accessible ainsi qu’une autre permettant d’informer leur administrateur en cas de
doute.
2.9
LE CYBER RACKET
Auteur : Franck Franchin (France Telecom) [email protected]
Tout utilisateur de l’Internet doit désormais faire face à une cybercriminalité galopante, terme qui
regroupe l’ensemble des actes de nature délictuelle et criminelle qui sont perpétrés via la Toile. A
l’image de sa grande sœur aînée du monde physique, la cybercriminalité est constituée aussi bien
15 nov 2004
47/189
par les infractions de blanchiment d’argent, de pédophilie, d’usage de faux sur Internet en passant
par l’attaque par déni de service d’un site web ou encore de chantage. Le spectre couvert est large
et l’entreprise tout comme le particulier en sont donc potentiellement victimes.
2.9.1
La prolifération des risques
La prolifération des cyber-risques s’appuie principalement sur l’augmentation des abonnés au haut
débit via l’ADSL, technologie qui a permis d’accroître le temps passé à surfer et a créé la notion de
« connexion permanente » encore inconnue du particulier il y a quelques années. Profitant de ces
conditions, un nouveau délit informatique sévit actuellement sur le web : le cyber-racket ou la
cyber-extorsion. Selon le code pénal français, « l’extorsion est le fait d’obtenir par violence,
menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la
révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. L’extorsion est
punie de sept ans d’emprisonnement et de 100 000 euros d'amende ». Appliqué au domaine
informatique, le cyber-racket consiste à menacer une personne physique ou morale via son courrier
électronique ou son site web pour lui soustraire de l’argent. Issus principalement d’Europe de l’Est,
du Brésil ou de la Chine, leurs auteurs tirent leurs motivations aussi bien de l’argent escompté d’une
telle escroquerie que de la réputation qu’ils peuvent en jouir dans l’univers underground de la
cybercriminalité. Tout un nouvel écosystème s’est rapidement mis en place. Les chimistes ont été
remplacés par des hackers et les passeurs par des prête-noms qui ouvrent des comptes bancaires
et possèdent des adresses de courrier électronique. Les lieux des infractions sont, pour l’instant,
concentrés sur les entreprises aux États Unis et à Londres mais tous les États occidentaux sont
concernés potentiellement par ces nouveaux délits. Plusieurs cas ont défrayé la chronique outremanche et outre-atlantique comme lors du Superbowl ou de certaines courses hippiques.
2.9.2
Les approches
Les approches sont différentes selon que la cible soit une personne morale, un salarié d’un
personne morale ou un particulier, personne physique.
Le mode opératoire du cyber-racket appliqué à l’entreprise est assez simple. En effet, des
attaques par déni de service distribué (DDoS) via des machines compromises (dites zombies) sont
capables de bloquer pendant de longues périodes l’accès à un site ou à un réseau d’entreprise en le
bombardant de fausses requêtes. Les criminels réclament ensuite de l’argent à leurs victimes en
échange de l’arrêt des attaques. De cette façon, l’entreprise qui crée habituellement de la richesse
grâce à son site web parce qu’elle offre la possibilité de parier en ligne ou de commander à distance
différents produits, subit l’indisponibilité de ses offres de services et, par conséquent, l’insatisfaction
de ses clients et une perte d’exploitation. Concrètement, les racketteurs s’attaquent principalement
aux casinos en ligne et aux sites de commerce électronique, mais également à des victimes plus
inattendues comme le port américain de Houston.
Autre exemple connu, durant le Superbowl 2003 aux États-Unis, un racketteur a menacé plusieurs
sites de paris en ligne d’une attaque en déni de service s’ils ne s’acquittaient pas d’une somme
allant de 10 000 USD à 50 000 USD.
D’un autre côté, les particuliers et notamment les collaborateurs d’une entreprise doivent
également faire face à ces nouvelles menaces. Là encore, le mode opératoire est assez simple. Le
courrier électronique est le moyen retenu la plupart du temps par les cybercriminels pour extorquer
de petites sommes d’argent à des salariés. Le chantage peut porter sur la menace d’effacer des
fichiers importants sur leur ordinateur ou d’y copier des photographies pédophiles. Cette technique
débute en général par un courrier électronique demandant au destinataire de payer de 20 à 30 USD
sur un compte bancaire électronique. Bien évidemment, il ne faut surtout pas obtempérer à une telle
injonction car ce serait l’effet boule de neige assuré ! Le fait que l’objet de l’infraction soit une petite
somme conduit souvent les victimes à accepter et à ne pas vouloir ébruiter l’affaire.
2.9.3
Un exemple
Par exemple, F-Secure, un éditeur informatique finlandais spécialisé dans la sécurité, a révélé que le
personnel d’une grande université scandinave avait été la cible d’une tentative d'extorsion de ce
genre. « Selon Mikko Hypponen, directeur de recherche chez F-Secure, des membres du personnel
15 nov 2004
48/189
ont ainsi reçu un e-mail, apparemment en provenance d’Estonie, qui indiquait que l’expéditeur avait
découvert plusieurs failles de sécurité dans le réseau informatique et menaçait d’effacer un grand
nombre de fichiers, sauf si les destinataires payaient 20 euros sur un compte bancaire en ligne ». Ce
dernier poursuit et affirme même qu’ « avant, si vous vouliez extorquer de l’argent à des entreprises,
il fallait pirater leur système d’information et les persuader que vous aviez volé des informations.
Maintenant, il n'y a rien d’autre à faire que d’envoyer un e-mail ».
2.9.4
Les règles à suivre
Il convient d’observer certaines règles au sein de son entreprise pour éviter ce type de déboires :
Règle N°0 : Le cyber-chantage use du même cercle vicieux que le chantage physique. Une fois
rentré dans le jeu de votre adversaire, il est impossible d’en sortir facilement et c’est l’escalade
assurée.·Il vaut mieux refuser dès le début quand bien même la menace est mise à exécution et
informer qui de droit.
Règle N°1 : Ne pas répondre à un courrier électronique en provenance d’une personne
inconnue et/ou dont l’adresse de courrier électronique semble étrange (quand bien même il
n’est pas difficile pour un pirate de se « présenter » avec une adresse de courrier électronique
usurpée…).
Règle N°2 : Ne jamais verser de somme d’argent, si petite soit elle, sur un compte bancaire
d’un tiers non clairement identifié. Rappelons aussi que le protocole SSL mis en avant dans le
commerce électronique ne garantit pas l’honnêteté du possesseur du certificat serveur !
Règle N°3 : En cas de réception d’un courrier électronique de type cyber-racket, prévenir
immédiatement votre correspondant de sécurité.
Règle N°4 : Ne jamais donner ses coordonnées bancaires à une personne ou sur un site dans
lequel vous n’avez pas pleinement confiance.
2.10
LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS
2.10.1 Le spim
Le spim, petit frère du spam sévit sur les messageries instantanées. Radicati Group, a comptabilisé
400 millions de spims envoyés en 2003 et prévoit 1,2 milliard de spims en 2004
2.10.2 Le googlebombing
Encore une nouveauté qui consiste à fausser les résultats affichés par le moteur Google en
détournant ses méthodes de tri. Les internautes ont en effet trouvé un moyen astucieux de
bombarder Google pour améliorer le classement d'un site afin de le faire apparaître en tête des
résultats pour certaines requêtes précises. Une manipulation rendue possible grâce à une
particularité de Google qui prend en compte le nombre de redirection sur un site.
2.10.3 Les attaques sur les téléphones portables
Plusieurs éditeurs d'anti-virus ont annoncé début juin 2004 la découverte du premier virus pouvant
infecter les téléphones mobiles, baptisé Cabir, tout en soulignant qu'aucun effet néfaste n'avait été
détecté à ce jour. La filiale française de l'éditeur russe Kapersky a ainsi indiqué « qu'il semblerait que
ce ver a été développé par une association internationale regroupant des créateurs de virus se
spécialisant dans la création de virus nommés "proof-of-concept", c'est à dire pour démontrer
qu'aucun système, aucune technologie n'est fiable et à l'abri de leurs attaques ».
"Cabir" infecte le système d'exploitation Symbian dont sont dotés certains portables, notamment les
téléphones Nokia, et se propage via la technologie Bluetooth. Cette technologie de communication
radio sur courtes distances, par exemple pour relier sans fil un portable et une oreillette, équipe de
nombreux téléphones portables. Le ver est déposé sur le téléphone via Bluetooth sous la forme d'un
fichier SIS (extension d'un fichier jeu sur téléphone Nokia), en se faisant passer pour un utilitaire de
15 nov 2004
49/189
sécurité. Le fichier modifie le mot de passe automatique en déposant un lien vers un ver
transporteur. Si le fichier infecté est lancé, l'écran du téléphone affiche l'inscription "Caribe". Le ver
pénètre le système et s'activera à chaque fois que le téléphone est allumé. Cabir scanne ensuite
tous les téléphones utilisant la technologie Bluetooth et envoie une copie de lui-même au premier
appareil trouvé.
2.10.4 Les attaques sur les photocopieurs
Le photocopieur est trop souvent considéré au même titre qu’un distributeur de boisson. Qui le gère
? Qui gère les sociétés de maintenance ? Qui gère le contenu des disques «pleins » des
photocopieurs numériques ? Or des informations sensibles sont stockées sur les disques durs des
photocopieurs. Peu d’entreprises y songent.
Chaque fois que l'on copie un document sur un copieur moderne, une copie est enregistrée sur le
disque dur de la machine. Lorsque la période de location du matériel arrive à son terme, la machine
est vendue ou louée à une autre société avec les informations sensibles qu'elle contient.
Chaque année, 25 000 copieurs changent de mains.
De préférence à l’achat, de nombreuses sociétés louent les copieurs de pointe que nécessite leur
activité. Or, au cours du processus de copie, de nombreux modèles récents de copieurs utilisent la
technologie du disque dur pour stocker des images des documents photocopiés. Cela signifie que
des quantités importantes d'informations stratégiques sont stockées à tout moment sur le disque dur
de la machine. Compte tenu du fait qu'un contrat de location s'étend typiquement sur une durée de
trois à cinq ans, il est plus que probable qu'en 2004, des milliers de sociétés échangeront des
machines contenant des informations sensibles. Ces machines d'occasion seront louées ou vendues
par les sociétés de leasing à de nouveaux utilisateurs.
En 2004 un cadre a dérobé un disque dur de 60 gigabits (des dizaines de milliers de pages
photocopiés en formats connus sont des lors facilement récupérables). Un nouveau disque a été
placé à l'intérieur et la machine a rebooté sans problème. L'activité de ce cadre a attiré l'attention de
son employeur qui a demandé une décision de justice afin d'aller chez son nouvel employeur
constater à l'aide de la police les données d'un format particulier chez le concurrent. La police a
alors établi que les données trouvées chez le nouvel employeur provenaient de l'ancien employeur.
2.10.5 Le Peer-to-Peer
Le P2P, ou peer-to-peer, pourrait également se traduire par Pornographie plus Piraterie, puisque
95% des fichiers partagés sont pornographiques ou soumis à des droits d'auteur, voire les deux à la
fois, déclare Nigel Hawthorn, Directeur Marketing Europe chez Blue Coat. Le mépris des copyrights
mis en relief par notre enquête démontre la montée en puissance d'une vague de non-respect de la
part de certains employés qui se moquent des règles communes. Les employeurs doivent surveiller
et contrôler l'utilisation interne d'Internet, mais doivent en outre communiquer auprès de leurs
équipes sur les modes acceptables d'utilisation d'Internet.
L'enquête, menée auprès d'environ 300 utilisateurs d'Internet issus des secteurs publics et privés,
visait à évaluer l'utilisation du peer-to-peer dans les réseaux d'entreprise et à mettre en relief la
réduction de disponibilité en bande passante et la baisse de productivité engendrée par celle-ci.
Les applications peer-to-peer permettent à des utilisateurs d'interconnecter leurs PC et d'accéder
directement aux fichiers de chacun, sans passer par un serveur centralisé. Bien que le partage de
fichiers soit très répandu, il place l'entreprise face à une multitude de problèmes : dégradation de la
disponibilité réseau, diminution de bande passante, baisse de productivité et risque d'être poursuivi
pour possession d'informations soumises à droit d'auteur. Par exemple, le téléchargement en peerto-peer peut facilement mobiliser 30% de la bande passante d'un réseau.
15 nov 2004
50/189
3
LES CONTRE-MESURES ET MOYENS DE DEFENSE
Comme nous l’avons évoqué, l’anti-virus n’est pas le seul outil nécessaire pour sécuriser un réseau.
En fait toute une panoplie de solutions doit être envisagée pour offrir un niveau acceptable de
sécurité. L’idéal est de posséder une interface commune de gestion de ces outils et d’offrir à
l’utilisateur une totale transparence et un moyen unique de s’authentifier qui sera cascadé entre tous
les outils quand nécessaire.
Les noirs
Pion = virus, Tour = porte dérobée, Cavalier = cheval de Troie, Fou = Spam, Roi = le hacker (on note qu’il est ici en échec),
Dame = une punkette tenant une canne à pêche avec un mail à l’hameçon = phishing
Les blancs
Pion = disquette antivirus, Tour = Firewall, Cavalier = VPN, Fou = Cryptage, Roi = la justice, Dame = Pot de miel (royal)
3.1
LES FIREWALLS BASTION
Le firewall, appelé aussi pare-feu ou garde-barrière, est l’élément nécessaire, mais pas suffisant,
pour commencer à implémenter une politique de sécurité sur son Intranet. La première
caractéristique d’un Intranet est d’être un réseau privé. Mais si ce réseau privé présente des
connexions vers l’Internet ou vers tout autre réseau public, pourquoi doit-il être considéré comme un
réseau privé plutôt que comme une extension de l’Internet ou du réseau public ? … avec tous les
risques que cela entraîne.
Un firewall est un dispositif logiciel ou matériel (les appliances) qui filtre tous les échanges qui
passent par lui pour leur appliquer la politique de sécurité de l’entreprise. Cette politique, au niveau
du firewall consiste à laisser passer tout ou partie de ces échanges s’ils sont autorisés, et à bloquer
et journaliser les échanges qui sont interdits.
Bien entendu, la finesse et la granularité des éléments entrant en jeux dans le filtrage des échanges,
et la hauteur de vue du firewall pour traiter ce qu’il convient de laisser passer ou de bloquer,
mesurent la capacité d’un firewall à prendre en compte des politiques de sécurité qui peuvent être
très complexes, au moins durant leur phase de conception, dans l’esprit de ceux qui les
15 nov 2004
51/189
rédigent.
3.1.1
Les paramètres pour filtrer les données
L’idéal est bien sûr de pouvoir filtrer les données suivant le plus de critères possibles. Filtrer suivant
le protocole du paquet IP, qui caractérise l’application, est un minimum. Pour filtrer la messagerie ou
les accès Web, en leur attribuant des permissions ou des interdictions, on se base sur le protocole
applicatif utilisé au-dessus du protocole IP (SMTP pour la messagerie, HTTP pour le Web). Il est
ainsi possible de permettre à un utilisateur nomade, de l’extérieur, l’accès à son serveur de
messagerie et de lui refuser l’accès au Web situé sur l’Intranet.
Les Firewalls évolués permettent de filtrer aussi en fonction de l’origine et de la destination des
échanges. Ainsi suivant l’individu, ou le groupe auquel il appartient, suivant le serveur auquel il
souhaite accéder, situé de l’autre côté du Firewall, une politique de sécurité particulière sera
appliquée à cet individu.
Le filtrage en fonction du port est également une fonctionnalité importante. Le port est un nombre qui
caractérise une application. Par exemple le port standard et réservé du Web est le port 80, mais on
peut également faire des accès web à travers bien d’autres ports (il y en a plus de 65000 possibles).
Une politique de sécurité complète pour le Web doit tenir compte de tous les ports utilisés, et par
exemple bloquer les ports qui ne sont pas dédiés aux flux dont on tolère le passage.
3.1.2
A quel niveau du paquet IP le filtrage doit-il se situer ?
Il existe des firewalls qui ne filtrent qu’au niveau élémentaire du paquet
IP et d’autres, plus évolués qui montent jusqu’au niveau applicatif pour
appliquer une politique de sécurité centrée sur l’utilisateur et l’utilisation
faite des applications que le firewall protège.
Le paquet IP se compose de deux éléments : l’en-tête et la donnée.
Dans l’en-tête on trouve l’adresse IP, le nom de l’hôte origine et
destination, et le numéro de port entrant et sortant.
Les firewalls qui se contentent de filtrer à ce niveau offrent peu de
souplesse pour implémenter une politique de sécurité, par contre offrent de très bonnes
performances réseaux puisqu’ils ne passent pas beaucoup de temps à filtrer les paquets.
Certains firewalls fonctionnent à base de relais de proxies. Un proxy est une application située sur le
firewall, qui permet à celui-ci de se faire passer, vis à vis de l’utilisateur, pour le serveur de
l’application à laquelle il veut accéder. Avec ce mécanisme de proxy, un firewall est capable de
fonctionner comme un sas qui demande à l’utilisateur de s’authentifier, prend en compte sa
demande, la transmet au serveur si celle ci est autorisée. Au retour, il analyse les paquets IP au
15 nov 2004
52/189
niveau applicatif et peut les recomposer en des paquets conformes à la politique de sécurité de
l’entreprise, avant de transmettre le résultat à l’utilisateur.
Par exemple dans un flux web, le proxy HTTP est capable d’enlever des pages web les ActiveX, les
applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de limiter la
taille des fichiers attachés aux emails, de refuser les attachements de fichiers exécutables et de
bloquer les messages qui, dans leur champ sujet, contiennent les fameux mots I LOVE YOU.
Plus un firewall dispose d’un nombre important de proxies, plus souple et plus complète peut être la
politique de sécurité qu’il implémente. On trouve aussi dans certains firewalls, un proxy générique
qui peut être programmé pour s’adapter à des besoins très spécifiques d’une entreprise.
Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on trouve un niveau intermédiaire
connu sous le nom de « statefull Inspection » où l’état d’un paquet IP entrant est mémorisé pour
pouvoir traiter ce qu’il convient de faire avec le paquet réponse qui revient par le firewall.
3.1.3
Le masquage des adresses IP du réseau interne
La première information que le hacker désire connaître est l’architecture de l’Intranet qu’il cherche à
attaquer. Cela ne lui suffit pas pour réussir son attaque mais cela lui fait gagner du temps, alors,
pour ne pas faciliter ses coupables desseins, et pour lui mettre des entraves autant commencer par
cacher l’architecture du réseau privé et en particulier les adresses IP qui peuvent lui permettre de la
reconstituer.
Les firewalls offrent cette possibilité en substituant aux adresses IP de l’Intranet, l’adresse du
contrôleur réseau qui permet au firewall de communiquer avec l’extérieur. C’est ce qu’on appelle en
jargon de sécurité la NAT (Network Address Translation) – translation des adresses du réseau. Le
monde extérieur ne verra le réseau Intranet que comme une adresse IP unique, celle du contrôleur
réseau externe du Firewall, même si l’Intranet possède plusieurs milliers d’adresses IP.
3.1.4
Les zones démilitarisées
Un firewall doit être placé en coupure entre un réseau non protégé (par exemple l’Internet) et les
réseaux qu’il protège. Il contrôle les informations qui passent entre les deux réseaux. Plus de deux
interfaces réseaux peuvent équiper un firewall. Celui-ci contrôle alors ce qui passe entre chacune de
15 nov 2004
53/189
ses interfaces réseau et applique une politique de sécurité qui peut être particulière à chacune de
ces interfaces.
Supposons un firewall avec trois interfaces réseaux, donc duquel partent trois réseaux. Le premier
est celui qui va vers l’extérieur, vers le réseau non protégé, comme l’Internet, via un routeur. Le
deuxième est le réseau interne à protéger. Le troisième réseau n’est ni tout à fait le réseau interne à
protéger, ni le réseau public. C’est un réseau sur lequel on peut appliquer une politique de sécurité
particulière, moins stricte que celle du réseau interne. Il s’agit là d’une DMZ (DeMilitarized Zone –
zone démilitarisée) sur laquelle on place en général le serveur Web de l’entreprise et parfois le
serveur anti-virus et le serveur de messagerie.
3.1.5
Firewall logiciel ou firewall matériel ?
On trouve sur le marché des offres de firewalls logiciels proposés pré-chargés sur une plate-forme
matérielle. Ce sont les appliances. Les constructeurs proposent des gammes d’appliances sous
forme de mini tours ou de racks. L’appliance est un moyen simple d’installer un firewall dans une
entreprise puisqu’il suffit de booter la machine et le firewall est prêt à fonctionner. Tous les flux sont
bloqués à l’installation. Bien évidemment il reste ensuite à particulariser cette appliance selon la
politique de sécurité de l’entreprise.
Certains constructeurs proposent leurs propres plates-formes matérielles chargées avec leurs
firewalls logiciels, d’autres ne proposent qu’une plate-forme matérielle avec les logiciels venant d’un
autre éditeur de logiciels avec qui ils sont en partenariat technologique, d’autres encore proposent
des logiciels pré-chargés sur une plate-forme du commerce qui est généralement un PC avec des
contrôleurs réseaux également du commerce.
3.1.6
En parallèle ou en série ?
Le firewall est un point de passage stratégique de l’entreprise car c’est par lui que tout flux entant et
sortant doit transiter. Dans certain cas, par exemple pour le commerce électronique, une interruption
de fonctionnement du firewall peut représenter une perte d’argent conséquente. Une bonne solution
est de prévoir deux firewalls ou plus, en parallèle, et un dispositif automatique pour que si l’un tombe
en panne, un autre prenne le relais. Et puisque on dispose alors de plusieurs firewalls, en
fonctionnement normal, il est intéressant de les faire fonctionner en partage de charge, le moins
chargé à un instant donné devenant davantage disponible pour traiter les nouveaux flux qui arrivent.
Si l’on veut assurer une sécurité optimale, il est intéressant de mettre deux firewalls de technologie
différente en série. Ainsi si un agresseur réussit à passer la première ligne de défense constituée par
le firewall en amont, il tombera sur la deuxième ligne de défense, différente dans sa manière de
traiter la politique de sécurité. L’agresseur devra donc recommencer son travail de pénétration alors
qu’il aura toutes les malchances d’avoir été repéré durant son intrusion dans le premier firewall. Ce
système est utilisé quand la sécurité doit être maximale. On place souvent un firewall qui fonctionne
par filtrage de circuits à l’extérieur, et un firewall fonctionnant par relais de proxies à l’intérieur.
3.1.7
Sous quel système d’exploitation ?
Le système d’exploitation est composé des services système qui assurent la correspondance entre
la plate-forme matérielle et les logiciels du firewall. C’est donc un socle très important qui intervient
dans la sécurité globale de la solution de sécurité.
On trouve des systèmes d’exploitation écrits par des fournisseurs de firewalls, et donc bien adaptés
au logiciel firewall, et aussi à la plate-forme matérielle propriétaire d’une appliance. On trouve
également des firewalls tournant sur des systèmes d’exploitation du commerce tels que les UNIX ou
les systèmes d’exploitation de Microsoft.
Dans les divers systèmes UNIX, certains proposent leur offre sous une implémentation de LINUX,
sous un dérivé du système UNIX BSD (Free BSD, Open BSD, NetBSD), sous Solaris de SUN, et
encore sous d’autres systèmes UNIX.
Il n’est pas question ici de trancher sur le meilleur système d’exploitation sur lequel doit s’appuyer un
firewall, mais il est évident que d’un point de vue sécurité, il est inutile, voir dangereux de bâtir un
mur infranchissable (le firewall) sur un terrain meuble (le système d’exploitation) à travers lequel un
15 nov 2004
54/189
hacker pourrait creuser un passage. Il est bon qu’un fournisseur de firewall maîtrise le système
d’exploitation sur lequel tourne son logiciel firewall, jusqu’au niveau des codes sources et des
compilateurs qui servent, à partir de ces sources, à obtenir ce système d’exploitation.
Pour ne pas connaître de mauvaises surprises lors de l’installation d’un firewall logiciel sur site, il
faut s’assurer également qu’à tous les éléments matériels de la plate-forme, et en particulier aux
contrôleurs réseau, correspond un driver dans le système d’exploitation.
Un firewall aura de meilleures performances si le système d’exploitation est conçu dans le but de
gérer au plus fin sa plate-forme matérielle. D’un autre côté si le système d’exploitation est un
système du commerce, l’utilisateur aura plus de choix pour sa plate-forme matérielle, et le firewall
logiciel acquis sera transférable vers une plate-forme matérielle plus puissante quand les besoins
des utilisateurs évolueront.
3.2
LE FIREWALL APPLICATIF
Auteur : Sami Jourdain (Deny All) [email protected]
Lorsque de grandes banques françaises ont lancé leurs projets de services financiers en ligne, elles
ont été confrontées à la problématique suivante : comment déployer des applications Web
transactionnelles de grande envergure tout en respectant les exigences drastiques de sécurité
informatique propres à leur secteur ?
Les solutions de sécurité existantes n’apportaient pas le niveau de protection requis contre les
risques nouveaux liés aux utilisations malveillantes des applications. Une grande banque française,
la Société Générale, a alors décidé de développer une nouvelle solution dédiée à la protection des
applications Web, complémentaire aux dispositifs de sécurité existants : le firewall applicatif.
Les entreprises de tous secteurs sont aujourd’hui confrontées à la même problématique rencontrée
initialement par le secteur bancaire : elles déploient de plus en plus d’applications Web afin
d’automatiser leurs échanges, de générer de nouveaux revenus et de réduire leurs coûts. Ces
applications Web gèrent leurs processus métiers les plus critiques et leurs données les plus
confidentielles. Plus accessibles au travers d’Internet, d’extranet et d’intranet, elles sont également
devenues la cible privilégiée des hackers, attirés par les perspectives telles que la fraude financière,
le vol d’informations confidentielles, l’espionnage industriel, les atteintes à l’image de marque …
L’enquête menée en juin 2004 par le magazine américain « Information Week survey » le confirme :
pour les 7000 entreprises interrogées, la priorité en matière de sécurité informatique est
premièrement d’augmenter la sécurité de leurs applications Web et deuxièmement de mettre en
place un meilleur contrôle d’accès.
Dès lors, plusieurs enjeux s’imposent aux entreprises : déployer des architectures Web
performantes et évolutives tout en garantissant la sécurité des flux applicatifs (filtrage des requêtes,
accès réservés aux utilisateurs authentifiés).
Le firewall applicatif encore appelé Reverse Proxy Applicatif répond à ces besoins stratégiques des
entreprises que sont la protection de leurs applications Web, l’accélération des flux et l’ouverture
plus rapide de nouveaux services Web sécurisés.
3.2.1
Des attaques sur les applications Web en forte croissance
Alors que le nombre d’incidents sécurité rapportés est en augmentation quasi exponentielle, 65%
des nouvelles attaques ciblent les applications Web (source CERT et Gartner Group).
Plusieurs raisons, détaillées au chapitre « les faiblesses du Web », expliquent ce constat :
L’application Web représente une cible attractive : une attaque réussie peut permettre à un
utilisateur malveillant de détourner des transactions, voler des informations confidentielles,
impacter significativement l’image de marque d’une entreprise…
Constituée d’une large diversité de composants logiciels standard et spécifiques, chaque
application Web présente de nombreuses vulnérabilités susceptibles d’être exploitées,
Attaquer une application se révèle plus facile qu’il n’y paraît :
15 nov 2004
55/189
•
•
•
3.2.2
A l’aide d’un simple navigateur Web, les hackers peuvent insérer des instructions
malveillantes en utilisant les possibilités d’interactions standards fournies par les
applications (formulaires, paramètres de CGI, cookies, entêtes…)
Ces types d’attaques au niveau applicatif contournent les firewall traditionnels, qui ne
filtrent généralement que les attaques au niveau réseau et ne déchiffrent pas les flux SSL.
Les hackers ont à leur disposition de nombreuses techniques d’attaques dont les plus
courantes sont décrites au chapitre « les dix techniques d’attaques les plus courantes sur
les applications Web ». Les attaques dites inconnues (ou « zero day exploits ») exploitant
des vulnérabilités spécifiques des applications ou de nouvelles techniques d’attaques sont
particulièrement dangereuses car elles sont en constante augmentation et interviennent
alors que les mesures correctrices n’existent pas encore.
Les limitations des solutions de sécurité traditionnelles
3.2.2.1 Le firewall réseau
De nouvelles générations de firewall réseau annoncent maintenant des fonctions de sécurité
applicative parce qu’elles incluent le niveau 7 et un module de détection et de prévention d’intrusion
(IDS et IPS) :
Le mécanisme de filtrage se limite toutefois au contrôle du respect du protocole et à la
recherche de contenu malveillant, identifié par une signature ou un autre marqueur. Il permet
d’arrêter certaines attaques génériques connues mais n’est pas suffisant pour les attaques
exploitant des vulnérabilités spécifiques des applications, les attaques inconnues ou encore les
attaques déguisées dans le trafic normal. Un utilisateur malveillant tentant d’abuser de la
session de quelqu’un d’autre ne sera pas distingué du client utilisant son propre compte.
La plupart des firewall ne déchiffrent toujours pas les flux SSL.
3.2.2.2 la sécurisation du code applicatif
Auditer les applications afin d’identifier leurs failles, appliquer les corrections logicielles lorsqu’elles
existent, réécrire des parties du code applicatif pour le rendre plus sûr : toutes ces opérations sont
recommandées. Elles représentent toutefois trop de contraintes en termes de moyens humains à
mobiliser et de délais de mise en œuvre pour être systématisés. Essentiellement réactives, ces
mesures ne protègent pas non plus des attaques sur les failles spécifiques aux applications, ni des
attaques inconnues.
3.2.2.3 L’authentification utilisateurs et le chiffrement SSL
Les solutions de contrôle d’accès, de VPN SSL incluent des fonctions permettant d’authentifier les
utilisateurs, de contrôler à quelle(s) application(s) et à quelle(s) page(s) de sites Web ils ont accès et
de chiffrer les flux.
Nécessaires, ces fonctions ne sont toutefois pas suffisantes pour protéger les applications. Elles ne
fournissent pas de mécanismes permettant de garantir qu’un utilisateur autorisé ne va pas tenter
d’acquérir les droits d’un autre utilisateur ou de manipuler les requêtes.
3.2.3
Le Firewall Applicatif ou Reverse Proxy Applicatif
Intervenant en complément des solutions de sécurité traditionnelles, la mission principale du firewall
applicatif est de protéger les applications Web des entreprises.
Il offre souvent des fonctions complémentaires permettant aux entreprises d’améliorer les
performances et de simplifier les architectures Web.
3.2.3.1 Principe de fonctionnement
15 nov 2004
56/189
Déployé en frontal des
applications
Web,
le
firewall
applicatif
intercepte tous les flux
HTTP
et
HTTPS
provenant des utilisateurs
en accès Internet, extranet
ou intranet.
Il filtre l’intégralité des
requêtes
HTTP :
les
méthodes,
les
URL
(chemin d’accès…), les
entêtes, ainsi que toutes
les données applicatives
(cookies, paramètres de
CGI, paramètres cachés
ou non, en arguments
dans l’URL ou postés en
DATA….).
Il analyse la cohérence
des requêtes par rapport
au contexte applicatif et ne transmet aux applications que les requêtes valides et conformes à la
politique de sécurité mise en place. Les autres requêtes sont rejetées avant même qu’elles n’aient
atteint les serveurs de l’entreprise.
3.2.3.2 Les fonctionalités clés
3.2.3.3 Une gamme complète de mécanismes de filtrage HTTP(S)
Afin de protéger efficacement toutes les applications Web d’une entreprise, le firewall applicatif met
en œuvre un ensemble de mécanismes de filtrage complémentaires permettant de s’adapter à
différentes politiques de sécurité.
15 nov 2004
57/189
Normalisation
Liste noire générique
oui
Attaque
Connue?
non
Suivi de sessions
Requête
valide?
non
oui
ne sait pas
Protection dédiée
non
Requête
Acceptée
oui
Applications Web
La normalisation des URL
La normalisation canonique permet de transcrire les multiples possibilités d’écriture d’une URL
donnée en une forme normalisée afin de pouvoir l’analyser en connaissance de cause. Ce filtrage
permet d’éliminer d’emblée des attaques de type directory traversal, utilisation de double ou triple
encodage…
Le filtrage par liste noire
Ce type de filtrage inspecte les requêtes entrantes pour y détecter la présence éventuelle d’une
attaque ou d’un contenu malicieux. Il s’appuie généralement sur une base de signatures plus ou
moins génériques, et bloque immédiatement les requêtes présentant une signature répertoriée. Ce
type de filtrage offre un premier niveau de protection contre les attaques génériques connues (failles
répertoriées sur les serveurs et technologies Web, virus et vers, injection SQL, Cross Site
Scripting…). Une liste noire « générique » bloque plus d’attaques non encore répertoriées mais
entraînera plus de faux positifs. A l’inverse, une liste noire spécifique génère moins de faux positifs
mais protège de manière plus limitée. La liste noire doit être remise à jour régulièrement.
Le modèle de sécurité positive
Au lieu de chercher à détecter un nombre toujours croissant d’attaques de plus en plus
sophistiquées, il est plus efficace d’avoir un modèle exhaustif de toutes les possibilités d’interactions
entre les utilisateurs et l’application. Dès lors, chaque requête conforme au modèle d’une application
sera autorisée, et toute autre requête est considérée comme non conforme et donc rejetée.
Le modèle de sécurité positive se base sur les mécanismes suivants :
Le suivi dynamique de sessions :
Ce mécanisme vérifie « à la volée » que l’utilisateur navigue strictement dans le cadre prévu par
l’application. Chaque demande utilisateur (pages consultées, cookies, paramètres…) est ainsi
validée au regard des choix lui ayant été proposés dans les pages Web envoyées
précédemment par l’application. Un utilisateur ayant modifié un cookie (par exemple pour
acquérir les droits d’un autre utilisateur), ou ayant demandé la consultation de pages non
proposées ou encore ayant modifié des valeurs des paramètres cachés (par exemple pour
modifier le prix d’un article !) verra sa requête déclarée non valide et immédiatement rejetée.
La liste blanche proactive :
Elle vérifie que l’utilisateur se conforme strictement à l’utilisation normale de l’application.
Comme pour le suivi dynamique des sessions, les requêtes sont intégralement filtrées (URI
demandée, type de formulaire ou de CGI, type et valeur des paramètres passés en arguments,
en DATA) et seules les requêtes conformes et prévues sont autorisées. Ce mécanisme ne
laisse plus de place à l’inconnu, toute requête validée étant conforme. Il s’appuie sur une phase
15 nov 2004
58/189
d’apprentissage automatisée de l’application. Il offre ainsi une protection « adaptée » et
proactive à chaque application.
Un firewall applicatif doit pouvoir proposer l’ensemble de ces mécanismes. Ils sont complémentaires
et permettent de s’adapter aux différents politiques de sécurité recherchées par les entreprises :
Les mécanismes de normalisation et de liste noire permettent d’appliquer dès la mise en route
du firewall applicatif un premier niveau efficace de protection périmètrale à l’ensemble des
applications Web de l’entreprise. Ils protègent ainsi immédiatement contre les attaques utilisant
des techniques connues, les directory traversal, forceful browsing…
Le suivi dynamique de sessions offre immédiatement un niveau de protection supplémentaire
très efficace qui protège instantanément contre les attaques connues et inconnues, les
manipulations de sessions ou de formulaires…
La liste blanche proactive offre le plus haut niveau de protection aux applications Web. Dédiée
à chacune des applications critiques des entreprises, elle les protège contre toutes les attaques
connues, inconnues, utilisations anormales, et également contre les risques « internes » liés par
exemple à des malveillances d’exploitants.
Le masquage applicatif
Cette fonction inclut notamment la réécriture des URL, des pages d’erreurs, le masquage
d’informations et de messages d’erreurs contenus dans les pages. Elle permet de prévenir la
diffusion involontaire d’informations sur l’infrastructure interne (chemins d’accès, technologies,
versions…) susceptibles d’aider les hackers.
Le filtrage de contenu sortant
Cette fonction présente un double avantage :
Le premier consiste à prévenir la diffusion involontaire de message d’erreurs inclus dans les pages
(ex « ODBC error ») susceptibles d’être sollicitées par les hackers.
Le deuxième permet de bloquer la diffusion d’informations confidentielles pour l’entreprise ou pour
ses clients telles que des numéros de comptes, de cartes bancaires, de téléphone…
3.2.3.4 L’automatisation de la sécurité
La réduction des coûts de gestion des équipements et des services est un objectif prioritaire des
entreprises. C’est pourquoi le firewall applicatif intègre des mécanismes de contrôle dynamiques
agissant sans intervention de l’exploitant et offre un module de génération automatique de règles
pour construire et mettre à jour la protection adaptée à une application.
3.2.3.5 La gestion simplifiée des architectures sécurisées
L’incapacité du firewall traditionnel à bloquer les attaques au niveau applicatif a forcé les entreprises
à déployer leurs applications Web dans des DMZ protégées, coupées du réseau interne. Ces
architectures entraînent des surcoûts importants pour les entreprises en termes de matériel
(réplication de serveurs, de bases de données, de mécanismes de contrôle d’accès) et en termes de
gestion (gestion des réplications, des ruptures de service).
Le firewall applicatif propose un ensemble des fonctions permettant de simplifier les architectures
sécurisées et d’accélérer les déploiements de nouvelles applications Web.
L’authentification forte des utilisateurs avec SSO
Au lieu d’être réalisée sur chacune des applications, l’authentification peut être centralisée au niveau
du firewall applicatif. Celui-ci offre une large gamme de possibilités d’authentification parmi
lesquelles :
SSLV3 (Certificats clients X509),
RSA/SecurID,
Radius, qui donne accès notamment aux authentifications Vasco et Activcard,
15 nov 2004
59/189
User/Password (accès aux annuaires LDAP/LDAPS).
Des stratégies diverses d’authentifications doivent pouvoir être mises en œuvre, par exemple des
authentifications à deux niveaux, des authentifications différentes entre l’intranet et extranet, ou
encore des authentifications de bout en bout par SSL v3 avec certificats clients X509.
L’authentification utilisateur avec le chiffrement SSL de bout en bout
L’authentification utilisateur peut être réalisée à la fois sur le firewall applicatif et sur le serveur cible.
Les flux sont chiffrés entre les navigateurs et le firewall applicatif et rechiffrés entre le firewall et les
serveurs cibles. Ces possibilités permettent de déporter les serveurs traditionnellement localisés
dans la DMZ sur le réseau interne de l’entreprise et de réutiliser les chaînes applicatives internes
existantes.
Le masquage applicatif et la réécriture d’URL
Grâce à cette fonction, il est possible de « webifier » des applications internes sans avoir à les
modifier, à changer les URL d’accès et les noms d’hôtes internes, afin par exemple de déployer très
rapidement des services intranet en accès extranet.
3.2.3.6 L’Amélioration des performances des applications Web
Avec la croissance du nombre des utilisateurs, le trafic Web augmente plus vite sur les réseaux
d’entreprise que les capacités du réseau et des serveurs.
Fédérant tous les accès aux applications Web, le firewall applicatif permet de réduire les temps de
réponse aux utilisateurs et d’augmenter les performances et la disponibilité de l’infrastructure Web.
Certains firewall applicatifs intègrent dans ce but des fonctions telles que :
Le cache intelligent,
la compression « à la volée »,
la répartition de charge Web sur critères au niveau applicatif, y compris pour les flux chiffrés,
la gestion différenciée des connexions utilisateurs et serveurs,
l’accélération SSL,
la surveillance de l’état des chaînes applicatives avec basculement automatique en cas
d’indisponibilité.
3.3
LE FIREWALL PERSONNEL
Après authentification mutuelle des deux extrémités du tunnel, et création du tunnel chiffrant,
l’utilisateur nomade accède, depuis l’extérieur, aux serveurs de son Intranet, qui lui sont autorisés,
avec autant de sécurité que s’il était resté dans son Intranet.
Cela constitue toutefois un sérieux danger. Si le poste de travail nomade est attaqué par un hacker
qui prend le contrôle de ce poste à distance, souvent sans que l’utilisateur qui a créé un tunnel,
puisse s’apercevoir à temps de l’agression, une voie royale est offerte à l’attaquant vers les serveurs
de l’Intranet, et tout le réseau privé est ainsi mis en danger.
Pour éviter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum
de sécurité, équivalent à celui d’un firewall personnel. Les fonctions anti-rebond et blocage des flux
entrants d’un tunnel client apportent ce niveau de sécurité.
Le blocage des flux entrants empêche toute tentative de connexion vers le poste nomade. L’antirebond ne permet pas de passer par le poste nomade pour emprunter un tunnel. Sans ces
fonctionnalités, un tunnel offre à l’attaquant un accès direct vers les serveurs de l’Intranet, car le flux
étant autorisé, aucun firewall ne s’inquiéterait de son contenu et le flux étant chiffré, aucune sonde
de détection, placée en amont de la passerelle tunnel constituant l’autre bout, ne pourrait l’analyser
pour réagir à une attaque.
15 nov 2004
60/189
Pour préserver l’intégrité des données sur un disque dur, il est aussi intéressant, même hors période
où des tunnels sont établis entre le poste de travail et l’Intranet, de mettre en œuvre un firewall
personnel qui détectera les agressions. Celles-ci sont fréquentes surtout si le poste de travail reste
longtemps connecté (comme c’est le cas avec des connexions permanentes, avec le câble par
exemple).
3.4
L’AUTHENTIFICATION FORTE
Auteurs : Max de Groot (Gemplus) [email protected]
3.4.1 L’authentification et la chaîne de sécurisation
La sécurisation des échanges de données sur des réseaux privées ou publics prend de plus en plus
d’importance. Non pas seulement parce qu’avec l’essor de réseaux sans fil publics on trouve
davantage d’endroits pour se connecter sur l’Internet, réseau ouvert et vulnérable et vecteur de
nombreux virus, menaces, chevaux de Troie et autre Spam, mais aussi parce qu’en marge du
succès du GSM, les fournisseurs d’accès cherchent à se faire rémunérer par l’utilisateur.
On va donc vouloir protéger les données, mais aussi le revenu.
Pour atteindre ces deux buts, il faut forcément commencer par une authentification forte, obtenue
par la mise en œuvre de protocoles d’authentification bien connus, analysés et souvent même
attaqués pour en tester la robustesse. A l’issue de l’authentification, le client et le serveur
d’authentification partagent un secret qui peut ensuite être utilisé pour le chiffrement des données,
permettant d’en garantir la confidentialité et l’intégrité. Toute personne qui intercepterait le flux ne
pourrait en comprendre le contenu et aucun malfaiteur ne peut modifier des données ou utiliser la
connexion d’un tiers sans posséder le secret partagé. La mise en œuvre de cette protection n’a
aucun sens si, à la base, le serveur n’est pas sûr de l’authenticité de l’utilisateur et inversement.
Les mécanismes additionnels de sécurisation du Wi-Fi spécifient comment monter une protection
dite robuste en se fondant sur un protocole d'authentification générique. On parle d'une chaîne de
protection, associant la protection physique et logique du serveur d'authentification, les protocoles
d'authentification et les données de l'identité de l'utilisateur, stockées sur son poste de travail. Le
maillon le plus faible de cette chaîne est souvent l'authentification de l'utilisateur. En effet, de toute la
chaîne d'authentification, seul le poste de l'utilisateur se ne trouve pas dans le domaine maîtrisé et
contrôlé par l'opérateur ou dans l'Intranet contrôlé par l'entreprise. Pour simplifier la tâche de
l’utilisateur qui, hors de son Intranet, est incontrôlable, des méthodes simples et rapides
d’authentification ont été inventées. Cependant leur utilisation n’est sous contrôle ni de l’entreprise,
ni du fournisseur de services. Le mot de passe est-il sauvegardé sur le poste de travail, fait-il partie
des 79% des mots de passe aisément devinables, est-il partagé entre plusieurs individus ? Les
opérateurs GSM ont bien compris la problématique. En utilisant la carte à puce pour
l’authentification, ils ont dans le poste de travail (le téléphone mobile) un objet qu’ils contrôlent et qui
renforce la chaîne de bout en bout.
La sécurisation de réseaux commence donc par une authentification forte, généralement obtenue
par deux facteurs, c’est à dire par la présentation simultanée de quelque chose que l’on possède et
quelque chose que l’on sait ou que l’on est. La carte à puce (quelque chose que l’on a), par
exemple, ne devient opérationnelle qu’après présentation d’un mot de passe (quelque chose que
l’on sait) ou vérification d’une empreinte digitale (quelque chose que l’on est.)
La méthode classique d’authentification par nom d’utilisateur et mot de passe est à bannir des
réseaux sécurisés car elle ne met en œuvre qu’un seul des facteurs nommés ci-dessus (quelque
chose que l’on sait) et le mot de passe est généralement aisément devinable (quand il n’est pas
stocké sur le PC.)
15 nov 2004
61/189
Carte à puce, clé USB ou empreinte digitale combinée à un code PIN constituent un moyen
d’authentification beaucoup plus sûr qu’un simple mot de passe.
3.4.2 Le rôle de la carte à puce dans l’authentification
Une carte à puce est un morceau de plastique rectangulaire, plat, équipé d’un microprocesseur avec
mémoire, capable de dialoguer en direct avec le monde extérieur, tel qu’un PC. Son point fort se
trouve dans la protection physique et logique du composant, sa mémoire et les données qu’elle
contient d’une part, et la façon dont une carte est produite, personnalisée, distribuée et activée
d’autre part.
Ainsi, le composant microélectronique est conçu en vue de la protection des données sensibles. Par
exemple, la mémoire incluse se trouve en règle générale non pas en surface, mais au cœur du
silicium, pour éviter l’espionnage par balayage d’électrons. Des filtres électriques protègent son
fonctionnement en dehors de la marge normalement prévue, pour éviter des attaques se fondant sur
les limites de fonctionnement.
Le système d’exploitation des cartes fournit une protection logique, évitant l’accès non autorisé aux
données et permet des calculs cryptographiques sur des données secrètes qui ne seront jamais
divulguées à l’extérieur. Les systèmes de développement modernes comme Java, sont disponibles
sur la carte à puce et fournissent une plate-forme ouverte sur laquelle une large population de
développeurs de services peuvent intégrer leurs applications, sans interférer sur les données
d’autres applications.
Les phases de la vie d’une carte, les processus de fabrication, d’initialisation et de
personnalisation, de distribution et d’activation sont protégés, documentés, audités et
accrédités par des organismes veillant sur la sécurité des données. Il existe d’ailleurs
des processus d’évaluation de sécurité de cartes à puce basés sur les Critères Communes et les
cartes et leurs systèmes d’exploitation sont certifié à des niveaux de plus en plus élevés.
La carte à puce possède donc des atouts sérieux pour participer à l’authentification forte : une fois
son porteur authentifié – par code d’identification personnel (PIN) ou par comparaison des minuties
de ses empreintes digitales ou de la structure de son iris avec des données stockées dans la carte –
la carte permet d’exécuter tout ou partie du protocole d’authentification en utilisant les données
secrètes stockées dans sa mémoire indépendamment du niveau de sécurité du poste de travail. Elle
prouve ainsi à la fois l’identité de son porteur (qui connaît le code PIN) et sa propre connaissance de
données justificatives, sans pour autant divulguer des données sensibles.
Un autre avantage de la carte à puce est sa portabilité. Un utilisateur porte les données justificatives
de son identité sur sa carte d’identité électronique qui est en permanence sur lui. Il peut utiliser
n’importe quel ordinateur pour se connecter au réseau ou service souhaité, sans laisser traces de
son authentification, contrairement à un nom d’utilisateur et mot de passe, par exemple, qui peuvent
être ‘gracieusement’ sauvegardés par le système d’exploitation de l’ordinateur pour une utilisation
future.
Par ailleurs, l’utilisateur n’a pas à divulguer de mot de passe à un tiers, et le secret partagé avec le
serveur d’authentification lui est inconnu et stocké sur sa carte.
3.4.3 Exemples actuels d’utilisation de carte à puce
L’exemple le plus connu de l’utilisation de la carte à puce pour l’authentification est la téléphonie
mobile. La carte SIM contenant une clé secrète effectue un calcul cryptographique avec cette clé et
un numéro aléatoire envoyé par le réseau. Le résultat est comparé par le réseau avec un résultat
attendu pour vérifier si la carte est authentique. Ce processus étant protégé par la saisie du code
PIN de l’utilisateur, il permet aussi de confirmer l’identification de l’utilisateur.
Désirant utiliser la carte SIM aussi pour les réseaux sans fil publics qu’ils opèrent, les opérateurs de
téléphone mobile ont spécifié un protocole d’authentification s’insérant dans les spécifications Wi-Fi,
mettant en œuvre la SIM. Ainsi, au fur et à mesure du déploiement des nouveaux réseaux, les
systèmes basés sur nom/mot de passe seront remplacés par des systèmes d’authentification forte,
basé sur la SIM.
15 nov 2004
62/189
A l’intérieur des téléphones portables des abonnés GSM, la carte à puce peut être réutilisée pour
des applications nouvelles. Ainsi, le poste de travail peut utiliser des applications localisées sur cette
carte SIM, sans que cela ne nécessite le branchement sur le PC d’un lecteur de carte. Le téléphone
mobile, dialoguant avec le PC par une connexion Bluetooth, remplit cette fonction. Ainsi, le
téléphone portable devient, grâce à la carte à puce, un dispositif d’authentification multimodale.
Téléphone portable devenant un dispositif d’authentification en donnant accès à sa carte à puce via un lien Bluetooth, permettant au
poste de travail d’accéder au réseau.
Un autre exemple est l’authentification forte des réseaux virtuels privés à base de clé publique,
utilisant les cartes à puce. L’architecture système de Microsoft Windows permet d’ores et déjà
l’utilisation des cartes à puce comme fournisseur de service cryptographique pour éviter de devoir
mémoriser la clé privée dans la mémoire du poste de travail. En fait, la carte contient la clé privée
dans une zone sécurisée et l’utilise seulement pour des services bien définis. La carte avec la clé
peut être distribuée facilement et de façon contrôlée en évitant toute divulgation inopinée de la clé
privée.
3.4.4 Conclusion
L’authentification forte est un maillon essentiel de la chaîne de sécurité des échanges distants pour
les entreprise. La carte à puce est un vecteur de confiance important dans l’authentification et la
sécurisation des réseaux, auxquelles opérateurs de téléphonie mobile GSM ou 3G font confiance
depuis plus d’une décennie. Elle permet de plus la mise en œuvre simple d’authentifications fortes
pour divers contextes juxtaposés. De ce fait, elle constitue une option technique incontournable pour
l’authentification forte dans le cadre des réseaux d’entreprises.
3.5
LA BIOMETRIE
Auteur : Philippe Robin (Thales) [email protected]
3.5.1
Introduction
La biométrie est définie comme la science permettant l'identification automatique d'individus à partir
de leurs caractéristiques physiologiques ou comportementales.
Le cerveau humain présente une aptitude remarquable en termes de reconnaissance et de
distinction. Nous sommes non seulement en mesure de reconnaître les gens d’après leur visage,
mais aussi d’après leur voix, leur démarche ou leur signature.
Cela fait des siècles que les empreintes digitales sont utilisées à des fins d’identification. D’après les
historiens, il y a plus de 1000 ans, les Chinois utilisaient leurs empreintes digitales pour « signer »
15 nov 2004
63/189
les documents officiels. A l’époque moderne, Sir William Herschel (1738–1822), représentant du
gouvernement britannique en Inde, avait recours à la méthode d’identification par les empreintes
digitales pour contraindre les fournisseurs bengalais à honorer leurs contrats.
Plus récemment, Alphonse Bertillon (1853-1914) a mis au point une méthode anthropométrique
d’identification des personnes pour le compte des services de police parisiens.
De nos jours, les besoins d’identification des personnes ou d’authentification se font de plus en plus
pressants qu’il s’agisse de valider des contrats juridiques ou commerciaux et d’autres documents, de
contrôler l’accès à des zones ou des équipements réservés ou de réglementer les prestations de
services dans les secteurs bancaires et financiers.
Le défi à relever pour la biométrie est de parvenir à conférer aux machines des capacités
d’identification égales à celles du cerveau humain.
3.5.2
Identification
Une personne peut être identifiée de trois façons :
Par ce qu’elle sait. La mémorisation de codes PIN et de mots de passe est la méthode
d’identification automatique la plus répandue de nos jours.
Par ce qu’elle possède. Les badges et les cartes d’identité sont très largement utilisés pour
accéder à des bâtiments et des zones réservées.
Par ce qu’elle est : visage, empreintes digitales, structure ADN, dessin de l’iris, comportement,
signature ou son de la voix (au téléphone, par exemple).
La biométrie analyse les caractéristiques comportementales ou physiologiques afin de déterminer ou
de vérifier l’identité d’une personne. Elle utilise certains traits distinctifs tels que les empreintes
digitales, le timbre de la voix, le dessin de l’iris et de la rétine, la géométrie de la main et des doigts
et la structure du visage.
3.5.3
Méthodes biométriques
Tous les systèmes biométriques reposent sur trois étapes spécifiques : acquisition des données,
codification des données et rapprochement des résultats obtenus avec une base de données.
Acquisition des données. Les données sont capturées par le biais d’une caméra pour ce qui est
de la reconnaissance du visage, de la main ou de l’iris et par le biais d’un microphone pour la
reconnaissance vocale ou encore en utilisant un capteur d’empreintes digitales.
Codification des données. Pour pouvoir procéder à des comparaisons efficaces, un modèle est
extrait des données acquises. Ce modèle comporte les traits caractéristiques de la personne :
•
Empreintes digitales : minutie, points caractéristiques et dessins
•
Visage : distance entre les yeux, rugosité de la peau, etc.
•
Voix : fréquence et modulation
Rapprochement des résultats. Les méthodes biométriques servent à identifier, mais aussi à
vérifier. Pour l’identification, le modèle nécessite d’être comparé à ceux stockés dans une base
de données. Pour la vérification, le modèle n’est mis en correspondance qu’avec celui
préalablement enregistré.
Des algorithmes sont utilisés pour calculer le « score de similarité », à savoir le degré de
corrélation entre le nouveau modèle et celui préalablement enregistré. Ce score est alors
comparé avec un seuil pré-déterminé. Un chiffre inférieur à ce seuil aboutit à un rejet. Si le
chiffre est au contraire supérieur à ce seuil, la mise en correspondance est acceptée.
Ces techniques d’acquisition des données, de codification et de comparaison sont fonction des traits
spécifiques utilisés pour l’identification.
15 nov 2004
64/189
3.5.3.1 Empreintes digitales
Cela fait plus d’un siècle que l’on connaît les caractéristiques essentielles des empreintes digitales.
Un certain nombre des systèmes biométriques utilisés pour l’identification des empreintes digitales
reposent sur l’analyse très rigoureuse des minuties, à savoir les plus petits détails d’une empreinte
digitale. Le chercheur britannique F. Galton (1822-1911) a été le premier à décrire les segments de
courbe composite des empreintes digitales. Les minuties correspondent aux points caractéristiques
des crêtes tels que bifurcations ou terminaisons. Quatre paramètres sont enregistrés pour chaque
minutie : coordonnées x et y, orientation et type (par exemple : terminaison ou bifurcation).
Les modèles de minutie étant utilisés par un grand nombre de fournisseurs de systèmes
biométriques, les modèles d’empreintes digitales sont désormais relativement standardisés.
Les images des empreintes sont obtenues par encrage ou bien par le biais d’un capteur optique ou
au silicium. Une vaste gamme de capteurs d’empreintes digitales est actuellement disponible. Pour
obtenir des résultats précis, une résolution d’image d’au moins 500 dpi est nécessaire.
Une fois que l’utilisateur est enregistré dans le système, son modèle peut être stocké dans la
mémoire du système ou sur une carte d’identité personnelle. Un modèle d’empreinte digitale
(comportant 30 à 80 minuties ou près de 300 octets de données) peut être enregistré dans un code
à barres bidimensionnel imprimé sur la carte ou dans une puce mémoire incorporée dans la carte.
3.5.3.2 Reconnaissance faciale
Les systèmes de reconnaissance faciale ont recours à un appareil photo ou une caméra vidéo pour
capturer une ou plusieurs images d’un visage donné. Un algorithme de codification est ensuite utilisé
pour évaluer les caractéristiques biométriques pertinentes.
Chaque fournisseur utilise des techniques différentes pour établir un modèle, mesurant des aspects
tels que la longueur du nez, la texture de la peau, la distance entre les yeux ou un coefficient de
ressemblance calculé par rapport à une base de données existante.
Ces techniques sont relativement récentes et n’ont donc pas encore été standardisées. Un des
inconvénients des systèmes de reconnaissance faciale est leur sensibilité aux variations de lumière
ainsi qu’à l’angle de l’appareil photo ou de la caméra.
3.5.3.3 Iris
Le dessin et les caractéristiques uniques de l’iris humain, partie colorée de l’œil autour de la pupille,
constituent un moyen d’identification extrêmement précis. Une image haute résolution de l’œil est
obtenue grâce à une caméra. Cette technique nécessite une certaine coopération de la part de
l’utilisateur.
Un codage de l’iris est alors réalisé par analyse de la microstructure de l’image. Cette technique,
relativement récente, fait l’objet de beaucoup d’attention.
3.5.3.4 Vérification vocale
Un microphone est utilisé pour enregistrer la voix de la personne. Certains systèmes de vérification
vocale demandent aux utilisateurs de prononcer un mot de passe, d’autres nécessitent la lecture
d’un texte donné.
Un modèle est alors établi à partir des données ainsi recueillies, par le biais d’une analyse de
fréquence complexe.
3.5.3.5 Autres techniques
Outre les empreintes digitales, les caractéristiques faciales, les images de l’iris et la vérification
vocale, d’autres systèmes biométriques permettent d’enregistrer la géométrie de la main et des
doigts, l’écriture et les signatures ou encore des images de la rétine.
15 nov 2004
65/189
3.5.4
Précision
3.5.4.1 Mesure de la précision
Le degré de précision varie considérablement d’une technique biométrique à une autre. Lors de la
mesure et de la comparaison du degré de précision, trois facteurs doivent être pris en considération :
Taux de fausse acceptation (TFA) : probabilité selon laquelle un imposteur est accepté par
erreur par le système
Taux de faux rejet (TFR) : probabilité selon laquelle un utilisateur autorisé est rejeté par erreur
par le système
Taux d’erreur d’enregistrement (TEE) : probabilité selon laquelle un utilisateur ne peut pas
être enregistré dans le système (dans le cas de personnes aveugles ou de personnes à qui il
manque un doigt ou une main, par exemple)
3.5.4.2 Amélioration de la précision
Les performances d’un système biométrique peuvent être optimisées de plusieurs manières :
Enregistrement
La qualité de l’enregistrement est cruciale. Par exemple, des empreintes digitales obtenues par
encrage peuvent présenter de nombreux défauts que le système n’est pas capable de corriger.
Tandis qu’en direct, le système peut accepter ou rejeter la capture ou demander à la personne
de recommencer.
Codification et mise en correspondance
Le logiciel servant à codifier les données et à effectuer la mise en correspondance par rapport à
d’autres modèles est l’élément clé de tout système biométrique. Ce logiciel doit être
suffisamment souple pour faire face aux différentes conditions pouvant exister au moment de
l’enregistrement, telles que déformation du doigt ou rotation du capteur d’empreintes digitales
ou encore variation de la lumière et ou de l’angle lors de la photographie des mains et des
visages.
Acquisitions multiples
La plupart des systèmes d’identification par empreintes digitales procèdent à l’enregistrement
de plusieurs doigts (2 ou 10 doigts en général). Cela permet de réduire le taux TEE : en effet, si
un doigt est manquant, le système peut en utiliser un autre. Cette méthode permet également
d’améliorer les performances du système puisque (TFA pour n doigts) = (TFA pour un doigt)n.
Biométrie multi-modes
La combinaison de plusieurs techniques biométriques permet d’améliorer grandement
l’efficacité et la précision d’un système. Par exemple, avoir recours à la reconnaissance
faciale peut aider à faire un choix parmi un ensemble d’empreintes correspondantes lorsqu’un
expert en dactyloscopie n’est pas disponible.
3.5.5
Applications des techniques biométriques
Les applications se déclinent selon deux grandes catégories : identification (ou reconnaissance) et
authentification (ou vérification).
3.5.5.1 Identification
Les systèmes d’identification déterminent l’identité d’une personne comparant les caractéristiques de
cette personne avec une base de données de modèles biométriques. On parle alors souvent de
systèmes un contre N (N étant le nombre de personnes figurant dans la base de données).
3.5.5.2 Authentification.
Les systèmes d’authentification servent à vérifier qu’une personne est bien celle qu’elle prétend être.
15 nov 2004
66/189
Un système biométrique peut, par exemple, délivrer aux utilisateurs une carte sur laquelle leur
modèle biométrique est crypté. Il suffit ensuite au système de vérifier que les caractéristiques
biométriques de la personne sont identiques à celles cryptées sur la carte. Il s’agit d’une mise en
correspondance un contre un.
Un modèle d’empreinte digitale (comportant 30 à 80 minuties) peut être stocké dans un code à
barres bidimensionnel imprimé sur une carte ou dans une micro-puce intégrée dans la carte.
Toutefois, pour des raisons de sécurité, il peut être préférable de ne pas stocker le modèle sur la
carte elle-même afin d’éviter tout risque d’interception et de fraude. Les cartes à microprocesseur
sont plus sûres car l’opération de mise en correspondance s’effectue à l’intérieur même de la puce.
Celle-ci ne communique que le résultat (oui ou non). On parle alors de mise en correspondance sur
carte (on-card matching).
3.5.5.3 Interopérabilité
L’interopérabilité ne revêt pas une grande importance dans le cas du contrôle d’accès car le nombre
de capteurs d’enregistrement est faible et le système fonctionne en boucle fermée dans un domaine
privé. Toutefois, la situation est totalement différente lorsqu’il est question d’un système biométrique
de contrôle des passeports. En effet, les modèles cryptés enregistrés sur le passeport par le pays
émetteur doivent pouvoir être reconnus dans les autres pays.
Eprouvées depuis longtemps, les techniques d’identification par empreintes digitales, reposant sur la
codification des minuties, sont au premier rang des techniques biométriques utilisées de nos jours.
La reconnaissance faciale, en revanche, est une technique relativement récente. Aussi, chaque
société de biométrie faisant appel à ce type de technique a-t-elle développée son propre système de
codification pour établir les modèles de référence. Ces modèles ne sont donc pas interopérables.
Afin de rendre le système biométrique interopérable, l’OACI (l’Organisation de l’Aviation Civile
Internationale) a recommandé d’inscrire dans les passeports les images complètes (visage,
empreintes digitales ….). La quantité d’information est alors importante, ce qui oblige à utiliser une
puce de 32K ou 64K.
3.6
LE CHIFFREMENT ET LA CRYPTOGRAPHIE
Auteurs : Hervé Chappe (Alcatel) [email protected] et Anne Coat (AQL) [email protected]
3.6.1
Introduction
Le cryptage est un des moyens utilisés pour assurer la confidentialité de l’information. Le cryptage
peut être utilisé au niveau du stockage de l’information (fichier, disque) ou de sa transmission
(paquets de données).
Le cryptage, et son opération réciproque le décryptage, sont des transformations de nature
mathématique pratiquées sur les données.
Dans tous les cas on considère :
une source ou émetteur, qui crypte l’information,
une destination ou récepteur, qui décrypte l’information.
Emetteur et récepteur peuvent être la même entité (cryptage pour stockage) ou deux entités
distinctes (cryptage pour transmission).
Ces opérations se composent de deux éléments :
Une règle opératoire, ou algorithme,
Un secret partagé entre l’émetteur et le récepteur, ou clé(s).
Une clé est une chaîne de caractères alphanumériques. La longueur (nombre de caractères)
des clés et leur mode de distribution entre émetteur et récepteur conditionnent en grande partie
la confidentialité de la solution.
Il y a deux types d’algorithmes :
15 nov 2004
67/189
les algorithmes dits « symétriques », qui utilisent une clé unique pour le cryptage et le
décryptage,
les algorithmes dits « asymétriques », qui utilisent une paire de clés, l’une pour le cryptage et
l’autre pour le décryptage. Ces algorithmes sont également utilisés pour la signature
électronique permettant l’authentification de l’émetteur d’une information.
3.6.2
Cryptage symétrique
Les algorithmes symétriques sont simples à implémenter et efficaces en rapidité de calcul, mais ils
souffrent, et particulier dans le cas de la transmission, de deux défauts majeurs :
La communication de la clé entre l’émetteur et le récepteur doit se faire « hors ligne »,
préalablement à la transmission, ce qui induit un risque de compromission de la clé lors de cette
communication,
Dans le cas de communications cryptées entre les membres d’un groupe, il faut une clé par
paire de membres dans le groupe, et le nombre de clés nécessaires croît exponentiellement
avec la taille du groupe.
Pour pallier le premier défaut, des procédés ont été introduits permettant aux deux extrémités de
générer simultanément la clé, sans qu’elle soit jamais transmise dans son intégralité (le plus courant
est le protocole de Diffie-Hellman).
Le cryptage asymétrique remédie le second défaut, et, en outre permet d’autres fonctionnalités
(signature électronique).
3.6.3
Cryptage asymétrique
Les algorithmes asymétriques mettent en œuvre une paire de clés, liées entre elles par une relation
mathématique.
L’une sert au cryptage (clé dite "secrète", ou "privée"), l’autre au décryptage (clé dite "publique").
Le récepteur met sa clé de cryptage à la disposition de tous les émetteurs qui veulent lui envoyer
des messages cryptés. C'est pour cette raison que cette première clé est appelée "clé publique". Lui
seul pourra décrypter les messages reçus, avec sa clé de décryptage qu’il aura gardé confidentielle.
C'est pour cette raison que cette seconde clé est appelée "clé secrète".
Chaque membre du groupe est doté d’une telle paire de clés.
Les données chiffrées par la clé "secrète" ne peuvent être déchiffrées que par la clé "publique", et
réciproquement.
Seule la clé privée est utilisée pour signer des données, et permettre de vérifier :
l'intégrité des données transférées,
l'identité de l'émetteur
Le Schéma de Principe de la signature numérique est proposé ci-dessous :
15 nov 2004
68/189
Opération
Clé
irréversible publique
Clé
privée
Hash
RSA
Signature
RSA-1 Hash
Les algorithmes asymétriques ont plusieurs avantages :
la clé secrète n’est jamais partagée, éliminant tout risque de compromission,
Le nombre de clés croît linéairement avec la taille du groupe, ce qui est beaucoup plus
facilement gérable,
Grâce à une propriété mathématique de ces algorithmes, le cryptage asymétrique permet la
signature électronique.
L'algorithme de génération de la clé publique à partir de la clé secrète fait que :
•
Deux clés publiques distinctes ne peuvent être associées à la même clé secrète,
•
La clé secrète ne peut être découverte à partir de la clé publique.
3.6.4
La signature électronique
Grâce aux propriétés mathématiques des algorithmes asymétriques, la clé publique peut permettre
de signer des transmissions. Pour comprendre le principe de cette signature électronique, il faut
d’abord savoir que, dans les algorithmes asymétriques, les paires de clés jouent en fait un rôle
symétrique. En effet, si on crypte avec la clé publique, on décrypte avec la clé secrète; mais il est
également possible de crypter avec la clé secrète, et on décrypte alors avec la clé publique.
Il faut également introduire le concept de "hash" : c'est un procédé mathématique permettant de
générer une chaîne de caractères de longueur fixe et en principe courte (hash) à partir d'un
message (texte…) de longueur variable et potentiellement long. Ce procédé est tel que deux
messages différents produisent avec une quasi-certitude des hashs distincts (ex. algorithme SHA…). Ce hash est utilisé pour générer la signature du message via un algorithme réversible de
signature (ex. algorithme RSA, …).
Le principe de la signature électronique est alors expliqué dans le schéma ci-dessous, où :
M est le message envoyé par Alfred à Bob,
KS la clé secrète,
KP la clé publique, générée à partir de la clé privée KS via un algorithme irréversible,
M.S la signature du message, générée à partir du hash du message, transformé par
l'algorithme de signature.
15 nov 2004
69/189
A.ID
?
A.KS
A.KP
Clé privée
Clé
publique
Message
M.S
Création de la Signature
M
Alfred : Emetteur et
Signataire
Bob : Destinataire et
Vérifieur
La signature se déroule alors en deux étapes :
La première étape consiste, pour l’émetteur, à fabriquer le hash de son message,
La seconde étape consiste, toujours pour l’émetteur, à signer ce hash en le cryptant avec sa clé
secrète. Le résultat est appelé « signature Numérique », et est transmis en même temps que le
document lui-même.
Le récepteur qui reçoit le message et la signature peut s'interroger sur l'intégrité du message et sur
l'identité de l'émetteur.
Grâce à la clé publique de l’émetteur, qu’il se sera procurée préalablement, il peut [schéma cidessus] :
décrypter le hash reçu,
élaborer sa propre version du hash de l’information reçue,
comparer les deux versions du hash.
Si elles coïncident, le récepteur est quasiment certain que :
•
le message reçu est intègre par rapport au message d'origine,
•
la clé publique est, elle aussi, intègre,
•
le message a bien été envoyé par l’émetteur propriétaire de la clé publique,
Mais la question de l'association de la clé publique avec l'identité de l'émetteur du message reste
ouverte : cette question sera traitée dans la section (PKI).
3.6.5
Combinaison des techniques
Il est évidemment possible de combiner les techniques de cryptage symétrique, de cryptage
asymétrique et de signature électronique.
Par exemple, un protocole de transmission peut utiliser :
le cryptage symétrique sur l’information elle-même pour sa performance, spécialement dans le
cas de transmissions à haute vitesse,
et le cryptage asymétrique pour sécuriser l’initialisation d’une session de communication
(établissement de la clé symétrique).
Les algorithmes asymétriques sont plus complexes à implémenter que les algorithmes symétriques.
A longueur de clé identique, les temps de calcul sont donc plus longs.
15 nov 2004
70/189
De plus, la gestion des clés publique et secrète des utilisateurs s’avère d’autant plus lourde que l’on
veut garantir un niveau de sécurité élevé.
Au-delà de la notion d'algorithmes, cette gestion de clés (Key Management System), est devenue
une industrie à part entière : la PKI (Public Key Infrastructure), ou ICP (Infrastructure de Clés
Publiques) avec des méthodes, des technologies, et jusqu’à une législation particulières.
3.7
LA STEGANOGRAPHIE
3.7.1
Le but de la stéganographie
La technique de la stéganographie, considérée parfois à tord comme le chiffrement du pauvre, est
très utilisée selon la CIA, dans les vidéos et les sonos de Ben Laden ou par le cartel de medellin.
Du grec, Στεγανος (chiffrement), la stéganographie est une technique de dissimulation d’un secret
dans un message en clair. Alors que le chiffrement assure la confidentialité, l’intégrité et
l’authenticité d’un message, il attire aussi immanquablement l’attention des hackers. Un message
caché dans un message en clair (texte, image, son, vidéo) peut par contre transiter sans éveiller les
convoitises, ce qui rend la stéganographie redoutable.
La stéganographie est une technique de dissimulation de l’information, elle peut s’employer
facilement avec les systèmes numériques. Le principe de fonctionnement est de cacher des
données dans un fichier informatique « classique » (ex : Fichier sons, images, …) pour qu’il soit
difficile pour une personne non autorisée de retrouver l’information. La stéganographie n’est pas une
technique de chiffrement, elle se sert d’un document comme un medium de communication.
Le but de la stéganographie est de rendre le plus discret possible l’échange d’information, par
conséquent le message à faire transmettre ne peut pas être plus important que le medium qui le
contient car cela serait trop facilement détectable par des outils statistiques d’analyse de documents.
En effet, aujourd’hui avec les progrès de la cryptographie on sait déterminer par un certain nombre
d’outils si un fichier est de type texte, son, image ou autre. Il ne faut pas donc changer l’aspect
premier du medium. On en conclut donc que le fichier à dissimuler sera largement plus petit que le
medium.
3.7.2
Dissimuler l’information dans une image
Nous allons expliquer les techniques couramment utilisées et faciles à mettre en œuvre.
Nous savons déjà qu’il faut un gros medium pour un petit message à faire transmettre, la première
idée est de prendre une image ou un fichier audio, car ce sont des gros fichiers dans lesquels on
pourra donc cacher de l’information.
Attention cela n’est malheureusement pas vrai pour tous les formats de fichiers images ou sons, en
effet aujourd’hui le format image le plus usuel est le JPG qui compresse de façon destructif une
image originelle de type BMP. Autrement dit un fichier JPG est un fichier BMP de plus petite taille
(en octets, pas en dimension) car l’œil humain ne remarquera pas la perte d’information par la
compression destructive. Il en va de même pour le format MP3 par rapport au format WAV, etc…
La taille des fichiers JPG est moindre et l’altération de bits codant l’image à un impact très significatif
sur le rendu de l’image, ce qui signifie qu’on le remarquera aisément l’utilisation la stéganographie
comme technique de codage.
Prenons un exemple :
Nous allons considérer un cas simple avec l’utilisation comme médium d’un fichier BMP et un fichier
de données que nous allons incruster dans ce médium.
Nous allons altérer des bits de poids faibles (sans grande incidence sur la qualité de l’image) qui
permettent de construire une image source (le médium) avec les bits du fichier data que nous
souhaitons cacher.
15 nov 2004
71/189
Une image informatique BMP classique (= 24 bits) est divisée en 3 couleurs primaires : Rouge, Vert
et Bleu. Chacune de ces couleurs est codée sur 8 bits (1 octet) soit un total de couleurs d’environ :
2^8^3 = 256^3 = 16777216 couleurs (l’œil distingue environ une vingtaine de nuances).
Pour chaque pixel, sur les 8 bits, de chacune des trois couleur, du fichier médium, 1 bit sera
remplacé pour encoder le fichier de données (le bit de poids faible). C’est pourquoi la taille maximale
du fichier à cacher ne peut excéder 1/8 de la taille du médium, ce qui garantit que seulement 12,5 %
du fichier sera altéré au maximum ; les règles énoncées précédemment sont donc respectées.
3.7.3
Dissimuler l’information dans un texte
On peut appliquer le procédé de la stéganographie à tout fichier de taille importante et avec un
format non compressé, cependant cette technique n’est pas autosuffisante pour assurer la
confidentialité. La stéganographie ne s’emploie pas uniquement sur des fichiers image ou son, mais
avec n’importe quel médium comme du texte. Citons par exemple le poème de George Sand à
Alfred de Musset :
Je suis très émue de vous dire que j'ai
bien compris, l'autre jour, que vous avez
toujours une envie folle de me faire
danser. Je garde un souvenir de votre
baiser et je voudrais que ce soit
là une preuve que je puisse être aimée
par vous. Je suis prête à vous montrer mon
Affection toute désintéressée et sans calcul. Si vous voulez me voir ainsi
dévoiler, sans aucun artifice mon âme
toute nue, daignez donc me faire une visite
Et nous causerons en amis et en chemin.
Je vous prouverai que je suis la femme
sincère capable de vous offrir l'affection
la plus profonde et la plus étroite
Amitié, en un mot, la meilleure amie
que vous puissiez rêver. Puisque votre
âme est libre, alors que l'abandon où je
vis est bien long, bien dur et bien souvent
pénible, ami très cher, j'ai le coeur
gros, accourez vite et venez me le
faire oublier. À l'amour, je veux me soumettre.
Pour déchiffrer le message codé , il faut lire une ligne sur deux.
Dans la même veine, Alfred de Musset répondit à George Sand avec un poème qui contenait sa
propre méthode de déchiffrement :
Quand je vous jure, hélas, un éternel hommage
Voulez-vous qu'un instant je change de langage ?
Que ne puis-je, avec vous, goûter le vrai bonheur
Je vous aime, ô ma belle, et ma plume en délire
Couche sur le papier ce que je n'ose dire
Avec soin, de mes vers, lisez le premier mot
Vous saurez quel remède apporter à mes maux.
Et sans se démonter et avec la même clé de déchiffrement, George Sand répondit :
Cette grande faveur que votre ardeur réclame
Nuit peut-être à l'honneur mais répond à ma flamme.
3.8
LES VPN
Un VPN est un réseau privé virtuel à recouvrement construit au-dessus de réseaux de transit IP.
L’entreprise étendue et les communautés sont de plus en plus
interconnectées via les réseaux, pour des relations entre des sites distants,
15 nov 2004
72/189
avec des travailleurs à domicile, avec des clients, des fournisseurs, des partenaires, etc.
Les différents types de VPN identifiés pour répondre aux besoins des utilisateurs sont :
•
les VPN de type Intranet pour les communications entre sites d’une entreprise,
•
les VPN de type accès distant pour les utilisateurs qui veulent se connecter à distance au
moyen de postes de travail fixes ou mobiles à leur entreprise via un réseau public, filaire
ou sans fil,
•
les VPN de type Extranet pour des communications entre une entreprise et ses
partenaires, ses fournisseurs et ses clients.
Les VPN sont utilisés également pour réaliser :
•
des VPN administratifs, pour la télé-maintenance de machines ou de services Web
•
des VPN voix qui transportent et sécurisent la voix sur des réseaux convergés.
Un réseau privé virtuel est donc un tunnel qui s’établit sur un réseau entre deux passerelles. Après
authentification mutuelle entre ces deux passerelles, et échange d’une clé secrète de chiffrement,
les transactions sont chiffrées par la passerelle placée en entrée du tunnel puis déchiffrées par
l’autre passerelle placée en sortie, si la politique de chiffrement l’impose. Entre les deux passerelles
peut se trouver un réseau non protégé, voire un réseau public comme l’Internet. Les paquets IP qui
passent dans le réseau non protégé ne pouvant y être déchiffrés, l’utilisateur peut considérer, durant
le temps de passage des paquets entre les deux passerelles, que ses données ne pourront être lues
par des personnes non autorisées. Donc le temps de l’établissement du tunnel, le réseau non
protégé appartient virtuellement à cet utilisateur.
Ainsi un Réseau Privé Virtuel assure plusieurs fonctions :
15 nov 2004
73/189
•
•
•
•
3.8.1
L’authentification des deux extrémités du tunnel, pour s’assurer que les paquets arrivent
bien à la bonne destination, et partent bien de la bonne origine.
La confidentialité pour que les paquets ne puissent être lus durant leur transfert sur le
réseau non sécurisé.
L’intégrité pour éviter que les paquets puissent être altérés durant leur transfert.
La non-répudiation qui permet d’établir que les paquets reçus ont bien été envoyés.
Les VPN IPSec
Auteur : Michel Habert (Netcelo) [email protected]
Il y a une trentaine d’années, quand fut conçu le protocole IP, autour duquel l’Internet est bâti, il
n’était pas question de réseaux sécurisés. Bien au contraire, le but de l’Internet était de tout
partager, dans un monde essentiellement universitaire. Il y a une dizaine d’années, les entreprises
purent enfin utiliser ce média de communication. Apparurent alors la nécessité d’assurer un
adressage plus étendu, et le besoin de faire évoluer l’état du protocole, alors IPv4, vers un nouveau
protocole IP mieux adapté au monde commercial avec en particulier des fonctions d’authentification
et de chiffrement. l’IPv6, nouvelle norme des réseaux IP a été défini à cet effet.
Mais le passage de l’IPv4 à l’IPv6 impliquant d’importantes modifications dans les infrastructures
réseaux existantes, - on attend aujourd’hui la généralisation de l’IPv6 vers l’année 2005 - l’IETF
(l’Internet Engineering Task Force) proposa, en attendant, des extensions au protocole IPv4,
aujourd’hui décrites dans les RFC 2401 à 2409. C’est ainsi que l’IPSec fut défini, en natif dans l’IPv6
et ajouté à l’IPv4.
L’IPSec permet de créer un réseau privé virtuel entre un poste de travail et un serveur d’application
(mode transport) ou entre deux passerelles réseau (mode tunnel). Pour chacun de ces deux modes,
l’IPSec ajoute des champs supplémentaires aux paquets IP.
3.8.1.1 Qu’est ce qu’ IPSec ?
IPSec est un ensemble de protocoles, développés par l’IETF (Internet Engineering Task Force) dont
le but est de sécuriser le paquet IP et de réaliser des VPN. IPSec est indépendant des réseaux et
des applications, il supporte tous les services IP (exemple HTTP, FTP, SNMP,..).
Un protocole de sécurité
Les services de sécurité offerts sont l’intégrité en mode non connecté, l’authentification de l’origine
des données, la protection contre le rejeu et la confidentialité (confidentialité des données et
protection partielle contre l’analyse du trafic). Ces services sont fournis au niveau de la couche IP,
offrant donc une protection pour le protocole IP et tous les protocoles de niveau supérieur.
IPSec supporte plusieurs algorithmes de chiffrement (DES, 3DES, AES) et il est conçu pour
supporter d’autres protocoles de chiffrement.
L’intégrité des données est obtenue de deux manières: un “message digest 5 “de 128-bits (MD5)HMAC ou un algorithme de hachage sécurisé de 160-bits (SHA)-HMAC.
Pour assurer la confidentialité des données et l’authentification de leur origine, IPSec utilise deux
protocoles : AH et ESP.
Le protocole AH
Le protocole AH (Authentication Header) assure l’intégrité des données en mode non connecté,
l’authentification de l’origine des données et, de façon optionnelle, la protection contre le rejeu
en ajoutant un bloc de données supplémentaire au paquet. AH est un protocole très peu utilisé
par rapport au protocole ESP.
Le protocole ESP
Le protocole ESP (Encapsulating Security Payload) peut assurer, au choix, un ou plusieurs des
services suivants :
•
confidentialité (confidentialité des données et protection partielle contre l’analyse du trafic
si l’on utilise le mode tunnel),
15 nov 2004
74/189
•
•
•
intégrité des données en mode non connecté et authentification de l’origine des données,
protection contre le rejeu.
En mode transport, ESP traite la partie des paquets IP réservée aux données (mode
transport), en mode tunnel, ESP traite l’ensemble du paquet, données et adresses.
Un protocole d’administration IKE
IPSec inclut également un protocole administratif de gestion de clés : IKE (développé également par
l’IETF). IKE est un protocole d’administration « hors bande » et de gestion de clés servant à une
authentification forte et à un chiffrement des données. IKE comprend quatre modes : le mode
principal (Main mode), le mode agressif (Aggressive Mode), le mode rapide (Quick mode) et le mode
nouveau groupe (New Group Mode).
IKE est utilisé pour négocier, sous la forme d’associations de sécurité (SA) les paramètres relatifs à
IPSec. Préalablement à l’établissement d’un tunnel, le module IKE du correspondant initiateur établit
avec le module IKE du correspondant récepteur une association de sécurité qui va permettre de
réaliser cette négociation.
IKE procède en deux étapes appelées phase 1 et phase 2. Dans la première phase, il met en place
les paramètres de sécurité pour protéger ses propres échanges dans la SA ; dans la deuxième
phase il met en place les paramètres de sécurité pour protéger le trafic IPSec.
Par mesure de sécurité, les phases 1 et 2 sont réactivées périodiquement pour renégocier les clés.
Un protocole de VPN
IPSec est également un protocole VPN au même titre que d’autres protocoles VPN IP: PPTP, L2TP,
GRE ; il supporte un mode tunnel qui consiste à encapsuler le paquet IP de l’utilisateur dans un
paquet IP « le tunnel » à qui sont appliquées les fonctions de sécurité IPSec.
Un protocole pour traverser les appareils qui font du NAT (translation
d’adresses)
Entre deux correspondants VPN, il peut y avoir des équipements qui réalisent la fonction de
translation d’adresse NAT/PAT, par exemple des firewalls.
Ces équipements modifient les paquets IP lors de la translation d’adresse et de port. Ceci pose un
problème à IPSec lors du contrôle d’intégrité du paquet qui se trouve modifié.
Pour résoudre ce problème, le protocole NAT-traversal a été développé par l’IETF. Ce protocole
implémenté dans chaque correspondant VPN, encapsule le paquet IPSec dans un protocole
applicatif (UDP ou TCP) ce qui préserve le paquet IPSec de modifications lors de la traversée d’un
équipement NAT.
Les options IPSec/IKE
Les options sont nombreuses : le mode transport, le mode tunnel, l’intégrité et la confidentialité des
données sont optionnelles, il y a plusieurs modes d’authentification, il y a un mode manuel qui
15 nov 2004
75/189
n’oblige pas de disposer d’IKE, IKE a quatre modes, on peut sélectionner le protocole de
chiffrement, etc.
Les raisons de ces nombreuses options sont :
•
permettre l’implémentation d’IPSec sur des matériels d’entrée de gamme,
•
fournir un niveau de service adapté aux besoins de l’utilisateur.
La configuration d’IPSec
Le paramétrage d’IPSec que ce soit pour choisir les options ou définir les options fait l’objet d’une
politique de sécurité. Cette politique se traduit par des fichiers de configuration cohérents qui doivent
être enregistrés chez les correspondants VPN.
Un protocole très utilisé
IPSec a été au départ conçu pour le protocole IPV6. Une implémentation IPV6 doit obligatoirement
comporter IPSec. Cependant bien qu’il soit optionnel pour une implémentation IPV4, la plupart des
équipements de réseau et les systèmes supportent aujourd’hui IPSec.
Un protocole de sécurité à part entière
IPSec est également utilisé pour sécuriser des protocoles VPN comme PPTP, L2TP, GRE. Dans ce
cas IPSec est utilisé en mode transport.
Les performances IPSec
IPSec/IKE a un coût en terme de performances dû principalement :
•
A la latence induite par les trames de traitement et les échanges IKE,
•
Au nombre d’octets supplémentaires dans les paquets sécurisés par IPSec,
•
Au temps de traitement des paquets IPSec par les correspondants VPN hors chiffrement,
•
Au temps de chiffrement.
Ce coût n’est aujourd’hui pas rédhibitoire pour des implémentations d’IPSec /IKE sur des appareils
sans fil à faible puissance comme des PDAs. Par ailleurs l’augmentation de la bande passante des
réseaux de transit et la puissance des machines sont des facteurs qui vont minimiser de plus en plus
ce coût.
Des améliorations ont toutefois été apportées pour améliorer les performances IPSec/IKE :
•
introduction de nouveaux algorithmes comme AES, et de type Elliptic Curve Cryptography
(ECC) moins coûteux en traitements,
•
En compressant les données,
•
En faisant effectuer le chiffrement par du matériel,
•
En utilisant des techniques de hachage pour parcourir les tables de contexte IPSec dans
les correspondants VPN.
Les évolutions d’IPSec
L’IETF travaille à améliorer IPSec. Les travaux récents portent sur :
•
Le protocole NAT-traversal,
•
IKE V2 qui permet à un correspondant de travailler face à plusieurs autres correspondants
en tant qu’initiateur ou récepteur aussi bien en mode symétrique (peer-to-peer) que
client/serveur.
3.8.1.2 Caractéristiques d’un VPN IPSec
Un VPN IPSec utilise IPSec à deux niveaux :
•
pour réaliser un VPN qui interconnecte des correspondants par des tunnels,
•
pour la sécurité des tunnels.
15 nov 2004
76/189
Les correspondants
Les correspondants VPN sont soit des équipements intermédiaires (passerelles) qui desservent
plusieurs machines, soit des logiciels intégrés à des machines (stations, serveurs).
Les tunnels sont établis entre des correspondants. Lorsqu’un correspondant VPN est installé sur un
site client, le terme de CPE (Customer Premise Equipment) est utilisé, par opposition à un
correspondant VPN placé dans une infrastructure de réseau opérateur (exemple concentrateur de
collecte VPN IPSec pour un réseau MPLS).
Réseau
Réseaude
de
transit
transit
tunnel
Correspondants VPN
Réseau
Réseaude
de
transit
transit
tunnel
Correspondants VPN
Réseau
Réseaude
de
transit
transit
tunnel
Correspondants VPN
Les tunnels
Un tunnel est un canal bi-directionnel établi entre deux correspondants. Un tunnel peut multiplexer
plusieurs communications IP.
La réalité d’un tunnel dans le réseau de transit est un paquet IP qui encapsule un paquet utilisateur
et qui comprend des octets supplémentaires dus au protocole IPSec utilisé (protocoles AH, ESP).
Exemple application du protocole ESP en mode tunnel à un paquet IP
Avant application ESP
Après application ESP
L’adressage du tunnel
Chaque extrémité d’un tunnel a dans le cas le plus simple une adresse IP dans l’espace
d’adressage du réseau de transit. Dans des situations plus compliquées où des appareils qui
réalisent la fonction NAT sont placés entre le réseau de transit et le correspondant VPN il y a
15 nov 2004
77/189
des redirections de paquets pour qu’un paquet du tunnel transporté sur le réseau de transit
arrive à l’extrémité du tunnel chez le correspondant destination.
La sécurité du tunnel
IPSec sécurise le paquet IP transmis dans un tunnel, cette sécurité est robuste et si les
correspondants sont des CPEs, le protocole IPSec assure une sécurité permettant d’utiliser tout
type de réseau de transit : WLAN, Internet, …
Chaque extrémité d’un tunnel est associée à une zone représentée par un espace d’adressage
interne qui est desservi par le tunnel. Cette technique peut être utilisée à différentes fins : créer
des zones (zonage) ou réaliser du partage de charge en associant les tunnels à différents
correspondants sur un site.
L’adressage d’un VPN
Quand un paquet IPSec a été traité par un correspondant récepteur, il n’est plus encapsulé et
retrouve son aspect d’origine avant son entrée dans le tunnel côté correspondant émetteur. Ceci
signifie qu’à l’intérieur d’un VPN, un adressage interne est utilisé. Un VPN IPSec se comporte
comme un commutateur interne qui fait passer les paquets d’un sous réseau interne à un autre sous
réseau interne. L’adressage de tous les participants d’un VPN doit être cohérent comme sur un
réseau local comprenant plusieurs sous-réseaux. On utilisera les recommandations du RFC 1918
pour établir un plan d’adressage cohérent d’un VPN.
La topologie des VPN
Les VPN peuvent avoir différentes topologies : maillés, en étoile ou hub-and-spoke. Les VPN huband-spoke permettent à deux sites d’extrémité de communiquer via un routage par le site central.
Maillé
En étoile
Hub-and-spoke
Les types de VPN
Les VPN ont été classifiés à l’origine en VPN site-à-site (symétriques) et VPN accès distants
(client/serveur). Cette typologie devrait s’estomper avec la généralisation du mode symétrique (peerto-peer) applicable dès aujourd’hui à des postes clients.
L’administration d’un VPN IPSec
Administrer un VPN IPSec signifie administrer un réseau et la sécurité de ce réseau. C’est
administrer un ensemble de correspondants VPN distribués.
Une administration centralisée basée sur des politiques est nécessaire pour tirer partie de la
méthode de configuration d’un correspondant VPN (basée sur des politiques) et pour assurer une
cohérence entre les configurations des correspondants amenés à communiquer.
Par rapport à une administration de réseau classique, la dimension sécurité est importante. Par
exemple, la gestion de certificats pour les correspondants VPN nécessite les services d’une PKI.
Le rôle des VPN IPSec dans la sécurité
Avec la généralisation de l’utilisation de réseaux de transit vulnérables comme les WLAN et Internet,
IPSec devient incontournable pour sécuriser les échanges réseau. Les VPN IPSec sont utilisables
aussi bien dans l’entreprise que pour les échanges de l’entreprise étendue entre différents sites,
pour des accès distants et pour des échanges avec des partenaires. La sécurité VPN est
complémentaire avec la sécurité qui protège le site ou le poste d’accès à internet et qui est basée
15 nov 2004
78/189
sur les techniques de firewall, de détection et de prévention d’intrusions et de contrôle de contenu
(anti-virus, filtrages URL, anti-spam).
La tendance actuelle est l’apparition de nouveaux matériels et logiciels qui rassemblent la plupart de
ces fonctions. Les nouvelles générations de passerelles et de routeurs vont intégrer un anti-virus en
plus de la fonction IDS, firewall et VPN IPSec.
3.8.2
Les VPN-SSL ou l’accès distant sécurisé nouvelle génération
Auteur : Alain Thibaud (F5 Networks) [email protected]
Les solutions de VPN-SSL offrent un accès distant qui répond à la fois aux besoins des
administrateurs et des utilisateurs finaux.
Il permet aux entreprises de fournir l’accès distant sécurisé, fiable et intuitif que demandent les
utilisateurs, sans les migraines et le temps passé à l'installation et à la configuration des logiciels
clients, et sans devoir modifier les applications côté serveur.
3.8.2.1 Un accès réseau approprié par type d’utilisateur
Le VPN ou (Réseau Privé Virtuel) SSL assurent l'accès le plus large aux utilisateurs des ressources
réseau de l'entreprise. Nous pouvons regrouper les types d'utilisateurs en quatre catégories, leur
offrant un accès sécurisé approprié tel que défini par l'administrateur réseau.
L'utilisateur de PC portable de l'entreprise
Egalement appelé utilisateur "de confiance", est un employé utilisant des équipements fournis et
maintenus par l'entreprise. Pour ces utilisateurs, le connecteur VPN offre un accès distant à la
totalité du réseau sans aucune modification aux applications, que ce soit côté serveur ou côté
client. Cette solution apporte aux administrateurs la possibilité de détecter les virus et de mettre
en œuvre les antivirus et firewall standards.
L'utilisateur de kiosques ou d'ordinateur domestique
Est un employé qui nécessite un accès aux ressources de l'entreprise depuis un dispositif qui
n'est pas fourni et maintenu par l'entreprise (également qualifié de dispositif "non éprouvés").
Pour ces utilisateurs, les adaptateurs VPN-SSL proposent l'accès à une large gamme
d'applications et ressources du réseau, depuis le partage de fichiers jusqu'aux applications
mainframe. Le système VPN-SSL masque l'identité des ressources réseau via un mapping de
l'URL et élimine les données sensibles, laissées derrière par le navigateur et la session de
l'application.
L'utilisateur partenaire
Est un non employé utilisant du matériel fourni et maintenu par une autre entreprise, avec des
normes inconnues. Il est également qualifié de "non éprouvé". L'utilisateur du partenaire
commercial nécessite généralement l'accès à des ressources limitées afin de réaliser des
partages de fichiers ou d'accéder à l'extranet. Le dispositif VPN permet aux administrateurs
d'offrir à ces utilisateurs un accès limité et approprié aux applications et sites de l'extranet via
l'adaptateur Web. Le VPN-SSL offre une sécurité au niveau des couches applicatives et peut
protéger contre les attaques des applications telles que les attaques de scripts à travers le site,
directement sur les serveurs Web internes.
L'utilisateur de dispositif mobile
Est un employé qui a besoin d'accéder au réseau depuis un dispositif mobile personnel. Pour
les utilisateurs de Palm® OS, PocketPC, WAP et de téléphones iMode, le VPN-SSL permet aux
utilisateurs mobiles d'envoyer et recevoir des messages, de télécharger des attachements et
d'attacher des fichiers du LAN aux e-mails.
3.8.2.2 Les fonctions de sécurité du VPN-SSL
Les administrateurs trouvent souvent difficile de supporter les systèmes d'accès distants. Le haut
niveau de maintenance requis pour administrer les groupes d'utilisateurs et déployer les mises à
jour, tout en maintenant la sécurité du réseau et l'accès des utilisateurs, est vraiment complexe. Les
15 nov 2004
79/189
solutions anciennes offraient des possibilité d'authentification limitées pour garder la trace des
utilisateurs du réseau ou pour donner des indications précieuses afin de régler les problèmes
lorsqu'ils surviennent.
Voici, quelques exemples de fonctions de sécurité présentes dans une appliance de VPN-SSL :
Contrôle granulaire.
Les administrateurs disposent d'un contrôle rapide et granulaire sur leurs ressources réseau. Il
supporte les règles autorisant l'accès aux applications en fonction du dispositif d'affichage utilisé
pour l'accès distant.
Authentification stricte de l'utilisateur.
Par défaut, les utilisateurs sont authentifiés vis à vis d'une base de données interne au
système, en utilisant un mot de passe. Mais il peut également être configuré pour exploiter les
méthodes d'authentification RADIUS et LDAP, l'authentification HTTP de base et par
formulaires, et les serveurs de domaines Windows.
De nombreuses entreprises exigent une authentification à deux facteurs, consistant à utiliser
une méthode supplémentaire, au delà du profil et du mot de passe. Ce type de solution
supporte complètement l'authentification RSA SecurID® basée sur les jetons. et il propose
également une version intégrée de VASCO Digipass®.
⇒ Internal user database
⇒ RADIUS authentication
⇒ VASCO DigiPass authentication
⇒ LDAP authentication
⇒ Initial signup on LDAP with subsequent strong internal password
⇒ Windows domain authentication
⇒ HTTP Form & Basic authentication
Auto login
La fonction d’auto login permet à la solution de VPN SSL de réutiliser le login /passsword fourni
par l’utilisateur pour s’authentifier pour une nouvelle authentification auprès des applications de
l’Entreprise auxquelles il souhaite accèder :
⇒ Web interne,
⇒ Citrix,
⇒ Windows Terminal server,
⇒ Fichiers partagés NT,
⇒ …
Double mot de passe
La mise en œuvre d’une stratégie d’authentification forte lors de la connexion sur la solution de
VPN SSL nécessite l’utilisation du mot de passe pour l’authentification forte et le mot de passe
statique utilisé en interne si l’utilisateur souhaite accéder aux applications avec la fonction
d’auto login.
Cette solution est supportée par les solutions de VPN SSL. Il existe deux stratégies pour
effectuer ce type d’authentification forte:
⇒ L’utilisateur fournit les deux mots de passe lors de son authentification sur la
solution de VPN SSL,
⇒ L’utilisateur fournit uniquement son mot de passe d’authentification forte
pour ce connecter sur la passerelle, puis sa première authentification sur
une application sera cachée par la solution VPN SSL et sera utilisée pour
l’auto login aux autres applications.
Le mapping de groupe
La fonction de mapping groupe permet de récupérer en Radius, LDAP, ActivDirectory ou NTLM
le groupe d’un utilisateur et le faire correspondre à un des groupes configurés sur le VPN-SSL.
Cette fonctionnalité permet :
15 nov 2004
80/189
⇒
⇒
De faire correspondre un utilisateur à un profil du boîtier en utilisant la
stratégie de groupe de l’Entreprise centralisée sur un serveur.
De mettre en œuvre des stratégies d’authentification différentes selon le
groupe de l’utilisateur.
La Gestion des autorisations
Les privilèges d'accès peuvent être attribués à des individus ou à des groupes d'utilisateurs (par
exemples "Commerciaux", "Partenaires", "Informatique"). Ainsi, le VPN-SSL peut limiter les
individus ou groupes à des ressources particulières. Les partenaires peuvent, par exemple,
n'avoir le droit d'accéder qu'à un serveur d'extranet, tandis que les commerciaux peuvent se
connecter aux e-mails, à l'intranet de l'entreprise et aux systèmes de CRM.s
3.8.2.3 Les fonctions d’audit et reporting
Il fournit aux administrateurs des rapports sur les journaux de sessions et d'activations. Des rapports
de synthèse regroupent l'utilisation par jour de la semaine, heure, OS accédé, durée de la session et
type de fin de la session, pour une durée paramétrable par l'utilisateur. Des rapports détaillés, avec
fonctions de forage, offrent un accès complet et granulaire à toutes les données sur les utilisateurs
finaux.
“Pour les entreprises nécessitant un accès distant souple à leurs applications, les systèmes de VPN
SSL sans client offrent une solution fiable et sécurisée. Pour une sécurité accrue, particulièrement
critique lorsque les applications sont accessibles par les partenaires, les entreprises devraient
évaluer les solutions offrant des possibilités de filtrage au niveau des couches applicatives telles que
la prévention des attaques de scripts à travers le site et la mise en œuvre de trafic HTTP compatible
RFC.”
David Thompson, Senior Research Analyst au META Group
3.8.2.4 Installation rapide, déploiement facile et évolutif
Pour les administrateurs, le contrôleur élimine les coûts associés aux VPN distants traditionnels, qui
nécessitent l'installation de logiciels client sur chaque dispositif et/ou des modifications aux
ressources centrales accédées. Ceci simplifie considérablement les déploiements et diminue le
temps de mise en œuvre. Généralement, un VPN-SSL peut être installé en quelques heures au
lieu des quelques jours ou semaines que demandent les systèmes traditionnels. Il peut ajouter
automatiquement des utilisateurs en authentifiant l'utilisateur auprès d'un serveur AAA et en
affectant l'utilisateur à un groupe défini dans l'annuaire de l'entreprise.
3.8.2.5 Administration facile et coût de maintenance réduits
Outre une installation rapide, Les VPN-SSL offrent une interface d'administration intuitive et
familière, basée sur un navigateur Web. Cette interface est personnalisable afin de permettre
d'ajuster l'apparence et le comportement du produit à votre intranet d'entreprise. Parce qu'il s'agit
d'une solution sans client, les coûts de support sont considérablement réduits. La maintenance des
systèmes clients est éliminée et il n'est pas nécessaire de modifier ou mettre à jour les ressources
réseau, les dispositifs distants ou l'architecture réseau.
15 nov 2004
81/189
Description :
1. Le boîtier SSL est dans une DMZ. Les flux en provenance des utilisateurs vers la solution VPN
SSL sont gérés par un Firewall et les flux vers les applications en provenance de la passerelle
VPN SSL sont gérés par un deuxième Firewall.
2. Le firewall1 filtre les accès et les flux de données en SSL en provenance des utilisateurs.
3. Le Firewall2 filtre les accès de la solution VPN SSL vers les applications de l’entreprise.
3.8.2.6 « Webifyer » ou « webification » des applications
Les webifyers permettent aux utilisateurs distants à partir de leur browser d’accéder à un grand
nombre d’applications et de ressources de l’entreprise qui ont ou n’ont pas d’interface Web. La
solution de VPN-SSL leur fournira celle-ci.
Exemple de « webification » d’application:
Systèmes de fichiers NT ou NFS
Accès à la sa messagerie en POP3 ou IMAP4
Terminal services : Citrix, WTS ou VNC
Host Access : VTxxx , ssh, telnet, 3270, 5250
X Window Access : X11, Gnome, KDE, TWM, Openwindows
Desktop
3.8.2.7 Tunnel Applicatif ou translation de port : Solutions Client/Serveur
Le Tunnel Applicatif permet de supporter les applications de type Client Server pour les ordinateurs
d’utilisateurs distants. Cette solution permet de créer un tunnel sécurisé dédié uniquement à
l’application utilisée. Elle permet de fournir une plus grande flexibilité pour la restriction des
applications accessibles par les utilisateurs.
La passerelle VPN-SSL fournit en standard des « templates » de configuration pour les applications
les plus utilisées. Mais il est possible de customiser des applications propriétaires à l’entreprise.
Fonctionnement :
15 nov 2004
82/189
3.8.2.8 VPN-SSL ou l’accés au réseau d’entreprise
La fonction d’accès au réseau d’entreprise d’une solution VPN-SSL permet d’utiliser toutes les
applications au-dessus d’IP : UDP, TCP, ICMP. La passerelle VPN-SSL avec cette fonctionnalité
permet de supporter tous les types d’applications au dessus d’IP, tel que la vidéo conférence, le
streaming video, la voix sur IP : H323, SIP , …
Description
•
Le VPN SSL est similaire au VPN IPSec, il est totalement transparent
•
Il est permet de créer un tunnel sécurisé pour tous types d’applications au dessus d’IP :
TCP/UDP, ICMP, …
•
L’ordinateur de l’utilisateur aura l’attribution d’une adresse IP qui pourra être routée dans le
réseau de l’entreprise.
•
Aucune configuration particulière n’est nécessaire sur le poste de l’utilisateur avant la
création du VPN SSL.
•
Le split tunneling permet à l’administrateur de spécifier quels sont les réseaux qui seront
atteints à travers ce tunnel sinon la totalité du trafic empruntera le tunnel.
•
Il est possible à l’administrateur de vérifier avant l’établissement un certain nombre de
paramètres de sécurité sur le poste de l’utilisateur :
⇒ Présence ou pas d’un Firewall et/ou d’un anti-virus et/ou d’un autre type
d’application,
⇒ Vérifier la version de ces types d’application,
⇒ Template pour les différentes applications utilisées,
⇒ L’IP Forwarding est dévalidé,
⇒ Vérification des tables de routage,
⇒ Vérification des paramètres qui doivent être valides sur le poste client
⇒ Site de quarantaine si un ou plusieurs points vérifiés ne seraient pas
corrects pour permettre à l’utilisateur de les corriger par une mise à jour
d’une version logicielle par exemple.
•
Le tunnel SSL établit une liaison PPP entre le client distant et le VPN-SSL. L’ensemble du
trafic en provenance du client sera routé vers le réseau de l’entreprise.
Fonctionnement :
3.8.2.9 VPN SSL et anti-virus
La solution VPN SSL doit supporter les différentes solutions d’Anti-Virus pour permettre à
l’entreprise de contrôler les fichiers que l’utilisateur introduirait dans celle-ci. La passerelle VPN-SSL
supporte en interne une solution d’Anti-Virus, mais les besoins de l’entreprise sont de supporter les
solutions internes à celle-ci, ainsi le support du protocole ICAP permet l’interconnexion pour la
décontamination des fichiers transférés entre l’utilisateur et le réseau interne avec des solution
d’Anti-Virus qui intègrent ce protocole.
Les solutions d’Anti-Virus supportant ICAP sont par exemple :
Trend Micro,
Symantec,
Sophos,
15 nov 2004
83/189
…
Les solutions de VPN-SSL sont souvent présentées sous forme de boitier/serveur rackable, mais
certains fournisseurs les présentent sous forme logicielle.
3.8.3
VPN IPSec ou SSL: Les critères de décision
Auteur : Philippe Clost (Juniper- Netscreen) [email protected]
3.8.3.1 L’accès sécurisé
Garantir un accès sécurisé aux ressources des entreprises est devenu un élément critique pour les
entreprises et constitue un critère de comparaison de leur réussite. Que les utilisateurs soient sur un
site éloigné ou dans leur chambre d’hôtel, ils ont besoin d’un accès facile aux ressources de leurs
sociétés pour remplir leur mission et maintenir leur productivité. En plus de cela, des sociétés
partenaires et des clients nécessitent de plus en plus un accès en temps réel à des ressources et
des applications de l’entreprise.
Au début des années 90, peu de solutions étaient disponibles pour accéder à distance au réseau
d’entreprise (site central). Ces solutions étaient excessivement chères et très peu flexibles à l’image
des liaisons louées et réseaux privés. Cependant, l’explosion d’Internet et de son utilisation ont
permis l’émergence des réseaux privés virtuels (VPN), solution alternative pour les réseaux
d’entreprises. La plupart des solutions proposées utilisent les services reposant sur l’infrastructure
de transport IP et le protocole IPSEC pour assurer une solution flexible et plus économique d’accès
sécurisé.
Si les VPN IPSEC conviennent parfaitement à des liaisons de type site à site, par contre, son
utilisation et leur déploiement pour les employés mobiles restent encore onéreux, voire pratiquement
impossible dans le cas d’interconnexion partenaires ou de clients. Ce constat a permis l’éclosion de
solutions VPN SSL, permettant aux employés mobiles, aux partenaires ainsi qu’aux clients d’offrir un
moyen facile pour accéder en toute sécurité aux ressources dont ils ont besoin. Les VPN SSL et les
VPN IPSEC, de manière complémentaire, permettent aux entreprises de mettre en place un accès
sécurisé au réseau de l’entreprise des sites distants et des utilisateurs nomades.
Quelles sont les différences qui existent entre le VPN SSL et le VPN IPSEC et quels sont les critères
qui permettent de décider quelle technologie est la mieux adaptée pour chaque type de business ?.
3.8.3.2 Les VPN de niveau 3 ou les VPN IPSEC ?
Les VPN IPSEC ou les VPN de niveau 3 (couche réseaux) offrent un moyen facile, économique pour
acheminer des communications entre différents sites, en gardant une connectivité et flexibilité
maximales pour satisfaire les besoins accrus des utilisateurs. Ils ont été créés comme alternative
plus économique que les liaisons privées et les liaisons louées pour utiliser l’infrastructure de
l’Internet pour élargir le réseau privé à d’autres sites distants.
Concrètement, les VPN de niveau 3 lancent un défi : comment utiliser l’Internet (qui utilise le
protocole IP et transmet les données en clair), réseau public par excellence, pour transporter du
trafic sensible qui utilise moult protocoles ? Les VPN IPSEC combinent des fonctions
d’encapsulation et de chiffrement pour gagner ce défi. Ils utilisent des protocoles de négociation
entre pairs tels que IPSEC pour encapsuler les données transférées dans un « emballage » IP qui
va transiter sur Internet.
Ces données encapsulées sont reçues par la passerelle VPN IPSEC, décryptées et routées vers le
destinataire. Les flux provenant de la passerelle VPN IPSEC sont acheminés exactement comme
n’importe quel flux d’utilisateur dans le LAN. Cette solution s’avère performante pour faciliter des
communications régulières entre utilisateurs se trouvant sur des sites distants pour améliorer la
productivité de l’entreprise au sens large.
Cependant dans certains cas, un accès aussi « large » n’est pas nécessaire. Un employé nomade,
par exemple, peut juste avoir besoin de consulter ses e-mails ou récupérer certains documents de
l’intranet sans avoir besoin d’un tunnel réservé qui permet l’accès à toutes les ressources du réseau.
En outre, ce niveau d’accès peut introduire des risques lorsque le « point terminal » sur lequel
l’utilisateur se trouve n’est pas sécurisé et facilement manipulable. S’il est facile de sécuriser des PC
15 nov 2004
84/189
sur les LAN, de telles mesures de sécurité sont difficiles et onéreuses à implémenter pour des PC
mobiles dans des réseaux qui ne sont pas gérés. Par conséquent, toutes les communications qui
proviennent de terminaux et qui ne sont pas sous contrôle se verraient restreindre les ressources
disponibles et n’auraient plus de communication permanente, afin d’atténuer les vulnérabilités du
système de sécurité mis en place. Par exemple, les employés mobiles qui se connectent depuis un
réseau extérieur à une ressource ou à une application devraient être autorisés uniquement à utiliser
les ressources et les applications sollicitées, et il est inutile de leur allouer toutes les ressources du
réseau local.
De même, les entreprises partenaires peuvent être autorisées à utiliser seulement certaines
ressources et on ne doit pas leur accorder un accès total.
Il faut en outre considérer pour les VPN IPSEC le niveau de gestion des ressources disponibles
aussi bien pour le déploiement que pour la maintenance.
Tous les employés mobiles et les télétravailleurs qui se trouvent à des points non gérés par
l’entreprise doivent installer des logiciels sur leurs PCs. Pour les entités désireuses d’offrir un accès
sécurisé à des centaines ou à des milliers d’employés mobiles, le déploiement, les mises à jour et la
gestion de tous les clients s’avèreraient coûteuses en temps et en argent.
Si on ajoute les partenaires des entreprises et leurs clients, les difficultés sont décuplées.
Bien que les VPN IPSEC représentent un investissement approprié pour des sites distants, des
succursales ou des agences régionales où une connectivité au site central hautement fiable et
disponible est requise, les clients IPSEC pour des employés mobiles représentent, dans certains
cas, un investissement peu adapté aux besoins, au vu des contraintes inhérentes à cette
technologie (utilisation de logiciels spécifiques). Un constat similaire est fait dans le cas de
connectivité avec des partenaires et/ou clients.
En outre, les VPN IPSEC ne prennent généralement pas en charge des moyens d’accès propres
aux employés mobiles tels que les kiosques d’Internet et les PDAs.
C’est cet environnement qui a donné naissance au VPN SSL offrant une solution facile à utiliser pour
les employés mobiles, les partenaires des entreprises. Cette nouvelle solution complète l’offre des
VPN IPSEC pour du site à site qui permet une infrastructure de communication fiable et puissante.
3.8.3.3 Qu’est ce que le VPN SSL ?
Le terme VPN SSL désigne une nouvelle gamme de produits à forte croissance utilisant plusieurs
technologies. Pour définir les différentes technologies et produits qui se trouvent sur cette gamme,
nous pouvons commencer par définir le terme VPN. ou Virtual Private Network qui fait référence à
l’utilisation d’un réseau public tel que Internet pour transmettre des données privées. Jusqu'en 2001,
toutes les solutions utilisaient un transport de couche réseau. Le premier standard entériné fut le
protocole IP Sécurisé (IPSEC), cependant quelques vendeurs ont utilisé d’autres méthodes, tels que
« Layer 2 tunneling protocol « (L2TP) ou le protocole Point-to-Point tunneling Protocol (PPTP).
Les VPN SSL utilisent une philosophie différente pour transporter des données privées sur Internet.
Contrairement à la technologie IPSEC, qui nécessite l’installation d’un client IPSEC sur un ordinateur
portable de l’entreprise par exemple, SSL utilise HTTPS/SSL disponible sur tous les navigateurs
classiques sans ajout logiciel, pour garantir un accès sécurisé. En utilisant la technologie VPN SSL,
la connexion entre l’employé mobile et la ressource interne s’établit via une connexion Web sur les
couches applicatives contrairement à IPSEC qui ouvre un tunnel au niveau de la couche réseau.
L’utilisation de SSL est idéale pour les nomades vu que :
L’utilisateur n’a pas besoin de télécharger SSL pour accéder aux ressources de l’entreprise
L’utilisateur n’a pas besoin de configurer son poste de travail
SSL est disponible sur tous les navigateurs, les utilisateurs peuvent accéder aux ressources à
partir de tout poste disposant d’un navigateur.
L’utilisation d’un VPN SSL est facile, ne nécessite aucune configuration et elle est accessible à tout
type d’utilisateurs, sans compétence technique particulière.
15 nov 2004
85/189
Aucune mise à jour n’est requise pour le SSL, ce qui est un atout majeur par rapport à IPSEC. Le
SSL est indépendant de tout système opérationnel car il se déploie sur les couches applicatives et
tout changement de ces systèmes opérationnels ne requiert aucune mise à jour pour
l’implémentation du SSL.
Comme la technologie SSL prend son essence dans les couches applicatives, un contrôle d’accès
aux applications extrêmement granulaire devient possible, ce qui en fait une solution idéale pour les
employés mobiles et tous les utilisateurs qui accèdent à partir de points d’accès non sécurisés.
3.8.3.4 IPSEC ou SSL VPN ?
Un grand nombre d’utilisateurs se demandent laquelle des deux technologies doit être
déployée ? Qui de IPSEC ou SSL convient le mieux pour les politiques de sécurité
mises en place et quelle est la technologie qui permet de résoudre au mieux les
différents problèmes ? Quel est le prix réel à payer pour déployer et administrer une
solution basée sur IPSEC et SSL ?
Cette ambiguïté n’est pas atténuée vu que tous les débats sur IPSEC et SSL sont largement
orientés sur des détails techniques des protocoles utilisés, alors que le critère de décision entre ces
deux technologies dépend essentiellement de l’usage que l’on veut en faire.
IPSEC et SSL ne sont pas antagonistes et ne sont pas des technologies exclusives. IPSEC et SSL
peuvent - c’est souvent le cas - être déployés dans la même entreprise. Le critère de choix
déterminant n’est pas lié au débat de ce que peut faire chaque protocole, mais à ce que peut
accomplir chaque déploiement. Lorsque les coûts ou les avantages de chaque type de déploiement
sont considérés, comme associés aux problèmes que chaque technologie se propose de résoudre,
le choix de déploiement devient plus clair.
Les administrateurs désireux de réaliser des liaisons site à site hautement performantes et
redondantes assurant des opérations de secours se tourneront plutôt vers des solutions VPN
IPSEC. Ces solutions ont été créées pour garantir aux employés à partir de n’importe quel point du
globe un accès aux ressources de l’entreprise auxquelles ils ont droit.
Pendant des années, les solutions VPN IPSEC offraient une connectivité fiable et disponible,
indispensable pour des communications inter-sites distants au sein de l’entreprise. Ils permettent
aux utilisateurs situés sur des sites distants d’accéder aisément aux ressources centrales de
l’entreprise, tout comme le feraient les employés qui se trouvent sur le LAN du site central.
Les administrateurs, qui souhaitent que des employés mobiles et d’autres utilisateurs ne provenant
pas d’une zone de confiance accèdent à certaines ressources de la société seront plus enclins à
utiliser du VPN SSL. En effet, cette technologie se propose de satisfaire les besoins d’accès
sécurisé des employés mobiles, des partenaires ainsi que des clients à certaines ressources de la
société de n’importe quel endroit.
Les solutions VPN SSL permettent aux administrateurs de construire des stratégies de contrôle
granulaires atteignant les niveaux serveur, voire fichiers pour les utilisateurs qui veulent y accéder.
Ces fonctionnalités atténuent les risques d’accès aux ressources de l’entreprise d’entités non
protégées, des réseaux de faible voire non sécurisé ainsi que d’utilisateurs non autorisés. De cette
façon, les VPN SSL offrent aux utilisateurs la possibilité de se raccorder à certaines ressources des
entreprises avec un navigateur Internet à partir de n’importe quel endroit.
3.8.3.5 Coût total de la possession ou TCO (Total Cost of Ownership)
Le TCO est un paramètre fondamental dans le choix de la technologie à déployer.
Encore une fois, il est essentiel de regarder le déploiement plutôt que la technologie pour prendre la
bonne décision. Si le besoin s’apparente à des liaisons site à site typiquement pour les sites distants
ou les succursales, les VPN IPSEC semblent une solution logique ayant un coût raisonnable. Les
utilisateurs dans ce cas se trouvent dans le même LAN sans avoir à administrer de clients isolés.
Par contre, la multitude et variété de types d’accès susceptibles d’être utilisées par des employés
mobiles, partenaires et clients rendent les solutions VNP SSL plus adaptées. Les administrateurs
peuvent garder leurs stratégies d’authentification, créer des politiques de sécurité granulaires et
15 nov 2004
86/189
déployer un accès à différents types d’utilisateurs en quelques heures sans avoir à déployer, à
configurer ou à gérer des logiciels propres à chaque client.
3.8.3.6 La sécurité
Les comparaisons entre IPSEC et SSL conduisent souvent à l’éternel débat « quel est le protocole le
plus sûr » ? En réalité, ce débat a très peu d’incidence sur le choix entre VPN SSL et VPN IPSEC
pour un accès dans le cas d’employés mobiles ou de liaisons site à site. Les deux protocoles se
fixent les mêmes objectifs, se basent sur un échange de clés et offrent une protection forte des
données pendant le transport. En dépit de différences inhérentes aux protocoles, IPSEC et SSL se
ressemblent fortement. Les deux technologies sécurisent les flux IP et permettent des échanges, ce
qui les rend utilisables pour différentes applications.
Bien que les deux protocoles soient fondamentalement différents, ils ont des points en commun tels
que le chiffrement, l’authentification et les protocoles d’établissement des clés de session. Chaque
protocole supporte les mêmes procédés de chiffrement, d’intégrité et d’authentification : 3DES, AES,
MD5 ou SHA1.
L’accès au réseau
Les VPN IPSEC ont été développés pour élargir virtuellement le réseau LAN de l’entreprise ou
certains de ces segments. Ce type d’accès est vital pour des sites distants, où les employés
demandent un accès illimité pour une meilleure efficacité. Comme les utilisateurs des liaisons site à
site sont assujettis aux mêmes restrictions que les employés du LAN de la société, cette extension
virtuelle ne constitue en aucune manière un risque supplémentaire pour le déploiement du LAN. Ces
restrictions de sécurité ne peuvent pas effectivement être étendues à des utilisateurs mobiles, des
partenaires d’entreprises ou clients qui souhaitent accéder à certaines ressources à partir de
différents types d’équipements et/ou de réseaux.
Pour ce type de besoins, les VPN SSL réduisent les risques d’accès avec un coût raisonnable. SSL
a souvent été critiqué pour permettre un accès à partir de différents types d’équipements, incluant
ceux qui ne sont pas gérés par l’entreprise et aussi pour sa facilité de déploiement vers un large
éventail d’utilisateurs. En pratique, ces critiques sont injustes. Aujourd’hui, plusieurs solutions VPN
SSL intègrent des méthodes de vérification et de mise en application de la sécurité de l’utilisateur,
ainsi qu’un effacement total des informations téléchargées lors de chaque session.
L’accès aux applications
Les VPN IPSEC prennent en charge toute application basée sur IP. Pour un produit VPN IPSEC,
tous les paquets IP sont les mêmes. Par conséquent, ils constituent la solution naturelle pour le
déploiement de liaison site à site où il est inacceptable de limiter l’accès aux ressources ou
applications au réseau LAN de l’entreprise.
Les applications/ services des solutions VPN SSL varient d’un vendeur /produit à un autre. En effet,
chaque vendeur propose sa propre solution de présentation d’interfaces clientes au travers de
navigateurs web, de relais des flux applicatifs et au travers de passerelles d’intégration aux serveurs
internes.
Par le passé, la technologie SSL était critiquée car chaque application devait être « Web-isée »,
nécessitant le développement d’une nouvelle fonctionnalité et la distribution d’un nouveau logiciel.
Ce problème est aujourd’hui résolu par les acteurs majeurs qui proposent des produits qui
garantissent un accès « clientless » aux ressources Web, un accès aux applications de type
client/serveur. En définitive, les VPN SSL peuvent être utilisés pour sécuriser l’accès à quasiment
toutes les applications existantes pour différents types d’utilisateurs.
Encore une fois, si l’objectif est d’offrir aux utilisateurs un accès de niveau réseau à partir
d’équipements gérés situés dans des réseaux de confiance, les VPN IPSEC sont les plus
appropriés. Mais si le résultat visé pour le déploiement est de permettre à des employés mobiles ou
à des utilisateurs se trouvant dans des endroits non contrôlés, comme les partenaires, un contrôle
d’accès à des ressources spécifiques de la société, les VPN SSL conviennent parfaitement.
La Gestion de l’accès
15 nov 2004
87/189
Un autre aspect à prendre en considération est le contrôle d’accès. Si les VPN IPSEC utilisent le
filtrage des paquets comme moyen de sélection, dans la pratique les organisations accordent l’accès
à de multiples réseaux plutôt que de prendre la peine de modifier ou de créer des règles de sécurité
lors de changements d’adresse IP ou pour de nouvelles applications. Si le besoin est de permettre
un accès à des serveurs privés pour un groupe d’utilisateurs de confiance les VPN IPSEC sont un
excellent choix. Parallèlement, si le déploiement cible nécessite un accès de contrôle plus fin : par
utilisateur, par événement, par ressource, VPN SSL est le meilleur choix parce qu’il opère sur les
couches applicatives rendant de tels contrôles plus aisés à implémenter. De nouvelles
fonctionnalités de gestion de contrôle d’accès permettent d’effectuer une authentification dynamique,
associée à une mise en place très flexible et granulaire d’autorisation par ressource et permettent
d’adhérer à la politique de sécurité pour un coût raisonnable.
3.8.3.7 Conclusion
La question la plus importante n’est pas « Quel protocole offre le meilleur chiffrement ? »,
mais véritablement, « Quelle est la technologie dont la sécurité convient le mieux aux
besoins d’une solution d’accès distant ? »
IPSEC peut être utilisé pour sécuriser tout trafic IP alors que SSL se focalise sur le niveau
applicatif. Fort de ces constats, IPSEC est mieux adapté dans le cas de connexions de longue durée
où des connexions ouvertes de niveau réseau permanentes sont requises. SSL, de son côté est
mieux adapté aux systèmes où l’accès à des ressources et/ou à des applications par individu ou
groupe est nécessaire.
Les plus et les moins de IPSEC et SSL
Plus
SSL
IPSEC
3.9
Clients inclus dans les navigateurs Web
Prévu pour les applications Web
Moins coûteux que IPSec
Déploiement facile
Le client s'authentifie par un moyen sûr
Les postes distants sont facilement mis
à jour
La connexion niveau réseau donne un
accès indépendant des applications
Moins
Les postes clients peuvent ne pas être
connus
Authentification par certificats
L'information sensible peut être sur les
postes clients
Lie l'utilisateur à son poste de travail
Demande un déploiement pour chaque
utilisateur qui veut l'utiliser
Demande du support
LE CHIFFREMENT DES DONNEES SUR DISQUE
15 nov 2004
88/189
Le poste de travail nomade quand il n’est pas connecté au réseau ne constitue plus un danger pour
l’Intranet, mais il peut contenir des renseignements confidentiels et qui doivent le rester. Même si ce
poste de travail est volé ou perdu, les renseignements confidentiels qu’il contient ne doivent pas être
lus par des personnes non autorisées. Pour cela, il est impératif de pouvoir chiffrer certaines parties
du disque dur, dans lesquelles on placera impérativement les fichiers qui ne doivent être accessibles
qu’au propriétaire du poste de travail.
Les logiciels de chiffrement des données sur disque permettent non seulement de
chiffrer les fichiers contenus dans certaines partitions disque, mais aussi peuvent
masquer ces partitions aux personnes non habilitées à lire ces fichiers
confidentiels. Une bonne solution est de coupler l’authentification forte (utilisation
de sa carte à puce par exemple) avec la possibilité d’accéder aux partitions
confidentielles et de déchiffrer les fichiers qu’elles contiennent. Inversement, les
fichiers de ces partitions sont chiffrés et les partitions ne sont plus visibles quand
on retire la carte à puce.
3.10
LES INFRASTRUCTURES A CLE PUBLIQUE (PKI)
Auteurs : Hervé Chappe (Alcatel) [email protected] et Anne Coat (AQL) [email protected]
3.10.1 Certificats Numériques et Autorités de Certification
L'objectif premier de la PKI est de répondre au doute qui peut subsister sur la validité de
l'association entre la clé publique et l'identité de l'émetteur.
La PKI permet aussi de gérer à une échelle industrielle les paires de clés (secrète/publique)
asymétriques pour l’authentification et le cryptage.
La PKI est l’implémentation industrielle de la technologie de certification Numérique.
Une PKI comprend au moins les éléments d'architecture suivants :
une Autorité d'Enregistrement (RA, Registration Authority), qui reçoit les demandes de
certificats et vérifie les identités des demandeurs, avant de transmettre la demande à :
Une Autorité de Certification (CA, Certification Authority) qui distribue, gère, et révoque les
certificats numériques, et met à jour les Listes de Révocation des Certificats (CRL),
Un Règlement pour l’utilisation des certificats.
15 nov 2004
89/189
3.10.2 Applications de la PKI
Accès authentifié des employés et des extérieurs (clients, fournisseurs, partenaires) pour
gestion de leur droits d’accès aux ressources de l’entreprise,
Accès SSL (authentifié et crypté) aux serveurs Web,
Emission de cartes à puces d'authentification,
Signature et contrôle d’intégrité de code,
Communications VPN (Virtual Private Network) authentifiées et chiffrées, soit de site à site, soit
de client RAS (Remote Access Service) à site,
Toute application réservant l'accès de ressources déterminées à un groupe d'acteurs définis.
3.10.3 Certificats Numériques
Le Certificat Numérique est un identifiant d’authentification unique reliant les coordonnées d’un
utilisateur à sa clé publique, résolvant ainsi la question sur la validité de la clé publique de l’émetteur,
et validant du même coup la signature numérique.
Il est émis par une entité reconnue par l'émetteur et le destinataire (la PKI).
Il tient donc lieu de signature, et peut être attaché par l'émetteur à un courrier électronique, une
transaction commerciale, ou tout autre fichier.
Le format d’un Certificat Numérique répond à la Norme IETF X.509 (V.3 en 2004), qui demande qu'il
comprenne les éléments suivants :
La clé publique de l’utilisateur,
Le type d’algorithme de chiffrement,
Les coordonnées du possesseur du certificat,
La période de validité du certificat,
L’identité de l’Autorité de Certification,
Une Signature Numérique (celle de la PKI) pour valider le certificat.
Un utilisateur peut disposer de certificats multiples pour répondre à des besoins multiples : accès
distant au réseau, transactions bancaires, signature de code, etc.
3.10.4 Autorité de Certification (CA, Certification Authority)
La technologie des Certificats Numériques est une technologie de sécurité, mais elle ne suffit pas à
elle seule à garantir la confiance, qui repose sur le niveau de confiance que l’on peut accorder à
l’Autorité de Certification.
15 nov 2004
90/189
C'est pourquoi certaines CA reçoivent elles-mêmes des certificats de CA "de niveau supérieur", qui
assurent de la validité de leur propre clé publique (qui sert à "signer" les certificats de leurs
abonnés).
L’Autorité de Certification assure de multiples responsabilités :
Vérification des informations personnelles (délégable à l'Autorité d'Enregistrement),
Emission des Certificats Numériques,
Gestion des répertoires de clés publiques (Annuaires),
Archivage des certificats,
Séquestre des clés secrètes,
Révocation des certificats (durée de vie expirée, suppression des droits du possesseur, gestion
des compromissions),
Modifications diverses pour raisons de sécurité,
Validation du certificat d’un émetteur sur présentation par le récepteur.
Toute organisation peut acquérir un logiciel pour créer une PKI, et mettre en place l’infrastructure de
CA nécessaire. C’est en définitive la qualité et le suivi du Règlement associé (politique de
certification, détail des pratiques de certification, (voir la norme IETF RFC 2527)) qui détermineront
le niveau de confiance accordable à la CA.
Certaines CA seront plus rigoureuses que d’autres sur les contrôles d’identité des utilisateurs et sur
les procédures de révocation.
Il y a plusieurs types de CA :
CA privée : utilisée en interne dans une société pour le contrôle d’identité des employés
(badge),
CA fournisseur, utilisée par une société pour offrir des services à ses clients (carte bancaire) et
partenaires,
15 nov 2004
91/189
CA publique, utilisée par un service public (Carte Vitale).
Les serveurs de la CA doivent être physiquement sécurisés (bunker) et leur accès doit être
rigoureusement contrôlé.
L’établissement de relations entre CA multiples est un sujet délicat. On considère principalement
deux configurations :
A l’intérieur d’un même domaine de confiance (société multi-site), les CA multiples sont en
général organisées de façon pyramidale, avec une CA maître et des CA hiérarchiquement
dépendantes, éventuellement à plusieurs niveaux (régional, local)
Entre deux domaines de confiance distincts (deux sociétés en relation d’affaires), il est possible
d’établir une certification croisée des CA de chacun, ce qui permet à une CA de valider les
certificats émis par l’autre.
Ce point impose une continuité du chemin de confiance, qui repose sur :
L'interopérabilité (technique et organisationnelle) entre les CA,
Le niveau de confiance réciproque entre : les CA elles-mêmes, les utilisateurs de chaque CA
envers l'autre CA ,
Dans certaines architectures de PKI, seule la PKI "maître" peut valider les certificats des PKI
"feuilles", même si des PKI "branches" existent.
3.11
LA PREVENTION D'INTRUSIONS
Auteur : Matthieu Bonenfant (Netasq) [email protected]
« Mieux vaut prévenir que guérir ». Même dans l’univers électronique, cet adage reste plus que
jamais approprié. L’évolution fulgurante que connaît actuellement l’informatique, et plus
particulièrement l’Internet, apporte des bénéfices non négligeables qui ont séduit la majorité des
entreprises et même les particuliers. Malheureusement, dans cet environnement difficilement
maîtrisable, des portes se sont ouvertes pour des activités beaucoup moins louables. Ces dernières
sont grandement aidées par le déséquilibre au niveau des connaissances informatiques existant
entre les utilisateurs d’une part et les personnes malintentionnées de l’autre. Etant donné la place
prépondérante qu’a prise l’informatique dans la vie économique et dans notre propre vie
quotidienne, ces nouvelles menaces peuvent avoir des conséquences catastrophiques et hautement
destructives si elles ne sont pas bloquées avant même d’atteindre leur cible.
15 nov 2004
92/189
3.11.1 Les limites de la détection
Les systèmes de détection d’intrusions (IDS) utilisés historiquement en complément des outils de
filtrage de paquets ont une action limitée : les plus basiques se contentent de conserver
passivement une trace des événements, les plus « évolués » peuvent avertir l’administrateur ou
entraîner la reconfiguration du firewall mais sans jamais bloquer un flux qui paraîtrait suspect. De ce
fait, l’attaque est déjà passée lorsque les actions correctives sont appliquées. Ensuite, les systèmes
de détection d’intrusion reposent sur des bases de signatures d’attaques volumineuses qui ont des
inconvénients certains :
Détection limitée aux attaques connues
Vitesse de traitement des paquets dépendante de la taille de la base
Génération excessive d’alertes non justifiées, aussi appelées faux positifs, rendant fastidieuse
l’analyse des traces par l’administrateur
Les systèmes de prévention d’intrusion s’affranchissent des lacunes inhérentes aux outils de
détection dont l’efficacité se limite au final à une fonction d’audit.
3.11.2 Qu’est-ce que la prévention ?
Un système de prévention d’intrusion a pour objectif principal de détecter et surtout de bloquer
instantanément tout comportement malicieux qui se trouverait dans une communication
électronique. Un tel système doit donc être placé en coupure, c'est-à-dire directement sur le chemin
qu’empruntent les connexions. Son emplacement doit être choisi de manière stratégique afin de
sécuriser les ressources informatiques sensibles.
Pour analyser les flux transitant entre un réseau interne et l’Internet, les systèmes de prévention
d’intrusion peuvent être couplés au firewall ou intégrés à ce dernier. Opter pour un système intégré
demeure la solution la plus efficace grâce à la synergie créée par l’intégration des moteurs de
filtrage et d’analyse d’intrusion. En outre, cette solution présente l’avantage d’être moins coûteuse
car elle évite l’achat de deux produits et simplifie l’administration de l’ensemble.
15 nov 2004
93/189
3.11.3 Périmètre d’action d’un système de prévention
La sécurité informatique ne doit pas être l’apanage des grandes entreprises, elle doit être la même
pour tous et être accessible aux petites structures. Le périmètre d’action d’un système de prévention
doit donc être le plus large possible de façon verticale (de la couche réseau à la couche applicative)
et horizontale (protection adaptée à chaque type de ressource protégée) pour répondre aux besoins
de tout type d’architecture réseau.
Ensuite, l’exploitation des failles de sécurité par les pirates informatiques est de plus en plus rapide,
les techniques utilisées sont de plus en plus évoluées. Il est donc nécessaire d’utiliser un système
de protection proactif qui peut répondre à des attaques inconnues. Par défaut de compétences ou
de moyens, les postes clients ou les serveurs de beaucoup d’entreprises ne sont pas correctement
installés et/ou les correctifs de sécurité ne sont pas appliqués. Le système doit donc pouvoir être
rapidement mis à jour pour anticiper et bloquer les exploits si les patches de sécurité n’ont pas été
appliqués sur les ressources informatiques protégées.
Enfin, la banalisation de l’installation de firewalls a poussé les pirates et certains utilisateurs à
employer des techniques permettant de contourner les politiques de sécurité des systèmes de
filtrage :
détournement de ports (utilisation de ports usuels autorisés pour faire communiquer des
applications non autorisées)
utilisation de backdoors ou chevaux de Troie (outil permettant à un pirate de se connecter à
distance et de façon furtive sur une machine infectée)
Un système efficace de prévention d’intrusion doit détecter ces types de comportement.
3.11.4 Les moteurs d’analyse
Afin d’apporter une protection réellement efficace, le système doit idéalement utiliser plusieurs
moteurs d’analyse complémentaires et interopérables.
un moteur d’analyse protocolaire pour détecter les mauvais usages des protocoles
un moteur d’analyse heuristique pour détecter les comportements anormaux dans des
connexions valides
un moteur de signatures pour détecter l’exploitation des failles de sécurité des ressources
protégées
3.11.4.1
Analyse protocolaire
L'analyse protocolaire doit permettre la vérification du bon usage des protocoles réseaux et
transports, de la fragmentation ou encore des protocoles applicatifs.
Ce moteur doit vérifier la concordance des trafics transitant par le système par rapport aux RFC.
Plutôt que d'analyser chaque trafic vis-à-vis de chaque erreur possible (comme c’est souvent le cas
avec les sondes de détection d’intrusions), le système n'autorise le passage qu'aux paquets bien
formés et en conformité avec les RFC. Les autres sont stoppés et supprimés. De ce fait, même des
attaques qui ne seraient pas encore connues seront tout de même bloquées.
Le moteur doit aussi détecter et inspecter automatiquement les protocoles applicatifs utilisés même
si le trafic n’emploie pas les ports habituels. Cette fonction permet d’éviter le détournement de ports.
3.11.4.2
Analyse heuristique
L'analyse heuristique est basée sur l'utilisation de méthodes mathématiques d'ingénierie statistique
et d'environnements conditionnels. Ces méthodes doivent permettre de détecter et bloquer les
comportements anormaux au sein de connexions ne présentant pas de violation des protocoles
réseaux ou applicatifs :
Les scan de ports et détection de système d’exploitation : Le scan de port et la détection de
système d’exploitation (OS fingerprinting) ne sont pas en soi des attaques mais participent à la
phase de collecte d’informations généralement préalable à toute attaque élaborée.
15 nov 2004
94/189
Les connexions interactives : Le moteur doit permettre de déterminer si une connexion autorisée
par la politique de sécurité du firewall peut cacher une backdoor. Cette protection est rendue
possible par une modélisation des connexions interactives de type backdoor et une approche
comparative avec les connexions correspondant à un fonctionnement normal de réseau.
Les attaques par saturation : Le Déni de Service (DoS) et le flooding visent à créer un nombre
important de connexions entrantes qui saturent le système et l’empêche de réaliser le traitement de
ces connexions. Le moteur d’analyse heuristique doit permettre de détecter et de prévenir ces types
d’attaques, en prenant garde de ne pas y être lui-même vulnérable.
3.11.4.3
Analyse par signatures contextuelles
Cette analyse complète la prévention d’intrusion en détectant et bloquant toutes les attaques
connues qui ne seraient pas gérées par les deux moteurs précédents. Cette analyse utilise une base
de signatures comparable à priori aux sondes de détection. Cependant, la base est très largement
épurée car elle ne contient aucune signature pour les attaques qui seraient détectées par les autres
moteurs. Ensuite, ce moteur conserve le contexte d’utilisation de chaque paquet et seules les
signatures concernant ce contexte sont appliquées. Ceci permet d’éviter les faux positifs (blocage
des connexions de manière injustifiée). Enfin, l’analyse par signatures contextuelles permet de gérer
les attaques qui seraient liées à des erreurs d’implémentation ou des failles de sécurité résiduelles
sur les postes clients ou les serveurs protégés.
Pour être efficace, le moteur doit être constamment et automatiquement mis à jour afin d’intégrer les
parades aux nouvelles techniques d’attaques.
3.11.5 Performances du système
De part son positionnement en coupure, une solution de prévention d’intrusion doit être conçue de
manière à optimiser les performances du système. Dans le cas contraire, elle deviendra un goulot
d’étranglement qui pénalisera fortement le bon fonctionnement du réseau.
Il est donc préférable d’opter pour une solution qui fonctionne au cœur du système, c'est-à-dire que
les connexions sont analysées à la volée jusqu’au niveau applicatif, sans désencapsulation des
paquets, ni rupture des connexions (fonctionnement des systèmes proxies). En effet, ces deux
mécanismes sont coûteux en temps de traitement et peuvent engendrer des pertes de performance
allant de 50 à 97%.
Enfin, l’opération la plus coûteuse en temps est l’analyse par signatures. La segmentation par
contexte d’utilisation réduit le nombre de traitements à effectuer. Une analyse linéaire lie les
performances du système à la taille de la base de signatures.
Exemple : votre base contient 1000 signatures et le système de prévention doit traiter 100
paquets, un algorithme de traitement linéaire des motifs devra réaliser 100 000 traitements
L’utilisation d’un algorithme de traitement parallèle constitue une garantie des performances à long
terme, sans pâtir de l’augmentation inévitable de la taille de la base d’attaques au cours du temps.
Ainsi, une base optimisée pour ce traitement autorise une évaluation à la volée de l’intégralité des
signatures.
En reprenant l’exemple ci-dessus, un algorithme de traitement parallèle nécessite 100
traitements, ce qui représente une économie de ressources et de temps phénoménale.
Avec l’évolution des techniques d’attaques, il apparaît clairement que les systèmes de prévention,
tout comme les antivirus, devront sans cesse s’adapter et intégrer de nouveaux moteurs d’analyse
pour ne pas se trouver complètement dépassés et vite inutilisables. Ces fonctions peuvent donc
difficilement être figées dans le silicium des ASICs. Le choix d’une solution de prévention doit
intégrer cette approche évolutive car son but est de protéger le présent d’un réseau informatique et
surtout son avenir.
3.12
LES ANTI (VIRUS, SPAMS, SPYWARES)
15 nov 2004
95/189
Les statistiques sont nombreuses et très éloquentes sur les risques qu’encourt une compagnie qui
ne protège pas suffisamment son système d’information contre les attaques des pirates.
En 2003 les entreprises dépensaient environ 6% de leur budget informatique dans la sécurité et ce
chiffre a été en augmentation par rapport à l’année 2002. 80 % des entreprises à travers le monde
ont déjà planifié ou sont en train de définir des procédures pour sécuriser leur système d’information.
80 % des entreprises utilisent une authentification forte pour connecter leurs utilisateurs distants.
Voici les technologies les plus utilisées par les entreprises pour se protéger :
Antivirus
96%
VPN/RPV
86%
IDS
85%
Monitoring/filtrage de contenue
77%
PKI
45%
Cartes à puce
43%
Biométrie
19%
La tendance actuelle d’investir dans des infrastructures PKI et Cartes à puce prouve que le besoin
de mobilité est de plus en plus important et que le choix d’une bonne méthode de connexion à
distance est une des problématiques à l’heure actuelle pour les DSI. La biométrie n’est pas encore
une technologie suffisamment mature pour être déployée à grande échelle (trop coûteuse et
complexe).
On constate, heureusement, que les règles de bases de la sécurité informatique ont bien été
véhiculées au cours des années : 96 % des entreprises sont équipées d’antivirus et 85 %
d’IDS/Firewall. Il ne faut cependant pas oublier que les pirates ne sont jamais à court d’idée et qu’ils
arrivent encore a surprendre les éditeurs d’antivirus, d’antispywares, … La vigilance est donc
toujours de mise.
3.12.1 Les antivirus
Il existe plus d’une vingtaine d’antivirus différents sur le marché, ce nombre peut sembler important
mais c’est sans compter sur l’imagination des créateurs de virus qui utilisent des technologies de
plus en plus complexes pour rendre difficile la détection de leurs virus
Nous allons parler succinctement des différents types de virus pour bien faire comprendre au lecteur
pourquoi une mise à jour régulière de son antivirus est importante !
Définition : Un virus est un «petit» programme de code malicieux qui réside dans un fichier
exécutable appelé «hôte. Un virus cherche à se reproduire dans tous les fichiers exécutables
présents sur l’ordinateur infecté. Un virus peut contenir, en plus, une bombe logique (charge utile)
qui endommage les données enregistrées sur le disque dur de l’ordinateur infecté (ce n’est pas
souvent le cas).
A chaque exécution du programme contaminé, le virus devient actif et cherche par tous les moyens
à contaminer d’autre fichiers exécutables ou d’autres ordinateurs (pour les plus évolués) en s’y
propageant. Il existe des variantes appelées macro virus qui utilisent ce même principe mais pour
infecter seulement les fichiers pouvant exécuter le « macro code », c’est le cas par exemple de « I
love You » qui fonctionne uniquement avec les logiciels de la suite Office de Microsoft car ils sont les
seuls logiciels capables d’interpréter du macro code. Depuis Windows 2000, il est possible
d’interpréter du macro code à partir du système d’exploitation ce qui rend les virus encore plus
menaçants.
Pour détecter ces virus et les détruire, les éditeurs d’antivirus utilisent une méthode de
reconnaissance de code malicieux. Le code dangereux des virus est stocké dans une base de
donnée fréquemment mise à jour, cette base de donnée contient la signature des virus c’est à dire
les opérations dangereuses que peuvent effectuer le virus.
15 nov 2004
96/189
Dans le but d’éradiquer tous les virus sur un ordinateur, les éditeurs ont conçu des programmes
scannant tous les fichiers exécutables sur le disque dur d’un ordinateur, car c’est à l’état inactif (non
chargé en mémoire) que les virus sont les plus vulnérables.
Pour éviter que leurs virus soient détruits facilement, les concepteurs de virus ont dans un premier
temps chiffré le virus dans le programme hôte pour qu’il soit indétectable au « repos ». Dans cette
configuration il est effectivement impossible de détecter la présence d’un virus dans un fichier
exécutable. De plus ils sont généralement dotés de méthodes permettant de masquer leurs
modifications. Ces virus deviennent donc furtifs aux yeux des antivirus.
Mais heureusement le code du virus est visible dés lors qu’il devient actif (exécuté en mémoire) alors
l’antivirus peut le repérer, le détruire et ainsi désinfecter le fichier contaminé sans trop de casse.
Les concepteurs de virus ont alors redoublé d’efforts en utilisant des algorithmes plus complexes,
qui consistent à modifier de façon dynamique le code malicieux du virus à chaque exécution du
programme hôte, le rendant indétectable à l’antivirus. Cette méthode est très efficace car chaque
fois que le virus devient actif, il infecte des fichiers avec un code malicieux qui auto modifie. Lorsque
l’antivirus reconnaît un code malicieux il purge le fichier infecté mais pendant ce temps le virus aura
infecté un autre fichier avec un autre code malicieux qui pourra lui même s’auto modifier.
Les dernières technologies employées pour palier à ces virus polymorphes et/ou metamorphes
consistent à faire résider chaque programme en zone mémoire protégée pour éviter d’infecter
d’autres fichiers et ainsi détecter le code malicieux en utilisant des scanners d’algorithmes, la
majeure partie des antivirus supporte ce procédé.
Les antivirus actuels sont capables de détecter et de corriger la plupart des virus polymorphes ou
autres sur des architectures 32 bits classiques, en revanche il n’est pas certain que les antivirus
puissent protéger les serveurs ou stations de travail avec une architecture 64 bits.
3.12.2 Les antispams
Définition : Le spam est l’envoi en grande quantité d’e-mails indésirables qui inondent les serveurs
de messagerie et qui peuvent de surcroît contenir des malwares, virus ou autres chevaux de Troie.
Tout le monde à déjà plus ou moins rencontré ce phénomène et heureusement la plupart des
logiciels de messagerie disposent de fonctions de filtrages pour supprimer ces nuisances.
Il faut cependant faire remarquer au lecteur que certains spams contenant du code malicieux
utilisent votre carnet d’adresse pour contaminer vos contacts stockés dans votre logiciel de
messagerie. Il faut donc éradiquer ce fléau qui risque de donner une mauvaise image de votre
entreprise.
Le problème majeur que rencontre les éditeurs d’antispams est l’impossibilité d’identifier
correctement l’adresse source de l’e-mail. En effet les « spammers » utilisent des adresses valides
(selon les protocoles SMTP/POP) mais inexistantes pour tromper au maximum les outils antispams.
On ne peut pas donc jamais déterminer à 100 % la validité d’un courrier électronique, car aucun
élément ne permet d’authentifier l’émetteur. Un certain nombre de précautions peuvent cependant
être prises comme l’utilisation d’un antivirus de messagerie qui filtrera automatiquement tous les
spams contenant des virus, chevaux de Troie, … Configurer des règles de filtrage pour éliminer
certaines adresses de spams qui reviennent trop souvent (on parle alors de « black list »). Ces
mesures peuvent parfaitement suffire pour les particuliers et les petites entreprises mais sont
inadaptés aux grandes entreprises, dans ce cas il faut investir dans des logiciels antispams.
Il existe différentes technologies pour éradiquer ou ralentir la progression des spams sur le réseau
de l’entreprise. Certaines technologies marquent le trafic mail avec des priorités différentes qui
limitent l’influence des e-mails-spams en ralentissant leurs progressions pour éviter de « flooder »
les serveurs. D’autres technologies utilisent des outils statistiques (gaussienne / réseaux de
neurones / scoring /…) pour déterminer après une période d’apprentissage si un e-mail est un spam
ou non et ainsi exécuter automatiquement la solution adéquate.
Il faut cependant savoir que chaque pays est souverain sur la question des spams et que les
législations aussi bien en France, en Europe que dans le reste du monde ne sont pas harmonisées.
Vous pouvez, dans certain pays, être coupable par négligence si vous ne mettez pas à disposition
15 nov 2004
97/189
de vos employés les outils adéquats. Le problème du spam est donc un souci qui concerne toutes
les entreprises.
3.12.3 Les anti spywares
Définition : Un spyware est un logiciel qui enregistre le comportement d’un utilisateur naviguant sur
l’Internet à son insu, il peut aussi communiquer plus ou moins volontairement des données
personnelles (login/password, …) à une entité tierce. Le spyware s’installe en général par l’action de
l’utilisateur qui accepte un contrat de licence mais si le browser web, est mal configuré, alors
certains spywares peuvent s’installer à l’insu de l’utilisateur en toute transparence.
Il faut savoir qu’on dénombre environ plus de 3.000 spywares/malwares/adwares à l’heure actuelle
et que la tendance est à l’augmentation depuis plusieurs années. Nous allons démontrer au lecteur
pourquoi il faut se prémunir de ces logiciels qui peuvent nuire aussi bien aux particuliers qu’aux
entreprises. Le spyware est un fléau plus préoccupant encore que le virus !
Comme nous le savons déjà il existe trois grands types de spywares : Adware, Spyware et
Keylogger. Les adwares n’engendrent habituellement que des nuisances de confort en affichant de
façon intempestive de la publicité lors que vous naviguez sur l’Internet. Les deux autres catégories
peuvent causer beaucoup plus de dégâts. En effet le keylogger enregistre toutes les touches clavier
tapées par l’utilisateur et transfère ces informations à un pirate, comme les password / login.
Certains spywares modifient directement la configuration de sécurité de votre navigateur web mais
aussi de votre système d’exploitation pour le rendre encore plus vulnérable sur l’Internet, d’autres
encore transmettent à une personne tierce des informations personnelles comme l’architecture de
votre système de fichiers Il faut donc absolument vous en protéger au même titre que les virus.
Les spywares sont l’eldorado des pirates et sont transmis par les applications peer to peer (échange
de fichiers entre utilisateurs finaux), sur le web et avec certains freewares ou sharewares. La
prolifération de ces programmes est donc rapide et les risques pas assez mesurés par les
entreprises de plus de 100 employés qui reconnaissent cependant avoir à plus de 90 % des
problèmes de types spywares sur leurs réseaux !
Pour bien comprendre les risques que vous encourez il faut savoir que certains spywares ne sont
pas détectés par les antivirus car ils sont installés comme des programmes normaux et peuvent
donc avoir accès aux fonctions systèmes du système d’exploitation. On appel ces programmes des
spywares commerciaux.
Il existe pourtant des solutions fiables comme les antispywares. Attention cependant, il existe sur
Internet des antispywares gratuits qui peuvent contenir eux mêmes des spywares ou autre vers,
chevaux de Troie …
Il ne faut donc pas installer le premier logiciel venu et utiliser toutes les protections possibles pour
s’assurer de bon fonctionnement de ces programmes (comme bloquer les programmes suspects
avec son firewall personnel). La plupart des éditeurs d’antivirus proposent des solutions
antispywares intégrées, il existe aussi un certain nombre de compagnies qui vendent des solutions
antispywares comme les produits X-cleaner, Spybot, Ad-aware, pour lesquels il existe aussi parfois
des versions gratuites mais limitées.
3.13
SECURITE ET MOBILITE
Auteur : Franck Franchin (FRANCE TELECOM) [email protected]
La grande généralisation des terminaux portables ou mobiles associée à la
banalisation du travail en situation de mobilité engendre de nouvelles menace sur la
protection des informations de l'entreprise.
La principale menace qui pèse sur les données stockées dans un terminal mobile
(PC portable, PDA, smartphone) demeure le vol physique du-dit terminal. Toutefois, d'autres
menaces commencent à poindre à l'horizon.
Par exemple, qui n'a pas renvoyé son PDA défaillant directement au fabricant, via le SAV du
vendeur. Si on peut éventuellement faire confiance aux services après-vente du fabricant (et cela
reste à prouver...), le plaisir d'en recevoir un tout neuf en échange sous garantie ne doit pas faire
15 nov 2004
98/189
oublier ce qu'est devenu l'ancien... Revendu sur un site d'enchères par exemple, il a pu devenir la
proie d'un pirate.
Selon le Gartner, 90% des terminaux mobiles n'ont pas les protections nécessaires pour
éviter la récupération d'information sensibles : comptes de messagerie, mots de passe,
contacts stratégiques, et autres documents confidentiels.
Une autre nouvelle menace est liée à l'intégration par défaut de systèmes de
communication sans fil (Bluetooth, Wifi, IrDa) activés par défaut, quelquefois à l'insu du
propriétaire du terminal. Un portable devient alors vulnérable dans tous les lieux publics.
Mais la notion de sécurité n'implique pas uniquement la « confidentialité ». Parlons
plutôt « intégrité » et « disponibilité ». La facilité d'utilisation et l'ubiquité de ces
terminaux nous fait souvent oublier les bonnes règles de base : sauvegarde et
synchronisation. Les disques durs des PCs portables sont soumis à des contraintes
importantes qui les fragilisent quant bien même ils ont été conçus en ce sens. Les
cartes CF ou autres des PDAs sont sensibles à l'électricité statique et supportent quelquefois mal
plusieurs aller-retours avec un appareil photo. De leur côté, les smartphones ont une fâcheuse
tendance à « tomber ».
Une autre notion en sécurité porte sur l'identification du périmètre de sécurité et sur les contrôles
d'accès aux données. Si cette notion peut s'appliquer plus ou moins facilement à des PCs
physiquement résidents dans un bureau potentiellement fermé à clé et relié à un Ethernet câblé, que
dire d'un PC portable Wifi qui voyage dans une voiture, prend l'avion, se connecte sur une borne Wifi
à la maison ou à l'hôtel et qui pratique le libre-échangisme de données avec ses pairs par clés USB
interposées. On ose à peine parler du double-attachement. Que le premier qui n'a jamais laissé son
PC portable en salle de réunion sans surveillance pendant 5 minutes lance la pierre.
Parlons donc du vol des mobiles et des portables. Dans toute entreprise, les chiffres sont édifiants,
quand bien même l'auto-déclaration donne une image fidèle de ces sinistres. Aujourd'hui, un PC
portable vaut presque le tiers d'un modèle équivalent en gamme il y a 3 ans. Quel est l'intérêt pour
un voleur de franchir le périmètre de sécurité d'une grande entreprise pour dérober 4 ou 6 portables
? Il n'en tirera au mieux que quelques centaines d'euros pièce. Sans être paranoïaque, il suffit de se
balader sur certains forums underground pour trouver des pirates qui revendent des bases de
données de mots de passe, de numéros d'accès à des Extranets, des numéros de cartes de crédit
(avec dates d'expiration). N'est-il pas plus facile de voler des PCs ou de racheter des disques durs
sur Ebay que de pénétrer des systèmes d'informations bardés de contre-mesures ?
L'information ne vaut-elle pas désormais plus que le matériel qui la traite ?
Voici donc maintenant quelques conseils de base qui facilitent la vie (et le sommeil) d'un utilisateur
de portable ou de mobile :
Règle N°1 - Penser aux sauvegardes - Utiliser le graveur de CD ou de DVD qui équipe
désormais la grande majorité des portables pour effectuer périodiquement des sauvegardes
des données les plus importantes. La clé USB est aussi un bon outil (pour les échanges de vos
Powerpoint, préférer à chaque fois que c'est possible le courrier électronique et les répertoires
partagés) ;
Règle N°2 - Utiliser les répertoires partagés et les fonctions de synchronisation - Si vous oubliez
de faire vos sauvegardes, vous pourrez toujours compter sur celles effectuées par votre
administrateur réseau sur vos serveurs de fichiers d'entreprise.
Règle N°3 - Utiliser le chiffrement - Pour les données sensibles, ne pas hésiter à recourir aux
fonctions de chiffrement de votre système d'exploitation ou à celles d'une solution dédiée. Bien
évidemment, ne pas succomber à la facilité de sauvegarder le mot de passe sur le disque dur.
Règle N°4 - Toujours considérer que votre portable risque d'avoir été infecté. Vous avez passé
une semaine en mission sans vous connecter au réseau de votre entreprise et donc sans mise
à jour de votre anti-virus. Pendant cette même période, vous avez échangé des fichiers avec
cette sacrée clé USB, vous avez fait du Wifi à l'hôtel et à l'aéroport et vous vous êtes connecté
en mode « invité » chez votre client. Assurez-vous de forcer une mise à jour de l'anti-virus de
votre portable dès votre retour au bureau.
15 nov 2004
99/189
Règle N°5 - Différencier les mots de passe - Votre portable ou mobile ne devrait jamais avoir le
même mot de passe qu'un autre système « fixe » que vous utilisez au bureau.
Règle N°6 - Bien choisir ses mots de passe - La longueur est plus importante que la complexité.
Le mot de passe suivant « Par un bel et chaud après-midi d'automne à Paris » est plus dur à
cracker (dictionnaire ou force brute) que « #@&é@=}é ».
3.14
LE FILTRAGE DE CONTENU INTERNET
On parle de filtrage de contenu Internet lorsque l’on évoque des systèmes de sécurité destinés à
contrôler des informations qui transitent sur le réseau et non plus des commandes, des requêtes ou
des appels systèmes.
Cette notion recouvre la prise de contrôle des flux transitant sur un réseau IP (Intranet, Extranet,
Internet) en fonction de leur contenu lisible ou visible pour l’être humain à travers un logiciel (logiciel
client de messagerie e-mail ou instantanée, navigateur Web, ou autre).
Typiquement, les solutions de filtrage de contenu sont utilisées pour surveiller les pages Web
consultées par des utilisateurs, vérifier les contenus des courriers entrants ou sortants, contrôler
l’usage qui peut être fait de logiciels de messagerie instantanée ou de peer-to-peer.
Comme on peut le voir, il s’agit systématiquement de cas où le jugement humain pourrait suffire pour
prendre une décision sur l’autorisation ou l’interdiction de passage pour un document ou une
communication en mouvement. Ce qui est détecté, ce sont en général des abus ou des
comportements interdits : abus de la capacité d’envoyer des messages, abus de la possibilité de
visiter des sites Web qui ont des caractéristiques particulières, exploitation de la possibilité de faire
transiter des fichiers en contravention avec la politique de l’entreprise, avec la loi, avec une règle
établie en général.
Les systèmes évolués de filtrage de contenu fonctionnent en quatre phases :
1. Acquisition du flux à contrôler
•
recevoir le flux/document/objet depuis un serveur spécialisé (serveur de mail, proxy Web
par exemple
•
capter le flux au moment où il transite sur une portion du réseau
2. Analyse et classification
•
Reconnaître l’appartenance d’un document (fichier, page, courrier) à une catégorie
spécifique
•
Catégoriser un document par comparaison de son contenu avec des modèles existants
•
Découvrir à l’intérieur du flux les informations qui vont permettre de le catégoriser
(reconnaître par exemple une forme caractéristique d’un type d’usage, et l’associer à un
utilisateur ou une machine du réseau)
3. Prise de décision
•
Comparaison de l’information recueillie sur le contenu avec les politiques de filtrage
pertinentes, en fonction de ces dimensions :
⇒ catégorie ou forme reconnue
⇒ droits de l’utilisateur ou politique applicable
•
Formalisation de la politique à appliquer et marquage de l’objet détecté pour filtrage
4. Application du filtrage pertinent
•
Décision de laisser passer inchangé, modifier et laisser passer, journaliser, alerter, ou
interdire si le système est autonome
•
Transfert de la décision prise au serveur en charge de l’application dans le cas d’un moteur
décisionnel dialoguant avec un serveur spécialisé
Les difficultés majeures auxquelles sont confrontés ce genre de systèmes résident dans trois
aspects du problème, dont deux apparemment contradictoires mais en réalité très liés l’un à l’autre,
la problématique de volumétrie et l’exigence de nuance, et un aspect très spécifique : la complexité
de gestion de ces systèmes.
15 nov 2004
100/189
Volumétrie :
Dans tous les aspects du filtrage de contenu Internet, l’aspect volumétrique prend une importance
majeure. Lorsqu’il s’agit de filtrage des courriers, c’est devenu très clair pour le spam par exemple (si
vous ne recevez qu’un spam par semaine, vous l’ignorez et tout va bien, ce n’est qu’à partir de 10
par jour que les utilisateurs commencent à se plaindre) ou pour le contrôle des courriers sortant
(c’est parce qu’une entreprise de 1.000 personnes peut envoyer jusqu’à 10.000 courriers
électroniques dans le journée que le problème se pose). Mais c’est également parce que les
employés peuvent être tentés de passer beaucoup trop de temps à visiter des sites Web non
professionnels ou à parler en ligne depuis leur bureau que le problème se pose sur le Web, et à
cause de la taille des fichiers transférés en peer-to-peer que le filtrage est nécessaire.
Nuance :
Lorsqu’il s’agissait de lutter contre les virus, la vie d’éditeur de logiciel était simple : il suffisait d’avoir
une bonne capacité à reconnaître des formes prédéfinies, puis des comportements de programmes
prédéfinis, et tout allait bien. Mais le contrôle de contenu Internet pose des problèmes nouveaux :
comment une machine peut elle comprendre qu’un type de message convient ou ne convient pas
dans une situation donnée… et que faire si la machine se trompe ? Et quid de la différence de
perception ou de traitement d’un utilisateur à un autre ? Alors les solutions deviennent de plus en
plus intelligentes, et on retombe sur des problèmes de volumétrie : appliquer un grand nombre de
règles d’analyse cela prend du temps, et cela peut causer des perturbations au système. Les
solutions modernes arrivent depuis peu à réaliser des analyses évoluées dans de bonnes conditions
de performance et à faire du traitement en temps réel.
Complexité de gestion :
Enfin, et c’est une partie importante de la problématique de la sécurité informatique en entreprise, la
‘manageabilité’ comme on le dit en bon franglais, est un aspect souvent important dans le succès
d’une solution de filtrage de contenu. Traiter des règles différentes pour les différentes catégories
d’utilisateurs, et des besoins convergents ou divergents d’un protocole (courrier, Web, transfert de
fichiers, Messagerie Instantanée, autres applications), impose une bonne intégration des différents
outils entre eux, et de chaque outil avec les systèmes de gestion des droits ou des identités des
utilisateurs en place dans l’entreprise.
Lorsque ces trois aspects sont gérés de manière conjointe, une entreprise peut prétendre à une
protection optimale face aux dangers associés à l’information pendant qu’elle est en mouvement
dans son réseau.
3.15
L’ERADICATION DES LOGICIELS ESPIONS
La morale n’ayant pas sa place quand il est question d’observer son prochain, certains éditeurs de
logiciels placent dans leurs programmes des bouts de code qui vont fonctionner comme des
mouchards et renseigner des régies publicitaires, des concurrents ou des faux amis, à l’extérieur.
Dans le dernier roman de Tom Clancy, l’ours et le dragon, vous avez un magnifique exemple de
logiciel espion tournant sur le poste de travail d’un dirigeant chinois, et qui va devenir un facteur
essentiel de la victoire des Etats-Unis en guerre contre la Chine. Sans aller chercher si loin, voyons
ce que vous avez sur votre propre poste de travail. Téléchargez le logiciel adaware que vous
trouverez gratuitement sur le web www.lavasoft.de (rassurez vous, il ne contient ni virus, ni logiciel
espion). Installez le et lancez le.
Si vous avez déjà navigué sur le web, comme la plupart d’entre nous, vous trouverez sur votre poste
de travail au moins un pointeur vers le cookie du fournisseur de bannières doubleclick qui peut
renseigner une régie publicitaire sur vos habitudes de navigation. Ca n’est pas très grave. Mais si
vous avez téléchargé des logiciels, peut être avez-vous installé, bien sûr à votre insu, de redoutables
logiciels espions qui envoient, par le réseau, à vos concurrents les fichiers confidentiels contenus
dans votre disque, tels que les conditions de remises, vos remarques personnelles sur vos clients et
partenaires, les spécifications des produits non encore annoncés, vos propositions de réponse à
appel d’offre en préparation.
15 nov 2004
101/189
Si vous avez téléchargé et installé un logiciel et vous apprenez qu’il contient un spyware (logiciel
espion), ne pensez pas pouvoir supprimer ce logiciel espion simplement en désinstallant le
programme qui vous en a fait cadeau. Les spywares ont la vie dure et ne se laissent pas facilement
éradiquer car ils se cachent à des endroits du disque où on ne pense pas aller les chercher.
Heureusement un logiciel comme adaware sait les éradiquer correctement.
3.16
LES POTS DE MIELS
Le temps qui s’égraine inexorablement est un cauchemar pour le hacker durant l’attaque d’un
réseau. Au début, les poussées d’adrénalines le transportent au nirvana des pirates quand il perçoit
les premiers signes de rupture du système d’information de sa victime sous ses coups de boutoirs
dirigés sur les vulnérabilités qu’il a trouvées dans ce système. Mais si l’attaque dure plus que prévu,
le hacker ressent alors qu’un danger diffus le menace et que les tenailles menaçantes du risque se
rapprochent doucement de lui au risque de le broyer.
Il arrive en effet que le chemin de l’attaque passe par un terrain miné. Ces pièges, ce sont les
honeypots, les pots de miel placés en amont d’un système d’information et qui l’émule par un
firewall, par-ci, un serveur de fichier et de messagerie par-là, mais ce sont en réalité des leurres
dans lesquels le hacker s’englue et n’arrive plus à en sortir sans laisser des traces qu’il ne pourra
pas effacer. Son attaque est observée, analysée et ses méthodes sont éventées, et soudain
l’espoir changea de camp, le combat changea d’âme
du hacker maintenant, on capturait les trames.
et le pirate peut se faire serrer par les autorités judiciaires compétentes.
On distingue les pots de miel qui se contentent de simuler des fonctionnalités d’un logiciel et qui
entament un dialogue avec l’attaquant et d’autres plus élaborés qui sont de vraies applications, une
base de données Oracle par exemple, mais truffées de sondes de détections
d’intrusions, d’analyseurs de logs où tout est journalisé et archivé sur un serveur qui
est lui totalement inaccessible au pirate englué dans le piège. Le hacker croit agir
dans l’obscurité de l’anonymat, son attaque est en fait exposée en pleine lumière
sans espoir d’effacer les indices qu’il sème. A l’inverse d’un firewall, le pot de miel
laisse pénétrer les hackers mais ne les laisse abandonner la place qu’après avoir mis en évidence le
déroulement des attaques. Un pot de miel peut confiner vers et virus dans une enceinte pour mieux
les analyser et trouver une parade. Riches sont les informations qui en sont tirées. Il y a même un
projet de recherche, le honeynet auquel participent les plus fins limiers de la sécurité qui gère tout un
réseau de pots de miel. Ce réseau n’est pas plus attaqué qu’un autre mais pas moins non plus, c’est
à dire qu’il est donc très
attaqué et ces attaques sont
décortiquées dans le but de
diffuser aux participants du
projet des informations sur la
psychologie et la sociologie
des
agresseurs
et
de
concevoir
des
contremesures pour les coincer.
Où placer un pot de miel ?
Ceux à grande échelle,
comme le projet honeynet
sont des réseaux à part
entière
et
se
trouvent
« quelque part » sur l’Internet.
Les attaquants y entrent mais
n’en sortent pas. Pour une
entreprise, il est préférable
d’isoler les pots de miel dans
une
zone
démilitarisée
15 nov 2004
102/189
(DMZ), créée par leur firewall et de n’en révéler bien sûr l’existence qu’aux utilisateurs qu’on ne
souhaite pas voir tomber dans le piège.
La mise en place d’un pot de miel est-elle légale ? Faut-il être du côté du gendarme ou du côté du
voleur ?
Il n’y a pas de législation spécifique concernant les pots de miel placés sur les STAD (Système de
Traitement Automatisée des Données) comme on nomme de manière désuète les systèmes
d’information dans les livres de droit. Tout réside dans l’intention et dans la manière dont les
créateurs de pots de miel s’y prennent. De même qu’un fonctionnaire de police n’a pas le droit, du
moins en France, de créer les circonstances et l’environnement d’un méfait pour prendre un
délinquant en flagrant délit, de même il ne peut être fait de publicité pour attirer un pirate dans un
réseau piégé pour utiliser les preuves de son attaque en justice. Pour que l’agressé puisse donc
utiliser les preuves d’une attaque, l’agresseur doit être tombé naturellement dans le piège tendu.
Placer des pots de miel s’apparente donc plus à une partie de pêche au pirate qu’à une embuscade
montée sur les grands chemins des autoroutes de l’information. On pourrait aussi concevoir un pot
de miel qui réagisse en attaquant l’agresseur pour compromettre son propre système d’information
en remontant aux sources de l’attaque. Mais le pirate pourrait alors se plaindre d’avoir été attaqué
alors qu’il était tombé sur votre réseau (comme) par hasard sans intention malveillante. Et que dire si
le hacker utilise pour vous attaquer, un poste intermédiaire comme celui de la police ! Le monde est
loin d’être simple et binaire et mieux vaut donc garder son pot de miel passif.
Dans un Intranet, un honeypot doit être bien évidemment considéré comme un outil de surveillance
et sa légitimité repose sur une obligation d’information des représentants sociaux des employés sur
ce qui est mis en fonction. Ceci enlève au pot de miel son effet surprise, mais c’est bien le but de la
protection des employés contre les outils de surveillance non déclarés, d’autre part, sa mise en
place doit reposer sur le principe de proportionnalité qui dit qu’un outil de surveillance ne peut être
mis en place par l’employeur que s’il est justifié par la valeur de l’information qu’il protège et par les
ardeurs des attaquants à le compromettre. En théorie, que le pot de miel soit placé en dehors de
l’Intranet pour coincer les pirates extérieurs ou à l’intérieur pour surveiller les employés, il devrait être
accompagné d’un message du genre : « Attention ce serveur n’est accessible qu’aux personnes
autorisées. En entrant dans ce serveur, vous acceptez que votre activité soit contrôlée et
divulguée » D’ailleurs à bien y réfléchir, c’est peut être astucieux de mettre cette recommandation,
pot de miel ou pas, pour obtenir un effet dissuasif, un peu comme ceux qui mettent un écriteau
« Chien méchant !!!» dans leur jardin alors que n’y réside qu’une paisible tortue.
Signalons qu’un pot de miel d’un genre nouveau vient de faire son apparition à l’occasion de la sortie
du film Blueberry. Ce film est proposé en DivX sur les serveurs d’échanges tels que KazaA et
eDonkey. Vous téléchargez, comme plusieurs dizaines de milliers d’internautes l’ont déjà fait, le
fichier DivX de 700MO ( !) et vous obtenez le tout début du film, mais au détour du chemin, voici
Vincent Cassel qui apparaît et vous explique que vous venez de télécharger une copie vidéo de très
mauvaise qualité comme ce qu’on trouve habituellement avec ce genre d’échanges, et que pour
apprécier le film, mieux vaut aller le voir au cinéma. Le reste du DivX est constitué de scènes de
tournage du film pour vous faire comprendre que la création d’une telle œuvre ne peut être
envisagée que si les spectateurs paient leurs places de cinéma. Dissuasif mais moral !
15 nov 2004
103/189
4
LA GESTION DE LA SECURITE
4.1
LA GESTION CENTRALISEE DE LA SECURITE
Auteur : Michel Habert (Netcelo) [email protected]
4.1.1
Introduction
4.1.1.1 Le problème
Plusieurs tendances sont actuellement observables:
Les entreprises s’étendent, les lieux de travail sont de plus en plus dispersés.
Les points d’accès aux réseaux de collecte, les réseaux d’interconnexion IP privés ou publics se
multiplient, les réseaux sans fil (WLAN, GPRS et bientôt UMTS) facilitent la mobilité intra et
extra entreprise mais sont vulnérables en raison de la technique de transmission utilisée (l’air).
Les ressources physiques des réseaux sont pour des raisons de coût, mutualisées, ce qui fait
que les VPN IP sont la voie royale de migration des entreprises vers IP.
Une bande passante élevée devient disponible à des coûts abordables,
Les attaques via des virus, vers etc se sont intensifiées et se focalisent sur les systèmes
d’exploitation les plus utilisés (ex Windows).
On assiste ainsi à la mise à disposition de l’entreprise d’une ressource de communication donnant
l’illusion, quelle que soit la distance, d’un réseau local mais par contre plus vulnérable.
Enfin, les entreprises pour leur développement commercial, utilisent de plus en plus internet qui
s’intègre au cœur du fonctionnement de l’entreprise.
Ceci montre la problématique que doit résoudre l’entreprise qui est de s’organiser face à cette
intensification des communications et des attaques, à l’ouverture sur le monde concrétisée par
l’utilisation d’internet, à l’augmentation de la vulnérabilité des environnements de travail, des réseaux
et des systèmes.
4.1.1.2 La situation actuelle
De nombreuses d’entreprises sont déjà équipées de systèmes pour pallier à des disfonctionnements
ou à des défaillances et de systèmes de protection basés principalement sur le cloisonnement de
leur système par des pare-feux (firewalls) , sur des outils d’éradication d’infections et de filtrage.
Dans un contexte de communications en forte progression avec l’entreprise étendue, des réseaux et
des environnements vulnérables, des attaques nombreuses, ces niveaux de protection se révèlent
de plus en plus complexes à maîtriser et insuffisants en couverture de sécurité.
4.1.1.3 La solution
La solution à cette problématique est d’une part la prise en compte de la sécurité dans la conception
du système d’information, de ne pas la considérer comme une pièce rapportée et d’autre part de
mettre en place une gestion globale de la sécurité, ceci afin d’apporter les moyens de défense
nécessaires au SI (système d’information) pour faire face aux intrusions internes et externes et
également aux défaillances et disfonctionnements préjudiciables au bon fonctionnement du SI.
Seule une gestion centralisée de la sécurité peut assurer une vision globale.
A la base, il est nécessaire que l’entreprise élabore une politique de sécurité de son système
d’information qui reflète sa vision stratégique en terme de sécurité de système d’information.
Cette politique de sécurité doit couvrir les aspects environnementaux, organisationnels, physiques,
logiques et techniques du SI et aboutir à l’élaboration de règles de sécurité qui devront être
appliquées.
L’application de ces règles doit être administrée, supervisée, surveillée et contrôlée et justifie la
présence d’un centre de gestion de la sécurité.
15 nov 2004
104/189
4.1.2
Caractéristiques d’un système de gestion centralisé de la sécurité
4.1.2.1 Un système de gestion de la sécurité basé sur des politiques
Un moyen d’appliquer et de contrôler l’application les règles d’une politique de sécurité globale est
de disposer d’un système de gestion central de la sécurité basé sur des politiques.
Le principe est de d’enregistrer les règles découlant de la politique de sécurité dans le système de
gestion, de les interpréter et de les faire appliquer.
Les règles vont porter sur la sécurité :
de l’environnement : systèmes d’accès physiques, systèmes d’alarmes (vidéo-surveillance),
systèmes de protection (incendie, eau, énergie,..)
des ressources système et réseau du système d’information : stations/serveurs, sites en
réseau, réseaux, services
des personnes sous la forme de rôles (utilisateurs, administrateur, administrateur privilégié ,
superviseur) et de droits.
Le système de gestion de la sécurité s’appuiera sur un système d’administration exploité.
4.1.2.2 Un système de gestion intégré
Un des problèmes de la sécurité est la diversité des techniques mise en œuvre. L’administration
peut vite se révéler complexe si par exemple il y a une grande variété de consoles d’administration
dédiées à l’administration de tel ou tel appareil.
Il est par conséquent nécessaire de disposer d’un centre d’administration intégré qui rassemble sur
une seule console l’ensemble des opérations de sécurité pour l’ensemble des équipements et
l’ensemble des techniques de sécurité administrés.
Console intégrée gestion
Centre de gestion de la sécurité
VPN IP
VPN IP
services
Composants administrés
4.1.3
Le système d’administration (SOC- Security Operations center)
Le système d’administration de la sécurité est la partie informatisée du système de gestion. Il est
intégré à un environnement sécurisé et est lui-même sécurisé : configuration à haute disponibilité,
site de secours (disaster recovery).
Il est associé à une exploitation qui met en œuvre des procédures d’exploitation. Une architecture de
système à l’état de l’art basée sur le modèle TMN (Telecommunicaitons Management Networks) et
les fonctions ISO FCAPS (Fault, Configuration, Accounting, Performance, Security) est
recommandée.
15 nov 2004
105/189
Le système d’administration sera organisé en plusieurs sous systèmes pour réaliser les fonctions
d’administration :
enregistrement des politiques
configuration
gestion des certificats (PKI)
mise à jour des logiciels et des bases de signatures
supervision
surveillance (collecte, analyse de logs) et alertes
Mises à jour logiciel et bases de données (ex bases anti-virales, filtrages URL, anti-spam)
fabrication de rapports,
gestion des tickets d’incidents.
Le système sera opéré par des consoles :
pour les opérations (consoles de gestionnaire)
pour le contrôle (consoles de supervision de SLA) client
pour l’administration du système de sécurité,
4.1.4
Les opérations
L’application des règles de sécurité est réalisée par des opérations qui interviennent :
Lors de l’approvisionnement
Avant le démarrage d’une activité, une personne ou un appareil doit posséder des informations et
des droits nécessaires à l’accomplissement des tâches qui lui incombent, ces informations
d’approvisionnement précèdent l’activation.
Cette phase d’approvisionnement peut se réaliser de plusieurs manières :
Un système de configuration qui fournit (mode pull) ou applique (mode push) les fichiers de
configuration de sécurité lors de la mise en service des stations/serveurs, équipements de
réseau, services applicatifs, applications.
Un système PKI (Public Key Infrastructure) qui fournit les certificats aux utilisateurs et aux
équipements,
L’envoi confidentiel par messagerie électronique de login/mots de passe aux utilisateurs ou aux
administrateurs
Fournir un badge à une personne.
Fournir une procédure d’exploitation à un administrateur
En cours de fonctionnement
En cours de fonctionnement, des opérations de sécurité sont effectuées. Ces opérations peuvent
être programmées ( exemple : procédure d’exploitation : sauvegarde, date de péremption d’un
certificat) ou non programmées, déclenchées en fonction d’évènements, par exemple détection
d’intrusion, modification de politique.
Exemple d’opérations :
mise à jour de logiciel
mise à jour de base anti-virale
renouvellement de mots de passe
renouvellement de certificats
15 nov 2004
106/189
mises à jour de logiciel
reconfigurations suite à une modification de politique
désactivation suite à une détection d’intrusion
réactivation suite à la fermeture d’un incident ayant provoqué une désactivation
sauvegarde.
4.1.5
La surveillance
Un système de sécurité nécessite un sous-système de surveillance qui recueille en permanence des
informations (exemple enregistrements de logs) en provenance des composants sécurisés. Des
corrélations sont effectuées et produisent des informations exploitables pour :
Signaler des anomalies ou des intrusions (alertes)
Elaborer des historiques de fonctionnement.
4.1.6
La supervision
La supervision contrôle et surveille l’exécution des opérations et recouvre l’aspect fonctionnement
normal et anormal.
Exemple :
contrôle de l’état d’activité d’un équipement de réseau (ping),
contrôle de l’approvisionnement d’un appareil,
4.1.7
Le contrôle
Plusieurs types de contrôle peuvent être effectués:
Contrôle de l’environnement physique (gardiennage),
Contrôle périodique de l’état de vulnérabilité de tous les systèmes du système d’information.
Contrôle de la configuration d’un poste pour l’autoriser à se connecter à l’entreprise.
Contrôle des sauvegardes. Essai de restauration d’un système à partir de la dernière
sauvegarde,
Etc..
4.1.8
La sécurité et l’administration du centre de gestion de la sécurité
Le centre de gestion de la sécurité doit lui-même disposer de ses propres fonctions de sécurité pour
sécuriser son propre fonctionnement.
Ce type de sécurité fait partie des fonctions d’administration du centre de gestion.
4.1.9
Fonctionnement d’un centre de gestion centralisé de la sécurité
Plusieurs types de fonctionnement sont possibles :
SOC ( Security Operations center) entreprise
L’entreprise dispose de son centre de gestion centralisé de la sécurité
Cette formule nécessite des moyens et des compétences.
SOC externalisé
•
Services administrés
Le centre de gestion est exploité par une société tierce mais l’entreprise garde le contrôle de sa
sécurité tout en n’ayant plus la complexité de gestion et les investissements d’un SOC.
•
Infogérance
15 nov 2004
107/189
Le système d’information et le centre de gestion sont exploités par une société tiers.
4.1.10 Garanties de sécurité
Pour disposer de garanties de sécurité pour la gestion de la sécurité, le centre de gestion pourra
faire l’objet d’une certification critères communs (CC) à un niveau de sécurité EALi (Evaluation
Assurance Level i). Ceci implique l’écriture d’une cible de sécurité concernant le système de gestion.
4.1.11 Standards et Modèles de référence utiles
Le guide PSSI (gratuit) édité par la DCSSI : Elaboration de politiques de sécurité des systèmes
d’information
Le modèle TMN (Telecommunications Management Network) : modèle de référence pour la
réalisation de systèmes d’administration
Les fonctions FCAPS (Fault, Configuration, Accounting, Performance, Security) : standard ISO
qui décrit les fonctions d’un système d’administration.
Rendre des services administrés : le standard ITIL ( IT infrastructure Library) définit comment
délivrer des services et les supporter.
4.2
LES SCANNERS DE VULNERABILITES
Auteur : Dominique Ciupa (Intranode) [email protected]
4.2.1
Un sujet technique et une question d'organisation
La recherche de vulnérabilités peut se faire en croisant les informations de bulletins d'alertes à
l'inventaire des machines d'un système d'information et des applications qui y résident. Si le
responsable de la sécurité est informé de la publication d'une nouvelle vulnérabilité sur une machine
et une application donnée, et qu'il sait qu'il possède cette machine et cette application,
éventuellement configurée d'une manière spécifique pour que la vulnérabilité soit réelle, il va déduire
que son système d'information possède cette vulnérabilité. C'est là un travail fastidieux et dont la
fiabilité est nécessairement limitée par la difficulté qu'il y a à tenir à jour un inventaire. Les systèmes
d'information sont en effet complexes et évoluent sans cesse. Une telle solution artisanale est donc
rapidement très coûteuse et risque de passer à côté de nombreuses vulnérabilités sur des machines
et des applications non recensées de façon exhaustive. Cette solution revient à condamner le
responsable de la sécurité à un travail jamais achevé, tel Sisyphe remontant son rocher tous les
jours sur la montagne.
La recherche de vulnérabilités d'un système d'information est donc d'abord et avant tout une
question d'organisation et de méthode. Le scanner de vulnérabilités apporte une solution
d'automatisation de la gestion des vulnérabilités.
Il existe sur le marché des scanners plus ou moins développés. Certains, proposé par exemple par
de grands éditeurs d'anti-virus, se limitent à la recherche des seules vulnérabilités des OS Microsoft.
15 nov 2004
108/189
D'autres même ne recherchent que les vulnérabilités Microsoft qui ont été exploitées par un virus,
ignorant les vulnérabilités connues, mais non encore exploitées. Il est pourtant vital de chercher à se
protéger de façon préventive contre les vulnérabilités qui feront, demain, l'objet de nouvelles
attaques. Les machines protégées ne seront en effet pas vulnérables. Cette démarche préventive
est très importante lorsque l'on sait que les remèdes des éditeurs d'anti-virus travaillant sur la
recherche de signature des codes malicieux ne sont disponibles qu'après l'attaque des virus.
Il est vain de croire que seules les machines sous Windows sont exposées à une exploitation de
leurs vulnérabilités. La prise de contrôle d'un gros serveur d'entreprise sous Linux ou sous Unix peut
intéresser plus d'un hacker. La mise hors d'état de fonctionner d'un équipement de surveillance
vidéo numérique sous OS Linux peut de même être autrement plus préjudiciable à l'entreprise que
l'arrêt d'un PC bureautique. L'entreprise prendra donc soin à ce que les solutions de scan de
vulnérabilités de son système d'information couvrent bien l'ensemble de ses équipements et
applications avec toute l'hétérogénéité de son parc.
4.2.2
Les technologies de recherche de vulnérabilités
Il existe schématiquement deux grandes approches de la recherche de vulnérabilités. D'une part, le
scanner qui teste à distance les machines cibles sans installer de logiciel sur ces machines. Le
scanner établit un dialogue plus ou moins forcé avec la machine cible en employant toute sorte de
protocoles. D'autre part, les solutions mettant en œuvre des agents sur les machines cibles. Les
deux approches ne sont pas égales, mais peuvent se compléter utilement.
4.2.2.1 Le scanner par dialogue avec les machines cibles
La première famille de solution de gestion de vulnérabilités s'appuie sur un scanner établissant un
dialogue avec chaque machine via le réseau IP. Ce scanner est souvent une appliance que les
responsables sécurité pourront connecter simplement et rapidement en n'importe quel point de leur
réseau. Le scanner interroge ses cibles comme le ferait un hacker pour découvrir la nature de
l'équipement, la présence des logiciels actifs, leurs configurations. Le scanner possède une base de
tests qu'il exécute pour rechercher les vulnérabilités des équipements qu'il interroge. Il utilise toute
sorte de protocoles pour établir un dialogue avec la machine qu'il interroge. Le scanner peut, dans
certains cas, utiliser les mots de passe d'administration de la machine pour accéder aux registres et
découvrir plus finement les configurations.
Les scanners de vulnérabilités peuvent recourir à des technologies différentes. Les scanners les
plus rudimentaires lancent une batterie de tests séquentiels sur les machines cibles et récupèrent la
totalité des informations en réponse à leurs requêtes. Cette technique est assez lourde, très
consommatrice de temps et de ressources du réseau et des machines. Elle peut de plus causer des
problèmes sur la machine cible. Un test prévu pour être inoffensif sur une machine donnée, peut être
destructeur sur une seconde machine. Il est donc absolument nécessaire de pouvoir choisir de le
lancer ou non en fonction d'une première identification de la machine cible. C'est pourquoi d'autres
scanners utilisent des systèmes experts. Ils enchaînent leurs requêtes en tenant compte des
réponses obtenues précédemment. Cette technique allège la sollicitation du réseau et des
machines. Elle peut de même s'avérer plus efficace en effectuant une corrélation forte entre les
différentes réponses obtenues. Une supposition de vulnérabilité en réponse à une requête peut en
effet être confirmée ou infirmée par le système expert grâce à une corrélation avec les réponses de
requêtes précédentes ou suivantes.
Certains scanners peuvent générer des dialogues perturbateurs et prendre le risque de bloquer,
voire de détruire des données, sur la machine cible. Il est clair que le fait de faire effectivement
rebooter une machine à distance est une preuve que celle-ci est vulnérable en déni de service. On
trouve, par exemple, ce type de test dans des solutions de scanners open-source pour lesquels
certains développeurs ont jugé pertinent de réaliser de tels tests. Cette solution n'est cependant pas
utilisable sur un parc de machines en production et les responsables sécurité devront prendre garde
à ce que les éditeurs de solutions de scans aient une politique claire sur la qualité de leurs tests et
leur caractère non perturbateur.
Le dialogue entre le scanner et les machines cibles peut éventuellement être limité en cas de
cloisonnement du réseau IP par des firewalls. On mettra alors différents scanners dans le système
d'information pour interroger les machines de différentes DMZ. Il est de même intéressant d'avoir un
15 nov 2004
109/189
scanner sur le réseau IP public, l'Internet, pour connaître les vulnérabilités que pourrait découvrir un
hacker de l'extérieur du système d'information de l'entreprise, et d'avoir un ou plusieurs autres
scanners au sein de l'Intranet de l'entreprise pour avoir une connaissance exhaustive des
vulnérabilités du système d'information.
4.2.2.2 Les agents embarqués sur les machines cibles
La seconde famille de solution de recherche de vulnérabilité s'appuie sur une technologie d'agents
embarqués sur les machines cibles. Ces agents analysent les équipements sur lequel ils sont
embarqués, les logiciels, leurs configurations et la présence éventuelle de correctifs. Ils déduisent
les vulnérabilités d'une base de données de configurations. Cette technologie exige un déploiement
préalable d'agents sur les machines et ne pourra pas être utilisée pour découvrir un parc mal
inventorié ou des équipements en perpétuelle modification de configuration. Elle vise surtout à
connaître la présence ou l'absence de correctifs de sécurité sur la machine sur laquelle l'agent est
embarqué. Elle ne s'intéresse pas en général aux problèmes de configurations générant des
vulnérabilités. Cette technologie est davantage utilisée par les outils de gestions de correctifs ou
patch management. L'agent sert alors de relais au téléchargement des correctifs. Cette solution ne
fonctionne plus lorsque l'agent est retiré sur une machine, par maladresse ou malveillance. Toutes
les solutions de cette famille ne sont pas équivalentes. En particulière, elles ne fonctionnent jamais
sur toutes les machines existantes, de tous les constructeurs et avec tous les systèmes
d'exploitation et configurations possibles et imaginables. Les scanners établissant un dialogue à
distance ont, pour leur part, plus de facilité à établir un contact avec tout type de machines.
Les deux technologies, scanner et agent embarqué, loin d'être concurrentes, peuvent donc être
utilement complémentaire l'une de l'autre. Cet aspect est développé ci-après dans le paragraphe sur
le pilotage de la distribution des correctifs.
4.2.2.3 Les consoles pour restituer les résultats des scanners
Les vulnérabilités détectées par le scanner doivent être présentées aux différents responsables de la
sécurité. Pour un petit périmètre, la question est très simple. Une seule personne consulte les
résultats qui représentent quelques dizaines ou centaines de vulnérabilités et de machines. Dans le
cas de grandes entreprises au contraire, la question se pose en terme d'organisation. En général,
les entreprises souhaitent pouvoir répartir à leur guise les droits d'accès sur les vulnérabilités du
système d'information. Le responsable sécurité d'une filiale aura ainsi accès aux descriptions des
vulnérabilités du périmètre placé sous sa responsabilité, mais il n'est pas nécessairement pertinent
de l'autoriser à consulter les vulnérabilités du système des autres filiales du groupe. De son côté, un
responsable sécurité groupe souhaitera avoir une vue synthétique de l'état de vulnérabilité de
l'ensemble du système. Il pourra ainsi contrôler le travail réalisé au sein de chaque entité, contrôler
les dérives et, si besoin est, proposer de réaffecter certaines ressources pour répondre de manière
efficace aux besoins du groupe.
L'architecture d'une solution de scanners de vulnérabilités comprendra donc une console centrale,
des accès locaux et toute une organisation de consolidation, gestion des droits de lecture des
résultats, et de programmation des scans. Elle pourra éventuellement mettre en œuvre des bases
réparties pour fournir une grande souplesse d'organisation.
4.2.2.4 La hiérarchisation des vulnérabilités dans le contexte du système
d'information de l'entreprise
Trop d'information tue l'information, c'est bien connu ! Mettre en œuvre des solutions de scanners de
vulnérabilités doit être fait avec soin pour ne pas se trouver submergé par une information non
exploitable. Le choix de la solution retenue doit être fait dans le cadre d'une réflexion d'organisation
de l'exploitation des résultats. Toutes les solutions ne sont pas toujours aussi facilement
exploitables. Les grandes entreprises peuvent en effet avoir des parcs de plusieurs milliers de
serveurs, et plusieurs dizaines de milliers de postes de travail. Chaque machine peut avoir plusieurs
dizaines de vulnérabilités. On doit toujours garder à l'esprit que l'année de travail d'un individu ne
comptera jamais plus de 1.500 à 2.000 heures de travail. Demander à une même personne
d'analyser et de corriger manuellement des dizaines de milliers de vulnérabilités n'est pas réaliste.
Il est donc crucial d'organiser la production des résultats des scanners de vulnérabilités pour
communiquer aux différents responsables des informations pertinentes pour le travail qu'ils doivent
15 nov 2004
110/189
faire individuellement, en précisant le degré d'importance de chaque problème pour s'autoriser à ne
pas corriger certaines vulnérabilités.
Vouloir corriger toutes les vulnérabilités d'un large système d'information coûterait en effet
extrêmement cher et n'est pas raisonnable. L'entreprise doit donc faire des choix et hiérarchiser les
actions correctrices qu'elle va entreprendre. Toutes les vulnérabilités ne présentent pas le même
risque pour l'entreprise. Une vulnérabilité permettant de lire de données sur une machine qui
n'héberge pas d'informations confidentielles ne présente pas un grand danger pour l'entreprise. A
l'inverse, une vulnérabilité dont l'exploitation peut générer un déni de service sur une machine de
commande d'une chaîne de production présente un risque de perte d'exploitation extrêmement
élevé.
Les vulnérabilités sont elles-mêmes plus ou moins critiques de façon intrinsèque. Ainsi, une
première vulnérabilité exploitable pour un déni de service peut, par exemple, provoquer un reboot
d'une machine. Il se peut que celle-ci fonctionne ensuite parfaitement après son redémarrage. Une
seconde vulnérabilité peut par exemple être exploitée pour bloquer la même machine, mais en
détruisant son système de façon à rendre tout redémarrage impossible. On le voit bien, la seconde
vulnérabilité est beaucoup plus préjudiciable que la première.
Pour être efficace, les solutions de scanners de vulnérabilités doivent donc proposer une analyse
des risques prenant en compte :
Le rôle propre de chaque équipement au sein du système d'information et sa criticité
fonctionnelle pour l'entreprise,
La criticité intrinsèque de chaque vulnérabilité, mesurée par exemple sur des risques :
•
d'accessibilité à des données,
•
de corruption de ces données,
•
de déni de service,
•
de prise de contrôle à distance de la machine,
Le niveau de difficulté d'exploitation de la vulnérabilité.
Ce dernier paramètre peut évoluer dans le temps, avec par exemple, la publication d'« exploits »
rendant simple du jour au lendemain l'exploitation d'une vulnérabilité connue.
Une mesure de criticité sur 3 niveaux, bas, moyen et haut, sans plus de précision, est trop pauvre
pour une analyse efficace des risques. Une combinaison de ces différents paramètres doit permettre
d'organiser une hiérarchisation pertinente des vulnérabilités identifiées dans le contexte de
l'entreprise à un moment donné.
Enfin, la solution doit proposer des rapports détaillés pour les responsables opérationnels d'une
partie du système d'information avec les informations adaptées pour leurs actions et doit également
proposer des rapports consolidés avec une vue de synthèse pour une direction centrale de la
sécurité.
4.2.3
Les usages des scanners de vulnérabilités
Les usages que l'on peut faire des scanners de vulnérabilités se regroupent en 3 familles :
L'audit, la cartographie et l'inventaire,
Le pilotage de la distribution des correctifs et de la reconfiguration des équipements,
Le filtrage d'alarmes pour les outils de supervision ou fault management.
Les entreprises peuvent retenir un ou plusieurs de ces usages ou avancer progressivement d'un à
plusieurs usages.
4.2.3.1 L'audit, la cartographie, l'inventaire
C'est historiquement le premier usage que l'on a fait des scanners de vulnérabilités. Le scanner
exécute de façon automatique des tests que les consultants réalisaient auparavant de façon
manuelle. L'objectif est faire un état des lieux des risques associés aux vulnérabilités et de mesurer
15 nov 2004
111/189
le niveau de risque de global. Des mesures régulières permettent de suivre les tendances et de
vérifier que les mesures de corrections prises sont efficaces.
Il est particulièrement important que les résultats de vulnérabilités soient hiérarchisés en fonction
des risques intrinsèques de la vulnérabilité et de l'importance fonctionnelle de chaque équipement. Il
est de même très utile que les vulnérabilités soient associées à des recommandations en vue
d'effectuer ensuite les corrections.
Les scanners sont utilisés soit pour des audits ponctuels, soit pour des audits récurrents assurant un
suivi du niveau de vulnérabilité.
Le scanner pouvant explorer de très larges plages d'adresses IP, il permet également de réaliser
une cartographie et un inventaire du système d'information. C'est un service très utile, peu cher et
très efficace. Il permet aux entreprises d'éviter des tâches de recensement manuel extrêmement
lourdes. Le scanner travaillant sans agent embarqué sur la machine cible permet de réaliser un
inventaire rapide, sans installation préalable longue. L'ajout ensuite d'agents sur les machines
permettant d'approfondir l'inventaire, en mesurant par exemple la durée d'exploitation des logiciels.
Une telle information permet de mieux gérer les licences logiciels et d'arrêter le paiement de licences
de logiciels non utiles.
Les audits de vulnérabilités peuvent également être limités à l'analyse de ce qui est visible par un
hacker potentiel, en plaçant le scanner sur le réseau public. On a alors un sous-ensemble de
vulnérabilités par rapport à toutes celles que l'on peut déceler en positionnant le scanner sur le
réseau interne de l'entreprise, c'est-à-dire sans protection de firewall entre le scanner et les
machines cibles.
4.2.3.2 Le pilotage de la distribution des correctifs et des outils de reconfiguration du
système d'information
C'est souvent l'étape suivante de l'utilisation des scanners de vulnérabilités. Ils sont utilisés de façon
permanente au sein de système d'information pour traquer l'arrivée de nouvelles vulnérabilités.
Celles-ci peuvent être corrigées de 2 manières différentes :
Par le déploiement d'un correctif de sécurité, c'est-à-dire un patch,
Par une reconfiguration de l'équipement vulnérable.
Les scanners vont alors être interfacés avec différents outils pour fournir une solution d'exploitation
et de maintenance du système d'information.
Des outils de trouble ticketing pour suivre le processus de correction du début à la fin et notifier
les actions adéquates aux responsables concernés. L'un des plus répandu est la solution ARS
de BMC Software Remedy.
Des outils de patch management pour déployer automatiquement les correctifs de sécurité. Ces
outils vont en général s'appuyer sur les techniques d'agents embarqués sur les machines
cibles.
Des outils de gestion de configuration et provisionning pour modifier les configurations logiciels
de parcs importants.
Dans un tel processus, le scanner de vulnérabilités intervient en début de processus pour générer
une alerte et exposer le besoin d'une correction avec pondération du risque. Les responsables, au
vu du risque et de l'importance des machines concernées, choisissent alors de corriger ou non. Il est
alors fortement recommandé de procéder à des tests de non-régression pour s'assurer que les
correctifs, patches ou changement de configuration, ne sont pas incompatibles avec d'autres
applications déjà en place.
Enfin, le scanner intervient après correction pour contrôler que les vulnérabilités ont effectivement
disparues, et que la correction apportée n'a pas généré de nouvelles vulnérabilités. Aucun logiciel
n'étant parfait, il est très intéressant de disposer d'une solution de contrôle indépendante de l'outil de
déploiement pour valider, en toute impartialité, le bon résultat de l'opération de correction. Le
scanner pourra notamment contrôler la présence ou l'absence des agents de télédistribution sur les
machines cibles.
15 nov 2004
112/189
Schématiquement, le processus de correction peut être représenté par le diagramme suivant :
4.2.3.3 Le filtrage d'alarmes pour les solutions de supervision
Les solutions de supervision, et fault management de la sécurité, sont chargées de traiter toutes les
alarmes émanant d'un système. Celles-ci peuvent avoir pour source des sondes de détection
d'intrusion (IDS), des logs de firewalls, filtres applicatifs, des anti-virus, etc. Ces systèmes doivent
faire face à deux difficultés contradictoires :
Ne pas voir une attaque, et donc ne pas générer une alarme pertinente ;
Interpréter inutilement un comportement inoffensif comme étant une attaque.
Le principal problème est celui du traitement d'un nombre très important d'alarmes. Il n'est pas rare
de parler de milliers d'alertes par jour pour une entreprise et de millions d'alertes par jour pour un
grand opérateur de télécommunications. Sur de tels nombres, seule une très faible part s'avère être
effectivement dangereuse et demande un traitement et des actions immédiates.
Les systèmes de fault management procède par corrélation d'évènements pour trier l'ensemble des
alarmes et séparer les plus sérieuses de ce qui est appelé le « bruit ». Le facteur de réduction du
nombre d'informations est parfois de l'ordre de la centaine, voire supérieure au millier.
Une connaissance actualisée des vulnérabilités du système d'information participe à ce processus
de réduction du nombre d'alarmes. Il est en effet très important de savoir si une attaque porte sur un
périmètre d'équipements vulnérables ou non. Suivant le cas, l'attaque pourra être qualifiée de
sérieuse ou avec quasiment aucune chance d'aboutir. Les solutions de scanners de vulnérabilité
doivent pour cela s'interfacer avec les outils de fault management et supervision de la sécurité.
15 nov 2004
113/189
5
LA GESTION DES CORRECTIFS
5.1
CONTEXTE
De nombreux logiciels connaissent un jour ou l’autre des problèmes fonctionnels, liés à des erreurs
de conception ou d’implémentation. Pour les éditeurs ou développeurs, la solution consiste à
développer un programme complémentaire — aussi appelé "correctif", "patch" ou "rustine" — qui
vient corriger le problème identifié puis à le distribuer auprès des utilisateurs.
Certains de ces problèmes causent un tel dysfonctionnement qu’ils laissent les logiciels ou les
systèmes dans des états anormaux, vulnérables à des compromissions et donc à la réalisation
d’actions malveillantes. Des correctifs "de sécurité" doivent donc être appliqués afin d’éviter que des
personnes malveillantes n’exploitent les vulnérabilités, ne perturbent le bon fonctionnement, la
disponibilité ou l’intégrité des systèmes ou des données.
Les correctifs font partie de la culture informatique … depuis que l’informatique existe : ils servent à
corriger un "bug" — ou "bogue" — c’est-à-dire en termes châtiés, une fonctionnalité non prévue par
les développeurs (sic). Déjà avec les ordinateurs gros systèmes, les mainframes, le concept existait.
Ainsi IBM se basait sur une base sur la base des "APAR"5— ou "Authorized Program Analysis
Report" — pour fournir à ses clients des "PTF" — ou "Program Temporary Fix" — dont la vocation
est "de fournir un service de correction ou d’amélioration d’une fonction, d’être une modification du
code qui corrige un problème"6. Les ingénieurs systèmes de l’époque avaient donc pour habitude de
suivre les procédures et de mener régulièrement des campagnes d’application de correctifs.
Lorsque les premières stations de travail sous Unix sont apparues au début des années 80, les
"patch" étaient diffusés plus ou moins régulièrement, avec parfois la diffusion d’un "jumbo patch",
l’équivalent de ce que l’on appelle aujourd’hui un "patch cumulatif". De nombreuses distributions
Linux intègre en natif un mécanisme de récupération des correctifs et des mises à jour systèmes et
logicielles.
Aujourd’hui, la gestion des correctifs peut être abordée sous plusieurs angles :
La population des Internautes non sensibilisés aux problématiques de la sécurité, ne disposant
même pas forcément d’anti-virus sur leur poste de travail et encore moins d’outils de
protection : ils ne sont pas informés des avis de vulnérabilités ou de la disponibilité de correctifs
La population des Internautes qui sont informés des questions de sécurité, suivent les avis de
vulnérabilité et appliquent les correctifs
Les entreprises qui n’ont pas d’organisation informatique ou sécurité dédiée
Les grandes entreprises avec une organisation et des structures qui prennent en compte les
problématiques sécurité
Quant au niveau de risque, il est proportionnel aux conséquences liées à l’exploitation de la
vulnérabilité ainsi à la probabilité d’occurrence de son exploitation, mais sera réduit par les mesures
de protection ou conservatoires mises en œuvre. Il peut donc être défini par la formule
mathématique suivante :
(niveau de risque) = (impacts potentiels) x (probabilité d’occurrence) / (protection opérationnelle)
La diffusion de l’existence d’une vulnérabilité accroît sa probabilité d’occurrence. Cette divulgation
est pourtant nécessaire afin de permettre l’identification des cibles vulnérables et l’estimation de la
nature des risques ainsi que de l’urgence de l’application des correctifs. Le niveau de détail de
l’annonce et le vocabulaire employé sont primordiaux tant pour celui qui publie – particulier, groupe,
société de service, éditeur – que pour celui qui la lit. Elle doit à la fois être suffisamment précise pour
qu’un lecteur intéressé puisse déterminer si son environnement de travail est vulnérable, sans
5 "an APAR is a method of reporting a code problem or error to IBM, a tracking number for a possible problem"
6 "a PTF provides corrective service or enhancements to a function, the actual code change that fixes the
problem"
15 nov 2004
114/189
toutefois être trop explicite afin de ne pas faciliter le travail des personnes malveillantes à qui l’idée
pourrait venir de développer des outils d’exploitation de la vulnérabilité.
Les éditeurs et organismes officiels traitant de la sécurité, comme les "CERT" —"Computer
Emergency Response Team" — ou les "CSIRT" — "Computer Security Incident Response Team" —
), définissent 3 ou 4 niveaux de gravité avec un niveau de prise en compte associé :
Pour une gravité "CRITIQUE", il est impératif de prendre des mesures appropriées au plus vite,
afin de supprimer la cause de la vulnérabilité sans hésiter à déclencher des procédures
d’interventions exceptionnelles. L’exploitation de la vulnérabilité pourrait en effet avoir des
conséquences aussi grave que la compromission totale du système ou la propagation
automatique d’une charge virale ou maligne sans intervention de l’utilisateur.
Pour une gravité "ÉLEVÉE", il est fortement recommandé de prendre des mesures appropriées
dans un délai court, sans toutefois revêtir un caractère d’urgence. L’exploitation de la
vulnérabilité pourrait avoir des conséquences telles que la compromission de la confidentialité
ou de l’intégrité des données, voire perturber la qualité de service offerte et la disponibilité.
Pour une gravité "MOYENNE", les opérations de réduction des risques devraient suffire dans
un premier temps. La correction peut n’être appliquée que lors d’une prochaine campagne de
remise à niveau, l’utilisation d’une plate-forme vulnérable n’étant pas rédhibitoire. L’exploitation
de la vulnérabilité n’aurait pas d’impact majeur sur le bon fonctionnement ou la cohérence
globale de la plate-forme.
Pour une gravité "FAIBLE", les opérations de correction et de réduction des risques peuvent
être reportées jusqu’à la prochaine campagne de mise à jour, les risques d’exploitation ou les
impacts potentiels étant faibles. L’exploitation de la vulnérabilité est soit très complexe et
requiert la combinaison de plusieurs facteurs soit à une faible probabilité d’occurrence.
5.2
PRINCIPE DE TRAITEMENT DES CORRECTIFS DE SECURITE
La prise en compte des avis de sécurité et leur application doit respecter une
comportant plusieurs étapes. Elle est similaire à celle des correctifs systèmes ou
facteur temps joue de façon cruciale : plus vite les correctifs sont mis en
éventuelles attaques visant à exploiter les vulnérabilités sont susceptibles de
plates-formes.
5.2.1
procédure précise
applicatifs, mais le
œuvre, moins les
venir impacter les
la phase amont
En amont, le suivi des annonces des vulnérabilités doit être organisé7 puisqu’il s’agit d’être au
minimum averti de l’existence de nouvelles vulnérabilités et au mieux de réduire le délai de prise en
compte des correctifs. Une bonne connaissance du parc informatique de l’entreprise ainsi qu’un
inventaire matériel et logiciel à jour rendra l’analyse plus efficace de même que la détermination plus
rapide des plates-formes concernées.
Une fois confirmé le besoin théorique d’appliquer le correctif, il sera alors temps d’aller le rechercher,
d’en vérifier l’authenticité et l’intégrité, mais aussi de vérifier tous les pré-requis, tant en terme de
plates-formes matérielles que logicielles, de système d’exploitation et de correctifs, d’applicatifs ou
de modules ou librairies.
Une fois l’intégrité du correctif vérifiée, il doit être validé techniquement avec plusieurs objectifs :
vérification de son efficacité : suppression ou contournement de la vulnérabilité qu’il adresse et
analyse de la "signature" de la plate-forme mise à jour lorsqu’elle est testée par des outils de
tests de vulnérabilités.
vérification de sa complétude : réalisation des fonctions attendues sans besoins annexes, qu’il
s’agisse de modules complémentaires ou de privilèges nécessaires à son installation
vérification de son indépendance : vérification de l’absence d’effets de bords ou de
dysfonctionnement dans les autres modules logiciels ou applications mais aussi vérification du
7 Voir le chapitre consacré à ce sujet.
15 nov 2004
115/189
non-écrasement de configurations ou de paramétrages spécifiques liés à l’environnement de
l’utilisateur ou de l’entreprise.
vérification de son intégrité : vérification que la suppression du correctif laisse intègre
l’environnement sur lequel il a été installé et qu’il permet de faire un retour arrière en cas de
découverte de nouveaux dysfonctionnements a posteriori … comme cela se produit parfois.
Bien entendu, ces validations et vérifications doivent être effectuées dans un environnement
similaire à celui de production, afin de tester au plus près du réel sans risque de débordement
incontrôlé. Dans le cas contraire d’un dysfonctionnement, la résolution de tout nouveau problème
risque justement de devenir très problématique. La documentation des opérations réalisées est
impérative et il est nécessaire de journaliser toutes les opérations réalisées.
La dernière étape avant la décision d’appliquer le correctif consiste à analyser les risques couverts
et les risques résiduels, puis à estimer les coûts induits. Il s’agit à ce titre d’évaluer :
les coûts induits par le déploiement des correctifs, qu’il se passe de façon manuelle ou
automatique, en heures ouvrables ou non,
les coûts induits par le non-déploiement des correctifs, en intégrant la mise en place de parades
ou de solutions de contournement
les coûts induits par une indisponibilité des plates-formes vulnérables en cas d’arrêt causé par
l’exploitation de la vulnérabilité
les coûts estimés en cas d’exploitation de la vulnérabilité concernée
les coûts et impacts potentiels en cas de non-respect d’une directive métier ou d’une législation
causés par la non-application du correctif
Une fois la décision prise, une dernière opération sera nécessaire, la rédaction de 2 procédures :
celle d’installation et de désinstallation du correctif, et celle de déploiement. L’utilisation de logiciels
de télé-distribution ne change en rien le principe de vérification.
5.2.2
Le déploiement
Une fois la décision de déploiement prise, il peut alors commencer, dans le respect des procédures
existantes et des contraintes d’exploitation. Pour l’organiser, il faut définir les priorités et l’ordre dans
lequel les correctifs doivent être installés. Les différents critères sont par exemple le niveau de
criticité des plates-formes concernées ou leur emplacement dans l’architecture ou les chaînes de
production de l’entreprise.
Plusieurs types de déploiement sont possibles :
le déploiement maîtrisé par l’entreprise : des outils de télé-distribution transmettent des
paquetages logiciels aux plates-formes cibles dans les conditions et contextes définis et
planifiés par les responsables du déploiement
le déploiement semi-maîtrisé par l’entreprise : les plates-formes cibles viennent chercher leurs
paquetages logiciels de façon asynchrone et indépendante, lors de leur démarrage ou par
exemple, lors de la première connexion sur un serveur
le déploiement non maîtrisé par l’entreprise : les plates-formes cibles viennent chercher les
correctifs lorsque l’utilisateur le souhaite, lorsqu’il valide la question qui lui est posée ou qu’il
lance une application de vérification globale et de mise à jour.
Si les outils de télé-distribution ou de diffusion peuvent se révéler d’une grande efficacité, il faut
aussi penser aux postes nomades des utilisateurs qui sont souvent à l’extérieur de l’entreprise mais
communiquent souvent avec elle : par exemple, des postes nomades de type PC portables qui ne se
connectent que de façon épisodique aux réseaux de l’entreprise …
Même s’il existe des solutions techniques permettant la réalisation de l’opération d’application des
correctifs, il faut donc vérifier que tout le parc est couvert et détecter ceux qui réussissent à passer
entre les mailles du filet.
15 nov 2004
116/189
Outre les conséquences liées aux pertes de données dues à des vols ou à des destructions, une
nouvelle problématique est apparue de façon particulièrement aiguë depuis l’été 2003 : la
contamination de réseaux interne d’entreprises par la faute de PC nomades reconnectés : mal
protégés et infectés en dehors du périmètre de l’entreprise lors de connexions directes à l’Internet,
ils étaient porteurs de charges malignes qui se sont déclenchées une fois sur le réseau local. De
nombreux mécanismes de protections d’infrastructure ont ainsi été contournés avec des
conséquences parfois dramatiques.
5.2.3
La phase de suivi
En aval aussi, plusieurs procédures doivent aussi être mises en place :
le suivi immédiat après applications pour lever les doutes au plus vite en cas d’apparition de
dysfonctionnements
le suivi de l’avancement des mises à jour des correctifs afin de mesurer le taux de couverture
des plates-formes vulnérables et déterminer les environnements résiduels vulnérables
la mise à jour de l’inventaire du parc informatique
la communication des résultats obtenus auprès de la Direction Informatique et des
responsables internes de la Sécurité
Dans certains cas, des correctifs insuffisamment testés ou avec des effets de bords à retardement
ont été observés. Les éditeurs ont alors du les retirer de la circulation ou diffuser des additifs. De
même certaines listes de diffusions sur Internet se sont spécialisées dans le suivi des correctifs et
dans le "patch management". Il s’agit de sources d’informations particulièrement précieuses dans la
mesure où l’on ne fait pas partie des premières entreprises à appliquer les correctifs.
Dans le cas de plates-formes fonctionnant sous un système d’exploitation francisé, un délai est
parfois observé quant à la date de disponibilité des correctifs.
5.3
ÉLEMENTS COMPLEMENTAIRES OU SPECIFIQUES
5.3.1
le facteur temps
Une fois qu’une vulnérabilité a été annoncée, de véritables courses contre la montre vont débuter
qui du correctif ou du code d’exploitation sera publié le premier ?
qui des configurations et des paramètres à implémenter sur les outils de détection d’intrusion ou
du code d’exploitation sera réalisé le premier ?
qui de l’application du correctif ou de la diffusion du code d’exploitation sera réalisée le
premier ?
Depuis l’an 2000, de nombreux cas qui ont fait la une de l’actualité virale sont venus rappeler que les
correctifs étaient publiés bien avant que les codes d’exploitations ne soient diffusés.
La réactivité des éditeurs et constructeurs est primordiale lorsqu’une vulnérabilité est dévoilée par un
circuit non officiel.
La réactivité des entreprises, des utilisateurs et responsables sécurité est primordiale lorsque
administrateurs les correctifs sont diffusés officiellement par les éditeurs et les constructeurs. Les
outils de déploiement de correctifs permettent alors de gagner un temps précieux.
L’organisation des entreprises est un facteur déterminant lorsque des éditeurs publient des
découvertes de vulnérabilités et des correctifs à date fixe.
5.3.2
Les systèmes qui ne peuvent pas être pris en compte
Certaines plates-formes informatiques ont pour vocation le pilotage de processus industriels ou
constituent le support technique d’applications métiers.
15 nov 2004
117/189
L’élément déterminant est alors le logiciel ou le matériel ainsi que le centre de pilotage. Les platesformes ne sont alors plus gérées par les services informatiques ou tout du moins, ils ne maîtrisent
pas leurs évolutions, car il s’agit plutôt de systèmes de type "clé en main".
La connaissance de vulnérabilités affectant les composants systèmes, applicatifs ou même des
couches logicielles fondamentales comme des vulnérabilités affectant la pile TCP/IP, doivent
amener à une forte vigilance. L’application de correctifs n’est pas toujours possible, soit pour des
raisons techniques soit pour des raisons contractuelles. Il faut alors faire cohabiter des plates-formes
vulnérables et susceptibles d’être infectées ou compromises au sein d’un environnement que l’on
s’applique à maîtriser.
Une difficulté supplémentaire vient s’ajouter lorsque ces plates-formes industrielles pilotent des
processus vitaux pour la production de l’entreprise.
Il faut alors travailler sur les architectures réseaux et applicatives de façon à isoler autant que
possible les environnements vulnérables de production tout en continuant à assurer les besoins de
communications opérationnelles et les suivis métiers.
5.4
CONCLUSION
Une organisation spécifique doit donc être mise en place pour la prise en compte des correctifs de
sécurité et c’est finalement une chaîne complète de procédures qui doit être mise en place : la
collecte de l’information en amont et sa qualification, le déploiement puis la vérification et le suivi.
Cette organisation impose la mobilisation de ressources.
Il sera nécessaire de sensibiliser et de convaincre le management de l’entreprise du bien fondé de la
mise en place d’une gestion des correctifs.
Une rapide étude du marché montre que le nombre de logiciels de "patch management" augmente
en ce moment. Ils ne disposent cependant pas tous des fonctionnalités suffisantes pour s’intégrer
dans les processus informatiques des entreprises. Le "patch management" est toujours en phase de
maturation mais devrait atteindre un niveau égal et satisfaisant pour les différents environnements
phares de l’informatique répartie actuelle :
Microsoft Windows avec des solutions qui montent en puissance, d’origine Microsoft ou tierce
Unix avec des outils constructeurs ou d’éditeurs tiers rodés depuis plusieurs années
Linux avec des outils parfois totalement intégrés dans le système d’exploitation mais qui
peuvent être complétés par des outils tiers permettant d’avoir une vision homogène lorsque
plusieurs environnement cohabitent au sein d’une entreprise.
Les plates-formes mobiles comme des PDA plus ou moins intégrées dans l’architecture
informatique de l’entreprise
15 nov 2004
118/189
6
LES RESEAUX PARTICULIERS
6.1
APPLICATIONS A LA VOIX SUR IP
Auteur Alexis Ferrero (OrbitIQ) [email protected]
La généralisation des infrastructures exploitant des services de type Voix sur IP (VoIP), pose
naturellement avec une plus grande acuité le problème de la vulnérabilité de ces systèmes.
Des systèmes de protection bien spécifiques ont donc été développés pour répondre aux problèmes
et faiblesses intrinsèques des solutions VoIP courantes, en cohérence avec les contraintes de QoS
(qualité de Service) requises pour le transport de la parole.
Dans la majorité des cas, ces équipements, comparables en terme de positionnement aux Firewalls
et autres IDS, placés entre les serveurs et éléments VoIP, et les postes clients, filtrent les
connexions et suivent le trafic avec une compréhension des protocoles mis en oeuvre.
Actuellement ces fonctions sont souvent intégrées à un produit dédié nommé Session Border
Controler (SBC), mais peuvent aussi se retrouver dans d'autres éléments de l'architecture VoIP (tels
que SIP Proxy, SoftSwitch, etc.).
Nous allons voir les risques particuliers qui existent dans le monde VoIP, et quelle solution les
produits spécifiques récents apportent.
6.1.1
Architecture d'un système VoIP
Le SBC est généralement placé en frontal du système VoIP à protéger, en point de coupure entre
l'infrastructure VoIP de l'opérateur et, soit les réseaux clients, soit les infrastructures des autres
opérateurs avec lesquels il a des accords d'échange. Il occupe cette position pour pouvoir, par
exemple réaliser des fonctions de NAT Remote Traversal ou la génération de SDR, mais il est
surtout placé à un point stratégique pour pouvoir protéger le réseau VoIP de l'opérateur en filtrant les
connexions malveillantes, mais aussi en masquant certains détails vis-à-vis de l'extérieur.
Dans la plupart des cas le trafic VoIP est acheminé sur un réseau ou un VLAN distinct de celui des
données, et doit donc remplir toutes les fonctions de sécurité pour ce réseau, puisqu'il n'est pas
secondé par un équipement traditionnel. Inversement, il n'est sensé gérer que le trafic de type VoIP
(signalisation et flux de phonie).
Rappel : NAT Remote Traversal
De par la pénurie d'adresses IP publiques, et le besoin de se protéger de divers types d'attaques,
une grande partie des réseaux d'utilisateurs, en entreprise comme en résidentiel, sont placés
derrière des équipements chargés de la fonction de NAT (Network Address Translation) qui
convertissent les adresses IP entre l'Internet et le réseau interne, et dans la majorité des cas, de
manière asymétrique, c'est à dire en n'utilisant, par exemple, qu'une unique adresse IP publique
15 nov 2004
119/189
(visible de l'Internet) pour les différents utilisateurs du réseau. Cette conversion n'ayant que peu ou
pas de compréhension des protocoles applicatifs, elle rend incohérents les paquets de signalisation
(SIP ou MGCP par exemple), dans lesquels les adresses IP de l'en-tête et de la partie signalisation
n'ont plus aucune correspondance. Pour remédier à ce problème, une solution peut être de modifier
tous les équipements NAT (comme par exemple toutes les Residential Gateway) pour qu'ils
comprennent et gèrent correctement la conversion des adresses IP de l'en-tête mais aussi celles
apparaissant dans le champ de la signalisation. Cette solution est hélas très utopique. Une solution
beaucoup plus réaliste consiste à palier à la modification des adresses IP a posteriori (après le
passage par le NAT), pour rendre la cohérence aux datagrammes de signalisation lors de leur
réception par l'opérateur VoIP. C'est que l'on appelle le NAT Remote Traversal, puisque la
correction est effectuée à distance.
6.1.2
Les risques
Les risques de la VoIP comparés aux systèmes voix traditionnels existent car le réseau VoIP est,
comme son équivalent data, connecté à l'Internet, et de ce fait, exposé à toutes les tentatives
d'intrusion, et d'attaques que l'on y trouve. Parce que l'ensemble des communications avec
l'extérieur va circuler sur le même lien, le risque d'écoute indiscrète est d'autant plus important. (En
téléphonie traditionnelle, le multiplexage des canaux rendait un peu plus complexe ce type
d'espionnage, puisque chaque communication devrait alors faire l'objet d'une écoute spécifique).
La probabilité d'attaque est plus élevée que dans le monde data, parce que l'environnement
téléphonique fait intervenir une composante économique (coûts et revenus) beaucoup plus
rigoureuse que dans le monde de la data. Une communication téléphonique vers l'international ou
vers un mobile, dont l'émetteur est mal- ou non-identifiable, a un coût intrinsèque réel, que
l'opérateur va certainement devoir régler, sans pouvoir répercuter vers le véritable appelant. A
grande échelle (durée et quantité de communications) cela devient très vite un problème critique.
Un autre risque, qui n'est pas propre à la VoIP mais cependant fondamental est qu'en mutualisant
l'utilisation de l'infrastructure de communication pour supporter les services Voix et Data, on prend le
risque de voir les deux services devenir simultanément indisponibles en cas de défaillance ou
d'attaque sérieuse, et donc de perdre de cette façon le moyen ultime habituel : Appeler le technicien
réseau par téléphone en cas de panne réseau.
15 nov 2004
120/189
6.1.3
Les attaques
La plupart des attaques spécifiques VoIP ont un équivalent dans le monde des PBX traditionnels.
Certaines sont plus faciles en VoIP, d'autres au contraire plus complexes :
Le DoS (Denial of Service) qui consiste à dégrader ou inhiber un service en bombardant un
élément de l'infrastructure VoIP (serveur Proxy, Gateway par exemple) d'une grande quantité
de paquets malveillants (tels des trames TCP SYN ou ICMP Echo à destination d'un SIP Proxy)
L'Eavesdropping ou Call Interception, qui correspond à l'observation indélicate et/ou illégale des
flux (signalisation et phonie) et au décodage pour une écoute passive et prohibée des
communications
Le Packet Spoofing, ou Presence Theft, où le malfaiteur génère des paquets en utilisant ou en
usurpant l'identité d'un utilisateur (permettant donc une impersonation soit au niveau paquet au
niveau de l'équipement, ou bien au niveau de l'individu). Typiquement ce genre d'attaque
permet de tricher sur la facturation (Toll Fraud)
Le Rejeu (Replay) qui est la re-transmission de tout ou partie d'une session réelle, de manière à
ce qu'elle soit traitée à nouveau (a priori dans un but malintentionné), ce qui correspond aussi
au Signal Protocol Tampering
Le Message integrity, qui modifie ou corrompt le ou les messages lors de leur circulation
En VoIP il est aussi possible d'injecter un virus à un flot de données. Les équipements de sécurité
dédiés doivent donc vérifier le contenu des communications au fil de l'eau, si un anti-virus n'est pas
déjà actif sur le circuit vers l'Internet.
6.1.4
Fonctions
Les fonctions de sécurisation que nous allons détailler sont les suivantes :
Cryptage
Firewall VoIP Stateful (Signal & Media Validation)
Admission Control List (ACL)
Topology Hiding
Observation et interception légale
DoS protection
6.1.4.1 Cryptage
Un moyen de protéger les flux (signalisation et média) lors de leur transit de toute observation, est
naturellement de les crypter, par exemple via un VPN. Il s'agit d'une solution commune à tous les
échanges de données, qui dans le cas de la VoIP doit cependant ne pas ajouter de délai de codage
trop important, sous peine de dégrader la qualité de la voix. Le fait d'avoir des équipements de
terminaison hardware permet généralement d'éviter cet écueil.
6.1.4.2 Firewall VoIP Stateful
Cette capacité correspond dans la pratique à l'ouverture et la fermeture dynamique de "pinhole" par
le SBC, à partir de l'établissement d'une connexion et jusqu'à sa clôture.
Le SBC qui a la compréhension des protocoles de signalisation, va suivre l'échange menant à
l'établissement effectif de la connexion VoIP, et ouvrir automatiquement le "trou" correspondant à la
combinaison (adresse IP, numéro de port) dans les deux sens. Notons par ailleurs que la plupart des
SBC effectuent aussi du NAT Traversal et sont effectivement obligés de suivre l'établissement de la
connexion, et au passage, de modifier certaines adresses IP à l'intérieur du datagramme, de
manière à permettre le passage au travers du NAT distant.
Naturellement les SBC, tels un Firewall Stateful, bloquent implicitement toutes les combinaisons
d'adresses IP et de numéro de port qui ne correspondent pas à l'ouverture ou la continuation d'une
session VoIP identifiée.
15 nov 2004
121/189
6.1.4.3 Admission Control List
D'une manière parfaitement comparable à la configuration d'un Firewall ou des règles de sécurité
applicables sur un routeur, il est possible et recommandé de définir un certain nombre de filtres sur
le SBC, restreignant les communications VoIP à un ensemble délimité d'adresses IP référencées.
Tout équipement non-référencé verra ses tentatives de connexion systématiquement rejetées.
6.1.4.4 Topology Hiding
L'équipement chargé de la protection de l'infrastructure VoIP bloque systématiquement toute
tentative d'accès aux serveurs et entités média situés dans la zone protégée. Cela correspond à
cacher, ou occulter l'ensemble des éléments VoIP du cœur du système et qui n'ont pas de raison
d'être en "contact" direct avec l'extérieur.
6.1.4.5 Observation et interception légale
Le SBC est aussi l'élément stratégique privilégié pour effectuer un suivi des communications, voire
une écoute quand cela est requis par l'autorité adéquate. Les SBC sont donc généralement
capables de détecter en temps réel un comportement à risque, et de dupliquer la session sur un port
d'écoute, permettant la surveillance d'une connexion malveillante, comme peut le requérir le CALEA
(Communications Assistance for Law Enforcement Act) outre atlantique.
6.1.4.6 DoS Protection
Le moyen le plus efficace de se protéger des attaques de type DoS (Denial of Service) en VoIP
consiste à s'assurer d'une cohérence avec le protocole employé et le service requis.
Ainsi en limitant le taux d'établissement d'appel et média (call set-up rate & media rate) par flux, on
se protège implicitement des attaques DoS, mais aussi potentiellement des perturbations que
pourrait engendrer un équipement défectueux (dans un état instable), tout en maintenant le service
pour les utilisateurs légitimes.
La temporisation entre appels (call gapping) permet de protéger le SoftSwitch, les serveurs Proxy
SIP et les autres entités impliquées dans la signalisation, d'une sur-occupation temporaire
malveillante, voire de tendre vers un état inopérant.
La limitation du taux d'appels (rate limiting) quant à elle, permet de protéger aussi bien le Media
Gateway, serveur IVR, et autres équipements média, en définissant des taux naturellement
cohérents avec la technologie (par exemple, le codec employé pour un flot permet de situer un seuil
maximum du nombre de trames que l'on doit recevoir par seconde).
Note : Dans le monde de la VoIP, les Phreakers sont les pendants des Hackers (terme inapproprié
mais tellement galvaudé). Les Phreakers utilisent le système téléphonique pour :
passer des appels gratuitement
perturber le système téléphonique
pour se divertir (défi plus ou moins technique)
6.2
LA SECURITE DU CENTRE D’APPELS
Auteur : Jean-Denis Garo (EADS) – [email protected]
6.2.1
Le centre d’appels
Un centre d’appels est une application permettant la distribution intelligente des appels vers des
compétences.
Physiquement un centre d’appels est constitué d’un logiciel de traitement des appels connecté à un
autocommutateur (PBX). Des modules optionnels peuvent enrichir la solution centre d’appels : SVI
(Serveur Vocal Interactif), application d’appels sortants (Preview, Progressive, Predictive),
enregistreur de communications, base de données, logiciels de relation client (ERP, Planification,
GRC ou CRM), bandeaux lumineux, casques, PC …
15 nov 2004
122/189
On utilise le vocable «centre de contacts» lorsque les flux mail, fax sont intégrés au «routage
intelligent des appels» ou qu’une interaction avec le web est proposée (chat, push de pages internet,
partage de formulaires…)
6.2.2
Les enjeux
Le centre d’appels est l’outil de vente au cœur de la relation client, une interruption de service dans
un contexte commercial générera des pertes financières importantes pour l’entreprise utilisatrice.
Prenons l’exemple d’une activité de cambiste, ou de vépéciste, ou de centre de réservation (SNCF) :
l’interruption de service se chiffrera immédiatement en perte de chiffre d’affaires et l’utilisateur
saura réclamer les pertes à son prestataire de service (intégrateur ou opérateur).
Cette préoccupation reste toutefois plus directe pour les outsourceurs dont l’obligation de moyens
est souvent spécifiée dans l’Appel d’Offres par leurs clients.
Au-delà de l’aspect commercial, pour des administrations le service aux usagers peut revêtir des
aspects d’extrême urgence : le cas d’un centre d’appels (application appels sortants) utilisé en
prévention des risques d’inondations, ou en protection des personnes âgées à domicile, ne saurait
subir une perturbation.
Enfin le centre d’appels est également utilisé dans les centres de secours ou de commandements
(control room) par les SAMU, Pompiers, et même service de police, dans ces cas particuliers toute
rupture de communication aurait des répercutions tragiques. En effet le centre d’appels est l‘un des
outils de la chaîne d’alerte, il sert à la qualification de la demande (via QCM dynamique en CTI) et
permet au « régulateur » de rester en contact avec les équipes d’interventions et ce en coordination
avec des outils de cartographie afin d’aider ces forces dans leurs actions.
6.2.3
Une double actualité :
L’évolution des besoins et des technologies modifie les architectures offertes aux utilisateurs.
Un centre d’appels peut ainsi être mutualisé sur de nombreux sites (SNCF Grandes Lignes
mutualise 2000 positions sur 38 sites en France, réparties sur 9 centres d’appels en réseau).
Cette mutualisation est possible au travers d’un WAN, mais peut aussi servir des agents à domicile
(télétravail) via ADSL, comme des agences au travers d’un IPBX.
Le centre d’appels est alors distribué, comme ses applications (base de données, SVI…) sur des
réseaux distants.
Par ailleurs, l’ouverture du centre de contacts vers de nombreux moyens d’accès multimédia à
sécuriser :
Possibilité de contacts via les emails, les fax ;
Possibilité de contact au travers du Web (chat, partage de formulaire, co-navigation web)
Utilisation de la ToIP (téléphonie sur IP)
… rend la gestion de l’intégrité du centre d’appels ou de contacts plus complexe.
Des préoccupations nouvelles :
L’enrichissement de la connaissance du client, dans le traitement de sa demande ou en préalable à
un appel, fortement favorisé par le CTI (couplage téléphonie Informatique) permet une remontée de
fiche (Pop Up) à l’écran de l’agent, et permet également à l’agent comme à l’appelant d’interroger
des bases de données, au travers du SVI. Cet enrichissement, impératif dans la recherche de
rentabilité de l’entreprise utilisatrice d’un centre d’appels, est recherché dans l’amélioration de la
relation client comme des applications « self service » (consultation d’un compte bancaire, de
résultats d’examens, commande de fournitures, de documents administratifs…)
Si les préoccupations classiques du gestionnaire étaient d’assurer la disponibilité (conformité du
système à ses spécifications à un moment donné), la continuité de service (conformité du système
à ses spécifications sur une période donnée), la sûreté (capacité du système à être arrêté en cas
d’erreur ou d’attaque), et la maintenabilité (capacité du système à évoluer et à être réparé).
15 nov 2004
123/189
Toutefois l’intégration à la gestion du flux voix, de ces nouveaux éléments apporte son lot de
nouvelles préoccupations pour le gestionnaire de la sécurité. Nous en détaillons trois sur le modèle
de la CIA :
Un point d’accès central aux informations personnelles des clients qui doivent être protégées :
Confidentialité. Les informations santé ou bancaires ou toutes informations confidentielles
utiles à l’organisme amener à les gérer ne doivent pas être accessibles par accident ou
malveillance à autrui.
S’assurer de l’intégrité des informations transmises : Intégrité. Une commande par Internet ou
téléphone amène l’utilisateur à transmettre des informations concernant sa carte bancaire, ses
codes d’accès ou son profil, ces dernières doivent être protégées.S’assurer de la bonne identité
du télé-acteur : Authenticité. De la même manière que pour l’exemple précédent, un utilisateur
de centre d’appels doit délivrer ses informations au bon interlocuteur, et ainsi être assuré que
dans ses transactions mail, fax, web ou téléphoniques, il s’adresse à la bonne personne.
6.2.4
Les risques :
Nous pouvons identifier 4 familles de risques :
Les risques extérieurs (qui touchent les locaux) : inondation, incendie, rupture de l’alimentation
en électricité, coupure des lignes opérateurs…
Les risques humains intérieurs : grève, sabotage (déni de service), malveillance…
Les risques humains extérieurs : écoute électronique (eavesdropping), fabrication d’un
message envoyé par une entité se faisant passer pour une autre (spoofing), attaque virale…
La déficience matérielle et logicielle.
6.2.5
Les chaînons
Cette chaîne de sécurité protégeant l’activité du centre d’appels est composée de 5 chaînons :
La téléphonie, les serveurs ;
Les logiciels, les progiciels ;
La stabilité des OS, PC opérateurs ;
Les applications tierces : base de données ;
Les utilisateurs.
6.2.6
Les solutions :
L’élément prépondérant sera pour le gestionnaire du centre d’appels de définir le niveau de sécurité
souhaité. Le cœur du centre d’appels reste le PBX ou IPBX, c’est la robustesse et l’intégrité de ce
premier chaînon qu’il faudra assurer.
D’autres précautions seront envisagées, en fonction du niveau de sécurité souhaité. Nous
énumérons les principales, cette liste n’est pas exhaustive, et chaque projet nécessite une stratégie
sécurité propre.
Options organisationnelles :
Déployer une architecture en réseau. Plusieurs centres d’appels sur des sites distincts
dialoguent et partagent la charge. Une fonction d’hyperviseur permet de centraliser les
statistiques et la supervision de l’activité. Chaque site peut être cloisonné. Des droits de clients
légers peuvent être octroyés à un superviseur nomade.
Programmer des audits réguliers de l’architecture.
Programmer des formations « sécurité » du personnel du centre d’appels.
Options Technologiques :
15 nov 2004
124/189
Privilégier la solution IPBX à la solution PCBX
Créer une DMZ (Firewall) hébergeant les serveurs Voix : centres d’appels, SVI, et l’offre IPBX
Créer une DMZ (Firewall) hébergeant les serveurs Data : Internet, messageries mails, bases de
données…
Offrir un VPN aux sites ou utilisateurs distants
Déployer des solutions antivirus notamment sur les postes clients et les serveurs
Sauvegarder les scripts et messages d’accueils ou IVR sur des serveurs distants.
Dupliquer les serveurs, les alimentations…Envisager une solution de réplication et restauration
des données : une solution logicielle indépendante de la plate-forme.Un serveur de secours
géographiquement délocalisé.Une réplication asynchrone garantissant un transfert
séquentiel en temps réel des données.Un basculement automatique (Fail Over) sur le
secours avec une discontinuité du service inférieure à 10mn.
•
Une restauration (Fail Back) vers la configuration nominale.
Envisager une solution de partage de charge et de haute disponibilité : la première solution
propose un serveur qui contrôle et rend prioritaire les flux en fonctions de la charge des centres
d’appels, associé à la haute disponibilité on s’assure qu’en cas de panne l’ensemble des flux
est dirigé vers le centre d’appels opérationnel.
6.3
LA SECURITE DES RESEAUX SANS FIL
Auteurs : Michèle Germain ( ComXper) [email protected] et Alexis Ferrero (OrbitIQ) [email protected]
Ce sous-chapitre traite essentiellement des réseaux Wi-Fi basés sur les standards 802.11 de l’IEEE,
qui sont les plus répandus en tant que WLAN. D’autres technologies seront néanmoins évoquées à
la fin.
6.3.1 Le problème du WEP
Le standard 802.11 qui régit les réseaux sans fil Wi-Fi a été pensé pour donner un maximum de
facilité d’emploi et de flexibilité pour se connecter à un réseau, au détriment hélas de la sécurité.
Il prévoit un mécanisme d’authentification réseau et un chiffrement WEP, trop fragile pour résister
longtemps aux attaques des hackers. De plus, nombre d’utilisateurs négligent de mettre en œuvre
ces sécurités élémentaires.
L'identification réseau
Un réseau radio Wi-Fi est identifié par un SSID (drapeau alphanumérique non crypté) qui sert
de reconnaissance mutuelle entre le point d’accès et les terminaux. Pour être clair, le SSID n’a
pas la vocation d’être un élément de sécurité ; il a pour seul but de garantir l’indépendance de
réseaux radioélectriquement proches.
Chaque fabriquant utilise un SSID constructeur qui est programmé par défaut sur tous les
équipements commercialisés. Bien évidemment, les listes SSID constructeurs sont largement
publiées sur l’Internet. La première précaution consiste donc à personnaliser le SSID.
Le SSID n’est malgré tout qu’une piètre protection, puisqu’il est diffusé en clair sur l’interface air.
Les tags de Warchalking ne s’y trompent pas et indiquent explicitement le SSID du réseau. La
diffusion du SSID se fait périodiquement ou bien à la demande d’un poste mobile qui désire se
connecter. L’option programmée par défaut est la diffusion périodique.
Plusieurs mécanismes permettent d'améliorer significativement la sécurité de la phase de
connexion.
Le premier consiste à inhiber la diffusion périodique du SSID. Dans ce cas, c'est au poste client
de connaître ce SSID pour s'attacher (ou d’émettre une demande de connexion, cf. ci-dessous).
C’est une sage précaution mais une piètre protection. L’attaquant n’a qu’à attendre patiemment
qu’un usager mobile se présente : l’heure d’ouverture des bureaux d’une entreprise est un
moment très favorable à l’interception du SSID.
15 nov 2004
125/189
Une technique similaire consiste à ne pas répondre aux broadcast émis par des postes mobiles
désirant se connecter et qui demandent quels sont les SSID disponibles ou visibles. Les postes
mobiles du réseau doivent alors obligatoirement connaître le SSID.
Il s'agit cependant, d'une part, de protections très limitées, car les SSID peuvent être
découverts via les communications des autres postes mobiles observés, et d'autre part,
l’inhibition de l’échange du SSID peut bloquer l'attachement de certains NIC dont les
implémentations nécessitent ces étapes dans leur processus de connexion.
Personnaliser le SSID et ne pas le diffuser, c’est mieux, mais c’est insuffisant !
Le WEP
Le WEP est le mécanisme de sécurisation standard prévu par le protocole 802.11. Il repose sur
un mécanisme d’authentification et de chiffrement utilisant des clés de 40 ou 128 bits (plus un
vecteur d'initialisation de 24 bits). Jusqu’à ce qu’il impose WPA (voir ci-dessous), le label Wi-Fi
n’imposait qu’une clé de 40 bits.
Des implémentations à 128 (24+104) et 256 bits sont courantes et plus robustes. Mais des
programmes existent maintenant dans le public pour casser ces clés.
Le chiffrement utilise un « ou exclusif » des données à chiffrer avec une séquence pseudo
aléatoire. Les principales vulnérabilités de cet algorithme viennent des facteurs suivants :
la séquence pseudo aléatoire est obtenue au moyen d’un algorithme linéaire et est facilement
prédictible
la clé est statique et commune à l’ensemble des points d’accès et postes mobiles du réseau,
le contrôle d’intégrité est faible et ne filtre pas efficacement les altérations des trames,
il ne comporte pas d’indication de séquencement, ce qui facilite les attaques par rejeu,
la séquence pseudo aléatoire est initialisée au moyen d’un vecteur d’initialisation, transmis en
clair sur l’interface air et de ce fait interceptable par sniffing.
Face à ces faiblesses, diverses méthodes ont été ajoutées pour résoudre cette insuffisance.
Citons le dynamic WEP et surtout le TKIP qui permettent le changement fréquent de la clé de
chiffrement. Ces dernières fonctionnalités se trouvent en standard dans les mécanismes du
802.11i.
L’authentification est tout autant vulnérable, du fait qu’elle est basée sur la même protection que
le chiffrement. Elle se fait par envoi d’un texte à chiffrer au poste mobile qui désire se
connecter. Cette dernière renvoie le texte chiffré par le WEP. Si le chiffrement est connu,
l’intrusion est immédiate. Sinon, il suffit d’écouter la séquence de connexion d’un poste mobile
puisque le texte d’authentification passe successivement en clair puis chiffré sur l’interface air.
En tout état de cause, l’authentification porte sur le poste et non sur son utilisateur.
En pratique, il suffit de deux heures pour « casser » le WEP, certains se vantant même de le
faire en un quart d’heure !
Pour faciliter le travail des hackers, il existe des dictionnaires de séquences pseudo aléatoires
en fonction des valeurs du vecteur d’initialisation. On trouve également sur Internet d’excellents
logiciels de cracking du WEP (Airsnort ou Netstrumbler sous Linux, par exemple).
Utiliser le WEP, c’est mieux, mais c’est insuffisant !
Modification de la clé
La clé de chiffrement est unique et partagée par tous les points d’accès et postes mobiles du
réseau. Une clé, ça s’use… et une des règles élémentaires de la sécurité des réseaux chiffrés
consiste à changer périodiquement les clés.
Le protocole 802.11 ne prévoit aucun mécanisme de mise à jour des clés. Par conséquent, la
mise à jour doit se faire manuellement et simultanément sur tous les équipements radio du
réseau. Ceci n’est possible que sur de très petits réseaux et, en pratique, personne ne se livre à
15 nov 2004
126/189
une opération manuelle sur un réseau qui comprend un nombre significatif de points d’accès et
de postes mobiles.
Modifier les clés, c’est mieux, mais c’est irréaliste !
Le filtrage des adresses MAC
Cette protection consiste à n’autoriser l’accès au réseau qu’à un ensemble de stations dûment
répertoriées au moyen de leur adresse MAC. Cette protection n’est pas non plus parfaite, car
les adresses MAC peuvent être récupérées par les sniffers et réutilisées par des hackers.
Enfin, le filtrage des adresses MAC est contraignant pour l’utilisateur puisque l’introduction d’un
nouveau poste mobile nécessite une reconfiguration du réseau. En pratique, cette technique
n’est réaliste que si le réseau contient un nombre relativement restreint et stable de
stations.
Filtrer les adresses MAC, c’est mieux, mais c’est insuffisant !
Alors que faire ?
La mauvaise réputation des réseaux sans fil vient de ce que nombre d’utilisateurs n’ont voulu
mettre en œuvre que les mécanismes standards, ou aucun, ou encore se font une bonne
conscience en inhibant la diffusion du SSID.
Les techniques des réseaux filaires, notamment le VPN, peuvent venir au secours des
réseaux sans fil, pour apporter une sécurité applicative.
Consciente des failles de sécurité du protocole, l’IEEE travaille à une extension du
protocole de base, désignée 802.11i, qui repose sur des techniques éprouvées de
chiffrement et d’authentification, dont le WPA (Wi-Fi Protected Access) constitue une
première étape (cf. § 6.3.3).
6.3.2 Les contre-mesures de base
6.3.2.1 La surveillance du réseau
L’IDS
Les protections contre les intrusions réseau se font essentiellement par les systèmes IDS
dédiés au Wi-Fi, qui cherchent à corréler plusieurs événements douteux pour déterminer si le
réseau ou un système particulier est en train de subir une intrusion
Les capacités de l'IDS wireless intégrées au commutateur Wi-Fi consistent à surveiller
continuellement les échanges et les flux Wi-Fi pour détecter au plus tôt tout risque ou
événement anormal, informer immédiatement l'administrateur et réagir en temps réel.
Les équipements évolués savent repérer les WEP faibles, les Rogue AP, les ponts wireless
(WBS), localiser les équipements responsables d'un déni de service, détecter une
impersonation ou une attaque ASLEAP8. Ces capacités reposent sur la base de connaissance
que possède le commutateur central et qu'il enrichit au fil de l'eau lors de toute connexion,
authentification, tout échange, tout déplacement ou toute modification des caractéristiques d'un
équipement.
La surveillance du trafic
Un mode de protection particulièrement efficace contre l’impersonation consiste à observer
continuellement tout le trafic Wi-Fi, tout le trafic sur les réseaux câblés, et de pouvoir détecter
toute station ou AP incohérent. Il s'agit de détecter l'apparition d'un élément inconnu (station ou
AP), la "duplication" d’une station ou d’un point d’accès, le "déplacement" d'un point d’accès.
Un moyen de surveillance est, par exemple, de vérifier que le trafic des postes mobiles Wi-Fi
connus et détectés passe bien par les LAN appropriés. Un autre consiste à associer à chaque
poste mobile la puissance du signal émis. Si pour la même adresse MAC, deux puissances
8 ASLEAP est un outil permettant de cracker le cryptage LEAP
15 nov 2004
127/189
différentes sont perçues à un moment donné, les deux postes sont mis en quarantaine et une
alarme est envoyée vers l'administrateur.
Les équipements qui supervisent les différents flux de communication s'assurent que les
communications provenant des AP ne parviennent pas directement au cœur du réseau par un
circuit illicite (Rogue AP typiquement) et à l'inverse, que ces communications radio sont
effectivement visibles sur le réseau câblé après passage par l'équipement de protection
(commutateur, firewall, etc.) et non pas détournées vers un réseau pirate via un Fake AP.
Le monitoring
Le mode de fonctionnement de Wi-Fi implique que dès qu'un AP est associé à un canal de
fréquence, il ne fonctionne que sur ce canal et n'a plus la possibilité de superviser les autres
canaux.
Ceci est donc le rôle de points d’accès particuliers dédiés à l'écoute, donc passifs, qui balayent
continuellement les différents canaux pour surveiller les flux des différentes cellules qu'ils
reçoivent et vérifier le bon fonctionnement des points d’accès voisins.
Tout le trafic de ces AP de surveillance est remonté vers le commutateur qui peut s'assurer
qu'aucun de ses clients connus ne se connecte à un AP "non référencé".
Les AP passifs, donc en mode d'écoute, peuvent détecter et suivre des signaux relativement
faibles, provenant d'équipements assez éloignés. Par conséquent, leur couverture est
beaucoup plus large que celle des AP actifs.
Enfin, concernant les capacités de monitoring, un administrateur réseau peut mettre en œuvre
un système Wi-Fi non pas dans le but d’offrir un service de mobilité, mais dans celui de
surveiller qu'aucune installation pirate (Rogue AP) n'a effectivement été installée et connectée
au réseau. Ainsi, un commutateur WLAN uniquement équipé d'AP passifs permet de surveiller
quotidiennement le réseau et de détecter l'apparition de transmissions Wi-Fi avant même
qu'une installation « officielle » ne soit déployée.
Détachement forcé
La protection la plus courante consiste à forcer systématiquement le dé-attachement du client
en cause ou de tous les clients connus qui se seraient attachés à un AP frauduleux. De cette
façon le réseau Wi-Fi apparaît inaccessible à ces postes de travail qui ne parviennent pas à
établir une connexion complète.
Cette capacité apporte une protection forte mais elle nécessite néanmoins de régler
définitivement le problème par une intervention physique sur le poste client ou l'AP à la source
du danger. Des outils de localisation facilitent la recherche de l’équipement visé.
L’audit de la couverture radio
Lors de l’installation des points d’accès, il est important de vérifier que la couverture radio ne
déborde pas inutilement hors de la zone prévue, même si ceci ne met pas le réseau à l’abri des
hackers équipés d’équipements amplificateurs qui leur permettent d’agir bien au-delà de la
zone de couverture nominale.
Une disposition judicieuse des points d’accès et des antennes permet d’optimiser la couverture
radio. Celle-ci doit ensuite être vérifiée périodiquement, pour s’assurer qu’aucun point d’accès
pirate n’a été ajouté sur le réseau. Cette précaution vaut également pour les réseaux câblés
non Wi-Fi… certains utilisateurs ont déjà eu la surprise de trouver des points d’accès Wi-Fi sur
des réseaux qui n’étaient pas supposés en intégrer.
6.3.2.2 L’ingénierie du réseau
Le commutateur
Si les points d’accès sont connectés sur un simple concentrateur et non sur un commutateur,
les données à destination de tout poste fixe ou mobile sont diffusées sur le réseau et peuvent
être interceptées par un sniffer. Il est vivement recommandé de déployer les WLAN sur des
infrastructures de commutateurs et de contrôler le trafic des postes mobiles vers le réseau
câblé..
15 nov 2004
128/189
Il existe deux types d’architecture WLAN :
La première repose sur un commutateur standard. Les points d’accès intègrent les fonctions
radio réseau et sécurité. Le commutateur peut gérer aussi bien les postes fixes que les
postes mobiles.
La seconde repose sur un commutateur spécifique WLAN qui fédère les fonctions radio,
réseau et sécurité. Les points d’accès n’ont aucune intelligence et se contentent de jouer
leur rôle d’émetteur-récepteur radio.
Cette seconde configuration est plus résistante aux attaques de type Rogue AP, puisque
nécessite une intervention au niveau du commutateur.
Notons qu'idéalement le commutateur WLAN possède plusieurs queues, permettant
d'envisager la gestion de flux avec garantie de qualité de service (QoS), typiquement la VoIP à
partir d'ordinateurs ou de téléphones Wi-Fi.
Le VLAN
Une précaution consiste à segmenter le réseau afin d’isoler les données sensibles du réseau
radio et à déployer le WLAN sur une infrastructure VLAN9 qui lui est propre. Le réseau peut
comporter plusieurs VLAN, chacun correspondant à un sous-réseau WLAN spécifique avec son
propre SSID.
Il est ainsi fortement recommandé de faire arriver systématiquement tous les VLAN du réseau
sur le commutateur WLAN, même ceux qui ne feront transiter aucun trafic par celui-ci. Cela
permet au commutateur de localiser tous les équipements, de mettre à jour sa base de
connaissance du réseau et de détecter la présence anormale d'un flux ou d'un client sur un
segment où il ne devrait pas figurer.
Les sous-réseaux radio sont mis logiquement dans une zone démilitarisée d’un firewall qui
contrôle le flux d’informations entre le réseau radio et le réseau filaire (cf. ci-dessous).
Le firewall
Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre
la partie WLAN et le reste de l'infrastructure réseau. Il est intégré au commutateur WLAN,
quand il y en a un.
Idéalement, ce firewall doit mettre en œuvre des protections au niveau de l’adressage, gérer
des filtres, journaliser les connexions, posséder des ACL (Access Control List) à partir
desquelles les accès sont filtrés, suivre les connexions dans le temps (capacité dite « stateful »)
afin de garantir un niveau de sécurité au moins égal à celui de l'environnement câblé.
La meilleure protection est de considérer tout ce qui concerne le réseau sans fil (à l’intérieur et
à l’extérieur de l’entreprise) comme étant dans une bulle d’insécurité à mettre logiquement sur
une DMZ du firewall et activer une authentification forte et des mécanismes de chiffrement
VPN.
9 Partition logique d’un réseau physique visant à créer des sous-réseaux (segments) virtuels.
15 nov 2004
129/189
Configuration du WLAN dans la DMZ d’un firewall
Le pot de miel (honeypot)
La configuration du WLAN peut également inclure des pièges (pots de miel), sous la forme de
points d’accès peu sécurisés n’accédant qu’à des données sans importance qui attireront les
hackers et les tiendront hors du réseau protégé.
Le VPN
Le VPN fournit un tunnel chiffré qui constitue une protection efficace, notamment lorsque
l’utilisateur travaille dans une zone non sécurisée, par exemple sur un hotspot public.
L'utilisation de réseau virtuel privé gère la liaison de la même manière que pour un poste
nomade filaire raccordé via modem téléphonique. Le VPN assure le cryptage et
l'authentification mutuelle, protégeant ainsi tous les trafics de l'ordinateur client jusqu'au
commutateur Wi-Fi. Ce dernier a la charge de terminer les VPN de tous les clients et de livrer
un trafic "sain" au réseau LAN auquel il est connecté.
6.3.2.3 La configuration des stations radio
Interdiction de liaison « ad hoc »
Les postes mobiles, ainsi que les postes fixes équipés de l’option Wi-Fi, doivent être configurés
pour interdire toute connexion « ad-hoc », c’est à dire de station à station, sans passer par un
point d’accès. Ceci fait barrage aux hackers qui tenteraient une intrusion du réseau via une
station du réseau. Cette précaution est essentielle pour les utilisateurs amenés à se connecter
à leur entreprise depuis un hotspot public.
Concernant les postes fixes équipés de l’option Wi-Fi, il est bon de désactiver celle-ci hors
utilisation.
Il est vivement conseillé que les postes mobiles soient également équipées d’un firewall
personnel pour filtrer les accès entrants indésirables et limiter les possibilités de connexions
sortantes.
Contrôle du débit radio
Un type de protection assez répandu contre les AP frauduleux (Fake AP) positionnés par
exemple à l'extérieur du bâtiment (et donc avec une puissance radio faible), consiste à interdire
aux postes mobiles de se connecter avec un débit trop bas (1 ou 2 Mb/s), car a priori incohérent
avec la topologie de disposition des AP issue de l’ingénierie radio du réseau.
6.3.2.4 Les défenses radio
Les leurres
15 nov 2004
130/189
Cette forme de défense, propre aux réseaux Wi-Fi, est une riposte contre le Wardriving (« Fake
AP » de Black Alchimy sous Linux).
Elle consiste à diffuser en grand nombre des trames contrefaites avec des SSID, adresses
MAC et numéro de canal aléatoires. Les outils de Wardriving voient des multitudes de réseaux
et sont incapables de repérer le vrai.
6.3.2.5 La sécurisation au niveau applicatif
La sécurisation de l’information transportée peut être faite au niveau des applications, sans protéger
l’association du poste mobile au point d'accès. L’information peut être détournée mais elle est
inutilisable.
Chiffrement
Des protocoles standards, comme SSL, peuvent être employés à cet effet.
Authentification
Ce mode d'authentification par un serveur Web "forcé" à la connexion, répond au besoin de
type hotspot pour les opérateurs.
Il revient à authentifier l'utilisateur par login/password sur un portail Web, le serveur Web
résidant dans le commutateur WLAN. La liaison entre le Client et le commutateur est sécurisée
par SSL et l'authentification peut être réalisée via une base d’authentification locale.
En retour l'utilisateur est assigné à une catégorie définissant son VLAN, ses droits, etc. Par
exemple si l'utilisateur est connu mais qu'il n'a plus de crédit, il peut être redirigé vers un VLAN
aboutissant à une page particulière qui l’invite à renouveler son abonnement.
Pour sécuriser totalement les communications authentifiées par serveur Web, un moyen est de
faire suivre la phase d'authentification par la mise en service d'un client VPN éventuellement
téléchargé (Dialer VPN).
6.3.3 Les évolutions du protocole : WPA et 802.11i
6.3.3.1 Petit historique
?
2004
Ratification de 802.11i
2002
Introduction de WPA
2000
1999
Début du Wardriving
Décision de l ’IEEE de lancer 802.11i
Ratification du standard 802.11b (WiFi) avec WEP
1997
Ratification du standard 802.11 avec WEP
6.3.3.2 802.11i
Le protocole 802.11i, extension du protocole de base pour la sécurité du Wi-Fi,
attendu depuis plusieurs années, a finalement été ratifié en juillet 2004. Il est
possible que l’arrivée de ce nouveau protocole, commercialement nommé WPA2
modifie le contours du label Wi-Fi.
802.11i s’appuie sur TKIP et 802.1x et reprend l’allongement de la clé, le code
15 nov 2004
131/189
d’intégrité MIC et le séquencement des paquets. Mais la grande innovation est l’introduction d’un
chiffrement AES particulièrement performant et compatible avec les contraintes de QoS.
Un inconvénient est la puissance de calcul nécessaire à AES, qui exige l’implémentation d’un coprocesseur, déjà présent par mesure conservatoire sur les équipements récents supportant WPA.
Pour cette raison, il sera nécessaire de prévoir un rétrofit matériel des équipements WEP d’une
génération antérieure à WPA.
6.3.3.3 WPA 1.0
En attendant l’avènement de 802.11i (voir ci-dessous), l’IEEE a introduit WPA (Wi-Fi Protected
Access), qui en est un sous-ensemble et apporte un plus très significatif.. Depuis 2003, tous
les produits radio ayant le label Wi-Fi supportent obligatoirement WPA.
Il fait usage du standard IEEE 802.1x pour faire référence à un serveur d'authentification
RADIUS, ce qui correspond à considérer le commutateur WLAN comme un concentrateur de
modems (RAS ou BAS) dans une architecture de collecte traditionnelle.
Le protocole d’authentification utilisé entre le commutateur et le serveur peut être une des
couches bâties au-dessus d'EAP (Extensible Authentication Protocol).
WPA fait aussi usage de TKIP qui gère la génération et l’échange dynamique des clés de
chiffrement, tout en s’appuyant sur le WEP
802.1x est un protocole de contrôle d’accès réseau qui s’applique à tout type de LAN radio ou
filaire. Il définit un cadre d’utilisation d’EAP.
EAP, initialement conçu pour PPP, est un protocole de transport de l’authentification, celle-ci
étant supportée par une application de niveau supérieur (ULA) et reposant sur un serveur
Radius.
Le protocole RADIUS est un protocole client/serveur permettant de gérer de façon centralisée
les comptes des utilisateurs et les droits d'accès associés. Il supporte de multiples mécanismes
d’authentification dont EAP.
Le serveur RADIUS est un serveur d’authentification (AAA) dont les communications avec les
clients sont supportées par le protocole RADIUS.
Les produits WPA sont compatibles ascendants 802.11i.
Chiffrement TKIP
Tout en conservant l’architecture du WEP, TKIP met en jeu un certain nombre de mécanismes
propres à améliorer la résistance aux attaques, en résolvant notamment le problème de la
réutilisation cyclique des clés :
le calcul de la clé est basé sur une clé temporelle partagée par les postes mobiles et les
points d’accès et changée tous les 10 000 paquets,
une méthode de distribution dynamique assure le rafraîchissement de la clé temporelle,
le calcul de la séquence de clés fait intervenir l’adresse MAC de la station, donc chaque poste
mobile dispose de sa propre séquence,
le vecteur d’initialisation est incrémenté à chaque paquet, ce qui permet de rejeter des
paquets « rejoués » avec un numéro de séquence antérieur,
un code d’intégrité ICV (calculé selon un algorithme MIC nommé Michael) introduit une notion
de « CRC chiffré ».
La mise à niveau TKIP d’équipements WEP se fait par simple mise à jour de logiciel.
TKIP a l’avantage d’être compatible avec le WEP, autorisant ainsi l’interopérabilité
d’équipements WEP et d’équipements TKIP… avec bien sûr, un niveau de sécurité WEP. Son
défaut est son temps de calcul qui dégrade les performances du réseau et n’est pas compatible
avec les contraintes de QoS.
Authentification
15 nov 2004
132/189
L’authentification repose sur les protocoles standards 801.1x et EAP au-dessus desquels sont
développés des standards d’authentification interopérables.
Différentes couches sont définies au-dessus d’EAP pour supporter des polices de sécurité (par
ordre de protection croissante) :
EAP-MD5 utilise un serveur RADIUS qui ne contrôle qu’un hash-code du mot de passe du
poste mobile et ne fait pas d’authentification mutuelle. Ce protocole est déconseillé pour
les réseaux radio car il peut laisser le poste mobile se connecter sur un pot de miel.
LEAP, développé par CISCO moins vulnérable par le risque qu’un tiers non autorisé puisse
avoir connaissance des mots de passe et est également exposé à des attaques de type
dictionnaire (ASLEAP, introduit une authentification mutuelle et délivre des clés WEP pour
le chiffrement du WLAN. L’authentification est basée sur un échange login/password. Il
n’en demeure pas standard recommandé de sécurisation des WLAN. Il met en œuvre un
serveur d’authentification).
PEAP et EAP-TTLS utilisent un serveur RADIUS et sont basés sur un échange de certificats.
Les serveurs RADIUS qui supportent PEAP et EAP-TTLS peuvent s’appuyer sur des
bases de données externes : Domaine Windows ou annuaire LDAP, par exemple
EAP-TLS est le RADIUS. Les postes mobiles et le serveur doivent s’authentifier mutuellement
au moyen de certificats. La transaction est sécurisée par un tunnel chiffré.
EAP-TLS/TTLS et PEAP sont particulièrement résistants aux attaques de type dictionnaire et man in
the middle.
6.3.3.4 802.11i
L’arrivée du protocole 802.11i, extension du protocole de base pour la sécurité
du Wi-Fi, est attendue depuis plusieurs années et serait annoncée pour
l’automne 2004.
Il s’appuie sur TKIP et 802.1x et reprend l’allongement de la clé, le code
d’intégrité MIC et le séquencement des paquets. Mais la grande innovation est
l’introduction d’un chiffrement AES particulièrement performant et compatible
avec les contraintes de QoS.
Un inconvénient est la puissance de calcul nécessaire à AES, qui exige l’implémentation d’un coprocesseur, déjà présent par mesure conservatoire sur les équipements récents supportant WPA.
Pour cette raison, il sera nécessaire de prévoir un rétrofit matériel des équipements WEP d’une
génération antérieure à WPA.
15 nov 2004
133/189
6.3.3.5 En bref
Protocole de
chiffrement
Longueur de Méthode de
clé
chiffrement
WEP
40, 128 bits
RC-4
Dynamic WEP
40, 128 bits
RC-4
TKIP - WPA 1.0
128 bits
RC-4
IPsec
AES-CCMP IEEE 802.11i
Vulnérabilités
Vulnérable à l'injection de paquet et
rejeu, car pas de code d'intégrité de
message
Vecteur d'initialisation faible
Vulnérable à l'injection de paquet
Vecteur d'initialisation faible
Code d'intégrité de message faible,
injection de paquet
128, 168, 192
3DES, AES
ou 256 bits
128, 192 or
Code d'intégrité de message et clés
AES
256 bits
de chiffrement identiques
6.3.4 Application
Le niveau de sécurisation demandé varie selon les situations
WLAN entreprise
WPA s’adresse aux entreprises. Les protocoles EAP-TLS, EAP-TTLS et PEAP s’appuyant sur
un serveur RADIUS sont particulièrement recommandés.
Dans ce type d’implémentation, le VPN n’est pas nécessaire, du moins en ce qui concerne la
confidentialité du réseau radio. Il est même déconseillé si le réseau Wi-Fi sert également de
support à la voix, car il dégrade la qualité de service.
WLAN résidentiel et SoHo
Il est peu probable de trouver un serveur d’authentification dans ce domaine. WPA propose
pour ces réseaux, un mode allégé nommé WPA-PSK.
L’authentification se fait sans avoir recours à un serveur et repose sur l’échange d’un password
partagé. Ce même password sert à initialiser le processus de chiffrement TKIP.
La gestion étant faite manuellement, WPA-PSK ne peut s’appliquer qu’à des réseaux de petite
taille.
Hotspot
Afin de faciliter l’accès au réseau des postes itinérants, aucun mécanisme de sécurité n’est mis
en œuvre dans les hotspots publics.
En particulier, il n’y a pas d’authentification au niveau Wi-Fi, puisque l'utilisateur lors de sa
connexion n'a aucune connaissance du réseau, et réciproquement. L'authentification se fait
alors sur un portail Web.
C’est à l’utilisateur de prévoir sa propre protection, par VPN, par chiffrement applicatif, en
utilisant un firewall client et en configurant correctement sa station afin de bloquer l’intrusion
directe d’une autre station.
6.3.5 Autres technologies
6.3.5.1 Bluetooth
Bluetooth est connu pour des applications point à point, plutôt que pour la
réalisation de WLAN, bien que ceci soit techniquement possible.
Bien que le protocole Bluetooth prévoie des mécanismes de sécurisation
performants, ceux-ci sont rarement mis en œuvre.
15 nov 2004
134/189
La faible portée (10 mètres) d’une liaison Bluetooth protège contre les intrusions les plus courantes,
ou du moins donne bonne conscience aux utilisateurs… Ne perdons pas de vue que dans un lieu
public, les personnes sont souvent à moins de 10 mètres les unes des autres.
Il faut être particulièrement vigilant en utilisant un clavier sans fil Bluetooth qui rayonne quand
même sur 10 mètres : tous les codes frappés sur le clavier passent sur la liaison, en particulier les
mots de passe.
Par ailleurs, le standard Bluetooth prévoit plusieurs puissances de transmission : 10mW, qui est
celle couramment utilisée et 100 mW qui donne une portée comparable à celle d’un réseau Wi-Fi.
Des équipements 100mW commencent à voir le jour, permettant de bâtir des WLAN de petite
capacité, tout autant vulnérables que des réseaux Wi-Fi.
Une nouvelle forme de spamming, le « Blue Jacking » tend à se répandre et semble promise à un
brillant avenir. Elle consiste à envoyer des textes (spams) sur l’écran des mobiles à portée du
spammer. La limitation de la portée n’est pas un facteur modérateur, car il faut tenir compte que le
spammer se déplace, lui aussi.
Une autre attaque par Bluetooth concerne les téléphones portables bi-standard GSM – Bluetooth.
Une faille de Bluetooth permet d’obtenir à distance des informations stockées dans un combiné. Les
attaques se font essentiellement dans les hotspots publics. Par ce biais, le hacker peut récupérer les
coordonnées du fournisseur du service et le login/password qu’une victime qui se trouve près de lui
vient de recevoir par SMS. Une précaution consiste à désactiver l’option Bluetooth de son téléphone.
6.3.5.2 HiperLAN/2
HiperLAN/2 est un standard de l’ETSI concurrent du 802.11a. Il est cité ici pour
mémoire, puisque HiperLAN/2 vient d’être définitivement abandonné.
Contrairement à 802.11, HiperLAN/2 prévoit de base des mécanismes de sécurité efficaces, de
chiffrement, d’authentification mutuelle et de distribution dynamique de clés.
L’authentification peut être basée sur un échange de hash-code MD5 ou bien sur une clé publique
RSA. HiperLAN/2 supporte divers identifiants d’authentification : identifiant de réseau, adresse IEEE,
certificat.
Le chiffrement prévoit deux options, basées sur les algorithmes DES et 3-DES.
6.3.5.3 WiMAX
WiMAX, autre standard 802.16 de l’IEEE, se positionne sur le créneau du réseau
métropolitain, notamment comme alternative à la desserte câble ou ADSL.
Contrairement au Wi-Fi, les équipements finaux doivent être préalablement déclarés pour pouvoir
être connectés au réseau WiMAX, ce qui ne facilite pas la tâche des hackers.
L’authentification se fait par des certificats et par chiffrement asymétrique.
Le chiffrement utilise une clé délivrée par la séquence d’authentification et un algorithme 3-DES.
6.3.5.4 802.20
Le standard IEEE 802.20 s’adresse à des structures WAN pour des usagers mobiles. Contrairement
aux réseaux 3G qui sont voix et données, les réseaux 802.20 sont dédiés à l’Internet mobile.
L’authentification mutuelle est basée sur des certificats avec signature RSA, au cours de laquelle
sont distribuées les clés de chiffrement symétrique.
6.3.5.5 Réseaux 2G/2,5G/3G
Le GSM utilise des mécanismes de sécurité particulièrement efficaces qui assurent l’authentification
de l’identité de l’abonné, la confidentialité de l’identité de l’abonné, la confidentialité de la
signalisation échangée et la confidentialité de l’information échangée.
La sécurité est implémentée à trois niveaux :
15 nov 2004
135/189
dans la carte SIM : informations personnelles de sécurité (clé d’authentification, algorithmes
d’authentification et de génération des clés, identité de l’abonné, code personnel,
dans le terminal : algorithme de cryptage,
dans le réseau : algorithme de cryptage, serveur d’authentification.
L’utilisation d’identifiants temporaires permet de masquer l’identité du terminal et constitue une
protection efficace contre les interceptions.
Les algorithmes de chiffrement du GSM sont tenus secrets… et apparemment le sont encore.
Les mêmes mécanismes sont reconduits pour l’UMTS et le GPRS.
6.4
LA VIDEOSURVEILLANCE SUR IP
Auteur Gérald Souyri (Thales Security Systems) [email protected]
La tendance actuelle des marchés de la sécurité et de la sûreté se traduit par la convergence des
ressources et l’optimisation des systèmes déployés (tant physique qu’informatique), qu’il s’agisse de
la sécurité des bâtiments, des personnes ou des systèmes d’information.
6.4.1
La convergence des ressources et l’optimisation des systèmes
Jusqu’alors, chaque système de sécurité (vidéosurveillance, contrôle d’accès,
d’information…) était indépendant, autonome et fonctionnait en circuit dédié fermé.
système
Aujourd’hui, avec l’explosion d’Internet, l’interconnection IP est devenue incontournable et permet
aux systèmes de sûreté de s’intégrer au système d’information. Cette mutualisation d’infrastructure
physique/logique répond également au besoin croissant de partage de flux à tout moment et en tout
lieu.
Avec les nouvelles tendances telles que la dérégulation des télécoms, les multiplications de sites, la
mobilité des collaborateurs et le besoin de suivi en temps réel, les entreprises sont entrées dans une
phase d’optimisation des investissements se traduisant par :
une mutualisation et une consolidation des infrastructures,
une standardisation et une évolution des technologies (protocole, compression…),
un besoin de source d’économie substantielle,
une augmentation de la productivité à moindre coût.
Or, l’enjeu sécurité devient de plus en plus crucial pour maintenir un niveau de sécurité adéquat pour
l’ensemble du système interconnecté (tant au niveau de chaque système que des données et de
leur transfert). Il intervient :
au niveau stratégique (pour les directions générales),
au niveau opérationnel (pour les directions fonctionnelles et métiers),
au niveau technologiques (pour les responsables de système).
L’une des applications concrètes illustrant le rapprochement de l’informatique et de la vidéo est la
vidéosurveillance sur IP.
6.4.2
Exemple d’application : la vidéosurveillance sur IP :
Avec le développement des réseaux et du haut débit, l’accès à de nouvelles applications de plus en
plus évoluées comme la vidéo en est facilité. Les systèmes de vidéosurveillance s’interconnectent
donc de plus en plus avec le système d’information afin d’optimiser les infrastructures.
En effet, le marché de la vidéosurveillance est en pleine mutation avec le passage du monde
analogique au tout numérique. En 2003, la vidéosurveillance sur IP représentait 10% du marché
européen de la vidéosurveillance, soit environ 65 millions d’euros avec une très forte croissance
(double chaque année). Aujourd’hui en France, 1 entreprise sur 5 dispose de caméras de
vidéosurveillance et plus de 600 000 nouveaux raccordements seraient enregistrés chaque année.
15 nov 2004
136/189
Jadis réservée aux sites dits « sensibles », la vidéosurveillance s’ouvre à de nouvelles applications
(laboratoires, tourismes, services, gestion de projet…) dépassant largement le cadre de la sécurité
comme la fluidification des files d’attente, l’analyse du comportement d’achat… impliquant ainsi une
exigence croissante des utilisateurs pour une surveillance sécurisée.
La vidéosurveillance permet en autre le suivi à distance, une gestion multi-sites, un enregistrement
numérique centralisé, une télésurveillance couplée au contrôle d’accès et d’alarmes. Par
conséquent, tout responsable sûreté ou sécurité doit pouvoir accéder en temps réel à son système
de vidéosurveillance en respectant :
la surveillance hors sites, par exemple à partir d’un simple navigateur web,
la disponibilité du système et la gestion de la bande passante,
la performance, la fiabilité et la qualité de service temps réel délivré,
l’intéropérabilité avec des systèmes tiers comme le contrôle d’accès, la biométrie…,
la transparence, la facilité d’installation et la souplesse d’utilisation pour l’utilisateur.
Or, interconnecter la vidéosurveillance avec le système d’information en IP doit faire l’objet d’une
analyse minutieuse quant aux risques auxquels elle est confrontée :
risques au niveau des protocoles utilisés (H323, SIP…) comme les attaques sur
l’implémentation du protocole par les équipements déployés ou les attaques par usurpation
d’identité ;
risques liés à l’utilisation du système d’information comme l’écoute des communications, leur
interception ou l’attaque par déni de service pour rendre indisponible le système.
L’approche sécurité est donc essentielle que ce soit :
dans la sensibilisation aux risques existants, tests d’intrusions ou tests d’exploitation des
vulnérabilités (physique ou logique),
dans l’audit technique des infrastructures mises en place,
dans l’implémentation de protections techniques comme :
•
l’application de patches correctifs en fonction des équipements déployés pour assurer une
surveillance active,
•
l’utilisation du protocole SIP contre l’usurpation d’identité,
•
l’utilisation de SRTP (Secure Real-time Transport Protocol) contre l’interception,
•
l’utilisation de systèmes de prévention d’intrusion (IPS) contre le déni de service (mais
attention aux performances et faux positifs).
Des besoins croissants en vidéosurveillance sur IP apparaissent pour les parkings, les grandes
agglomérations, les lieux publics (stade, centre sportif…), les transports en commun, les officines,
les banques… De plus en plus d’entreprises cherchent à intégrer sur leur réseau unique leurs trafics
de vidéosurveillance, les signaux et alarmes de contrôle d’accès.
15 nov 2004
137/189
7 UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT
7.1
LES EQUIPEMENTS DE SECURITE MULTIFONCTION
Auteur Thierry Rouquet (Arkoon) [email protected]
7.1.1
Le développement du marché des Network Security Appliance
Depuis environ 3 ans sont apparus sur le marché des équipements de sécurité combinant un
ensemble de fonction de sécurité destinée à protéger le réseau. Ces équipements associent des
fonctionnalités de protection agissant au niveau du réseau lui-même (Firewall/VPN IPSec), au
niveau des applications communiquant sur ce réseau (Prévention d’intrusion, détection d’intrusion en
coupure) et au niveau des contenus véhiculés (au antivirus gateway). Le cas échéant, ils offrent
également des fonctions complémentaires de type qualité de service, anti spam et web filtering.
Toutes les fonctions d’un tel équipement sont généralement activées simultanément mais le produit
peut aussi être utilisé de manière spécialisée. Il faut noter que ces appliances sont des équipements
de sécurité réseau, et n’offrent donc pas de fonctions applicatives de type reverse proxy ou serveur
VPN SSL qui par nature compromettraient la sécurité de l’équipement.
Ces équipements qui permettent de sécuriser les accès Internet mais aussi l’ensemble des
communications inter site de l’entreprise ont très rapidement séduit le marché des entreprises de
petites et moyennes taille, par leur rapidité de mise en œuvre, la simplicité de leur administration et
leur faible coût de possession. Avec l’apparition de plate-forme d’administration centralisée
permettant de gérer ces fonctions de sécurité sur un grand nombre d’équipements et l’arrivée sur le
marché d’appliances hautes performances tirant partie de dispositif d’accélération hardware qui
déchargent le processeur des tâches les plus consommatrices de ressource ; ces équipements
intéressent de plus en plus les grandes entreprises.
7.1.2
Les menaces polymorphes
La complexité des réseaux d’entreprise ne cesse de croître et avec elle le nombre de vulnérabilités
susceptibles d’être exploitées par un nombre toujours croissant de personnes mal intentionnées. Les
menaces auxquelles doivent faire face les administrateurs de sécurité sont très variées : tentative
d’intrusion, déni de service, virus, vers, etc,... elles évoluent vers des menaces polymorphes, c'est-àdire capable de se transformer d’un type à un autre en utilisant différents modes de transport et en
exploitant plusieurs vulnérabilités simultanément (exemple du vers CodeRed qui se propagent via
HTTP – utilisation d’une faille IIS, via SMTP et via le partage de fichiers Microsoft )
Protéger le système d’information contre ce type de menace qualifié de « blended threats »
nécessite de combiner différentes techniques de protection : Firewall, IPS, IDS temps réel, Antivirus
sur les différents protocoles HTTP, FTP, SMTP…
7.1.3
Les limites de l’approche « best of breed »
La combinaison de ces techniques sous la forme d’appliances spécialisées par fonction (approche
de type « best of breed ») si elle offre une indiscutable modularité dans la mise en œuvre, constitue
cependant un ensemble hétérogène, coûteux à maintenir et surtout complexe du point de vue de
son administration car chacun des équipements dispose de son propre environnement
d’administration et de mise à jour. Les appliances doivent être configurées et supervisées de
manière indépendante les unes des autres, augmentant ainsi le coût d’administration, et le risque
d’erreur.
7.1.4
Les avantages de l’approche multifonction
Installation : L’approche multifonction combine les bénéfices du « plug and play » propre aux
appliances avec le « tout en un » propre au multifonction réduisant ainsi considérablement le temps
nécessaire à l’installation. Ainsi le temps nécessaire à l’installation d’une appliance de sécurité
multifonction (installation, activation de licence, paramétrage) est compris entre 15 à 45 minutes en
fonction de la qualité du guide de prise en main.
15 nov 2004
138/189
Configuration : Le processus de configuration de la politique de sécurité est lui aussi simplifié car
toutes les fonctions sont configurées de manière coordonnée et centralisée au moyen de la même
interface.
En fait la fonction firewall sert de base aux autres fonctions de sécurité offertes par l’appliance. Les
règles d’accès aux services (web, FTP, eMail) sur les différentes interfaces, sont donc configurées
par l’administrateur comme pour un Firewall qui prend en compte en même temps les services
offerts ou les actions liées aux autres fonctions de sécurité de l’appliance.
Monitoring : Toute l’activité de l’équipement est contrôlée au moyen d’un seul et même
environnement de supervision, d’historisation et d’analyse réduisant ainsi de manière très sensible le
temps de formation de l’administrateur et améliorant considérablement son efficacité.
Mise à jour : L’ensemble des mises à jour : mise à jour du firmware, des bases de signature
antivirus, des bases de signature IDPS, des listes d’URL… est géré de manière sécurisée et
centralisée (authentification par certificat et chiffrement de la communication) sur une même
infrastructure et de manière cohérente. Les différentes fonctions de l’appliance sont ainsi mises à
jour de manière automatique minimisant les risques d’erreur inhérents à l’utilisation de dispositifs
hétérogènes.
Coûts : Le principal bénéfice de l’approche multifonction est la diminution du coût de possession. En
effet, l’acquisition d’un même équipement pour assurer toutes les fonctions s’avérera à l’évidence
beaucoup moins lourd à la fois en coût d’achat et en maintenance. Les coûts de mise en œuvre et
d’administration de l’équipement seront, comme nous l’avons vu ci-dessus, eux aussi très inférieurs.
7.1.5
Le développement du marché de l’appliance multifonction
Le marché des appliances multifonction est promis à une croissance très forte. IDC prévoit en effet
une croissance proche de 80% l’an sur les 4 prochaines années là où le marché des appliances
Firewall/VPN dédiée devrait stagner. Cette croissance est liée à l’adoption par des entreprises de
plus en plus importante de l’approche multifonction pour des raisons de coût et de simplicité
d’administration.
7.2
LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES
Auteur Thierry Karsenti (CheckPoint) [email protected]
À l’heure actuelle, les télé travailleurs sont de plus en plus nombreux à utiliser la technologie VPN
(Virtual Private Network, réseau privé virtuel) pour accéder aux ressources internes des entreprises
via les technologies d’accès Internet, telles que les modems câble ou les lignes DSL. Cependant, la
disponibilité constante de ces services Internet haut débit est une véritable porte ouverte aux
intrusions, lesquelles menacent aussi bien le poste client que le réseau de l’entreprise. Pour
empêcher les pirates de détourner une session VPN dans le but d’accéder aux ressources internes
de l’entreprise, il est primordial de déployer une solution de sécurité de bout en bout pour les clients
VPN.
Les administrateurs informatiques ont le choix entre différentes approches pour sécuriser les
systèmes des utilisateurs distants, allant d’une politique d’autorisation souple à une politique très
restrictive qui risque d’empêcher les utilisateurs de profiter pleinement des connexions haut débit. La
meilleure approche reste toutefois le déploiement concerté d’une solution complète garantissant un
niveau de sécurité optimal tout en permettant aux utilisateurs d’exploiter au maximum le service
Internet haut débit.
7.2.1 Identification des risques
Les réseaux VPN d’accès distant menacent la sécurité de l’entreprise à bien des égards. Tout
d’abord, chaque poste à usage professionnel est susceptible de contenir des données sensibles qui
doivent être protégées. À ce titre, il doit donc être soumis à des mesures de contrôle d’accès, telles
que celles offertes par les firewalls. Ensuite, les données transmises par et vers l’ordinateur d’un
employé doivent également être protégées. Cette fonction est d’ailleurs l’objectif intrinsèque de tout
15 nov 2004
139/189
réseau VPN ! Malheureusement, les services haut débit permanents accentuent les dangers car les
sessions longues sont par nature davantage exposées aux attaques. La troisième et probablement
la principale raison justifiant la protection des ordinateurs individuels est qu’elle les empêche d’être
contaminés à long terme, notamment par des programmes de type Cheval de Troie. Prenons un
exemple : imaginez qu’un pirate place discrètement un programme sur un PC non protégé et
connecté à Internet. Ce programme capture et consigne toutes les opérations au clavier de cet
utilisateur. Le pirate peut donc facilement se procurer le mot de passe d’accès au réseau VPN de
l’entreprise, annihilant ainsi la fonction première du VPN. Autre type de programme tout aussi
dangereux, le Cheval de Troie enregistre un PC non protégé pour l’utiliser comme attaquant
involontaire, ou « zombie », lors d’une attaque DDoS (Déni de service distribué).
Les administrateurs informatiques sont de plus en plus conscients de ces dangers. Voilà pourquoi ils
sont de plus en plus nombreux à demander des solutions de sécurité d’entreprise de bout en bout.
Mais quelle approche adopter ?
7.2.2 Correction des lacunes de sécurité
Une approche de sécurisation des clients VPN consiste à mettre en place une politique d’entreprise
demandant aux utilisateurs de déployer une solution personnelle de pare-feu à administrer
individuellement. Plusieurs constructeurs en proposent sur le marché. Malheureusement, cette
approche place le fardeau de l’installation, de la configuration et de l’administration du pare-feu sur
les épaules des utilisateurs finaux. La difficulté de fournir l’assistance et la formation nécessaires
pour cette approche « du chacun pour soi » la rend irréaliste.
Une autre approche consiste à acheter une solution de pare-feu personnelle administrée de manière
centralisée pour sécuriser les postes individuels. Cependant, cette méthode n’offre pas de garantie
suffisante : les utilisateurs sont libres de désactiver ou de modifier la configuration de leur pare-feu
avant d’ouvrir une session VPN. Si les produits de pare-feu et de client VPN ne sont pas intégrés,
rien ne permet d’affirmer que le pare-feu personnel fonctionne en continu sur le poste client. Un
tunnel VPN pourrait dès lors être menacé sans que l’administrateur informatique ni l’utilisateur ne
s’en rendent compte, avec de lourdes conséquences pour le réseau.
En outre, si une entreprise envisage de déployer deux solutions distinctes pour la connectivité VPN
d’accès distant et la sécurité du poste de travail, elle ne doit pas perdre de vue le coût de leur charge
administrative. En effet, chaque nouvelle version devra subir un test de compatibilité, que ce soit au
niveau du client VPN ou du pare-feu du poste de travail. Les administrateurs informatiques devraient
également tenir compte d’autres aspects tels que l’évolutivité et l’administration s’ils veulent utiliser
plusieurs produits de sécurité client indépendants. Par exemple, quelles seront les implications de
l’ajout d’un nouvel utilisateur ou de la mise à jour de la politique de sécurité au niveau des deux
solutions, et ce, pour tous les utilisateurs du VPN ?
7.2.3 Approche intégrée
Aujourd’hui, certaines solutions intègrent étroitement des fonctions de sécurité du poste de travail
dans une solution de clients VPN. Cette approche offre de réels avantages. Ainsi, un pare-feu/client
VPN intégré peut imposer automatiquement la sécurité sur l’ordinateur de chaque utilisateur final.
Alors que les VPN apportent la connectivité standard avec un cryptage côté client et l’authentification
des utilisateurs, ces solutions ajoutent de puissantes fonctions de sécurité telles que le contrôle
d’accès et le contrôle de la sécurité client. Ces fonctions permettent aux administrateurs d’imposer
une politique de sécurité des clients administrée de manière centralisée. Elles permettent également
d’implémenter un contrôle d’accès aux clients basé sur des règles et de définir des politiques
différentes pour chaque groupe d’utilisateurs. Et bien plus encore... Les entreprises qui comptent
différents types d’utilisateurs VPN distants, comme des commerciaux et des informaticiens, peuvent
adapter les politiques de sécurité aux besoins de chaque utilisateur.
Autre avantage de ces solutions : elles permettent d’étendre la sécurité du réseau pour englober des
contrôles de sécurité personnalisés. Elles pourraient impliquer, par exemple, des fichiers « .dll »
Windows pouvant vérifier une multitude de conditions sur les postes client, notamment l’installation
d’une application spécifique ou encore une valeur du registre Windows. Les résultats positifs de ces
contrôles pourraient être la condition à l’établissement d’une connexion VPN. Ces solutions
pourraient être configurées de manière à garantir la mise à jour de la solution antivirus d’un poste
15 nov 2004
140/189
client avant l’établissement d’une session VPN avec ce poste. De cette façon, les clients et le réseau
de l’entreprise seront efficacement protégés contre les virus potentiellement dangereux.
7.2.4 Amélioration de la sécurité par l’administration
Les solutions de sécurité des clients difficiles à administrer ne fourniront pas le niveau de sécurité
requis. Voilà pourquoi il importe de s’assurer que les solutions offrent des fonctionnalités capables
d’aider les administrateurs à déployer et à administrer un grand nombre d’utilisateurs distants. Ainsi,
si le logiciel client est difficile à configurer, il y a de fortes chances que de nombreux utilisateurs
exploiteront des systèmes mal paramétrés dont le niveau de sécurité sera insuffisant. Certains
fournisseurs de VPN proposent des outils de création de package logiciels auto-exécutables et autoextractibles qui s’installent de manière transparente sur les systèmes client. Ils n’exigent pas de
savoir-faire ni d’interaction spécifiques de la part de l’utilisateur final. Les frais d’assistance technique
sont donc réduits et le logiciel est correctement installé.
Les entreprises devraient également rechercher des solutions qui mettent à jour automatiquement le
logiciel client. La sécurité du client s’en trouverait considérablement améliorée grâce à l’utilisation
d’un logiciel constamment actualisé. Les nouveaux composants logiciels devraient être transférés
vers le client et mis en place de manière transparente, avec un éventuel redémarrage automatique
des services ou de la machine.
7.2.5 Résumé
Pour profiter pleinement des avantages d’un réseau VPN d’accès distant, les entreprises doivent
veiller à ce que la technologie choisie offre une sécurité optimale aux clients VPN. Même si les
fonctions VPN standard, telles que le cryptage et l’authentification des utilisateurs, sécurisent les
transmissions échangées par les utilisateurs du réseau VPN, la protection des postes de travail est
également un élément capital de la sécurité globale de l’entreprise. Les systèmes client doivent être
protégés avec des technologies de pare-feu personnel étroitement intégrées au réseau VPN.
Quant à la solution VPN globale, elle doit permettre d’imposer les exigences de sécurité sur les
clients du VPN, préalablement à toute connexion au réseau. Ce n’est qu’après avoir protégé leurs
clients VPN que les entreprises pourront être assurées de l’intégrité de leur réseau.
7.3
LE SINGLE SIGN ON
Auteur Frédéric Pierre (Avencis) [email protected]
15 nov 2004
141/189
7.3.1
Origines du Single Sign-On
Le besoin de signature unique (Single Sign-On ou SSO par contraction) est apparu lorsque
l’informatique est devenue hétérogène. En effet, lorsque l’informatique était centralisée, la principale
authentification réalisée par les utilisateurs correspondait à l’authentification sur le serveur (central
en l’occurrence).
Puis, l’informatique a évolué et s’est démocratisée ; les utilisateurs sont devenus plus nombreux et,
avec eux, les applicatifs, plus divers et adaptés à différents besoins. Par conséquent, aujourd’hui la
multiplication des environnements et donc des sources d’authentification est maintenant une réalité.
Les architectures mises en œuvre pour répondre à cette problématique ont évolué et continuent à
évoluer. Plusieurs solutions ont été envisagées sans jamais répondre complètement à la
problématique des utilisateurs.
Les premières solutions ont été mises en place par les éditeurs de systèmes d’exploitation comme
par exemple le système NIS (ex Yellow Pages). Les solutions de ce type, même si elles ont connu
un certain succès, n’ont jamais été étendues au-delà des systèmes d’exploitation pour lesquels elles
ont été conçues.
7.3.2
Pourquoi le Single-Sign-On ?
L’authentification vis à vis de ressources (systèmes, applications…) est aujourd’hui une habitude
banale et un utilisateur doit typiquement gérer de nombreux mots de passe : un mot de passe pour
la connexion au poste de travail, un mot de passe pour la messagerie et N mots de passe
applicatifs. Il n’est pas rare qu’un utilisateur doive utiliser 5 ou 6 mots de passe, voire plus pour
certains utilisateurs ou administrateurs.
La gestion de ces mots de passe devient alors problématique pour l’utilisateur et entraîne les
comportements suivants :
les mots de passe deviennent triviaux ou sont identiques sur tous les systèmes,
les mots de passe sont notés sur des post-it™ ou dans un cahier,
l’utilisateur oublie ou confond certains de ses mots de passe (ceux qu’il n’utilise pas
fréquemment)
Ces comportements ont deux conséquences fâcheuses pour l’entreprise :
les mots de passe triviaux ou identiques entraînent des problèmes de sécurité. La découverte
d’un des mots de passe génère un risque pour l’ensemble des accès de l’utilisateur. Aujourd’hui
les outils de sécurité, lorsqu’ils découvrent l’un des mots de passe d’un utilisateur essayent de
le rejouer sur les autres systèmes et applications. Un nombre important d’applications
transmettent les mots de passe en clair. Il est donc aisé de découvrir les mots de passe des
utilisateurs pour ces applications.
si l’on oblige les utilisateurs à utiliser des mots de passe ‘forts’ (non triviaux), ils ne peuvent les
mémoriser tous et doivent les noter par écrit ce qui est évidemment contradictoire avec l’objectif
premier qui était de renforcer la sécurité.
L’oubli par les utilisateurs de certains de leurs mots de passe (le syndrome du retour de
vacances) génère un nombre important d’appels au help-desk et donc perte de temps et
gaspillage de ressources.
Le principe du mécanisme de Single Sign-On est de rassembler les crédentiels que l’utilisateur doit
mémoriser dans un coffre-fort : l’utilisateur n’a donc plus à connaître qu’un seul mot de passe (ou à
posséder une carte à puce munie d’un code personnel). Il est généralement possible, pour se
conformer à des politiques de sécurité internes par exemple, d’exclure certaines ressources du
contrôle de la solution de SSO.
La mise en place d’une solution de SSO permet plusieurs améliorations notables :
15 nov 2004
142/189
une augmentation générale du niveau de sécurité : l’utilisateur n’a plus qu’à connaître un seul
mot de passe ou le code porteur de l’élément physique, les mots de passe des autres
applications pouvant être plus complexes voire inconnus de l’utilisateur,
les mots de passes des applications ne sont plus notés dans des cahiers ou sur des Post-it™,
le nombre d’appels au help desk pour des changements de mots de passe diminue de manière
considérable ;
la satisfaction globale des utilisateurs et leur productivité augmente.
La mise en place d’une solution de SSO permet donc de réduire le nombre de mots de passe que
l’utilisateur doit connaître tout en maintenant voire en renforçant la sécurité des systèmes
d’information.
7.3.3
Aperçu des solutions existantes
On distingue 4 types d'architectures pour répondre à la problématique SSO :
Les architectures WebSSO
Les architectures « server centric »
Les architectures « user centric »
Les architectures mixtes
7.3.3.1 Architectures WebSSO
Les solutions de WebSSO permettent d’uniformiser les accès à plusieurs sites Web mais, comme
leur nom l’indique, se limitent aux accès Web. Ces solutions sont généralement déployées pour
permettre aux clients externes d’une entreprise de ne s’authentifier qu’une seule fois pour accéder à
l’ensemble des ressources auquel ils ont accès à travers un portail.
Cette architecture est relativement peu employée pour les utilisateurs internes d’une entreprise (la
majorité des applications n’étant pas « Web », elle ne permet de prendre en compte qu’une partie de
la problématique SSO)
Architecture « Web SSO» agent
15 nov 2004
143/189
Architecture « Web SSO» reverse proxy
Il existe deux implémentations de solutions de WebSSO :
l’implémentation par agents : un agent SSO est installé sur l’ensemble des serveurs Web qui
est chargé de gérer les accès des utilisateurs, les authentifier et propager les accréditations des
utilisateurs entre les différents sites Web.
l’implémentation « reverse proxy » : tous les accès Web vers l’ensemble des sites SSO passent
par le « reverse proxy ». Ce dernier se charge d’authentifier l’utilisateur et d’effectuer les
authentifications en lieu et place de l’utilisateur sur les autres sites Web.
La mise en place d’une solution de WebSSO ne nécessite pas le déploiement d’outils sur le poste de
travail de l’utilisateur. Le déploiement de la solution WebSSO est relativement simple. En
contrepartie, seules les authentifications Web sont prises en charges.
7.3.3.2 Architectures « Server Centric »
Dans une architecture de type « Server Centric », l'application conserve sa base de gestion des
accréditations. Un serveur spécialisé dit de sécurité est responsable de la mise à jour de cette base
via des agents spécifiques.
15 nov 2004
144/189
Architecture « Server Centric »
Cette solution repose sur l'existence d'agents pour gérer les bases de gestion des accréditations.
Pour chaque application il est nécessaire de valider les points suivants :
disponibilité de l'agent pour la version de l'application et le système d'exploitation,
délai de disponibilité d'un nouvel agent lors de la mise a jour de l'application,
mécanismes de synchronisations entre l'agent et le serveur
disponibilité d'API au niveau de l'application pour développer un agent.
L’implémentation d’une telle solution consiste en la mise en place de l'infrastructure (serveur(s) de
sécurité et agents) ; c’est un processus long, coûteux et complexe.
Les solutions existantes intègrent généralement quelques agents systèmes et de très rares agents
applicatifs. La mise à jour de ces agents s'effectue souvent longtemps après l'apparition d'une
nouvelle version du système d'exploitation ou de l'application.
Il est parfois possible de développer des agents pour les applications non supportées. Ces
développements sont également longs et coûteux.
Pour des raisons de disponibilité (élimination des Single Points of Failure) et de fiabilité, il est
nécessaire de protéger le serveur de sécurité. Cette redondance entraîne, outre un surcoût notable,
une complexité supplémentaire en terme d'administration.
7.3.3.3 Les architectures « User Centric »
Les architectures « User Centric » ne sont pas basées sur l’existence d’un serveur de sécurité mais
orientés utilisateurs. Cette topologie permet une mise en œuvre plus simple des solutions de SSO et
une meilleure adaptation à la problématique de l’utilisateur.
L’ensemble des informations permettant à l’utilisateur de s’authentifier sur les diverses applications
est stocké sur une carte à puce ou dans un fichier chiffré.
Le principal avantage de cette architecture est sa simplicité de mise en œuvre. En revanche,
l’absence de fonctions de centralisation restreint l’usage de cette solution à des structures de petites
tailles. De plus, il n’existe pas d’alternatives de connexion (mode dégradé) en cas de perte ou d’oubli
de l’élément de connexion (l’utilisateur est en général bloqué).
7.3.3.4 Les solutions mixtes
Les solutions mixtes sont des solutions qui combinent les avantages des architectures « User
Centric » et « Server Centric » sans en avoir leurs inconvénients.
Comme les architectures « User Centric », les solutions mixtes sont orientées ‘utilisateur’ et
permettent, sur de petites organisations, un fonctionnement sans serveur de sécurité. Cependant,
dans des environnements de taille plus grande et comme les solutions « Server Centric », ces
architectures s’appuient sur les éléments d’infrastructures existants (typiquement réseau et annuaire
d’entreprise). De cette manière, elles offrent la possibilité de centraliser d’une part les principales
tâches d’administration et, d’autre part, les mécanismes de redondances qui permettent aux
utilisateurs de se connecter en mode dégradé.
15 nov 2004
145/189
Architecture mixte
L’absence de serveur (propriétaire) dédié est palliée par la capacité de s’intégrer à l’architecture des
systèmes d’information existante telle que les annuaires d’entreprise LDAP ou Active Directory…
Dans ces architectures mixtes, on peut centraliser la gestion des configurations et utiliser les
services de l’annuaire pour diffuser (éventuellement automatiquement) les paramètres de
configuration.
Les solutions les plus avancées dans cette catégorie gèrent des conteneurs multiples stockés dans
différents référentiels (élément physique, cache de connexion, annuaire…) et assurent la
synchronisation entre ces sources. Elles garantissent également l’intégrité des crédentiels
utilisateurs par des mécanismes d’autocontrôle.
7.4
LA CONTINUITE D’ACTIVITE
Auteur : Bruno Hamon (EXEDIS) [email protected] et Eléonore Sichel-Dulong (EXEDIS) [email protected]
7.4.1
L’objectif de la continuité d’activité d’une entreprise
Toute entreprise doit assurer la continuité de son activité pour assurer la Promesse Client : cette
continuité, c’est celle des opérations métier, et celle des outils informatiques qui les supportent.
En réponse aux objectifs des dirigeants, la continuité d’activité devient donc une priorité pour le DSI,
qui passe d’une politique de sécurité informatique, à une politique de continuité du système
d’information.
Chaque entreprise construira la solution de continuité d’activité qui lui est propre : elle fixera ses
propres objectifs de continuité ou de reprise d’activité, en termes de performance opérationnelle.
7.4.2
De quelle continuité a besoin l’entreprise ?
L’axe de la continuité d’activité sera la Promesse Client. Chaque direction métier identifiera ses
processus métier, et désignera ceux qui sont critiques ; puis elle se fixera des objectifs opérationnels
tels que : répondre aux Clients moins de 24 h après le sinistre, honorer les commandes avec au plus
1 jour de retard, etc.
Puis les services support, et notamment les systèmes d’informations, évalueront leurs propres
contributions à ces processus métier. Il en résultera pour eux aussi des objectifs de continuité,
notamment pour la DSI, en cohérence avec les objectifs de continuité opérationnelle.
15 nov 2004
146/189
7.4.3
Construire le Plan de Continuité d’Activité (PCA) dont l’entreprise a besoin
Construire le PCA, c’est adapter l’organisation de l’entreprise pour atteindre l’objectif de continuité,
lui-même orienté vers la satisfaction du Client : l’entreprise définira tout d’abord les modes
opératoires et les moyens de la continuité des opérations métier : c’est le Plan de Continuité des
Opérations (PCO) ; puis elle en déduira les modes opératoires e les moyens de la continuité de ses
fonctions support, dont celle de son système d’information : c’est le Plan de Continuité
Informatique (PCI).
On résume ainsi l’articulation PCO / PCI :
PCA = PCO + PCI
7.4.4
Une construction méthodique du PCA
Pour construire son PCA, l’entreprise devra définir les objectifs de continuité opérationnelle, avant
d’en fixer les moyens, et éviter ainsi le piège de fixer l’objectif de continuité en fonction des moyens
et du SI existant.
Le PCA couvrira toute la chaîne de gestion des commandes Clients et définira les modes
opératoires, et les moyens du PCA, en les réservant si besoin : site de repli des utilisateurs, site de
secours informatique.
Il faudra rattacher ce projet à la Direction Générale, qui désignera un Monsieur (ou Madame) PCA ;
celui-ci constituera un comité de pilotage, qui désignera un chef de projet PCA, choisi du côté du
métier; et fixera des objectifs de délai, jusqu’à la phase des tests du PCA.
7.4.5
L’entreprise tout entière doit faire vivre son PCA
Le PCA d’une entreprise doit évoluer avec elle, et s’adapter à la Promesse Client, à l’environnement
légal ou réglementaire, mais aussi aux évolutions organisationnelles et d’infrastructure.
C’est toute l’entreprise qui doit penser PCA : il lui faudra identifier un responsable de la maintenance
du PCA, mais aussi adapter ses processus internes : toujours prévoir la prise en compte des
nouveaux risques qui apparaissent, et maintenir efficients les moyens du PCA, en les auditant et en
les testant périodiquement.
7.4.6
Le PCA comme une boîte à outils pour faire face à d’autres situations
Le PCA préparera aussi l’entreprise aux situations exceptionnelles créées par des sinistres mineurs
ou des situations planifiées nécessitant un arrêt d’activité, telles qu’un déménagement.
Un PCA bien construit diffuse dans l’entreprise une seule échelle de priorité des activités pour tous ;
rationnalise les moyens de production, et leur maintien à un certain niveau de performance et de
productivité : doubler les équipements critiques, ajuster les contrats de maintenance selon les
besoins.
Enfin le PCA amène l’entreprise à initier une constante réflexion sur les processus métier, leur
fragilité et leur exposition aux risques…même et surtout si ces risques ne se réalisent pas.
7.5
DE LA CORRELATION ENTRE SECURITE PHYSIQUE ET SECURITE
LOGICIELLE
Auteur Patrick Chrisment (Computer Associates) [email protected]
7.5.1
La sécurité physique et logique aujourd’hui
Aujourd'hui, la sécurité physique protège les actifs d’une entreprise, le personnel et les locaux contre
les risques potentiels. De plus, la sécurité physique permet de gérer la circulation des personnes et
des actifs provenant de l’extérieur et à l’intérieur des locaux. Le contrôle de la circulation est un des
aspects important de la sécurité physique. La gestion des secteurs, la périphérie (périmètre
d’intrusion), les occupants, les moyens d'accès (par exemple, l'entrée et la sortie standards versus
les permissions allouées à une personne en fauteuil roulant), le contrôle des mécanismes d’accès
15 nov 2004
147/189
internes et externes et la surveillance sont tous des problèmes à la charge d’experts de la sécurité
physique.
La sécurité de l’informatique et des réseaux contrôle les autorisations d’accès des utilisateurs aux
services informatiques auxquels ils ont droit et aident les entreprises à assurer la continuité des
opérations.
Ces services incluent :
Rôles sur un réseau;
Permissions au niveau des bases de données;
Gestion de l’allocation des ressources;
Accès à la messagerie;
Accès Internet/Extranet et Intranet;
Privilèges d’accès à distance
Aujourd’hui, les directions informatiques ont en charge l'énorme tâche de gestion des autorisations
d’accès aux ressources qui varient en fonction du profil des personnes. Cette gestion de la sécurité
doit, en plus, prendre en compte une volumétrie importante de centaines voire de milliers de postes
ainsi que les nombreux outils réseau permettant d’administrer cette sécurité.
Une politique de sécurité efficace doit être capable d’adresser tant la sécurité physique que la
sécurité logique. Dans presque chaque grande entreprise, la sécurité physique et la sécurité du SI
sont prises en compte, mais leur gestion n’est pas souvent coordonnée, que ce soit du point de vue
organisationnel que du point de vue opérationnel. Dans de nombreux cas, ces deux disciplines sont
complètement indépendantes et ignorent les forces et les faiblesses de chacune.
Cette séparation a de nombreuses conséquences :
Une incompatibilité entre les cartes d’accès aux locaux et les cartes d’accès aux ressources du
système d’information.
Les analyses périodiques et les enquêtes précises requièrent beaucoup d’effort pour relier les
logs des accès physiques aux journaux de sécurité logique. Le manque de format standard
dans la gestion des journaux et logs du système d’information ne permet pas de constituer des
preuves
La surveillance des systèmes ne fournit pas de vision d’ensemble de l’état des attaques
physiques et logiques
Les processus de recrutement de nouveaux collaborateurs et prestataires sont manuels et
coûteux. Ceux-ci incluent l’obtention des accès aux locaux et leurs modifications dès que les
droits d’accès des utilisateurs ont besoin d’être changés
Le manque d’intégration entre les processus de gestion des accès aux locaux et aux
applications métiers pour les nouveaux embauchés et la gestion des départs cause des
brèches potentielles de sécurité
La gestion intégrée de la sécurité amène de nombreux bénéfices :
La réduction de la surcharge de travail de gestion grâce à l’automatisation des tâches
manuelles de provisioning (gestion des arrivées) et deprovisioning (gestion des départs) des
utilisateurs
L’amélioration de la sécurité grâce à la corrélation entre la sécurité physique et logique mettant
en relief des intrusions potentielles
Un reporting et des enquêtes plus efficaces grâce à un audit normalisé et centralisé
Les économies générées par un investissement dans des moyens physiques d’authentification
combinés sécurisant les accès physiques et logiques
Le manque d’intégration entre les processus de gestion des accès aux locaux et aux applications
métiers pour les nouveaux embauchés et la gestion des départs cause des brèches potentielles de
15 nov 2004
148/189
sécurité. La gestion de la sécurité doit elle-même être intégrée dans les processus métiers existants
de gestion du personnel, des accès physiques et informatiques.
7.5.2
Les enjeux et la problématique
7.5.2.1 L’intégration de la gestion sécurité physique et de la sécurité logique
Une gestion efficace de la sécurité requiert une propriété et une responsabilité organisationnelles
claires sur plusieurs processus cruciaux de gestion de la sécurité comme :
La définition de la politique de sécurité de l’entreprise
La gestion des utilisateurs et des ressources
L’audit et la supervision de la sécurité
La réaction aux incidents
Le plan de reprise d’activité
La technologie peut soutenir chacun de ces processus mais ne les définit pas. En supposant qu’un
département a fait l’inventaire des ressources et dirige une évaluation de risques, il est alors
approprié de regarder où la technologie peut aider à réduire les menaces liées aux vulnérabilités.
Depuis toujours, les investissements en sécurité ont été faits pour des solutions permettant de
répondre à des problèmes spécifiques, comme les systèmes d’accès aux locaux, les firewalls, les
antivirus et les sondes de détection d’intrusions. De plus en plus, les organisations complexes sont
obligées d’avoir une approche intégrée de la gestion de la sécurité, leur permettant d’avoir une
consolidation de la gestion de la politique de sécurité et des événements de sécurité.
Une approche consolidée de la sécurité entreprise améliore le maintien de la sécurité et réduit les
coûts de gestion.
7.5.2.2 Le pilotage intégré de la sécurité
La supervision de la sécurité est l’un des composants des meilleures pratiques de l’architecture
sécurité de l’entreprise. L’expérience a démontré que cette supervision est inefficace sans la mise
en place d’une couverture globale et de processus métiers de surveillance régulière et de prise
d’actions.
Une approche intégrée de la gestion des événements avec des processus métiers précis la
supportant apporte la capacité de détecter, corréler et empêcher des attaques complexes contre les
locaux et les systèmes informatiques; ainsi que d’avoir une vue complète de l’évolution de la sécurité
grâce aux analyses des logs de sécurité physique et systèmes informatiques. Ceci implique que les
données provenant de multiples équipements soient consolidées dans un format normalisé et
corrélées afin d’identifier et d’attirer immédiatement l’attention sur des événements importants.
7.5.2.3 La gestion intégrée des utilisateurs
Basée sur les meilleures pratiques, la gestion des utilisateurs doit être dirigée par les ressources
humaines, les lignes métiers pour autoriser les accès des employés et pour les besoins métiers des
clients et partenaires. Toutefois, dans la majorité des entreprises aujourd’hui, la gestion des
utilisateurs est très souvent découpée et répartie sur des systèmes et des applications multiples, de
même pour les accès physiques
Le travail consacré à la gestion des utilisateurs peut très facilement être identifié; par exemple les
appels au Help Desk pour des raisons d’oublie de mots de passe, le cumul du temps d’attente passé
par les nouveaux collaborateurs avant qu’ils aient un accès à leurs applications. Un des moyens le
plus direct pour réduire les coûts de gestion de la sécurité, est l’automatisation et l’association du
provisioning des utilisateurs pour les accès physiques et logiques.
La mise en place de l’automatisation du provisoning des utilisateurs et de la gestion des accès
utilisateurs implique la mise en place de plusieurs processus au niveau entreprise pour la définition
et le maintien des identités et des accès pour les utilisateurs internes ainsi que le provisioning et le
maintien des clients et partenaires.
15 nov 2004
149/189
Le provisioning et la gestion des utilisateurs sont constitués de :
Le provisioning des employés et la gestion de leurs accès incluant la prise en compte des
nouvelles embauches avec accès aux facilités et aux systèmes, le self service avec gestion des
mots de passe, gestion des cartes d’accès et gestion du déprovisioning pour les employés. Il
est absolument nécessaire d’avoir une intégration avec les applications et processus des
ressources humaines;
Le provisioning des clients et partenaires et la gestion de leurs accès permettent aux nouveaux
clients d’être enregistrés et de gérer leurs niveaux d’accès et leurs préférences. Il est
nécessaire d’avoir une intégration avec les processus et applications de la gestion de la relation
clients
La gestion des cartes/badges inclut l’émission et la gestion de la durée de vie des cartes
d’accès.
La gestion des droits prend en compte les informations d’authentification aux applications et
aux systèmes
La gestion des clés intègre la génération, la distribution et le changement des clés de
chiffrement et d’authentification. Pour les environnements de gestion de certificats, la gestion
des clés inclut la génération, la distribution et la révocation des certificats.
La gestion de l’annuaire prend en charge l’infrastructure permettant l’accès distribué aux
informations et attributs des utilisateurs
7.5.3
La solution
Une réponse se trouvera dans le fruit du travail du groupe « Open Security Exchange ». Ce groupe
travaille sur l’élaboration du standard PHYSBITS.
7.5.3.1 Open Security Exchange – Infrastructure PHYSBITS
La convergence de la sécurité physique et de la sécurité du système d’information à l’intérieur d’une
infrastructure logique est un enjeu significatif. L’infrastructure PHYSBITS du groupe de travail
« Open Security Exchange » fournit une réponse à cet enjeu à l’aide d’une approche modulaire :
Un ensemble d’interfaces et de formats de données sont requis pour permettre l’intégration de la
gestion de la sécurité physique et du système d’information :
Provisioning des utilisateurs permettant la gestion des équipements d’accès des utilisateurs
avec un ensemble cohérent de données associées à chacun et l’intégration au sein de la
gestion des identités entreprise dirigée par les processus métiers, ainsi qu’au sein de la gestion
de l’infrastructure liée aux jetons d’accès (émission et révocation)
Gestion des politiques positionnant les contrôles utilisés par les équipements
Reporting de sécurité permettant de constituer des rapports sur les positionnements des
équipements
Gestion des logs autorisant la gestion centralisée des journaux et la normalisation dans un
format cohérent
Système de supervision offrant la possibilité à la gestion des événements de sécurité de
prendre en compte la surveillance des équipements physiques et la corrélation des attributs
comme les lieux géographiques, avec le réseau et les systèmes de gestion des intrusions
Les séries de spécifications PHYSBITS incluront des services Web ainsi que des API et formats
de données XML afin de supporter chacune des ces fonctions avec une série de guides des
meilleures pratiques pour se conformer aux normes de l’industrie comme l’ IS0 17799.
7.5.3.2 Une illustration réelle d’une telle solution
En attendant que ces standards soient disponibles et exploités par les différentes solutions
existantes, nous vous proposons d’illustrer une approche de la convergence de la sécurité logique et
de la sécurité physique pour la partie corrélation des logs.
15 nov 2004
150/189
La solution idéale.
La solution idéale consisterait à bénéficier de la consolidation des données d’audit (logs) provenant
des différentes solutions de sécurité du système d’information et de la sécurité physique. Elle
permettrait d’analyser les comportements inhabituels ou suspects tout en fournissant un outil
commun aux différentes équipes de sécurité.
Cette solution aiderait à donner du sens aux diverses données de sécurité par la consolidation des
logs de sécurité physique et des systèmes informatiques. Elle permettrait d’auditer facilement les
utilisateurs, de détecter les comportements inhabituels ou suspects et à établir les responsabilités
individuelles en analysant automatiquement les événements de sécurité et en corrélant les logs avec
les utilisateurs. Exploitant les technologies d’intelligence de moteur d’inférence, la solution
appliquerait les règles métiers afin de noter les comportements suspects tout en préservant la vie
privée des utilisateurs et d’ôter toute spéculation aux processus d’audit.
Cette plate-forme commune d’investigation pour les équipes de sécurité physique et de sécurité du
système d’information favoriserait la collaboration normale entre les différentes organisations de
gestion de la sécurité tout en réduisant le temps passé et les coûts d’investigations.
Les fonctions
Afin d’être complète, cette solution idéale devrait avoir les fonctions suivantes :
La détection automatique de comportements suspects : la solution s’appuierait sur des
technologies d’intelligence métier pour repérer automatiquement les abus réduisant l’exposition
aux risques et les coûts de sécurité
Un moteur puissant de règles analyserait les volumineux logs de sécurité et indiquerait les
comportements inhabituels comme les changements d’activités des utilisateurs ou des
tentatives d’accès non autorisés sur des ressources
La liste des utilisateurs suspects avec les scores : la solution classerait les utilisateurs en
fonction de notes pour attirer l’attention des équipes de sécurité sur les comportements, les plus
anormaux.
Les politiques et rapports de sécurité approuvés par des professionnels de l’audit
La corrélation des événements et analyse permettant de protéger les biens de l’entreprise d’une
manière plus approfondie que les manières traditionnelles réactives
Une surveillance centralisée : la solution analyserait les événements produits par la sécurité du
système d’information et par les équipements de sécurité physique permettant de réduire les
risques.
Une visualisation avancée : Cette solution permettrait de réduire le temps d’investigation et de
détection des intrusions.
Une interface graphique et une gestion chronologique permettant de simplifier l’analyse des
événements de sécurité complexes. La solution fournirait un moyen de naviguer dans
l’historique des événements de sécurité.
L’affectation des événements de sécurité aux individus facilitant l’identification des malfaiteurs.
Les administrateurs pourraient visualiser les activités des utilisateurs, rassembler des preuves
et identifier des malfaiteurs tout en minimisant les coûts d’investigation.
La conformité : cette solution permettrait de renforcer la politique de sécurité et de fournir un
historique complet des événements de sécurité.
Un reporting avancé : de nombreux états fournis en standard par la solution
L’intégration avec de nombreux systèmes de sécurité physique : la solution devrait intégrer un
grand nombre de solutions de sécurité physique et logique du marché. Elle devrait aussi
exploiter le standard PHYSBITS lorsqu’il sera disponible.
L’architecture de la solution idéale
15 nov 2004
151/189
Afin d’être complète, cette solution idéale devra permettre de s’intégrer au sein de l’entreprise afin
de prendre en charge les informations relatives aux utilisateurs, au système d’accès physique ainsi
qu’à toutes les solutions de sécurité du système d’information.
De plus, afin de faciliter les investigations, la solution idéale doit proposer l’identification automatique
des comportements suspects au travers d’une interface graphique fonctionnelle et simplifiée.
La solution idéale collecte les différents événements de sécurité générés par les différents
composants de sécurité informatique et par les composants de sécurité physique. Les informations
liées aux utilisateurs peuvent être par exemple importées à partir d’un référentiel des utilisateurs
comme MS Active Directory ou un annuaire LDAP.
La solution idéale permet aussi d’envoyer des alertes vers un système de surveillance centralisé de
la sécurité.
Les bénéfices d’une telle approche.
Une solution de ce type apporte les bénéfices suivants :
Rapprochement de la sécurité informatique et de la sécurité physique
Centralisation des événements de sécurité
Identification uniquement des comportements anormaux permettant de préserver la vie privée
des employés en fonction de règles pré établies
Gain de temps et simplification des investigations
Rapports complets prêts à l’emploi
Mise en œuvre d’un standard de Open Security Exchange « PHYSBITS »
15 nov 2004
152/189
8
LES ASPECTS JURIDIQUES ET HUMAINS
8.1
QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE
Nous abordons le côté juridique
posé par l’utilisation des outils
de l’Internet, mis à disposition
des employés s’ils ne sont pas
utilisés, durant les heures de
bureau, à des fins conformes à
l’éthique de leur employeur.
Nous ne sommes pas, ici, dans
le domaine de l’informatique, du
rationnel et du binaire mais
dans celui du droit qui est une
discipline
profondément
subjective dépendant de la
compréhension des problèmes,
de l’interprétation et de l’intime
conviction des juges. Certes
leurs décisions s’appuient sur
des textes du code du travail,
du code civil, du code pénal et
du code européen, mais, en
dernier lieu, ce n’est pas un
ordinateur qui tranche, ce sont
des hommes et des femmes
avec leurs convictions et leurs
doutes.
Nous allons voir, à travers trois
affaires, l’arrêt Nikon, l’affaire
de l’Ecole de Physique et Chimie Industrielle de la ville de Paris et l’affaire Escota que l’utilisation
non conforme du e-mail et du Web durant les heures de travail si elle est portée devant les tribunaux
ne se heurte pas à un vide juridique, comme on le pense souvent, et c’est parfois l’arroseur qui se
fait arroser avec l’obligation de payer les frais de justice.
8.1.1
L’arrêt Nikon
Ce cas jugé jusqu’en en cassation a créé un véritable séisme dans la vision qu’avait la justice de la
surveillance des e-mails des salariés pratiquée par leur employeur et fait aujourd’hui jurisprudence
dans tous les cas semblables. Un ingénieur de Nikon, tirant parti du statut qu’il avait dans
l’entreprise, vendait par e-mail pour son compte personnel du matériel photographique et tenait sa
comptabilité dans un dossier noté « personnel » Tous ses e-mails étaient également placés dans un
folder nommé « personnel ». Avec le temps, ayant eu vent des pratiques évidemment prohibées de
cet employé, l’employeur entreprit de le confondre en portant un oeil, en dehors de sa présence, sur
ses messages et ses fichiers concernant ces coupables échanges et surtout bien entendu sur ceux
marqués « personnel ». L’escroquerie ainsi mise à jour de façon évidente, l’employé fut licencié pour
faute grave.
Mais l’affaire n’en resta pas là. Considérant inadmissible la violation de son espace privé, l’employé
attaqua Nikon devant le tribunal des prud’hommes pour licenciement abusif, arguant d’une violation
inacceptable de la confidentialité de ses fichiers et de sa messagerie privée réalisée sans son
accord. Le tribunal des prud’hommes donna raison à l’employeur. L’employé fit porter alors l’affaire
devant la cour d’appel de Paris qui donna encore raison à l’employeur. Convaincu d’être victime
d’une atteinte inqualifiable à sa vie privée et d’un abus caractérisé de son employeur qui s’était
15 nov 2004
153/189
permis de lire ses e-mails personnels, persuadé d’autre part qu’un tribunal de prud’hommes et une
cour d’appel ne pouvaient comprendre ce qu’était les affaires concernant la haute technologie, l’ex
employé porta le jugement de la cour d’appel devant la cour de cassation.
Contrairement aux précédentes juridictions, la cour de cassation de Paris, par l’arrêt devenu le
célèbre « arrêt Nikon » du 2 octobre 2001 donna raison à l’employé et invalida les condamnations
précédentes, en s’appuyant sur l’article L120-2 du Code du Travail qui souligne que l’on peut
rechercher dans les fichiers personnels du salarié uniquement sous réserve qu’il y ait une
justification par rapport à la tâche qu’il doit accomplir et des circonstances graves justifiant la
mesure ». La Cour de Cassation a ainsi affirmé, et cela est considéré comme une doctrine que : "Le
salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que
celle-ci implique en particulier le secret des correspondances; que l'employeur ne peut dès lors sans
violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le
salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci
même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur."
Pour résumer, l’arrêt autorise un employé à utiliser Internet à des fins personnelles pendant son
temps de travail dans la mesure où cela ne déborde pas sur sa productivité.
Cet arrêt marqua le début d’une jurisprudence à partir de laquelle aucun jugement ne peut aller à
l’encontre d’un employé qui réclame son droit à un espace privé dans son entreprise pour stocker
les fichiers ou les e-mails déclarés comme étant personnels. Cet arrêt impose également pour
l’employeur un devoir de pertinence dans ses pratiques vis à vis de ses employés.
8.1.2
L’Ecole de Physique et Chimie Industrielle de Paris
Dans cette affaire opposant un étudiant à cette prestigieuse Grande Ecole se mêlent la haine, la
délation, l’argent le chantage et même l’exotisme, tous les ingrédients pour assurer le succès d’un
téléfilm ou d’un roman de plage. Un chercheur d’un machisme exacerbé décide de mener à une
assistante récalcitrante une vie impossible, multipliant les e-mails l’accusant des pires déviations et
dépravations, usurpant son adresse e-mail et détruisant les fichiers sur son disque, allant même
jusqu’à modifier les résultats de ses recherches et les slides de ses présentations. Eplorée, la
pauvre fille se plaint au Directeur de l’Ecole lui demandant des mesures pour que s’arrête ce
harcèlement quotidien. Le Directeur demande au RSSI et à l’Ingénieur Système de surveiller les
échanges par e-mail du chercheur pour confondre ce triste individu. Et des e-mails ainsi mis en
lumière éclata la vérité. Comme preuves à conviction, le contenu de ces e-mails fut porté à la
connaissance du Directeur de l’Ecole qui convoqua le chercheur pour lui passer un savon, le
sommer de cesser immédiatement ses coupables agissements et de faire des excuses à l’assistante
harcelée sinon …
Et là l’Ecole commit une erreur. Il ne fallait pas chercher un arrangement à l’amiable avec ce triste
sire, car lui s’empressa de porter plainte contre l’Ecole pour violation inadmissible de son espace
privé. Le tribunal donna raison au chercheur qui obtint tout de même 20 000€ payables par le
Directeur de l’Ecole, le RSSI et l’ingénieur système. Ce qui était reproché n’était pas tant la lecture
des e-mails puisque c’était une obligation pour établir les responsabilités dans une situation
conflictuelle, d’autant plus que les e-mails avaient été lus mais pas détournés par l’ingénieur
système. Ce qui était reproché à l’Ingénieur Système était surtout la divulgation du contenu de ces
e-mails au Directeur de l’Ecole. Je cite : « Si la préoccupation de la sécurité du réseau justifiait que
les administrateurs de réseaux fassent usage de leurs positions et des possibilités techniques à leur
disposition pour mener des investigations et prendre des mesures que la sécurité imposait … en
revanche la divulgation du contenu de ces messages ne relevait pas de ces objectifs ».
En conclusion, un RSSI, ou un responsable système peut à l’extrême limite et s’il en a l’obligation
pour la bonne marche du service et à la demande de son employeur observer au moins
statistiquement l’utilisation de la messagerie mais il ne peut en aucun cas révéler ce qu’il découvre à
son employeur. L’affaire fut portée en Cour d’appel qui confirma une partie des condamnations mais
assortit les amendes de sursis.
15 nov 2004
154/189
8.1.3
L’affaire Escota
Un motard en colère, employé chez Lucent Technologies ulcéré par le montant du péage de la
portion d’autoroute qu’il empruntait chaque jour pour se rendre à son travail et par les conditions
d’insécurité de cette autoroute décida de se venger à sa façon. Escota est la société qui a bâti et
gère les autoroutes Estérel Côte d’Azur Provence Alpes. Ce motard monta, à partir de son lieu de
travail, un site Web pour parodier celui de la société d’autoroutes www.escota.com. Il nomma ce
web satirique qui se substituait à ses pages personnelles hébergées chez Lycos, également
hébergeur du web de Lucent www.escroca.com en prenant bien sûr la même calligraphie pour le
logo et la même ligne éditoriale que le vrai site escota.com. Et il ne fut pas tendre pour la société
d’autoroute, mettant même des images qui ne jouaient pas en faveur de l’affirmation de sécurité et
de services que cette société disait fournir aux usagers. Quand la société Escota s’aperçut de
l’existence de ce site, cela ne la fit pas rire du tout. Elle obtint sa fermeture immédiate. Six mois plus
tard la société Escota porta plainte contre la société Lucent Technologie, employeur du créateur du
site parodique parce que les pages étaient mises à jour durant les heures de bureau. Elle porta
aussi plainte contre l’hébergeur.
Bien que l’employé s’engagea à payer toutes sommes incombant à Lucent si le tribunal obtenait
pour la société Escota des dommages et intérêts, il fut licencié pour faute grave. Escota demanda
200 000 euros de dommages et intérêts à la société Lucent Technologies. Quand le Tribunal de
Grande Instance de Marseille statua sur cette affaire, en juin 2003, la question fut de trancher si le
site était satirique et destiné à amuser le public ou s’il était haineux et destiné à nuire à la société
d’autoroute. C’est cette dernière hypothèse que retint le Tribunal. Si l’employé n’avait critiqué que la
société Escota, il aurait pu s’en tirer sans trop de mal, mais il avait aussi critiqué la qualité de ses
services …
La société Lucent pour ne pas avoir explicitement interdit dans sa charte de sécurité, l’usage des
outils mis à disposition des employés pour nuire à d’autres sociétés, car je cite : « aucune
interdiction spécifique n’était formulée à l’attention des salariés quant à l’éventuelle réalisation de
sites Internet ou de fournitures d’informations sur des pages personnelles » et l’ex employé furent
condamnés à verser 4000 euros de frais de justice et 12000 euros pour payer la publication du
jugement dans deux quotidiens nationaux. En conclusion Lucent Technologies fut reconnue co
fautive du délit commis par son ex employé pour lui avoir laissé la possibilité de créer un site
personnel à contenus diffamatoires à l’encontre de la société autoroutière Escota. Lucent
Technologies se retourne maintenant contre son ex employé pour lui faire payer tous ces frais. Les
dommages et intérêts réclamés par Escota n’ont pas été accordés. Aucune faute ne fut retenue
contre l’hébergeur Lycos. La cour d’appel saisie confirma la décision du tribunal de Grande Instance.
Ces affaires vont certainement se multiplier et la jurisprudence s’étoffera. Nous avons droit à notre
espace privé, sur le réseau, à condition qu’il soit clairement identifié, mais nous avons aussi
l’obligation d’utiliser les outils mis à notre disposition, durant les heures de travail à des fins
professionnelles.
8.2
POLITIQUE ET REFERENTIELS DE SECURITE
Auteur : Pierre-Luc Refalo (Comprendre et Réussir) [email protected]
8.2.1
Préambule
Tout est désormais affaire de risques. Accepter, comprendre les situations de danger, gérer ses
états de vulnérabilités sont pour les dirigeants et les managers une exigence permanente. Il est bien
sûr de leur devoir de traiter les menaces qui portent sur les activités de leur entreprise, sur leurs
systèmes d’information et leurs réseaux de communication.
Une fois levée, la question essentielle de l’engagement de l’entreprise qui nomme un ou des
collaborateurs et leur fixe des objectifs clairs, il n’y a pas de démarche « sécurité » sans orientations
politiques. Elles posent les fondements d’une réglementation interne, mais aussi les bases des
relations avec les tiers. Les dirigeants n’ont d’autre choix que de montrer, leur engagement, non pas
en paroles, mais en actes, non pas en symboles, mais en mesures concrètes.
15 nov 2004
155/189
Face à la complexité du sujet, tout plan d’action ne peut se concevoir sans une approche politique
claire, affichée et formelle. Une réglementation écrite est nécessaire. Sa mise en œuvre ne peut
réussir sans l’adhésion et implication de toute l’entreprise. Seuls les hommes et l’organisation
garantiront sa mise en oeuvre.
Le terme « politique » a été utilisé dans des sens très variés dans la sécurité informatique.
Est-ce une charte composée de quelques principes fondateurs ?
Est-ce un programme (politique) qui s’appuie sur une vision du risque ?
Est-ce un ensemble de règles à appliquer obligatoirement ?
Est-ce un ensemble de principes, de bonnes pratiques de sécurité qu’il convient d’appliquer
lorsqu’on le peut en fonction de critères opérationnels ou économiques ?
Est-ce une spécification technique des processus à mettre en place voire des configurations
requises pour les infrastructures et les services ?
8.2.2
Fondamentaux
Indépendamment de son champ et de son contenu, une politique de sécurité repose sur 4 bases
fondamentales :
La volonté des dirigeants doit être clairement exprimée.
Les principes de base et les règles fondamentales doivent être formulés.
Les interlocuteurs et responsables doivent être identifiés.
Les procédures et sources d’information doivent être diffusées et facilement accessibles.
Une politique cherche à répondre à des enjeux stratégiques liés au business, mais elle peut aussi
s’attacher à fixer des objectifs de sécurité déterminés par l’étude de scénarios de risques. Enfin, elle
peut reposer sur une démarche organisationnelle imposée par des exigences réglementaires (secret
médical, sécurité financière, …) ou environnementales (concurrence, terrorisme, …).
Toute politique s’appuie donc sur des enjeux et des orientations stratégiques. Telle entreprise mettra
en avant sa croissance économique, une autre privilégiera la qualité de ses produits ou la relation
avec ses clients, telle autre la réduction de son endettement. Dans l’administration, les enjeux seront
différents : la qualité des soins et le secret médical auront la priorité dans la santé, la qualité de
service et la sécurité des usagers seront privilégiées dans les transports publics. La lutte contre
l’espionnage industriel sera l’enjeu majeur des centres de recherche nationaux et de certaines
universités et grandes écoles.
C’est en fonction de ces paramètres que la politique sécurité prendra son sens en rappelant des
objectifs forts :
protection du savoir-faire
respect des obligations juridiques et réglementaires
protection des revenus
protection de l’image de marque
8.2.3
Des principes fondateurs
Toute politique de sécurité répond à des enjeux qui doivent être clairement explicités. Mais elle doit
aussi reposer sur des bases solides, conceptuelles mais fondamentales pour donner du sens aux
règles et aux processus. Sept grands principes fondamentaux peuvent ainsi être formulés. Le
premier d’entre eux est l’économie, les six autres lui étant très étroitement liés. Ils visent tous à
garantir l’efficacité de la mise en œuvre de la politique.
L’économie
Aucune démarche d’entreprise ne peut faire abstraction des coûts. Comment concevoir une
démarche qui ne reposerait pas sur une évaluation quantitative des risques et une approche
15 nov 2004
156/189
financière des plans d’actions ? Comment imaginer une mise en œuvre de moyens qui ne soit
pas cohérente avec les risques évalués et les impacts économiques des incidents, des fraudes
et des piratages ? L’entreprise doit clairement rappeler que l’on ne dépense pas 100 si l’on
risque 10.
L’intégration
Pour qu’elle soit efficace, que ce soit au sein d’une organisation ou d’un système d’information,
dans le cadre d’un projet ou d’un processus, la sécurité est intégrée sous des formes diverses :
•
par la responsabilisation des acteurs
•
par l’identification des risques dans les phases amont des projets
•
par l’utilisation, quand c’est possible, de dispositifs et d’outils (physiques ou logiques)
existants
L’efficacité des mesures mises en œuvre sera garantie par l’implication de chacun et non en
s’appuyant sur quelques individus.
La cohérence
La sécurité globale d’un système, d’un processus, d’une organisation doit être cohérente. Elle
dépend toujours du maillon le plus faible. La mise en oeuvre des dispositifs de sécurité vise à
garantir un niveau de sécurité homogène dans tous les domaines de la prévention/protection et
de la détection/réaction.
Il est inutile de blinder une porte si les fenêtres restent ouvertes ou chiffrer des données si les
documents confidentiels restent sur les bureaux, les portes ouvertes.
La simplicité
Face à la complexité et à la rapidité d’évolution de l’environnement (politique, social, technique,
marketing et organisationnel), les mesures de sécurité seront d’autant plus acceptées et
efficaces qu’elles seront simples et compréhensibles par les collaborateurs, les fournisseurs, les
partenaires et les clients.
Une action bien ciblée, quelques règles bien comprises et appliquées seront plus efficaces que
de multiples consignes s’appuyant sur des outils difficiles à utiliser.
La proportion
Dans un souci d’efficience, les dispositifs de sécurité sont proportionnés aux risques et aux
menaces encourus. Les coûts et les conditions de mise en oeuvre des mesures ne sont validés
qu’après identification et évaluation précises des enjeux. Trois niveaux de sécurité peuvent être
définis :
•
standard : applicable pour toute information en faisant appel à des dispositifs de sécurité
existants.
•
renforcé : applicable à des informations sensibles et des systèmes critiques, en faisant
appel à des dispositifs de sécurité complémentaires sans remise en cause fondamentale
de l’environnement technique et organisationnel.
•
sur mesure : applicable à des informations secrètes et des systèmes vitaux reposant sur
des dispositifs de sécurité certifiés ou spécifiques dont seule l’entreprise possède la
maîtrise.
La transparence
La politique se met en oeuvre dans un souci de transparence des décisions et des processus
opérationnels. Ceci vise à faciliter le contrôle et l’audit et s’applique dans le cadre des projets,
des opérations quotidiennes et des incidents.
La pérennité
Les solutions de sécurité doivent être conçues à partir de produits pérennes et sur des
technologies éprouvées. Ils offrent des garanties d’évolutivité dans le temps, d’adaptation à
l’apparition de nouveaux risques et de facilité de maintenance à un coût raisonnable.
La politique évoluera en fonction de l’expérience acquise au quotidien et sur l’évolution de
l’environnement notamment législatif et organisationnel.
15 nov 2004
157/189
8.2.4
L’organisation dans le cadre politique
L’approche politique de l’entreprise se concrétise sous la forme des responsabilités qu’elle souhaite
attribuer pour répondre à ses exigences ou ses préoccupations tirées d’une vision ou d’une
connaissance des risques opérationnels. L’entreprise considère-t-elle que seuls comptent les
aspects légaux et notamment le respect de la vie privée ? Mais comment traiter aussi la protection
du patrimoine, notamment immatériel ? Comment veiller aussi aux menaces liées à l’espionnage
économique ? Et peut-elle ignorer la fraude ou le piratage informatique ?
Dès que la problématique « cyber-sécurité » apparaît comme une volonté stratégique et globale,
l’attribution des responsabilités devient difficile. Car, en effet, combien est-il difficile de faire coopérer
des acteurs aussi différents et souvent très compétents dans leur domaine que des informaticiens et
des juristes, des anciens fonctionnaires de police et des agents de sécurité physique, le tout en
cohérence et en bonne synergie avec les autres métiers concernés dans l’entreprise, Juridique,
Ressources Humaines, Stratégie et Marketing, Systèmes d’Information, Achats, …
L’enjeu est ici de séparer le management stratégique et le management opérationnel. Le lien entre
les deux sera un des aspects de la Politique de Sécurité exprimée sous la forme des « meilleures
pratiques » (cf schéma).
Il n’est pas toujours nécessaire de répondre à des enjeux pour faire de la sécurité. On peut se
satisfaire d’une démarche plus qualitative, analogique voire historique. Peut-on concevoir une
maison sans portes ? Même dans les plus beaux quartiers, a priori les plus sûrs, on met des portes
et des verrous ! L’assureur l’exige bien sûr. Par ailleurs, il est possible d’observer ce que font les
partenaires, les autres entités du groupe, … On s’adapte plus tactiquement que politiquement à des
pratiques de sécurité, à des exigences ou des contraintes externes.
Dans la cyber-sécurité, des services se sont imposés peu à peu et rien ne semble en mesure de les
remettre en cause sur le fond :
sauvegardes
codes secrets
coupe-feu
15 nov 2004
158/189
anti-virus
…
Certes, ils répondent à des risques réels et souvent quotidiens mais se pose-t-on encore la question
du risque avant de mettre en œuvre et d’acheter ces dispositifs ? Ne peut-on se convaincre une
bonne fois pour toutes que c’est une sécurité « intégrée » à d’autres processus comme la mise en
œuvre d’une application, le déploiement d’une architecture bureautique ou de réseaux ? Nous
sommes ici dans une approche politique de type « bonnes pratiques », qualitative et reposant sur de
l’expérience. On rentre dans le domaine de l’expertise plus que du management, ce dernier étant de
toute façon requis pour la mise en œuvre.
Quelques familles de « bonnes pratiques » se sont peu à peu imposées. Elles répondent à une
démarche de prévention et d’anticipation. Ce sont :
les contrôles d’accès logiques
le cloisonnement de réseaux
la gestion des attaques logiques
la confidentialité des informations
les contrôles d’accès physiques
la continuité des activités
Elles peuvent être complétées par d’autres domaines émergents qui s’adressent à de nouveaux
cyber-risques liés à l’e-business et à l’e-commerce.
la signature électronique
les moyens de paiement sécurisés
…
Les guides de « bonnes pratiques » seront complétés par des guides de management qui décrivent
la veille et les relations extérieures
la sécurité dans les projets
l’analyse de risque et l’audit
la gestion des incidents et des crises
8.2.5
Une Charte et quatre politiques
Nous pouvons considérer que les aspects « réglementation » de la cyber-sécurité ne peuvent pas
être traités dans une politique unique et qu’une certaine modularité est nécessaire.
Il existe certes des principes fondamentaux applicables à tous.
Il existe aussi des bonnes pratiques issues de plus de quinze ans d’expérience.
Il existe des différences fondamentales, de maturité et de sens de responsabilité des dirigeants.
Il existe des considérations fondamentalement différentes entre les règles à appliquer à des
collaborateurs, à des clients ou des fournisseurs. Or, à l’heure des échanges électroniques
généralisés, on ne peut englober tout le monde dans une approche unique du risque.
Il ne faut pas oublier, enfin, que dans certains domaines, des choix seront nécessairement
tactiques et économiques.
Ainsi, quel que soit son métier, sa taille et sa culture, une entreprise peut et doit aborder son
approche « réglementaire » de la « cyber-sécurité » en trois grands domaines introduits par une
charte et supportée par les normes, les guides de bonnes pratiques et de management.
15 nov 2004
159/189
Le cadre général d’une Politique de Sécurité
8.2.6
Des choix essentiels
Pour aller plus loin, il y a toujours des choix qui se présentent au décideur. Les décisions si elles
reposent sur la culture, le métier et la stratégie de l’entreprise, ne doivent pas éliminer des choix plus
« tactiques » voire opportunistes, quotidiens et souvent effectués sous la pression.
8.2.6.1 Entre laxisme et paranoïa
Nous vivons dans des régimes démocratiques où le droit est la règle principale de nos
fonctionnements collectifs. C’est aussi le cas dans l’entreprise qui, si on accepte l’idée qu’elles sont
lancées dans une guerre économique, doivent connaître leur ennemi et les menaces pour bien se
protéger. « Si tu veux la paix, prépare la guerre » disait Sun Tzu. Le décideur, quel qu’il soit, peut
très bien se sentir à l’abri (en se bandant les yeux) ou à l’inverse voir des ennemis partout (alors qu’il
n’y en a pas). Dans les deux cas, il prend des risques. Négligences voire irresponsabilité dans un
cas, blocages et sans doute surcoûts dans l’autre.
C’est pourquoi, une approche « responsable », ni laxiste, ni paranoïaque doit prévaloir de nos jours.
Pour qu’elle soit réaliste et applicable, il convient que les dirigeants et les managers qui seront
impliqués adhèrent à une telle orientation politique. Il est en effet fréquent de voir des experts
techniques chercher à sur-protéger, car conscients des menaces et des vulnérabilités techniques
mais aussi des décideurs obnubilés par les dépenses et les coûts et qui ne comprennent pas
pourquoi tel ou tel investissement est nécessaire. C’est le cas des actions préventives comme la
veille, ou réactives comme la gestion des incidents. On a bien d’autres choses à faire que d’anticiper
des risques « immatériels » et de chercher à expliquer pendant des jours comment a pu s’opérer
une intrusion ou un vol. De toute façon, cela n’intéresse pas grand monde et le mal, de toute façon,
est fait !
Le président ou le directeur général, le ministre, le recteur d’Académie, le chef d’établissement, …
ne peuvent pas rester totalement absents de la démarche « cyber-sécurité ». Ils doivent exprimer
dans une note de service puis dans des nominations et des délégations de pouvoir en quoi cette
gestion de risques est vitale pour l’activité et la santé de l’entreprise ou de l’organisme.
15 nov 2004
160/189
Le dirigeant doit écrire que les systèmes d’information, les réseaux de communication, et
l’information elle-même :
représentent une composante essentielle du patrimoine et contribuent, par leur maîtrise et leur
qualité à l’efficacité des actions, à la confiance accordée par les clients, usagers, les
actionnaires, les instances de tutelle, au développement et à la pérennité des activités.
sont un bien vulnérable soumis à des menaces très diverses. Toute altération, divulgation,
destruction, accidentelle ou malveillante, peut porter de graves préjudices à l’organisation et par
voie de conséquence à ses collaborateurs ou à ses clients et partenaires.
sont soumis à des menaces spécifiques liées au métier (concurrence, service public, relation
client/usager, gestion financière, …) qui exigent une vigilance accrue. L’Internet, ses
technologies et ses services, sont une source de développement, d’efficacité et de revenus
potentiels. Mais il introduit aussi des vulnérabilités très importantes dont il convient de se
prémunir.
Les décideurs doivent aussi chercher à impliquer l’ensemble des collaborateurs en insistant sur les
bonnes pratiques individuelles et essentiellement comportementales que chacun doit respecter. Elle
doit mentionner les acteurs en charge de la gestion de ces nouveaux risques et l’existence de la
Politique Sécurité qui constitue un cadre de référence applicable à l’ensemble des entités et avant
tout un objectif à atteindre. Cette politique est par nature insuffisante mais traduit une volonté
stratégique Sa mise en oeuvre nécessite l’implication de chaque collaborateur. Sans doute, l’enjeu
est de faire passer le message que la sécurité ne peut plus, ne doit plus être considérée comme une
arme de défense, mais comme un atout.
8.2.6.2 Entre « bonnes pratiques » et « obligations »
Pourquoi ne pas se satisfaire d’une « petite lumière » que chacun se chargerait de maintenir en vie
pour que dure la politique sécurité ? Plutôt que des obligations quasi-dictatoriales que chacun
passerait son temps à dénigrer ou ne pas respecter ?
Il y a un grand enjeu éducatif. C’est le choix classique de l’éducation ou de la répression. Nous
voyons sur les routes combien sont inefficaces les rappels à l’ordre, les contraventions et les retraits
de permis pour tenter de faire conduire les automobilistes moins vite, avec leur ceinture de sécurité
et sans avoir (trop) bu.
La sécurité est toujours contraignante et il est si simple de passer outre sans prendre beaucoup de
risques (personnels) d’ailleurs. Dans le monde de l’immatériel, nous devons nous poser la question
de la responsabilité individuelle, consciente, adaptable et non collective, uniforme, imposée.
C’est pour cela que l’approche par les bonnes pratiques prend du sens par rapport à des obligations
permanentes et imposées. Certes, il existe des domaines qui ne mériteront aucun compromis, mais
l’exception « obligatoire » confirmera la règle permanente du « libre choix », du « libre arbitre ».
Les obligations seront idéalement présentées dans un règlement intérieur en respectant les
processus d’élaboration avec l’assistance d’un avocat et de validation du Comité d’Entreprise ou des
représentants du personnel.
8.2.6.3 Entre technologies et processus
La sécurité informatique est un domaine principalement méthodologique et technique. La tentation
est grande, et l’expérience quotidienne le prouve, de conserver une approche par les outils. « Vous
avez un risque X, j’ai l’outil Y qu’il vous faut ». Discours classique d’offreur, qui possède bien des
avantages :
Il donne bonne conscience au client qui pense mettre en œuvre les moyens adaptés.
Il donne de l’activité aux experts de l’entreprise et aux prestataires qui peuvent justifier leur rôle
et leurs « alertes ».
Il développe un marché de produits essentiellement américains.
Malgré ce développement marketing et cette profusion d’outils, la sécurité des entreprises s’en
porte-t-elle mieux ? Il nous faut sans doute reprendre le travail et ici encore rentrer dans une
15 nov 2004
161/189
approche « qualité ». Quels sont les processus de sécurité essentiels, vitaux que doit posséder
l’entreprise pour couvrir ses risques ?
Nous retombons encore une fois sur les « bonnes pratiques » qui se déclineront quasimécaniquement en « processus » et non pas en outils techniques. Bien sûr ils existent et sont fort
utiles mais ils ne peuvent rentrer dans une approche politique sans de nombreux pré-requis souvent
oubliés.
8.2.6.4 Entre règles et procédures
Elaborer des règles et des bonnes pratiques démontre la connaissance des risques et la volonté de
les gérer. Le danger des bonnes pratiques, c’est d’élaborer, de proposer des règles fonctionnelles
ou opérationnelles mais qui n’indiqueront pas comment il faut les respecter voire les appliquer. Les
bonnes pratiques n’ont de sens que si des procédures adaptées aux règles et aux processus sont
définies, formalisées et implémentées.
Combien d’entreprises possèdent des procédures de « cyber-sécurité » formelles et maintenues ?
C’est toute la difficulté du choix politique des « bonnes pratiques ». Si elles restent des vœux pieux,
elles reviennent elles-aussi à se donner bonne conscience. D’où l’intérêt extrêmement important qu’il
faut porter à la sensibilisation voire à la formation.
8.2.6.5 Entre information et formation
Il y a une différence fondamentale entre se sentir responsable (sans forcément l’être) parce qu’on
est informé et être acteur, actif, parce que l’on sait précisément ce que l’on doit faire et comment.
Les efforts à consentir dans un cas comme dans l’autre sont forts différents. Les résultats le sont
aussi.
Le cas de la gestion des mots de passe ou des virus est exemplaire. Combien de fois a-t-il été
répété, écrit et re-écrit qu’un code secret, parce qu’il est secret ne se communique à personne ? Et
pourtant …
De la même façon, combien de fois a-t-il été dit et redit au sein des entreprises et par de nombreux
médias comment se propageaient les nouveaux virus ainsi que les consignes à respecter ? Et
pourtant …
La véritable question reste que chacun à son niveau assume ses responsabilités, et cela commence
au niveau des dirigeants. Se contenter d’informer le personnel est nécessaire mais n’est plus
suffisant. Les chartes n’ont de sens et seront satisfaisantes et utiles que si elles sont signées
individuellement. Peut-on se contenter de transmettre un savoir ? Peut-on se satisfaire de
collaborateurs qui « ont » plus qu’ils ne « sont » ? Comment passer d’une culture de l’ « avoir » à
une culture de l’ « être » ?
L’enjeu n’est-il pas aujourd’hui de former l’ensemble des collaborateurs en fonction de leur profil à ce
qu’ils doivent faire quotidiennement pour réduire la négligence humaine naturelle, limiter les
capacités de malveillance et réellement responsabiliser ?
8.2.6.6 Entre sensibilisation et contractualisation
Nous pouvons aller plus loin que cette dichotomie sur l’information ou la formation qui vise à
responsabiliser en communiquant un savoir, une connaissance ou en apportant des compétences,
un savoir-faire. L’objectif est-il de se satisfaire d’une sensibilisation, une formation de surface ou de
rechercher une véritable responsabilité professionnelle et contractuelle. Aujourd’hui, nous sommes
bien obligés de considérer que seule une véritable contractualisation des droits et devoirs de chaque
acteur est rendue nécessaire. Comment peut-elle se mettre en œuvre ?
Tout d’abord au sein du contrat de travail, puis du règlement intérieur comme nous l’avons vu plus
haut. Mais aussi sous la forme de clauses contractuelles que l’entreprise élabore avec ses
fournisseurs. Nous pouvons schématiser ces intervenants externes en trois catégories :
les accords de confidentialité applicables à tous acteurs et tout contexte
les engagements de sécurité des services sous traités
les exigences de sécurité pour l’hébergement de sites informatiques et services Internet
15 nov 2004
162/189
les engagements contractuels des parties dans le cadre des contrats de prestation de services
8.2.6.7 Entre concentration et décentralisation
Finalement, pour mettre en œuvre cette politique, l’entreprise doit se déterminer clairement dans le
domaine de l’organisation. Une approche « centralisatrice », concentrée, des missions et des
acteurs prend un sens dans les petites structures, mono-métier et dont les implantations sont
limitées par exemple à une région ou un pays. Néanmoins, s’il existe une entité centrale responsable
des aspects « politiques », il n’est pas inutile de prévoir des « correspondants » décentralisés sur le
terrain dont la mission non permanente sera d’animer, de conseiller et de contrôler au quotidien la
mise en œuvre de la réglementation.
A l’autre extrême, dans les grands groupes et les multinationales, présentes sur un ou plusieurs
continents, et qui exercent leurs activités dans plusieurs métiers, une approche centralisée reste
possible mais devient très délicate. Une approche décentralisée ne doit pas omettre le devoir du
dirigeant voire de l’actionnaire. Comment alors concilier l’expression d’une volonté commune, unique
et la mise en œuvre adaptée, efficace, respectueuse des différences dans les entités et les métiers,
le tout en évitant les redondances, incohérences et dépenses superflues ?
8.2.7
Synthèse
Les « meilleures pratiques » sont avant tout des exigences « qualité » et si elles répondent à des
menaces, ne nécessitent pas fondamentalement de mesures de risque. Ne pas faire, n’est-ce pas
tout simplement être inconscient voire irresponsable ? Sécurité et qualité des infrastructures ne font
plus qu’un.
Avoir une approche stratégique du risque, élaborer des textes de politique sont importants mais non
suffisants. L’ensemble des acteurs doit connaître et appliquer des consignes adaptées à cette
réglementation. Ne pas informer et former ses collaborateurs et ses prestataires, voire ses clients
des droits et devoirs de chacun relève si ce n’est de l’incohérence, de l’erreur.
A l’heure de la sous-traitance des systèmes d’information, des réseaux et de leur sécurité,
l’entreprise doit s’adapter en termes de technologies, de processus, d’offreurs. Omettre les aspects
juridiques de la sécurité dans ses contrats fournisseurs est une faute parfois lourde de conséquence.
Avoir confiance dans ses technologies, ses hommes et ses fournisseurs, là se situe l’avenir de la
sécurité. Mais qu’est-ce qu’un offreur de confiance ? Peut-on acheter de la confiance ?
Ce concept essentiel nous ramène finalement au principe fondateur de la sécurité, à la science du
secret qu’est la cryptologie, dans ses deux déclinaisons fondamentales :
Pour la confidentialité des informations qui s’adresse à la vie privée, à la guerre économique
Pour la signature électronique et les paiements sécurisés qui s’adresse au monde de l’ebusiness et de l’e-commerce
8.3
LES RESPONSABILITES ET LES ACTEURS DE L’ENTREPRISE
8.3.1
Une nette orientation en faveur du juridique et du réglementaire
Parmi les tendances 2004-2005 a relevé en matière de politique de sécurité la forte poussée des
contraintes juridiques et l’observation du comportement des utilisateurs arrivent en tête.
À l’échelle mondiale, 50 % des grandes entreprises sont dépourvues d’un poste de RSSI (KPMG,
2002). En matière de responsabilités pénales : Tendances fortes en 2002/2003, l’implication du Risk
Manager dans une responsabilité pénale. Comme le souligne le rapport du Cigref (2002) «par le
biais des mécanismes de délégation, la responsabilité pénale du directeur des systèmes
d’information, et du RSSI (ou Risk Manager), voire de l’administrateur réseau, messagerie…. est de
plus en plus évoquée (atteinte aux données, systèmes, personnes avec fichiers nominatifs, abus de
confiance….). A la question : Qui est responsable pénalement au sein des premières entreprises
françaises ?
15 nov 2004
163/189
les RSSI ont répondu (source Cigref) :
PDG ou DG dans 70 % des cas
DSI
dans 20 % des cas
RSSI
dans 10 % des cas
Un RSSI doit mesurer les risques dans toutes leurs dimensions. Il doit définir une politique
homogène dans sa méthodologie en s’aidant des normes qui doivent êtres approuvées par la
direction générale. La fonction RSSI est désormais reconnue et mature, encore lui manque-t-elle un
statut ou du moins un cadre professionnel construit et reconnu, voire certifié.
De différents textes du droit du travail émanent trois grands principes en matière d'accès des
salariés à internet à des fins personnelles :
Le PRINCIPE DE TRANSPARENCE (Art L121-8 du Code du Travail prévoit l'information
préalable des salariés sur tout dispositif et collecte de données les concernant
personnellement) ;
Le PRINCIPE DE DISCUSSION COLLECTIVE (Art L432-2 du Code du Travail prévoit la
consultation du Comité d'Entreprise lors de l'introduction de nouvelles technologies) ;
Le PRINCIPE DE PROPORTIONNALITE (Art L120-2 : «Nul ne peut apporter aux droits des
personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas (…)
proportionnées au but recherché»).
8.3.2
RSSI : maîtriser les risques d’une délégation de pouvoirs
En principe, l’employeur est toujours considéré comme responsable de ce qui arrive dans son
entreprise. Pourtant, en pratique, il ne peut être présent partout et dans les entreprises dont la
structure est complexe son absence physique rend bien souvent impossible un contrôle par lui seul
de toutes les règles dont notamment celles relatives à la sécurité informatique. Pour pallier cette
difficulté, et alors qu’aucun texte réglementaire ne prévoit ni n’organise la délégation de pouvoir, la
jurisprudence l’autorise à transférer ses pouvoirs et ainsi ses responsabilités à une personne dotée
de la compétence et des moyens suffisants pour les assumer, c’est le cas du DSI. La délégation de
pouvoirs exonère alors l’employeur. Elle a pour effet d’opérer un transfert de responsabilité pénale
du chef d’entreprise sur la tête du DSI, délégataire.
Toutefois, la jurisprudence reconnaît sa régularité à la condition que le DSI délégataire soit pourvu
de la compétence, du pouvoir, des moyens et de l’autorité nécessaire pour veiller efficacement à
l’observation des dispositions protectrices de la sécurité informatiques des salariés. Ces conditions
sont cumulatives, à défaut, seule la responsabilité du chef d’entreprise sera engagée. En ce qui
concerne la forme de la délégation, elle est généralement pour des raisons probatoires, écrite.
D’une manière générale, le DSI veillera à se réserver un temps adéquat pour accepter à la
délégation et il pourra légitimement la refuser s’il ne dispose pas des informations suivantes :
l’objectif de la délégation et ses liens avec le contexte organisationnel global de l’entreprise
la nature de la délégation, ses contraintes, sa durée
la raison du choix
les objectifs et résultats attendus
les avantages et rétributions proposés en contrepartie
la marge d’autonomie et les pouvoirs conférés
les moyens mis à disposition et les informations nécessaires
l’aide et la formation complémentaire éventuelle qu’il pourra recevoir
les obstacles plus ou moins prévisibles et les risques encourus
les informations en retour attendues
15 nov 2004
164/189
les modalités de contrôle et de bilan prévues
8.3.3
Quelle déontologie pour un cyber-comportement conforme avec les chartes
Internet ?
Selon une étude internationale réalisée par Blue Coat Systems, Inc., les employés ne respectent pas
les règles institutionnelles d'utilisation d'Internet en procédant à des téléchargements répréhensibles
aux yeux de la loi. Près de 40% des utilisateurs d'Internet interrogés à l'occasion de cette enquête
reconnaissent télécharger et partager des fichiers via les réseaux de leurs entreprises, alors que
45% se disent liés au respect de règles internes d'utilisation d'Internet.
Selon l'étude de Blue Coat, seulement 22% des personnes interrogées considèrent que le peer-topeer est un outil important dans le cadre de leur activité professionnelle. Pourtant 42% d'entre elles
admettent utiliser des moteurs de recherche peer-to-peer, tels que Kazaa et Morpheus. Lorsqu'on
leur demande leur sentiment vis-à-vis des poursuites éventuelles auxquelles peut être exposée leur
entreprise pour avoir téléchargé des fichiers soumis à des droits d'auteur, 60% des personnes
interrogées se déclarent indifférentes.
Les utilisateurs d'applications peer-to-peer se servent des réseaux de leurs employeurs pour
télécharger et partager des fichiers soumis à copyright. Afin de protéger l'entreprise contre toute
responsabilité légale et de préserver la bande passante réseau, Blue Coat recommande d'exercer
un contrôle accru sur l'activité peer-to-peer transitant par le réseau, d'établir une règle acceptable
d'utilisation d'Internet dans l'ensemble de l'organisation et de mettre celle-ci en oeuvre à l'aide d'une
appliance proxy.
15 nov 2004
165/189
9
LES CERTIFICATIONS
9.1
LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC,
CRITERES COMMUNS)
Les instances nationales officielles telles que la DCSSI en France, organisme inter ministériel
dépendant des services du Premier Ministre (Secrétariat Général de la Défense Nationale) apportent
la garantie qu’un outil de sécurité est lui-même sécurisé. Cette Direction Centrale pour la Sécurité
des Systèmes d’Information délivre des certificats qui attestent du sérieux des phases de
développement des produits, de leur aptitude à remplir les fonctions de sécurité dans des conditions
définies et du degré de confiance qu’on peut accorder au produit certifié. Des sociétés françaises,
les CESTI (Centre d'Evaluation de la Sécurité des Technologies de l'Information) expertes dans les
travaux de validation des produits et bien sûr indépendantes de tout constructeur, s’assurent en
amont de la conformité des produits de sécurité candidats aux certifications et aux exigences des
degrés de confiance que les cibles évaluées souhaitent atteindre. Elles portent ensuite le dossier de
certification auprès de la DCSSI qui signe et décerne le certificat de conformité.
Ainsi, les sociétés utilisatrices peuvent accorder à leurs solutions de sécurité un degré de confiance
précisément défini par un certificat dans une échelle qui comprend six niveaux pour la certification
ITSEC (Information Technology Security Evaluation Criteria) et sept niveaux pour la certification
Critères Communs (EAL1 à EAL7) . Les constructeurs peuvent alors prouver la qualité de leurs
produits de sécurité par un certificat officiel, après une validation effectuée par des centres
d’expertises français agréés par cet organisme. Cette certification apporte l’assurance que tout au
long de la phase de développement des produits, puis dans les tests de validation, les failles les plus
insidieuses donc les plus dangereuses que peut comporter tout logiciel n’entachent pas les produits
de sécurité certifiés à un niveau raisonnable sur une cible de sécurité suffisamment large.
La sécurité des systèmes d’informations obtenue par des firewalls, VPN, sondes de détection
d’intrusion, systèmes d’authentification forte ne sera pas compromise par des portes dérobées
éventuelles cachées dans ces logiciels car elles auraient été décelées et bien entendu supprimées
au cours de la conception et de l’évaluation de ces produits.
15 nov 2004
166/189
9.2
L'ISO17799
Auteur : Anne Coat-Rames (AQL et AFNOR) [email protected]
9.2.1
Historique
La norme ISO 17799 est issue, depuis sa proposition en 2000, au comité SC27 de l'ISO,
de la norme anglaise BS7799-1 créée en 1995, révisée en 1999, et qui thésaurise depuis 1985 des
"mesures de sécurité".
Cette norme constitue un guide de bonnes pratiques pour la gestion de la sécurité de l'information,
et ce n'est pas une norme d'exigences.
(La nuance est perceptible, dans le texte, par l'emploi du terme "should" (devrait, il faudrait),
au lieu du terme "shall", qui indique une obligation de mise en œuvre.)
Elle ne fait donc pas l’objet d’une certification proprement dite, mais certains organismes auditeurs
délivrent des attestations.
La seconde partie de la norme anglaise d'origine (la BS7799-2) traite des Systèmes de Management
de la Sécurité de l'Information (SMSI ou ISMS), et fait l'objet, en Grande Bretagne et dans certains
pays européens et asiatiques, de schémas de certification, qui permettent aux entreprises de faire
reconnaître leur maîtrise de la sécurité de l'information pour des objectifs et des périmètres définis,
en se référant à cette norme.
9.2.2
La structure de l'ISO 17799:2000
Comme guide de bonnes pratiques, l'ISO 17799 propose plus d'une centaine de recommandations,
organisées dans la version actuelle en 10 chapitres présentés dans le schéma ci-dessous.
15 nov 2004
167/189
Ces recommandations sont majoritairement d'ordre organisationnel, et incluent
recommandations techniques très générales, indépendantes de choix technologiques précis.
des
La démarche liée à la norme ISO 17799 considère que :
POURQUOI : la sécurité de l'information n'a de sens que par rapport aux objectifs métier et aux
contraintes de l'organisation (notamment légales), et c'est l'objet de la définition de la politique
de sécurité que d'expliquer pourquoi l'organisation veut mettre en place une démarche de
sécurité, (un peu l'équivalent de la déclaration d'engagement de la Direction dans un système
qualité)
QUI : la sécurité de l'information est portée par des personnes, internes et externes à
l'organisation, et les responsabilités de chacun face à la démarche doivent être définies et
diffusées,
QUOI : La sécurité de l'information n'a de sens que si elle sait ce qu'elle doit protéger, donc il
est nécessaire d'identifier les biens (informations, opérations, personnes, locaux, …) réellement
indispensables au fonctionnement de l'organisation,
COMMENT : La sécurité de l'information est indissociable de la sécurité de l'environnement de
l'information, ce qui justifie que l'on s'interroge sur :
•
(QUI) : Les risques que font courir à l'information les personnes qui y accèdent (et non sur
la sécurité de ces personnes)
•
(OU) : La sécurité des locaux dans lesquels se trouvent les informations et les personnes
qui y accèdent (règles anti-incendie, etc.)
•
Les mesures prises dans les opérations d'exploitation des informations et dans les
échanges d'informations, quelqu'en soit le format, pour continuer à garantir,
dynamiquement, la sécurité des informations,
15 nov 2004
168/189
•
•
Les mesures prises pendant le développement des applications qui manipulent les
informations, pour garantir leur sécurité pendant le développement, et pendant
l'exploitation, y compris pendant les opérations de maintenance,
Les mesures prises pour gérer les incidents de sécurité, et permettre à l'organisation de
poursuivre son activité jusqu'au retour à des conditions nominales,
La pierre angulaire de ces mesures est le contrôle d'accès, physique et logique, aux
informations, aux locaux, et aux matériels support de l'information,
L'ensemble des mesures prises doivent être conformes aux réglementations en cours (droit de
la propriété intellectuelle, droit des personnes, …), et doit viser le respect de ces
réglementations, aussi des audits, internes ou externes, de la mise en œuvre de la politique de
sécurité, sont-ils recommandés, pour vérifier que cette dernière est appliquée, mais surtout
qu'elle est toujours en accord avec les objectifs métier de l'organisation.
C'est pourquoi la norme ISO 17799 propose des recommandations pratiques sur des mesures de
sécurité à mettre en œuvre au quotidien dans l'organisation.
9.2.3
Comment l'utiliser ?
La norme ISO17799 permet à une Direction Générale de sensibiliser ses collaborateurs, dont la DSI
(et réciproquement).
Elle fournit une structure simple pour mettre en place une démarche d'amélioration de la sécurité de
l'information, de manière autonome, ou aisément insérable dans une démarche qualité existante.
Elle facilite la communication de l’organisation en interne et en externe (clients, fournisseurs,
partenaires, assureurs, etc.), en fournissant un référentiel international reconnu.
Elle propose des mesures, mais n'exige pas d'être mise en œuvre de manière exhaustive, mais
seulement sur les risques identifiés par l'organisation sur le périmètre qu'elle décide de considérer
(exemple, le plan de continuité d'un centre d'exploitation de télécommunication).
9.3
L'ISO 21827 : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE
Auteur : Anne Coat-Rames (AQL et AFNOR) [email protected]
9.3.1
Historique
L'ISO 21827 est issue du passage en Fast Track en octobre 2002 auprès de l'ISO/ JTC1/ SC27 du
modèle Systems Security Engineering- Capability Maturity Model (SSE-CMM(®)) du Software
Engineering Institute (université de Carnegie Mellon http://www.sei.cmu.edu/sei-home.html ).
Le modèle SEI devient alors la norme ISO 21827:2002 Technologies de l'information-Ingénierie
de sécurité système-Modèle de capacité de maturité (SSE-CMM(®)). Il est actuellement
disponible en anglais, gratuitement sur le site de l'ISSEA (international Systems Security
Engineering Association), ou sur le site de l'ISO.
Ce référentiel a été développé à partir de 1995, à l'initiative de la NSA et de la DoD, sur les bases
génériques de CMM(®) par un groupe de projet composé d'industriels, d'universitaires, et d'entités
gouvernementales.
Son objectif était de :
Démontrer les relations entre l'ingénierie de système et l'ingénierie de la sécurité,
Identifier les propriétés et les activités d'ingénierie de la sécurité,
La structure du modèle devait permettre d'auditer les pratiques d'ingénierie de la sécurité d'une
organisation, au sein d'un audit System Engineering CMM(®), en complément d'un audit System
Engineering CMM(®), ou de manière indépendante.
Sa structure est donc similaire à celle du System Engineering CMM(®), donc à la structure continuus
du CMMi(®), avec :
15 nov 2004
169/189
une échelle de niveaux de maturité de 1 à 5,
et une dimension d'aptitude semblable à celle du CMMi(r), ou de l'ISO 15504.
Attention, le SSE-CMM ne propose pas la version "staged" du modèle CMMi(®), comparable à celle
du Software - CMM de 1993. Une organisation ne peut donc pas se déclarer SSE-CMM Niveau X,
mais seulement Niveau X pour les processus d'analyse de risque, d'assurance sécurité, etc.
Le modèle est destiné aux fournisseurs de services, composants, et systèmes sécurisés, aux
départements de développement, d'exploitation, maintenance, et de désinstallation (désarmement).
La norme propose un modèle d'auto-évaluation de l'ingénierie de sécurité des systèmes, et non une
évaluation de la sécurité des systèmes (comme les Critères Communs), même si les deux aspects
sont liés, bien sûr.
9.3.2
La structure du SSE-CMM(®) - ISO 21827:2002
Le SSE-CMM(®) est structuré en trois macro-catégories de processus :
Une catégorie de processus du niveau de l'organisation, similaire à celles déjà identifiées dans
le SE-CMM (définition des processus de l'organisation)
Une catégorie de processus du niveau du management de projet et de l'assurance qualité (Plan
Technical Effort, Monitor and Control Technical Effort, Manage Project Risk, Manage
configuration , ensure quality),
Ce sont ces deux premières catégories de processus, issues du modèle SE-CMM, qui rendent
le SSE-CMM compatible (compliant) avec les autres CMM et avec le modèle SPICE.
Il est donc possible d'intégrer des processus du SSE-CMM dans des évaluations SPICE.
Une catégorie de processus d'ingénierie de sécurité, qui permettent de prendre en compte le
niveau de sécurité correspondant au besoin, aussi bien au niveau du projet qu'un niveau de
l'organisation.
Ces trois catégories rassemblent :
22 Processus, comprenant eux-mêmes 129 Pratiques de Base (Basic Practices ou BP),
un ensemble de Pratiques Génériques (GP), qui s'appliquent chacune à l'ensemble des
processus et permettent, selon leur degré de réalisation dans chaque processus, d'évaluer la
maturité de ces processus (cinq niveaux).
Chaque processus peut donc être évalué indépendamment, même s'il existe une forte corrélation
entre les mises en œuvre des processus d'une même catégorie.
Ces processus couvrent :
les différentes phases du cycle de vie (conception, développement, exploitation...),
les différentes fonctions d'une entreprise (gestionnaires, structure d'organisation, ingénierie...),
les interfaces internes (logiciels, matériels, élément humain, exploitation...)
et les interfaces externes (autres entreprises, fournisseurs, certification, ...).
Nous nous intéressons ici plus spécialement à la catégorie de processus d'ingénierie de sécurité, qui
peut-être subdivisée en 3 axes, comme l'indique le schéma ci-dessous :
15 nov 2004
170/189
les processus focalisés sur l'évaluation et le management du risque, identification des menaces
et vulnérabilités puis analyse de leur impact sur l'organisation, qui permettent d'identifier les
risques suffisamment importants pour devoir être pris en compte par l'organisation,
les processus de spécification des besoins de sécurité, des mesures de sécurité, et de mise en
œuvre de ces dispositions, dans un objectif de réduction et de contrôle des risques identifiés et
retenus précédemment. Ces processus sont mis en œuvre conjointement aux processus de
construction des produits et systèmes,
les processus d'assurance sécurité, qui vérifient la mise en œuvre des dispositions, et mesurent
leur efficacité dans l'atteinte du niveau de sécurité souhaité.
Ce référentiel, même sous sa forme d'ISO 21827, ne permet pas de certification, mais permet de
compléter des (auto) évaluations, en fournissant un cadre d'évaluation des pratiques de
l'organisation en matière de sécurité.
Son principal intérêt est d'engager l'organisation dans une démarche d'amélioration continue de sa
sécurité, compatible avec d'autres démarches d'amélioration continue, et d'autres systèmes de
management (ISO 9001, CMMi(®), ISO 15504, par exemple).
Les utilisateurs, surtout américains, œuvrent dans des domaines pointus, comme la fabrication de
micro-processeurs, ou de systèmes technologiques avancés, ou pour la sécurité nationale. De par
sa nature (culture sécurité), le nombre précis d'utilisateurs réguliers de ce référentiel n'est pas
connu.
15 nov 2004
171/189
10
LES ENJEUX ECONOMIQUES DE LA SECURITE
10.1
2004-2005 : DES ATTAQUES QUI EVOLUENT DE L’EXPLOIT
TECHNOLOGIQUE A L’APPAT DU GAIN
"E-Crime Watch 2004" l’une des plus récentes études a été publiée en mai 2004 sur les évolutions
de la cyber-criminalité auprès des entreprises nord-américaines. Elle souligne un fait majeur en
matière de cyber-risques en 2004 : l’accroissement significatif des "e-crimes" et des intrusions à des
fins financières.
Environ un tiers des entreprises « cyber-attaquées » ne mesurent pas les pertes liées aux e-crimes
ou aux intrusions, et parmi les deux tiers restant, seule 50% disposent d’estimations sur le montant
global des pertes engendrées. 43% des personnes interrogées signalent une augmentation par
rapport à 2002 et 70% reconnaissent au moins un problème sérieux. Au total, les dommages sont
estimés à 666 millions de dollars. Selon les sondés, les pertes se répartissent à 56% en pertes
opérationnelles, 25% financières et 12% indiquent d'autres types de pertes.
Menée auprès de responsables sécurité et juridiques de grandes entreprises nord-américaines en
collaborations avec les services secrets américains et le Carnegie Mellon University Software
Engineering Institute’s CERT®, l’enquête couvre les activités « cyber-risques » de l'année 2003 avec
des estimations sur 2004.
Le nombre moyen d'incidents constaté par entreprise s’élève à 136, bien que 30% ne déclarent
aucun problème et 25% en constatent moins de 10. Autre indicateur révélateur : 41% des interrogés
n'ont pas de plan de reprise pour répondre à ce type de crise. A l’origine des causes, 30% ne
connaissent pas l'origine des problèmes engendrés par la e-sécurité. Sur les 70% restants, la
ventilation entre attaques internes et externes donne une estimation de 71% pour les attaques
externes et 29% pour les menaces internes.
Cette étude reste incomplète : Elle n’évoque pas les motivations et le niveau technique (souvent
excellent) des attaquants. Rien non plus sur les cyber-bandes qui se livrent au cyber-racket organisé
après pillage et vol d’informations stratégiques suite à des intrusions sur les systèmes d’information.
Elle ne parle pas enfin des ripostes encore complexes face à ces nouvelles menaces ni du rôle des
« cyber-assureurs ». Une certitude : les menaces sont désormais motivées exclusivement par
l’appât du gain et plus uniquement par l’exploit technologique. Va t-on se mettre à regretter les
hackers des années 90 guidés en grande majorité par la seule reconnaissance de leurs exploits
techniques ?
10.2
SECURITE : QUELLES DEPENSES POUR QUELS USAGES ?
Selon IDC, le marché des services de réseaux gérés à l’échelle européenne s’élève à 13,6 milliards
de dollars et augmentera chaque année de 11 % jusqu’en 2005.
Datamonitor prévoit six milliards de dollars en 2007 pour les dépenses globales des entreprises
touchant à la mise en place de firewalls et de VPN (Virtual Private Network) soit le double des
investissements consentis en 2003. Quels seront les secteurs les plus consommateurs de VPN et de
firewalls ? Celui de la finance, pour commencer. Viennent ensuite les gouvernements et organes
d’Etats, qui cherchent déjà à développer l’accès des citoyens aux institutions et à l’administration, via
Internet. En 2007, leurs dépenses de sécurité pèseront un milliard, contre 471 millions de dollars en
2003. Enfin, les secteurs de la distribution et de l’industrie pharmaceutique devraient, pour sécuriser
leurs données propriétaires, dépenser respectivement environ 772 et 297 millions de dollars en
2007.
Ainsi, Datamonitor estime à 21,2 milliards de dollars en 2005 le marché mondial de la Sécurité
informatique
De son coté IDC estime le marché global de la sécurité des systèmes d’information à 17,2 milliards
de dollars en 2004 !
15 nov 2004
172/189
Pour le marché européen : de 524,6 millions de dollars en 2000, le marché européen de la sécurité
devrait atteindre 3,13 milliards de dollars en 2007 (source Frost&Sullivan)
Marché européen encore : les produits liés à la sécurité internet Cyber-risques représentent en 2002
1,754 milliard de dollars, les services 1,147 milliard et les produits et services PKI 478 millions de
dollars (source Infonetic Research)
Les revenus issus du marché des pare-feu et des réseaux privés virtuels (VPN) atteignent un total
de 668 millions de dollars au troisième trimestre 2003, selon une étude publiée récemment par
Infonetics Research qui prévoit un chiffre d'affaires de 874 millions de dollars lors de la même
période en 2004... puis de 1,2 milliards dollars en 2005.
Fin 2004, le marché français de la sécurité pourrait atteindre près de Un milliard et demi d’euros
(source IDC)
Côté services, en 2003, les grands comptes sont largement équipés et dotés de direction de la
sécurité. Ils boudent toujours l’externalisation jugée trop stratégique en sécurité car ils veulent garder
la maîtrise de leurs outils d’administration de la sécurité par exemple. De leur coté, les PME
européennes ne trouvent pas en 2003 dans les «Managed Services» externalisés une offre qui leur
convient. Elles étaient moins d’un tiers en 2002 à externaliser ou sous-traiter leur approche
sécuritaire (source Harte Hank/WatchGuard 2002). Reste que les offres se multiplient et la seconde
génération d’ASP apparaît avec des offres plus spécifiques (Patch Management par exemple).
Côté menaces et attaques, une étude du Gartner Group indique que d’ici 2005, 70 % des PME
gérant leurs propres systèmes de sécurité raccordés à Internet feront l’objet d’une attaque réussie
via Internet. Plus de 60 % d’entre elles ne réaliseront pas qu’elles ont été victimes d’une ou plusieurs
attaques. Doivent-elles trouver leur salut en adoptant les règles définies dans les politiques de
sécurité de leurs grands clients qui deviendraient des partenaires Cyber-risques en étendant leur
vison de la sécurité ? En 2004/ 2005 les PME/PMI continuent leur intégration de plus en plus aux
systèmes d’informations de leurs grands clients. C’est le concept de e-confiance et d’échanges
dématérialisés encouragés par des approches métier : avocats, huissiers, greffiers, notaires…
10.3
DU SENS DU ROI EN SECURITE DES SYSTEMES D’INFORMATION
Auteur : Juan Antonio Hernandez (Néo Sécurité) [email protected]
« Ce qui peut être compté ne compte pas forcément ;
et ce qui compte ne se compte pas nécessairement ».
Einstein
Qui n’a jamais été surpris de constater, à la lecture de la presse informatique professionnelle,
combien le sujet du retour sur investissement, le fameux ROI10, est omniprésent ? La presse
spécialisée dans le domaine de la sécurité n’y fait pas exception. Pas un numéro qui ne comporte
son analyse de ROI, qu’il s’agisse, par exemple, de justifier l’acquisition d’un outil de détection
d’intrusion, d’une application de gestion des mises à jour, ou le recours à un nouveau type de
service externalisé.
La question du ROI semble être celle face à laquelle aucun DSI11 ou RSSI12 ne peut se soustraire.
Prendre le réflexe de se la poser semble être le meilleur moyen de démontrer sa préoccupation
"business" dans le choix de nouvelles solutions.
Compte tenu du fait que la sécurité du système d’information ne contribue pas directement à la
réalisation du chiffre d’affaires de l’entreprise, on peut se demander si cet indicateur économique
emprunté à la finance, et dont les industries du XIXè siècle en généralisèrent l’usage, est légitime ici
? Est-il adapté aux besoins du manager qu’est devenu le RSSI ? Si tel est le cas, comment le
calculer ? Enfin, constitue-t-il un bon outil d’aide à la décision pour une gestion efficace des risques
auxquels l’entreprise est exposée ?
10 Return On Investment dans la terminologie anglo-saxonne
11 Directeur des systèmes d’information
12 Responsable de la sécurité des systèmes d’information
15 nov 2004
173/189
10.3.1 Qu’est-ce qu’un ROI ?
Le ROI est un indicateur financier d’aide à la décision en matière d’investissement. Une direction qui
se pose la question de l’opportunité du renouvellement de tout ou partie de son outil de production,
calcule l’avantage financier que lui procurera cet investissement en comparant d’une part les coûts
directs et indirects engendrés par le remplacement de l’outil en place et d’autre part les gains induits
par le nouvel équipement, que ce soit en termes de prix de revient, de productivité, d’amélioration de
la qualité ou d’allongement du cycle d’amortissement, etc. Forte de cette information – et dans
l’hypothèse où on ne tient compte que de la dimension financière – l’entreprise sera en mesure de
prendre une "bonne" décision d’investissement, puisque ce sera un processus rationnel qui l’y aura
conduit.
Outre le domaine de la production, le calcul de ROI peut s’avérer pertinent pour évaluer l’intérêt
d’une action marketing ou commerciale.
10.3.2 Système d’information, sécurité et ROI
Parmi les grandes mutations que l’entreprise a connues au cours du XXè siècle, l’informatisation a
non seulement profondément changé la façon dont on travaille mais a également donné lieu à une
modification de la répartition de ce qui constitue la valeur de l’entreprise. Il parait désormais
incontestable de considérer qu’une partie de la valeur "réelle" de l’entreprise réside dans son
système d’information (que serait aujourd’hui une banque sans son système d’information ?) même
si la valeur comptable en donne une représentation différente, en ne prenant en compte que les
actifs traditionnels.
C’est pourquoi pour une grande entreprise aujourd’hui, la question de sécuriser tout ou partie du
système d’information, telle procédure, ou les réseaux, ne se pose plus en ces termes. Face aux
différentes menaces mentionnées dans les précédents chapitres de ce livre, les enjeux sont
compris. Les vraies questions deviennent : Jusqu’où faut-il aller ? Combien faut-il dépenser ? Ou
encore : comment être sûr qu’on dépense convenablement, c’est-à-dire ni trop, ni trop peu; qu’on
dépense intelligemment; qu’on dépense pertinemment ?
Il existe des cas où le calcul de ROI se présente de manière relativement simple. Imaginons par
exemple le cas d’un RSSI qui souhaite justifier la mise en œuvre d’une plate-forme antivirale,
indépendamment de toute considération juridique ou pratique, par un calcul de ROI. En supposant
qu’il dispose des données lui permettant le calcul, il lui suffira de comparer le coût C1 résultant du
temps d’intervention moyen des équipes informatiques après chaque infection - auquel il ajoutera le
coût induit par le non-fonctionnement des PC infectés (pertes d’exploitation, perte de chiffre
d’affaires) – au coût C2 de la solution antivirale supposée parfaite13 (licences, matériels,
maintenance, ressources humaines nécessaires au déploiement et à l’exploitation). Le ROI sera tout
simplement égal à la différence C1-C2.
10.3.3 Calcul du ROI : un exercice difficile
La réalité montre que dans de nombreux autres domaines de la sécurité, le problème du calcul du
ROI ne se pose pas aussi simplement : comment calculer celui d’un programme de sensibilisation à
l’échelle d’une entreprise ? Ou celui relatif à la mise en œuvre d’une plate-forme de détection
d’intrusion ? Ou encore celui de la prise en compte de la sécurité au lancement d’un vaste projet
informatique ? Il ne s’agit pas de prétendre que le ROI n’est pas modélisable mais force est de
constater qu’il est difficile de construire un modèle fiable.
On peut trouver plusieurs raisons à cela. Tout d’abord, différents facteurs vont modifier les
paramètres du modèle selon le secteur économique dans lequel on se place et même selon
l’entreprise quand on est dans un secteur donné. C’est pourquoi les ROI présentés comme des
valeurs absolues dans les documentations commerciales apparaissent peu crédibles. Par ailleurs,
on manque souvent d’éléments et de recul pour être en mesure d’évaluer ces paramètres : les
expériences chiffrées et convenablement mesurées ne sont guère fréquentes. Considérons à ce titre
le cas de la sécurisation d’une application métier à développer : pendant les phases de conception
13 Un antivirus parfait serait un antivirus capable de détecter et d’isoler tout nouveau virus, garantissant donc
qu’on ne subirait aucune infection dans le futur… ce qui, à ma connaissance, n’existe pas encore !
15 nov 2004
174/189
et d’intégration, le RSSI connaîtra le montant des investissements liés à la sécurité. Puis, lorsque
l’application sera passée en phase d’exploitation, et tant qu’aucun incident ne se sera produit, il
n’obtiendra vraisemblablement plus d’information lui permettant de mesurer le bénéfice d’une
sécurisation de l’application dès sa conception.
Il est plus facile de mesurer un éventuel retour sur investissement à posteriori, comme dans
l’exemple précédemment cité du RSSI et de sa plate-forme antivirale, que de disposer d’un modèle
fiable pour modéliser le futur. C’est sans doute là que réside la principale difficulté : contrairement au
champ d’utilisation habituel du ROI – le remplacement d’une machine par une autre sur une chaîne
d’usine par exemple. – dans lequel le modèle de calcul est déterministe (on sait calculer le ROI de
façon sûre), on ne peut bâtir, lorsqu’il s’agit de sécurité, qu’un modèle probabiliste, dont les
paramètres dépendent eux-mêmes d’une modélisation des risques (modélisation en termes de
survenance, de fréquence et de conséquence). Or si l’on considère le risque comme la résultante
d’une fonction dépendant des actifs à protéger, de sa vulnérabilité et des menaces auxquelles elle
est exposée, on comprend alors que le risque et donc le ROI recherché varient d’une entreprise à
une autre.
10.3.4 Un indicateur souvent inadapté
Tenter de calculer un ROI en sécurité des systèmes d’information est donc bel et bien un exercice
séduisant pour tout manager de la sécurité puisqu’il permet, à travers une démarche qui se veut
aussi rationnelle que possible, de légitimer financièrement un choix. Mais on s’expose tout d’abord
au risque que l’indicateur sur lequel on fonde sa décision soit faux. Et quand bien même il serait
juste, peut-on ne considérer que la dimension financière ?
Dans le cas où il s’agit de choisir entre deux solutions, d’autres facteurs devront vraisemblablement
entrer en jeu : modalités de déploiement, qualité du produit ou du service, facilité d’utilisation,
accessibilité du support technique, intérêt et motivation des personnels qui en seront les utilisateurs,
etc.
Dans le cas où il s’agit de choisir entre faire et ne rien faire, sans doute faut-il se poser la question
des conséquences du 2nd choix ? Avant que la réglementation ne leur impose des mesures
préventives, les grandes entreprises du début du siècle, dont l’essentiel de la richesse était
concentré dans leurs usines et leurs entrepôts, se sont-elles posé la question de l’intérêt de
s’équiper en extincteurs en termes de ROI ?
Peut-être serait-il pertinent de présenter à une direction générale un nouvel indicateur, le
RONI (Return On Non Investment), lequel caractériserait les conséquences financières des risques
auxquels on s’expose faute d’investissements adéquats ?
Enfin, du point de vue de l’actionnaire, si le système d’information participe de la valeur de
l’entreprise, il serait fort utile de le valoriser. Cela permettrait de déterminer les moyens qu’il serait
raisonnablement légitime de consacrer à sa protection…
15 nov 2004
175/189
15 nov 2004
176/189
11
BIBLIOGRAPHIE ET REFERENCES
11.1
GENERAL
(Réf. 1) http://www.netcost-security.comhttp://www.mag-securs.com/
(Réf. 3) http://secuser.com
(Réf. 4) http://www.zataz.com/
(Réf. 5) http://securiteinfo.com/
(Réf. 6) http://www.clusif.asso.fr/
(Réf. 7) http://www.securitystats.com
11.2
ATTAQUES ET MENACES
(Réf. 8) http://www.hoaxbuster.com/
(Réf. 9) http://www.nwfusion.com/techinsider/2004/0517techinsidermain.html?page=2
(Réf. 10) http://www.imperva.com/application%5Fdefense%5Fcenter/glossary/
(Réf. 11) http://www.trendmicro.com/en/security/general/glossary/overview.htm
(Réf. 12) http://www.incidents.org/
(Réf. 13) http://www.spywareguide.com/
11.3
VOIP
(Réf. 14) http://www.forumvoip.com/
(Réf. 15) http://www.sipforum.org/
(Réf. 16) http://www.voipwatch.com/
(Réf. 17) http://www.vonmag.com/
(Réf. 18) http://www.sipcenter.com/
(Réf. 19) http://www.voip-info.org/
(Réf. 20) http://www.iptel.org/
(Réf. 21) http://www.voip-news.com/
(Réf. 22) http://www.voip.org.uk/
(Réf. 23) http://vomit.xtdnet.nl/
11.4
CENTRE D’APPELS
(Réf. 24) www.phonethik.com
(Réf. 25) www.planeteclient.com
(Réf. 26) articles de la revue "Centres d'appels":
•
•
•
•
•
N°16, 01.05.2000 "Protéger le coeur du centre d'appels : l'autocommutateur"
N°16, 01.05.2000 "Comment sécuriser son centre d'appels"
N°26, 01.06.2001 "Sécurisation une necessité au quotidien"
N°52 - 01.09.2004 "Communication de crise : Les centres d’appels en première ligne"
N°53, 01.10.2004 "La sécurité : un paramètre à ne plus négliger"
15 nov 2004
177/189
11.5
WI-FI
(Réf. 27) ART
http://www.art-telecom.fr/
(Réf. 28) WECA
http://www.weca.net/OpenSection/index.asp
(Réf. 29) WLANA : http://www.wlana.org/index.html
(Réf. 30) IEEE 802.11 : http://grouper.ieee.org/groups/802/11/
(Réf. 31) Wi-Fi Planet :
http://www.wi-fiplanet.com/
(Réf. 32) Wi-Fi Networking News : http://wifinetnews.com/
(Réf. 33) Paul Mühlethaler : 802.11 et les réseaux sans fil (Eyrolles)
(Réf. 34) HiperLAN/2 :
http://www.etsi.org/
(Réf. 35) Bluetooth :
http://bluetooth.com
(Réf. 36) UnStrung :
http://www.unstrung.com/
(Réf. 37) Rappels de théorie radio http://www.swisswireless.org/wlan_calc_fr.html
(Réf. 38) Microsoft Technology Center :
http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx
(Réf. 39) O'Reilly - comparaison technique de TTLS et PEAP
http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html
(Réf. 40) IEC - Tutoriel EAP pour 802.1X :
http://www.iec.org/online/tutorials/acrobat/eap_methods.pdf
11.6
GESTION DES CORRECTIFS
(Réf. 41) NIST (National Institute of Standards and Technology) : Special Publication 800-40 –
"Procedures for Handling Security Patches - Recommendations of the National Institute of
Standards and Technology"
URL : http://csrc.nist.gov/publications/nistpubs/800-40/sp800-40.pdf
(Réf. 42) GAO (United States General Accounting Office) : GAO-03-1138T - "Effective Patch
Management is Critical to Mitigating Software Vulnerabilities"
URL : http://www.gao.gov/new.items/d031138t.pdf
(Réf. 43) SANS (SysAdmin, Audit, Network, Security Institute) : "Security Essentials: Patch
Management as a Necessary Part of Defense In Depth, A Case Study" par Kay A.
Cornwell
11.7
INGENIERIE SOCIALE
(Réf. 44) Avis du CERT – « Social Engineering » http://www.cert.org/advisories/CA-1991-04.html
(Réf. 45) Bernz – “The complete social engineering FAQ”
http://www.morehouse.org/hin/blckcrwl/hack/soceng.txt
(Réf. 46) Harl – “People hacking”. The Psychology of Social Engineering
(Réf. 47) Tims – “Social Engineering : Policies and Education a Must”
http://www.sans.org/infosecFAQ/social/policies.htm
(Réf. 48) Gartner – http://www3.gartner.com/gc/webletter/security/issue1
11.8
JURIDIQUE
(Réf. 49) http://www.clic-droit.com/
(Réf. 50) http://www.iteanu.com/
15 nov 2004
178/189
(Réf. 51) http://www.juriscom.net/
(Réf. 52) http://www.murielle-cahen.com
(Réf. 53) http://www.cnil.fr/
(Réf. 54) http://legifrance.gouv.fr
(Réf. 55) http://www.legalbiznext.com/
(Réf. 56) Livre “Tous Cyber Criminels“ de Olivier Itéanu (Laffont éditeur)
11.9
LOISIRS
11.9.1 Livres
(Réf. 57) L’ours et le dragon de Tom Clancy
Comment un logiciel espion s’avère déterminant pour gagner la guerre entre les USA et la Russie
d’un côté et la Chine de l’autre.
(Réf. 58) Mademoiselle Chat de Frank et Vautrin (Fayard)
Les services secrets alliés essaient de voler la machine à chiffrer allemande ENIGMA
(Réf. 59) Piège sur le réseau de Philipp Finch (titre original : f2f) Presses de la Cité
Un serial killer recrute ses victimes sur le Net. Intrusions, capture d'information, cheval de troie, vers,
phreaking, vol de n° de cartes de crédit (codeZ)... l'attaque informatique dans toute sa splendeur.
(Réf. 60) Histoire des codes secrets de Simon Singh
De l'Égypte des pharaons à l'ordinateur quantique
(Réf. 61) Da Vinci Code de Dan Brown
Un méchant albinos, une jolie cryptographe et quelques espions du Vatican pour déchiffrer un code
secret et découvrir l'un des plus grands mystères de notre temps.
(Réf. 62) Operation Fiat Lux de Thomas O'Neil et Jean de Kerily
Un grand groupe français victime d'un crack boursier découvre une manipulation orchestrée par un
fond d'investissement proche de la NSA.
(Réf. 63) Softwar de Thierry Breton et Denis Beneich Robert Laffont 1984
Avant le virus, était le bug... et le grand méchant bug devient un acteur actif la guerre froide, ou
plutôt de la "soft war".
11.9.2 Films
(Réf. 64) U571 – (Universal studios)
Comment l’équipage d’un sous-marin américain s’empare de la machine ENIGMA en abordant un
sous-marin allemand en perdition.
(Réf. 65) Le rideau déchiré (Alfred Hitchcock)
Les secrets étaient cachés dans une note de musique. Bel exemple de stéganographie.
(Réf. 66) Contact (Robert Zemeckis)
Encore un bel exemple de stéganographie : un vieux film d'actualité livre ses secrets
(Réf. 67) Wargames (John Badham)
David commence par infiltrer le réseau informatique de son lycée et finit par celui du Pentagone. A
quoi tient le déclenchement de la 3° guerre mondiale !
(Réf. 68) Matrix (Andy Wachowski)
15 nov 2004
179/189
Inutile de présenter....
(Réf. 69) Johnny Mnemonic (Robert Longo)
Au XXIème siècle, l'information est devenue le centre de toutes les convoitises. et les
multinationales emploient des coursiers du futur pour sécuriser le transport de ces informations.a
mémoire de ces coursiers est en péril, face aux agressions.
15 nov 2004
180/189
12
GLOSSAIRE
12.1
ACRONYMES
AP
ART
BAS
BLR
BPSK
CCK
DSI
DSSS
EAP
EAP-TLS
EAP-TTLS
ESS
ETSI
FHSS
IBSS
IDS
IEEE
IETF
L2TP
LAN
LEAP
MD5
MEGACO
MGCP
NAS
OFDM
PAN
PBX
PCA
PCI
PCO
PEAP
PIRE
PPTP
PSK
QAM
QPSK
RAS
RFC
RLAN
ROI
RSSI
15 nov 2004
Access Point
Autorité de régulation des Télécommunications.
Broadband Access Server
Boucle Locale Radio
Binary Phase Shift Keying
Complementary Code Keying
Directeur des systèmes d’information
Direct Sequence Spread Spectrum
Extensible Authentication Protocol
EAP with Transport Layer Security
EAP with Tunnelled Transport Layer Security
Extended Service Set
European Telecommunications Standard Institute
Frequency Hopping Spread Spectrum
Independent BSS
Intrusion Detection System
Institute of Electrical & Electronic Engineers
Internet Engineering Task Force
Layer 2 Tunneling Protocol
Local Area Network
Lightweight EAP
Message Digest 5
Media Gateway Controller
Media Gateway Control Protocol
Network Access Server
Orthogonal Frequency Division Multiplexing
Personnal Area Network
Private Branch Exchange
Plan de Continuité d’Activité
Plan de Continuité Informatique
Plan de Continuité des Opérations
Protected EAP
Puissance Isotrope Rayonnée Equivalente
Point-to-Point Tunneling Protocol
Pre-Shared Key
Quadrature Amplitude Modulation
Quadrature Phase Shift Keying
Remote Access Server
Request For Comments
Radio LAN
Return on Investment
Responsable de la Sécurité des Systèmes d’Information
181/189
RTCP
RTP
SCTP
SDP
SGDN
SIP
SSID
SSRC
STA
TCP/IP
TEE
TFA
TFR
TLS
TTLS
VLAN
VoIP
VPN
WAN
WECA
WISP
WLAN
WLL
WMAN
VoWLAN
WPA
WPAN
12.2
Realtime Control Protocol
RealtimeTransport Protocol
Stream Control Transmission Protocol
Session Description Protocol
Secrétariat général de la Défense nationale (SGDN)
Session Initiation Protocol
Service Set Identification
Synchronization source identifier (RTP header)
Station
Transmission Control Protocol/Internet Protocol
Taux d’erreur d’enregistrement
Taux de fausse acceptation
Taux de faux rejet
Transport Layer Security
Tunneled TLS
Virtual LAN
Voice over Internet Protocol
Virtual Private Network
Wide Area Network. Utilisé parfois à la place de WLAN
Wireless Ethernet Compatibility Alliance
Wireless ISP
Wireless LAN
Wireless Local Loop
Wireless MAN
Voice over WLAN
Wi-Fi Protected Access
Wireless PAN
DÉFINITIONS
DES, 3DES
Data Encryption Standard : Chiffrement symétrique qui permet d’assurer le
chiffrement des données. Le DES a une longueur de clé utile de 56 bits, le triple
DES de 168 bits.
802.11a
Autre variante du protocole 802.11, également qualifié Wi-Fi, mais opérant dans
une autre bande de fréquences d’accès encore très limitée en France
802.11b, 802.11g Variantes du protocole 802.11 adoptées par les produits courants "WiFi" et qui
correspondent à des techniques de modulation différentes, dont la différence
tangible pour l'utilisateur se traduit par le débit maximum.
802.11i
Extension du protocole 802.11 pour la sécurité.
AAA
Authentication, Autorisation and Accounting : Un serveur AAA est un serveur
d’authentification forte qui délivre les autorisations d’accès et génère les
éléments comptables.
ACL
Access Control List : Liste d’adresses ou de ports fonctionnant comme un filtre
pour gérer les autorisations/interdictions d’accès.
AES
Advanced Encryption Standard : Méthode de chiffrement symétrique, d'origine
belge, utilisée par l’armée américaine, plus moderne que le DES, plus rapide,
dont les clés sont plus longues.
AH
Authentication Header, champ ajouté par l’IPSEC devant chaque paquet IP pour
permettre son authentification
15 nov 2004
182/189
Appliance
ASLEAP
BLR
Booter
BPSK
Broadcast
BSS
BSSID
Centrino
CERT
Certificat
Clé USB
CNIL
Codec
Commutateur
Concentrateur
Coupe-feu
CRC
DES – 3DES
15 nov 2004
Plate-forme matérielle sur laquelle sont préchargés les logiciels de sécurité
(Firewall et VPN, parfois aussi détecteur d’intrusion). Les appliances peuvent être
des PC standards modèle tour, ou des racks 1u et 2u, ou encore des boîtiers
spécifiques.
Attaque de type dictionnaire sur LEAP
Boucle Locale Radio
Lancer les services du système d’exploitation pour que les applications qui les
utilisent soient prêtes à fonctionner. Le boot (amorçage) se fait à l’allumage du
poste de travail et du serveur.
Binary Phase Shift Keying
Diffusion : Émission depuis un point vers toutes les stations susceptibles de
détecter le signal.
Basic Service Set : Ensemble formé par un point d'accès et les stations situées
dans sa zone de couverture radio électrique.
Basic Service Set IDentifier : identifiant d’un point d’accès, concrètement son
adresse MAC.
Une offre matérielle d’INTEL, composée d'un processeur (Pentium-M), d'un jeu
de composants associé (le 855) et d'un module Wi-Fi qui assure l'émission et la
réception des données (contrôleur RLAN Intel PRO/2100).
Computer Emergency Response Team. Réseau mondial de centres qui
réceptionne et diffuse les alertes de sécurité et les vulnérabilités des systèmes.
Voir sur www.cert.org.
Fichier contenant divers renseignements qui permettent d’authentifier un
utilisateur, avec en particulier son nom, sa société, l’autorité de confiance qui a
signé ce certificat, les dates de validité du certificat, la clé publique qui va
permettre de chiffrer / déchiffrer lors d’un chiffrement asymétrique et une partie
chiffrée qui permet d’en contrôler l’origine.
Ou token USB. Objet amovible contenant un chip dans lequel sont stockés les
certificats et les clés de chiffrement. La différence avec une carte à puce est que
la clé USB se positionne dans le port USB que tous les postes de travail
possèdent en standard et ne nécessite donc pas d’acquérir un lecteur
additionnel. Le contenu du chip de la clé USB ne peut être recopié, ce qui offre
une sécurité plus grande que le stockage de la clé privée sur un disque dur ou
sur une disquette.
La Commission Nationale de l’Informatique et des Libertés est une autorité
administrative indépendante à qui toute action de constitution de liste nominative
doit être communiquée. Voir www.cnil.fr
Le codec identifie le mode de numérisation et de compression du signal (la voix
dans notre cas) se distinguent par leurs caractéristiques : qualité du signal
sonore, bande passante et capacité de traitement CPU requise. Les codec les
plus courants sont des recommandations ITU : G.711 (64 kb/s a & µlaw) ;
G.723.1(5,3/6,3 kb/s 30 ms frame size) ; G.729 (8 kb/s 10 ms frame size) ; mais
aussi GSM (13+ kb/s) ; Speex (2,15 - 44,2 kb/s)
(Switch) : Équipement qui aiguille les paquets d’un segment vers un autre en se
basant sur un mécanisme d’adressage.
(Hub) : Équipement qui relie les différents segments physiques d’un réseau en
étoile. Le concentrateur laisse passer tous les flux sans contrôle.
Voir firewall.
Cyclic Redundancy Check : résultat d’un algorithme, destiné à vérifier l’intégrité
d’un message et éventuellement détecter des erreurs de transmission.
Data Encryption Standard. Algorithmes de chiffrement symétriques. Le DES
utilise une clé de 56 bits, le 3DES utilise trois clés en série de 56 bits, qui
donnent une clé virtuelle de chiffrement de 168 bits.
183/189
Dialer VPN
DMZ
DoS
DS
ESP
ESS
ESSID
Firewall
Garde barrière
H.323
Hacker
Hoax
Hot Spot
HTTP
IKE
Intranet
IPSec
LDAP
MIC
NAT
15 nov 2004
Appel Java qui ouvre un tunnel chiffrant depuis un poste client vers un RAS.
DeMilitarized Zone. Un ou plusieurs réseaux partant d’un firewall et qui ne sont ni
le réseau externe non protégé, ni le réseau interne très protégé. C’est une zone
intermédiaire avec une politique de sécurité particulière, dans laquelle on place
souvent le serveur Web institutionnel de l’entreprise, le serveur anti-virus et le
serveur de messagerie.
Deny of Service (déni de service) : Attaque qui consiste à rendre un réseau
inopérant par saturation ou destruction de ses ressources.
Distribution System : Réseau d’infrastructure qui permet de relier plusieurs BSS
pour constituer un ESS. Le système de distribution peut être un réseau filaire, un
câble entre deux points d'accès voire un réseau.
Encryption Standard Protocol, champs ajoutés devant et derrière chaque paquet
IP pour permettre l’authentification et le chiffrement / déchiffrement de ces
paquets.
Extended Service Set : Ensemble de BSS reliés entre eux par système de
distribution (voir DS)
Extended Service Set IDentifier : Identifiant servant de reconnaissance mutuelle
entre un réseau et ses terminaux, souvent abrégé en SSID.
Solution logicielle ou matérielle placée en coupure entre deux ou plusieurs
réseaux et qui contrôle tous les échanges entre ces réseaux pour ne laisser
passer que les échanges autorisés par la politique de sécurité de l’entreprise qu’il
protège.
Voir firewall.
Recommandation ITU (Study Group 16) pour la transmission temps-réel de vidéo
et de données sur un réseau à commutation de paquet, traditionnellement
appliquée à la visio-conférence sur IP, mais aussi à la phonie.
Pirate qui attaque votre réseau par méchanceté, bravade, divertissement ou
simplement parce que c’est son travail. On trouve de plus en plus de hackers non
spécialistes mais équipés de logiciels d’attaques qui peuvent être trouvés
gratuitement sur l’Internet, et dont ils n’ont pas à connaître finement le
comportement pour les utiliser.
Fausse alerte de virus ou de ver, souvent un canular qui ne repose sur aucune
menace réelle mais génère néanmoins la peur, cause des pertes de temps et
empoisonne la vie des utilisateurs. Voir en http://hoaxbusters.ciac.org/
Réseau radio ouvert au public pour offrir l'accès à l'Internet à des utilisateurs de
passage.
Hyper Text Transfert Protocol. Protocole applicatif définissant les échanges entre
un client Web (tel que l’Internet Explorer ou le Netscape Navigator) et un serveur
Web tel que l’IIE ou Apache.
Internet Key Exchange, méthodes de l’IPSec, basées sur le chiffrement
asymétrique, pour échanger la clé de chiffrement symétrique.
Réseau interne de l’entreprise dont les applications utilisent les protocoles
réseaux de l’Internet (protocoles IP).
Internet Protocol Security, suite de protocoles et méthodes qui ajoutent des
fonctionnalités d’authentification et de chiffrement à la version actuelle du
protocole IP, l’IPv4. La prochaine version des protocoles IP, l’IPv6, contient
d’origine toutes ces fonctionnalités de sécurité.
Le Lightweight Directory Access Protocol est un protocole IP qui définit comment
accéder à des services en ligne d'annuaire.
Message Integrity Code : algorithme utilisé par TKIP pour calculer un code
d’intégrité d’un paquet.
Network Address Translation, méthodes pour cacher les adresses IP d’un réseau
protégé, en les modifiant pour présenter des adresses différentes à l’extérieur. Il
184/189
NIC
NIC
Paquet IP
PIN
Pinhole
PKI
Port
Poste mobile
Poste nomade
Protocoles IP
Proxy
RADIUS
RLAN
RSA
RTC
SDR
SMTP
Sniffer
15 nov 2004
y a la NAT statique qui fait correspondre une adresse publique à chaque adresse
interne privée, et la NAT dynamique qui attribue une adresse prise dans un pool
limité d’adresses publiques à chaque adresse interne, jusqu’à épuisement des
adresses disponibles.
Network Information Centre : Autorité qui attribue des plages d’adresses Internet
et des noms de domaine aux utilisateurs.
Network Interface Card : Carte d’adaptation installées dans un ordinateur et qui
fournit un point de connexion vers un réseau.
Parcelle élémentaire d’information dans laquelle les données sont transportées
dans les réseaux IP. Un paquet IP se compose d’une partie en-tête, et d’une
partie donnée.
Personal Identification Number : Code secret à quatre chiffres (ou plus) qui
permet d’activer le dispositif d’authentification d’une clé USB ou d’une carte à
puce.
Le trou d'une aiguille correspond dans le cas du Firewall à la brèche très limitée
qui est créée de manière temporaire pour laisser passer une connexion de son
ouverture à sa clôture.
Public Key Infrastructure, infrastructure à clé publique qui se compose de
diverses autorités (de certification, d’enregistrement) et d’un système de
distribution de clés asymétriques.
D’un point de vue logiciel, numéro caractérisant une application (par exemple 80
est un numéro de port affecté au protocole web HTTP). Si la machine était
comparée à une gare, chaque port correspondrait à un quai, et chaque
programme à une destination. D’un point de vue matériel, un port caractérise un
connecteur physique par exemple une clé d’authentification s’adapte sur un port
USB.
Poste qui peut accéder à un service sans se raccorder par câble.
Poste qui peut accéder à un service depuis n’importe quel point câblé.
Série de protocoles définis par les RFC (Requests for Comments) et sur lesquels
les échanges Internet et par extension Intranet reposent.
Logiciel entre l’utilisateur et le serveur d’application, qui masque cette application
en se faisant passer pour le serveur
Remote Authentication Dial-In User Service : Protocole normalisé qui décrit la
communication entre un RAS et un serveur AAA nommé RADIUS.
Réseau local (LAN) dont tout ou partie de l'infrastructure repose sur une
technologie radio.
Du nom des inventeurs : Rivest, Shamir, Adelman. Le RSA est une méthode
d’authentification et de chiffrement à base de clés asymétriques basé sur des
clés de 1024 bits ou 2048 bits. Le RSA est souvent utilisé pour une
authentification mutuelle et un échange d’une clé de chiffrement symétrique.
Réseau Téléphonique Commuté : La connexion RTC permet de se connecter à
Internet à partir de n'importe quelle prise téléphonique en connectant un modem
entre l'ordinateur et la ligne. Les modems RTC offrent un débit maximum de 56
Kbps (ou Kb/s pour kilo bits par seconde).
Session Detail Records, correspond à la notion de tickets de consommation,
directement déduits des communications ayant eu lieu, et permettant donc la
facturation.
Simple Mail Transfert Protocol. Protocole applicatif sur lequel repose la
messagerie sur l’Internet.
Sonde logicielle destinée à analyser le trafic sur un réseau. Les hackers les
utilisent pour récupérer à la volée des informations sensibles (par exemple mots
de passe) à l'insu des administrateurs réseau.
185/189
Softswitch
Spoofing
SSID
TKIP
USB
VPN
War-chalking
War-driving
WEP
WiFi
WPA
WPA2
15 nov 2004
Textuellement, commutateur logiciel, correspond au serveur de l'architecture
VoIP qui regroupe les fonctions autrefois réalisées par l'autocommutateur
(PABX), telles que la messagerie vocale, les fonctions de renvois, mais aussi
l'ACD ou l'IVR.
Méthode de piratage qui consiste à usurper l'adresse IP d'un ordinateur du
système à attaquer, de manière à pouvoir l'accéder de manière transparente.
Service Set IDentifier : Drapeau servant de reconnaissance mutuelle entre un
réseau et ses terminaux
Temporal Key Integrity Protocol : Protocole de chiffrement utilisé par WPA
Clé USB : objet amovible contenant un chip (une puce) dans lequel sont stockés
les certificats et les clés de chiffrement. La clé USB se positionne dans le port
USB des postes de travail. Son contenu ne peut être recopié et la clé
asymétrique ne quitte jamais le token USB.
Virtual Private Network : Tunnel chiffrant entre deux réseaux protégés bâti sur un
réseau non-protégé et qui, après authentification mutuelle des deux bouts du
tunnel, chiffre les transactions qui doivent l’être et en assure l’authenticité, la
confidentialité et l’intégrité.
Ensemble de symboles tracés par les hackers pour indiquer la présence d’un
réseau WiFi.
Technique utilisée par les hackers, qui consiste à se déplacer avec un ordinateur
portable et un système de réception radio, afin de détecter la présence de
réseaux WiFi. Le système peut être complété par un GPS pour localisation
automatique.
Wireless Equivalent Privacy : mécanisme d’authentification et de chiffrement
standard du protocole 802.11
Label délivré par le WECA qui garantit l'interopérabilité des équipements radio
répondant au standard 802.11. Par extension de langage, désigne le standard
lui-même.
WiFi Protected Access : mécanisme d’authentification et de chiffrement préconisé
comme solution d’attente de 802.11i, en alternative au WEP
Nouveau nom du 802.11i
186/189
13
CONTRIBUTIONS A L’ECRITURE DE CE LIVRE
Classés par ordre alphabétique des noms des auteurs
Nom, prénom, mél
Jean-Philippe Bichard
[email protected]
Fonction, Société, Web
Contributions
Rédacteur en chef
NetCost&Security
www.netcost-security.fr
La cybercriminalité
Les principaux enjeux 2004 / 2005
Les attaques particulières
Les responsabilités et les acteurs de
l’entreprise
Chef de produits
Netasq
www.netasq.com
Directeur Technique
Olivier Caleff
Apogée groupe Devoteam
[email protected]
www.apogee-com.fr/
Député du Tarn
Bernard Carayon
Rapporteur du budget SGDN
[email protected]
www. assemblee-nationale.fr
Expert sécurité
Hervé Chappe
Alcatel
[email protected]
www.alcatel.fr
Consulting Manager CA
Patrick Chrisment
Technology Services
[email protected]
Computer Associates
www.ca.com/fr
Directeur Commercial
Dominique Ciupa
Intranode
[email protected]
www.intranode.com
Directeur Europe du Sud
Philippe Clost
Juniper / Netscreen
[email protected]
www. juniper.com
Consultante
Anne Coat-Rames
AQL et AFNOR
[email protected]
www.aql.fr
Technical Marketing WLAN
Max de Groot
Gemplus
[email protected]
www.gemplus.com
Alexis Ferrero
Consultant
[email protected]
OrbitIQ
Directeur délégué opérations
Franck Franchin
France Telecom
[email protected]
www.francetelecom.com
Chef de Département market.
Jean-Denis Garo
EADS
[email protected]
www.eads.com
Consultante
Michèle Germain
ComXper
[email protected]
comxper.free.fr
Président
Gabriel Gross
Dolphian
[email protected]
www.dolphian.com
Directeur Technique
Michel Habert
Netcelo
[email protected]
www.netcelo.com
Juan Antonio Hernandez
Président fondateur
[email protected]
Néosécurité
Matthieu Bonenfant
[email protected]
15 nov 2004
La prévention d’intrusions
La gestion des correctifs
L’ intelligence économique
Le chiffrement et la cryptographie
Les infrastructures à clé publique (PKI)
De la corrélation entre la sécurité
physique et la sécurité logicielle
Les vulnérabilités
Les scanners de vulnérabilités
VPN IPSec ou SSL: critères de
décision
Le chiffrement et la cryptographie
Les infrastructures à clé publique (PKI)
L'ISO17799 et l'ISO 21827
L’authentification forte
La sécurité des réseaux sans fil
La sécurisation de la Voix sur IP
L’ingénierie sociale
Le cyber racket
Sécurité et Mobilité
La sécurité du centre d’appels
La sécurité des réseaux sans fil
Les failles du « port 80 »
Les pourriels (SPAM)
Le filtrage de contenu Internet
Les VPN IPSec
La gestion centralisée de la sécurité
Sécurité et retour sur investissement
187/189
Sami Jourdain
[email protected]
Thierry Karsenti
[email protected]
www.neosecurite.com
Product Manager
Deny All
www.deny-all.com
Directeur Technique EMEA
CheckPoint
www.checkpoint.com
Alexandre Le Faucheur
[email protected]
Consultant
Gérard Peliks
[email protected]
Coordinateur de ce livre
EADS
www.eads.com
Frédéric Pierre
[email protected]
Philippe Robin
[email protected]
Pierre-Luc Refalo
[email protected]
Thierry Rouquet
[email protected]
Eleonore Sichel-Dulong
[email protected]
Gérald Souyri
[email protected]
Alain Thibaud
[email protected]
Expert sécurité
Avencis
www.avencis.net
Directeur R&D Securité
Thales
www.thalesgroup.com/security
Directeur Associé
Comprendre et Réussir
www.icys-formation.com
Président du Directoire
Arkoon Network Security
www.arkoon.net
Directeur associé
Exedis
www.exedis.fr
Responsable Marketing IT
Security Domain
Thales Security System
www.thales-security.com/
Directeur Technique Europe du
Sud F5 Networks
www.F5.com
Les faiblesses du Web et leurs
exploitations
Le firewall applicatif
La sécurité de bout en bout pour les
sessions VPN distantes
Les navigateurs
Les attaques sur le Web et les OS
Les logiciels espions
La stéganographie
Les anti (virus, spams, spywares)
Les menaces, les attaques
Les Firewalls Bastion et les VPN
Les pots de miels
Les aspects juridiques
ITSec et Critères Communs
Le Single Sign On
La biométrie
Politique et référentiels de sécurité
Les équipements de sécurité
multifonction
La continuité d’activité
La vidéosurveillance sur IP
Les VPN-SSL
Les illustrations sont l’œuvre de Laurent Germain ([email protected])
et sont expliquées sur son site Web : dessin.laurent.free.fr/DAccueiF.htm
15 nov 2004
188/189
Copyright © etna 2004 -
La reproduction et/ou la représentation de ce document sur tous supports est autorisée à la condition d'en
citer la source comme suit
© etna 2004 - http://www.etnafrance.org/ressources/securiteip/livre-securite.pdf
L'utilisation à but lucratif ou commercial , la traduction et l'adaptation de ce document sous quelque support
que ce soit est interdite sans la permission écrite de l’etna.
15 nov 2004
189/189

La sécurité à l`usage des décideurs - Mag

Transcription

Documents pareils

Routeur ProSafe Firewall sans fil 108 Mbp/s VPN 8

Routeur Firewall VPN SSL ProSafe SRX5308 La sécurité d`un

Série VM - Palo Alto Networks

Quête : 369 $ Merci pour votre générosité. Que - pac

Télécharger - École secondaire Académie catholique

ATTI AMCX

Télécharger

Les Codes Malicieux par François THILL