guill.net - La page des réseaux

1 - Introduction

2 - Protéger les données et le matériel en cas de défaillance

Protection physique des disques durs avec le système RAID
Sauvegarder les données
Prévenir les problèmes "naturels"
Garantie et dépannage du matériel
Assurer l'accès permanent aux données et aux applications

Accès aux postes informatiques
Accès au données
Les fichiers supprimés laissent des traces ...
Accès au temps machine des serveurs
Accès aux imprimantes
Authentification des utilisateurs

Paiements sécurisés via Internet
Accès aux données à distance
Eviter la diffusion des données en divisant le réseau
Protéger les données sensibles

Attaques possibles
Déterminer et sécuriser les ressources accessibles depuis l'extérieur
Le choix des protocoles à utiliser
Détection d'intrusion
Utilisation d'un firewall
Un exemple d'outils de gestion de la sécurité sur un réseau IP: IP-Watcher, d'En Garde Systems
Protection vis à vis des virus
Tester les solutions mises en place

Veille technologique
Suivi des audits
Un responsable de la sécurité

8 - Bibliographie

1 - Introduction

• La confidentialité : l'information échangée entre deux correspondants ne peut pas être consultée par un tiers.
• L'authentification : les personnes utilisant une ressource correspondent aux noms d'utilisateurs.
• La disponibilité ou non-répudiation : les données ainsi que les ressources du système d'information sont accessibles par ceux qui en ont besoin à chaque fois qu'ils en ont l'utilité.
• L'intégrité : l'information n'est modifiée que par les personnes en ayant le droit, et de façon volontaire.
• Le contrôle d'accès : une ressource n'est accessible que par les personnes autorisées.

Par le passé, pour assurer une protection optimale du réseau d'une entreprise, il un avait une séparation complète entre celui-ci et l'extérieur. Aujourd'hui, une entreprise ne peut plus s'isoler si elle veut profiter du déploiement de l'internet, du commerce électronique, ou des services associés aux réseaux étendus. Par contre, ces portes d'entrées sur le réseau sont autant de risques d'attaque par un pirate ou de risques de mauvaises manipulations.

En France, on constate un certain retard en ce qui concerne la sécurisation des réseaux informatiques. Une entreprise sur 100 serait protégée contre les virus. Le comportement général est de ne pas s'inquiéter tant qu'aucun problème, aucune attaque n'a été détectée. Si une entreprise constate une attaque sur son matériel, elle ne sait pas non plus à qui s'adresser, il n'y a pas d'organisme dédié à cette tâche. Faut-il contacter la DST, la gendarmerie la plus proche, ... ?

Les dangers du manque de sécurité

De nombreux autres risques guettent un système d'information non sécurisé, du simple dysfonctionnement à l'arrêt total de l'entreprise.

Sécuriser le système d'information d'une entreprise a un coût. Mais deux entreprises de même taille ne réaliseront pas le même investissement dans ce secteur. Une façon de savoir qu'elle budget une entreprise doit investir est d'estimer les pertes subies en cas d'immobilisation de son système d'information. Si le fonctionnement n'est presque pas altérer, il n'est pas nécessaire de fournir de gros efforts. Par contre, si l'entreprise est immobilisée, et si les pertes financières sont importantes, c'est que le système d'information est capital, et qu'il doit être protégé avec soin.

2 - Protéger les données et le matériel en cas de défaillance

En règle générale, les données à protéger sont :

• Les informations sur les recherches effectuées par l'entreprise.
• Les informations sur les produits de l'entreprise.
• La liste des clients.
• Les données sur les employés.
• La situation financière et légale de l'entreprise.
• Et tout autre donnée ayant de la valeur ou difficile, voir impossible à recréer en cas de perte.

Protection physique des disques durs avec le système RAID

La technologie RAID (Redundant Array of Independant Disks) est une façon d'utiliser plusieurs disques durs ensemble pour constituer un système de stockage de donnée pouvant résister à la panne d'un seul de ces composants.

Le système RAID offre une double utilité : accélérer les accès disques et éviter les pertes de données. Il permet au système d'être résistant aux défaillances, c'est à dire que la panne d'un disque dur ne doit ni entraîner la perte d'information, ni empêcher l'accès à celles ci.

Deux possibilités existent pour la mise en place d'un tel système : une solution matérielle ou une solution logicielle :

• Solution matérielle : l'application de RAID est confiée au contrôleur de disques, comme une carte dans l'ordinateur ou dans un boîtier séparé. L'avantage est que le système n'est pas sollicité. Les transferts de donnée sont aussi plus rapides, car le contrôleur RAID n'a qu'une tâche à effectuer, alors que le système peut être sollicité pour d'autres services au même moment.

 
• Solution logicielle : c'est le système d'exploitation qui gère le système de RAID. On évite ainsi le passage de toutes les données par le point d'engorgement que peut constituer le contrôleur RAID. Ce procédé est aussi plus économique, car il n'y a pas besoin d'acheter du matériel spécial. En contrepartie, l'application utilise une partie des ressources du système.

RAID 0

Les données sont divisées en petits blocs et écrite de façon entrelacée sur plusieurs disques durs en même temps.

• Accès plus rapide aux données (accès simultané sur n disques), sauf dans le cas de petits fichiers.
• la panne d'un seul disque entraîne la perte de toutes les données.

RAID 1 ou mirroring

Toutes les écritures sont faites simultanément à l'identique sur deux disques. Il y a donc toujours une image du disque à protéger ou miroir.
 

• En cas de défaillance d'un disque, les données restent accessibles immédiatement et sans perte. Il est possible d'accélérer la lecture des données en répartissant les accès sur les deux disques.
• Coût élevé, car la moitié de l'espace disque est réservé pour la sauvegarde. Il faut doubler le nombre de disques durs. Les écritures sont aussi plus lentes, car elles sont toujours réalisées en double.

RAID 0+1

Cette technique combine le RAID 0 et le RAID 1 en mettant en miroir des données écrites de façon entrelacée sur plusieurs disques.
 

• Sécurité et haute disponibilité des données du RAID 1 et rapidité d'accès aux données du RAID 0
• Coût élevé, car la moitié de l'espace disque est réservé pour la sauvegarde. Il faut doubler le nombre de disques durs

RAID 4

Il utilise le principe de parité avec des données écrites de façon entrelacée comme en RAID 0. Pour un ensemble de x disques, on ajoute un seul disque. Son nème bit sera le bit de parité formé à partir de chacun des nème bits de l'ensemble des x autres disques. Si un disque tombe en panne, il peut être reconstitué à partir des x-1 autres disques et du disque de parité. Si le disque de parité tombe en panne, il peut aussi être reconstitué. Pour chaque écriture, le disque de parité est donc remis à jour.
 

• Haute sécurité des données, coût réduit (1 disque en plus quel que soit le nombre de disque à protéger)
• Moins rapide que le RAID 0 ou le RAID 1, car le disque de parité est mis à jour en permanence.

RAID 5

C'est le même principe de calcul de parité que le RAID 4, mais les données comme les bits de parité sont répartis sur l'ensemble de disques. L'accès disque est donc plus rapide, chacun étant sollicité pour l'écriture des bits de parité.

• Haute sécurité des données. Coût réduit (1 disque en plus quel que soit le nombre de disque à protéger).
• Plus lent pour de petites requêtes (l'écriture à lieu sur plusieurs disques)

Sauvegarder les données

• Un autre poste du réseau : solution peu coûteuse et simple à automatiser, mais si le poste et le serveur sont tous les deux dans le même local, la solution n'est pas totalement efficace. La sauvegarde est de plus tributaire du réseau. Une panne du réseau et la sauvegarde ne peut plus se faire.

 
• Un support amovible (cartouche DAT, DLT, CD-ROM, ...). Il est ensuite possible de placer ces sauvegardes dans un lieu sûre, à l'extérieur de l'entreprise, ou dans un abri anti-feu.

Mise en œuvre de la procédure

Différents type de sauvegardes sont possibles :

• Incrémentale : sauve tous les fichiers modifiés depuis la dernière sauvegarde totale.
• Différentielle : sauve tous les fichiers modifiés depuis la dernière sauvegarde différentielle.
• Totale : sauvegarde l'intégralité des fichiers concernés.

Exemple de stratégies de planification des sauvegardes :

• 5 bandes étiquetées "lundi", "mardi", "mercredi", "jeudi", "vendredi" utilisées pour les sauvegardes incrémentales ou différentielles chaques soirs de la semaine.
• 4 bandes étiquetées "Semaine1", "Semaine2", "Semaine3", "Semaine4", qui recevront une sauvegarde totale chaque vendredi.
• 12 bandes, étiquetées des mois de l'année, qui recevront une sauvegarde complète à chaque fin de mois, et qui seront stockées à l'extérieur de l'entreprise.

Prévenir les problèmes "naturels"

Pour cela, quelques règle de bon sens sont à respecter :
 

• Protéger les serveurs et le matériel jugé critique par des onduleurs, qui peuvent prendre le relais en cas de saut de courant, et offrent une protection vis à vis de la foudre, des surtensions. Il faut préférer les onduleurs qui sont reconnus par le système d'exploitation. En cas de coupure de courant prolongée, le système pourra s'arrêter tout seul proprement, prévenir les utilisateurs de son arrêt, et écrire sur le disque le contenu de la mémoire vive, de façon à redémarrer exactement dans la même configuration dès le retour du courant.

 
• Placer ces matériels dans un lieu protégé : éviter les sous-sols, qui peuvent être inondés. Une climatisation est aussi conseillée pour conserver un environnement stable. Il faut aussi éviter les fenêtres, et tout ce qui peut créer de la poussière (moquette, tissus, ...). On peut aussi prévoir des détecteurs de fumée, des extincteurs automatiques et un système d'alarme incendie.

 
• Les bandes de sauvegarde ne doivent pas être conservées sur le même lieu que les serveurs. Si un incident arrivait au niveau de ceux ci, les bandes pourraient être touchées également. La solution idéale est de les placer dans un coffre anti-feu, ou en dehors de l'entreprise.

Garantie et dépannage du matériel

Tout matériel doit donc être sous garantie, avec un contrat garantissant un délai d'intervention plus ou moins long suivant l'importance du matériel. Une station de travail pourra n'être réparée que sous deux ou trois jours, si un autre poste peut dépanner l'utilisateur. Par contre, un serveur, un routeur, un switch ou tout autre élément critique doit pouvoir être remis en service dans la demi-journée, ou dans la journée. La durée dépendant tout de fois de la capacité de l'entreprise à se passer de son système d'information.

Assurer l'accès permanent aux données et aux applications

Doubler les ressources critiques

Pour un serveur, il est possible de mettre en place un système de cluster. Il n'y a plus un mais deux serveurs, ou parfois un serveur avec deux cartes mères. Un des deux répond aux clients, tandis que l'autre se tient à jour en permanence. Toute modification du premier est reproduite sur le second. Si le premier serveur tombe, le second prend alors le relais de façon transparente pour les utilisateurs.

Pour doubler physiquement des données, en plus du système de RAID, il est possible de mettre en place la réplication de répertoire. Windows NT permet par exemple de répliquer en temps réel le contenu d'un ou de plusieurs répertoires sur un autre disque physique d'un autre serveur, à travers le réseau local. En cas d'indisponibilité d'une source de donnée, les utilisateurs peuvent immédiatement utiliser la seconde, en attendant que la première soit rétablie. La redirection vers la nouvelle source de donnée n'est par contre pas forcément automatisée pour les utilisateurs.

Le support physique du réseau est formé par les câbles. Il peut être intéressant de doubler certains médias, comme par exemple l'épine dorsale (backbone) d'un réseau, qui a une importance capitale. Si plusieurs serveurs sont interconnectés, il peut être utile des les configuré en topologie maillée. Chaque serveur sera alors relié à plusieurs autres, et si une des voies de communication est endommagée, les paquets d'information pourront emprunter un autre chemin pour arriver à destination. Un exemple d'utilisation d'une topologie maillée est le réseau internet.
 

D'autres ressources peuvent être ainsi doublées :

• Un accès internet par 2 FAI (Fournisseur d'accès internet) différents.
• L'accès à au moins 2 imprimantes pour chaque utilisateur.
• Avoir une station de travail en plus pour dépanner quand il y en a une qui est en réparation.
• Avoir des composants réseaux en réserve (câble, prises, hub, ...).

Sous Windows NT, l'accès au réseau se fait par identification auprès de la base de donnée d'annuaire qui est sur le contrôleur primaire du domaine. Mais s'il y a un ou plusieurs contrôleurs secondaires, ils peuvent aussi remplir ce rôle d'authentification à l'aide d'une copie de la base de donnée d'annuaire. Il est donc conseillé d'avoir au moins un contrôleur secondaire de domaine, qui pourra être promu au rôle de contrôleur primaire en cas de problème sur le contrôleur primaire. Il pourra aussi authentifier les utilisateurs en cas de surcharge du contrôleur primaire.

Une disquette pour restaurer un système défaillant

Pendant l'installation du système Windows NT, le programme d'installation propose de créer une disquette de réparation de secours qui permet les opérations suivantes :

• Réparer les données de la base de registre endommagée.
• Restaurer des fichiers altérés ou manquant sur la partition système.
• Remplacer le noyau du système Windows NT s'il a été modifié.
• Remplacer un secteur d'amorçage défectueux sur une partition FAT.

3 - Contrôler les accès au système d'information

Accès aux postes informatiques

Accès physique

Les postes de travail des utilisateurs doivent soit :

• Etre accessibles uniquement par leur utilisateur dédié (bureaux fermés à clés, ...)
• Etre accessibles uniquement par les membres de l'entreprise (filtrage des personnes extérieures à l'entreprise, ...)

En ouvrant le capot d'un poste, on peut voler le disque dur. On peut aussi réinitialiser le BIOS en enlevant quelques instants la pile, ou en déplaçant certains cavaliers de la carte mère. Or, si le BIOS est réinitialisé, le mot de passe qui protège son accès est supprimé (cf. paragraphe suivant). Pour empêcher cela, les capots des postes peuvent être verrouillés.

Une des sources de risque sur un poste de travail est tout ce qui peut y être ajouté après son installation, comme des virus, des logiciels espions, etc. Il est donc conseillé de n'équiper les postes de travail de périphérique d'entrée (lecteur de disquette, de CD-ROM) que si leur utilisation est nécessaire. Sinon, il faut soit les déconnecter, en les laissant dans le boîtier, soit les retirer. Cette mesure doit bien sur être accompagnée du verrouillage des capots, pour empêcher par la suite l'ajout d'un lecteur par un utilisateur.

Les serveurs doivent être plus particulièrement protégés, et n'être accessibles que par les administrateurs. Un local spécial contenant tous les appareils critiques (serveurs, routeurs, switchs, ...) sera plus facile à protéger que le bureau d'un administrateur. Il devra être fermé à clés en permanence, ou être accessible par un code d'entrée. Un minimum de personnes doit y avoir accès, mais il en faut tout de même au moins deux pour des questions de sécurité (prévoir l'indisponibilité d'un administrateur, ...).

Le BIOS

Le système d'exploitation

• Windows 9x : L'accès n'est pas totalement limité : on peut utiliser le poste sans être identifié, en annulant la procédure d'identification. On a alors accès à toutes les ressources locales. Par contre, les ressources réseaux ne sont pas accessibles.
• Windows NT Workstation et système Unix: l'accès au système d'exploitation est impossible pour un utilisateur non identifié, il faut obligatoirement s'identifier à l'aide d'un nom d'utilisateur (login) et du mot de passe qui lui est associé.

Malgré tous les verrous des systèmes d'exploitations, en démarrant un poste à l'aide d'une disquette de boot, on peut accéder au disque dur local sans charger le système d'exploitation. On passe ainsi outre l'identification du système quel qu'il soit. Pour empêcher cette manipulation, il est nécessaire de configurer le BIOS pour qu'il démarre sur le disque dur en premier, puis seulement enfin sur la disquette ou le lecteur CD.

Les comptes utilisateurs doivent être utilisés par une personne unique. Dans le cas contraire, il sera impossible de connaître le responsable d'une opération réalisée sous le compte "commercial" par exemple. Il en est de même pour les administrateurs. Chaque administrateur doit avoir son compte personnel, doté des droits suffisants pour réaliser son travail.

Même si un système est parfaitement "blindé", il peut exister des portes d'entrée dérobées, crées par les développeurs du système eux même ! Il est en effet courant que des systèmes d'exploitation possèdent une ou plusieurs manipulations pour se connecter sans avoir à s'identifier avec un compte d'utilisateur valide. Ces portes d'entrée, normalement connues uniquement des employés de l'entreprise développant le système, ou de techniciens travaillant en dépannage, finissent souvent par tomber aux mains des pirates. Lors d'une formation sur Novell, un formateur expliquait ainsi aux futurs certifiés Novell comment passer outre le mot de passe, pour dépanner des clients l'ayant oublié.

Il est courant que des développeurs court-circuitent aussi certaines procédures de vérification et/ou de sécurité, pour accélérer leurs tests en cours de conception du logiciel ou du système. Mais le jour de livrer une version finale du logiciel, il peut arriver qu'ils oublient de les remettre en application.

Sous un système Windows :

A l'aide des stratégies système, on peut par exemple :

• Empêcher la modification de la base registre, un des éléments les plus sensibles du système.
• Ne permettre l'exécution que de certaines applications connues.
• Interdire la modification de l'environnement de travail (accès au panneau de configuration, ...)
• Limiter les entrées du menu "Démarrer".
• Cacher les autres postes du voisinage réseau.
• Cacher les disques de l'ordinateur local.
• Empêcher l'arrêt de l'ordinateur.
• ...

Les profils utilisateurs obligatoires permettent aussi d'imposer un environnement aux utilisateurs. Sous Windows, le profil contient les paramètres de l'explorateur Windows, de la barre des taches, de l'imprimante, du panneau de configuration, des accessoires, de l'aide en ligne et des applications Windows. Ces informations sont contenues dans le fichier USER.DAT sous Windows 9x, et NTUSER.DAT sous Windows NT. Le fait de renommer ce fichier en USER.MAN ou NTUSER.MAN et de le mettre en lecture seule le rend obligatoire, et l'utilisateur se voit appliqué l'environnement décrit par ce fichier.

D'autres restrictions peuvent être apportées aux comptes utilisateurs ou aux groupes d'utilisateurs sous Windows NT :

• Restreindre l'utilisation du compte à certaines plages horaires. On peut spécifier si l'utilisateur est automatiquement déconnecté des ressources réseau en cas de dépassement de sa plage horaire autorisée, ou s'il peut continuer à travailler.
• Limiter l'utilisation du compte à certains postes précis du réseau. On peut spécifier jusqu'à 8 postes autorisés. Si la fonction n'est pas activée, l'utilisateur peut par défaut se connecter sur n'importe quel poste de travail.
• La date d'expiration du compte. Par défaut, un compte n'expire jamais, mais dans le cas d'un employé à durée déterminée, on peut préciser que son compte sera automatiquement désactivé à la fin de son contrat, pour être sur de ne pas laisser un compte inutilisé.

Sous Unix :

Accès au données

L'accès aux données partagées doit être défini avec précision. Quelques exemples de besoins sont :

• Uniquement en consultation : droit "lecture seule"
• Consultation et mise à jour : droit "modification"
• Création, suppression : droit "contrôle total"

Les répertoires de base des utilisateurs travaillant en groupes auront un contrôle total pour l'utilisateur, et modifier pour les autres membres du groupe. Si l'utilisateur travail de façon autonome, lui seul aura un contrôle total sur son répertoire. Par contre, l'administrateur doit toujours pouvoir prendre la main sur les données d'un utilisateur, et les consulter ou les supprimer pour l'intérêt du système d'information.

Pour éviter qu'un utilisateur ne voie l'arborescence globale du système de fichier réseau, il est possible de lui créer une arborescence restreinte, où ne figurent que les dossiers dont il a besoin. Sous Windows NT, on pourra mettre en place cette technique a l'aide d'une stratégie système, et faire apparaître dans cette racine de répertoires qui n'y sont pas physiquement grâce à la duplication de répertoire. Sous Unix, il faut utiliser l'appel système chroot, qui crée une racine virtuelle pour l'utilisateur. Par contre, pour qu'il ait accès à des applications ou des fichiers en dehors de cet espace, il faudra placer des alias pointant vers les programmes respectifs.

Chaque système d'exploitation offre une gestion des droits d'accès aux fichiers différente.

Les droits et permissions sous Windows NT

Sous Windows NT, avec un système de fichier en NTFS (NT File System), les permissions peuvent s'appliquer pour chaque fichier ou répertoire, en fonction de chaque utilisateur, de façon très précise. Avec un système de fichier en FAT, les permissions sont moins précises.

Permissions en NTFS :

• Lire (ouvrir et afficher le contenu d'un fichier)
• Ecrire (modifier le contenu d'un fichier, ou en créer un)
• Exécuter (exécuter un programme ou un fichier exécutable)
• Supprimer (supprimer des fichiers)
• Modifier les permissions (modifier les permissions d'un fichier ou d'un répertoire existant)
• Prendre possession (se rendre propriétaire d'un fichier ou d'un répertoire existant)

• Aucun accès
• Lire
• Ecrire
• Contrôle total

Il faut prendre garde aux droits des fichiers quand ceux ci sont copiés ou déplacés d'un dossier à un autre. Les droits peuvent être modifiés sans qu'on s'en rende compte. Les règles qui s'appliquent sur un volume NTFS sont :

• Un fichier déplacé conserve ses protections.
• Un fichier copié hérite des protections du dossier qui l'accueille.
• Exception : un fichier déplacé d'un volume à un autre ne conserve pas ses protections, mais hérite de celle du dossier qui l'accueil.

Les droits accordés aux utilisateurs :

Des droits cumulatifs :

La procédure d'authentification :

Pour être plus précis, chaque objet de Windows NT (fichier, port de communication, thread d'exécution, imprimante, ...) possède un descripteur de sécurité qui contient les attributs de sécurité suivants :

• L'identifiant de sécurité de l'utilisateur propriétaire de l'objet, qui est généralement celui qui l'a crée.
• La liste de contrôle d'accès (ACL) qui contient la liste des utilisateurs et des groupes qui ont le droit d'accéder à cet objet.
• Un ACL système, qui se rapporte au système d'audit.
• Un identifiant de sécurité de groupe utilisé par le sous-système POSIX (qui fait le lien avec les environnements UNIX).

Les partages administratifs :

Les droits sous Unix

• r : lecture (read)
• w : écriture (write)
• x : exécution (execute)

• o : le propriétaire du fichier (owner)
• g : les membres du groupe du propriétaire (group)
• a : tous les autres utilisateurs (all)

• le propriétaire a tous les doits (rwx)
• les membres du groupe du propriétaire peuvent le lire et l'exécuter (r-x)
• les autres n'ont aucun accès (---)

Le montage des systèmes de fichiers permet de spécifier des protections au niveau du volume global :

• Pour empêcher qu'un des utilisateurs ne sature un système de fichier, on peut définir un volume maximum autorisé pour chaque utilisateur. Lors du montage du système de fichier, l'utilisation de l'option quota permet de fixer cette limite.
• L'option ro (read only) garantie que tous les fichiers seront en lecture seule.
• L'option nodev empêche l'accès à tous les fichiers spéciaux du volume.
• L'option noexec rend impossible l'exécution de tout fichier exécutable.

Les programmes SUID et SGID (Set User ou Group ID) :

La commande su :

On peut vérifier toutes les utilisations de cette commande en consultant le fichier de log : /var/dam/syslog
 

Mot de passe Shadow :

Shadow fournis en plus des fonctions pour gérer les mots de passe :

• La commande passwd peut définir une durée de validité maximum du mot de passe, un nombre de jour minimum entre deux modifications, ...
• La commande pwck permet de vérifier si les noms d'utilisateurs sont uniques, si certains comptes ont un mot de passe vide, ...

Les droits sous Novell Netware

Les fichiers supprimés laissent des traces ...

Il existe des logiciels qui permettent de détruire réellement des fichiers, en superposant aux fichiers supprimés des informations aléatoires. Mais pour être parfaitement efficace, ces utilitaires devraient être passé plusieurs fois pour rendre le fichier d'origine totalement illisible.

Sous Windows NT ou Windows 9x, quand un fichier est supprimé, il est placé dans la corbeille. Il est donc toujours accessible par celui qui l'a supprimé ou par un administrateur. Il est indispensable de vider la corbeille pour rendre les fichiers inaccessibles par un moyen classique.

Accès au temps machine des serveurs

Sous Windows NT

• Mode utilisateur : il s'agit de l'ensemble des processus lancés par des applications ou directement par l'utilisateur. Les processus lancés dans ce mode ont un espace d'adressage limité et non partagé avec d'autres processus, ils ne peuvent pas accéder directement au matériel et leur niveau de priorité est inférieur à celui des processus en mode noyau.

 
• Mode noyau : tous les processus liés au système NT fonctionne en mode noyau. Ils sont prioritaires par rapport au processus en mode utilisateurs, et ne peuvent pas être mis en dangers par une application. Ils peuvent accéder à la totalité de la mémoire et du matériel.

Il est aussi possible d'indiquer un niveau de priorité associé à une application, ce qui permet de donner plus de temps machine à certains processus qu'à d'autres.

Pour les serveurs multiprocesseurs, on peut spécifié que tel processeur ne sera sollicité que par telle application. Si un serveur peut être sollicité de façon variable et imprévisible, on peut par exemple réserver un des processeurs au fonctionnement interne du système. Cela se traduira par une diminution des ressources disponibles pour l'ensemble des tâches du serveur, car elles devront être réalisées avec un microprocesseur de moins, mais le système ne pourra pas être mis à plat.

L'analyseur de performance d'un serveur peut détecter une tentative d'attaque du serveur par immersion (envoi de grandes quantités d'information pour le saturer). Une alarme peut être définie sur le compteur appelé "Octets reçus/s" qui se déclenchera en cas de dépassement d'un certain seuil d'information reçu, ou en cas de transfert d'information pendant des horaires anormales, ce qui peut être l'indice d'un vol d'information.

Sous Novell NetWare

Il n'est pas possible non plus de protéger le serveur d'une augmentation trop importante de ses sollicitations, qui risquerait de ralentir ses fonctions vitales. S'il est sollicité pour plusieurs gros calculs dans un temps très court, il pourrait avoir du mal à assurer ses tâches primordiales.

Sous Unix

Une autre technique, moins radicale, est de modifier le niveau de priorité des processus s'ils tournent depuis trop longtemps. Le "nice", ou priorité, est une valeur entre -20 (ultra prioritaire) et +20 (le moins prioritaire). La commande "renice" permet de modifier cette valeur pour un processus. Le propriétaire de celui-ci peut modifier le nice, et l'utilisateur "root" peut augmenter ou diminuer celui de tous les processus tournant sur le serveur.

Un démon peut réalise cette dernière opération de façon automatique en détectant les processus qui tournent depuis longtemps, et en diminuant leur niveau de priorité au bout d'un certain temps.

Accès aux imprimantes

On peut facilement imaginer les problèmes rencontrés si un enseignant imprimait un sujet d'examen sur une imprimante en libre service par les étudiants, ou si les fiches de salaire d'une entreprise étaient imprimées aux yeux de tous.

Si un nombre restreint de personne doit imprimer des documents confidentiels, il est possible de leur installer une imprimante personnel, ou une pour le groupe de personne concerné. Sinon, l'imprimante peut être installée dans un local auquel une seul personne de confiance a accès. Elle se chargera de trier les documents imprimés, et de les remettre aux propriétaires respectifs.

Authentification des utilisateurs

• Empêcher à une personne non autorisée d'utiliser certaines ressources.
• Identifier les auteurs de malveillances ou de maladresses.

Les comptes d'administrateur sont la cible favorite des pirates, car ce sont eux qui offrent le plus de droits. Il est donc important de les renommer quand cela est possible, comme sous Windows NT, pour qu'il ne soit pas possible de déceler quel compte possède tous les pouvoirs, parmi la liste des comptes utilisateurs. On peut même créer un compte portant le nom du compte administrateur par défaut ("administrateur" sous Windows NT), et ne lui conférer aucun droit. Les pirates s'acharneront sur lui, et même s'il arrive à trouver son mot de passe, ils seront sans aucun pouvoir. Par contre, sous Unix, le compte de l'administrateur "root" ne peut pas être renommé.

De nombreuses applications utilisant des mots de passe offrent la possibilité de les mémoriser. L'utilisateur n'a ensuite plus besoin de le saisir à chaque fois. Malgré le côté pratique de cette technique, elle est à déconseiller. Par exemple, sur un portable, si le mot de passe de certaines ressources du réseau sont en mémoire, en cas de vol de celui-ci, le voleur peut à son tour accéder aux ressources du réseau. Sous Windows 9x, une modification de la base de registre permet d'empêcher aux mots de passe de rester en cache :

• Développer l'arbre du registre : "HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Policies\Network"
• Ajouter une entrée à ce sous arbre, avec la valeur "DWORD"
• Quand la nouvelle valeur apparaît, renommez-la "DisablePwdCaching", puis validez
• Donnez la valeur 1 dans le champ Valeur de donnée de la nouvelle entrée.

Choisir les mots de passe

De plus, l'emplacement des fichiers contenant les mots de passe sous les différents systèmes est connu de tous les hackers. S'ils arrivent à s'en emparer, un logiciel de crackage leur fournira une liste en claire. A moins qu'ils n'utilisent un mouchard pour capturer ceux-ci lors de leur passage sur le réseau.

Quelques règles permettent tout de même de rendre ceux-ci plus difficiles à découvrir :

Pour les utilisateurs courants :

• Obliger le changement de mot de passe régulièrement. Mais pas trop souvent tout de même, car cela pourrait avoir un effet inverse en contrariant les utilisateurs, qui pourraient utiliser des mots de passe triviaux.
• Interdire les mots de passe vides, même pour un compte temporaire créé pour un test par l'administrateur. Si un pirate se procure une liste de comptes d'un réseau, il vérifiera en premier le mot de passe vide sur tous les comptes.
• Donner la consigne de ne pas diffuser le moindre mot de passe à quelqu'un de l'extérieur, et de ne le communiquer à personne de façon écrite ou par e-mail, même à un administrateur.
• Imposer un longueur minimale de 6 caractères.
• Déconseiller les mots de passe trop évidents : prénoms des enfants, dates de naissance, initiales du nom, du prénom et en règle général tous les mots présents dans un dictionnaire.
• Empêcher la réutilisation d'un mot de passe déjà utilisé, par un système de mémorisation, pour éviter qu'un utilisateur n'utilise que les deux mêmes, et change toujours l'un pour l'autre.
• Effectuer un test automatique de certains mots de passe génériques (azerty, toto, lundi, mardi, ...) sur tous les comptes de temps en temps, pour détecter ceux trop faciles à trouver.

• Utiliser des mots de passe d'au moins 8 caractères, en combinant chiffres, lettres, majuscules et minuscules, ainsi que les caractères spéciaux.
• Eviter la multiplication des mots de passe, pour ne pas en oublier, et ne pas avoir besoin de les écrire ...
• Dans un environnement très sécurisé, pour éviter de laisser tous les pouvoirs à un seul administrateur, on peut créer un mot de passe en 2 ou 3 parties, qui seront détenues chacune par une personne différente. Il faudra alors que les détenteurs des mots de passe le composent à la suite pour se connecter en tant qu'administrateur.

Pour créer un mot de passe efficace, une solution est de prendre les initiales d'une phrase facile à retenir. Par exemple, à partir de la phrase : " Je suis né le 22 avril 77 à Nantes ", on a le mot de passe : " Jsnl22a77aN "

Un autre technique est d'associer 2 mots par un caractère spécial, comme "jour&nuit", "passe!passe", ou "mara+boulier"

Sous Windows NT :

Sur un système Unix :

Le mot de passe contenant 8 caractères maximum, et le code ASCII en contenant 103 utilisables pour les mots de passe (certains caractères de contrôle sont interdits), il y a 1038 mots de passe possibles. A raison d'une seconde de traitement pour chiffrer un mot de passe pour une machine peu rapide, l'essai de toutes les possibilités est illusoire.

Par contre, chiffrer un dictionnaire de 36000 mots prendrait environ 10 heures. Il est donc indispensable que le mot de passe ne soit pas un mot usuel contenu dans un dictionnaire.

Il faut donc mélanger les majuscules et les minuscules, et introduire des chiffres dans le mot de passe, et/ou des caractères spéciaux. Une tentative de craquage de mot de passe par un dictionnaire sera alors sans effet.

Il est possible de modifier la commande passwd, qui permet de changer son mot de passe, et d'obliger l'utilisateur à proposer un mot de passe contenant un ou plusieurs chiffres.

Pour empêcher les mots de passe vides, les commandes grep, awk ou perl permettent de localiser les champs vides du fichier de mot de passe /etc/passwd. On peut écrire un shell qui recherche les comptes sans mot de passe, et qui ajoute une étoile dans les champs vides. Ces comptes seront alors automatiquement bloqués.

Les machines ont souvent des "comptes de commande", des ID d'utilisateurs qui exécutent une commande puis sortent. Finger, sync ou date sont par exemple des comptes sans mot de passe, qui s'exécutent, fournissent les renseignements demandés, puis ferment leur session. Il faut s'assurer qu'aucune de ces commandes n'accepte de saisie sur la ligne de commande, ni ne permette d'échappement vers le shell, ce qui permettrait à l'utilisateur de parvenir à un shell interactif, et donc d'accéder au système. De plus, ces types de comptes renseignent leur utilisateur sur le système. Finger ou who permettent par exemple de connaître les identifiants des utilisateurs. S'ils ne sont pas utiles, il est donc intéressant de les désactiver.

Les mots de passe d'origine

Le vol de mot de passe

• Sous Unix, créer l'utilisateur "whoami" sans mot de passe dans /etc/passwd avec la ligne suivante : whoami::100:100::/bin/whoami L'utilisateur, avant d'entrer son propre login pour d'identifier, essai le login "whoami". Si la console répond : "whoami", il peut se connecter sur cette station. S'il répond un autre nom d'utilisateur, c'est un programme de vol de mot de passe, et il faut redémarrer la machine.
• Sous Windows NT, faire CTRL+ALT+SUP même si l'écran affiche déjà la boite de dialogue pour entrer le mot de passe. Cela stoppera toute application en cours, et donc un éventuel programme de vol de mot de passe.

Mais ces solutions peuvent être contournées par un programme évolué. Les seules méthodes totalement sûres sont :

• Avoir un système de déconnexion automatique des utilisateurs en cas d'inactivité, ce qui empêcherait de laisser tourner un programme. Les sessions sont automatiquement fermées après quelques minutes d'inactivité.
• Toujours redémarrer le poste avant de se connecter. Mais cette méthode est contraignante pour l'utilisateur, qui doit attendre le redémarrage, et néfaste pour le matériel si les redémarrage sont trop fréquents.
• Fixer un nombre d'essai infructueux limité à 3 ou 4. Si un utilisateur se trompe plusieurs fois de mot de passe, son compte se bloque, et il doit soit attendre un certain laps de temps avant de pouvoir réessayer, soit contacter son administrateur pour déverrouiller son compte. Ainsi, une attaque par dictionnaire est rendue impossible.

Carte à puce et biométrie

L'utilisateur est doté d'une carte à puce personnelle. Elles peuvent servir pour accéder aux réseaux locaux ainsi qu'aux serveurs web. Un lecteur raccordé au PC permet de lire le profil et les droits d'accès de l'utilisateur qui sont stockés dans la carte. Cette solution peut également offrir une solution d'authentification des clients pour un acte donné sur internet, comme la consultation de documents, ou l'accès à certaines ressources.

Un exemple existe à grande échelle en France depuis 1998 : l'intranet du Conseil de Notariat français, qui relie chaque notaire, et les identifient à l'aide d'une carte à puce personnelle.

Les solutions biométriques sont aussi en train de se développer. Elles mettent en place une reconnaissance de l'utilisateur par le biais d'une de ses parties du corps qui ne peut pas être identique chez une autre personne :

• les empreinte digitale
• le réseau sanguin de la rétine
• la forme de l'iris
• la forme de la main
• la voix

• Le plus fiable est la reconnaissance au niveau de l'œil, mais c'est aussi la plus compliquée. Pour un environnement sous haute sécurité, on choisira une reconnaissance par le réseau sanguin de la rétine.
• La reconnaissance par la forme de la main est opérationnelle, elle a déjà été utilisée lors des Jeux Olympiques d'Atlanta de 1996
• L'identification à l'aide de la voix nécessite en plus un affichage qui fournis aléatoirement une phrase que l'utilisateur doit prononcer, pour éviter l'utilisation d'une bande enregistrée préparée à l'avance.
• La reconnaissance par empreinte digitale semble la plus simple à mettre en place pour un réseau local. Elle est assez fiable pour la plus part des utilisations, et il existe déjà des claviers dotés d'un capteur. Le capteur ne prenant en compte que la partie en contact direct avec le support, l'utilisation d'une photo est inefficace. L'image est codée pour former un fichier, qui sera comparé avec celui stocké dans une base de donnée. L'algorithme de codage a été conçu de façon à ce que deux empreintes ne puissent pas donner le même fichier, et qu'a partir du fichier, on ne puisse pas reconstituer l'empreinte. Comme il est impossible d'avoir deux fois la même photo des empreintes, il reste à définir le pourcentage de différence toléré, pour valider l'identification. Plus ce taux sera élevé, plus les échecs lors de l'identification seront fréquents, mais le fait de recommencer à plusieurs reprises sera le prix à payer pour une sécurité plus élevée.
• Il est aussi possible d'identifier une personne sur sa signature. Non pas sur la graphie elle-même, qui peut toujours s'imiter, mais la façon de la tracer, en fonction des variations de pression et de l'inclinaison du stylo.

L'avantage de ces solutions est de supprimer le problème de la divulgation des mots de passe, ou de la transmission des numéro de carte bancaire au travers d'un réseau. La biométrie reste pourtant un procédé coûteux, et n'a pas une fiabilité totale. Mais ces points faibles vont s'améliorer, et dans le futur, il faudra faire son choix : carte à puce ou biométrie.

4 - Sécuriser les transferts de données

Paiements sécurisés via Internet

Il y a toujours des risques à transmettre un numéro de carte bleu en clair sur le réseau, et en plus, cela n'authentifie pas parfaitement le client. Les listes de numéro de cartes de crédits sont en effet nombreux à circuler entre les pirates, et il existe de logiciels qui permettent de générer automatiquement des numéros de cartes valide, c'est à dire qui seront acceptés lors d'une transaction ou le numéro de code n'est pas réclamé.

Le chiffrement du numéro de carte n'empêche pas son interception, et n'authentifie pas l'expéditeur. Des services existent, comme la solution crée par Master-Card et Visa. Celle ci s'appuie sur des protocoles de type SET (Secure Electronic Transaction) ou C-SET (Chip-SET), et fournit aux commerçants et aux clients des certificats électroniques d'authentification. Le vendeur n'a alors plus accès au numéro de carte bleu du client, tout est directement transmis à sa banque.

La solution C-SET offre une sécurité supérieure, car le client utilise un lecteur de carte bleu connecté à son propre ordinateur.

Mais il reste à régler les problèmes des petits achats, pour lesquels la carte bleue ne peut pas être utilisée. Des portefeuilles électroniques sont à l'essai, mais ne semble pas encore être totalement satisfaisant.

Accès aux données à distance

Dans tous les cas, les droits qu'un utilisateur distant possède doivent toujours être réduits au strict minimum. En effet, il sera toujours plus facile pour un pirate de pénétrer sur un réseau à travers une entrée distante qu'en local. Et dans l'éventualité d'une intrusion à travers un accès distant, si les possibilités à travers cet accès sont réduites, le pirate pourra moins facilement attaquer le système.

Dangers liés aux utilisateurs mobiles

• Il est souvent utilisé en public, comme dans un avion, un train. Le mot de passe servant à utiliser la machine est alors composé aux yeux de tous.
• Les informations transitant entre l'entreprise et l'utilisateur circulent sur des lignes publiques, facile à espionner.
• Un portable est un objet facile à voler, et une fois entre les mains d'un pirate, il aura tout son temps pour décrypter les mots de passe et étudier les informations contenues sur le disque dur.
• Un accès distant sur le réseau de l'entreprise veut dire qu'un pirate peut tenter de se connecter au réseau de chez lui, comme s'il était à la place de l'utilisateur nomade. Il peut alors disposer de tout son temps.

Authentification lors d'un accès à distance

• L'appelant appelle d'où il veut, et il n'a que son identifiant et son mot de passe à fournir.
• Avec rappel automatique. L'utilisateur distant précise à quel numéro le rappeler, et le serveur le rappel
• Avec rappel automatique, mais à un numéro prédéfinis à l'installation du service d'accès distant. Il est donc alors impossible pour un autre de se connecter à sa place, sauf à être présent chez lui, ou là, il peut appeler le réseau.

Les VPN (Virtual Private Network)

Mais face aux lacunes de sécurité de ce système, d'autres systèmes ont été développés par des constructeurs de matériels réseaux., comme Cisco . Ils offrent des sécurités accrues, avec le brouillage de l'en-tête des paquets IP, qui est remplacée par un autre en-tête comportant une pseudo-adresse compréhensible uniquement par les passerelles VPN. L'algorithme RSA de cryptage est aussi utilisé pour coder les données.

Mais cette prolifération de solutions non compatible entre elles ne favorise pas l'établissement d'une solution globale.

Certains fournisseurs d'accès internet commencent aussi à proposer des offres de sécurité logique. Celles-ci regroupent un accès internet, un firewall chez le fournisseur, un hébergement de site web, un serveur de messagerie, un serveur de nom de domaine, ainsi que la possibilité de mettre en place des VPN.

Eviter la diffusion des données en divisant le réseau

Une séparation logique des entités d'un réseau ne semble donc pas suffisante. Une séparation physique est la seule garantie d'une séparation totale entre deux sous réseaux.

Ce problème se présente surtout quand des utilisateurs du réseau sont susceptibles de pouvoir se procurer un logiciel de capture de trames (réseau universitaire, lieux publiques, ...), ou quand le réseau local est connecté en permanence à Internet.

L'utilisation de switch pour l'interconnexion des postes de travail est préférable à celle de hub. En effet, les deuxièmes ont pour principe de répéter ce qu'ils reçoivent sur un port sur tous les autres ports. Ensuite, seul la machine destinataire prendra en compte la trame, mais tous les postes l'aura reçue quand même. Il est donc préférable d'utiliser des appareils qui ne transmettent les trames que vers le bon destinataire, ou tout au moins qui ne la transmet pas à tout le monde, comme les ponts, les switchs ou les routeurs.

Interconnexion par un pont

• Si le destinataire n'est pas connu dans ses tables d'adressage (il s'agit d'un nouveau poste ou les tables d'adressages ont été vidées), le paquet est retransmis sur l'autre sous-réseau. Puis le fait de recevoir de nouveau le paquet depuis l'un ou l'autre des sous-réseau lui permettra de situer la station inconnue, et donc de l'inscrire dans ses tables d'adressage. Les paquets suivants seront alors distribués sans difficultés.
• Si, d'après ses tables, le destinataire est dans le même sous réseau que l'expéditeur, il ne fait rien. Le paquet arrivera à destination sans son intervention.
• Par contre, s'il est dans l'autre sous réseau, il transmet le paquet.

De plus, le pont peut apprendre les adresses auxquelles il doit transmettre tous les messages, ou celles qui n'en recevront jamais. On peut donc faire en sorte que certains postes, susceptibles d'abriter un logiciel espion (logiciel capturant les trames qui ne lui sont pas destinées) ne reçoivent jamais certaines données.

Interconnexion par un routeur

Attaques sur un routeur :

Une technique pour router des paquets à travers un réseau est le "routage par la source". C'est le paquet IP lui-même qui contient ses propres informations de routage, les routeurs n'ont alors qu'à suivre ses informations, sans utiliser leurs tables de routage. A l'origine, ce système était une solution de secours en cas de défaillance des routeurs. Si un pirate construit des paquets IP de ce type, il pourra atteindre des postes dont l'accès lui est normalement interdit. Le plus simple est de configurer le routeur pour qu'il refuse ce type de paquets.
 

Interconnexion par un switch

Même s'ils sont souvent utilisés dans le but d'accélérer le trafic, ils peuvent aussi sécuriser un réseau en permettant son cloisonnement à l'aide de réseaux virtuels ou VLAN.

Utilisation des VLAN avec les switch

Un VLAN est groupe d'appareil qui peut communiquer comme s'ils étaient sur le même réseau physique, mais pouvant être situé n'importe où sur le réseau. Cela permet donc de segmenter logiquement le réseau en différant entités, et d'obtenir une séparation totale de ces entités, sans pour autant déplacer le matériel, re-brasser les câblages, ou modifier l'adressage IP existant. En plus de l'optimisation du trafic, les VLAN isolent physiquement plusieurs sous réseaux. Avec l'utilisation d'un routeur, ou si le switch est de niveau 3, les VLAN peuvent communiquer, mais en toute sécurité. Une trame ne sortira du VLAN de l'expéditeur que si le destinataire n'en fait pas partie, et si un routeur est configuré pour faire le lien entre les VLAN.

Utilisation des Domaines sous Windows NT

Chaque domaine possède son propre serveur primaire de domaine, et peut avoir plusieurs serveurs secondaires. Une fois le réseau découpé en domaines, il faut définir des relations d'approbation entre les domaines pour qu'ils puissent communiquer ensemble.

Par contre, cette segmentation logique du réseau n'est pas physique. Autrement dit, les trames sont envoyées sur tous les postes. Windows NT se charge ensuite de la prendre en compte ou pas, suivant les appartenances à tel ou tel domaine, et les relations d'approbation correspondantes. Dans ce cas, un poste utilisant un logiciel de capture de trame pourrait quand même lire des données qui ne lui sont pas destinées. Un utilisateur pourra même accéder à une ressource d'un autre domaine que le sien, sans qu'aucune relation d'approbation de son domaine vers l'autre ne soit définie, pour peu que le compte invité soit activé dans l'autre domaine.

Il ne faut donc pas considérer l'utilisation des domaines NT comme un cloisonnement sécurisé en sous-réseaux.

Protéger les données sensibles

Mais il ne faut pas non plus obligatoirement crypter de façon poussée toutes les informations sensibles. Si le pirate est en mesure de copier l'information sur son disque dur, il pourra lui faire subir un décryptage poussé, et y passer du temps. Par contre, si l'information ne fait que circuler et qu'elle a une durée de vie réduite (mot de passe à usage unique ou limité dans le temps, ...), le pirate disposera d'un temps très court, et le niveau de cryptage pourra être moindre.

Une fois définis quelles données devaient être cryptées (e-mail, mots de passe, fichiers, ...), il faut décider quel besoin de protection est nécessaire :

• Les données doivent rester confidentielles : chiffrement de l'information
• Les données ne doivent pas être modifier : hachage des données
• Certifier l'expéditeur des données : appliquer une signature numérique

• La même clé pour les deux : algorithme symétrique.
• Deux clés différentes : algorithme asymétrique.

Législation sur le cryptage

Pour exemple, lors d'un concours organisé par la société RSA Data Security, qui consistait à casse une clé de 56 bits, le super-calculateur "Deep Crack" a mis 23h30. L'alternative aux gros calculateurs, qu'un pirate ne peut pas utiliser, est l'association de plusieurs ordinateurs personnels via internet. Un serveur envoie des paquets de clés à tester aux participants, et centralise les résultats. Il ne semble pas avoir de limite à un tel fonctionnement, qui dépend directement du nombre de participants. Pour le concours précédent, 50 000 ordinateurs ont ainsi travaillé en commun, et disposaient ainsi d'une puissance de calcul supérieur à celle de deep Crack.

Chiffrement des données

Transposition

On veut par exemple chiffrer le texte suivant : LECORBEAUSURUNARBREPERCHE
 

La clé choisie est: 3142

Le tableau de chiffrement obtenue est :  1234  ----  LECO  RBEA  USUR  UNAR  BREP  ERCH  E

Le texte chiffré est donc : CEUAECLRUUBEEOARRPHEBSNRR
 

Substitution

substitution par décalage des caractères de la valeur de la clé :

• le texte en claire : "sécurité"
• la clé = 5
• le texte chiffré : "xjhzwnyj"

Méthodes modernes

Hachage des données

La personne qui reçoit le texte n'a plus qu'à appliquer le même algorithme au texte. Si le résumé qu'il obtient n'est pas identique à celui qui accompagnait le message, c'est que le texte a été modifié.

Exemple de résumé obtenu avec MD5 (Message Digest 5), à partir d'une phrase où une seule lettre est modifiée :

• MD5 ("message digest") = 100a88bb16f13ae8231e7b74257db820
• MD5 ("message degest") = dbd0130180dd245c63957152502c0669

Authentification de l'expéditeur

PGP

Chaque utilisateur possède une clé publique et une clé secrète. Il faut avoir la clé publique d'une personne pour lui envoyer un message, et pour déchiffrer ceux qu'elle nous envoie.

Soit la notation :

• Pi(message) : la clé publique de l'utilisateur i est appliquée au message
• Pj(message) : la clé publique de l'utilisateur j est appliquée au message
• Si(message) : la clé secrète de l'utilisateur i est appliquée au message
• Sj(message) : la clé secrète de l'utilisateur j est appliquée au message

En effet, on a la relation : P(S(message)) = S(P(message)) = message

Et P(message) et S(message) est illisible.

Signature

Pour vérifier la signature, l'utilisateur j calcul Pi(Si(DM5(message))) et MD5(message), et il vérifie qu'il trouve bien la même chose.

Pour combiner confidentialité et signature, l'utilisateur i envoie à j le message Pj(Si(message, MD5(message)))

La seule façon de contrer cette méthode est de diffuser une fausse clé publique au nom d'une personne, et en utilisant la clé privée qui va avec, décoder les messages qu'il reçoit. Mais si la personne piratée consulte ses messages avant le pirate, elle s'en rendra tout de suite compte, car sa propre clé privée ne fonctionnera plus.

Pour contrôler l'intégrité d'une clé publique, il est possible d'en déposer un exemplaire chez un tiers de confiance, qui pourra la délivrer à la demande. Cette solution est proposée de façon officielle, par des organismes agréés par l'état.

Toutes ces procédures sont bien sur automatisées dans des logiciels dédiés.

5 - Protection vis à vis de l'extérieur

L'internet, et donc par conséquent ses points d'accès qui sont souvent des firewalls, sont souvent vus comme le point qui concentre tous les dangers, tous les risques d'intrusion. Pourtant, il ne faut pas négliger les autres accès extérieurs qui sont les modems classiques ou numéris, les ligne de télémaintenance, ou les connexions hautes débit des gros systèmes. Le niveau de sécurité d'un réseau est en effet égale à celui de son point le plus faible. Il ne sert à rien de surprotéger un accès si on laisse une porte ouverte à côté.

Attaques possibles

Espionnage du réseau

Windows NT fournis en standard un logiciel de capture de trame. Il en existe aussi un grand nombre disponibles sur internet. Il n'est donc pas compliqué pour quelqu'un de se fournir un tel logiciel, et de s'en servir pour capturer des informations. Cette technique étant passive, elle est par contre très difficile à détecter. Si quelqu'un se branche sur un câble réseau et installe un sniffer (logiciel de capture de trame), on ne peut pas le détecter, même à l'aide d'un autre logiciel de capture de trame.

Il est tout de même possible de se protéger, si par exemple on a une ligne qui circule à l'extérieur de l'entreprise. On utilisera de préférence de la fibre optique, qui n'émet pas de signal électrique, et qui sera donc plus difficile à détecter dans le sol. Certains médias sont en effet plus facile à pirater que d'autres :

• Le câble Token ring est un câble blindé à 4 paires torsadées. La topologie en étoile rend difficile un branchement pirate sur un câble.
• Le câble coaxial 10Base5 : on peut le dérivé sans le couper, avec un transcender. Il n'est donc pas très sûr.
• Le câble Ethernet 10baseT ou 100BaseT est très courant, il ne faut donc pas laisser des hubs ou des switchs accessibles aux utilisateurs, car ils pourraient se connecter sur un port à l'aide d'un câble personnel. Les prises réseaux inutilisées des bureaux doivent être désactivées, et les ports des hubs ou switch aussi, si cela est possible par le matériel.
• La fibre optique est très difficile à pirater, car dès qu'elle est coupée, le réseau et indisponible, ce qui rend la tentative repérable.
• Les connexions sans câbles, comme le satellite, l'infrarouge, les ondes radio : les informations peuvent facilement être espionnées. Elles n'arrivent en effet pas directement dans l'appareil de réception, mais dans un rayon de taille variable tout autour d'elle. Si un capteur espion est placé à proximité de celle de l'entreprise, elle pourra capter les signaux reçus par l'entreprise, et les consulter. Il faut donc associer à ce mode de transmission un cryptage de l'information.

La technique du bourrage

Attaques d'un réseau

IP spoofing

Stealth scan

Brute force

Déni de service

• Sync storm : établir le plus possible de liaison TCP/IP.
• Système lock flood : générer un maximum d'entrées dans le fichier de log du firewall pour le saturer.
• Data flood : envoi d'un grand nombre de données sur un port donné du serveur visé.
• Open-close : ouvrir et fermer un même fichier de nombreuses fois.

Intrusion par un script CGI

Une intrusion pas à pas

Avant de débuter toute tentative d'intrusion, le pirate commence en se créant un anonymat, à l'aide d'une boite aux lettres chez un fournisseur gratuit, comme hotmail.com, usa.net, ou encore mieux, en France, une adresse électronique à l'aide du Minitel, qui rend impossible l'identification de son propriétaire. Pour ce qui est de la connexion internet, les fournisseurs d'accès gratuits offre la possibilité d'en changer souvent. Il existe en plus des services sur internet comme anomyzer.com, qui fournissent des passerelles web permettant de surfer de façon anonyme. L'utilisation d'un Proxy par le pirate lui permet en plus de camoufler ses connexions.

1. Le pirate a d'abord besoin de connaître des informations sur le réseau qu'il veut attaquer. L'envoi d'e-mail à une adresse inventée associée à un site (essai@societe.com par exemple) renverra un message d'erreur, contenant l'adresse IP du serveur. Il peut aussi utiliser les adresses e-mail qui figurent sur le site de l'entreprise. L'outils Who is, qui permet des recherches sur l'adresse e-mail, ou l'adresse URL d'un site, retourne en réponse les coordonnées de l'hôte du service web, ainsi que la ou les adresses IP du serveur. La commande nbstat -A 100.100.100.100 lui donnera des informations sur le serveur possédant cette adresse IP, comme le numéro d'ordinateur, le nom des utilisateurs connectés. L'utilisation de finger donnera également des informations sur les comptes d'utilisateurs pour les systèmes utilisant TCP/IP et DNS.

2. Pour affiner la localisation du serveur web, L'outil DOS traceroute permet de connaître tous les nœuds IP traversé par un paquet jusqu'au serveur visé.

3. Une première intrusion peut alors être tentée par l'utilisation de Telnet. Si le premier port n'est pas accessible, un logiciel scanneur de port comme "Aggressor Exploit Generator" permettra de tous les passer en revue, au cas ou un l'eux serait ouvert.

4. Si le Telnet fonctionne, il faut souvent franchir la barrière de l'identification. Le pirate passe alors en revue les identifiants génériques, comme "root", "administrateur", "admin", "sys", "install", qui permettent d'avoir tous les pouvoirs d'administration. Il peut ensuite essayer des identifiants qui offrent moins de pouvoirs, comme "user", "guest", "invité". Il peut aussi essayer les identifiants récoltés à travers les e-mails figurants sur le site, en essayant des mots de passe génériques.

5. Si cette voie ne s'ouvre pas, le pirate se rabat sur le port FTP, et essaye d'utiliser les noms de serveurs ou les adresses IP qu'il a pu recueillir auparavant. Si le système s'ouvre, il recherchera alors le fichier contenant les mots de passe du réseau sous forme cryptée, qu'il pourra décoder avec un logiciel de crackage de mots de passe.

6. Si la porte FTP reste infranchissable, le pirate utilise les adresses électroniques récoltées avant pour entrer sur le serveur de messagerie, et pour ensuite récupérer le fichier passwd qu'il déchiffrera.

7. Une fois le mot de passe d'un utilisateur en main, le pirate peut tenter une nouvelle pénétration par un Telnet. Dès qu'il parvient à utiliser un compte d'utilisateur, il essaie d'augmenter les droits de celui-ci, pour pouvoir faire ce qu'il veut.

Les pirates ont d'autre méthodes pour obtenir des informations sur une entreprise. Une téléprospection ou un faux publipostage pourra recueillir des informations, ou les tickets de carte bleue dans les magasins, ou même les poubelles, qui peuvent révéler des informations confidentielles. Mais la plus grande source d'information reste sûrement l'internet, et principalement les forums de discussions qui fournissent une manne pour qui recherche des e-mails.

Les attaques ont donc souvent lieu à travers des entrées détournées du réseau, les " backdoors " ou portes de derrière. Elles sont d'autant plus à craindre qu'elles sont de plus en plus pratiquées par des personnes ne possédant pas forcement une grande culture informatique. Elles peuvent donc faire des dégâts sans le vouloir.

Déterminer et sécuriser les ressources accessibles depuis l'extérieur

Une topologie sécurisée

Pour une entreprise qui est connectée à internet, et a plus forte raison, qui offre des services sur internet (serveurs mail ou web au sein même de l'entreprise), il faut mettre des protections entre le réseau interne et le réseau externe. Un firewall permet par exemple de filtrer ce qui entre et ce qui sort.

Si certains serveurs doivent être en lien direct avec l'extérieur, on peut alors créer une zone "démilitarisée", qui sera protégée de l'extérieur par un firewall. Après cette zone, le réseau interne sera lui-même protégé par un autre firewall.

Dans un autre cas de figure, si une entreprise met en accès un site web depuis un serveur web, mais que le réseau interne n'a pas besoin d'utiliser de ressources externes, le serveur web peut alors être la seule machine connectée à internet, en étant totalement autonome par rapport au reste du réseau. Les autres postes du réseau sont donc totalement protégées des attaques extérieures.

Comme les risques d'intrusion sont plus importants pour un réseau offrant un accès public à un serveur web, il peut être judicieux de le séparer totalement du reste du réseau. S'il subit une attaque d'un pirate, le réseau locale ne pourra pas être touché. Le réseau local pourra quand même accéder aux données de ce serveur en se connectant via internet, comme tout autre client consultant ce serveur.

Dans le cas ou un serveur FTP est installé pour mettre en accès des fichiers depuis l'extérieur, il faut savoir que les mots de passe servant à identifier un utilisateur FTP circulent en clair sur le réseau. Il ne faut donc pas que les comptes du réseau interne servent à accéder au serveur FTP. Dans le domaine du possible, il est préférable de n'avoir que des accès anonymes sur le serveur FTP. Dans tous les cas, aucunes donnée confidentielle ne doit être stockée sur ce type de serveur.

Les postes qui offrent leurs services à l'extérieur sont par définitions toujours des serveurs, et ont donc des données sensibles. Il faut donc ouvrir les accès aux ressources dont ont besoin les utilisateurs extérieurs, mais uniquement celles-ci. Et tout comme pour les ressources partagées en locale, il faut définir et appliquer des droits précis : lecture seule, écriture, modification, contrôle total, ...

Ces machines doivent être particulièrement suivies. Les versions des systèmes et des applications doivent être régulièrement mises à niveau et les correctifs de sécurité doivent être installés dès qu'ils sont connus.

Tous les services réseaux inutiles seront désactivés, et un outil de contrôle et de trace des connexions tel que "tcp_wrapper" sur Unix sera utilisé. Sur ces serveurs, tous les messages de journaux d'audit seront renvoyés sur un serveur interne, pour être sûr qu'ils ne soient pas corrompus.

Les données confidentielles, internes à l'entreprise, ne seront pas placées sur ces serveurs. Par exemple, dans le cas d'un site internet publique, et d'un intranet privé, les données ne seront pas sur le même serveur.

Utilisation de Windows NT

De plus, une façon de recevoir les mise à jour de Windows NT le plus vite possible, dès que des trous de sécurités sont découverts et corrigés, est d'utiliser la version internationale. Les services pack et autres Hot-Fix sortent toujours avant pour cette version.

Limiter les accès secondaires au réseau

• Mise en place d'un accès distant via un modem sur un serveur.
• Utilisation d'un modem en local sur un poste pour accéder à internet ou à des services télématiques (Minitel, transferts bancaires, ...).
• Echanges de données avec d'autres entreprises par EDI (Echange de Données Informatisées)

Ces portes d'entrée doivent être ouvertes en connaissance de cause : elles sont des portes d'entrée aux intrusions au même titre que l'accès principal du réseau. De plus, elles sont utilisées par une personne en qui l'entreprise a toute confiance, comme un de ses employés, une banque, une entreprises associée, et on peut donc avoir tendance a ne pas protéger assez ces liens. Ainsi, si un pirate en découvre l'existence, il aura moins de difficultés à l'utiliser pour pénétrer le réseau.

Lors d'une connexion au réseau local à distance, par le service RAS sous Windows NT par exemple, il ne faut pas qu'une personne de l'extérieur puisse se faire passer pour un des administrateurs du réseau. Il aurait alors tout pouvoir, et pourrait causer de graves dommages. Il ne faut donc accorder le droit de connexion à distance à aucun administrateur, sauf s'il doit faire des tâches d'administration à distance. S'il doit juste accéder à certaines ressources du réseau, il peut utiliser un autre compte qui possède des droits moindres, et qui offrira donc moins de possibilités s'il se fait pirater.

Ces accès secondaires sont souvent mis en place à l'aide d'un modem. Or, un pirate peut utiliser un "numéroteur de choc", un logiciel qui compose des centaines ou des milliers d'appels par jour à la recherche des tonalités de connexion des modems. Une fois le numéro de téléphone associé au modem, il sait que ce numéro est une porte d'entrée vers un ordinateur, ou mieux, le serveur d'un réseau local. Il peut alors tenter de se connecter à l'ordinateur qui se trouve derrière le modem. Une solution pour que son modem ne soit pas repéré par de tels logiciels est de le configurer pour qu'il ne décroche pas dès la première sonnerie. Le numéroteur n'attendra pas plusieurs sonneries, et passera au suivant sans voir le modem.

Le choix des protocoles à utiliser

Pour une entreprise de petite taille, n'ayant pas besoin d'une sécurité maximale, les postes qui ne doivent pas être reliés directement avec l'extérieur peuvent avoir une adresse IP qui ne soit pas routable. Ce sont des adresse qui normalement, ne doivent pas être transmise sur internet par les routeurs. Les informations circulant en interne ne pourront donc pas sortir du réseau local.

• Pour la classe A : les adresse commençant par 10.-.-.-
• Pour la classe B : les adresse commençant par 128.-.-.-
• Pour la classe C : les adresse commençant par 192.-.-.-

Un serveur utilisant la pile de protocole TCP/IP offre potentiellement 1000 points d'entrée pour des clients, ou pour des pirates essayant de s'introduire dans son système. Le protocole communique en effet à travers des ports, au nombre de 1000. Certains sont connus, comme le port 20 ou 21pour le FTP, le port 80 pour le web, ou le port 23 pour Telnet. Ces ports connus sont souvent les premiers attaqués par des pirates, mais souvent les mieux protégés. Par contre, un logiciel de recherche de ports peut scruter tous les ports d'un serveur, et vérifier s'ils sont ouverts ou fermés, et dans la première alternative, s'ils sont protégés. En effet, certains logiciels ouvrent un port pour communiquer, mais ne le referme pas, laissant ainsi une porte d'entrée sur le système. Une technique est de tous les fermer, puis de rouvrir uniquement ceux qui sont utilisés. Ces outils d'analyse peuvent aussi être utilisés par l'administrateur pour vérifier l'état des ports d'un serveur. L'un de ces logiciel le plus connu est "SATAN"

Un risque sur certains réseaux à hautes performances, comme sur le Gigabits Ethernet, est de saturer les routeurs en raison du trop grand nombre de paquet à contrôler. Dans ce cas, le routeur pourra laisser passer des paquets sans les contrôler. Il faut donc plafonner la vitesse du réseau à celle que peuvent supporter les routeurs, ou prévoir des routeurs assez performants.

Le protocole TCP/IP n'est pas toujours indispensable au bon fonctionnement d'un réseau local. On peut donc utiliser une solution multi-protocoles pour empêcher une intrusion sur le réseau local. Par exemple, si un utilisateur en déplacement doit accéder à certaines données stockées sur un serveur, on peut lui configuré sa connexion pour utiliser le protocole NetBeui, qui a la particularité de n'être pas routable. Si le serveur auquel il accède est configuré pour NetBeui et TCP/IP, et les postes du réseau local pour TCP/IP, le client distant pourra bien accéder au serveur avec NetBeui, les postes du réseau local accéderont à ce même serveur avec TCP/IP, mais le client distant ne pourra pas accéder au réseau local.

Détection d'intrusion

Tout comme les logiciels antivirus, les détecteurs d'intrusions ont des signatures en mémoire qui permettent de reconnaître une tentative d'intrusion. Il est indispensable de mettre à jour régulièrement auprès des éditeurs ces fichiers de signatures.

De tels logiciels peuvent automatiquement, par message sur un poste ou par mail, avertir une personne déterminée en cas de détection d'intrusion. De façon autonome, ils peuvent aussi reconfigurer automatiquement le firewall pour qu'il bloque toute connexion en provenance de la source suspectée.

Il existe plusieurs façon de détecter qu'une personne extérieure essaye de s'introduire sur un réseau.
 

L'approche comportementale

• Les statistiques
• Les système expert
• Les réseau de neurones
• L'immunologie

L'approche par scénario

• Les systèmes experts
• La reconnaissance de mode opératoire
• Les algorithmes génétiques

Utilisation d'un firewall

Un firewall peut avoir deux utilités :

• Filtrage de paquets.
• Relais d'application ou Proxy.

Filtrage de paquets

Il sert aussi à superviser tout le trafic entrant et sortant du réseau, et fournit donc des informations pour détecter des tentatives d'intrusion, ou pour remonter jusqu'aux responsables d'intrusions.

Il ne s'agit pas d'une solution totalement efficace vis à vis des malveillances qu'un réseau local peut subir, mais c'est une façon de se préserver contre certaines tentatives d'intrusion. Elle est par exemple inefficace contre les attaques de virus.

Chaque paquet IP contient des informations que le routeur va extraire et étudier :

• l'adresse de l'expéditeur
• l'adresse du destinataire
• le port IP du service demandé
• le port IP du poste demandeur
• le flag (drapeau) qui précise si le paquet est une réponse à une demande de service, ou un demande d'établissement de connexion. Un flag ayant la valeur "ACK" (acknowledge) indique que le paquet fait partie d'une discussion en cours
• la date

Tout ce qui n'est pas explicitement interdit est autorisé : Dans ce cas, les règles décrivent l'ensemble des services qui doivent être filtrés par le firewall. Les critères de chaque paquet sont comparés aux règles, les unes après les autres, et si aucune ne rejette le paquet, il est accepté.

Tout ce qui n'est pas explicitement autorisé est interdit : Dans ce cas, les règles décrivent l'ensemble des services qui doivent être acceptés par le firewall. Les critères de chaque paquet sont comparés aux règles, les unes après les autres, et si l'une accepte le paquet, il est accepté.

On peut par exemple, dans un environnement très sécurisé, n'accepter que les paquets entrant comprenant le flag acknowledge. Ceci qui signifie que les utilisateurs internes peuvent demander des services à l'extérieur, et que seul les réponses à ces demandes de services peuvent pénétrer le réseau.

Dans un fichier de règle, il est important de faire attention à l'ordre des règles. Elles sont appliquées les unes après les autres, comme si on appliquait des tamis des plus en plus fins. Donc, si un service est rejeté par une règle, puis accepté par une autre règle plus loin dans le fichier, il ne sera pas accepté.

Exemple de règle :

• access-list 101 permit udp a.b.0.0 0.0.255.255 0.0.0.0 255.255.255.255 eq 53
• access-list 101 deny ip c.d.e.f 0.0.0.0 0.0.0.0 255.255.255.255

• Autorise l'accès au port 53 de toutes les machines du réseau interne depuis les machines externes ayant une adresse IP dans la plage a.b.0.0 à 0.0.255.255
• Interdit ensuite l'accès de la machine ayant l'adresse IP c.d.e.f sur tous les ports de toutes les machines du réseau interne.

De plus, ils ne sont pas capables de déchiffrer les informations liées au "login". Si une intrusion passe le cap des filtres, il est difficile de reconstituer le schéma de l'intrusion.

Conclusion sur le filtrage de paquets :

• Solution peu coûteuse, car il suffit de configurer un routeur avec les règles à appliquer.
• Configuration délicate pour une solution optimale.
• Certains services sont difficiles à sécuriser.
• Chaque paquet est vérifié, donc un nombre de règle trop important peut ralentir le travail du routeur.

Relais d'application ou Proxy.

Son rôle :

• Il relaye tous les échanges entre clients et serveurs
• Il authentifie tous les services
• Il maintient un journal de toutes ce qui passe par lui
• Il masque certaines informations (nom et adresse IP) des machines du réseau interne, et les remplace par les siennes

Par contre, les applications doivent être prévues pour utiliser un Proxy, et l'utilisateur doit configurer ses applications localement avec les informations du Proxy. Son utilisation n'est pas transparente.

D'autres services, parfois utiles sont fournis par les Proxy :

• Un historique de toutes les connexions à l'internet des utilisateurs est maintenu. On peut ainsi contrôler l'activité des utilisateurs.
• Une liste d'URL peut être interdite, pour proscrire certains sites aux utilisateurs internes.
• Les pages web récemment consultées sont mises en cache, ce qui accélère les consultations.

Un exemple d'outils de gestion de la sécurité sur un réseau IP: IP-Watcher, d'En Garde Systems

Plusieurs produits d'observation du réseau existent. IP-Watcher en est un, et il permet de contrôler tout ce qui se passe sur un réseau, et de prendre le contrôle des sessions en cours. Ce type d'outils est donc très puissant, met peut aussi être très dangereux s'il est utilisé par une personne mal intentionnée.

Les services fournis par IP-Watcher sont :

• Inspection de toutes les données transmises entre deux postes, et de toutes les connexions au réseau.
• Permet de visualiser en temps réel une session d'un poste du réseau, comme l'utilisateur de la session, et de l'enregistrer en mode texte, pour étude ultérieure.
• Une interface permet de sélectionner et de filtrer les sessions à étudier.

Une attaque par dénie de service est très facile à effectuer, il suffit de stopper une session d'un serveur. De plus, si le client est déconnecté, il essaiera sûrement de se reconnecté, et l'utilisateur de l'analyseur réseau pourra alors capter le mot de passe s'il est envoyé en clair.

La seule riposte à ce type de logiciel est de crypter les donnée, car même si une session est détournée, et que le pirate redirige vers lui des informations, il ne pourra pas les lire.

Protection vis à vis des virus

Avant le développement de l'internet, les virus se propageaient presque uniquement par l'échange de disquettes. En contrôlant leur utilisation, on pouvait alors se protéger efficacement. Aujourd'hui, ils utilisent principalement les courriers électroniques, et circulent donc par l'internet.

Quelques règle de sécurité peuvent diminuer les risques :

• Ne jamais ouvrir un fichier joint à un e-mail si son expéditeur est inconnu. Sa simple exécution peut permettre au virus de se développer.
• Avoir un logiciel antivirus installé sur chaque poste du réseau, et télécharger régulièrement les mise à jour des signatures de virus mises à disposition sur les sites des éditeurs.
• En cas de contamination d'une machine, limiter au maximum ses liens avec les autres machines du réseau, jusqu'à l'éradication du virus, pour éviter sa propagation à d'autres postes.
• Si un virus est détecté, mais que le logiciel n'arrive pas à le supprimer, envoyer les informations sur ce virus à l'éditeur du logiciel, pour lui permettre de trouver une parade. Cette procédure est souvent automatisée sur les logiciels récents.

Les cibles des virus

Les virus du secteur d'amorce du disque dur ou des disquettes : ce secteur est le premier qui est chargé en mémoire centrale lors du démarrage du système. Les virus cherchent donc à y écrire leur code pour être exécuté à chaque démarrage.

Les virus des tables de partition des disques durs : Cette table, qui décrit l'organisation du disque dur en disques logiques, est chargée à chaque démarrage du système, et n'est pas modifiée lors d'un formatage classique du disque dur. C'est donc un emplacement stratégique pour les virus. Il faut un formatage de bas niveau pour le supprimer.

Les virus de macro cherchent à infecter les documents créés par les logiciels de bureautique les plus courants, en s'associant aux macros qui peuvent les accompagner. Ils sont surtouts présents dans des fichiers Word, Excel, et peuvent circuler sur les versions PC ou Macintosh.

Les virus de blocs modifie les entrées dans les répertoires et dans la FAT, pour que certains programmes pointent vers eux.
 

Un virus intelligent peut se protéger

Les virus furtifs

Les virus cryptés

Les virus mutants

Les virus de pièges

Les rétrovirus

Les risques encourus

Mais par contre, un virus ne peut pas détruire le matériel. Il peut juste supprimer, copier ou altérer des données, ou au pire, supprimer le BIOS d'une carte mère, ce qui la rendra inutilisable, mais il est presque toujours possible de le réinstaller.

Tester les solutions mises en place

On pourra ainsi améliorer la solution choisie, si la faiblesse est importante, ou bien seulement prévoir les améliorations possibles dans le futur si les corrections n'ont pas un caractère urgent.

6 - Sécurité passive

Veille technologique

Elle peut s'effectuer auprès de divers organismes :

• Les fournisseurs de services ou de matériel informatique ont souvent des listes de diffusions, forums ou sites web qui permettent de faire circuler les informations à propos des problèmes rencontrés sur leurs systèmes, ainsi que les solutions qui peuvent y être apportées. Par exemple, si l'entreprise utilise une liaison spéciale comme TRANSPAC, RENATER ou autre, ces organismes ont des groupes de travail chargé de suivre toutes les évolutions des systèmes informatiques. Des groupes de travail comme le CERT (Computer Emergency Response Team) publient aussi très régulièrement des avis sur les trous de sécurité qu'ils peuvent trouver.

 
• Certains site web mettent en accès au monde entier des méthodes pour prendre la main sur des serveurs sur un réseau, ou pour mettre à mal un système informatique. Ils fournissent donc des armes redoutables au public, mais ils offrent aussi souvent les contre attaques à apporter à ces méfaits. Leur but est souvent de pousser les éditeurs de systèmes à rendre leurs produits encore plus fiables. Malheureusement, n'importe qui peut découvrir ces sites et appliquer ces méthodes. On peut donc se tenir régulièrement au courant de l'actualité de ces sites, pour prévoir ce qui pourrait arriver, et mettre en place des protections.

 
• En ce qui concerne les évolutions des réglementations : il est nécessaire de se tenir au courant des modifications de celle-ci. Par exemple pour la cryptographie, que ce soit dans son propre pays, mais aussi dans le reste du monde.

Suivi des audits

• L'audit système. Certaines actions sur le réseau peuvent permettre de détecter un comportement anormal d'un utilisateur. Il suffit de mettre en place des audits, et de définir quelles actions à auditer, et à quel niveau. Par exemple, si on fait un suivi des tentatives de connexion sur le réseau, on pourra conserver les traces de toutes les connexions ou tentatives de connexions, ou pour un environnement moins sécurisé, uniquement les tentatives ayant échouées, ou celles sous un certain nom d'utilisateur. On pourra aussi suivre toutes les actions d'un employé qui est suspecté de malveillance. Les autres événements systèmes pouvant être audités sont :
• Les événements de gestion des utilisateurs et des groupes (création d'un nouvel utilisateur, modification des droits d'un utilisateur ou d'un groupe, ...).
• Détection de l'activité des utilisateurs (exécution d'un programme, accès réussi ou non à un objet, ...).
• Connexion ou déconnexion au niveau de la machine local ou du réseau.
• Modification des stratégies de sécurité.
• Tentative d'utilisation des privilèges.
• Evénements systèmes affectant la sécurité du système ou du journal des événements.
• L'audits applicatifs
• L'audit du système de fichier. Quand certains fichiers partagés sur le réseau ont des droits d'accès particuliers, on peut vérifier de temps en temps si ces droits n'ont pas été modifiés. Une recherche des fichiers modifiables par tous les utilisateurs est aussi possible, et permet de détecter des modifications de droits d'accès non autorisées.
• Les paquets du réseau
• ...

Il faut par contre garder en mémoire que l'audit consomme de ressources du système, car il doit écrire toutes les opérations auditées dans les journaux. De plus, la consultation des audits est souvent longue. Il faut donc définir avec soin les actions à auditées, et cibler ses choix. Il est inutile de contrôler les connexions de tous les employés si on ne veut en fait vérifier que le comportement d'un seul d'entre eux. On peut par exemple définir des filtres qui ne retiendront que les informations essentielles, permettant de détecter une intrusion ou une activité illicite.

L'audit n'est par contre une source sure d'information que si elle n'est elle-même pas attaquée par un pirate, qui pourrait effacer les traces de ses propres actions dans les journaux. Sous Windows NT, les journaux sont au nombre de trois, et se situent dans le répertoire : systemroot\System 32\Config.

• APPEVENT.EVT : journal des événements d'application
• SECEVENT.EVT : journal des événements de sécurité
• SYSEVENT.EVT : journal des événements système

Un responsable de la sécurité

L'administrateur du réseau est ainsi soulagé d'une tâche qui lui incombe souvent.

Cela permet de plus de ne pas isoler ce problème au niveau du service informatique de l'entreprise, mais de concerner tous les services. La sécurité doit en effet s'intégrer d'une manière horizontale, et être appliquée dans tous les secteurs.

7 - Conclusion

Au niveau des états, l'exemple du gouvernement américain est flagrant : il possède le réseau Echelon, qui permet à l'agence NSA d'écouter les communications de la planète entière. Ils réussissent à influencer les fabricants de matériel du monde entier pour adapter les techniques de chiffrement de telle sorte qu'ils puissent les décoder. A moins qu'ils ne placent leurs anciens responsables à des postes stratégiques dans des sociétés concevant des systèmes de sécurité. On peut ajouter à cela une puissance de calcul titanesque qui leur permet de traiter et de stocker toutes les douze heures un volume de données équivalent à celle de la bibliothèque du congrès américain. Il est donc inconcevable, avec de telles puissances, d'espérer protéger parfaitement des données, ou des échanges d'informations.

8 - Bibliographie

Livres

• UNIX, utilisation, administration, système et réseau de Christian Pélissier
• Linux, le Macmillan Edition 1999, 5ème édition, de Jack Tacket et Jr. Steven Burnett
• Supports de cours pour la certification Microsoft Windows NT 4 Server
• Guide pratique de la sécurité sous Windows NT de Tom Sheldon
• Les réseaux de Guy Pujolle
• Documentation de produits 3 Com

Revues

• 01 Réseaux

Sites web

• Observatoire de la sécurité des systèmes d'information et des réseaux (http://www.ossirr.org)
• Comité réseau des universités (http://www.cru.fr)
• CERT (www.cert.fr)
• CNRS (http://www.cnrs.fr)
• IGTech (http://www.igtech.fr)
• La page des réseaux (http://www.guill.net)
• Security (http://securite.web-france.com)
• Transtec (http://www.transtec.fr)

Travaux universitaires

Documentation de matériel

• 3 com
• Transtec (les illustration sur le RAID en sont issues)

Malgré tout les efforts de l'auteur pour réalisé un document exhaustif sur le sujet abordé, il est evident que certains aspects n'ont pas été traités. Il s'agit d'une étude des sécurités d'un réseau, pas d'un document de référence.

De même, l'auteur s'est efforcé de vérifier le sérieux et la véracité de tous les documents utilisés lors de ses recherches. Mais une erreur est toujours possible dans l'interpretation, ou dans les sources elles-mêmes. De plus, certaines informations peuvent se révéler fausse au bout d'une certaine période. L'auteur ne pourra en aucun cas en être tenu pour responsable.

Pour toute remarque ou commentaire : nicolas.jeannes@libertysurf.fr