Sécurité informatique

Sécurité Informatique

Quels sont les composants de la sécurité ?

Disponibilité

Confidentialité Intégrité

Disponibilité

Les données doivent être disponibles en permanence.

Pour garantir cette disponibilité, les données doivent être stockées sur un matériel « FAULT TOLERANT ».

Elles doivent être protégées contre les erreurs de manipulation.

Les moyens d’accès (réseau, modem, …) seront toujours opérationnels.

Confidentialité

Les données ne doivent être accessibles qu’aux personnes autorisées, de la manière autorisée.

Afin de permettre ces accès discriminatoires, il est nécessaire de :

•Pouvoir identifier les utilisateurs.

•Définir des niveaux d’accès aux données.

•Associer les utilisateurs aux droits d’accès.

•Vérifier les tentatives d’accès

Intégrité

Les données ne doivent pas être altérées.

La confidentialité ne peut s’appliquer en milieu ouvert ; les données doivent être protégées d’une autre manière (cryptage).

Lors d’échange d’informations entre tiers, l’intégrité est essentielle. Il est aussi indispensable de garantir l’identité des intervenants : NON REPUDIATION.

Les 3 ‘A’

INT

EG

RIT

E

CO

NF

IDE

NT

IAL

ITE

AAuthentification

AAutorisation AAudit

Règles

de

l’entreprise

Degrés de sécurité

AXIOME : 100% de sécurité n’existe pas !!!

« Le SEUL système qui est vraiment sûr est celui qui est mis hors tension et débranché, enfermé dans un coffre-fort en titane, enterré dans un bunker, entouré de gaz asphyxiant et de gardes très bien payés. Même avec ceci, je ne risquerai pas ma vie dessus…. »

Gene Spafford—Director, Computer Operations, Audit, and Security Technology (COAST), Purdue University

Politique de sécurité

Chaque entreprise devrait établir une politique de sécurité informatique.

Cette politique sera établie comme suit :

Analyse des risques

Mise en place des Outils et procédures

Tests Définition solutions

Analyse des risques

Que faut-il protéger ?

De quoi et de qui faut-il se protéger ?

Quels sont les risques d’apparition ?

Pertes maximales en cas d’apparition ?

Analyse : que faut-il protéger ?

Les données.

Protéger les données implique :

•Protéger les machines sur lesquelles elles se trouvent. (Physical access means Data access !).

•Protéger le média par lequel elles transitent.

•Protéger tout support sur lequel elles se trouvent (backup, swap file, …).

•Protéger les impressions.

Analyse : que faut-il protéger ?

Les applications

Les applications dont les sources d’installation ne sont plus disponibles sont à considérer comme des données.

Le code source des applications développées en interne. Problématique du copyright.

Analyse : de quoi se protéger ?

Des défaillances matérielles. Hardware fault tolerant

Des utilisateurs (maladresse, malveillance, …) Backup, journalisation

Des attaques Anti-virus, firewall, Nat, Relay, Sniffers, …

Du vol. Niveau d’accès, procédure…

Analyse : probabilité d’apparition

AXIOME : Le risque est toujours SOUS ESTIMÉ.

Menée auprès de 739 entreprises réparties dans 15 pays, l'enquête du cabinet Ernst & Young révèle que plus de 60 % de ces sociétés ont subi une fraude de leur système informatique sur les 12 derniers mois. Or, seules 42 % d'entre elles sont assurées contre ces risques (36 % en 1998).

D'après l'étude, 82 % des fraudes identifiées ont été commises en interne : la moitié des personnes mises en cause travaillait dans l'entreprise depuis plus de 5 ans !

Analyse : Evaluation des pertes.

Les pertes peuvent être de plusieurs types :

•Secrets d’entreprises amenés à la concurrence.

•Coût de la remise en état d’un système corrompu.

•Perte de productivité pendant la remise en état.

•Perte de confiance des fournisseurs / clients informés d’une intrusion.

•Dédommagement des clients…

Définition des solutions

La définition d’une solution doit inclure :

•Les outils pour parer aux risques.

•Les procédures de fonctionnement (attribution des tâches).

•Les procédures de secours.

•Les procédures de retour en situation standard.

•Les procédures juridiques.

Définition des solutions

Le facteur humain.

• Qui vérifiera les logs ? • Qui mettra à jour les Firewalls ? • Qui analysera et mettra en place les corrections logicielles et

les recommandations de sécurité (www.cert.org) ?• Qui générera et supprimera les clefs et certificats ?• Qui autorisera les modifications ? • Qui donnera les instructions à suivre en cas d’attaque ou de

sinistre ? • Qui validera les formations nécessaires, etc ?

Si les solutions ou principes ne sont pas acceptés lors de la phase de définition - ils ne seront probablement jamais mis

en place ou appliqués

Mise en place des solutions.

La mise en place des solutions est une étape critique. En effet, les plus sérieuses brèches en terme de sécurité ne proviennent pas de bugs, de systèmes sophistiqués, de détournements de trafic (backcross) ou d’oublis de corrections de faiblesses techniques (patch) mais …

Tout simplement d’erreurs de paramétrage

Les meilleurs outils sont inutiles si leur utilisation est incorrecte. La sécurité est affaire de spécialistes.

Test et …Analyse des risques

Avant de mettre en production une solution, il est indispensable de la tester.

Par ailleurs, chaque jour, de nouvelles failles de sécurité sont découvertes et de nouveaux correctifs pallient à celles-ci. Il est indispensable de comprendre que la sécurité nécéssite une gestion quotidienne.

Disponibilité : Hardware.

Aucun matériel ne garantit une fiabilité totale.

De ce fait, il est nécessaire de disposer de matériel de remplacement.

Ce matériel peut être utilisé, il ne doit pas être « dormant ».

EVITER LES SPOF (Single Point Of Failure).

REDONDANCE.

Redondance : Disques durs

RAID : Redundant Array of Independant Disks.

Principe : l’information est distribuée sur plusieurs disques. Il existe divers niveaux de RAID.

RAID I

Aussi appellé MIRRORING.

Ce qui est écrit sur un disque est aussi écrit sur l’autre.

Avantages.

Améliore la lecture sans pénaliser l’écriture.

Inconvénients.

Coût (50%) de l’espace est perdu pour assurer la sécurité.

RAID III

L’information est distribuée sur plusieurs disques avec un contrôle de parité.

Avantages.

Vitesse de lecture.

Coût (sécurité demande 1 disque).

Inconvénients.

Vitesse d’écriture (calcul parité)

RAID V

Idem RAID III mais avec distribution de la parité sur tous les disques

Avantages.

Idem RAID III

Inconvénients.

Vitesse d’écriture (calcul parité) mais moindre que sous RAID III

Autres niveaux RAID

Il existe d’autres niveaux de RAID.

RAID IV

RAID VI

RAID 10

RAID 30

RAID 50

NAS … SAN

Les NAS (Network Attached Storage) et les SAN (Storage Area Network) intègrent généralement des notions de redondance RAID.

Le stockage est une technologie en pleine évolution.

Redondance : électricité

Une défaillance de l’alimentation électrique peut survenir :

• Au niveau du secteur.

• Au niveau du circuit interne.

• Au niveau de l’alimentation de l’ordinateur.

Redondance : électricité - interne

Pour se prémunir contre une défaillance de l’alimentation interne de l’ordinateur, nous choisirons un ordinateur équipé d’alimentations redondantes.

ALIM 1 ALIM 2

SERVEUR

Redondance : électricité - circuit

Pour se prémunir contre une défaillance du circuit d’alimentation, nous utiliserons plusieurs circuits séparés. Ces circuits seront topologiquement séparés.

ALIM 1 ALIM 2

SERVEUR

Circuit A

Circuit B

Redondance : electricité - secteur

Pour se prémunir contre une défaillance du secteur, nous devons disposer de matériel fournissant une source d’électricité alternative. Deux types de matériels existent :

Les UPS. Ils visent à suppléer au secteur le temps d’arrêter les ordinateurs correctement. Ils peuvent être actifs ou passifs.

Les générateurs. Ils fournissent l’électricité tant que le secteur n’est pas disponible. Ils nécéssitent généralement des UPS pour assurer l’alimentation le temps de leur mise en route.

Redondance : électricité - résumé

ALIM 1 ALIM 2

SERVEUR

ALIM 1 ALIM 2

SERVEUR

ALIM 1 ALIM 2

SERVEUR

UPS UPS

Redondance : NICs

Les NICs (Network Inteface Cards) connectent les ordinateurs entre eux. Très souvent, d’autres composants interviennent dans le transport des données (Hubs, Switches, …).

Afin de se prémunir contre une défaillance d’un de ces éléments, on mettra en place un réseau full redondant.

Des impératifs budgétaires restreindront souvent celui-ci à une redondance au niveau serveurs. Divers fabricants de NICs présentent des modèles ‘teamable’ permettant de disposer de Fail-Over ou de Load-Balancing.

Redondance : Hot Pluggable

Les différents composants énoncés ci-dessus existent en versions ‘Hot-Pluggable’.

Ceci signifie que le composant défectueux peut être remplacé sans éteindre l’ordinateur. Ceci permet de réduire considérablement le ‘DOWN TIME’ et donc les pertes pour l’entreprise.

Redondance : Cluster

Un cluster est un groupe de machines considérées comme une seule. Il existe deux méthodes de clustering

Actif – Passif. Une des deux machines est active et exécute toutes les tâches dévolues au cluster. L’autre est ‘dormante’. Elle surveille la disponibilité de la première. En cas de non présence de la première, elle reprend toutes les tâches du cluster. On dispose de fonctionnalité de Fail-Over.

Actif – Actif. Les machines se partagent les tâches dévolues au cluster. On dispose de Load-Balancing.

Généralement le clustering demande une configuration matérielle spécifique.

Redondance considérations pratiques

Même si l’on dispose de matériel redondant, le matériel défectueux doit être remplacé au plus vite. En effet, tant qu’il n’est pas remplacé, on ne dispose plus de sécurité.

Un peu vaut mieux que rien.

Disponibilité : Facteur humain

Disposer de matériel full redondant ne suffit pas. En effet, toute la redondance du monde ne protège pas un fichier contre un effacement par un utilisateur !

Pour pallier à l’effacement par un utilisateur, il est nécessaire de conserver plusieurs versions de chaque fichier. Pour ce faire, deux méthodes :

•Le backup.

•Un système de fichiers journalisés.

AXIOME : L’UTILISATEUR N’A JAMAIS RIEN FAIT !

Backup

Le backup est une copie des données.

Il est nécessaire de mettre en place une politique de backup. Cette politique de backup doit gérer les questions suivantes :

• Quel média sera utilisé ?

• Quelle(s) méthode(s) ?

• Quelle est la fenêtre de temps disponible ?

• Qui va gérer les bakups ?

• Où seront stockés les backups ?

• Quels logiciels spécifiques sont-ils utilisés et devons-nous intégrer dans notre politique ?

Backup : médias

Les bandes magnétiques.

Divers formats existent : travan, dat, DLT, LTO, AIT, Magstar. Ceux-ci offrent des niveaux de performances et de fiabilité variables.

Le type et la capacité des appareils sont eux aussi très diversifiés allant du simple lecteur à la librairie multi-lecteurs avec robot de chargement.

Les bandes magnétiques constituent à l’heure actuelle le média le plus largement utilisé.

Backup : médias

Les graveurs.

Moins rapides et de moindre capacité que les bandes magnétiques, ils complètent celles-ci.

En effet, ils disposent de certains avantages :

• Facilité de relecture (le lecteur est universel).

• Durée de conservation.

Les magnéto-optiques

Entre les deux médias ci-dessus.

Backup : méthodes

Diverses manières de réaliser le backup sont envisageables.

Complet. Un backup complet copie toutes les données.

Incrémental. Consiste à copier les données modifiées depuis le dernier backup complet ou incrémental.

Différentiel. Copie les données modifiées depuis le dernier backup complet.

Une politique de backup comportera certainement plusieurs méthodes.

Backup : fenêtre de disponibilité

Diverses données telles :

Utilisateurs non connectés fichiers non ouverts,

Optimisation de disques,

Maintenance,

vont définir quand il est permis de procéder au backup.

La période pendant laquelle il est permis d’effectuer un backup est appelée « Fenêtre de Backup ».

Backup : choix

Capacité média >= volume à sauvegarder.

Vitesse média >= volume / fenêtre.

Backup : facteur humain

Une personne sera désignée pour gérer les médias.

Cette fonction essentielle sera assurée en cas d’absence de la personne responsable. Des remplaçants seront prévus.

Backup : stockage

Le lieu de stockage des backups est essentiel. Il doit cependant obéir à certaines règles.

–Eloigné des données (en cas de destruction des données, il est indispensable que le backup soit intact).

–Garantir la bonne conservation (ex : pas de bandes magnétiques proches des champs magnétiques…).

Backup : logiciel

Divers logiciels de backup existent.

Les meilleurs d’entre eux permettent en option:

•Le backup de bases de données sans arrêt du serveur.

•Le backup des fichiers en cours d’utilisation.

•Le backup des serveurs de messagerie.

•La restauration accélérée (disaster recovery)

•…

Comme spécifié précédemment, ils est nécessaire de procéder à un inventaire logiciel avant de choisir un outil.

Backup : Réflexions

Le backup n’est pas votre objectif. Votre objectif est la RESTAURATION.

Il est indispensable de procéder périodiquement à des tests permettant de vérifier que la récupération des données s’effectue sans problème.

La politique de backup doit être clairement définie. Les différents intervenants doivent y souscrire. Rappellez-vous:

Si les solutions ou principes ne sont pas acceptés lors de la phase de définition - ils ne seront probablement jamais mis en place ou appliqués

Disponibilité : journalisation

Un système d’exploitation avec système de fichier journalisé conserve x versions de chaque fichiers.

La plupart des outils NAS ou SAN utilisent ce type de gestion de fichiers.

Parmi les systèmes d’exploitation « classiques » des PME, cette fonction n’est offerte que par Novell et Linux (REISERFS).

Confidentialité

Les données ne doivent être accessibles qu’aux personnes autorisées, de la manière autorisée.

Afin de permettre ces accès discriminatoires, il est nécéssaire de :

•Pouvoir identifier les utilisateurs.

•Définir des niveaux d’accès aux données.

•Associer les utilisateurs aux droits d’accès.

•Auditer les tentatives d’accès.

Confidentialité : identification

Pour s’identifier, trois méthodes existent.• Ce que je sais. (login + password).• Ce que j’ai et ce que je sais (smartcard + pin code).• Ce que je suis et ce que je sais (biometrics).

Identification : ce que je sais

Cette méthode d’identification est la moins sûre.

Premièrement, la majorité des mots de passe peuvent être ‘devinés’. En effet, un mot de passe ne peut en aucun cas correspondre à :

• Nom ou prénom du conjoint, des enfants, des animaux.• Numéros de téléphone du conjoint, …• Plaque minéralogique, numéro de tva, …• Marque de l’ordinateur, de l’écran, de tout appareil visible

depuis l’ordinateur.

Or, ce type de mot de passe correspond à près de 70% des mots de passe utilisés.


De plus, divers outils de forçage des mots de passe existent. Tous les mots de passe sont vulnérables à une BFA (Brute Force Attack, essayer tous les mots de passe possibles).

Le choix du mot de passe va directement influencer la durée nécessaire à la BFA. Ce délai passé, il est certain que le mot de passe sera trouvé. Il est est donc indispensable de chercher à augmenter cette durée jusqu’à son maximum.

Même alors, le mot de passe finira par être décodé. Il faut imposer le changement périodique du mot de passe. De même, il faut forcer la mémorisation des mots de passe pour éviter la bascule.


Un mot de passe répondant aux caractéristiques suivantes : Longueur 15 caractères et constitué uniquement de chiffres demande 1015 essais. Un mot de passe contenant chiffres, minuscules, majuscules et caractères spéciaux 12515.

Attention, les utilisateurs répugnent à utiliser des mots de passe complexes.

Il est possible d’imposer l’utilisation de ce type de mots de passe. Attention au phénomène des post-it.

Identification : ce que je possède

Une SmartCard est un mini-ordinateur qui peut :

•Stocker des données.

•Calculer.

Cela permet de stocker un ‘super mot de passe’ tout en n’exigeant de l’utilisateur que la mémorisation d’un code simple. En effet, le pin-code n’est utilisé que pour autoriser la carte à envoyer le super mot de passe dans le système.

Ceci constitue un net progrès par rapport au login + password.

Identification : ce que je suis

Les mesures biométriques constituent le sommet des méthodes d’identification. Elles mesurent des caractéristiques physiques difficilement falsifiables :

•Empreinte digitale.

•Empreinte vocale.

•Empreinte rétinienne.

Leur mise en œuvre n’est cependant pas encore très répandue du fait du coût élevé des appareillages impliqués.

Il s’agit toutefois d’un secteur en pleine explosion.

Identification : reciprocité

De nombreux systèmes n’incluent qu’une identification de l’utilisateur par le réseau.

D’autres systèmes demandent une identification mutuelle. L’utilisateur prouve son identité au réseau et les serveurs prouvent leur identité à l’utilisateur. Ce type d’identification est nettement supérieur.

Le protocole d’identification mutuelle le plus utilisé est KERBEROS.

Confidentialité : droits d’accès

La notion de droit d’accès recouvre plusieurs points.• Autorisation d’accès aux fichiers, répertoires et

imprimantes.• Droits des utilisateurs.• Autorisation d’accès aux machines.• Autorisation d’accès à certains segments du réseau.• Autorisation Emails.

CHAQUE UTILISATEUR DOIT DISPOSER DU NIVEAU D’ACCES MINIMUM INDISPENSABLE.

Droits d’accès : accès ressources

Les droits d’accès doivent être soigneusement planifiés.

Les attributions des droits d’accès seront généralement faites sur des groupes plutôt que sur des utilisateurs.

Pour permettre une gestion correcte de ces attributions, il est nécessaire de documenter au moyen des matrices suivantes :

Utilisateurs / GroupesGroupes / GroupesRessources / Groupes niveau d’accès.

Accès ressources : matrices

Matrice des utilisateurs / groupes

Groupe 1 Groupe 2 Groupe 3

Utilisateur 1 X X

Utilisateur 2 X

Utilisateur 3 X X

Utilisateur … X



Groupe A X X

Groupe B X X

Groupe C X

Groupe X… X X

Matrice des groupes / groupes


Matrice des (ressources / groupes) Droits


C:\truc Lire Modifier

D:\direction Modifier

C:\toto Ajouter Lire

Printer 1 Imprimer Gerer document

Droits d’accès - droits utilisateurs

Les droits des utilisateurs définissent des tâches que les utilisateurs peuvent accomplir. Ces droits sont par exemple :

•Changer l’heure.

•Partager une ressource.

•Changer la priorité d’un process.

•Arrêter la machine.

Pour le reste, la mise en œuvre sera identique aux droits d’accès aux ressources. Les matrices utilisateur / groupe, groupe / groupe et droits / groupe seront nécessaires.

Droits utilisateurs : matrices

Matrice des utilisateurs / groupes


Utilisateur 1 X X

Utilisateur 2 X

Utilisateur 3 X X

Utilisateur … X



Groupe A X X

Groupe B X X

Groupe C X

Groupe X… X X

Matrice des groupes / groupes


Matrice des (ressources / groupes) Droits


Changer heure X

Arrêter X

Créer partage X X

Changer priorité X X

Confidentialité : audit

Une correcte définition des droits d’accès ne permet pas de répondre à certaines question indispensables :

• Des tentatives d’accès non autorisées se sont-elles produites ?

• Qui a modifié l’appartenance à ce groupe ?• Quels sont les utilisateurs qui ont accédé à cette

ressource au cours des dernières 24h ?

Les réponses à ces différentes questions seront fournies par l’audit.

L’audit consiste à enregistrer l’utilisation qui est faite des différentes autorisations.

Audit : notions de base

L’audit enregistre QUAND, QUI fait QUOI à QUELLE RESSOURCE.

Pour permettre un audit efficace, il est nécessaire de pouvoir identifier de manière précise les différents utilisateurs. Ainsi, si différents utilisateurs doivent agir en temps qu’administrateur, on créera un utilisateur avec le niveau administrateur pour chacun.

De même, les utilisateurs devant disposer du privilège d’administrateur possèderont un autre compte avec des privilèges standards. Ils n’utiliseront leurs comptes administrateurs que lorsque c’est obligatoire.

Audit : objectifs

L’audit permet de :

Vérifier l’accès autorisé aux ressources

Prouver que quelqu’un a fait quelquechose. Il s’agit par exemple de définir parmi tous les utilisateurs disposant des droits d’accès nécessaires, lequel a effacé un fichier.

Vérifier les tentatives d’accès à des ressources

Voir que l’utilisateur X a essayé d’accéder au répertoire comptabilité 5 fois par jour pendant deux mois alors qu’il ne possède pas de droits d’accès.

Vérifier l’accès non autorisé aux ressources

X a accédé une ressource. Selon les matrices, il ne peut pas !

Audit : gestion

L’enregistrement de l’utilisation des permissions est inutile si personne ne le consulte. Or, dans 95% des sociétés, il n’y a pas de réelle gestion de l’audit.

Une politique d’audit est aussi nécéssaire qu’une politique de backup. Elle doit définir :

Qui est responsable de l’analyse des logs.Qui le remplace quand il est absent.La fréquence de cette analyse.Comment est archivé l’audit, Où, …

Dans certains cas l’audit et son archivage sont obligatoires

Droits d’accès : accès machines

AXIOME : « PHYSICAL ACCESS MEANS DATA ACCESS »

Pour un spécialiste, l’accès physique à une machine est synonyme d’accès aux données qu’elle contient. Le plus simple pour voler des données informatiques est de voler la machine qui les contient.

L’ACCÈS PHYSIQUE À TOUTE MACHINE CONTENANT DES DONNÉES DOIT ÊTRE SÉCURISÉ.

Les données seront donc centralisées sur des serveurs. Ceux-ci seront placés dans un local sécurisé. Les accès à ce local seront restreints et enregistrés.


Les workstations, n’étant pas sécurisées, ne doivent pas contenir de données. Cependant, il n’est pas aussi simple de s’assurer de l’absence de données sur les stations.

Premièrement, il sera nécessaire d’éduquer les utilisateurs au fonctionnement réseau, voire même de leur interdire de stocker des données « en local ».

Ensuite, il faudra gérer la problématique de l’environnement utilisateur.

Enfin, il faudra vider les fichiers et répertoires temporaires de leurs contenus.


Les ordinateurs portables posent de nombreux problèmes. En effet, de par leur nature, ils doivent souvent contenir des copies des données de l’entreprise. Ils sont aussi les plus facilement accessibles.

Des solutions existent (mot de passe sur le bios, le disque dur; encryptage des données, …). Elles sont très rarement mises en œuvre et font de ce fait des ordinateurs portables une des failles de sécurité des plus classiques.


Une parfaite mise en œuvre des droits d’accès ne suffit pas. Il est en outre INDISPENSABLE d’éduquer les utilisateurs. En effet, la grande majorité des intrusions est due à une erreur humaine.

L’exemple le plus classique est celui d’un utilisateur disposant d’autorisation élevées qui s’absente en laissant sa session ouverte! N’importe qui peut s’installer à son poste et ainsi bénéficier des droits de cette personne. Imaginez si c’est l’administrateur qui commet l’erreur!!!

Droits d’accès : réseau

Les données sont stockées sur des serveurs et sont exploitées sur des workstations. Conséquence, lors de l’exploitation, elles vont être transmises aux workstations à partir du serveur.

Est-il possible de récupérer ces données lors de ce transfert ? Oui, pour cela, il est nécessaire de disposer d’un outil permettant « d’écouter ce qui passe sur la ligne ». Ce type d’outil s’appelle un sniffer.

De très nombreux sniffers existent. Certains sont gratuits ou fournis avec le système d’exploitation.

Comment dès lors se protéger ?

Réseau : segmentation

Pour se protéger des sniffers, une première approche consiste à segmenter le réseau; à le diviser en plusieurs sous-réseaux.

Chaque sous réseau ne pouvant communiquer qu’avec lui-même, les sniffers ne seront capables d’intercepter les données que de leur sous-réseau.

Cette approche présente un inconvénient majeur : plus de communication inter-réseau. Une forme plus sophistiquée devra donc être mise en place.

Réseau : segmentation et routage

Internet

Computer

Com puter

F irewall

M in icom puter

ServerF irewal

l

Zone partagée

DMZ

Computer

Administrateur

Siège

Commerciaux

Computer

Production

W eb

MailDatabase


Les politiques à mettre en place sur le routeur sont relativement simples :

• Aucune des quatre zones d’utilisateurs n'a accès a une autre zone d'administration.

• Aucune des quatre zones d’utilisateurs n'a accès a la machine d'administration.

• Toutes les zones ont accès à l'espace partagé (derrière le firewall).

• La machine d'administration a accès à toutes les zones.• La zone d'espace partagé, n'a accès à aucune zone, sauf

en réponse à une requête.


• Cette configuration permet qu'aucune donnée ne soit directement visible d'une zone à l'autre tout en permettant la communication entre ces zones via l'espace partagé.

• Autre avantage, le routeur jouant aussi le rôle de filtre, il devient impossible de scanner les ports d'une machine hors-zone ou même de sniffer le réseau d'une autre zone que la sienne. La liberté d'un poste s'arrête au routeur.

• La gestion de la zone d'espace partagé est plus délicate. Comme elle permet les échanges entre les autres zones, c'est un point sensible. C'est pourquoi il vaut lieux placer un Firewall à l'entrée afin d'effectuer ici un filtrage par IP.


• L'espace partagé ne doit pas héberger toutes les ressources partagées de l'entreprise, bien au contraire. Son utilité est de partager ce que l'on veut faire passer d'une zone à une autre.

• Le Firewall permet quant à lui quelques astuces comme de donner des accès à des serveurs de mail spécifiques pour chaque groupe (soit plusieurs machines, soit plusieurs serveurs tournant sur des ports différents), ou tout simplement de surveiller et de journaliser tout ce qui ce passe.

• Bien penser le réseau, élimine les problèmes dus au partage de disques ou de fichiers ainsi que les insécurités relatives au courrier électronique.

Réseau : encryptage

L’autre approche consiste à encoder tout le traffic réseau. De cette manière, le sniffer permet d’obtenir une information incompréhensible.

Les techniques d’encryptage sont utilisées depuis longtemps. Jusqu’il y a peu, ces techniques étaient toujours mises en œuvre au niveau applicatif.

Une nouvelle approche se met maintenant en place : IPSEC.

IPSEC est généralement implémenté dans le stack IP, il agit dans les couches IP de base, permettant l’encryptage sans devoir redévelopper les applications.

Droits d’accès : EMails

Les Emails constituent à l’heure actuelle un des points les plus critiques de la sécurité.

Par la source d’information qu’ils peuvent représenter.

Par les programmes qu’ils permettent d’introduire.

Par le potentiel usage qu’un pirate pourrait en faire.

Par les « fausses » informations qu’il permet d’introduire ou d’émettre.

Cette problématique sera étudiée plus en détail plus tard.

Intégrité : Concepts.

L’intégrité garantit que les données n’ont pas été corrompues. Elle est de ce fait très dépendante des méthodes visant à assurer la confidentialité.

Cependant, l’intégrité va aussi intégrer les problèmes de signature et donc de non-répudiation.

Attaques : niveaux

Une entreprise peut être victime d’une attaque à trois niveaux.

L’ attaque externe. L’attaque est réalisée depuis l’extérieur et utilise les points d’ouverture (serveur mail, serveurs Web, serveurs Ras, …). Très médiatisée, elle est délicate et ne produit que très rarement un résultat.

L’attaque interne. Elle se produit depuis l’intérieur du réseau, elle est généralement le fait d’un collaborateur. « Pour hacker, fais-toi engager ». Elle représente 87% des attaques efficaces.

L’attaque physique. Partir avec les machines reste toujours la méthode la plus efficace.

Attaques : auteurs

Les attaques peuvent être l’œuvre de plusieurs types de profiles:

L’employé curieux. Il est ‘intèressé’ par l’informatique et ‘chipotte’ pour voir ce qu’il peut trouver. Il n’est pas malveillant et communiquera souvent les éventuelles failles qu’il découvre.

L’employé vengeur. Il s’estime floué par l’entreprise (renvoi ‘non justifié’, pas de promotion, ….). Il veut causer un maximum de dégâts, parfois même sans se cacher. S’il s’agit d’un informaticien, il peut causer des dégâts considérables. S’il s’agit d’un responsable sécurité, il peut causer des dégâts irrémédiables.

Attaques : auteurs

Un hacker. Le hacker est un spécialiste de très haut niveau. Généralement programmeur, il porte un énorme intérêt à maîtriser tous les mécanismes de fonctionnement interne d’un système. Il peut découvrir des failles dans un système et leur origine. Il cherche à améliorer ses connaissances, partage généralement ses découvertes et ne CHERCHE PAS A NUIRE.

Les hackers sont fréquemment amenés à concevoir des outils d’analyse des systèmes.

Un hacker produit des attaques pour mettre au point la sécurité.

Attaques : auteurs

Le Cracker. Il s’agit d’un individu qui cherche à forcer l’intégrité d’un système à des fins malveillantes (vol de données, destruction de données, corruption de données, destruction de matériel, …).

Il peut posséder un degré de connaissances élevé, parfois équivalent à celui d’un hacker Il peut aussi ne pas être spécialiste et se contenter d’utiliser les outils développés par un Hacker (script kitties).

Le language commun assimile parfois les deux activités sous le terme de hackers. On parle alors d’ancienne école (hacker) et de nouvelle école (cracker).

Attaques : types

Les attaques informatives.

Elles visent à obtenir des informations sur le système. Ces informations seront ensuite utilisables pour définir des failles dans la sécurité.

Les attaques de deny de service.

Elles visent à surcharger le système avec des requêtes inutiles. Elles permettent de remplir les logs et de rendre l’audit ingérable. Elles peuvent aussi masquer d’autres attaques.

Les attaques destructrices.

Elles visent à rendre inopérant soit les applications, soit le système. Elles peuvent rendre le système inopérant.

Attaques informatives – « Social engineering »

Il ne s’agit nullement d’une technique informatique. Il s’agit d’essayer d’obtenir des informations sur le réseau en … posant des questions!

Exemples :

Je suis truc, le nouveau membre du service informatique, j’ai besoin de votre mot de passe pour ….

Je procède à un sondage pour Datatrucinfo, pouvez-vous me dire si vous utilisez un firewall, si oui quel type, …

Cette technique est très efficace !

PARADE : Education des utilisateurs

Attaques informatives – « sniffing »

Ecouter tout ce qui passe sur le réseau. Méthode très efficace pour collecter des données.

PARADE : • Segmentation et routage.• Réseau switché.• Cryptage.

Attaques informatives - « Internet queries »

Requêtes HOST

Requêtes WHOIS

Requêtes FINGER

Requêtes PING

…

Attaques informatives – « Port Scanning »

Le port scanning permet de compléter les informations obtenues précédemment. Il permet d’obtenir la liste de tous les ports ‘ouverts’.

Cette liste va permettre :• De savoir quelles sont les applications qui sont

exécutées par les systèmes cible.• D’estimer correctement le système d’exploitation, et

donc d’essayer les attaques spécifiques connues pour celui-ci.

Attaques de deny de service – « Consommation de bande »

Cette attaque vise à saturer la bande passante d’un réseau avec du traffic pirate, ne laissant plus de place au traffic ‘normal’.

Ce type d’attaque peut être interne ou externe.

Dans le cas d’attaque externe, il faut: • Soit disposer d’une connexion supérieure à celle que

l’on veut saturer.• Soit utiliser plusieurs connexions dont le débit cumulé

sera supérieur à celui de la connexion à saturer.

Attaques de deny de service – « Epuisement des ressources »

Plutôt que de saturer la ligne, on vise ici à saturer la machine (CPU, méméoire, disques).

Attaques de deny de service – « Défaut de programmation »

Défaut de programmation

AXIOME : tous les systèmes d’exploitation, les cpu, les logiciels d’applications ont présentés ou présentent un ou plusieurs défauts.

Les hackers ont analysés ceux-ci et établi des correctifs. Cependant, si ces correctifs ne sont pas mis en place, ces défauts permettent de bloquer le système.

Rappellez-vous : la sécurité est affaire de spécialistes et demande un travail quotidien.

Attaques de deny de service – « Routage et DNS »

Ce type d’attaque vise à modifier les entrées d’un serveur DNS pour faire pointer un nom ‘dans le vide’ ou vers une machine incorrecte.

Cette attaque frappe X(cible) en attaquant Y(responsable DNS).

Attaques de deny de service – « Smurf »

Une attaque smurf inclus trois acteurs : la cible, le pirate et le réseau amplificateur.

Le pirate envoie au réseau amplificateur une requête demandant une réponse (type ICMP ECHO ou UDP ECHO). Cette requête est fabriquée pour sembler provenir de la cible. Chaque machine du réseau amplificateur va donc répondre à la machine source (la cible).

La cible va donc être submérgée.

Attaques de deny de service – « Inondation Syn »

L’attaque en ‘syn flood’ s’appuie sur le mécanisme d’étalissement de connexion réseau.

Ce mécanisme est le suivant :

Demande de connexion (Syn)

Confirmation réception (Syn/Ack)

Confirmation (Ack)

Attaques de deny de service – « Inondation Syn »

Syn flood (suite)

Si la machine qui émet le paquet de demande de connexion le fait avec une adresse source correspondant à une machine inexistante;

La machine contactée répond à cette demande et envoie la réponse ‘à la machine qui a demandé la connexion’; donc vers nulle part.

Comme personne ne répond , la machine reste en attente (de 75 secondes à 23 minutes).

Si les machines acceptent des centaines de connexions simultanées, elles ne supportent que quelques demandes.

Attaques de deny de service – « Email Bombs »

Les ‘Email Bombs’

Il s’agit d’envoyer un volume énorme de courrier électronique vers une boîte aux lettres ou vers un serveur.

La plupart des administrateurs constituent leurs adresses Email sous la forme prénom.nom@domaine ; il est donc facile de ‘deviner’ vers quelles boîtes aux lettres envoyer du courrier.

Les liaisons de liste

Le principe est d’inscrire la cible sur des dizaines de listes de distribution. De ce fait, il est surchargé de courrier provenant de plusieurs sources.

mailto:pr%C3%A9nom.nom@domaine

mailto:pr%C3%A9nom.nom@domaine

Attaques de deny de service – « Spamming »

Mail Spamming

Le mail spamming consiste à envoyer quantité de messages adressés à xcvdfgetr@domain ; xcvdfgetr pouvant varier. Le serveur va ainsi consommer des ressources pour répondre ‘xcvdfgetr’ est inconnu.

mailto:xcvdfgetr@domain



Attaques destructrices – « Virus »

Les Virus

AXIOMES :

Personne n’est à l’abri des virus.

Tous les points d’entrée doivent être équipés d’un anti-virus.

Aucun anti-virus n’est totalement efficace.

Les logiciels anti-virus doivent être mis à jour en permanence. Il faut idéalement disposer d’un anti-virus qui peut fonctionner par comportement en plus des recherches de signatures.

Attaques destructrices – « Virus »

Virus (suite)

La mise à jour de l’anti-virus peut se faire de manière automatique. Soit par connexion distante, soit via Web.

Les points d’entrée classiques des virus sont : • Les lecteurs de disquette.• Les lecteurs de cd, de dvd• Les courriers électroniques et les messages attachés.• Les sites Internet.

Les virus constituent actuellement la préoccupation majeure des entreprises en Europe.

Attaque destructrices – « Virus »

Le coût de protection contre les virus est important. Il est cependant très inférieur aux coûts résultants des dégâts que le virus peut entraîner.

Rappellez-vous le récent « I Love You ».

Attaques destructrices – « Cheveaux de troie »

Un cheval de troie est un programme ou un code non autorisé placé dans un programme « sain ».

Ceci rend le cheval de troie difficile à détecter. De plus, les fonctions ‘non attendues’ des cheveaux de troie peuvent ne s’exécuter qu’après une longue phase de ‘sommeil’.

Les cheveaux de troie peuvent effectuer toute action. Ils peuvent donc être des attaques informatives, des attaques de deny de service ou des attaques destructrices.

Ils sont particulièrement dévastateurs car ils s’exécutent souvent de l’intérieur du réseau.

Pour se protéger des cheveaux de troie : checksum, MD5

Attaques destructrices – « Password Attacks »

Les attaques de mots de passe visent à obtenir une information permettant l’accès à un système (Login + Password)

Le password est toujours le point le plus faible d’une infrastructure de sécurité. Différents outils existent selon les environnements.

L’obtention d’un mot de passe induit des failles de sécurité directement proportionnelles aux privilèges de l’utilisateur ainsi visé.

L’obtention d’un mot de passe administrateur permet de TOUT faire sur le réseau.

Défenses : Méthodes

•Firewalls•Anti-Virus•Sniffers, scanners•Nat•Cryptage

•Informations

•Outils d’attaques

Défenses : Firewalls

Qu’est ce qu’un Firewall ?

Un Firewall est un ‘gardien’ qui règlemente le traffic réseau. Tout traffic est interdit sauf le traffic explicitement autorisé.

Trois types de firewalls existent :• Le filtrage de paquet.• Le proxy.• Le statefull inspection.

Firewalls : Filtrage de paquets

Le filtrage de paquets examine le trafic TCP/IP jusqu'à la couche 3 (Réseau). Les 4 couches restantes ne sont pas prises en compte. Le filtre de paquets examine chaque paquet entrant ou sortant et l’accepte ou le rejette en fonction de règles de sécurité définies par l’administrateur.

Avantages• Peu coûteux• Transparent pour

l’application• Rapide

Inconvénients• Faible niveau de sécurité• Examen d’une petite partie des

paquets• Pauvre en information sur le traffic

et les alertes• Complexe à configurer et à gérer• Sujet au « leurre » (IP spoofing)

Firewalls : Proxy

Un Proxy (mandataire) ou passerelle d’applications implémente le système de sécurité au niveau de la couche 7 (application). Chaque application dialogue avec un « mandataire » qui à son tour retransmet le dialogue vers le destinataire si les règles de sécurité l’autorisent.

Avantages Bonne sécurité Tient compte du

contexte applicatif

Inconvénients Un proxy par application Implémentation au niveau application au

détriment de la performance Ne convient pas pour tous les protocoles

(UDP, RDP) Interrompt la connexion vers l’application

(pas transparent) Système d’exploitation exposé

Firewall : Statefull Inspection

Ce système de protection intervient dès la couche 2 (Data Link). Il reconstitue dans des tables dynamiques le contexte de la communication ainsi que celui de l’application. Grâce à ces 2 contextes, des règles de sécurité très fines peuvent être appliquées au trafic entrant et sortant.

Avantages Bonne sécurité Tient compte du contexte applicatif Tient compte de l’historique de la

communication Bonnes performances Connexion transparente avec

l’application

Inconvénient Coût

Firewall : Statefull Inspection

Application

Présentation

Session

Transport

Liaison

Physique

Liaison

Physique

Application

Présentation

Session

Transport

Liaison

Physique

Réseau Réseau

Réseau

Présentation

Session

Transport

Application

Tables d’état dynamique



RéseauRéseau

Défenses : Anti-Virus

•Voir Attaques destructrices : Virus

Défenses : Sniffers, scanners

Ces outils sont classiquement utilisés par les attaquants. Le principe premier est simple, attaquez-vous vous même afin de déterminer vos faiblesses.

Des versions sophistiquées de scanners existent. Ces outils permettent de réagir automatiquement à une attaque.

Certains peuvent collaborer avec les firewalls pour modifier les rêgles en cas d’attaque.

Défenses : Nat

Network Adress Translation.

Il s’agit d’une technique de modification d’adresse. Elle permet de masquer les adresses des machines du réseau en les faisant apparaître comme une adresse unique de l’extérieur.

Cette méthode complique la tâche du cracker. Les attaques informatives sont plus délicates à mettre en œuvre.

Défenses : cryptage

Le cryptage est une technique qui vise à déformer un message de manière à le rendre incompréhensible.

Une fois déformé, ce message pourra être transmis via un média non-sécurisé.

Le récepteur devra ensuite le ramener à sa forme initiale.

Le cryptage se base sur deux techniques : • La substitution• La permutation

Cryptage : Substitution

La substitution est une technique qui consiste à remplacer un symbole par un autre.

Exemples:•Décallage de trois lettres dans l’alphabet•Remplacement en utilisant une grille de correspondance.•Décallage variable.

Cryptage : Permutation

La permutation est une technique qui consiste à changer l’ordre des caractères.

La méthode la plus simple consiste à utiliser une grille X/Y, à placer le message dans cette grille de gauche à droite, de haut en bas; puis de le recopier de haut en bas, de gauche à droite.

Cryptage : Clefs.

La méthode utilisée pour modifier le message est appellée clef de cryptage.

La méthode utilisée pour restituer sa forme initiale à un message encodé est appellée clef de décryptage.

Si la clef de cryptage est identique à la clef de décryptage (appliquée à l’envers), on parle de clefs symétriques.

Si les deux clefs sont différentes, on parle de clefs asymétriques. L’une est appellée clef privée, l’autre la clef publique.

CE QUI EST ENCODÉ PAR UNE DES CLEFS NE PEUT ÊTRE DÉCODÉ QUE PAR L’AUTRE.

Cryptage : Clef secrète

SecretSecretSecretSecret

Voici un Voici un message message ultra secretultra secret

U93ç”à%U93ç”à%%¨*µ£2”Ja%¨*µ£2”Jand”938Qçénd”938QçéDé&ùfdéDé&ùfdé



DES DES

Cryptage : Clef secrète

La cryptographie par clef secrète utilise des algorithmes très performants.

Deux problèmes se posent : • Le nombre de clefs nécessaires• L’obligation de transmettre les clefs de manière

sécurisée.

Cryptage : Clef publique / privée

PublicPublicPublicPublic




PrivatePrivatePrivatePrivate

RSA RSA

Cryptage : Clef publique / privée

Le cryptage par clef publique-clef privée présente un avantage certain : l’échange des clefs publiques peut se faire de manière non sécurisée. Le nombre de clefs est aussi réduit.

Cependant, le cryptage par clefs asymétriques présente un inconvénient majeur : la durée d’encryptage / de décryptage.

Pour pallier à cet inconvénient, on utilisera une combinaison des deux techniques.

Les documents seront encodés au moyen d’une clef symétrique pour la vitesse. Ensuite, la clef symétrique sera encodée au moyen d’une clef asymétrique.

Clef symétrique + clefs asymétriques





Aléatoire

DES DES

§5er9é§5er9é§5er9é§5er9é

RSA


RSA

PublicPublicPublicPublic PrivatePrivatePrivatePrivate

Cryptage : Signature




PublicPublicPublicPublicPrivatePrivatePrivatePrivate

RSA RSA

Cryptage : Signature

Le principe est le suivant :

Si je peux décoder un message au moyen de la clef publique de A, c’est qu’il a été encodé au moyen de la clef privée de A ; donc qu’il provient de A.

Cependant, le pur encodage au moyen des clefs asymétriques n’est pas possible (trop lent)…

On génère donc une empreinte du message, cette empreinte est encodée et jointe au message.

Cryptage : Signature par clef asymétriques

Voici un Voici un message message très très sensiblesensible



RSA

87R8E7R87R8E7R

87R8E7R87R8E7R 87R8E7R87R8E7R

PublicPublicPublicPublicPrivatePrivatePrivatePrivate

RSA



§5er9é§5er9é§5er9é§5er9é

SecretSecretSecretSecretSecretSecretSecretSecret

Aléatoire

DES DES

RSA RSA


PublicPublicPublicPublicPrivatePrivatePrivatePrivateRSA87R8E7R87R8E7R

MD587R8E7R87R8E7R

MD5


RSA

87R8E7R87R8E7R

Cryptage : Clefs asymétriques : sécurité.

Le cryptage par clefs asymétriques est-il totalement inviolable ?

NON ! Il est possible de procéder à une ‘MAN IN THE MIDDEL ATTACK’.

Pour parer à cette vulnérabilité il est nécessaire de pouvoir GARANTIR L’IDENTITÉ DU PROPRIÉTAIRE D’UNE CLEF PUBLIQUE.

Comment obtenir ou vérifier la clé publique?

PublicPublic

PublicPublic

Un seul GRAND répertoire de référence? Où ...

… Certificats!


Nom sujet: “Internet, Organisation, Alice”

Expire le: 6/18/98

N° #: 29483756

Clé publique:

Autres données: 10236283025273

PublicPublic

7ru9AEçSHA

Signé: votre CA,

RSA

Contrôler la signature à l’aide de la clef publique de la CA

Listes des Certificats Révoqués (CRL) (listes noires)

PublPublicic

PublicPublic

• Avant d’accepter un certificat, vérifiez la liste CRL de l ’autorité de certification (CA)

• Si un certificat a été révoqué, refusez sa signature (ou envoyez un message codé)

• Un certificat peut être retiré de la CRL après sa date d’expiration.

Défenses : Connaissances

Comme exposé précédemment, de nouvelles failles de sécurité sont découvertes quotidiennement. Les correctifs permettant de pallier à ces failles sont publiés tout aussi régulièrement.

IL EST INDISPENSABLE DE SE TENIR À JOUR. SE TENIR À JOUR EST UNE TÂCHE QUOTIDIENNE.

Les informations peuvent se trouver sur les sites des éditeurs de logiciels, dans des sites ou des magazines spécialisés, sur les sites de pirates, …

Défenses : Outils d’attaque

Comme déjà indiqué, un des meilleurs moyens pour tester votre sécurité est … de l’attaquer.

Pour un résultat probant, il faut que l’attaquant soit un spécialiste.

LA SÉCURITÉ EST AFFAIRE DE SPÉCIALISTES !

Kerberos

Kerberos est le protocole d’authentification par défaut de Windows 2000.

Il s’agit d’un standard de fait. Il a été mis au point par le MIT

(Massaschuset Institute of Technology).

Kerberos : Context

Les serveurs sont considérés comme fiables et protégés.

Les stations de travail et le câblage sont considérés comme non protégés.

Kerberos : Fonctionnement

Les trois intervenants d’un système Kerberos sont : – Le KDC (Kerberos Distribution Centre).– La worksations et le user qui s’y connecte.– Le serveur qui fournit un service.

SERVICE TICKET« Mail »UsernameMac adressIP adressTimestampLifestamp

Kerberos : Fonctionnement

KDC WKS

MAIL

(1) User login(2) KDC send TGT to user (encrypted with user public key)

TGTTGT

Mail Service Request

(3) User ask for a mail service ticket Using the decrypted TGT(4) KDC generate session key(4’) KDC generate mail service ticket encrypted with server mail key.(4 ’’) KDC copy session key into service ticket(5) KDC group session key and service ticket(5’) And encrypt them with user’s public key(6) KDC send them to user(7) User decrypt them

AuthenticatorUsernameMac adressIP adressTimestampLifestamp

(8) User create authenticator

AuthenticatorUsernameMac adressIP adressTimestampLifestamp

(9) User encrypt the authenticator using session key(10) User send both authenticator and service ticket to mail server(11) Server Mail decrypt ticket service using it key.






(12) Serveur mail get session key from ticket service(13) Server mail decrypt authenticator using session key

AuthenticatorUsernameMac adressIP adressTimestampLifestamp(14) Serveur Mail compare data in authenticator and in ticket service.

(15) If Match bewteen data, serveur mail send OK to user encrypted by session key (server authentication).

GO

Sécurité informatique

Documents

Transcript of Sécurité informatique