livre ouvert sur la sécurité - mag-securs · alain thibaud, directeur technique europe du sud de...

Livre ouvert sur la sécurité

4 nov 2004 © etna – Voir en dernière page pour les droits de reproduction 1/166

Livre ouvert sur la sécurité Issu d’un travail commun

du Centre Français de réflexion sur la sécurité des systèmes d’information

4 nov 2004



Ont participé, à ce jour, à la rédaction de ce livre ouvert de l’etna sur la sécurité

Nom Prénom Société ou fonction mél Bichard Jean-Philippe NetCost&Security [email protected] Carayon Bernard Député du Tarn [email protected] Chappe Hervé Alcatel [email protected] Clost Philippe Juniper / Netscreen [email protected] Coat-Rames Anne AQL et AFNOR [email protected] Ciupa Dominique Intranode [email protected] de Groot Max Gemplus [email protected] Ferrero Alexis OrbitIQ [email protected] Franchin Franck France Telecom [email protected] Garo Jean-Denis EADS [email protected] Germain Michèle ComXper [email protected] Gross Gabriel Dolphian [email protected] Habert Michel Netcelo [email protected] Hernandez Juan Antonio Néosécurité [email protected] Jourdain Sami Deny All [email protected] Karsenti Thierry CheckPoint [email protected] Le Faucheur Alexandre [email protected] Peliks Gérard EADS [email protected] Pierre Frédéric Avencis [email protected] Refalo Pierre-Luc Comprendre et Réussir, [email protected] Rouquet Thierry Arkoon Network Security [email protected] Thibaud Alain F5 Networks [email protected]

Les illustrations sont l’œuvre de Laurent Germain ([email protected]) et sont expliquées sur son site Web : dessin.laurent.free.fr/DAccueiF.htm

Le développement de ce livre ouvert est coordonné par [email protected]

tel : 01.34.60.88.82 – 06.80.36.51.69

mailto:[email protected]

http://dessin.laurent.free.fr/DAccueiF.htm



Le mot du Président de l’etna Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les informations qu'ils contiennent, ce travail commun de la commission sécurité de l'etna pourra se révéler très utile.

Edmond Cohen, Président de Western Telecom, [email protected]

Le mot de la Représentante de la commission sécurité auprès du Conseil d’Administration de l’etna

En tant que marraine de cette commission sécurité de l'Etna, je me félicite devant la passion qui anime ce groupe de travail et la rédaction de cet ouvrage.

Il s'agit de technologies concurrentes, de personnes d'environnements hétérogènes mais tout le monde consacre beaucoup d'énergie et d'enthousiasme à ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la protection des flux d'informations.

Le nombre de personnes intéressées à participer à nos journées networking ainsi qu'à ce booklet montre que personne ne s'y trompe, les enjeux sont considérables pour les utilisateurs, les sociétés et les gouvernements. Ils sont à la fois économiques, politiques voire même d'ordre sociologique.

Un grand merci à Gérard qui est celui qui nous communique sa passion et qui met de l'ordre dans tout ce qui lui arrive parfois de façon un peu chaotique mais toujours sécurisée.

Un grand bravo à tous.

Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, [email protected]

Le mot du Président de la commission sécurité de l’etna Le pari un peu surréaliste de réaliser un livre ouvert sur la sécurité à destination des décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs acteurs de la sécurité des systèmes d’information sur le marché français a été lancé dès la création de la commission sécurité de l’etna. L’ambition de ce livre était, dès le départ, d’évangéliser le monde des télécoms sur les diverses facettes de la sécurité des systèmes d’information avec l’idée que de la diversité de ses auteurs naîtrait la richesse de cet ouvrage et son adéquation au but recherché. Cette bonne

résolution est toutefois restée théorique jusqu’à ce que Michèle Germain, consultante télécom m’envoie une première contribution sur la sécurité des réseaux sans fils, donnant ainsi un aspect très concret à cette idée belle et ambitieuse. Michèle a également défini le style et la mise en page de cet ouvrage.

Alexis Ferrero (OrbitIQ), Secrétaire Général de la commission Wi-Fi de l'etna a rejoint notre petit groupe pour mettre sa compétence sur la sécurité du Wi-Fi au service de cette réalisation commune, et ce fut un exemple de coopération pour fusionner, modifier, simplifier les textes soumis. Il a ensuite traité l’application de la sécurité à la voix sous IP.

Puis Franck Franchin, Directeur délégué opérations à la direction de la sécurité de l'information de France Télécom, qui avait animé une intervention aussi intéressante que mouvementée au cours de l’événement networking de notre commission, en décembre 2003, sur le thème des menaces sur les réseaux sans fils, a traité les parties « Ingénierie Sociale », « Cyber Racket » et « Sécurité et Mobilité ».



Michel Habert, Directeur Technique de Netcelo avait présenté les VPN IPSec lors de notre événement networking d’avril 2004 sur les postes mobiles. Il traite du même sujet pour ce booklet et aussi de la gestion centralisée de la sécurité.

Alain Thibaud, Directeur Technique Europe du Sud de F5 Networks avait présenté à ce même événement les VPN SSL et les traite dans cet ouvrage.

Philippe Clost , Directeur Europe du Sud Entreprises et Gouvernement de Juniper / Netscreen compare ces deux technologies d’établissement de VPN, concurrentes mais aussi complémentaires.

Jean-Philippe Bichard, Rédacteur en chef de la très intéressante revue hebdomadaire en ligne NetCost&Security nous a fait bénéficier d’une étude qu’il a réalisée pour le guide annuel de Tarsus, et qui couvre les aspects économiques de la cybercriminalité, et les responsabilités des acteurs de l’entreprises face aux dangers de l’Internet.

Thierry Karsenti, Directeur Technique EMEA de CheckPoint nous a ouvert l’accès aux white papers de CheckPoint que nous avons exploités dans le chapitre « la sécurité de bout en bout ».

Max de Groot, Technical Marketing WLAN Business Line chez GEMPLUS a commenté l’authentification forte et explique très clairement pourquoi l’information contenue dans le chip d’une carte à puce est sécurisée.

Anne Coat-Rames, Consultante AQL et membre de l’AFNOR a abordé le modèle de l'auto évaluation de la sécurité par le biais de l'ISO, du guide de bonnes pratiques que décrit la norme ISO 17799-1, du cryptage et des PKI.

Alexandre Le Faucheur a écrit la partie menaces sur le Web, sur les systèmes d’exploitation, et la partie virus, spywares, adawares et autres nuisances auxquelles nous sommes confrontés. Il traite également de la stéganographie.

Hervé Chappe, Expert sécurité chez Alcatel a traité du cryptage et des PKI.

Pierre Luc Refalo, Directeur Associé de Comprendre et Réussir, et Expert associé de Néo Sécurité, a brossé un article magistral sur les principes fondateurs des chartes de sécurité.

Frédéric Pierre, Expert sécurité chez Avencis a introduit le sujet particulièrement délicat du login unique (SSO).

Dominique Ciupa, Directeur Commercial de Intranode a écrit la partie « scanners de vulnérabilité » et une partie du chapitre « les vulnérabilités ».

Sami Jourdain, Product Manager chez Deny All a apporté des éclaircissements sur les menaces pesant sur les applications Web et, avec Alexandre Le Faucheur expliqué les attaques les plus courantes sur ces applications. A lire absolument également son entrée sur les firewalls applicatifs qui complète ce qui a été écrit sur les faiblesses du Web.

Juan Antonio Hernandez, Président fondateur de Néo Sécurité a écrit sur le sens du « Return On Investment » de la sécurité et propose un nouvel indicateur, le Return On Non Investment sûrement plus pertinent.

Jean-Denis Garo, administrateur à l’etna France, administrateur de la Mission Ecoter et Chef de Département Marketing Support chez EADS a rédigé la partie sécurité des centres d’appels.

Gabriel Gross, President de Dolphian nous fait bénéficier de son analyse sur le phénomène du SPAM.

Thierry Rouquet, Président du Directoire de Arkoon Network Security, nous renseigne sur le développement du marché des équipements de sécurité multifonction – Network Security Appliance.

Bernard Carrayon, Député du Tarn, Rapporteur du budget au SGDN et du Renseignement à la Commission des finances a écrit le chapitre premier de ce livre avec un texte sur l’intelligence économique où il résume son combat pour que cette discipline trouve dans notre pays les lettres de noblesse qu’elle a déjà dans les pays anglo-saxons et devienne une manière d’être pour le plus grand intérêt de notre économie et de nos citoyens.

Nous avons trouvé un artiste pour illustrer nos textes. Merci à Laurent Germain qui nous apporte son talent et son humour pour que notre booklet soit certes instructif, mais aussi plaisant à lire.



Gérard Péliks , EADS Defence and Communications Systems

Le mot du hacker Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté face aux menaces de l’Internet. Quand j’attaque votre système d’information, soit pour jouer avec, soit pour vous nuire, soit pour l’utiliser comme relais pour réaliser d’autres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension sécurité entrait dans l’esprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que j’encours de lourdes sanctions pénales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tâche encore plus difficile et surtout plus risquée.



Livre ouvert sur la sécurité............................................ 1 1 L’intelligence économique ....................................................................................................................... 11 2 La cybercriminalité.................................................................................................................................... 15

2.1 ANALYSE DES GRANDES TENDANCES 2004 / 2005................................................................................................15 2.1.1 Les principaux enjeux 2004 / 2005 ............................................................................................... 15 2.1.2 Pourquoi se protéger ? ................................................................................................................. 16

2.2 E-SECURITE : DE QUEL MARCHE S’AGIT-IL EN 2004 ? ...........................................................................................17 2.3 LES MENACES .......................................................................................................................................................17 2.4 LES VULNERABILITES ...........................................................................................................................................20

2.4.1 Une histoire qui remonte à la nuit des temps ............................................................................... 20 2.4.2 Un changement de comportement avec les vulnérabilités informatiques .................................... 20 2.4.3 Les « exploits » ............................................................................................................................. 21 2.4.4 Les parades .................................................................................................................................. 21 2.4.5 Les attaques exploitant les vulnérabilités ..................................................................................... 21 2.4.6 La difficulté des corrections .......................................................................................................... 22 2.4.7 Les faiblesses du Web.................................................................................................................. 22

2.5 LES ATTAQUES .....................................................................................................................................................26 2.5.1 Le vol d’informations ..................................................................................................................... 26 2.5.2 Les accès non autorisés ............................................................................................................... 27 2.5.3 Les dénis de services ................................................................................................................... 27 2.5.4 Les attaques sur la messagerie.................................................................................................... 27 2.5.5 Les attaques sur le Web ............................................................................................................... 30 2.5.6 Les attaques par le système d’exploitation................................................................................... 34 2.5.7 Les attaques combinées............................................................................................................... 35

2.6 LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES........................................................................................35 2.6.1 Les éléments malfaisants ............................................................................................................. 35 2.6.2 Face au virus Mydoom.A .............................................................................................................. 36 2.6.3 Les logiciels espions ..................................................................................................................... 38

2.7 LE CAS DU RESEAU SANS FIL .............................................................................................................................38 2.7.1 La "révolution" radio...................................................................................................................... 38 2.7.2 Les préoccupations de l’Administrateur Réseau .......................................................................... 41 2.7.3 Risques et attaques ...................................................................................................................... 41

2.8 L’INGENIERIE SOCIALE .........................................................................................................................................46 2.9 LE CYBER RACKET................................................................................................................................................47

2.9.1 La prolifération des risques........................................................................................................... 48 2.9.2 Les approches .............................................................................................................................. 48 2.9.3 Un exemple................................................................................................................................... 48 2.9.4 Les règles à suivre........................................................................................................................ 49

2.10 LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS ...................................................................................49 2.10.1 Le spim.......................................................................................................................................... 49 2.10.2 Le googlebombing ........................................................................................................................ 49 2.10.3 Les attaques sur les téléphones portables ................................................................................... 49 2.10.4 Les attaques sur les photocopieurs .............................................................................................. 50 2.10.5 Le Peer-to-Peer ............................................................................................................................ 50

3 Les contre-mesures et moyens de défense ........................................................................................... 51 3.1 LES FIREWALLS BASTION.....................................................................................................................................51

3.1.1 Les paramètres pour filtrer les données ....................................................................................... 52 3.1.2 A quel niveau du paquet IP le filtrage doit-il se situer ?................................................................ 52 3.1.3 Le masquage des adresses IP du réseau interne ........................................................................ 53 3.1.4 Les zones démilitarisées............................................................................................................... 53 3.1.5 Firewall logiciel ou firewall matériel ? ........................................................................................... 54 3.1.6 En parallèle ou en série ? ............................................................................................................. 54 3.1.7 Sous quel système d’exploitation ? .............................................................................................. 54

3.2 LE FIREWALL APPLICATIF .....................................................................................................................................55 3.2.1 Des attaques sur les applications Web en forte croissance ......................................................... 55



3.2.2 Les limitations des solutions de sécurité traditionnelles ............................................................... 56 3.2.3 Le Firewall Applicatif ou Reverse Proxy Applicatif........................................................................ 56

3.3 LE FIREWALL PERSONNEL.....................................................................................................................................60 3.4 L’AUTHENTIFICATION FORTE................................................................................................................................61

3.4.1 L’authentification et la chaîne de sécurisation.............................................................................. 61 3.4.2 Le rôle de la carte à puce dans l’authentification ......................................................................... 62 3.4.3 Exemples actuels d’utilisation de carte à puce............................................................................. 62 3.4.4 Conclusion .................................................................................................................................... 63

3.5 LE CHIFFREMENT ET LA CRYPTOGRAPHIE .............................................................................................................63 3.5.1 Introduction ................................................................................................................................... 63 3.5.2 Cryptage symétrique..................................................................................................................... 64 3.5.3 Cryptage asymétrique................................................................................................................... 64 3.5.4 La signature électronique.............................................................................................................. 65 3.5.5 Combinaison des techniques........................................................................................................ 66

3.6 LA STEGANOGRAPHIE ...........................................................................................................................................67 3.6.1 Le but de la stéganographie ......................................................................................................... 67 3.6.2 Dissimuler l’information dans une image ...................................................................................... 67 3.6.3 Dissimuler l’information dans un texte .......................................................................................... 68

3.7 LES VPN ..............................................................................................................................................................68 3.7.1 Les VPN IPSec, ............................................................................................................................ 70 3.7.2 Le VPN-SSL ou l’accès distant sécurisé nouvelle génération...................................................... 75 3.7.3 VPN IPSec ou SSL: Les critères de décision ............................................................................... 80

3.8 LE CHIFFREMENT DES DONNEES SUR DISQUE ........................................................................................................84 3.9 LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) ....................................................................................................85

3.9.1 Certificats Numériques et Autorités de Certification ..................................................................... 85 3.9.2 Applications de la PKI ................................................................................................................... 85 3.9.3 Certificats Numériques.................................................................................................................. 85 3.9.4 Autorité de Certification (CA, Certification Authority).................................................................... 86

3.10 LA DETECTION D'INTRUSIONS ...............................................................................................................................87 3.11 LES ANTI (VIRUS, SPAMS, SPYWARES), .................................................................................................................88

3.11.1 Les antivirus.................................................................................................................................. 89 3.11.2 Les antispams............................................................................................................................... 90 3.11.3 Les anti spywares ......................................................................................................................... 91

3.12 SECURITE ET MOBILITE ........................................................................................................................................91 3.13 LES OUTILS DE CONTROLE ET DE SURVEILLANCE..................................................................................................93 3.14 L’ERADICATION DES LOGICIELS ESPIONS ..............................................................................................................93 3.15 LES POTS DE MIELS ...............................................................................................................................................94

4 La gestion de la sécurité .......................................................................................................................... 96 4.1 LA GESTION CENTRALISEE DE LA SECURITE ..........................................................................................................96

4.1.1 Introduction ................................................................................................................................... 96 4.1.2 Caractéristiques d’un système de gestion centralisé de la sécurité ............................................. 97 4.1.3 Le système d’administration (SOC- Security Operations center) ................................................. 97 4.1.4 Les opérations .............................................................................................................................. 98 4.1.5 La surveillance .............................................................................................................................. 99 4.1.6 La supervision............................................................................................................................... 99 4.1.7 Le contrôle .................................................................................................................................... 99 4.1.8 La sécurité et l’administration du centre de gestion de la sécurité............................................... 99 4.1.9 Fonctionnement d’un centre de gestion centralisé de la sécurité................................................. 99 4.1.10 Garanties de sécurité.................................................................................................................. 100 4.1.11 Standards et Modèles de référence utiles .................................................................................. 100

4.2 LES SCANNERS DE VULNERABILITES...................................................................................................................100 4.2.1 Un sujet technique et une question d'organisation ..................................................................... 100 4.2.2 Les technologies de recherche de vulnérabilités........................................................................ 101 4.2.3 Les usages des scanners de vulnérabilités ................................................................................ 103

5 Les réseaux particuliers ......................................................................................................................... 106 5.1 APPLICATIONS A LA VOIX SUR IP .......................................................................................................................106

5.1.1 Architecture d'un système VoIP.................................................................................................. 106 5.1.2 Les risques.................................................................................................................................. 107



5.1.3 Les attaques ............................................................................................................................... 108 5.1.4 Fonctions..................................................................................................................................... 108

5.2 LA SECURITE DU CENTRE D’APPELS....................................................................................................................109 5.2.1 Le centre d’appels....................................................................................................................... 109 5.2.2 Les enjeux................................................................................................................................... 110 5.2.3 Une double actualité : ................................................................................................................. 110 5.2.4 Les risques :................................................................................................................................ 111 5.2.5 Les chaînons............................................................................................................................... 111 5.2.6 Les solutions : ............................................................................................................................. 111

5.3 LA SECURITE DES RESEAUX SANS FIL..................................................................................................................112 5.3.1 Le problème du WEP.................................................................................................................. 112 5.3.2 Les contre-mesures de base ...................................................................................................... 114 5.3.3 Les évolutions du protocole : WPA et 802.11i ............................................................................ 118 5.3.4 Application................................................................................................................................... 121 5.3.5 Autres technologies .................................................................................................................... 121

6 Une architecture de sécurité de bout en bout...................................................................................... 124 6.1 LES EQUIPEMENTS DE SECURITE MULTIFONCTION ..............................................................................................124

6.1.1 Le développement du marché des Network Security Appliance ................................................ 124 6.1.2 Les menaces polymorphes......................................................................................................... 124 6.1.3 Les limites de l’approche « best of breed » ................................................................................ 124 6.1.4 Les avantages de l’approche multifonction................................................................................. 124 6.1.5 Le développement du marché de l’appliance multifonction........................................................ 125

6.2 LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES ...............................................................125 6.2.1 Identification des risques ............................................................................................................ 125 6.2.2 Correction des lacunes de sécurité ............................................................................................ 126 6.2.3 Approche intégrée....................................................................................................................... 126 6.2.4 Amélioration de la sécurité par l’administration .......................................................................... 127 6.2.5 Résumé....................................................................................................................................... 127

6.3 LE SINGLE SIGN ON............................................................................................................................................127 6.3.1 Origines du Single Sign-On ........................................................................................................ 128 6.3.2 Pourquoi le Single-Sign-On ? ..................................................................................................... 128 6.3.3 Aperçu des solutions existantes ................................................................................................. 129

6.4 SECURITE LOGIQUE ET SECURITE PHYSIQUE .......................................................................................................132 7 Les aspects juridiques et humains........................................................................................................ 133

7.1 QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE ....................................................................................133 7.1.1 L’arrêt Nikon................................................................................................................................ 133 7.1.2 L’Ecole de Physique et Chimie Industrielle de Paris .................................................................. 134 7.1.3 L’affaire Escota ........................................................................................................................... 135

7.2 POLITIQUE ET REFERENTIELS DE SECURITE .........................................................................................................135 7.2.1 Préambule................................................................................................................................... 135 7.2.2 Fondamentaux ............................................................................................................................ 136 7.2.3 Des principes fondateurs ............................................................................................................ 136 7.2.4 L’organisation dans le cadre politique .................................................................................. 138 7.2.5 Une Charte et quatre politiques .................................................................................................. 139 7.2.6 Des choix essentiels ................................................................................................................... 140 7.2.7 Synthèse ..................................................................................................................................... 143

7.3 LES RESPONSABILITES ET LES ACTEURS DE L’ENTREPRISE..................................................................................143 7.3.1 Une nette orientation en faveur du juridique et du réglementaire............................................... 143 7.3.2 RSSI : maîtriser les risques d’une délégation de pouvoirs ......................................................... 144 7.3.3 Quelle déontologie pour un cyber-comportement conforme avec les chartes Internet ?........... 145

8 Les certifications..................................................................................................................................... 146 8.1 LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS)....................................146 8.2 L'ISO17799 ........................................................................................................................................................147

8.2.1 Historique.................................................................................................................................... 147 8.2.2 La structure de l'ISO 17799:2000 ...............................................................................................147 8.2.3 Comment l'utiliser ?..................................................................................................................... 149

8.3 L'ISO 21827 : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE ............................................................149 8.3.1 Historique.................................................................................................................................... 149



8.3.2 La structure du SSE-CMM(®) - ISO 21827:2002 ....................................................................... 150 9 Les enjeux économiques de la sécurité ............................................................................................... 152

9.1 2004-2005 : DES ATTAQUES QUI EVOLUENT DE L’EXPLOIT TECHNOLOGIQUE A L’APPAT DU GAIN......................152 9.2 SECURITE : QUELLES DEPENSES POUR QUELS USAGES ?......................................................................................152 9.3 DU SENS DU ROI EN SECURITE DES SYSTEMES D’INFORMATION.........................................................................153

9.3.1 Qu’est-ce qu’un ROI ? ................................................................................................................ 154 9.3.2 Système d’information, sécurité et ROI ...................................................................................... 154 9.3.3 Calcul du ROI : un exercice difficile ............................................................................................ 154 9.3.4 Un indicateur souvent inadapté .................................................................................................. 155

10 Bibliographie et références ................................................................................................................ 157 10.1 GENERAL............................................................................................................................................................157 10.2 ATTAQUES ET MENACES .....................................................................................................................................157 10.3 VOIP ..................................................................................................................................................................157 10.4 CENTRE D’APPELS ..............................................................................................................................................157 10.5 WI-FI..................................................................................................................................................................158 10.6 INGENIERIE SOCIALE...........................................................................................................................................158 10.7 JURIDIQUE ..........................................................................................................................................................158 10.8 LOISIRS...............................................................................................................................................................158

10.8.1 Livres........................................................................................................................................... 158 10.8.2 Films............................................................................................................................................ 159

11 Glossaire............................................................................................................................................... 160 11.1 ACRONYMES.......................................................................................................................................................160 11.2 DÉFINITIONS.......................................................................................................................................................161



1 L’INTELLIGENCE ECONOMIQUE Auteur : Bernard Carayon, (Député du Tarn, Rapporteur du budget au Secrétariat Général de la Défense Nationale et du Renseignement à la Commission des finances) [email protected]

L’intelligence économique a connu en France depuis dix ans un sort assez désolant !

Comprise tantôt dans son acception anglo-saxonne (le renseignement), tantôt comme une méthode antédiluvienne d’entreprise au service des seuls intérêts marchands (la « veille » juridique, commerciale, technologique…), l’intelligence économique est restée marginale dans la société française.

Les efforts de quelques pionniers de talent ont été gâchés par les ratiocinations de théoriciens de second rang ou les vacations logomachiques de marchands du temple…

L’Etat, lui-même, n’a jamais produit le moindre corps doctrinal, restant aveugle, à de rares exceptions près, aux constructions intellectuelles et institutionnelles de nos grands concurrents. Dans l’entreprise, l’intelligence économique est restée cantonnée à des niveaux d’exécution ; dans le système éducatif enfin, elle est restée une matière, sans accéder au statut de discipline universitaire.

Durant dix ans, les français ont ainsi confondu la fin et les moyens : le renseignement, la veille ne sont que des outils. L’intelligence économique est une politique publique ; j’en ai défini dans mon rapport le contenu, le périmètre, la finalité. Par la simple observation des dispositifs étrangers, et l’adaptation à notre culture propre.

Politique de sécurité, d’abord : sécurité technologique, (celle des réseaux, des centres de recherches, des process industriels), sécurité juridique (dans l’accès au capital, dans la protection des secrets d’affaire, dans l’identification d’un périmètre stratégique de l’économie française), sécurité commerciale…

Politique de compétitivité, ensuite : comment accompagner les entreprises dans la conquête des marchés mondiaux ? Comment définir, conduire et valoriser les politiques de recherche et favoriser l’innovation ?

Politique d’influence : comment anticiper l’évolution des normes, peser sur les décisions des organisations internationales ? Comment identifier les nouveaux acteurs de la mondialisation ? (ONG, fondations, fonds d’investissement…)

Politique de formation enfin : qui former, quel enseignement général, quel enseignement spécialisé ?

Cette politique publique- comme partout dans le monde, n’est pas adaptée à tous les marchés : seuls les marchés que je qualifie de stratégiques (et que ni la doctrine, ni la théorie économique n’ont identifiés !) sont concernés : ceux qui créent, en plus de la richesse et de l’emploi, de la puissance et de l’influence ; termes tabous ! Tant pis. On reconnaîtra l’aéronautique et le spatial, la défense, l’énergie, la pharmacie, l’industrie des technologies de la communication, de l’information et de la sécurité, certains domaines de l’industrie agro-alimentaire. La conquête de ces marchés, partout dans le monde, ne repose plus sur la qualité et le prix des produits et services, mais sur de nouveaux acteurs, de nouvelles méthodes.

Comment expliquer les retards français ?

D’abord par notre conception des relations commerciales internationales : autant nous sommes socio démocrates dans la définition de nos politiques économiques intérieures, autant nous sommes naïfs et libéraux dans le regard que nous portons sur les marchés mondiaux. Chez les anglo-saxons, c’est exactement l’inverse.

Ensuite parce que l’histoire des relations entre l’administration et le monde économique est une histoire de contentieux, d’incompréhension, voire de mépris mutuel. Or l’intelligence économique repose sur le métissage des cultures, la définition de procédures de mutualisation de l’information, l’identification de convergences d’intérêts.




J’ajouterai que nos élites politico- administratives ont une connaissance pour le moins réduite des ressorts réels du marché et plus encore, de la vie internationale.

Enfin, la France n’a pas de culture du renseignement. Les services dits « spécialisés » sont encore mal traités, budgétairement et administrativement, leur image est médiocre dans l’enseignement supérieur, leur politique de communication nulle. Le regard des politiques lui-même est méfiant ; celui des grands chefs d’entreprises dubitatif…

Quelles finalités pour cette politique publique, nouvelle comme l’ont été au cours des vingt dernières années, la protection de l’environnement et le développement durable ?

Identifier le périmètre stratégique de l’économie française, cela veut dire se battre pour ce qui est essentiel. S’affranchir des tutelles technologiques, comprendre qu’il existe des métiers stratégiques dont certains sont concentrés entre les mains de nos grands concurrents (cabinets d’avocats et d’expertise comptable, d’audit, de courtage d’assurance, de normalisation et de certification).

Associer capitaux publics et privés dans de nouveaux fonds dédiés au développement d’entreprises spécialisées dans les technologies de l’information, de la communication et de la sécurité, accentuer nos moyens dédiés à la recherche.

Marier dynamiques publiques et privées pour conquérir des marchés, conduire l’Europe vers de vraies stratégies industrielles, là où il n’y a qu’une politique concurrentielle entravant l’essor de nos champions…

Autant de défis qui impliquent, pour paraphraser Paul Valery, un nouveau « regard sur le monde actuel ».

L’Etat a tout à gagner à développer cette nouvelle politique. En termes d’image : l’intelligence économique est « moderne ». En termes de fonction : privilégier la circulation de l’information plutôt que sa rétention, valoriser celui qui donne plutôt que celui qui conserve, c’est révolutionnaire !

Pour les préfets, représentants de l’Etat par excellence, comme pour les ambassadeurs, l’intelligence économique constitue une merveilleuse opportunité. L’occasion d’être les pilotes d’une réforme porteuse de sens, d’être à coté des élus, des moteurs du développement économique dans ce qu’il recèle de plus « fin » et de plus prospectif ; d’être enfin les moteurs de la réforme administrative, la vraie, celle qui se veut au service de la Nation et non de ses corporatismes.

Si de notables avancés peuvent être constatées un an après la remise de mon rapport au Premier ministre1, il reste encore un long chemin à parcourir pour que l’intelligence économique devienne en France une véritable politique publique.

Le premier effet positif des débats qui ont suivi la publication de ces travaux fondés sur l’écoute et le questionnement de près de quatre cents personnes est que l’intelligence économique est mieux comprise aujourd’hui, dans l’administration et dans l’entreprise, comme une approche stratégique en matière de compétitivité, de sécurité économique, d’influence et de formation, plutôt que comme la simple mise en œuvre de techniques de traitement, d’échange ou de protection de l’information stratégique.

L’idée selon laquelle les critères de conquête des marchés ne sont pas toujours ceux que définit l’économie libérale est également mieux partagée. Dans le jeu classique de la globalisation des échanges, pour les produits les plus courants, l’entreprise augmente ses parts de marché par un avantage concurrentiel fondé sur le prix, la qualité de ses produits ou services, et une communication adaptée à sa cible. Il n’en va pas de même dans certains secteurs stratégiques où les Etats interviennent fréquemment en faveur des entreprises nationales2, en déployant, au besoin, les arguments financiers ou diplomatiques les plus frappants.

1 « Intelligence économique, compétitivité et cohésion sociale », La Documentation Française, 2003 2 Pour la définition d’une entreprise nationale, on peut consulter par exemple le rapport du Commissariat général du Plan publié en 1999 et intitulé «La nouvelle nationalité de l’entreprise dans la mondialisation » dans lequel cinq critères d’évaluation sont proposés.



Deuxième élément positif, la nomination au début de l’année 2004 d’un Haut Responsable à l’intelligence économique par décret du Président de la République et placé auprès du Premier ministre a signé l’engagement des pouvoirs publics sur ce sujet, même si son positionnement administratif final a donné lieu à de vraies interrogations quant à son efficacité, notamment dans le dialogue avec les entreprises3.

L’actualité économique a montré que ce sujet est au cœur du développement de l’industrie européenne. La constitution du troisième groupe pharmaceutique mondial et du premier européen – SANOFI-AVENTIS - a pu s’effectuer grâce aux efforts conjugués d’un industriel visionnaire et d’un Gouvernement audacieux. Les exemples de la consolidation du groupe ALSTOM défendue par le ministre de l’Economie, des Finances et de l’Industrie à Bruxelles et de la disparition de PECHINEY, absorbé par le canadien ALCAN (que l’entreprise française n’a pu racheter quelques années plus tôt en raison du veto de la Commission européenne) ont porté leurs fruits.

En ce sens, la création annoncée en juin par le chancelier allemand d’un groupe franco-allemand d’entrepreneurs visant à promouvoir une politique industrielle commune, va dans le bon sens.

L’essentiel pourtant reste à accomplir. La situation sociale insupportable de trop nombreux compatriotes 4, la « découverte » du phénomène de délocalisations d’entreprises ou plutôt de son accélération, y compris au sein de l’Europe ; la poursuite des conséquences de la libéralisation des marchés – par exemple la levée le 1er janvier 2005 des quotas imposés en matière textiles à la Chine ; les contraintes et les opportunités que les préoccupations nouvelles en matière d’environnement ou de développement suscitent : autant de facteurs qui devraient nous pousser à agir si nous ne voulons pas que la France ne soit demain qu’un hypermarché au milieu d’un champ de ruines sociales.

La première urgence est de définir le « périmètre stratégique » de l’économie française. Ce que nous devons défendre pour garantir une cohésion sociale menacée, ce que nous devons promouvoir pour assurer à nos enfants richesse intellectuelle et professionnelle.

Les résultats de cette réflexion prospective doivent être connus de tous afin de permettre la création des filières éducatives et professionnelles nécessaires, de favoriser le ciblage des soutiens publics, d’assurer la meilleure mobilisation des acteurs éducatifs, sociaux et économiques. Ce travail prospectif partagé et communiqué sera également un signe donné aux étudiants et aux jeunes professionnels dont l’expatriation sonne comme une condamnation de l’avenir de la France. Il encouragera également les entreprises étrangères à investir en France.

Ce concept de périmètre stratégique de l’économie française doit d’ailleurs être décliné régionalement : à partir de leurs savoir-faire anciens ou plus récemment acquis, en fonction de leur localisation géographique, les régions n’ont évidemment pas les mêmes atouts ou les mêmes fragilités.

La dimension territoriale est un échelon essentiel de la mise en œuvre d’une politique publique d’intelligence économique. Si une stratégie nationale en ce domaine s’oriente plus naturellement vers les grandes entreprises, c’est bien au niveau régional que l’action auprès des petites et moyennes entreprises et des entreprises régionales à envergure mondiale sera la plus efficace. Dans certains secteurs d’activité, comme le textile par exemple, ce sont également ces entreprises qui se révèlent le plus exposées à la concurrence issue de la mondialisation.

Dès l’automne 2003, Nicolas SARKOZY, alors ministre de l’Intérieur a compris le rôle majeur que les préfets en poste territorial et certaines directions du ministère de l’intérieur peuvent jouer dans la réussite d’une politique publique d’intelligence économique.

La mise en place d’expérimentations régionales a été décidée et sa coordination confiée au Secrétaire général du ministère. Une orientation confirmée par Dominique de VILLEPIN qui a décidé de faire passer de cinq à sept le nombre de Régions initialement prévues avec l’objectif de généraliser l’expérimentation, en cas de succès, dès 2005.

3 Cf. Mon rapport de la Commission des finances « Pour une stratégie de sécurité économique nationale » (www.assemblee-nationale.fr) 4 Qui peut se satisfaire d’une France dans laquelle un million d’enfants ou d’adolescents vivent sous le seuil de pauvreté INSEE rapportée par le quotidien « Le Monde » mars 2003.



Le déroulement de ces expérimentations se heurtera vraisemblablement « sur le terrain » au double obstacle culturel qui fragilise notre pays depuis trente ans : la délégation administrative de la réflexion stratégique et le cloisonnement entre administrations.

Comme il est fréquent pour les hommes politiques qui accèdent aux responsabilités exécutives, la « tyrannie du court terme » pourrait inciter les préfets de Région en charge ou les directeurs d’administrations concernées à déléguer à un jeune « chargé de mission » la démarche méthodologique, l’essentiel de la réflexion et l’établissement de propositions. Ce n’est pas la meilleure garantie de succès.

Une des pistes ouvertes par mon rapport au Premier ministre propose la création de comités de pilotage régionaux d’intelligence économique. Une telle structure – dont la nature juridique importe peu - a l’avantage de pérenniser l’action engagée et d’en assurer la nature collective : ce sont les croisements des expertises publiques et privées qui permettent d’établir les meilleurs diagnostics, de définir les orientations et les actions à mettre en œuvre. C’est également au sein de ce type de structure que l’on évite la tentation de se limiter à quelques opérations d’affichage et que la collaboration active entre services déconcentrés de l’Etat peut être plus fluide.

Parce qu’il s’agit d’une politique régionale à inscrire dans le long terme qui comporte à la fois un volet industriel et scientifique mais également un volet social et éducatif, parfois culturel, parce qu’il connaît le mieux les administrations du ministère de l’intérieur utiles sur ces sujets, c’est au préfet de Région qu’il appartient d’orienter, de coordonner et de suivre la réflexion stratégique, la mise en place des outils et des actions à mettre en œuvre. Son rôle-charnière d’intermédiaire entre la politique de l’Etat et l’exécutif régional - qui doit être étroitement associé à toute démarche d’intelligence économique - est essentiel.

Nous pouvons nous montrer résolument optimistes. A côté de la mobilisation annoncée du Gouvernement et de l’engagement des préfets dans les expériences régionales, de grandes entreprises françaises et européennes, conscientes des enjeux, ont choisi de soutenir la réflexion et l’action sur des sujets directement liés à l’intelligence économique. C’est le sens de la Fondation d’entreprises Prométhée que je crée et à laquelle j’ai associé mon collègue de l’opposition Jean-Michel BOUCHERON. Cet engagement collectif d’entreprises au service de l’intérêt général doit être pour nous source d’exigences et d’espoir..



2 LA CYBERCRIMINALITE Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]

Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et cyber-mafias…). Cet attentat dramatique a clairement montré que ce n'était ni le nombre, ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l’on place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le domaine militaire que civil.

2.1 ANALYSE DES GRANDES TENDANCES 2004 / 2005 C’est près d’un milliard d’hommes, de femmes et d’enfants qui deviendront internautes d’ici à 2005. Ils échangeront alors environ 35 milliards de messages par jour. Or, de sérieuses menaces pèsent sur ce secteur. En 2004, le cyber-racket ou chantage exercé par des cyber-bandes professionnels du cyber-crime pour extorquer de l’argent aux entreprises après leur avoir dérobé des données sur leur système d’information s‘est étendu. Ne parlons pas des spam, spim et autres vers qui envahissent désormais les objets nomades comme les téléphones portables et les agendas électroniques.

Internet s’est développé plus rapidement que n’importe quel autre média. Depuis 1995, Internet connaît un succès foudroyant avec un trafic qui doublerait tous les 3 mois. Cette croissance exceptionnelle ne va pas sans problème. Le premier d’entre eux, c’est l’absence de connaissances et d’expertises sur le monde Internet, et surtout ceux de la E-Confiance et des Cyber-risques. La deuxième observation, c’est la prise de risque stratégique que représente l’absence d’une politique de sécurité appliquée aux utilisateurs des systèmes d’information. Trop d’entreprises ignorent les menaces et les risques. Ils sont pourtant nombreux.

2.1.1 Les principaux enjeux 2004 / 2005 (Enquête NetCost&Security 2004)

Technologiques : avec les conséquences de l’usage du protocole IP devenu outil de référence pour les applications de messagerie et d’échanges de données, le standard IP connu de tous est désormais présent au sein de tous les systèmes d’information. PMI et PME ne sont pas encore en 2004 toutes raccordées à Internet. Si les usages liés aux procédures dématérialisées progressent, ces dernières demeurent en retrait face à un marché encore inquiet face aux menaces liées aux Cyber-risques via l’Internet (attaques virales et ingénierie sociale). Enfin, si les notions de mises à jour commencent à êtres connues, les utilisateurs français souvent indisciplinés demeurent peu réceptifs aux règles de sécurité notamment sur les aspects liés aux mises à jour de bases de signatures et de patch (correctif)

Économiques : la messagerie se substitue au téléphone l’asynchrone au synchrone. A l’échelle mondiale, 36 milliards de messages seront échangés au quotidien en 2005. Il y en avait 11 milliards en 2001. En 2004, l’opérateur Wanadoo gère 20 millions de mails par jour. C’est dire son importance en tant qu’outil «positif» mais aussi vecteur de spams, rumeurs… mais également éléments de preuves avec la signature électronique encore discrète mais techniquement opérationnelle. Le concept de Forensic computer ou la preuve via les NTIC est considéré comme une tendance majeure de 2004.

N’oublions pas le piratage des logiciels et la création de sites de stockage ou le téléchargement de logiciels: de plus en plus de logiciels sont disponibles sur le marché. Comme en 2003, les logiciels sont en 2004 souvent piratés pour servir d’arme (la différence de connaissance entre les experts Cyber-risques et les attaquants s’estompe) et téléchargés. En effet, de nombreux utilisateurs novices trouvent sur certains sites des «outils» de hacking ne nécessitant aucune connaissance particulière (ce qui ne réduit pas pour autant leurs effets). Autres tendances celles liées au piratage



d’œuvres musicales et vidéo. Ce type de piratage inquiète sérieusement les «majors» du disque et de l’industrie cinématographique en 2004. Des plaintes sont déposées et des groupes de pression se forment.

Organisation de la malveillance : des attaques nouvelles faisant appel à des regroupements, de nombreuses attaques proviennent désormais d’un regroupement effectué entre hackers et développeurs de codes malicieux. Avant 2003, les premiers étaient davantage «spécialisés» sur les attaques réseaux (couches basses) et les seconds sur les couches hautes (dites applicatives) en développant des codes malicieux qui exploitent les agendas des messageries pour accélérer leur propagation. 2003-2004 «consacrent» les attaques par codes malicieux de Mydoom à Sasser, la progression de l’exploitation des failles non «patchées» devient inquiétante à tel point que de grands éditeurs comme Microsoft estiment que leurs priorités en sécurité en 2004-2005 reposent sur l’écriture de code sécurisé et la bonne gestion des «patch» par leurs grands clients.

Les paradoxes des environnements ouverts : l’environnement Open Source peut être profitable aux entreprises mais aussi à leurs attaquants (c’est un des paradoxes de l’open source). Cela dit, Linux et les outils Open source retiennent l’attention de grands comptes.

La forte poussée chez les décideurs de réflexions sur la conformité réglementaire et la veille juridique avec la notion de responsabilité de tiers (FAI, opérateurs, éditeurs…) et les problématiques liées à la délégation de pouvoir, certification, contrat des prestataires…

Dernier point rarement évoqué dans les études, les signes que donnent les utilisateurs «TECHNO-REBEL » se confirment face aux outils de Cyber-Surveillance et à des lois jugées «liberticides» par certains regroupements (utilisateurs d’Internet, hébergeurs…). Ces nouvelles questions ne doivent pas être oubliées, elles sont le signe profond d’un malaise chez bon nombre d’utilisateurs. Ne sont-ils pas de plus en plus nombreux à se sentir «cyber-surveillés» sans de réelles explications ? Un utilisateur malheureux dans son environnement peut concevoir de se révolter contre cet environnement. D’où risque. Les premiers signes apparaissent avec la progression inquiétante des attaques internes. 2004 confirme une tendance apparue en 2003 liée aux comportements. Les outils de traçabilité existent et inquiètent. Désormais des solutions de préventions liées à l’anticipation des comportements apparaissent dans certaines entreprises afin d’anticiper les comportements «à risque» et prévenir une menace. Surtout, le sacro-saint secret des correspondances privées est remis en cause par des RSSI bien décidés à faire valoir en priorité les précautions liées aux risques de menaces sur le patrimoine informationnel. D’où l’importance des chartes Internet de plus en plus précises liées au règlement d’entreprise.

Au sein des entreprises, la délinquance d’utilisateurs internes «en col blanc» - ce sont eux qui ont accès à l’information - augmente chaque année. En 2003 le nombre de menaces internes est considéré comme supérieur face aux attaques externes par les grandes entreprises nord-américaines. En 2004, ces chiffres se confirment sans toutefois augmenter considérablement en raison de l’application stricte des règles de politique de sécurité.

2.1.2 Pourquoi se protéger ? La réponse est évidente : les sites gouvernementaux, les institutions, les universités et écoles, les banques, les industriels, les sites de commerce électronique… ont tous connus des attaques sur leurs serveurs, sur leurs flux de transmission, sur leur Intranet et réseau interne, transactions… Internet permet aux entreprises de tailles différentes de communiquer. C’est le concept de l’entreprise étendue. Les sous traitants doivent disposer de maillons de la chaîne de sécurité aussi robustes que ceux utilisés par les grands comptes avec qui ils travaillent. Dès lors, la politique de sécurité s’étend à l’extérieur du périmètre connu de l’entreprise. Mais comment être certain que les règles propres à la politique de sécurité sont appliquées et correctement analysées ?

Idem pour les utilisateurs particuliers : Les opérateurs en 2003 et 2004 se préoccupent de plus en plus d’offrir des solutions «packagées» de sécurité (anti-virus, anti-spam, contrôle parental, filtrage URL…).

Fait nouveau : les opérateurs interviennent eux-mêmes pour réaliser des contrôles et en font connaître les résultats notamment auprès du grand public.



AOL prétend que son système de «scan» automatique des pièces-jointes avait bloqué 500 millions de méls infectés par des virus, depuis son lancement mi-avril 2004. En moyenne, les 32 millions d'abonnés d'AOL ont été individuellement protégés de l'attaque de 15 virus selon ce FAI.

2.2 E-SECURITE : DE QUEL MARCHE S’AGIT-IL EN 2004 ? Les solutions de sécurité au sein des grandes entreprises mettent toutes en œuvre une partie ou généralement la totalité des mécanismes suivants : disponibilité des données et des systèmes d’information (systèmes, réseaux, applications et services), des plans de secours et de continuité de services, les applications Cyber-risques et E-Confiance via des procédures d’authentification, autorisation, intégrité, confidentialité et non-répudiation. De la sécurité informatique des années 80 à la sécurité du système d’information des années 90 pour atteindre aujourd’hui les rivages de la sécurité des informations/applications et des droits des utilisateurs avec les notions de patrimoine informationnel à valoriser via un référentiel de sécurité audité chaque trimestre, les Cyber-risques englobent de nombreux concepts en 2004 à commencer par la cyber-criminalité en forte progression.

Plusieurs marchés composent le marché des Cyber-risques : celui de la sécurité applicative et des services Web, celui de la sécurité système et celui de la sécurité des infrastructures.

Les Cyber-risques «applicatifs» confirment leur envol entamé en 2003. Selon le Gartner Group, 75 % des attaques provenant de l’Internet s’effectuent au niveau des couches applicatives.

Le marché Cyber-risque reste difficile à cerner d’autant qu’il est crédité de chiffres controversés. Pour 2004, les enjeux liés à la Confiance viennent confirmer les tendances 2003 : les PME/PMI s’intègrent de plus en plus aux systèmes d’informations des grands comptes et les discours des Risk Managers évoluent de la technologie vers l’usage de cette technologie avec les environnements indispensables : juridiques, réglementaires, économiques. Mais qu’est ce que la e-Confiance ?

Désormais, la gestion des risques majeurs et des utilisateurs l’emporte sur les discours axés sur la «peur» et les solutions «totalement technologiques». Certains fournisseurs, éditeurs, intégrateurs dont le discours reste uniquement axé sur les technologies, vont devoir revoir leur copie en 2005.

Deux mondes – grandes entreprises et PME/PMI – sont appelés à se rencontrer sur le terrain des Cyber-risques. En effet, le concept d’entreprise étendue va obliger les PME/PMI sous-traitants à respecter le cahier des charges de leurs clients, souvent des grandes entreprises dont la politique de sécurité s’étend désormais aux partenaires. Ce marché de l’entreprise étendue sécurisée, peu d’analystes semblent l’intégrer. Il est pourtant au cœur des préoccupations de la majorité des PME/PMI. Reste que bon nombre de DSI (Direction des Systèmes d’Information) et RSSI (Responsable de la Sécurité des Systèmes d’Information) cherchent encore une vision optimisée d’un «monde du travail connecté». Cependant selon certaines estimations de plusieurs études d’éditeurs, les grands comptes dans 20% des cas se montrent prescripteurs auprès de leurs partenaires et sous-traitants. 2004 le confirme. Non seulement une chaîne de la e-confiance basée sur des échanges dématérialisés se met en place mais les acteurs recherchent une plus grande homogénéité dans les échanges d’applications. L’interopérabilité technique des années 90 fait place après la distinction entre risques majeurs et risques mineurs des années 2000 à la «transparence» des échanges codifiés par des textes juridiques et le respect de normes pour les années à venir. Cette transparence s’accompagne d’une notion de gestion des droits liés aux usages des données et documents.

2.3 LES MENACES Auteur : Gérard Péliks (EADS) [email protected]




Dès qu’un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs voire même à une perte totale des fichiers systèmes, avec impossibilité de « rebooter » son PC.

Quand l’utilisateur se connecte sur l’Intranet de sa société, ce réseau est automatiquement sujet à des menaces pouvant porter atteinte à l’intégrité, et même à l’existence des informations et aux applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si l’utilisateur connecté à son Intranet, a aussi accès simultanément à l’Internet, les menaces sont multipliées tant dans leur nombre que dans leur diversité.

Nous ne pouvons rien contre l’existence de ces menaces, qui sont liées à la nature humaine et à la nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se concrétiser par des attaques réussies.

Contre les vulnérabilités, heureusement pour l’utilisateur, pour son poste de travail et pour les réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les explorer. Mais les outils ne sont efficaces qu’intégrés dans une politique de sécurité connue et librement acceptée par l’entreprise ou la collectivité, car on ne le répétera jamais assez, ce n’est pas le réseau qui est dangereux, c’est bel et bien l’utilisateur, parfois de manière consciente mais aussi souvent sans le vouloir et sans même le savoir.

Les menaces sont bien réelles. Pour se protéger contre elles, puisqu’on ne peut les éliminer, il faut les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l’entreprise cible.

Il n’est pas possible de se prémunir contre toutes les menaces, donc il n’est pas crédible de se croire hors d’atteinte de toute attaque. Heureusement les informations et les applications résidant dans votre réseau et dans vos postes de travail n’ont pas toute la même valeur stratégique pour l’entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l’endroit où les



informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût qu’induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit, pour chaque domaine d’information, pour chaque application, il y a un seuil au-delà duquel, il n’est pas rentable d’investir plus pour protéger une information dont la perte causerait un préjudice inférieur au coût des solutions de sécurité mises en place.

Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une information dont la perte serait sans commune mesure avec le coût de la solution de protection de cette information.

Les menaces sur les postes nomades Déjà à l’intérieur de l’entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire de l’attacher à un point fixe par un cordon d’acier, et d’utiliser l’économiseur d’écran quand vous vous absentez provisoirement de votre bureau. Que dire alors des risques qu’il encourt quand vous le sortez de l’entreprise !

Justement parlons-en.

Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, paraît-il, disparaissent. Ce n’est pas toujours l’œuvre de simples voleurs intéressés par la valeur marchande du PC le plus souvent très inférieure à celle des informations stockées sur son disque dur. J’ai connu une

situation, lors d’un salon, il y a quelques années, où la paroi de la remise d’un stand avait été forcée durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient disparu. Au-delà de la gène évidente pour leurs propriétaires, l’un des portables contenait le planning et l’évolution des fonctionnalités des produits conçus et commercialisés par l’entreprise et les carnets d’adresses des partenaires et des clients. Que pouvait espérer le propriétaire de mieux qu‘un miracle fasse qu’une météorite tombât sur son PC volé en détruisant son disque dur avant que son contenu ne soit exploité ! Mais la probabilité pour que ce miracle se produise n’est pas bien grande. Ajouté à cela, durant la journée, des coffres de voitures avaient été forcés sur le parking du salon et un autre PC portable avait été dérobé !

Ce n’est pas sur l’espoir d’un miracle que doit reposer la sécurité des données contenues dans les postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état d’esprit, une politique de sécurité, et des outils correctement paramétrés.

Durant la connexion votre poste nomade peut présenter un danger pour l’intégrité du système d’information de votre Intranet car il est exposé aux attaques dites « par rebond » qui permettent à un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans l’Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre VPN est activé, le poste nomade n’accepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l’Internet. Quand vous n’avez plus besoin d’être connecté à l’Intranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur.

Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences catastrophiques pour notre système d’information. Ce n’est pas une raison, bien sûr pour relâcher votre vigilance.

Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers échappent évidemment au contrôle de l’antivirus de l’entreprise. Une fois le poste nomade connecté à l’Intranet, il peut infecter son système d’information. Il est indispensable, avant tout chargement de fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur.



Remarque : Ne confondons pas poste nomade et utilisateur nomade, en effet l’utilisateur nomade n’utilise pas forcement un ordinateur de l’entreprise pour se connecter. Les bornes Internet dans les cafés, par exemple, permettrent de lire son courrier électronique à distance. Ces systèmes sont cependant beaucoup plus dangereux car des spywares peuvent être installés et enregistrer les mots de passe à l’insu de l’utilisateur. Il faut donc être encore plus vigilant lors de l’attribution des droits d’accès aux serveurs pour des utilisateurs nomades.

2.4 LES VULNERABILITES Auteur : Dominique Ciupa (Intranode) [email protected]

2.4.1 Une histoire qui remonte à la nuit des temps Toute conception humaine a ses limites. Les logiciels et les réseaux comme les autres activités. A l'instar de la quasi-totalité des personnes qui, quelque que soit leur niveau d'éducation, laissent de temps à autre quelques fautes d'orthographe dans leurs écrits, les développeurs informatique font de leur côté un certain nombre de fautes informatiques. « Errare humanum est » a existé bien avant l'informatique. L'humanité a toujours connu les questions de vulnérabilités. Depuis le talon d'Achille jusqu'à la ligne Maginot, l'histoire des vulnérabilités n'est qu'une longue répétition de point de faiblesse et d'erreurs. Certaines fautes informatiques génèrent des « bugs », nom donné à l'époque des premiers calculateurs électroniques lorsqu'un insecte, une punaise ou « bug » en anglais, provoquait un court-circuit entre deux composants électrique. D'autres erreurs peuvent être exploitées pour porter atteinte à la sécurité des réseaux et systèmes d'information. Accès à des données confidentielles, corruption de données, blocage d'un système que l'on appelle « déni de service », prise de contrôle d'une machine pour exécuter ce que l'on veut. On parle alors de failles de sécurité, ou de vulnérabilités informatiques.

Rien de nouveau d'un point de vue technique, mais c’est aujourd'hui un véritable problème en raison de l'exploitation à grande échelle qui est désormais faite des bugs et failles de sécurité. Ainsi, il y a encore 10 ou 15 ans, des failles ou bugs pouvaient exister sans conséquences graves. Ainsi, dans les systèmes de facturation téléphonique des bugs existaient qui permettaient de ne pas payer les communications. Sur certains commutateurs et pour certains opérateurs télécoms, le système de renvoi d'appel, faisant intervenir la couche dite « de réseau intelligent », permettait de faire disparaître le ticket de taxation lorsqu'un premier poste était renvoyé sur un deuxième poste lui-même renvoyé sur un troisième. Les développeurs n'avaient pas prévu un usage aussi curieux et le pointeur des tickets de taxation se trouvait sur la valeur « nihl ». En clair, les tickets de taxation disparaissaient. Le poste numéro 3, se faisant appeler après un tel double renvoi, bénéficiait d'une communication gratuite pour l'appelant. Le risque d'un manque à gagner pour l'opérateur télécom utilisant ces équipements était flagrant. Sauf que le « bug » n'était connu que d'un petit groupe d'experts qui considéraient le strict respect de la confidentialité de certaines informations comme étant une règle essentielle de bonne conduite professionnelle. Le tout se commentait donc ainsi en 1992 au sein de la communauté des experts internationaux des réseaux intelligents réunis en congrès en Gironde au cours d'un fastueux dîner payé par France Télécom dans le Château de Wayre, après une dégustation des meilleurs crus offerte par la Mairie de Bordeaux. L'information était même confiée à des journalistes participant à ce congrès, sous le couvert du célèbre « off the record », et tout en restait là ! Tout le monde a vécu sans problème avec cette faille, sans la corriger pendant de nombreuses années. Constructeurs et opérateurs s'entendaient pour accepter de vivre avec ce risque, en plaçant l'information sous le sceau du secret professionnel et en considérant que la correction serait trop coûteuse pour une menace aussi faible, puisque la possibilité d'attaque était inconnue du public.

2.4.2 Un changement de comportement avec les vulnérabilités informatiques Tout est désormais radicalement différent. Une vulnérabilité découverte fait l'objet de communication immédiatement relayée par tous les moyens de la communication moderne de l'Internet. Peu de notion de confidentialité subsiste. Une éthique veut toutefois encore que la publication ne soit faite que lorsque la correction de la faille a été réalisée par l'éditeur, ou qu'une solution de contournement de la faille est identifiée. Cette éthique est heureusement souvent respectée. Mais le jeu collectif de certaines communautés de chercheurs ou de développeurs est bel et bien la recherche des failles de certains éditeurs, allant parfois au-delà de ce que la loi autorise en pratiquant la décompilation de




logiciels, et menaçant, tels des maîtres chanteurs, de publier la faille si la correction n'est pas développée dans les plus brefs délais par l'éditeur. Le nombre de vulnérabilités découvertes et publiées ne fait qu'augmenter.

Il existe toutefois aujourd'hui un débat sur le bien-fondé de la recherche des vulnérabilités. La loi a désormais défini des limites aux possibilités de recherche de vulnérabilités à des fins de hacking. Le délit existe donc avant même l'attaque dès la préparation possible de l'attaque. De nombreuses communautés de chercheurs se sont élevées contre ces interdictions et ont affirmé que la recherche devait être libre et sans contrainte pour faire progresser la qualité des logiciels. C'est pour nombre de chercheurs de bonne foi un objectif réel, louable et légitime. Le débat a suscité de nombreuses passions et parfois provoqué des prises de positions extrêmes. Toute l'ambiguïté du débat porte autour de l'appréciation de qu'est une fin légitime de recherche de vulnérabilité. Suivant sa finalité, la recherche est autorisée ou est qualifiée de criminelle par la loi. Le législateur ne tranche pas et laisse le soin de l'interprétation à l'application de la loi. Le débat est donc loin d'être clos.

Les failles concernent tous les systèmes et tous les éditeurs de logiciels. Linux n'est pas nécessairement mieux loti que Microsoft sur ce plan. La communication de chaque communauté d'informaticiens s'apparente parfois à des guerres de clochers inutiles.

262 4171090

2437

4129 3784

0

1000

2000

3000

4000

5000

1998 1999 2000 2001 2002 2003

nombre de vulnérabilités

Nombre de vulnérabilités répertoriées par les CERT www.cert.org/stats/

2.4.3 Les « exploits » Après la publication de la vulnérabilité, la manière avec laquelle on peut exploiter la faille devient une sorte de second challenge pour certaines communautés qui vont chercher à s'illustrer avec de nouvelles publications et revendiquer leurs exploits respectifs. Tout circule à grande échelle et sans délai sur le Web et les forums de discussions. Le monde est devenu très bavard, les « bugs » et failles sont mis à nu devant tout le monde et les programmes d'attaques, dénommés « exploit » affichés aux yeux de tous et signés par leurs auteurs, qui utilisent souvent par prudence des pseudonymes connus seulement par leurs pairs. L'excitation de la recherche, la communication et une certaine vantardise poussent le système. Le débat sur le bien-fondé de la publication des « exploits » est esquissé par les nouveaux textes législatifs. La loi comprend désormais des possibilités de restreindre ces publications. Des chercheurs déclarent par ailleurs utiliser ces exploits à des fins de tests, pour vérifier si une vulnérabilité est présente. Là encore, la notion de fin légitime apparaît. Le législateur n'a pas apporté de définition et les magistrats pourront interpréter.

2.4.4 Les parades Pour le responsable sécurité, tout le problème réside donc dans la mise à jour des correctifs de sécurité, ou les modifications des configurations pour palier les vulnérabilités. Nous sommes dans une véritable course à la mise en œuvre des correctifs avant que les failles ne soient exploitées.

2.4.5 Les attaques exploitant les vulnérabilités Plusieurs attaques sont en effet à craindre.

Le premier type d'attaque relève du hacker isolé qui va s'en prendre à une machine pour le plaisir, et parfois sans grand géni. Cette personne surveille la publication des failles de sécurité, recherche les « exploits » rédigés et publiés par d'autres en toute impunité sur le Web et mène ensuite son jeu

http://www.cert.org/stats/



pour bloquer une machine, lire des informations confidentielles, changer des données ou prendre le contrôle d'une machine pour lui faire exécuter ce qu'il veut. Le hacker se comporte parfois en pensant que le coupable est en fait le responsable du système d'information qui n'a pas mis à jour ses logiciels, lui-même ne faisant que jouer. L'inconscience est donc parfois la source de graves préjudices. Il peut toutefois également s'agir d'espionnage industriel ou d'actes mafieux, sans aucun caractère ludique, mais avec des enjeux financiers bien réels.

Le second type d'attaque est plus industriel et consiste à utiliser des vers pour mener à grande échelle une attaque sur un nombre non limité de machines en un minimum de temps. Quelques exemples de telles attaques sont les vers « Slammer », « Blaster » ou encore « Sasser ».

Très connus dans l'univers Microsoft Windows, les attaques de hackers ou des vers peuvent aussi être conçus pour utiliser les vulnérabilités de tout autre machine : Linux, Unix, mais aussi des routeurs, commutateurs, PDA ou téléphones portables. Nous n'oublierons pas également qu'aujourd'hui des équipements téléphoniques sous IP, les IPBX ou PABX IP, sont d'abord et avant tout des équipements data, fonctionnant sous des OS Windows, Linux ou Unix et qu'à ce titre ils sont aussi vulnérables qu'un PC. D'autres équipements peuvent aussi être concernés, bien que l'on y pense moins souvent : les imprimantes, dont les disques et mémoires peuvent contenir des informations confidentielles, et tous les équipements ou solutions sur appliances, tels que les firewalls, solutions de filtrage applicatif, enregistrement de vidéosurveillance numérique, etc.

2.4.6 La difficulté des corrections La correction des vulnérabilités n'est pas un exercice anodin. Lorsqu'ils existent, les correctifs, ou patches en anglais, proposés par les éditeurs sont parfois incompatibles avec d'autres applications mises en œuvre sur la même machine. En fermant un « trou de sécurité », il est en effet possible que l'on bloque une seconde application, qui utilise, sans penser à mal, les particularités de la première application vulnérable. Les « trous de sécurité » apportent en effet parfois certaines souplesses que les développeurs peuvent utiliser de façon légitime. Il faut alors développer un second correctif à appliquer sur la seconde application pour qu'elle fonctionne avec le patch appliqué sur la première. Une autre solution consiste parfois à développer un second patch qui va corriger le premier patch et permettre un inter-fonctionnement satisfaisant des deux applications. On patch alors le patch. Tout ceci prend naturellement du temps. L'entreprise doit choisir entre rester vulnérable ou bloquer certaines applications. Le sujet n'est pas simple. La gestion des vulnérabilités relève de questions d'organisation, de définition de processus et d'emploi d'outils adaptés que nous présentons, notamment au paragraphe « Scanners de vulnérabilités » de cet ouvrage.

2.4.7 Les faiblesses du Web Auteur : Sami Jourdain (Deny All) [email protected]

Par son étendue, sa richesse de contenu et sa simplicité d’utilisation, l’Internet est une mine d’informations pour les entreprises et un média sans précédent pour faire connaître les informations mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l’Internet, l’utilisateur peut accéder à des millions de pages Web, et peut, à l’aide de portails et de moteurs de recherche, obtenir l’information qui lui est nécessaire dans le cadre de son travail, au moment où il en a besoin (caractéristiques d’un produit, liste de prix, conditions de vente, contacts, plan d’accès…)

2.4.7.1 Les menaces sur les applications Web Les entreprises continuent de déployer de nouvelles applications Web afin d’augmenter l’efficacité de leurs échanges avec leurs clients, employés, fournisseurs et partenaires, de générer des revenus additionnels et de réduire leurs coûts.

Tous les départements de l’entreprise bénéficient de l’ouverture au Web : sites de e-commerce et de gestion de la relation client, automatisation de la chaîne achats, production, logistique, télétravail, webmail…Confirmant cette tendance, les principaux éditeurs livrent maintenant leurs logiciels tels que SAP, Peoplesoft, Notes, Outlook, Siebel, avec interface Web incluse.

En multipliant les accès Web via internet, extranet et intranet, les entreprises fournissent à des utilisateurs malveillants de nouveaux points d’entrée à leurs applications. Avec l’aide d’un simple




navigateur, en jouant sur le contenu transmis dans les requêtes, les hackers peuvent parvenir à exploiter les vulnérabilités des logiciels pour les déstabiliser voire en prendre le contrôle. Sachant que les applications constituent les ressources les plus critiques de l’entreprise et hébergent leurs données les plus confidentielles, ces menaces représentent des risques majeurs pour l’entreprise tels que les ruptures de service, l’espionnage industriel, les vols d’informations confidentielles, la fraude financière et les atteintes à l’image de marque.

Efficaces pour la protection au niveau réseau, les solutions traditionnelles de sécurité telles que les firewalls « stateful », les systèmes de détection et de prévention d’intrusions ne sont pas adaptés pour détecter et bloquer efficacement les attaques sur les applications Web.

Représentant plus de 65% des attaques selon le Gartner Group, les attaques au niveau applicatif sont en constante augmentation. Un panel de 500 entreprises interrogées par le E-Crime Watch survey a rapporté 666M$ de pertes liées à ce type d’attaques sur l’année 2003. Mais il est probable que la réalité soit bien au-dessus, les entreprises étant peu enclines à déclarer des incidents qui ternissent leur image de marque et affectent négativement la confiance des utilisateurs. Le fait peut être le plus significatif est que depuis trois ans, le renforcement de la sécurité des applications Web constitue la priorité numéro une des entreprises en matière de sécurité informatique, devant le contrôle d’accès (Information Week Research, 2004).

Pourquoi les applications Web sont-elles vulnérables ? Quelles techniques utilisent les hackers pour les attaquer ? Comment les protéger efficacement ?

En complément des solutions de sécurité traditionnelles telles que les firewall, les systèmes de détection d’intrusions, de contrôle d’accès et de gestion des droits utilisateurs, le firewall applicatif s’est imposé comme une solution incontournable pour sécuriser efficacement les applications Web.

2.4.7.2 Qu’est-ce qu’une application Web ? Une application Web peut être définie comme un programme informatique rendu accessible par le Web à partir d’un navigateur en utilisant les protocoles de transport de données HTTP ou HTTPS.

Loin d’être un ensemble homogène, une application est généralement constituée de composants logiciels et matériels très divers qui interagissent entre eux pour remplir la fonction voulue. En prise directe avec les utilisateurs, le serveur Web gère les communications (interfaces réseau, gestion des sessions utilisateurs) et le logiciel de front office assure l’interface logique (couche de présentation, formulaires, CGI, extraction des données). Derrière, le logiciel de back office constitue le poumon de l’application et gère la partie métier. Enfin les bases de données permettent un accès rapide aux informations.

Lorsqu’un utilisateur initie une requête, sa demande sera transmise et traitée successivement par les différents composants de l’application (figure 1). Si les requêtes utilisateurs s’appuient sur les protocoles HTTP(S), les échanges internes entre composants peuvent utiliser des protocoles différents tels que SQL pour l’accès aux bases de données, LDAP pour l’accès aux annuaires, SOAP/XML pour les Web services. Au travers de la chaîne de liaison, un utilisateur Web possède ainsi un accès indirect à chacun des composants logiciels de l’application. Chaque composant devra donc traiter les requêtes de manière sécurisée, afin qu’un utilisateur malveillant ne puisse en tirer parti.



Les composants d’une application Web

2.4.7.3 De nombreuses vulnérabilités au sein des applications Les applications Web contiennent des failles qui les rendent susceptibles à des attaques externes. Les principales raisons de la présence de ces failles sont les suivantes :

Selon le centre de recherche IBM Watson, les logiciels comptent en moyenne une erreur de code toutes les 1500 lignes. Or, les applications peuvent compter jusqu’à plusieurs millions de lignes de codes.

Les applications ont été développées à l’origine pour des besoins internes sans intégrer des standards de sécurité propres à l’environnement Web plus ouvert.

Les projets de développements Web, souvent sous-traités à l’extérieur, ont été gérés pour obtenir le plus rapidement possible les fonctionnalités et les performances désirées, sans trop se soucier des aspects sécurité.

Les applications Web sont complexes : leurs différents composants utilisent des technologies très diverses (figure 1), certains ayant fait l’objet de développements spécifiques, d’autres s’appuyant sur des technologies tierces. Chaque composant possède son propre lot de vulnérabilités provenant de la (non) qualité du développement et/ou de la (non) qualité du code source d’un vendeur tiers.

Les composants sont souvent gérés par des équipes différentes. Même lorsque des correctifs existent, la complexité de l’organisation et l’hétérogénéité des technologies utilisées font que en pratique les opérations de patch ne sont que partiellement réalisées.

Les applications Web évoluent fréquemment, et même le plus petit changement sur l’un des composants peut générer une faille de sécurité exploitable.

2.4.7.4 Manipuler une application est relativement simple Les applications Web constituent des cibles de choix pour les utilisateurs malveillants : elles permettent de réaliser des transactions financières, manipulent des informations confidentielles et sont devenues indispensables au bon fonctionnement de l’entreprise. Qu’une application tombe et les employés qui l’utilisent n’ont bien souvent qu’à aller boire un café en attendant que cela redémarre !

Mais comment les hackers peuvent-ils lancer des attaques ? Prenons un exemple pour illustrer les mécanismes en jeu :

Pierre est en train de surfer sur le site Web d’un concurrent. Il vient de demander la consultation d’une brochure en accès public. Son navigateur affiche la commande suivante :



>http://server/query.asp?ID=3

Sans être développeur informatique, Pierre utilise ses quelques connaissances des bases de données SQL pour modifier la requête précédente, et rajoute dans les paramètres passés les instructions suivantes :

>http://server/query.asp?ID=3+OR+1=1

Les paramètres sont alors transmis à l’application qui les utilise pour générer une requête SQL vers les bases de données. Normalement, les données fournies par les utilisateurs sont contrôlées avant d’être transmises…Mais il arrive que les contrôles de paramètres au niveau applicatif soient insuffisants voire même inexistants.

La base de données comprend alors l’instruction comme : SELECT* FROM PRODUCT WHERE ID=3 OR 1=1.

Cette condition étant toujours vraie, l’application va renvoyer à Pierre la liste de toutes les données disponibles sur le serveur y compris les données les plus confidentielles auxquelles il n’était pas supposé avoir accès…

Cet exemple, même simpliste, traduit bien la facilité avec laquelle un hacker peut lancer une attaque sur une application :

Le seul outil nécessaire est un simple navigateur Web

Pas besoin d’être un expert en programmation informatique, le hacker va utiliser les possibilités d’interactions fournies par les applications Web. Initialement statiques, les applications permettent maintenant aux utilisateurs de transmettre des paramètres et des données par l’intermédiaire de formulaires, CGI ou autres composants interactifs : par exemple pour obtenir un service personnalisé, transmettre des informations en interne pour qu’elles soient immédiatement disponibles au reste de l’entreprise, ou encore procéder à des transactions financières. Au lieu de transmettre des paramètres bénins, les hackers vont pouvoir modifier les paramètres, insérer des scripts et même des commandes permettant d’exploiter les vulnérabilités de l’application afin d’acquérir des privilèges qui leurs sont normalement interdits.

Le contenu des requêtes véhiculé par les flux Web traverse les firewall et pénètre l’entreprise par les ports 80, 443 et autres ports laissés ouverts pour l’accès Web externe : efficaces au niveau réseau et TCP/IP, les firewall, y compris les versions « stateful », n’ont pas suffisamment d’intelligence au niveau applicatif pour distinguer avec précision les requêtes HTTP normales des requêtes malveillantes. De plus ils ne déchiffrent pas les flux HTTPS.

Dans l’exemple précédent, Pierre a réussi à exploiter une vulnérabilité au niveau de l’interface des bases de données, mais chaque composant de l’application constitue un point d’entrée potentiel pour un hacker.

Les hackers disposent de multiples techniques d’attaques leur permettant de s’adapter aux spécificités de chaque application.

2.4.7.5 Les navigateurs Auteur : Alexandre le Faucheur ([email protected])

Une attaque de l’Internet peut passer par un navigateur web pour plusieurs raisons. Le navigateur de Microsoft (Internet Explorer) par exemple, est utilisé par des millions de personnes et son interface de contrôle (API) est publiée sur le web ce qui permet à des programmeurs mal intentionnés de tester ces fonctions dans l'objectif de trouver des failles de sécurité et cela est aussi vrai pour Mozilla, le navigateur de Netscape.

Comment cela est-il possible avec l’Internet Explorer ?

Il faut savoir que les applications Microsoft sont depuis quelques années totalement automatisables (au sens OLE/COM/DCOM) ce qui signifie que n'importe quel programme peut utiliser ces applications en tache de fond. L'exemple suivant est une illustration de ce qui peut se faire :

Une page web utilisant du VBscript (langage interprété supporté par Internet Explorer) peut lancer un programme Excel qui effectue des opérations et envoie le résultat au pirate par l'intermédiaire



d'Outlook, cela en toute transparence pour l'utilisateur. Si un « buffer overflow » (dépassement de mémoire avec prise de contrôle d'une application) permet à un pirate de prendre le contrôle de votre Internet Explorer alors il peut avoir accès à vos informations.

Bien sûr il existe des contre-mesures, comme par exemple, l’interdiction de l'exécution des contrôles ActiveX sur les postes de travail. Encore faut-il que l'administrateur ait correctement configuré ces postes de travail. Mettre en œuvre ces contre-mesures est indispensable mais n’est pas fait par défaut.

Citons en exemple, la Société Générale qui a choisi d’interdire l’accès à son service en ligne « logitelnet » à certains navigateur web tant que des tests de sécurité n’auront pas garanti une sécurité d’utilisation suffisante.

Navigateurs autorisés et homologués : pour Windows : Netscape 6.2, Netscape 7.02, Mozilla (à partir de 1.0.1), Internet Explorer 5.5 SP2, Internet Explorer 6.0 et Opéra 7 Pour Mac OS : Netscape 6.2, Netscape 7.02, Mozilla (à partir de 1.0.1) et Internet -Explorer 5.x Pour Linux : Netscape 6.2, Netscape 7.02, Mozilla (à partir de 1.0.1) et Opéra 7

Navigateurs non autorisés : Netscape 4.x et antérieur, Internet Explorer 4 et antérieur ainsi que les navigateurs ayant un cryptage en 40 et 56 bits.

2.5 LES ATTAQUES Auteur : Gérard Péliks (EADS) [email protected]

La courbe ci-dessous indique le nombre d’attaques répertoriées par les CERT www.cert.org/stats/,; les CERT (Computer Emergency Response Teams) sont des organismes réparti sur plusieurs pays qui s’échangent des statistiques sur les vulnérabilités des systèmes d’information et les attaques perpétrées sur l’Internet qu’on leur signale.

Cette courbe indique que les attaques signalées sont en croissance quasi exponentielle

020000400006000080000

100000120000140000160000

1998 1999 2000 2001 2002 2003

nombre d'attaques

2.5.1 Le vol d’informations Par où passe le voleur moderne, dans ce monde où l’information est devenue le bien le plus précieux d’une entreprise ? Eh bien par le modem de votre PC portable ou par le contrôleur Ethernet de votre poste de travail fixe, qui branché sur le réseau de votre entreprise, met celui-ci à portée du hacker et se trouve ainsi en grave danger. Mais le hacker n’est le plus souvent pas seul en cause.

Plus de 50% d’attaques réussies bénéficient d’une complicité à l’intérieur de l’entreprise. L’employé est-il pour autant un indélicat potentiel ? Parfois oui, par esprit de vengeance ou par intérêt inavouable, mais le plus souvent par manque de maturité vis à vis du problème de la sécurité. Si on lui demande, par téléphone, au nom de son responsable, ou du responsable système, de fournir son login et son mot de passe, parce qu’il y a un besoin urgent de le connaître pour mettre à jour les


http://www.cert.org/stats/



postes de travail à distance avec un nouvel utilitaire indispensable, pensez-vous que tous réagiront de manière professionnelle, en refusant de les donner ?

Et on voit alors, par exemple, la liste des salaires d’une entreprise publiée à l’extérieur, les dossiers médicaux et autres renseignements des plus confidentiels dévoilés au grand public. L’employé détenteur de ses données nominatives donc confidentielles et le chef d’entreprise peuvent alors être, à juste titre inquiets car ils sont responsables devant la loi de la protection des données confidentielles qu’ils détiennent, et se doivent de les protéger.

2.5.2 Les accès non autorisés Pour offrir ou refuser à un utilisateur l’accès au réseau, il convient bien entendu d’authentifier cet utilisateur afin de contrôler si la politique de sécurité de l’entreprise lui accorde le droit d’y accéder. La solidité d’un système de protection est toujours celle de son maillon le plus faible, et souvent ce maillon c’est précisément l’authentification. Il faut savoir que l’authentification d’un individu par son mot de passe n’offre aucune garantie réelle de sécurité, surtout si ce mot de passe est re-jouable, encore plus s’il n’expire pas dans le temps, et davantage encore si le mot de passe est laissé au libre choix de l’utilisateur. De toute manière les mots de passe transitent en clair sur le réseau où ils peuvent être facilement lus. Il existe aussi des utilitaires qui récupèrent les mots de passe sur les disques pour essayer de les déchiffrer et ce n’est alors qu’une question de temps pour y parvenir.

Donc avant d’accorder une permission, il faut s’assurer que le bénéficiaire de cette permission est bien celui qu’il prétend être, sinon il aura accès aux informations d’une autre personne, et le vol de données potentiel sera difficilement identifiable puisque la personne autorisée semblera les avoir prises.

2.5.3 Les dénis de services Il n’est pas indispensable de chercher à pénétrer un réseau pour le mettre hors d’état, il suffit de le saturer. Quoi de plus facile, avec un programme adapté, d’envoyer vers un serveur de messagerie des milliers de emails par heures, ou de faire des centaines de milliers d’accès vers un serveur web, uniquement pour monopoliser la bande passante et les ressources des serveurs, afin de les rendre inaccessibles.

Mais l’assaillant sera découvert puisqu’il est facile de déterminer d’où viennent les attaques, pensez-vous ? Non, même pas, car les attaques sophistiquées en dénis de service utilisent, en général, des serveurs relais tout à fait honnêtes mais investis le temps du forfait, car manquant des sécurités indispensables. Et il est alors plus difficile de remonter à l’origine des attaques. C’est ainsi que des serveurs très sollicités dans le monde internet, comme yahoo, et même comme des serveurs principaux de noms de domaines, qui constituent le talon d’Achille de l’Internet, ont cessé virtuellement d’exister sur le net, durant quelques heures, au grand émoi de leurs centaines de milliers d’utilisateurs quotidiens. D’autres serveurs non moins sérieux ont constitué les bases avancées de ces attaques. Ce qui est arrivé sur ces serveurs, peut aussi arriver à vos serveurs sans dispositif de protection, ou vos serveurs peuvent servir de relais d’attaque. Vous serez alors responsables, bien que non coupables ou du moins inconsciemment non coupables, donc vous pourriez être inquiétés par la loi.

2.5.4 Les attaques sur la messagerie Tout mél ouvert peut mettre en péril votre poste de travail et le réseau de l'entreprise et la messagerie, échange le plus utilisé sur l'Internet constitue une menace grandissante pour les réseaux d'entreprise. Les méthodes d'attaques ou de simple nuisance sont multiples.

Parmi les attaques les plus classiques citons :

Le mail bombing, tir de barrage contre votre boîte à lettres qui bloque vos ressources avec pour but de causer un déni de service.

Le mass mailer qui crée à votre insu, par rebond sur votre boîte à lettres, des chaînes maléfiques de e-mails, à votre nom, vers les destinataires de vos listes de messagerie. Destinataires avec qui vous ne serez plus copains après.



Le spamming, véritable harcèlement électronique, mais sans mauvaises intentions en principe, qui noie vos messages importants dans une forêt de messages non sollicités et dont les contre-mesures aboutissent à supprimer des messages honnêtes et importants en même temps que les spams.

2.5.4.1 Les pourriels (SPAM) Auteur : Gabriel Gross (Dolphian) [email protected]

Le spam est un fléau qui menace aujourd’hui chacun des internautes dans sa vie quotidienne, et toutes les entreprises qui utilisent la messagerie électronique. Insidieusement, ce danger ‘mineur’, non vital, est présent jour après jour, généralement de plus en plus pesant, et suscite chez les administrateurs et les utilisateurs de la messagerie électronique cette petite appréhension du matin : « combien en aurai-je aujourd’hui ? Qu’est-ce qui va encore m’arriver ? »

Il y a une dizaine d’années, lorsque l’on s’abonnait à Internet, on nous expliquait qu’il fallait respecter la Netiquette. Et tout particulièrement, ne pas envoyer un courrier à quelqu’un qui ne souhaitait pas le recevoir. Ces consignes étaient suivies car Internet était un réseau très ouvert mais son accès était limité aux personnes les plus motivées, à de petits groupes à l’intérieur desquels on se connaissait. Les premiers internautes se respectaient les uns les autres, c’était la nature du réseau qui le voulait.

Aujourd’hui, Internet a pénétré dans la vie quotidienne de plus de 500 millions de personnes et fait partie des moyens de communication privilégiés du monde de l’entreprise

On accède facilement à Internet, et on y trouve tout ce que l’on cherche, à condition de connaître un minimum de techniques. On utilise Internet pour travailler, s’informer, se divertir, faire ses courses, rêver, dialoguer, rencontrer. On diffuse son adresse e-mail (ses adresses e-mail) et on reçoit du courrier électronique. Beaucoup de courrier électronique. Trop en fait.

D’après les études récentes, le nombre moyen de spams reçus par jour et par internaute dans le monde, tous internautes confondus, à titre personnel ou professionnel, va de 5 à 10 en Europe, en Asie et aux Etats-Unis, et atteindra 30 à 40 dans 5 ans. Il s’agit d’une moyenne, ce qui signifie dans




les faits que beaucoup en reçoivent bien plus. (source : Frank N. Magrid & Associates, 2003, cité par le Journal du Net). En pratique, on observe que les personnes spammées reçoivent 30 à 50 e-mails indésirables ou non sollicités par jour, avec des pointes à 200 par jour pour ceux dont les adresses sont les plus publiées.

On avance des explications diverses à ce phénomène, mais la réalité est simple : le réseau est vulnérable, par construction, aux usages non prévus dans la logique des protocoles qui le constituent.

Une adresse e-mail est faite pour être diffusée. N’importe qui peut écrire à n’importe qui, et le courrier sera acheminé par tous les serveurs sollicités. Ce courrier pourra prendre des chemins multiples, et n’importe quel émetteur peut envoyer un courrier de n’importe quel point d’accès vers n’importe quel destinataire, sous réserve d’y être autorisé par le gestionnaire du réseau d’émission. Et l’envoi du courrier ne demande pas une authentification forte de l’émetteur, dans la majorité des cas.

Enfin, les adresses e-mail sont stockées dans les annuaires des logiciels de messagerie, qui sont particulièrement vulnérables aux attaques des virus qui se sont répandus depuis trois ans.

Sur cette base, une véritable industrie s’est développée.

La logique économique du spam est fondée sur le calcul statistique. Sa chaîne de valeur ajoutée est très claire : 1. Une entreprise qui a un produit à vendre décide de recourir au modèle de l’affiliation par Internet,

c’est-à-dire de motiver un grand nombre d’apporteurs d’affaires en les rémunérant au succès et en leur facilitant le processus de distribution. NB : les programmes d’affiliation légitimes sont extrêmement nombreux, ils sont loin d’être tous associés au spam.

2. Cette entreprise construit une offre que les clients pourront acheter sur Internet, ainsi qu’un système de suivi qui permettra de rémunérer les intermédiaires qui auront fait venir chaque client. Cette offre est généralement matérialisée par un site Web de vente par correspondance.

3. Il ne lui reste plus qu’à recruter les affiliés par le biais de sites d’annonces spécialisés et de leur proposer une rémunération. Ces affiliés seront dans la plupart des cas des particuliers, de tous types de profils (de la mère de famille au retraité en passant par le salarié qui le dimanche cherche à arrondir ses fins de mois facilement). Dans certains cas, assez rares, il s’agit de professionnels.

4. Les affiliés, apprentis spammeurs ou spammeurs expérimentés, vont alors se procurer, sur Internet, des logiciels en shareware, aux noms évocateurs comme par exemple ‘MailBomber’, ainsi que des CD-ROMs contenant quelques millions d’adresses e-mail. Le prix de ces CD-ROMs peut aller de 30 à 150 dollars. Ils contiennent de quelques millions à quelques centaines de millions d’adresses, de qualité variable. Quelques variantes existent : les spammeurs peuvent par exemple acquérir des logiciels capables de récupérer des adresses sur Internet automatiquement, ou de les deviner ce qui est encore plus intéressant.

Partant de là, l’équation est simple : sachant qu’un accès à Internet à haut débit coûte quelques dizaines de dollars par mois, qu’ils sont déjà équipés d’un ordinateur, que le coût de l’envoi d’un e-mail est négligeable, et que le taux de retour est supérieur à zéro, l’opération a tout pour être rentable. (Cher lecteur, j’espère que je ne vous donne pas des idées que la morale et la Netiquette réprouvent,).

On voit mal comment cette forme de spam, le spam sauvage, pourrait diminuer. Lorsque des Fournisseurs d’Accès à Internet interdisent cette pratique à leurs clients, d’autres prennent le relais, et c’est là que l’absence de limitation géographique se fait sentir : un spam en provenance de Chine ou du Brésil arrivera aussi bien à Paris 15ème.

Il existe aussi une autre forme de spam, plus difficile à juger, car elle est le fait d’entreprises qui sont plus proches de nous.

Lorsqu’un site collecte des adresses e-mail, que l’entreprise dont il dépend est amenée à louer ou à vendre via une entreprise spécialisée ou directement à une autre entreprise, que celle-ci utilise le fichier pour adresser sa propre correspondance commerciale aux destinataires, la frontière entre spam et courrier légitime est difficile à établir. Les paramètres à prendre en compte sont la



connaissance et l’acceptation du processus par la personne dont l’adresse est collectée et manipulée.

Et lorsqu’il s’agit d’une entreprise à laquelle on a donné son adresse, sciemment ou non, volontairement ou non et que cette entreprise en profite pour nous écrire plus souvent que nous le souhaiterions, s’agit-il de spam ? Ou est-ce le cas seulement quand il est impossible de demander (d’obtenir ?) que cela cesse ? Et si l’on change d’avis après avoir « opté » pour une inscription ?

En quelques chiffres, le problème est assez simple à exprimer :

abonnement mensuel d’accès à Internet ADSL : 30 €

acquisition d’un CD-ROM de 70 millions d’adresses : 150 €

total des sorties 180 €

taux de réponse sur un envoi moyen* : 0.005%

nombre de ventes attendues sur le même CD-ROM 3 500

chiffre d’affaire moyen estimé d’une vente sur spam : 15 €

chiffre d'affaires total sur l'opération 52 500 €

* source : Businessweek

Tout cela nous amène à deux constatations :

le spam est un fléau qui demande à être traité au cas par cas de manière différenciée pour chaque individu.

émis par des individus, motivés par l’appât du gain relativement facile, le spam évolue, change de formes et de techniques très rapidement.

Un cas particulier : les virus spammeurs.

Il existe deux interactions fortes entre le monde du virus et le monde du spam :

les virus qui créent des relais ouverts

les virus qui génèrent des volumes de courriers importants, que l’on associe souvent à du spam

Au sens strict du terme, un spam est un courrier qui cherche à déclencher une réaction chez le destinataire et non sur son ordinateur. Là où les virus entrent en scène, c’est soit parce qu’ils infectent des ordinateurs vulnérables et les transforment en serveurs de messagerie acceptant les connexions des émetteurs de spam, ce que l’on appelle les relais ouverts, soit parce qu’en se répandant ils génèrent des quantités importantes de messages d’erreur qui ont le même impact volumétrique que le spam. C’est la rencontre des deux mondes, mais les solutions à ces problèmes sont très différentes.

L’expérience a montré qu’il n’est pas possible de traiter de la même manière une menace dont l’objet est l’ordinateur qu’une menace dont l’objet est une personne. La difficulté de la lutte contre le spam, c’est qu’elle doit se jouer au niveau des infrastructures si l’on souhaite empêcher les spammeurs de faire leur besogne, ou au niveau du contenu des courriers si l’on se place du côté du destinataire.

2.5.5 Les attaques sur le Web Auteur : Alexandre le Faucheur ([email protected])

2.5.5.1 Attaques directes et indirectes Il existe différents types d’attaques web plus ou moins dangereuses pour une entreprise.

les attaques directes (DoS, defacing, …)

les attaques indirectes (Google bomb, DNS redirection, …)




Les attaques directes sont ciblées car les hackers utilisent des failles de sécurité pour pénétrer à l’intérieur des serveurs WEB, qui hébergent en général des applications métiers, pour obtenir des informations comme : noms des clients, numéros de carte bleue, …

Ces attaques peuvent être évitées en tenant à jour les correctifs sur les serveurs ainsi que sur les applications liées au fonctionnement du site WEB (base de donnée, etc…)

Les attaques indirectes, elles, ne causent pas de dommages matériels et logiciels à l’entreprise victime. Prenons un exemple : le « google bombing» (dé-référencement de sites web sur un moteur de recherche), qui engendre une baisse d’activité du site et donne aussi une mauvaise réputation (image de marque) de l’entreprise, ce qui peut lui causer du tord. L’inconvénient majeur avec ce type d’attaque est que l’entreprise ne peut pas s’en protéger, elle peut (et doit) cependant alerter ses clients sur l’inconvénient subit.

Les attaques de types « hijacking » (détournement) font croire aux utilisateurs qu’ils sont sur un site officiel et qu’ils peuvent par conséquent taper leurs identifiants et mots de passe en toute sécurité ce qui n’est bien sûr pas le cas.

Il existe par exemple le DNS hijacking qui pointe sur page web du pirate au lieu de pointer sur un lien officiel. Récemment, des banques françaises ont prévenu leurs utilisateurs de ce type de risques. Une contre-mesure élémentaire, pour ne pas se faire piéger, est de n’ouvrir les pages officielles qu’à partir des enregistrements faits dans ses favoris. Une autre méthode plus sûre mais plus technique est de n’utiliser que l’adresse IP du serveur distant ce qui évite de vous faire piéger par les attaques de types DNS hijacking. Tout le monde est susceptible de tomber dans le panneau alors il faut rester vigilants. Lorsque vous remarquez des changements anormaux sur votre page web favorite sans en avoir été prévenu au préalable, méfiez-vous !

2.5.5.2 Les dix techniques d’attaques les plus courantes sur les applications Web Auteur : Sami Jourdain (Deny All) [email protected] et Alexandre le Faucheur [email protected]

La presse s’est fait récemment l’écho de sites Web de grandes sociétés dont la page d’accueil avait été contaminée par des scripts malicieux. Les utilisateurs se connectant à ces sites téléchargeaient à leur insu ces codes malicieux qui venaient s’exécuter sur leurs ordinateurs personnels et renvoyaient alors vers des sites pirates des informations confidentielles (séquences de saisie de caractères...). Les sites Web avaient été initialement piratés en utilisant des combinaisons de techniques d’attaques : un code malicieux assimilable à un trojan, la technique buffer overflow pour déposer ce code sur le site Web et la technique cross site scripting pour que le code malicieux infecte des postes d’utilisateurs qui se connectent au site.

Compte tenu de la complexité des applications, et des multiples possibilités de manipulations de paramètres au niveau des requêtes, il est impossible de décrire toutes les attaques possibles au niveau applicatif. Pour chaque application, il existe potentiellement au moins autant de requêtes malveillantes que de requêtes « normales ». Afin de donner une idée de l’arsenal d’attaques à la disposition des hackers et de mieux comprendre les risques pesant sur les applications, nous allons donc décrire les dix techniques d’attaques les plus utilisées en 2003 selon le recensement du OWASP (Open Web Application Security Project).

Entrée de paramètres invalides :

L’internaute modifie les paramètres utilisés dans les URL, les en têtes HTTP, les formulaires ou les paramètres cachés et fournit des valeurs non attendues par l’application : par exemple des valeurs négatives, des valeurs très larges, des caractères au lieu de chiffres, des méta caractères… L’absence de filtre au niveau de l’application sur les caractères saisis par l’internaute peut conduire à des comportements imprévisibles allant du crash par buffer overflow à l’accès à des données confidentielles ou au système d’exploitation.

Injection de commandes

En utilisant des méta codes (par exemple des caractères « % » passés à des scripts en perl), éventuellement encodés en hexadécimal, unicode ou UTF, l’internaute insère dans les paramètres des commandes qui en l’absence de filtres seront passées à l’application. Ces commandes peuvent contenir par exemple des appels au système d’exploitation, l’utilisation de programmes externes via des commandes shell, ou des appels vers les bases de données (on





parle alors d’injection SQL). Des scripts écrits en perl, python, ou autres langages peuvent être injectés et exécutés par des applications mal développées et utilisant un interpréteur.

Injection SQL

Utilisant le principe des injections de commandes, les injections SQL permettent d’exécuter des commandes directement sur les bases de données, afin d’avoir accès ou de modifier des données confidentielles.

Cross Site Scripting

La technique consiste à contaminer un site Web vulnérable avec un code malicieux écrit en un langage interprétable par les navigateurs (Javascript, ActiveX, Shockwave, Flash..), qui sera récupéré par les utilisateurs qui visitent ce site. Le script malicieux s’exécute alors sur le navigateur des utilisateurs et permet au hacker de récupérer leurs droit d’accès (cookie, sessions utilisateurs) ou même leurs mots de passe et autres informations confidentielles.

Violations de cookie et de session

La plupart des applications Web nécessitent un maintien de session pour suivre le fil des requêtes utilisateurs. HTTP étant intrinsèquement un protocole « non connecté », les applications doivent fournir ce mécanisme. La plupart des mécanismes de maintien de session sont trop rudimentaires, basés sur des jetons de sessions, parfois même sur des seuls cookies sans vérification de leur intégrité côté serveur. Or les cookies sont stockés sur les postes utilisateurs, dans le meilleur des cas en mémoire, le plus souvent sur le disque. En procédant à des « reverse engineering » des cookies, et/ou en récupérant des jetons de session active un hacker peut les modifier afin d’acquérir l’identité et les droits d’accès d’un autre utilisateur.

Violation de contrôle d’accès

Le contrôle d’accès, également appelé habilitation, est la manière dont une application Web donne accès à du contenu et à des ressources à certains utilisateurs mais pas à d’autres.

Découvrir des vulnérabilités au niveau des mécanismes de contrôle d’accès se limite souvent à envoyer une requête vers des ressources ou du contenu auquel on n’a pas droit ! Les hackers réussissant à exploiter ces vulnérabilités peuvent alors utiliser d’autres comptes clients et tous les droits qui vont avec.

Buffer Overflow

Certains composants logiciels d’applications Web, typiquement CGI, librairies, drivers et composants serveurs du marché ne vérifient pas suffisamment que les données entrées tiennent dans les limites des buffers. Les hackers peuvent lancer des attaques sur les applications présentant ces vulnérabilités afin de les crasher et parfois en prendre le contrôle.

L’exemple le plus connu de ce type d’attaques a été le vers « Code Red » qui s’est répandu sur plus de 250 000 systèmes dans les quelques heures suivant son lancement et qui a occasionné officiellement 2,6 milliard de $ de pertes financières. Plus récemment en juin dernier, l’attaque download.ject est venue exploiter une faille buffer overflow au niveau de la couche SSL Windows, permettant aux hackers de télécharger sur les serveurs présentant cette faille du code malicieux. A noter que la faille a été comblée par Microsoft début août.

Traitement inapproprié des erreurs

Les applications Web sont sujettes à des dysfonctionnements même dans le cadre normal de leurs opérations : manque de mémoire, exception de pointeur nul, appel système manqué, timeout réseau, base de données non disponible…Il n’est pas rare que des messages d’erreurs contenant des informations purement internes comme les traces de stack, les dumps de base de données, les codes d’erreur soient envoyés spontanément à l’utilisateur externe. Un utilisateur malveillant va solliciter ces dysfonctionnements applicatifs dans sa phase de reconnaissance pour recueillir des informations sur la structure interne de l’application et sur ses vulnérabilités.

Directory Traversal/ Forceful Browsing



Le hacker va modifier ses requêtes afin qu’elles ne demandent pas à l’application de lui retourner un fichier mais la branche toute entière. Si l’application ne possède pas une page par défaut au niveau de chaque branche et si le serveur web est mal configuré, le hacker peut ainsi obtenir accès à des informations non prévues voire à tout le contenu de la branche.

Denis de service applicatifs

Les attaques par DoS sont souvent associées avec les attaques au niveau réseau par SYN flood émanant d’une ou plusieurs sources (on parle dans ce cas d’attaques distribuées DDoS). Les attaques DoS au niveau applicatif existent aussi. Elles sont particulièrement difficiles à différencier du trafic normal, car les applications n’utilisent pas les adresses IP et ne peuvent donc pas facilement identifier la provenance d’une requête HTTP. Un seul hacker peut générer suffisamment de trafic pour saturer les ressources d’un serveur Web sur certaines URL particulières, rendant le système indisponible pour les autres utilisateurs.

Les attaques exploitant des vulnérabilités encore inconnues

Les attaques exploitant des vulnérabilités inconnues sont particulièrement dangereuses car les mesures préventives n’ont pas pu être prises en avance. Un exemple récent est l’attaque du 25 juin 2004 dernier perpétrée par des hackers basés en Russie qui a transformé des serveurs IIS en distributeurs de codes malicieux. Le nombre de ces « zero day exploits », loin d’être négligeable, semble croître rapidement. Ceci tient à plusieurs raisons : • De nouvelles vulnérabilités sont régulièrement découvertes dans les composants logiciels

tiers utilisés par les applications. • Les possibilités de manipulation des requêtes sont virtuellement illimitées ce qui rend les

combinaisons d’attaques et les vulnérabilités potentielles impossibles à répertorier. Par exemple, un caractère utilisé dans des attaques injection SQL peut être codé de six manières différentes tout en restant valide pour SQL. Ce qui fait que l’instruction <SELECT> peut être codée de 86 manières différentes !

• Combinant les différentes techniques d’attaques pour en concevoir de nouvelles, les hacker cherchent constamment à innover afin de contourner les filtres de sécurité en place.

2.5.5.3 Conclusion Vols de données confidentielles, détournement de transactions, ruptures de service, atteintes à l’image de marque : les risques sont bien réels pour les entreprises qui continuent d’ouvrir leurs applications critiques au Web et de déployer des sites Web de plus en plus transactionnels.

Les hackers bénéficient d’un environnement favorable : des applications Web présentant de nombreuses failles potentielles, des possibilités d’interaction à distance via les accès Web, de multiples techniques pour parvenir à déstabiliser voire prendre le contrôle des applications sans être inquiétés par les firewall traditionnels en place.

Des contre-mesures ont cependant été développées pour protéger les systèmes d’information vis à vis de l’Internet comme par exemple des Firewalls applicatifs qui suppriment les codes malicieux dans les pages web. Des correctifs sont régulièrement mis à la disposition des utilisateurs pour protéger leurs systèmes.

Vous pouvez, vous-même, vous protéger en interdisant l’activation de contrôles ActiveX, des scripts et en augmentant le niveau de sécurité de votre navigateur web.

2.5.5.4 Attaques DoS et DdoS Auteur : Alexandre le Faucheur [email protected]

Il existe cependant des attaques moins ciblées, d’un niveau que nous qualifierons d’inférieur d’un point de vu informatique. Le pirate ne cherche plus cette fois à prendre contrôle de votre application mais cherche seulement à perturber le fonctionnement de vos serveurs. C’est le Deny of Service (DoS) ou le Distributed Deny of Service (DDoS).




DoS : Le pirate, seul, cherche à perturber votre serveur en envoyant un nombre important de requêtes. Si le nombre est suffisamment important le serveur sera saturé et s’arrêtera de fonctionner. S’il ne l’est pas alors l’application sera seulement ralentie.

DDoS : Cette technique est beaucoup plus agressive que la précédente car le pirate n’utilise plus un petit nombre de machines mais des réseaux entiers pour congestionner l’accès au serveur. Si le réseau d’accès est suffisamment robuste seul le serveur en souffrira et cessera finalement de fonctionner mais si le réseau d’accès n’est pas suffisamment robuste, toutes les machines du réseau sur lequel se trouve le serveur cible en souffriront.

Microsoft et Yahoo ont déjà subi ce genre d’attaque. Il existe heureusement des parades comme par exemple de bloquer les adresses IP des machines attaquantes car ce type d’attaques n’est pas discret et se repère facilement sur un réseau. Les IDS peuvent, en autre, remplir cette fonction.

L’usage du web par browser (Juin 2004) :

1. MSIE 6.x 77%

2. MSIE 5.x 17%

3. Mozilla 2%

4. Netscape 7.x 1%

5. Safari 1%

Cela veut dire qu’en moyenne 94 % du surf est effectué par un browser de type Internet Explorer mais cela ne signifie pas que 94 % du trafic total d’Internet soit du surf. Ces chiffres ne signifient pas grand chose si on ne stipule pas que plus de 90% des browsers Web ont la fonctionnalité Java activée et par conséquent des cibles potentielles pour certains hackers.

2.5.6 Les attaques par le système d’exploitation Nous ne cherchons à référencer que les systèmes d’exploitation les plus usuels. Il existe deux types de hackers :

Les occasionnels qui représentent 75 % des attaques. Ils parcourent l’Internet dans l’intention d’attaquer une machine au hasard en utilisant des failles de sécurités déjà publiées. Ils n’apportent strictement rien à la communauté informatique, leurs attaques sont simplement faites pour nuire.

Les déterminés qui représentent 25 % des attaques. Ils cherchent à attaquer une compagnie ou un système ciblé. Certains permettent de mettre en évidence des failles de sécurités et ainsi améliorent la sécurité générale des Systèmes d’Information mais ce n’est malheureusement pas souvent le cas pour la majeure partie d’entre eux qui ont des intentions malhonnêtes et souvent à but lucratif.

D’après une étude de Symantec, Les systèmes Microsoft représentent à eux seuls 75 % des attaques globales avec interruption de service ce qui assez conséquent et normal vu la prédominance de Microsoft sur le marché du client/serveur. Ces chiffres sont cependant à nuancer car il est préférable que la machine s’arrête de fonctionner plutôt que de laisser l’attaquant entrer dans son système d’information.

Il faut souligner que les systèmes libres ne sont pas épargnés par les hackers. Des outils, les rootkits, permettent de prendre le contrôle de systèmes Unix ou Linux.

Les hackers déterminent le type d’OS en analysant les temps de réponses et la configuration du protocole TCP/IP, cette technique est appelée « fingerprinting ». Il existe aujourd’hui des techniques pour s’en prémunir que ce soit par les Firewalls et/ou IDS ou par modification des paramètres de configuration réseaux des serveurs.

Notons cependant qu’aujourd’hui la communauté s’accorde à dire que l’OS le plus sécurisé en terme de client est Darwin (MacOS X), tout simplement parce qu’il est basé sur un OS libre et bien sécurisé de type BSD (Unix - Berkeley Software Design). A cela il faut préciser qu’il est propriétaire et par conséquent il bénéficie de la sécurité par l’obscurité.



2.5.7 Les attaques combinées 2.5.7.1 Le phishing

Le phishing, la plus actuelle des menaces, repose sur trois impostures et sur votre naïveté (nous sommes plus de 700 millions de pigeons potentiels connectés sur l'Internet). 5. Envoi de l'hameçon : vous recevez un e-mail qui à l'air de venir d'un

destinataire de confiance, mais provient en réalité de l'attaquant. 6. Attente que ça morde : le e-mail vous demande de cliquer sur un hyperlien

qui vous dirige sur un site Web qui a l'air d'être celui d'un site de confiance, d'après son adresse et le look de la page affichée. C'est en réalité celui de l'attaquant.

7. Le site Web de l'attaque par phishing, sur lequel vous emmène la deuxième imposture, vous demande, pour préparer la troisième imposture, celle qui fait mal, d'entrer des renseignements tels que votre couple login et mot de passe, vos coordonnées bancaires, votre numéro de carte de crédit... Avec ces renseignements, comme l'attaque est en général à but lucratif, l'attaquant usurpe votre identité, en utilisant les renseignements que vous lui avez aimablement fournis, pour vider votre compte bancaire ou attaquer notre réseau.

2.5.7.2 Le panaché Citons maintenant la combinaison redoutable entre toute, fléau des temps modernes qui arrive par la messagerie. C 'est le quartet : spam + mass mailer + ver + phishing, le tout simultanément. Le ver est là pour installer un logiciel espion, un cheval de Troie ou une porte dérobée sur votre poste de travail, pour exploitation ultérieure. Par exemple le ver Bugbear.B, apparut en 2003 et véhiculé par la messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active automatiquement si vous contactez l'une des milliers de banques, dont plusieurs françaises, contenues dans sa liste. Il envoie ensuite l'intégrale des échanges électroniques, entre vous et avec votre banque, à on ne sait qui.

2.6 LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES Auteur : Alexandre le Faucheur ([email protected])

Il existe un grand nombre de logiciels capables de modifier à votre insu la configuration de votre système d’exploitation ou de vos logiciels favoris. Nous allons parler dans ce chapitre des principaux types d’attaques que nous pouvons rencontrer sur Internet ou par sa messagerie.

2.6.1 Les éléments malfaisants ActiveX/Java malicous code : Les contrôles ActiveX comme les applets Java permettent

d’améliorer l’affichage des pages web sur un ordinateur, en revanche, ils peuvent exécuter des commandes locales malicieuses sur votre ordinateur lorsqu’ils sont activés. Il est donc conseillé d’augmenter le niveau de sécurité de son bowser WEB pour en interdire l’exécution.

Adware : C’est un programme qui affiche de la publicité lorsque vous naviguez sur le Net. Les adwares contiennent souvent des spywares pour savoir en fonctions des préférences utilisateurs quel type de publicité afficher.

Keylogger : Les keyloggers sont des troyens (trojans) qui une fois activés, enregistrent toutes les caractères tapés sur l’ordinateur infecté. Ce type de malware est très dangereux car il peut enregistrer vos mots de passe et login à votre insu.

Macro/Script Viruses : Ce sont des virus interprétés et écris en langage macro de type VBA (Visual Basic for Application) donc facile à créer pour un hacker. Ils sont exécutés par une application tierce de type Excel/Word/… et peuvent infecter d’autres systèmes comme




endommager l’ordinateur courant. Il est donc souhaitable de désinstaller les applications permettant d’interpréter ces codes (WSH, WMI, VBscript …).

Malware : C’est un mot générique utilisé pour référencer des applications inappropriés comme du code malicieux ou autres troyens, vers, virus …

Spyware : C’est un logiciel qui enregistre les habitudes et autres informations personnelles de l’utilisateur infecté. Ces informations sont envoyées à une personne tierce (l’attaquant).

Trojan (cheval de Troie) : c’est un malware qui exécute des actions non autorisées qui peuvent compromettre la sécurité du système. La différence entre un troyen et un virus est que ce dernier peut se répliquer dans d’autres programmes contrairement donc au trojan.

Virus : Il existe à l’heure actuelle 5 types principaux de virus : • Boot-sector : Le virus attaque l’ordinateur au démarrage du système et endommage

ensuite tous les fichiers accédés pour se reproduire. • File-infector : Le virus infect les fichiers exécutés (.exe .com …) pour se reproduire et

s’étendre. • Multi-partie : Boot-sector + File-infector virus • Macro. • Ver (Worm).

Ver (worm) : Un vers est un programme qui essaie de se reproduire sur d’autres systèmes. La propagation s’effectue par un réseau local ou par attachement de fichier dans un e-mail.

Il est très fréquent de rencontrer ces virus, troyens et autres menaces lorsqu’on surfe sur l’Internet. Il est donc impératif de se protéger. A titre d’information en 2002 les spécialistes estiment qu’en moyenne une entreprise souffre d’environ 30 attaques par semaine, cependant 85% de ces attaques sont considérées comme des pré-attaques (attaques de reconnaissances) et seulement 15 % (5 attaques) sont considérées comme des attaques réelles.

Certains sites web permettent de savoir quels sont les ports TCP et les adresses IP (les services réseaux) les plus attaqués (http://www.incidents.org/reports.php). Ces bases de connaissances permettent de prendre conscience de l’ampleur du phénomène dans le monde.

On apprend ainsi que que 1/3 compagnies ont détecté un spyware sur leurs réseaux. Il existe plus de 7.000 spywares différents à travers le monde et bien que 98% des compagnies utilisent un anti-virus, 80 % d’entre elles ont déjà été touchées par un virus ou un ver.

2.6.2 Face au virus Mydoom.A Auteur Gérard Péliks – EADS – gerard.peliks @eads.com

En ces jours mémorables qui ont terminé le mois de janvier et débuté celui de février 2004, il était difficile de passer à travers les tentatives des virus Mydoom A et B pour infecter votre poste de travail. Un matin, en ouvrant ma messagerie, j’ai trouvé parmi les e-mails reçus quelques-uns dont la provenance m’était inconnue. Ils ne m’étaient adressés ni par des clients, ni par des partenaires ou des fournisseurs, et ce n’étaient pas non plus des newsletters auxquelles je suis abonné.

Mon premier sentiment fut de penser qu’il devait s’agir de spams, ces messages non sollicités envoyés en nombre. Mais c’était curieux car notre entreprise a mis en œuvre un filtre anti spams très efficace. De plus les titres des messages « hello », « hi » ou carrément des caractères aléatoires dont l’assemblage ne constituait pas des mots, au moins en français ou en anglais, m’inspirèrent l’idée qu’il devait s’agir de mails porteurs de virus ou de vers. Aussi les ai-je effacés sans les lire, et sans aucuns regrets car je ne montre aucune pitié envers les quelques spams qui réussissent à tromper notre filtre.

Mais au cours de la journée j’ai reçu d’autres e-mails dont les titres m’étonnèrent. Il semblait que des messages que j’avais envoyés me revenaient avec un message d’erreur parce qu’ils n’avaient pas pu atteindre leurs destinataires. Les titres des messages étaient du genre « Mail transaction failed ». Là j’étais impliqué, qu’avais-je envoyé qui n’avait pas atteint son destinataire ? Le document que j’étais censé avoir envoyé était-il important ? Devais-je renvoyer le e-mail non parvenu ? Sans hésiter j’ai ouvert le premier de ces e-mails dont le destinataire m’était totalement inconnu.

http://www.incidents.org/reports.php



Qu’importe, peut-être la pièce jointe allait-elle m’éclairer sur l’identité de ce destinataire car je sais tout de même ce que j’envoie et à qui !

Au moment de cliquer sur la pièce jointe qui était censée contenir le mail revenu avec mon fichier attaché, un doute s’empara de mon esprit et mon doigt resta suspendu au-dessus de ma souris. Et si c’était un piège ? et si c’était un virus ? Avant de concrétiser un clic que je pouvais regretter, je suis sorti de mon bureau pour demander autour de moi si d’autres avaient remarqué cette bizarrerie incroyable de Outlook 2000 qui retournait, parce que non reçus, des messages jamais envoyés ! Devant la machine à café j'ai constaté que j’étais loin d’être le seul à m'inquiéter. Les conversations allaient bon train, ce matin là, sur ces messages qui revenaient suite à un envoi qui n’avait jamais eu lieu.

Le risque zéro étant la meilleure des pratiques en pareil cas, j’ai détruit tous ces messages et j’en ai eu beaucoup d’autres les jours qui suivirent, venant de personnes que je ne connaissais pas, mais aussi de partenaires, fournisseurs ou clients que je connaissais très bien et qui eux avaient donc sans doute été infectés.

Ainsi fut en ces jours de virulence extrême mon vécu face au virus Mydoom-A. Ce que j’ai appris plus tard, c’est qu’en réalité je ne risquais rien car notre anti virus d’entreprise avait très tôt détecté le virus et remplaçait systématiquement le fichier en attachement des e-mails, contenant la charge « utile » par un fichier texte qui avertissait que la pièce jointe avait été mise en quarantaine suite au soupçon d’une attaque virale.

Tirons la principale leçon de cette histoire. La meilleure défense contre vers et virus, de même que contre d’autres menaces est d’avoir systématiquement, par défaut, un instinct sécuritaire. Mieux vaut perdre un e-mail, effacé à tort, que perdre ses données et peut-être son réseau. Mieux vaut s’abstenir de télécharger par le Web un fichier important mais sans origine certifiée que chercher ensuite ses images et ses fichiers PowerPoint et Word qui auront disparu et toujours au moment où on en a un besoin indispensable. Si l’e-mail effacé était vraiment très important, l’expéditeur vous contactera en s’étonnant de n’avoir pas eu de réponse de votre part. Vous ne vous serez pas fait un ami, mais vous aurez peut être évité d’avoir comme ennemis toutes vos connaissances dont vous avez entré les adresses e-mail dans vos listes de distribution.

Prenons une analogie : si on vous disait que dans le courrier, celui à base de papier à lettre qui aboutit dans votre boîte, il pouvait y avoir des lettres piégées et qu’il suffisait pour le prouver de remarquer tous vos voisins avec des gueules de travers pour ne pas s’en être méfié, ouvririez-vous sans méfiance les enveloppes dont vous n’êtes assurés ni de la provenance ni de l’expéditeur ? Il faut réagir de même avec les e-mails. Les virus de ces derniers temps, très médiatisés, vont au moins présenter l’avantage de faire évoluer les mentalités. Le e-mail ne doit plus être considéré comme un texte anodin dont la lecture au pire vous fait perdre du temps. Un e-mail qui vous éclate en plein poste de travail peut marquer la fin de votre système d’information.

La deuxième leçon est qu’il est indispensable d’activer un antivirus d’entreprise efficace qui filtre les échanges entre l’extérieur et votre réseau interne. Il faut aussi sur chaque poste de travail un antivirus personnel qui filtre les échanges entre votre Intranet et le poste de travail, car on peut supposer que vous ou quelqu’un sur votre réseau charge sur son poste de travail des fichiers à partir de CDROM, de disquettes, ou simplement n’est pas aussi attentif que vous face à l’insécurité du réseau et cet inconscient peut aussi vous envoyer des e-mails à partir de l’intérieur du réseau ?

Analysons ce qu’était ce fameux virus Mydoom. C’est un « mass-mailer », un virus qui, lorsqu’il vous contamine, se communique automatiquement à toutes les adresses qu’il trouve dans vos listes de messagerie. Si vous avez reçu de nombreux e-mails contenant ce virus, c’est que votre adresse e-mail figure dans beaucoup de listes de messagerie d’ordinateurs qui ont été infectés. Comment sait-on qu’un message reçu contient ce virus ? Par le titre d’abord, qui présente plusieurs variantes : « hi », « hello » ou carrément comme nous l’avons déjà évoqué « Mail Transaction Failed » ou « Mail Delivery System ». Ensuite le e-mail, dont le corps du texte parfois contient des caractères unicode, donc pas toujours lisibles, est accompagné d’une pièce jointe par laquelle le mal arrive. Un exécutable joint à un message ne doit jamais être exécuté car la présomption de virus est maximale surtout si l’extension de la pièce jointe est un ".exe". Mais si c’est un « .zip », vous pensez que l’ouvrir ne vous engage à rien puisque vous allez simplement exécuter votre utilitaire Winzip qui va vous indiquer si l’extension du fichier attaché est ou n’est pas un « .exe » ? Attention !!! ce virus là,



et sans doute ceux qui suivront, sont très malins. Vous croyez exécuter un « .zip », mais le nom du fichier « document.zip », par exemple, est suivi de quelques dizaines d’espaces pour se terminer par … sa vraie extension « .exe » ! Suivant la configuration de votre écran, soit cette extension est cachée dans la partie non visible de votre écran sur la droite, soit elle n’apparaît que sur la ligne du dessous et jamais vous n’allez remarquer cette ligne ! Vous n’avez alors plus que vos yeux pour pleurer sur votre écran qui reste figé, sur le « Ctrl Alt Supr » qui met un temps infini à agir ou sur vos fichiers perdus !

Mais rassurez-vous, dans le cas de Mydoom-A, chez vous point de fichiers perdus, car ce n’est pas vous qui êtes visés en réalité, vous n’êtes dans cette histoire qu’un tremplin malchanceux bien que coupable d’avoir été naïf ou inconscient devant l’insécurité du réseau. La cible de Mydoom-A, ce n’est pas vous donc, c’est SCO, cet éditeur de logiciel de la lointaine côte ouest des Etats Unis qui affirme avoir des droits sur le système UNIX, se mettant à dos en particulier la communauté des logiciels libres. Mydoom-A installe sur les postes de travail une porte dérobée qui lui permet, à une date déterminée, d'utiliser votre poste contaminé pour bombarder de requêtes le serveur Web de SCO, le saturer et le faire tomber. L’attaque s’est déclenchée le 1er février. Le serveur Web de SCO a été agressé ce jour là par plusieurs centaines de milliers de postes de travail qui le sollicitaient sans relâche, et SCO a préféré retirer son serveur Web du paysage Internet. Si votre poste de travail était contaminé et que vous étiez connectés sur le réseau ce 1er février, vous avez peut-être participé à votre insu à cette curée.

2.6.3 Les logiciels espions On se pose parfois la question : « mais pourquoi ce logiciel si puissant est disponible gratuitement en téléchargement sur l’Internet ? Qui finance ses développements ? » Cette question est pertinente quand on connaît le coût de développement d’un logiciel !

La réponse est parfois aussi simple qu’inquiétante. Le développement du logiciel gratuit peut être financé par un logiciel espion qui s’installe, à l’insu de l’utilisateur, et qui renseigne une régie publicitaire ou pire un organisme de guerre économique travaillant pour un concurrent, sur vos habitudes de navigation, parfois même lui envoie des fichiers récupérés sur votre disque. Vous doutez que ce scénario puisse refléter la réalité ?

Ne vous êtes-vous jamais étonné quand parfois, votre poste de travail fait des accès disque ou réseau, alors que vous ne pressez aucune touche, et ne

sollicitez pas votre souris ? Ne vous êtes-vous jamais étonné que votre curseur se bloque par intermittence, suite à l’occupation de vos ressources par quelque chose qui vous échappe ?

Parfois c’est bien dû à un logiciel espion, qui tapi au fond de votre disque, se réveille pour envoyer à l’extérieur les renseignements confidentiels que votre disque contient. Aujourd’hui, alors que se déchaîne la guerre électronique, où le renseignement est roi, la menace omniprésente sur le réseau, et les hackers malveillants ou professionnels toujours plus nombreux, il ne faut plus négliger ce type de menace.

Vous doutez encore que votre disque puisse contenir un ou plutôt plusieurs logiciels espions ? Téléchargez et installez le logiciel gratuit ad-aware qui se trouve sur le web www.lavasoft.de (rassurez-vous, celui-ci ne contient pas de logiciels espions, et passe pour être le meilleur des logiciels pour trouver et éradiquer de votre disque ce genre de menaces). Vous serez fixé ! et peut-être après éradication de ces logiciels espions, votre poste de travail offrira de meilleures performances.

2.7 LE CAS DU RESEAU SANS FIL Auteurs Michèle Germain (ComXper) [email protected] et Alexis Ferrero (OrbitIQ) [email protected]

2.7.1 La "révolution" radio 2.7.1.1 Le WLAN dans le paysage informatique

Le nomadisme évoqué ci-dessus se faisait sur un réseau filaire, par conséquent dans un espace connu, relativement bien maîtrisé. L'avènement des réseaux voix et données radio - les WLAN -





change les habitudes des utilisateurs et étend encore leur rayon d'action en faisant abstraction du fil. L'utilisateur, de nomade qu'il était, devient mobile. La presse, la fréquentation des "hotspots", sont les signes de l'engouement du public pour le WLAN.

Les WLAN reposent en majorité sur les standards 802.11b et 802.11g de l’IEEE, plus communément connus sous le label « Wi-Fi ».

Les utilisations du WLAN sont nombreuses. Citons tout d'abord le "hotspot", c'est à dire l'infrastructure radio ouverte dans un lieu public qui permet à chacun de se connecter à l'Internet ou à l'Intranet de son entreprise. L'intérêt est évident à la fois pour l'usager et pour le fournisseur du service, celui-ci pouvant offrir l'accès Réseau à un nombre quasi illimité d'usagers et avec un investissement minimal, c'est à dire sans avoir à déployer des câbles et des prises. Les hotspots, dont l'usage a été autorisé en France fin 2002 par l'ART, se multiplient dans les lieux de passage (aérogares, gares, hôtels, cafés, etc.).

Une autre application est le WLAN privé pour l'usage exclusif d'une entreprise ou d'un particulier. Le WLAN peut être utilisé seul pour constituer un réseau avec un minimum d'infrastructure. Cette configuration est souvent utilisée dans le domaine résidentiel ou SoHo, en premier lieu pour partager un accès ADSL entre plusieurs stations, l’interconnexion des stations n’étant pas nécessairement le besoin premier.

En entreprise, le WLAN est adopté pour offrir un service de mobilité informatique (présence au chevet des malades en milieu hospitalier, inventaires en entrepôt, accueil de visiteurs dans des centres de conférence, etc.). Le WLAN constitue également une solution complémentaire au LAN filaire pour couvrir des zones difficiles d'accès ou difficiles à câbler. En particulier, le WLAN est apprécié dans des bâtiments historiques classés où les possibilités de câblage sont limitées et strictement contrôlées.

Des liaisons point à point Wi-Fi sont parfois mises en œuvre pour réaliser des ponts radio entre les réseaux filaires de bâtiments séparés.

Enfin, la plupart des ordinateurs portables sont maintenant équipés nativement d’une carte ou d’un module Wi-Fi intégré pour se raccorder aux réseaux Wi-Fi. « Centrino » de Intel est un package technologique Wi-Fi qui équipe de nombreux ordinateurs.

2.7.1.2 Constitution d’un WLAN Dans la configuration considérée dans ce document, le WLAN est constitué de points d’accès (AP) connectés sur une infrastructure filaire qui peut supporter des équipements fixes (serveurs, postes fixes…). Le schéma ci-dessous représente un WLAN dans sa forme la plus simple.

2.7.1.3 Les spécificités d'un réseau radio Les menaces qui pèsent sur le poste nomade pèsent également sur le poste mobile, mais il existe d'autres dangers inhérents au support radio.

La propagation des ondes radio



Un réseau filaire est relativement bien maîtrisé, dans le sens où il se développe sur une infrastructure fixe, le câble, dans un lieu donné, le bâtiment, et est accessible uniquement depuis un nombre limité de points connus, les prises. Ceci permet notamment d'interdire toute utilisation frauduleuse du réseau en dehors des lieux qu'il dessert.

Il n'en est pas de même du réseau radio puisque les ondes ne connaissent ni murs ni frontières : une borne placée devant une fenêtre, rayonne sans vergogne dans la rue, les murs laissent toujours passer une partie du signal, et la portée du réseau dépasse largement la zone à couvrir. Sans précaution, un pirate peut se connecter sur votre réseau, accéder à l’Internet depuis votre propre compte et intercepter les transactions entre vos ordinateurs.

Les perturbations radio

Un autre problème du WLAN est la qualité de la transmission. Les réseaux de type Wi-Fi fonctionnent dans une bande de fréquences d'usage libre qui, contrairement aux fréquences DECT ou GSM, n’est pas réservée à des applications déterminées, en l’occurrence aux WLAN. Ainsi, votre réseau radio pourra-t-il être perturbé par celui du voisin, mais aussi être perturbé ou perturber nombre d'utilisations sans rapport avec le Wi-Fi : télécommandes (portails, voitures), systèmes d'alarmes, fours à micro-ondes, radioamateurs, etc.

En dehors de ces éléments perturbateurs, la transmission radio est également soumise à ses propres aléas. En particulier, les conditions météorologiques peuvent être à l'origine d'une dégradation de la transmission.

La plupart des problèmes liés à la transmission radio (mauvaise propagation, perturbations…) peuvent être contournés par une étude préalable d'ingénierie radio. Celle-ci vise à rechercher le meilleur emplacement pour installer les points d’accès en fonction de la configuration des lieux et de la nature de l'environnement (murs, mobilier métallique). Il sera aussi nécessaire de prendre en compte la présence d'équipements fonctionnant dans la même bande de fréquence avec une attention particulière pour les équipements Bluetooth qui fonctionnent dans la même bande de fréquences.

Le facteur humain

Cette menace, strictement humaine, n'en est pas moins réelle. L'usager mobile ou nomade qui utilise son ordinateur dans des lieux publics (gare, aéroport…), le fait parfois pour le plus grand intérêt de voisins indélicats et non innocents qui ont les yeux rivés sur l'écran. Les moins scrupuleux n’hésiteront pas à établir une liaison pirate avec l’ordinateur à l’insu de son propriétaire.

2.7.1.4 Le contrôle de l’accès au réseau L’accès au réseau radio est contrôlé au cours de différentes étapes :

L’attachement

C’est l’opération par laquelle le point d’accès et le poste mobile se reconnaissent mutuellement en tant que constituants d’un même réseau. En effet, si plusieurs réseaux se chevauchent, il est bon de s’assurer que l’on se connecte sur le sien et non sur celui du voisin.

L’attachement joue en gros le rôle de la prise sur un réseau filaire. Il est basé sur l’échange d’un identifiant réseau, SSID pour un réseau Wi-Fi.

L’authentification

L’authentification permet de s’assurer de l’identité et des droits de l’usager pour lui accorder le droit de se connecter, en regard de la politique d’utilisation du réseau. Elle est généralement réalisée par un mécanisme défini par le protocole et peut aussi mettre en œuvre des solutions additives basées sur des protocoles d’authentification plus rigoureux.

La phase d’authentification peut également être supprimée dans des réseaux qui, tels les hotspots, ont pour vocation de recevoir tout utilisateur qui en fait la requête. Elle doit alors se faire au niveau du portail Web (niveau applicatif).



La communication

Une fois l'utilisateur authentifié et autorisé, et donc associé à une catégorie, toutes les transactions qu'il va opérer au travers du WLAN sont encore soumises à un niveau élevé de contrôle et de surveillance.

Il s'agit d'une part de se protéger contre les écoutes indélicates (eavesdropping), mais aussi potentiellement contre les attaques véhiculées par le trafic lui-même.

La protection contre les premiers risques consiste à crypter les communications, celle contre les seconds consiste à contrôler le contenu du trafic contenu à l'aide d'un firewall et/ou d'un IDS (Intrusion Detection System) orienté sans-fil.

Le cryptage

Le protocole prévoit un chiffrement mis en œuvre sur les trajets radio de l’information, c’est à dire entre les points d’accès et les postes mobiles. Dans un réseau Wi-Fi, le chiffrement est réalisé par le WEP ou l’AES. Le chiffrement peut également être inhibé, notamment dans les hotspots.

Il est également possible d’appliquer un chiffrement de bout en bout qui se superpose au chiffrement radio, au moyen d’un protocole de niveau applicatif (SSL) ou au niveau réseau (IPSec).

2.7.2 Les préoccupations de l’Administrateur Réseau La sécurité est la préoccupation critique d'un Administrateur Réseau confronté au Wi-Fi, d'une part parce que les faiblesses des technologies ont été très largement rapportées et commentées par la Presse, d'autre part parce qu'il s'agit d'une approche effectivement nouvelle du sujet qui présente une grande diversité.

Comme nous l'avons vu, le Wi-Fi repose sur une transmission radio, généralement omnidirectionnelle, de type broadcast, (diffusion générale) où tout le monde peut écouter toutes les communications, voire transmettre des paquets en prétendant être un autre équipement (impersonation). A la différence des réseaux locaux de ces dernières années qui ont vu le remplacement du câble Ethernet par une arborescence de commutateurs, le WLAN est implicitement ouvert et par là, présente une forme de vulnérabilité spécifique. Les constructeurs et organismes de standardisation se sont donc employés à développer des méthodes de protection capables de fournir un niveau de sécurité comparable aux réseaux "câblés", voire supérieur.

Pour un administrateur réseau, le développement d'un réseau Wi-Fi en extension de son LAN câblé, ne peut être envisagé s'il présente une vulnérabilité supérieure à l'architecture déjà en place ou bien, si le réseau Wi-Fi apparaît comme un maillon faible, mettant en péril l'ensemble de l'infrastructure (tel un cheval de Troie).

En entreprise, la connexion d'un poste Client au réseau Wi-Fi est considérée comme celle d’un poste nomade via modem téléphonique, donc au travers d'une infrastructure non-sûre. On applique donc des procédés très comparables : authentification forte de la connexion et cryptage des communications.

Un certain nombre de compléments fondamentaux est apporté par des solutions spécialisées, comme des filtres ACL, un firewall, un IDS, parallèlement à la détection de tout événement pouvant être la prémisse d'une attaque Wi-Fi.

2.7.3 Risques et attaques Du fait des faiblesses des solutions standards, de nombreux risques existent en Wi-Fi, dont typiquement les Fake AP, Rogue AP, Honey Pot, Man in the Middle dont on parle le plus souvent, mais aussi les attaques par déni de service (DoS) et intrusion.

Le piratage du WLAN peut viser plusieurs objectifs, dont le premier est de disposer gratuitement d'un accès Internet en se connectant depuis l'extérieur sur le réseau radio d'un particulier ou d'une entreprise. Outre l'aspect financier, l'attaque peut mener au déni de service, si le hacker occupe toute la bande passante, par exemple en envoyant des spams. Le hacker peut également mener



des attaques sur l’Internet et visiter des sites terroristes ou pédophiles en toute impunité… puisque le responsable identifié sera le propriétaire du réseau attaqué !

Les autres attaques relèvent du désir de nuire en s'infiltrant sur le réseau dans le but d'accéder à des informations, voire même de modifier ou détruire ces informations.

2.7.3.1 Dénis de service Ces attaques visent à rendre le réseau inopérant. Contre elles, il n'existe pas de moyen de se protéger et l'administrateur est contraint de se déplacer et d'agir sur place, éventuellement aidé d’outils de localisation.

Le brouillage (jamming)

Le brouillage d’un réseau radio est relativement facile à réaliser avec un équipement radio qui émet dans la même bande de fréquence que le réseau Wi-Fi. Il ne présente aucun risque d’intrusion, mais constitue un déni de service efficace. Au-delà d’une certaine puissance, le brouillage peut saturer les équipements physiques du réseau attaqué et le rendre totalement inefficace.

Accès en rafale

Les attaques DoS, qui ne sont pas propres au sans-fil, consistent à bloquer l'accès au réseau par un trafic ou des connexions malveillantes en rafale (trames d'authentification/association), en dégradant très significativement la qualité des communications ou en générant une charge de traitement sur les équipements réseau ou client (requêtes de probe). Des outils permettent de détecter ce genre de flux, de générer un avertissement et d’aider l'administrateur à localiser la source de l'attaque. Certains commutateurs Wi-Fi sont capables de se défendre d’eux-mêmes en bloquant l’accès Wi-Fi dès détection d’un flux anormal de trafic entrant.

Spoofed deauthenticate frames (désauthentifications forcées)

Ce type d’attaque consiste à générer des trames qui visent à annuler l’authentification d’un poste mobile. Celui-ci ne peut plus se reconnecter sur le réseau.

Une autre attaque consiste à envoyer des trames broadcastées, c’est à dire sans adresse définie, qui attaquent de la même façon tous les postes mobiles à portée.

2.7.3.2 Intrusions L’Intrusion Client

Cette attaque consiste à exploiter les vulnérabilités du client pour accéder au réseau.

Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre la partie WLAN et le reste de l'infrastructure réseau, qui garantit un niveau de sécurité au moins égal à celui de l'environnement câblé.

L’Intrusion Réseau

C'est une des attaques les plus critiques. Une intrusion réseau vise à prendre le contrôle des ressources réseau d'une entreprise.

Les protections contre ce risque sont les systèmes IDS dédiés au Wi-Fi, qui vont chercher à corréler plusieurs évènements douteux pour déterminer si le réseau ou un système particulier est en train de subir une intrusion

2.7.3.3 Falsification des points d’accès Le Fake AP (faux AP)

Le faux point d’accès (Fake AP) n'est pas un véritable AP, mais une station du réseau.

Des logiciels (généralement sous Linux) permettent de faire apparaître l'interface Wi-Fi d'un poste client comme un point d’accès et de configurer son SSID et adresse MAC dans un but d'impersonation.



Le PC du hacker joue le rôle de point d’accès en usurpant le SSID du réseau et peut donc récupérer les connexions Wi-Fi des utilisateurs : • pour se livrer à une attaque man-in-the-middle en

reproduisant donc au fil de l'eau les trafics vers le réseau WiFi, et récupérer ou déduire les données de sécurité,

• pour récupérer les mots de passe sur une page Web identique au serveur d'authentification (cas d'une authentification Web),

• ou simplement pour pirater les PC clients s'il n'y a aucune sécurité.

Le Rogue AP (AP indésirable)

La faille de sécurité dite Rogue AP est la plus redoutée en entreprise.

L’attaque consiste à brancher sur le réseau un point d’accès pirate qui diffuse dans une zone où peut se trouver le hacker. Elle nécessite certaines complicités au sein de l’entreprise.

La faille de sécurité peut aussi être ouverte « innocemment » et sans intention malveillante quand un utilisateur du réseau, par commodité au niveau de ses bureaux par exemple, connecte un AP sur la prise Ethernet murale, lui conférant une certaine mobilité avec son ordinateur à l'intérieur de la cellule ainsi créée. Ces installations pirates sont particulièrement dangereuses parce qu'elles ouvrent le réseau de l'entreprise au monde Wi-Fi, généralement avec un niveau de sécurité insuffisant.

Au pire, l'AP est un ordinateur qui peut fonctionner comme un pont, créant un Wireless Bridge, à savoir un lien entre le réseau Wi-Fi et le réseau local câblé.

Le pot de miel (honeypot) inversé

L’attaquant installe dans la zone de couverture du réseau radio un point d’accès avec un signal plus fort qui cherche à apparaître comme faisant partie intégrante du réseau de la société pour attirer les postes clients (utilisation du même SSID), et les laisser se connecter (au niveau WLAN).

De cette façon le pot de miel espère pouvoir espionner la phase de connexion, pour en déduire les paramètres utiles, quitte à effectivement reproduire simultanément la phase de connexion vers le réseau réel (cas du Man in the Middle).

2.7.3.4 Impersonation (Usurpation d’identité) Ce type d'attaque consiste à prendre la place d'un poste mobile ou d'un point d’accès valide dans le but d'accéder au réseau ou aux services. Elle peut être la conséquence d’une attaque de type Fake AP.

Elle peut se faire au niveau du poste mobile en usurpant son adresse MAC ou au niveau du point d’accès en usurpant son adresse MAC et son SSID.

Dans le pire des cas, les éléments du réseau n'étant pas aisément localisables en transmission radio, un AP frauduleux peut inviter un client à se connecter au réseau par son accès et en déduire les éléments d'authentification de ce client.

2.7.3.5 Probing et Découverte du réseau Bien que la découverte du réseau soit une des fonctions initiales normales de Wi-Fi, c'est aussi une des premières étapes qu'un intrus doit accomplir, et au cours de laquelle il faut essayer de le détecter, même s'il est assez peu "bavard".

Le Wardriving et le Warchalking



Les pratiques de Wardriving utilisées par les hackers qui se déplacent avec un poste mobile à l'écoute des réseaux radio pour les repérer et les signaler sur une carte sont bien connues.

L'association à un système GPS permet de dresser une cartographie des points de présence de réseaux radio.

La pratique du Warchalking consiste à matérialiser la présence de ces réseaux en taggant des signes convenus dans les rues :

Les équipements nécessaires se trouvent aisément dans le commerce et des logiciels libres de Wardriving sont disponibles sur l’Internet. Certaines listes de hotspots trouvées sur l’Internet ne donnent pas que les hotspots « officiels » des cafés et restaurants, mais incluent également des sites victimes du Wardriving.

Des équipements sont capables de détecter l'emploi des applications de Wardriving les plus répandues (Netstumbler, Wellenreiter et AirSnort sous Linux) grâce à leur "signature" spécifique, et d'envoyer un message d'avertissement à l'administrateur du réseau. A ce stade aucune agression n'a encore été menée contre le réseau, mais il est indispensable de savoir qu'il est sous "observation" extérieure.



Le Warflying

L’emploi d’antennes omnidirectionnelles pour les AP Wi-Fi permet une excellente propagation de ceux-ci à la verticale, d’autant plus excellente qu’il ne s’y rencontre guère d’obstacles. Les hackers les mieux équipés pratiquent ainsi le Warflying depuis des hélicoptères ou de petits avions volant à 1500 – 2500 pieds.

2.7.3.6 Récupération des informations sensibles du réseau Par « informations sensibles », on entend les informations qui vont permettre au hacker de se connecter au réseau attaqué, à recueillir en clair les informations qui y circulent, d’introduire lui-même ses informations sous forme de virus, de vers, voire de données erronées ou encore de détruire des données.

L’intrusion par sniffing

Le principe est le même que sur les réseaux Ethernet et utilise un sniffer qui capture les messages d’ouverture de session pour récupérer le nom et le mot de passe. Il suffit au sniffer d’être dans la zone de couverture radio du réseau, soit dans un rayon d’une centaine de mètres autour d’un point d’accès. Munis d’un amplificateur de signal (une simple boite de biscuits peut faire l’affaire), les sniffers ont la possibilité de travailler avec des signaux particulièrement faibles, ce qui leur permet d’augmenter cette distance. L’écoute étant passive, l’attaquant a peu de chances de se faire remarquer.

La zone de couverture du réseau doit être comprise dans son sens le plus large. Il ne s’agit pas seulement de la couverture fournie par les points d’accès, mais aussi de la zone dans laquelle rayonnent les terminaux raccordés au réseau, même éloignés. Ainsi, un usager travaillant dans un hotspot d’aéroport loin de son entreprise devient une cible potentielle pour un hacker et l’Intranet de la victime peut être alors attaqué par rebond depuis son poste nomade. L’attaquant peut ensuite se connecter comme un utilisateur légitime (spoofing) puis envoyer toutes sortes de commandes, virus, etc. sur le réseau.

Un moyen plus pernicieux consiste à forcer la déconnexion abusive d'un client pour pouvoir déduire les éléments d’authentification et de chiffrement en observant la phase de reconnexion qui s'ensuit.

Écoute malveillante (Eavesdropping)



L’écoute malveillante consiste à observer et décoder le trafic du réseau. Comme évoqué précédemment, certains modes de cryptage possèdent des faiblesses intrinsèques qui permettent de "craquer" le codage (le temps de traitement est inversement proportionnel à la quantité de trafic espionné). La principale protection est l'emploi d'un cryptage fort. Au WEP standard, peu robuste, on préférera un VPN SSL ou IPSec.

2.7.3.7 Attaque au niveau de la station Attaque par rebond

Le hacker se connecte à la station et constitue avec elle un réseau « ad-hoc », c’est à dire sans infrastructure de distribution, et peut accéder au réseau de l’entreprise par rebond sur cette station.

Ce type d’attaque n’est pas propre au poste mobile. Des postes fixes équipés d’une option WiFi non désactivée sont tout autant vulnérables.

2.8 L’INGENIERIE SOCIALE Auteur : Franck Franchin (France Telecom) [email protected]

L’ingénierie sociale (ou « social engineering ») est une pratique qui consiste à exploiter le maillon souvent le plus faible d’un système ou d’un processus de sécurité : le « facteur humain ».

Nous allons présenter quelques techniques couramment utilisées par ces piratages qui préfèrent « hacker » des humains plutôt que des systèmes informatiques.

On peut distinguer deux types d’attaques en ingénierie sociale :

l’attaque ciblée sur une entreprise ou un individu – Ce type d’attaque repose sur la connaissance précise d’une organisation, des pratiques spécifiques à des métiers dans une volonté déterminée de nuire ou de tirer un profit précisément identifié.

l’attaque de masse, sans cible spécifique (bien qu’il puisse exister des cibles génériques : banques, organisme de défense nationale) – Ce type d’attaque est basé sur des comportements humains et/ou internautes bien connus (lettre pyramidale, pièce jointe pour adultes, usurpation d’identité non détectée)

Avant toute attaque de type ingénierie sociale, l’agresseur va chercher à se renseigner sur les organisations et/ou les personnes qui sont ou seront ses cibles. Il va utiliser des attaques de type rebond : une information disponible permet d’en obtenir une autre, etc. Ces informations sont obtenues soit par une « attaque humaine », soit par une « attaque informatique » qui utilise de la technologie pour tromper une personne (exemple : site factice Ebay). Elles permettent entre autre d’humaniser la relation avec la victime potentielle en obtenant des information de « proximité » : date et lieu de naissance, club de sport, marque du véhicule, nom de la petite amie, etc.

Une fois ces informations glanées et les victimes identifiées, voici quelques techniques et méthodes bien connues que va mettre en œuvre l’agresseur :

L’approche directe – L’agresseur va entrer en relation avec sa victime et lui demander d’effectuer une tâche particulière, comme lui communiquer un mot de passe. Quand bien même le taux d’échec de cette méthode est important, la persévérance de l’attaquant est souvent statistiquement couronnée de succès.

Le syndrome « VIP » - L’attaquant va se faire passer pour une personne très importante et légitime (directeur de l’entreprise, officier de police, magistrat, etc.) pour faire pression sur sa victime et par exemple demander un accès à distance au système d’information parce qu’il a un urgent besoin de remettre un document confidentiel au Président



L’utilisateur en détresse – L’attaquant prétend être un utilisateur qui n’arrive pas à se connecter au système d’information (stagiaire, intérimaire). La victime croit souvent rendre service à cette personne fort sympathique et dans l’embarras.

Le correspondant informatique – L’agresseur se fait passer pour un membre de l’équipe du support technique ou pour un administrateur système qui a besoin du compte utilisateur et du mot de passe de sa victime pour effectuer par exemple une sauvegarde importante.

L’auto-compromission (RSE – Reverse Social Engineering) – L’attaquant va modifier l’environnement de sa victime (ordinateur, bureau physique) de manière aisément détectable afin que ce dernier cherche de l’aide en la personne de l’agresseur. Le contact s’effectue via une carte de visite laissée sur place, un courrier opportun ou un coup de fil anodin.

Le courrier électronique – Deux types d’attaque sont possibles : le code malicieux (virus, vers) en pièce jointe qu’il est nécessaire d’ouvrir (hors exception) pour l’activer ou les hoax.

Le site Internet – Un site web de type jeu/concours peut demander à un utilisateur de saisir son adresse de courrier électronique et son mot de passe. Statistiquement, le mot de passe ainsi donné est très proche, voire identique, au mot de passe de l’utilisateur sur son système d’information.

Le vol d’identité – L’attaquant a obtenu suffisamment d’information sur la victime ou une des relations de la victime pour s’identifier et s’authentifier. Il lui suffit alors d’endosser cette nouvelle identité.

Au cours de ces dernières années, cet art de la persuasion s’est transformé quelquefois en art de la menace. Certains attaquants ont eu recours à des méthodes proches du chantage ou de l’extorsion, en menaçant par exemple leur victime de les dénoncer à leur patron suite à des échanges de fichiers à caractères pornographiques.

Malgré le sentiment commun « ça n’arrive qu’aux autres », il n’est pas si facile de se protéger contre des attaques de types ingénierie sociale. Les agresseurs sont souvent très experts dans leur démarche, jouent sur le registre de l’entraide et de l’humain, la plupart du temps sans être agressifs, ont appris à improviser, à faire appel aux meilleurs sentiments de leurs victimes et surtout construisent souvent une première relation inter-personnelle avant de rechercher réellement à soutirer des informations.

Quelques bonnes pratiques de sensibilisation permettent toutefois de réduire les risques.

Tout d’abord il faut informer sur les méthode utilisées, puis il peut être nécessaire de fournir quelques lignes directrices pour les contrer :

La politique de sécurité de l’information doit clairement définir les rôles et responsabilités de chacun, comme par exemple les droits d’accès et les droits de savoir des équipes de support technique.

Les responsables doivent accepter de limiter leurs périmètres au « besoin de savoir » et cette limitation doit être connue de tous dans l’entreprise.

La politique de nommage des adresses de courrier électronique, des applications, des rôles et plus généralement la politique de diffusion des annuaires de l’entreprise doit être renforcée et contrôlée vis à vis de l’extérieur.

Les utilisateurs doivent prendre l’habitude d’identifier et d’authentifier les personnes, les messages ou les applications qui leur demandent d’effectuer certaines tâches sensibles. Une procédure ad-hoc doit être aisément accessible ainsi qu’une autre permettant d’informer leur administrateur en cas de doute.

2.9 LE CYBER RACKET Auteur : Franck Franchin (France Telecom) [email protected]

Tout utilisateur de l’Internet doit désormais faire face à une cybercriminalité galopante, terme qui regroupe l’ensemble des actes de nature délictuelle et criminelle qui sont perpétrés via la Toile. A l’image de sa grande sœur aînée du monde physique, la cybercriminalité est constituée aussi bien



par les infractions de blanchiment d’argent, de pédophilie, d’usage de faux sur Internet en passant par l’attaque par déni de service d’un site web ou encore de chantage. Le spectre couvert est large et l’entreprise tout comme le particulier en sont donc potentiellement victimes.

2.9.1 La prolifération des risques La prolifération des cyber-risques s’appuie principalement sur l’augmentation des abonnés au haut débit via l’ADSL, technologie qui a permis d’accroître le temps passé à surfer et a créé la notion de « connexion permanente » encore inconnue du particulier il y a quelques années. Profitant de ces conditions, un nouveau délit informatique sévit actuellement sur le web : le cyber-racket ou la cyber-extorsion. Selon le code pénal français, « l’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. L’extorsion est punie de sept ans d’emprisonnement et de 100 000 euros d'amende ». Appliqué au domaine informatique, le cyber-racket consiste à menacer une personne physique ou morale via son courrier électronique ou son site web pour lui soustraire de l’argent. Issus principalement d’Europe de l’Est, du Brésil ou de la Chine, leurs auteurs tirent leurs motivations aussi bien de l’argent escompté d’une telle escroquerie que de la réputation qu’ils peuvent en jouir dans l’univers underground de la cybercriminalité. Tout un nouvel écosystème s’est rapidement mis en place. Les chimistes ont été remplacés par des hackers et les passeurs par des prête-noms qui ouvrent des comptes bancaires et possèdent des adresses de courrier électronique. Les lieux des infractions sont, pour l’instant, concentrés sur les entreprises aux États Unis et à Londres mais tous les États occidentaux sont concernés potentiellement par ces nouveaux délits. Plusieurs cas ont défrayé la chronique outre-manche et outre-atlantique comme lors du Superbowl ou de certaines courses hippiques.

2.9.2 Les approches Les approches sont différentes selon que la cible soit une personne morale, un salarié d’un personne morale ou un particulier, personne physique.

Le mode opératoire du cyber-racket appliqué à l’entreprise est assez simple. En effet, des attaques par déni de service distribué (DDoS) via des machines compromises (dites zombies) sont capables de bloquer pendant de longues périodes l’accès à un site ou à un réseau d’entreprise en le bombardant de fausses requêtes. Les criminels réclament ensuite de l’argent à leurs victimes en échange de l’arrêt des attaques. De cette façon, l’entreprise qui crée habituellement de la richesse grâce à son site web parce qu’elle offre la possibilité de parier en ligne ou de commander à distance différents produits, subit l’indisponibilité de ses offres de services et, par conséquent, l’insatisfaction de ses clients et une perte d’exploitation. Concrètement, les racketteurs s’attaquent principalement aux casinos en ligne et aux sites de commerce électronique, mais également à des victimes plus inattendues comme le port américain de Houston.

Autre exemple connu, durant le Superbowl 2003 aux États-Unis, un racketteur a menacé plusieurs sites de paris en ligne d’une attaque en déni de service s’ils ne s’acquittaient pas d’une somme allant de 10 000 USD à 50 000 USD.

D’un autre côté, les particuliers et notamment les collaborateurs d’une entreprise doivent également faire face à ces nouvelles menaces. Là encore, le mode opératoire est assez simple. Le courrier électronique est le moyen retenu la plupart du temps par les cybercriminels pour extorquer de petites sommes d’argent à des salariés. Le chantage peut porter sur la menace d’effacer des fichiers importants sur leur ordinateur ou d’y copier des photographies pédophiles. Cette technique débute en général par un courrier électronique demandant au destinataire de payer de 20 à 30 USD sur un compte bancaire électronique. Bien évidemment, il ne faut surtout pas obtempérer à une telle injonction car ce serait l’effet boule de neige assuré ! Le fait que l’objet de l’infraction soit une petite somme conduit souvent les victimes à accepter et à ne pas vouloir ébruiter l’affaire.

2.9.3 Un exemple Par exemple, F-Secure, un éditeur informatique finlandais spécialisé dans la sécurité, a révélé que le personnel d’une grande université scandinave avait été la cible d’une tentative d'extorsion de ce genre. « Selon Mikko Hypponen, directeur de recherche chez F-Secure, des membres du personnel



ont ainsi reçu un e-mail, apparemment en provenance d’Estonie, qui indiquait que l’expéditeur avait découvert plusieurs failles de sécurité dans le réseau informatique et menaçait d’effacer un grand nombre de fichiers, sauf si les destinataires payaient 20 euros sur un compte bancaire en ligne ». Ce dernier poursuit et affirme même qu’ « avant, si vous vouliez extorquer de l’argent à des entreprises, il fallait pirater leur système d’information et les persuader que vous aviez volé des informations. Maintenant, il n'y a rien d’autre à faire que d’envoyer un e-mail ».

2.9.4 Les règles à suivre Il convient d’observer certaines règles au sein de son entreprise pour éviter ce type de déboires :

Règle N°0 : Le cyber-chantage use du même cercle vicieux que le chantage physique. Une fois rentré dans le jeu de votre adversaire, il est impossible d’en sortir facilement et c’est l’escalade assurée.·Il vaut mieux refuser dès le début quand bien même la menace est mise à exécution et informer qui de droit.

Règle N°1 : Ne pas répondre à un courrier électronique en provenance d’une personne inconnue et/ou dont l’adresse de courrier électronique semble étrange (quand bien même il n’est pas difficile pour un pirate de se « présenter » avec une adresse de courrier électronique usurpée…).

Règle N°2 : Ne jamais verser de somme d’argent, si petite soit elle, sur un compte bancaire d’un tiers non clairement identifié. Rappelons aussi que le protocole SSL mis en avant dans le commerce électronique ne garantit pas l’honnêteté du possesseur du certificat serveur !

Règle N°3 : En cas de réception d’un courrier électronique de type cyber-racket, prévenir immédiatement votre correspondant de sécurité.

Règle N°4 : Ne jamais donner ses coordonnées bancaires à une personne ou sur un site dans lequel vous n’avez pas pleinement confiance.

2.10 LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]

2.10.1 Le spim Le spim, petit frère du spam sévit sur les messageries instantanées. Radicati Group, a comptabilisé 400 millions de spims envoyés en 2003 et prévoit 1,2 milliard de spims en 2004

2.10.2 Le googlebombing Encore une nouveauté qui consiste à fausser les résultats affichés par le moteur Google en détournant ses méthodes de tri. Les internautes ont en effet trouvé un moyen astucieux de bombarder Google pour améliorer le classement d'un site afin de le faire apparaître en tête des résultats pour certaines requêtes précises. Une manipulation rendue possible grâce à une particularité de Google qui prend en compte le nombre de redirection sur un site.

2.10.3 Les attaques sur les téléphones portables Plusieurs éditeurs d'anti-virus ont annoncé début juin 2004 la découverte du premier virus pouvant infecter les téléphones mobiles, baptisé Cabir, tout en soulignant qu'aucun effet néfaste n'avait été détecté à ce jour. La filiale française de l'éditeur russe Kapersky a ainsi indiqué « qu'il semblerait que ce ver a été développé par une association internationale regroupant des créateurs de virus se spécialisant dans la création de virus nommés "proof-of-concept", c'est à dire pour démontrer qu'aucun système, aucune technologie n'est fiable et à l'abri de leurs attaques ».

"Cabir" infecte le système d'exploitation Symbian dont sont dotés certains portables, notamment les téléphones Nokia, et se propage via la technologie Bluetooth. Cette technologie de communication radio sur courtes distances, par exemple pour relier sans fil un portable et une oreillette, équipe de nombreux téléphones portables. Le ver est déposé sur le téléphone via Bluetooth sous la forme d'un fichier SIS (extension d'un fichier jeu sur téléphone Nokia), en se faisant passer pour un utilitaire de



sécurité. Le fichier modifie le mot de passe automatique en déposant un lien vers un ver transporteur. Si le fichier infecté est lancé, l'écran du téléphone affiche l'inscription "Caribe". Le ver pénètre le système et s'activera à chaque fois que le téléphone est allumé. Cabir scanne ensuite tous les téléphones utilisant la technologie Bluetooth et envoie une copie de lui-même au premier appareil trouvé.

2.10.4 Les attaques sur les photocopieurs Le photocopieur est trop souvent considéré au même titre qu’un distributeur de boisson. Qui le gère ? Qui gère les sociétés de maintenance ? Qui gère le contenu des disques «pleins » des photocopieurs numériques ? Or des informations sensibles sont stockées sur les disques durs des photocopieurs. Peu d’entreprises y songent.

Chaque fois que l'on copie un document sur un copieur moderne, une copie est enregistrée sur le disque dur de la machine. Lorsque la période de location du matériel arrive à son terme, la machine est vendue ou louée à une autre société avec les informations sensibles qu'elle contient.

Chaque année, 25 000 copieurs changent de mains.

De préférence à l’achat, de nombreuses sociétés louent les copieurs de pointe que nécessite leur activité. Or, au cours du processus de copie, de nombreux modèles récents de copieurs utilisent la technologie du disque dur pour stocker des images des documents photocopiés. Cela signifie que des quantités importantes d'informations stratégiques sont stockées à tout moment sur le disque dur de la machine. Compte tenu du fait qu'un contrat de location s'étend typiquement sur une durée de trois à cinq ans, il est plus que probable qu'en 2004, des milliers de sociétés échangeront des machines contenant des informations sensibles. Ces machines d'occasion seront louées ou vendues par les sociétés de leasing à de nouveaux utilisateurs.

En 2004 un cadre a dérobé un disque dur de 60 gigabits (des dizaines de milliers de pages photocopiés en formats connus sont des lors facilement récupérables). Un nouveau disque a été placé à l'intérieur et la machine a rebooté sans problème. L'activité de ce cadre a attiré l'attention de son employeur qui a demandé une décision de justice afin d'aller chez son nouvel employeur constater à l'aide de la police les données d'un format particulier chez le concurrent. La police a alors établi que les données trouvées chez le nouvel employeur provenaient de l'ancien employeur.

2.10.5 Le Peer-to-Peer Le P2P, ou peer-to-peer, pourrait également se traduire par Pornographie plus Piraterie, puisque 95% des fichiers partagés sont pornographiques ou soumis à des droits d'auteur, voire les deux à la fois, déclare Nigel Hawthorn, Directeur Marketing Europe chez Blue Coat. Le mépris des copyrights mis en relief par notre enquête démontre la montée en puissance d'une vague de non-respect de la part de certains employés qui se moquent des règles communes. Les employeurs doivent surveiller et contrôler l'utilisation interne d'Internet, mais doivent en outre communiquer auprès de leurs équipes sur les modes acceptables d'utilisation d'Internet.

L'enquête, menée auprès d'environ 300 utilisateurs d'Internet issus des secteurs publics et privés, visait à évaluer l'utilisation du peer-to-peer dans les réseaux d'entreprise et à mettre en relief la réduction de disponibilité en bande passante et la baisse de productivité engendrée par celle-ci.

Les applications peer-to-peer permettent à des utilisateurs d'interconnecter leurs PC et d'accéder directement aux fichiers de chacun, sans passer par un serveur centralisé. Bien que le partage de fichiers soit très répandu, il place l'entreprise face à une multitude de problèmes : dégradation de la disponibilité réseau, diminution de bande passante, baisse de productivité et risque d'être poursuivi pour possession d'informations soumises à droit d'auteur. Par exemple, le téléchargement en peer-to-peer peut facilement mobiliser 30% de la bande passante d'un réseau.



3 LES CONTRE-MESURES ET MOYENS DE DEFENSE Comme nous l’avons évoqué, l’anti-virus n’est pas le seul outil nécessaire pour sécuriser un réseau. En fait toute une panoplie de solutions doit être envisagée pour offrir un niveau acceptable de sécurité. L’idéal est de posséder une interface commune de gestion de ces outils et d’offrir à l’utilisateur une totale transparence et un moyen unique de s’authentifier qui sera cascadé entre tous les outils quand nécessaire.

Les noirs

Pion = virus, Tour = porte dérobée, Cavalier = cheval de Troie, Fou = Spam, Roi = le hacker (on note qu’il est ici en échec), Dame = une punkette tenant une canne à pêche avec un mail à l’hameçon = phishing

Les blancs Pion = disquette antivirus, Tour = Firewall, Cavalier = VPN, Fou = Cryptage, Roi = la justice, Dame = Pot de miel (royal)

3.1 LES FIREWALLS BASTION Auteur : Gérard Péliks (EADS) [email protected]

Le firewall, appelé aussi pare-feu ou garde-barrière, est l’élément nécessaire, mais pas suffisant, pour commencer à implémenter une politique de sécurité sur son Intranet. La première caractéristique d’un Intranet est d’être un réseau privé. Mais si ce réseau privé présente des connexions vers l’Internet ou vers tout autre réseau public, pourquoi doit-il être considéré comme un réseau privé plutôt que comme une extension de l’Internet ou du réseau public ? … avec tous les risques que cela entraîne.

Un firewall est un dispositif logiciel ou matériel (les appliances) qui filtre tous les échanges qui passent par lui pour leur appliquer la politique de sécurité de l’entreprise. Cette politique, au niveau du firewall consiste à laisser passer tout ou partie de ces échanges s’ils sont autorisés, et à bloquer et journaliser les échanges qui sont interdits.

Bien entendu, la finesse et la granularité des éléments entrant en jeux dans le filtrage des échanges, et la hauteur de vue du firewall pour traiter ce qu’il convient de laisser passer ou de bloquer, mesurent la capacité d’un firewall à prendre en compte des politiques de sécurité qui peuvent être très complexes, au moins durant leur phase de conception, dans l’esprit de ceux qui les



rédigent.

3.1.1 Les paramètres pour filtrer les données L’idéal est bien sûr de pouvoir filtrer les données suivant le plus de critères possibles. Filtrer suivant le protocole du paquet IP, qui caractérise l’application, est un minimum. Pour filtrer la messagerie ou les accès Web, en leur attribuant des permissions ou des interdictions, on se base sur le protocole applicatif utilisé au-dessus du protocole IP (SMTP pour la messagerie, HTTP pour le Web). Il est ainsi possible de permettre à un utilisateur nomade, de l’extérieur, l’accès à son serveur de messagerie et de lui refuser l’accès au Web situé sur l’Intranet.

Les Firewalls évolués permettent de filtrer aussi en fonction de l’origine et de la destination des échanges. Ainsi suivant l’individu, ou le groupe auquel il appartient, suivant le serveur auquel il souhaite accéder, situé de l’autre côté du Firewall, une politique de sécurité particulière sera appliquée à cet individu.

Le filtrage en fonction du port est également une fonctionnalité importante. Le port est un nombre qui caractérise une application. Par exemple le port standard et réservé du Web est le port 80, mais on peut également faire des accès web à travers bien d’autres ports (il y en a plus de 65000 possibles). Une politique de sécurité complète pour le Web doit tenir compte de tous les ports utilisés, et par exemple bloquer les ports qui ne sont pas dédiés aux flux dont on tolère le passage.

3.1.2 A quel niveau du paquet IP le filtrage doit-il se situer ? Il existe des firewalls qui ne filtrent qu’au niveau élémentaire du paquet IP et d’autres, plus évolués qui montent jusqu’au niveau applicatif pour appliquer une politique de sécurité centrée sur l’utilisateur et l’utilisation faite des applications que le firewall protège.

Le paquet IP se compose de deux éléments : l’en-tête et la donnée. Dans l’en-tête on trouve l’adresse IP, le nom de l’hôte origine et destination, et le numéro de port entrant et sortant.

Les firewalls qui se contentent de filtrer à ce niveau offrent peu de souplesse pour implémenter une politique de sécurité, par contre offrent de très bonnes performances réseaux puisqu’ils ne passent pas beaucoup de temps à filtrer les paquets.

Certains firewalls fonctionnent à base de relais de proxies. Un proxy est une application située sur le firewall, qui permet à celui-ci de se faire passer, vis à vis de l’utilisateur, pour le serveur de l’application à laquelle il veut accéder. Avec ce mécanisme de proxy, un firewall est capable de fonctionner comme un sas qui demande à l’utilisateur de s’authentifier, prend en compte sa demande, la transmet au serveur si celle ci est autorisée. Au retour, il analyse les paquets IP au



niveau applicatif et peut les recomposer en des paquets conformes à la politique de sécurité de l’entreprise, avant de transmettre le résultat à l’utilisateur.

Par exemple dans un flux web, le proxy HTTP est capable d’enlever des pages web les ActiveX, les applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de limiter la taille des fichiers attachés aux emails, de refuser les attachements de fichiers exécutables et de bloquer les messages qui, dans leur champ sujet, contiennent les fameux mots I LOVE YOU.

Plus un firewall dispose d’un nombre important de proxies, plus souple et plus complète peut être la politique de sécurité qu’il implémente. On trouve aussi dans certains firewalls, un proxy générique qui peut être programmé pour s’adapter à des besoins très spécifiques d’une entreprise.

Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on trouve un niveau intermédiaire connu sous le nom de « statefull Inspection » où l’état d’un paquet IP entrant est mémorisé pour pouvoir traiter ce qu’il convient de faire avec le paquet réponse qui revient par le firewall.

3.1.3 Le masquage des adresses IP du réseau interne La première information que le hacker désire connaître est l’architecture de l’Intranet qu’il cherche à attaquer. Cela ne lui suffit pas pour réussir son attaque mais cela lui fait gagner du temps, alors, pour ne pas faciliter ses coupables desseins, et pour lui mettre des entraves autant commencer par cacher l’architecture du réseau privé et en particulier les adresses IP qui peuvent lui permettre de la reconstituer.

Les firewalls offrent cette possibilité en substituant aux adresses IP de l’Intranet, l’adresse du contrôleur réseau qui permet au firewall de communiquer avec l’extérieur. C’est ce qu’on appelle en jargon de sécurité la NAT (Network Address Translation) – translation des adresses du réseau. Le monde extérieur ne verra le réseau Intranet que comme une adresse IP unique, celle du contrôleur réseau externe du Firewall, même si l’Intranet possède plusieurs milliers d’adresses IP.

3.1.4 Les zones démilitarisées Un firewall doit être placé en coupure entre un réseau non protégé (par exemple l’Internet) et les réseaux qu’il protège. Il contrôle les informations qui passent entre les deux réseaux. Plus de deux interfaces réseaux peuvent équiper un firewall. Celui-ci contrôle alors ce qui passe entre chacune de



ses interfaces réseau et applique une politique de sécurité qui peut être particulière à chacune de ces interfaces.

Supposons un firewall avec trois interfaces réseaux, donc duquel partent trois réseaux. Le premier est celui qui va vers l’extérieur, vers le réseau non protégé, comme l’Internet, via un routeur. Le deuxième est le réseau interne à protéger. Le troisième réseau n’est ni tout à fait le réseau interne à protéger, ni le réseau public. C’est un réseau sur lequel on peut appliquer une politique de sécurité particulière, moins stricte que celle du réseau interne. Il s’agit là d’une DMZ (DeMilitarized Zone – zone démilitarisée) sur laquelle on place en général le serveur Web de l’entreprise et parfois le serveur anti-virus et le serveur de messagerie.

3.1.5 Firewall logiciel ou firewall matériel ? On trouve sur le marché des offres de firewalls logiciels proposés pré-chargés sur une plate-forme matérielle. Ce sont les appliances. Les constructeurs proposent des gammes d’appliances sous forme de mini tours ou de racks. L’appliance est un moyen simple d’installer un firewall dans une entreprise puisqu’il suffit de booter la machine et le firewall est prêt à fonctionner. Tous les flux sont bloqués à l’installation. Bien évidemment il reste ensuite à particulariser cette appliance selon la politique de sécurité de l’entreprise.

Certains constructeurs proposent leurs propres plates-formes matérielles chargées avec leurs firewalls logiciels, d’autres ne proposent qu’une plate-forme matérielle avec les logiciels venant d’un autre éditeur de logiciels avec qui ils sont en partenariat technologique, d’autres encore proposent des logiciels pré-chargés sur une plate-forme du commerce qui est généralement un PC avec des contrôleurs réseaux également du commerce.

3.1.6 En parallèle ou en série ? Le firewall est un point de passage stratégique de l’entreprise car c’est par lui que tout flux entant et sortant doit transiter. Dans certain cas, par exemple pour le commerce électronique, une interruption de fonctionnement du firewall peut représenter une perte d’argent conséquente. Une bonne solution est de prévoir deux firewalls ou plus, en parallèle, et un dispositif automatique pour que si l’un tombe en panne, un autre prenne le relais. Et puisque on dispose alors de plusieurs firewalls, en fonctionnement normal, il est intéressant de les faire fonctionner en partage de charge, le moins chargé à un instant donné devenant davantage disponible pour traiter les nouveaux flux qui arrivent.

Si l’on veut assurer une sécurité optimale, il est intéressant de mettre deux firewalls de technologie différente en série. Ainsi si un agresseur réussit à passer la première ligne de défense constituée par le firewall en amont, il tombera sur la deuxième ligne de défense, différente dans sa manière de traiter la politique de sécurité. L’agresseur devra donc recommencer son travail de pénétration alors qu’il aura toutes les malchances d’avoir été repéré durant son intrusion dans le premier firewall. Ce système est utilisé quand la sécurité doit être maximale. On place souvent un firewall qui fonctionne par filtrage de circuits à l’extérieur, et un firewall fonctionnant par relais de proxies à l’intérieur.

3.1.7 Sous quel système d’exploitation ? Le système d’exploitation est composé des services système qui assurent la correspondance entre la plate-forme matérielle et les logiciels du firewall. C’est donc un socle très important qui intervient dans la sécurité globale de la solution de sécurité.

On trouve des systèmes d’exploitation écrits par des fournisseurs de firewalls, et donc bien adaptés au logiciel firewall, et aussi à la plate-forme matérielle propriétaire d’une appliance. On trouve également des firewalls tournant sur des systèmes d’exploitation du commerce tels que les UNIX ou les systèmes d’exploitation de Microsoft.

Dans les divers systèmes UNIX, certains proposent leur offre sous une implémentation de LINUX, sous un dérivé du système UNIX BSD (Free BSD, Open BSD, NetBSD), sous Solaris de SUN, et encore sous d’autres systèmes UNIX.

Il n’est pas question ici de trancher sur le meilleur système d’exploitation sur lequel doit s’appuyer un firewall, mais il est évident que d’un point de vue sécurité, il est inutile, voir dangereux de bâtir un mur infranchissable (le firewall) sur un terrain meuble (le système d’exploitation) à travers lequel un



hacker pourrait creuser un passage. Il est bon qu’un fournisseur de firewall maîtrise le système d’exploitation sur lequel tourne son logiciel firewall, jusqu’au niveau des codes sources et des compilateurs qui servent, à partir de ces sources, à obtenir ce système d’exploitation.

Pour ne pas connaître de mauvaises surprises lors de l’installation d’un firewall logiciel sur site, il faut s’assurer également qu’à tous les éléments matériels de la plate-forme, et en particulier aux contrôleurs réseau, correspond un driver dans le système d’exploitation.

Un firewall aura de meilleures performances si le système d’exploitation est conçu dans le but de gérer au plus fin sa plate-forme matérielle. D’un autre côté si le système d’exploitation est un système du commerce, l’utilisateur aura plus de choix pour sa plate-forme matérielle, et le firewall logiciel acquis sera transférable vers une plate-forme matérielle plus puissante quand les besoins des utilisateurs évolueront.

3.2 LE FIREWALL APPLICATIF Auteur : Sami Jourdain (Deny All) [email protected]

Lorsque de grandes banques françaises ont lancé leurs projets de services financiers en ligne, elles ont été confrontées à la problématique suivante : comment déployer des applications Web transactionnelles de grande envergure tout en respectant les exigences drastiques de sécurité informatique propres à leur secteur ?

Les solutions de sécurité existantes n’apportaient pas le niveau de protection requis contre les risques nouveaux liés aux utilisations malveillantes des applications. Une grande banque française, la Société Générale, a alors décidé de développer une nouvelle solution dédiée à la protection des applications Web, complémentaire aux dispositifs de sécurité existants : le firewall applicatif.

Les entreprises de tous secteurs sont aujourd’hui confrontées à la même problématique rencontrée initialement par le secteur bancaire : elles déploient de plus en plus d’applications Web afin d’automatiser leurs échanges, de générer de nouveaux revenus et de réduire leurs coûts. Ces applications Web gèrent leurs processus métiers les plus critiques et leurs données les plus confidentielles. Plus accessibles au travers d’Internet, d’extranet et d’intranet, elles sont également devenues la cible privilégiée des hackers, attirés par les perspectives telles que la fraude financière, le vol d’informations confidentielles, l’espionnage industriel, les atteintes à l’image de marque …

L’enquête menée en juin 2004 par le magazine américain « Information Week survey » le confirme : pour les 7000 entreprises interrogées, la priorité en matière de sécurité informatique est premièrement d’augmenter la sécurité de leurs applications Web et deuxièmement de mettre en place un meilleur contrôle d’accès.

Dès lors, plusieurs enjeux s’imposent aux entreprises : déployer des architectures Web performantes et évolutives tout en garantissant la sécurité des flux applicatifs (filtrage des requêtes, accès réservés aux utilisateurs authentifiés).

Le firewall applicatif encore appelé Reverse Proxy Applicatif répond à ces besoins stratégiques des entreprises que sont la protection de leurs applications Web, l’accélération des flux et l’ouverture plus rapide de nouveaux services Web sécurisés.

3.2.1 Des attaques sur les applications Web en forte croissance Alors que le nombre d’incidents sécurité rapportés est en augmentation quasi exponentielle, 65% des nouvelles attaques ciblent les applications Web (source CERT et Gartner Group).

Plusieurs raisons, détaillées au chapitre « les faiblesses du Web », expliquent ce constat :

L’application Web représente une cible attractive : une attaque réussie peut permettre à un utilisateur malveillant de détourner des transactions, voler des informations confidentielles, impacter significativement l’image de marque d’une entreprise…

Constituée d’une large diversité de composants logiciels standard et spécifiques, chaque application Web présente de nombreuses vulnérabilités susceptibles d’être exploitées,

Attaquer une application se révèle plus facile qu’il n’y paraît :




• A l’aide d’un simple navigateur Web, les hackers peuvent insérer des instructions malveillantes en utilisant les possibilités d’interactions standards fournies par les applications (formulaires, paramètres de CGI, cookies, entêtes…)

• Ces types d’attaques au niveau applicatif contournent les firewall traditionnels, qui ne filtrent généralement que les attaques au niveau réseau et ne déchiffrent pas les flux SSL.

• Les hackers ont à leur disposition de nombreuses techniques d’attaques dont les plus courantes sont décrites au chapitre « les dix techniques d’attaques les plus courantes sur les applications Web ». Les attaques dites inconnues (ou « zero day exploits ») exploitant des vulnérabilités spécifiques des applications ou de nouvelles techniques d’attaques sont particulièrement dangereuses car elles sont en constante augmentation et interviennent alors que les mesures correctrices n’existent pas encore.

3.2.2 Les limitations des solutions de sécurité traditionnelles 3.2.2.1 Le firewall réseau

De nouvelles générations de firewall réseau annoncent maintenant des fonctions de sécurité applicative parce qu’elles incluent le niveau 7 et un module de détection et de prévention d’intrusion (IDS et IPS) :

Le mécanisme de filtrage se limite toutefois au contrôle du respect du protocole et à la recherche de contenu malveillant, identifié par une signature ou un autre marqueur. Il permet d’arrêter certaines attaques génériques connues mais n’est pas suffisant pour les attaques exploitant des vulnérabilités spécifiques des applications, les attaques inconnues ou encore les attaques déguisées dans le trafic normal. Un utilisateur malveillant tentant d’abuser de la session de quelqu’un d’autre ne sera pas distingué du client utilisant son propre compte.

La plupart des firewall ne déchiffrent toujours pas les flux SSL.

3.2.2.2 la sécurisation du code applicatif Auditer les applications afin d’identifier leurs failles, appliquer les corrections logicielles lorsqu’elles existent, réécrire des parties du code applicatif pour le rendre plus sûr : toutes ces opérations sont recommandées. Elles représentent toutefois trop de contraintes en termes de moyens humains à mobiliser et de délais de mise en œuvre pour être systématisés. Essentiellement réactives, ces mesures ne protègent pas non plus des attaques sur les failles spécifiques aux applications, ni des attaques inconnues.

3.2.2.3 L’authentification utilisateurs et le chiffrement SSL Les solutions de contrôle d’accès, de VPN SSL incluent des fonctions permettant d’authentifier les utilisateurs, de contrôler à quelle(s) application(s) et à quelle(s) page(s) de sites Web ils ont accès et de chiffrer les flux.

Nécessaires, ces fonctions ne sont toutefois pas suffisantes pour protéger les applications. Elles ne fournissent pas de mécanismes permettant de garantir qu’un utilisateur autorisé ne va pas tenter d’acquérir les droits d’un autre utilisateur ou de manipuler les requêtes.

3.2.3 Le Firewall Applicatif ou Reverse Proxy Applicatif Intervenant en complément des solutions de sécurité traditionnelles, la mission principale du firewall applicatif est de protéger les applications Web des entreprises.

Il offre souvent des fonctions complémentaires permettant aux entreprises d’améliorer les performances et de simplifier les architectures Web.

3.2.3.1 Principe de fonctionnement



Déployé en frontal des applications Web, le firewall applicatif intercepte tous les flux HTTP et HTTPS provenant des utilisateurs en accès Internet, extranet ou intranet.

Il filtre l’intégralité des requêtes HTTP : les méthodes, les URL (chemin d’accès…), les entêtes, ainsi que toutes les données applicatives (cookies, paramètres de CGI, paramètres cachés ou non, en arguments dans l’URL ou postés en DATA….).

Il analyse la cohérence des requêtes par rapport

au contexte applicatif et ne transmet aux applications que les requêtes valides et conformes à la politique de sécurité mise en place. Les autres requêtes sont rejetées avant même qu’elles n’aient atteint les serveurs de l’entreprise.

3.2.3.2 Les fonctionalités clés

3.2.3.3 Une gamme complète de mécanismes de filtrage HTTP(S) Afin de protéger efficacement toutes les applications Web d’une entreprise, le firewall applicatif met en œuvre un ensemble de mécanismes de filtrage complémentaires permettant de s’adapter à différentes politiques de sécurité.



Normalisation

Liste noire générique

oui

oui

Suivi de sessions

non

Requêtevalide?

non

Protection dédiée

ne sait pas

RequêteAcceptée

non

oui AttaqueConnue?

Applications Web

Normalisation

Liste noire génériqueListe noire générique

oui

oui

Suivi de sessionsSuivi de sessions

non

Requêtevalide?

non Requêtevalide?

non

Protection dédiéeProtection dédiée

ne sait pas

RequêteAcceptée

non RequêteAcceptée

non RequêteAcceptée

non

oui AttaqueConnue?

oui AttaqueConnue?

Applications WebApplications WebApplications Web

La normalisation des URL

La normalisation canonique permet de transcrire les multiples possibilités d’écriture d’une URL donnée en une forme normalisée afin de pouvoir l’analyser en connaissance de cause. Ce filtrage permet d’éliminer d’emblée des attaques de type directory traversal, utilisation de double ou triple encodage…

Le filtrage par liste noire Ce type de filtrage inspecte les requêtes entrantes pour y détecter la présence éventuelle d’une attaque ou d’un contenu malicieux. Il s’appuie généralement sur une base de signatures plus ou moins génériques, et bloque immédiatement les requêtes présentant une signature répertoriée. Ce type de filtrage offre un premier niveau de protection contre les attaques génériques connues (failles répertoriées sur les serveurs et technologies Web, virus et vers, injection SQL, Cross Site Scripting…). Une liste noire « générique » bloque plus d’attaques non encore répertoriées mais entraînera plus de faux positifs. A l’inverse, une liste noire spécifique génère moins de faux positifs mais protège de manière plus limitée. La liste noire doit être remise à jour régulièrement.

Le modèle de sécurité positive Au lieu de chercher à détecter un nombre toujours croissant d’attaques de plus en plus sophistiquées, il est plus efficace d’avoir un modèle exhaustif de toutes les possibilités d’interactions entre les utilisateurs et l’application. Dès lors, chaque requête conforme au modèle d’une application sera autorisée, et toute autre requête est considérée comme non conforme et donc rejetée.

Le modèle de sécurité positive se base sur les mécanismes suivants :

Le suivi dynamique de sessions :

Ce mécanisme vérifie « à la volée » que l’utilisateur navigue strictement dans le cadre prévu par l’application. Chaque demande utilisateur (pages consultées, cookies, paramètres…) est ainsi validée au regard des choix lui ayant été proposés dans les pages Web envoyées précédemment par l’application. Un utilisateur ayant modifié un cookie (par exemple pour acquérir les droits d’un autre utilisateur), ou ayant demandé la consultation de pages non proposées ou encore ayant modifié des valeurs des paramètres cachés (par exemple pour modifier le prix d’un article !) verra sa requête déclarée non valide et immédiatement rejetée.

La liste blanche proactive :

Elle vérifie que l’utilisateur se conforme strictement à l’utilisation normale de l’application. Comme pour le suivi dynamique des sessions, les requêtes sont intégralement filtrées (URI demandée, type de formulaire ou de CGI, type et valeur des paramètres passés en arguments, en DATA) et seules les requêtes conformes et prévues sont autorisées. Ce mécanisme ne laisse plus de place à l’inconnu, toute requête validée étant conforme. Il s’appuie sur une phase



d’apprentissage automatisée de l’application. Il offre ainsi une protection « adaptée » et proactive à chaque application.

Un firewall applicatif doit pouvoir proposer l’ensemble de ces mécanismes. Ils sont complémentaires et permettent de s’adapter aux différents politiques de sécurité recherchées par les entreprises :

Les mécanismes de normalisation et de liste noire permettent d’appliquer dès la mise en route du firewall applicatif un premier niveau efficace de protection périmètrale à l’ensemble des applications Web de l’entreprise. Ils protègent ainsi immédiatement contre les attaques utilisant des techniques connues, les directory traversal, forceful browsing…

Le suivi dynamique de sessions offre immédiatement un niveau de protection supplémentaire très efficace qui protège instantanément contre les attaques connues et inconnues, les manipulations de sessions ou de formulaires…

La liste blanche proactive offre le plus haut niveau de protection aux applications Web. Dédiée à chacune des applications critiques des entreprises, elle les protège contre toutes les attaques connues, inconnues, utilisations anormales, et également contre les risques « internes » liés par exemple à des malveillances d’exploitants.

Le masquage applicatif Cette fonction inclut notamment la réécriture des URL, des pages d’erreurs, le masquage d’informations et de messages d’erreurs contenus dans les pages. Elle permet de prévenir la diffusion involontaire d’informations sur l’infrastructure interne (chemins d’accès, technologies, versions…) susceptibles d’aider les hackers.

Le filtrage de contenu sortant Cette fonction présente un double avantage :

Le premier consiste à prévenir la diffusion involontaire de message d’erreurs inclus dans les pages (ex « ODBC error ») susceptibles d’être sollicitées par les hackers.

Le deuxième permet de bloquer la diffusion d’informations confidentielles pour l’entreprise ou pour ses clients telles que des numéros de comptes, de cartes bancaires, de téléphone…

3.2.3.4 L’automatisation de la sécurité La réduction des coûts de gestion des équipements et des services est un objectif prioritaire des entreprises. C’est pourquoi le firewall applicatif intègre des mécanismes de contrôle dynamiques agissant sans intervention de l’exploitant et offre un module de génération automatique de règles pour construire et mettre à jour la protection adaptée à une application.

3.2.3.5 La gestion simplifiée des architectures sécurisées L’incapacité du firewall traditionnel à bloquer les attaques au niveau applicatif a forcé les entreprises à déployer leurs applications Web dans des DMZ protégées, coupées du réseau interne. Ces architectures entraînent des surcoûts importants pour les entreprises en termes de matériel (réplication de serveurs, de bases de données, de mécanismes de contrôle d’accès) et en termes de gestion (gestion des réplications, des ruptures de service). Le firewall applicatif propose un ensemble des fonctions permettant de simplifier les architectures sécurisées et d’accélérer les déploiements de nouvelles applications Web.

L’authentification forte des utilisateurs avec SSO Au lieu d’être réalisée sur chacune des applications, l’authentification peut être centralisée au niveau du firewall applicatif. Celui-ci offre une large gamme de possibilités d’authentification parmi lesquelles :

SSLV3 (Certificats clients X509),

RSA/SecurID,

Radius, qui donne accès notamment aux authentifications Vasco et Activcard,



User/Password (accès aux annuaires LDAP/LDAPS).

Des stratégies diverses d’authentifications doivent pouvoir être mises en œuvre, par exemple des authentifications à deux niveaux, des authentifications différentes entre l’intranet et extranet, ou encore des authentifications de bout en bout par SSL v3 avec certificats clients X509.

L’authentification utilisateur avec le chiffrement SSL de bout en bout L’authentification utilisateur peut être réalisée à la fois sur le firewall applicatif et sur le serveur cible. Les flux sont chiffrés entre les navigateurs et le firewall applicatif et rechiffrés entre le firewall et les serveurs cibles. Ces possibilités permettent de déporter les serveurs traditionnellement localisés dans la DMZ sur le réseau interne de l’entreprise et de réutiliser les chaînes applicatives internes existantes.

Le masquage applicatif et la réécriture d’URL Grâce à cette fonction, il est possible de « webifier » des applications internes sans avoir à les modifier, à changer les URL d’accès et les noms d’hôtes internes, afin par exemple de déployer très rapidement des services intranet en accès extranet.

3.2.3.6 L’Amélioration des performances des applications Web Avec la croissance du nombre des utilisateurs, le trafic Web augmente plus vite sur les réseaux d’entreprise que les capacités du réseau et des serveurs.

Fédérant tous les accès aux applications Web, le firewall applicatif permet de réduire les temps de réponse aux utilisateurs et d’augmenter les performances et la disponibilité de l’infrastructure Web. Certains firewall applicatifs intègrent dans ce but des fonctions telles que :

Le cache intelligent,

la compression « à la volée »,

la répartition de charge Web sur critères au niveau applicatif, y compris pour les flux chiffrés,

la gestion différenciée des connexions utilisateurs et serveurs,

l’accélération SSL,

la surveillance de l’état des chaînes applicatives avec basculement automatique en cas d’indisponibilité.

3.3 LE FIREWALL PERSONNEL Auteur : Gérard Péliks (EADS) [email protected]

Après authentification mutuelle des deux extrémités du tunnel, et création du tunnel chiffrant, l’utilisateur nomade accède, depuis l’extérieur, aux serveurs de son Intranet, qui lui sont autorisés, avec autant de sécurité que s’il était resté dans son Intranet.

Cela constitue toutefois un sérieux danger. Si le poste de travail nomade est attaqué par un hacker qui prend le contrôle de ce poste à distance, souvent sans que l’utilisateur qui a créé un tunnel, puisse s’apercevoir à temps de l’agression, une voie royale est offerte à l’attaquant vers les serveurs de l’Intranet, et tout le réseau privé est ainsi mis en danger.

Pour éviter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum de sécurité, équivalent à celui d’un firewall personnel. Les fonctions anti-rebond et blocage des flux entrants d’un tunnel client apportent ce niveau de sécurité.

Le blocage des flux entrants empêche toute tentative de connexion vers le poste nomade. L’anti-rebond ne permet pas de passer par le poste nomade pour emprunter un tunnel. Sans ces fonctionnalités, un tunnel offre à l’attaquant un accès direct vers les serveurs de l’Intranet, car le flux étant autorisé, aucun firewall ne s’inquiéterait de son contenu et le flux étant chiffré, aucune sonde de détection, placée en amont de la passerelle tunnel constituant l’autre bout, ne pourrait l’analyser pour réagir à une attaque.




Pour préserver l’intégrité des données sur un disque dur, il est aussi intéressant, même hors période où des tunnels sont établis entre le poste de travail et l’Intranet, de mettre en œuvre un firewall personnel qui détectera les agressions. Celles-ci sont fréquentes surtout si le poste de travail reste longtemps connecté (comme c’est le cas avec des connexions permanentes, avec le câble par exemple).

3.4 L’AUTHENTIFICATION FORTE Auteurs : [email protected] et Max de Groot (Gemplus) [email protected]

3.4.1 L’authentification et la chaîne de sécurisation La sécurisation des échanges de données sur des réseaux privées ou publics prend de plus en plus d’importance. Non pas seulement parce qu’avec l’essor de réseaux sans fil publics on trouve davantage d’endroits pour se connecter sur l’Internet, réseau ouvert et vulnérable et vecteur de nombreux virus, menaces, chevaux de Troie et autre Spam, mais aussi parce qu’en marge du succès du GSM, les fournisseurs d’accès cherchent à se faire rémunérer par l’utilisateur.

On va donc vouloir protéger les données, mais aussi le revenu.

Pour atteindre ces deux buts, il faut forcément commencer par une authentification forte, obtenue par la mise en œuvre de protocoles d’authentification bien connus, analysés et souvent même attaqués pour en tester la robustesse. A l’issue de l’authentification, le client et le serveur d’authentification partagent un secret qui peut ensuite être utilisé pour le chiffrement des données, permettant d’en garantir la confidentialité et l’intégrité. Toute personne qui intercepterait le flux ne pourrait en comprendre le contenu et aucun malfaiteur ne peut modifier des données ou utiliser la connexion d’un tiers sans posséder le secret partagé. La mise en œuvre de cette protection n’a aucun sens si, à la base, le serveur n’est pas sûr de l’authenticité de l’utilisateur et inversement.

Les mécanismes additionnels de sécurisation du Wi-Fi spécifient comment monter une protection dite robuste en se fondant sur un protocole d'authentification générique. On parle d'une chaîne de protection, associant la protection physique et logique du serveur d'authentification, les protocoles d'authentification et les données de l'identité de l'utilisateur, stockées sur son poste de travail. Le maillon le plus faible de cette chaîne est souvent l'authentification de l'utilisateur. En effet, de toute la chaîne d'authentification, seul le poste de l'utilisateur se ne trouve pas dans le domaine maîtrisé et contrôlé par l'opérateur ou dans l'Intranet contrôlé par l'entreprise. Pour simplifier la tâche de l’utilisateur qui, hors de son Intranet, est incontrôlable, des méthodes simples et rapides d’authentification ont été inventées. Cependant leur utilisation n’est sous contrôle ni de l’entreprise, ni du fournisseur de services. Le mot de passe est-il sauvegardé sur le poste de travail, fait-il partie des 79% des mots de passe aisément devinables, est-il partagé entre plusieurs individus ? Les opérateurs GSM ont bien compris la problématique. En utilisant la carte à puce pour l’authentification, ils ont dans le poste de travail (le téléphone mobile) un objet qu’ils contrôlent et qui renforce la chaîne de bout en bout.

La sécurisation de réseaux commence donc par une authentification forte, généralement obtenue par deux facteurs, c’est à dire par la présentation simultanée de quelque chose que l’on possède et quelque chose que l’on sait ou que l’on est. La carte à puce (quelque chose que l’on a), par exemple, ne devient opérationnelle qu’après présentation d’un mot de passe (quelque chose que l’on sait) ou vérification d’une empreinte digitale (quelque chose que l’on est.)

La méthode classique d’authentification par nom d’utilisateur et mot de passe est à bannir des réseaux sécurisés car elle ne met en œuvre qu’un seul des facteurs nommés ci-dessus (quelque chose que l’on sait) et le mot de passe est généralement aisément devinable (quand il n’est pas stocké sur le PC.)



Carte à puce, clé USB ou empreinte digitale combinée à un code PIN constituent un moyen d’authentification beaucoup plus sûr qu’un simple mot de passe.

3.4.2 Le rôle de la carte à puce dans l’authentification Une carte à puce est un morceau de plastique rectangulaire, plat, équipé d’un microprocesseur avec mémoire, capable de dialoguer en direct avec le monde extérieur, tel qu’un PC. Son point fort se trouve dans la protection physique et logique du composant, sa mémoire et les données qu’elle contient d’une part, et la façon dont une carte est produite, personnalisée, distribuée et activée d’autre part.

Ainsi, le composant microélectronique est conçu en vue de la protection des données sensibles. Par exemple, la mémoire incluse se trouve en règle générale non pas en surface, mais au cœur du silicium, pour éviter l’espionnage par balayage d’électrons. Des filtres électriques protègent son fonctionnement en dehors de la marge normalement prévue, pour éviter des attaques se fondant sur les limites de fonctionnement.

Le système d’exploitation des cartes fournit une protection logique, évitant l’accès non autorisé aux données et permet des calculs cryptographiques sur des données secrètes qui ne seront jamais divulguées à l’extérieur. Les systèmes de développement modernes comme Java, sont disponibles sur la carte à puce et fournissent une plate-forme ouverte sur laquelle une large population de développeurs de services peuvent intégrer leurs applications, sans interférer sur les données d’autres applications.

Les phases de la vie d’une carte, les processus de fabrication, d’initialisation et de personnalisation, de distribution et d’activation sont protégés, documentés, audités et accrédités par des organismes veillant sur la sécurité des données. Il existe d’ailleurs des processus d’évaluation de sécurité de cartes à puce basés sur les Critères Communes et les cartes et leurs systèmes d’exploitation sont certifié à des niveaux de plus en plus élevés.

La carte à puce possède donc des atouts sérieux pour participer à l’authentification forte : une fois son porteur authentifié – par code d’identification personnel (PIN) ou par comparaison des minuties de ses empreintes digitales ou de la structure de son iris avec des données stockées dans la carte – la carte permet d’exécuter tout ou partie du protocole d’authentification en utilisant les données secrètes stockées dans sa mémoire indépendamment du niveau de sécurité du poste de travail. Elle prouve ainsi à la fois l’identité de son porteur (qui connaît le code PIN) et sa propre connaissance de données justificatives, sans pour autant divulguer des données sensibles.

Un autre avantage de la carte à puce est sa portabilité. Un utilisateur porte les données justificatives de son identité sur sa carte d’identité électronique qui est en permanence sur lui. Il peut utiliser n’importe quel ordinateur pour se connecter au réseau ou service souhaité, sans laisser traces de son authentification, contrairement à un nom d’utilisateur et mot de passe, par exemple, qui peuvent être ‘gracieusement’ sauvegardés par le système d’exploitation de l’ordinateur pour une utilisation future.

Par ailleurs, l’utilisateur n’a pas à divulguer de mot de passe à un tiers, et le secret partagé avec le serveur d’authentification lui est inconnu et stocké sur sa carte.

3.4.3 Exemples actuels d’utilisation de carte à puce L’exemple le plus connu de l’utilisation de la carte à puce pour l’authentification est la téléphonie mobile. La carte SIM contenant une clé secrète effectue un calcul cryptographique avec cette clé et un numéro aléatoire envoyé par le réseau. Le résultat est comparé par le réseau avec un résultat attendu pour vérifier si la carte est authentique. Ce processus étant protégé par la saisie du code PIN de l’utilisateur, il permet aussi de confirmer l’identification de l’utilisateur.

Désirant utiliser la carte SIM aussi pour les réseaux sans fil publics qu’ils opèrent, les opérateurs de téléphone mobile ont spécifié un protocole d’authentification s’insérant dans les spécifications Wi-Fi, mettant en œuvre la SIM. Ainsi, au fur et à mesure du déploiement des nouveaux réseaux, les systèmes basés sur nom/mot de passe seront remplacés par des systèmes d’authentification forte, basé sur la SIM.



A l’intérieur des téléphones portables des abonnés GSM, la carte à puce peut être réutilisée pour des applications nouvelles. Ainsi, le poste de travail peut utiliser des applications localisées sur cette carte SIM, sans que cela ne nécessite le branchement sur le PC d’un lecteur de carte. Le téléphone mobile, dialoguant avec le PC par une connexion Bluetooth, remplit cette fonction. Ainsi, le téléphone portable devient, grâce à la carte à puce, un dispositif d’authentification multimodale.

Téléphone portable devenant un dispositif d’authentification en donnant accès à sa carte à puce via un lien Bluetooth, permettant au

poste de travail d’accéder au réseau.

Un autre exemple est l’authentification forte des réseaux virtuels privés à base de clé publique, utilisant les cartes à puce. L’architecture système de Microsoft Windows permet d’ores et déjà l’utilisation des cartes à puce comme fournisseur de service cryptographique pour éviter de devoir mémoriser la clé privée dans la mémoire du poste de travail. En fait, la carte contient la clé privée dans une zone sécurisée et l’utilise seulement pour des services bien définis. La carte avec la clé peut être distribuée facilement et de façon contrôlée en évitant toute divulgation inopinée de la clé privée.

3.4.4 Conclusion L’authentification forte est un maillon essentiel de la chaîne de sécurité des échanges distants pour les entreprise. La carte à puce est un vecteur de confiance important dans l’authentification et la sécurisation des réseaux, auxquelles opérateurs de téléphonie mobile GSM ou 3G font confiance depuis plus d’une décennie. Elle permet de plus la mise en œuvre simple d’authentifications fortes pour divers contextes juxtaposés. De ce fait, elle constitue une option technique incontournable pour l’authentification forte dans le cadre des réseaux d’entreprises.

3.5 LE CHIFFREMENT ET LA CRYPTOGRAPHIE Auteurs : Hervé Chappe (Alcatel) [email protected] et Anne Coat (AQL) [email protected]

3.5.1 Introduction Le cryptage est un des moyens utilisés pour assurer la confidentialité de l’information. Le cryptage peut être utilisé au niveau du stockage de l’information (fichier, disque) ou de sa transmission (paquets de données).

Le cryptage, et son opération réciproque le décryptage, sont des transformations de nature mathématique pratiquées sur les données.

Dans tous les cas on considère :





une source ou émetteur, qui crypte l’information,

une destination ou récepteur, qui décrypte l’information.

Emetteur et récepteur peuvent être la même entité (cryptage pour stockage) ou deux entités distinctes (cryptage pour transmission).

Ces opérations se composent de deux éléments :

Une règle opératoire, ou algorithme,

Un secret partagé entre l’émetteur et le récepteur, ou clé(s).

Une clé est une chaîne de caractères alphanumériques. La longueur (nombre de caractères) des clés et leur mode de distribution entre émetteur et récepteur conditionnent en grande partie la confidentialité de la solution.

Il y a deux types d’algorithmes :

les algorithmes dits « symétriques », qui utilisent une clé unique pour le cryptage et le décryptage,

les algorithmes dits « asymétriques », qui utilisent une paire de clés, l’une pour le cryptage et l’autre pour le décryptage. Ces algorithmes sont également utilisés pour la signature électronique permettant l’authentification de l’émetteur d’une information.

3.5.2 Cryptage symétrique Les algorithmes symétriques sont simples à implémenter et efficaces en rapidité de calcul, mais ils souffrent, et particulier dans le cas de la transmission, de deux défauts majeurs :

La communication de la clé entre l’émetteur et le récepteur doit se faire « hors ligne », préalablement à la transmission, ce qui induit un risque de compromission de la clé lors de cette communication,

Dans le cas de communications cryptées entre les membres d’un groupe, il faut une clé par paire de membres dans le groupe, et le nombre de clés nécessaires croît exponentiellement avec la taille du groupe.

Pour pallier le premier défaut, des procédés ont été introduits permettant aux deux extrémités de générer simultanément la clé, sans qu’elle soit jamais transmise dans son intégralité (le plus courant est le protocole de Diffie-Hellman).

Le cryptage asymétrique remédie le second défaut, et, en outre permet d’autres fonctionnalités (signature électronique).

3.5.3 Cryptage asymétrique Les algorithmes asymétriques mettent en œuvre une paire de clés, liées entre elles par une relation mathématique.

L’une sert au cryptage (clé dite "secrète", ou "privée"), l’autre au décryptage (clé dite "publique").

Le récepteur met sa clé de cryptage à la disposition de tous les émetteurs qui veulent lui envoyer des messages cryptés. C'est pour cette raison que cette première clé est appelée "clé publique". Lui seul pourra décrypter les messages reçus, avec sa clé de décryptage qu’il aura gardé confidentielle. C'est pour cette raison que cette seconde clé est appelée "clé secrète".

Chaque membre du groupe est doté d’une telle paire de clés.

Les données chiffrées par la clé "secrète" ne peuvent être déchiffrées que par la clé "publique", et réciproquement.

Seule la clé privée est utilisée pour signer des données, et permettre de vérifier :

l'intégrité des données transférées,

l'identité de l'émetteur



Le Schéma de Principe de la signature numérique est proposé ci-dessous :

Cléprivée

Clépublique

SignatureRSA RSA-1

Opérationirréversible

Hash Hash

Les algorithmes asymétriques ont plusieurs avantages :

la clé secrète n’est jamais partagée, éliminant tout risque de compromission,

Le nombre de clés croît linéairement avec la taille du groupe, ce qui est beaucoup plus facilement gérable,

Grâce à une propriété mathématique de ces algorithmes, le cryptage asymétrique permet la signature électronique.

L'algorithme de génération de la clé publique à partir de la clé secrète fait que : • Deux clés publiques distinctes ne peuvent être associées à la même clé secrète, • La clé secrète ne peut être découverte à partir de la clé publique.

3.5.4 La signature électronique Grâce aux propriétés mathématiques des algorithmes asymétriques, la clé publique peut permettre de signer des transmissions. Pour comprendre le principe de cette signature électronique, il faut d’abord savoir que, dans les algorithmes asymétriques, les paires de clés jouent en fait un rôle symétrique. En effet, si on crypte avec la clé publique, on décrypte avec la clé secrète; mais il est également possible de crypter avec la clé secrète, et on décrypte alors avec la clé publique.

Il faut également introduire le concept de "hash" : c'est un procédé mathématique permettant de générer une chaîne de caractères de longueur fixe et en principe courte (hash) à partir d'un message (texte…) de longueur variable et potentiellement long. Ce procédé est tel que deux messages différents produisent avec une quasi-certitude des hashs distincts (ex. algorithme SHA-…). Ce hash est utilisé pour générer la signature du message via un algorithme réversible de signature (ex. algorithme RSA, …).

Le principe de la signature électronique est alors expliqué dans le schéma ci-dessous, où :

M est le message envoyé par Alfred à Bob,

KS la clé secrète,

KP la clé publique, générée à partir de la clé privée KS via un algorithme irréversible,

M.S la signature du message, générée à partir du hash du message, transformé par l'algorithme de signature.



A.KP

A.ID

M

M.S

A.KS

Création de la Signature

Message

Clé privée

Clépublique

Alfred : Emetteur etSignataire

Bob : Destinataire etVérifieur

?

La signature se déroule alors en deux étapes :

La première étape consiste, pour l’émetteur, à fabriquer le hash de son message,

La seconde étape consiste, toujours pour l’émetteur, à signer ce hash en le cryptant avec sa clé secrète. Le résultat est appelé « signature Numérique », et est transmis en même temps que le document lui-même.

Le récepteur qui reçoit le message et la signature peut s'interroger sur l'intégrité du message et sur l'identité de l'émetteur.

Grâce à la clé publique de l’émetteur, qu’il se sera procurée préalablement, il peut [schéma ci-dessus] :

décrypter le hash reçu,

élaborer sa propre version du hash de l’information reçue,

comparer les deux versions du hash. Si elles coïncident, le récepteur est quasiment certain que : • le message reçu est intègre par rapport au message d'origine, • la clé publique est, elle aussi, intègre, • le message a bien été envoyé par l’émetteur propriétaire de la clé publique,

Mais la question de l'association de la clé publique avec l'identité de l'émetteur du message reste ouverte : cette question sera traitée dans la section (PKI).

3.5.5 Combinaison des techniques Il est évidemment possible de combiner les techniques de cryptage symétrique, de cryptage asymétrique et de signature électronique.

Par exemple, un protocole de transmission peut utiliser :

le cryptage symétrique sur l’information elle-même pour sa performance, spécialement dans le cas de transmissions à haute vitesse,

et le cryptage asymétrique pour sécuriser l’initialisation d’une session de communication (établissement de la clé symétrique).

Les algorithmes asymétriques sont plus complexes à implémenter que les algorithmes symétriques. A longueur de clé identique, les temps de calcul sont donc plus longs.



De plus, la gestion des clés publique et secrète des utilisateurs s’avère d’autant plus lourde que l’on veut garantir un niveau de sécurité élevé.

Au-delà de la notion d'algorithmes, cette gestion de clés (Key Management System), est devenue une industrie à part entière : la PKI (Public Key Infrastructure), ou ICP (Infrastructure de Clés Publiques) avec des méthodes, des technologies, et jusqu’à une législation particulières.

3.6 LA STEGANOGRAPHIE Auteur : Alexandre le Faucheur ([email protected])

3.6.1 Le but de la stéganographie La technique de la stéganographie, considérée parfois à tord comme le chiffrement du pauvre, est très utilisée selon la CIA, dans les vidéos et les sonos de Ben Laden ou par le cartel de medellin.

Du grec, Στεγανος (chiffrement), la stéganographie est une technique de dissimulation d’un secret dans un message en clair. Alors que le chiffrement assure la confidentialité, l’intégrité et l’authenticité d’un message, il attire aussi immanquablement l’attention des hackers. Un message caché dans un message en clair (texte, image, son, vidéo) peut par contre transiter sans éveiller les convoitises, ce qui rend la stéganographie redoutable.

La stéganographie est une technique de dissimulation de l’information, elle peut s’employer facilement avec les systèmes numériques. Le principe de fonctionnement est de cacher des données dans un fichier informatique « classique » (ex : Fichier sons, images, …) pour qu’il soit difficile pour une personne non autorisée de retrouver l’information. La stéganographie n’est pas une technique de chiffrement, elle se sert d’un document comme un medium de communication.

Le but de la stéganographie est de rendre le plus discret possible l’échange d’information, par conséquent le message à faire transmettre ne peut pas être plus important que le medium qui le contient car cela serait trop facilement détectable par des outils statistiques d’analyse de documents. En effet, aujourd’hui avec les progrès de la cryptographie on sait déterminer par un certain nombre d’outils si un fichier est de type texte, son, image ou autre. Il ne faut pas donc changer l’aspect premier du medium. On en conclut donc que le fichier à dissimuler sera largement plus petit que le medium.

3.6.2 Dissimuler l’information dans une image Nous allons expliquer les techniques couramment utilisées et faciles à mettre en œuvre.

Nous savons déjà qu’il faut un gros medium pour un petit message à faire transmettre, la première idée est de prendre une image ou un fichier audio, car ce sont des gros fichiers dans lesquels on pourra donc cacher de l’information.

Attention cela n’est malheureusement pas vrai pour tous les formats de fichiers images ou sons, en effet aujourd’hui le format image le plus usuel est le JPG qui compresse de façon destructif une image originelle de type BMP. Autrement dit un fichier JPG est un fichier BMP de plus petite taille (en octets, pas en dimension) car l’œil humain ne remarquera pas la perte d’information par la compression destructive. Il en va de même pour le format MP3 par rapport au format WAV, etc…

La taille des fichiers JPG est moindre et l’altération de bits codant l’image à un impact très significatif sur le rendu de l’image, ce qui signifie qu’on le remarquera aisément l’utilisation la stéganographie comme technique de codage.

Prenons un exemple :

Nous allons considérer un cas simple avec l’utilisation comme médium d’un fichier BMP et un fichier de données que nous allons incruster dans ce médium.

Nous allons altérer des bits de poids faibles (sans grande incidence sur la qualité de l’image) qui permettent de construire une image source (le médium) avec les bits du fichier data que nous souhaitons cacher.




Une image informatique BMP classique (= 24 bits) est divisée en 3 couleurs primaires : Rouge, Vert et Bleu. Chacune de ces couleurs est codée sur 8 bits (1 octet) soit un total de couleurs d’environ : 2^8^3 = 256^3 = 16777216 couleurs (l’œil distingue environ une vingtaine de nuances).

Pour chaque pixel, sur les 8 bits, de chacune des trois couleur, du fichier médium, 1 bit sera remplacé pour encoder le fichier de données (le bit de poids faible). C’est pourquoi la taille maximale du fichier à cacher ne peut excéder 1/8 de la taille du médium, ce qui garantit que seulement 12,5 % du fichier sera altéré au maximum ; les règles énoncées précédemment sont donc respectées.

3.6.3 Dissimuler l’information dans un texte On peut appliquer le procédé de la stéganographie à tout fichier de taille importante et avec un format non compressé, cependant cette technique n’est pas autosuffisante pour assurer la confidentialité. La stéganographie ne s’emploie pas uniquement sur des fichiers image ou son, mais avec n’importe quel médium comme du texte. Citons par exemple le poème de George Sand à Alfred de Musset :

Je suis très émue de vous dire que j'ai bien compris, l'autre jour, que vous avez toujours une envie folle de me faire danser. Je garde un souvenir de votre baiser et je voudrais que ce soit là une preuve que je puisse être aimée par vous. Je suis prête à vous montrer mon Affection toute désintéressée et sans calcul. Si vous voulez me voir ainsi dévoiler, sans aucun artifice mon âme toute nue, daignez donc me faire une visite Et nous causerons en amis et en chemin. Je vous prouverai que je suis la femme sincère capable de vous offrir l'affection la plus profonde et la plus étroite Amitié, en un mot, la meilleure amie que vous puissiez rêver. Puisque votre âme est libre, alors que l'abandon où je vis est bien long, bien dur et bien souvent pénible, ami très cher, j'ai le coeur gros, accourez vite et venez me le faire oublier. À l'amour, je veux me sou- mettre.

Pour déchiffrer le message codé , il faut lire une ligne sur deux.

Dans la même veine, Alfred de Musset répondit à George Sand avec un poème qui contenait sa propre méthode de déchiffrement :

Quand je vous jure, hélas, un éternel hommage Voulez-vous qu'un instant je change de langage ? Que ne puis-je, avec vous, goûter le vrai bonheur Je vous aime, ô ma belle, et ma plume en délire Couche sur le papier ce que je n'ose dire Avec soin, de mes vers, lisez le premier mot Vous saurez quel remède apporter à mes maux.

Et sans se démonter et avec la même clé de déchiffrement, George Sand répondit :

Cette grande faveur que votre ardeur réclame Nuit peut-être à l'honneur mais répond à ma flamme.

3.7 LES VPN Auteur : Gérard Péliks (EADS) [email protected]

Un VPN est un réseau privé virtuel à recouvrement construit au-dessus de réseaux de transit IP.

L’entreprise étendue et les communautés sont de plus en plus interconnectées via les réseaux, pour des relations entre des sites distants,




avec des travailleurs à domicile, avec des clients, des fournisseurs, des partenaires, etc.

Les différents types de VPN identifiés pour répondre aux besoins des utilisateurs sont : • les VPN de type Intranet pour les communications entre sites d’une entreprise, • les VPN de type accès distant pour les utilisateurs qui veulent se connecter à distance au

moyen de postes de travail fixes ou mobiles à leur entreprise via un réseau public, filaire ou sans fil,

• les VPN de type Extranet pour des communications entre une entreprise et ses partenaires, ses fournisseurs et ses clients.

Les VPN sont utilisés également pour réaliser : • des VPN administratifs, pour la télé-maintenance de machines ou de services Web • des VPN voix qui transportent et sécurisent la voix sur des réseaux convergés.

Un réseau privé virtuel est donc un tunnel qui s’établit sur un réseau entre deux passerelles. Après authentification mutuelle entre ces deux passerelles, et échange d’une clé secrète de chiffrement, les transactions sont chiffrées par la passerelle placée en entrée du tunnel puis déchiffrées par l’autre passerelle placée en sortie, si la politique de chiffrement l’impose. Entre les deux passerelles peut se trouver un réseau non protégé, voire un réseau public comme l’Internet. Les paquets IP qui passent dans le réseau non protégé ne pouvant y être déchiffrés, l’utilisateur peut considérer, durant le temps de passage des paquets entre les deux passerelles, que ses données ne pourront être lues par des personnes non autorisées. Donc le temps de l’établissement du tunnel, le réseau non protégé appartient virtuellement à cet utilisateur.

Ainsi un Réseau Privé Virtuel assure plusieurs fonctions :



• L’authentification des deux extrémités du tunnel, pour s’assurer que les paquets arrivent bien à la bonne destination, et partent bien de la bonne origine.

• La confidentialité pour que les paquets ne puissent être lus durant leur transfert sur le réseau non sécurisé.

• L’intégrité pour éviter que les paquets puissent être altérés durant leur transfert. • La non-répudiation qui permet d’établir que les paquets reçus ont bien été envoyés.

3.7.1 Les VPN IPSec, Auteur : Michel Habert (Netcelo) [email protected]

Il y a une trentaine d’années, quand fut conçu le protocole IP, autour duquel l’Internet est bâti, il n’était pas question de réseaux sécurisés. Bien au contraire, le but de l’Internet était de tout partager, dans un monde essentiellement universitaire. Il y a une dizaine d’années, les entreprises purent enfin utiliser ce média de communication. Apparurent alors la nécessité d’assurer un adressage plus étendu, et le besoin de faire évoluer l’état du protocole, alors IPv4, vers un nouveau protocole IP mieux adapté au monde commercial avec en particulier des fonctions d’authentification et de chiffrement. l’IPv6, nouvelle norme des réseaux IP a été défini à cet effet.

Mais le passage de l’IPv4 à l’IPv6 impliquant d’importantes modifications dans les infrastructures réseaux existantes, - on attend aujourd’hui la généralisation de l’IPv6 vers l’année 2005 - l’IETF (l’Internet Engineering Task Force) proposa, en attendant, des extensions au protocole IPv4, aujourd’hui décrites dans les RFC 2401 à 2409. C’est ainsi que l’IPSec fut défini, en natif dans l’IPv6 et ajouté à l’IPv4.

L’IPSec permet de créer un réseau privé virtuel entre un poste de travail et un serveur d’application (mode transport) ou entre deux passerelles réseau (mode tunnel). Pour chacun de ces deux modes, l’IPSec ajoute des champs supplémentaires aux paquets IP.

3.7.1.1 Qu’est ce qu’ IPSec ? IPSec est un ensemble de protocoles, développés par l’IETF (Internet Engineering Task Force) dont le but est de sécuriser le paquet IP et de réaliser des VPN. IPSec est indépendant des réseaux et des applications, il supporte tous les services IP (exemple HTTP, FTP, SNMP,..).

Un protocole de sécurité Les services de sécurité offerts sont l’intégrité en mode non connecté, l’authentification de l’origine des données, la protection contre le rejeu et la confidentialité (confidentialité des données et protection partielle contre l’analyse du trafic). Ces services sont fournis au niveau de la couche IP, offrant donc une protection pour le protocole IP et tous les protocoles de niveau supérieur.

IPSec supporte plusieurs algorithmes de chiffrement (DES, 3DES, AES) et il est conçu pour supporter d’autres protocoles de chiffrement.

L’intégrité des données est obtenue de deux manières: un “message digest 5 “de 128-bits (MD5)-HMAC ou un algorithme de hachage sécurisé de 160-bits (SHA)-HMAC.

Pour assurer la confidentialité des données et l’authentification de leur origine, IPSec utilise deux protocoles : AH et ESP.

Le protocole AH Le protocole AH (Authentication Header) assure l’intégrité des données en mode non connecté, l’authentification de l’origine des données et, de façon optionnelle, la protection contre le rejeu en ajoutant un bloc de données supplémentaire au paquet. AH est un protocole très peu utilisé par rapport au protocole ESP.

Le protocole ESP Le protocole ESP (Encapsulating Security Payload) peut assurer, au choix, un ou plusieurs des services suivants : • confidentialité (confidentialité des données et protection partielle contre l’analyse du trafic

si l’on utilise le mode tunnel),




• intégrité des données en mode non connecté et authentification de l’origine des données, • protection contre le rejeu. • En mode transport, ESP traite la partie des paquets IP réservée aux données (mode

transport), en mode tunnel, ESP traite l’ensemble du paquet, données et adresses.

Un protocole d’administration IKE IPSec inclut également un protocole administratif de gestion de clés : IKE (développé également par l’IETF). IKE est un protocole d’administration « hors bande » et de gestion de clés servant à une authentification forte et à un chiffrement des données. IKE comprend quatre modes : le mode principal (Main mode), le mode agressif (Aggressive Mode), le mode rapide (Quick mode) et le mode nouveau groupe (New Group Mode).

IKE est utilisé pour négocier, sous la forme d’associations de sécurité (SA) les paramètres relatifs à IPSec. Préalablement à l’établissement d’un tunnel, le module IKE du correspondant initiateur établit avec le module IKE du correspondant récepteur une association de sécurité qui va permettre de réaliser cette négociation.

IKE procède en deux étapes appelées phase 1 et phase 2. Dans la première phase, il met en place les paramètres de sécurité pour protéger ses propres échanges dans la SA ; dans la deuxième phase il met en place les paramètres de sécurité pour protéger le trafic IPSec.

Par mesure de sécurité, les phases 1 et 2 sont réactivées périodiquement pour renégocier les clés.

Un protocole de VPN IPSec est également un protocole VPN au même titre que d’autres protocoles VPN IP: PPTP, L2TP, GRE ; il supporte un mode tunnel qui consiste à encapsuler le paquet IP de l’utilisateur dans un paquet IP « le tunnel » à qui sont appliquées les fonctions de sécurité IPSec.

Un protocole pour traverser les appareils qui font du NAT (translation d’adresses)

Entre deux correspondants VPN, il peut y avoir des équipements qui réalisent la fonction de translation d’adresse NAT/PAT, par exemple des firewalls.

Ces équipements modifient les paquets IP lors de la translation d’adresse et de port. Ceci pose un problème à IPSec lors du contrôle d’intégrité du paquet qui se trouve modifié.

Pour résoudre ce problème, le protocole NAT-traversal a été développé par l’IETF. Ce protocole implémenté dans chaque correspondant VPN, encapsule le paquet IPSec dans un protocole applicatif (UDP ou TCP) ce qui préserve le paquet IPSec de modifications lors de la traversée d’un équipement NAT.

Les options IPSec/IKE Les options sont nombreuses : le mode transport, le mode tunnel, l’intégrité et la confidentialité des données sont optionnelles, il y a plusieurs modes d’authentification, il y a un mode manuel qui



n’oblige pas de disposer d’IKE, IKE a quatre modes, on peut sélectionner le protocole de chiffrement, etc.

Les raisons de ces nombreuses options sont : • permettre l’implémentation d’IPSec sur des matériels d’entrée de gamme, • fournir un niveau de service adapté aux besoins de l’utilisateur.

La configuration d’IPSec Le paramétrage d’IPSec que ce soit pour choisir les options ou définir les options fait l’objet d’une politique de sécurité. Cette politique se traduit par des fichiers de configuration cohérents qui doivent être enregistrés chez les correspondants VPN.

Un protocole très utilisé IPSec a été au départ conçu pour le protocole IPV6. Une implémentation IPV6 doit obligatoirement comporter IPSec. Cependant bien qu’il soit optionnel pour une implémentation IPV4, la plupart des équipements de réseau et les systèmes supportent aujourd’hui IPSec.

Un protocole de sécurité à part entière IPSec est également utilisé pour sécuriser des protocoles VPN comme PPTP, L2TP, GRE. Dans ce cas IPSec est utilisé en mode transport.

Les performances IPSec IPSec/IKE a un coût en terme de performances dû principalement :

• A la latence induite par les trames de traitement et les échanges IKE, • Au nombre d’octets supplémentaires dans les paquets sécurisés par IPSec, • Au temps de traitement des paquets IPSec par les correspondants VPN hors chiffrement, • Au temps de chiffrement.

Ce coût n’est aujourd’hui pas rédhibitoire pour des implémentations d’IPSec /IKE sur des appareils sans fil à faible puissance comme des PDAs. Par ailleurs l’augmentation de la bande passante des réseaux de transit et la puissance des machines sont des facteurs qui vont minimiser de plus en plus ce coût.

Des améliorations ont toutefois été apportées pour améliorer les performances IPSec/IKE : • introduction de nouveaux algorithmes comme AES, et de type Elliptic Curve Cryptography

(ECC) moins coûteux en traitements, • En compressant les données, • En faisant effectuer le chiffrement par du matériel, • En utilisant des techniques de hachage pour parcourir les tables de contexte IPSec dans

les correspondants VPN.

Les évolutions d’IPSec L’IETF travaille à améliorer IPSec. Les travaux récents portent sur :

• Le protocole NAT-traversal, • IKE V2 qui permet à un correspondant de travailler face à plusieurs autres correspondants

en tant qu’initiateur ou récepteur aussi bien en mode symétrique (peer-to-peer) que client/serveur.

3.7.1.2 Caractéristiques d’un VPN IPSec Un VPN IPSec utilise IPSec à deux niveaux :

• pour réaliser un VPN qui interconnecte des correspondants par des tunnels, • pour la sécurité des tunnels.



Les correspondants Les correspondants VPN sont soit des équipements intermédiaires (passerelles) qui desservent plusieurs machines, soit des logiciels intégrés à des machines (stations, serveurs).

Les tunnels sont établis entre des correspondants. Lorsqu’un correspondant VPN est installé sur un site client, le terme de CPE (Customer Premise Equipment) est utilisé, par opposition à un correspondant VPN placé dans une infrastructure de réseau opérateur (exemple concentrateur de collecte VPN IPSec pour un réseau MPLS).

Réseau detransit

Réseau detransit

Correspondants VPN

tunnel

Réseau detransit

Réseau detransit

Correspondants VPN

tunnel

Réseau detransit

Réseau detransit

Correspondants VPN

tunnel

Réseau detransit

Réseau detransit

Correspondants VPN

tunnel

Réseau detransit

Réseau detransit

Correspondants VPN

tunnel

Réseau detransit

Réseau detransit

Correspondants VPN

tunnel

Les tunnels Un tunnel est un canal bi-directionnel établi entre deux correspondants. Un tunnel peut multiplexer plusieurs communications IP.

La réalité d’un tunnel dans le réseau de transit est un paquet IP qui encapsule un paquet utilisateur et qui comprend des octets supplémentaires dus au protocole IPSec utilisé (protocoles AH, ESP).

Exemple application du protocole ESP en mode tunnel à un paquet IP

Avant application ESP

Après application ESP


Après application ESP


Après application ESP L’adressage du tunnel

Chaque extrémité d’un tunnel a dans le cas le plus simple une adresse IP dans l’espace d’adressage du réseau de transit. Dans des situations plus compliquées où des appareils qui réalisent la fonction NAT sont placés entre le réseau de transit et le correspondant VPN il y a



des redirections de paquets pour qu’un paquet du tunnel transporté sur le réseau de transit arrive à l’extrémité du tunnel chez le correspondant destination.

La sécurité du tunnel

IPSec sécurise le paquet IP transmis dans un tunnel, cette sécurité est robuste et si les correspondants sont des CPEs, le protocole IPSec assure une sécurité permettant d’utiliser tout type de réseau de transit : WLAN, Internet, …

Chaque extrémité d’un tunnel est associée à une zone représentée par un espace d’adressage interne qui est desservi par le tunnel. Cette technique peut être utilisée à différentes fins : créer des zones (zonage) ou réaliser du partage de charge en associant les tunnels à différents correspondants sur un site.

L’adressage d’un VPN Quand un paquet IPSec a été traité par un correspondant récepteur, il n’est plus encapsulé et retrouve son aspect d’origine avant son entrée dans le tunnel côté correspondant émetteur. Ceci signifie qu’à l’intérieur d’un VPN, un adressage interne est utilisé. Un VPN IPSec se comporte comme un commutateur interne qui fait passer les paquets d’un sous réseau interne à un autre sous réseau interne. L’adressage de tous les participants d’un VPN doit être cohérent comme sur un réseau local comprenant plusieurs sous-réseaux. On utilisera les recommandations du RFC 1918 pour établir un plan d’adressage cohérent d’un VPN.

La topologie des VPN Les VPN peuvent avoir différentes topologies : maillés, en étoile ou hub-and-spoke. Les VPN hub-and-spoke permettent à deux sites d’extrémité de communiquer via un routage par le site central.

Maillé En étoile Hub-and-spokeMaillé En étoile Hub-and-spoke Les types de VPN

Les VPN ont été classifiés à l’origine en VPN site-à-site (symétriques) et VPN accès distants (client/serveur). Cette typologie devrait s’estomper avec la généralisation du mode symétrique (peer-to-peer) applicable dès aujourd’hui à des postes clients.

L’administration d’un VPN IPSec Administrer un VPN IPSec signifie administrer un réseau et la sécurité de ce réseau. C’est administrer un ensemble de correspondants VPN distribués.

Une administration centralisée basée sur des politiques est nécessaire pour tirer partie de la méthode de configuration d’un correspondant VPN (basée sur des politiques) et pour assurer une cohérence entre les configurations des correspondants amenés à communiquer.

Par rapport à une administration de réseau classique, la dimension sécurité est importante. Par exemple, la gestion de certificats pour les correspondants VPN nécessite les services d’une PKI.

Le rôle des VPN IPSec dans la sécurité Avec la généralisation de l’utilisation de réseaux de transit vulnérables comme les WLAN et Internet, IPSec devient incontournable pour sécuriser les échanges réseau. Les VPN IPSec sont utilisables aussi bien dans l’entreprise que pour les échanges de l’entreprise étendue entre différents sites, pour des accès distants et pour des échanges avec des partenaires. La sécurité VPN est complémentaire avec la sécurité qui protège le site ou le poste d’accès à internet et qui est basée



sur les techniques de firewall, de détection et de prévention d’intrusions et de contrôle de contenu (anti-virus, filtrages URL, anti-spam).

La tendance actuelle est l’apparition de nouveaux matériels et logiciels qui rassemblent la plupart de ces fonctions. Les nouvelles générations de passerelles et de routeurs vont intégrer un anti-virus en plus de la fonction IDS, firewall et VPN IPSec.

3.7.2 Le VPN-SSL ou l’accès distant sécurisé nouvelle génération Auteur : Alain Thibaud (F5 Networks) [email protected]

Les solutions de VPN-SSL offrent un accès distant qui répond à la fois aux besoins des administrateurs et des utilisateurs finaux.

Il permet aux entreprises de fournir l’accès distant sécurisé, fiable et intuitif que demandent les utilisateurs, sans les migraines et le temps passé à l'installation et à la configuration des logiciels clients, et sans devoir modifier les applications côté serveur.

3.7.2.1 Un accès réseau approprié par type d’utilisateur Le VPN ou (Réseau Privé Virtuel) SSL assurent l'accès le plus large aux utilisateurs des ressources réseau de l'entreprise. Nous pouvons regrouper les types d'utilisateurs en quatre catégories, leur offrant un accès sécurisé approprié tel que défini par l'administrateur réseau.

L'utilisateur de PC portable de l'entreprise

Egalement appelé utilisateur "de confiance", est un employé utilisant des équipements fournis et maintenus par l'entreprise. Pour ces utilisateurs, le connecteur VPN offre un accès distant à la totalité du réseau sans aucune modification aux applications, que ce soit côté serveur ou côté client. Cette solution apporte aux administrateurs la possibilité de détecter les virus et de mettre en œuvre les antivirus et firewall standards.

L'utilisateur de kiosques ou d'ordinateur domestique

Est un employé qui nécessite un accès aux ressources de l'entreprise depuis un dispositif qui n'est pas fourni et maintenu par l'entreprise (également qualifié de dispositif "non éprouvés"). Pour ces utilisateurs, les adaptateurs VPN-SSL proposent l'accès à une large gamme d'applications et ressources du réseau, depuis le partage de fichiers jusqu'aux applications mainframe. Le système VPN-SSL masque l'identité des ressources réseau via un mapping de l'URL et élimine les données sensibles, laissées derrière par le navigateur et la session de l'application.

L'utilisateur partenaire

Est un non employé utilisant du matériel fourni et maintenu par une autre entreprise, avec des normes inconnues. Il est également qualifié de "non éprouvé". L'utilisateur du partenaire commercial nécessite généralement l'accès à des ressources limitées afin de réaliser des partages de fichiers ou d'accéder à l'extranet. Le dispositif VPN permet aux administrateurs d'offrir à ces utilisateurs un accès limité et approprié aux applications et sites de l'extranet via l'adaptateur Web. Le VPN-SSL offre une sécurité au niveau des couches applicatives et peut protéger contre les attaques des applications telles que les attaques de scripts à travers le site, directement sur les serveurs Web internes.

L'utilisateur de dispositif mobile

Est un employé qui a besoin d'accéder au réseau depuis un dispositif mobile personnel. Pour les utilisateurs de Palm® OS, PocketPC, WAP et de téléphones iMode, le VPN-SSL permet aux utilisateurs mobiles d'envoyer et recevoir des messages, de télécharger des attachements et d'attacher des fichiers du LAN aux e-mails.

3.7.2.2 Les fonctions de sécurité du VPN-SSL Les administrateurs trouvent souvent difficile de supporter les systèmes d'accès distants. Le haut niveau de maintenance requis pour administrer les groupes d'utilisateurs et déployer les mises à jour, tout en maintenant la sécurité du réseau et l'accès des utilisateurs, est vraiment complexe. Les




solutions anciennes offraient des possibilité d'authentification limitées pour garder la trace des utilisateurs du réseau ou pour donner des indications précieuses afin de régler les problèmes lorsqu'ils surviennent.

Voici, quelques exemples de fonctions de sécurité présentes dans une appliance de VPN-SSL :

Contrôle granulaire.

Les administrateurs disposent d'un contrôle rapide et granulaire sur leurs ressources réseau. Il supporte les règles autorisant l'accès aux applications en fonction du dispositif d'affichage utilisé pour l'accès distant.

Authentification stricte de l'utilisateur.

Par défaut, les utilisateurs sont authentifiés vis à vis d'une base de données interne au système, en utilisant un mot de passe. Mais il peut également être configuré pour exploiter les méthodes d'authentification RADIUS et LDAP, l'authentification HTTP de base et par formulaires, et les serveurs de domaines Windows.

De nombreuses entreprises exigent une authentification à deux facteurs, consistant à utiliser une méthode supplémentaire, au delà du profil et du mot de passe. Ce type de solution supporte complètement l'authentification RSA SecurID® basée sur les jetons. et il propose également une version intégrée de VASCO Digipass®.

⇒ ⇒ ⇒ ⇒ ⇒ ⇒ ⇒

Internal user database RADIUS authentication VASCO DigiPass authentication LDAP authentication Initial signup on LDAP with subsequent strong internal password Windows domain authentication HTTP Form & Basic authentication

Auto login

La fonction d’auto login permet à la solution de VPN SSL de réutiliser le login /passsword fourni par l’utilisateur pour s’authentifier pour une nouvelle authentification auprès des applications de l’Entreprise auxquelles il souhaite accèder :

⇒ ⇒ ⇒ ⇒ ⇒

Web interne, Citrix, Windows Terminal server, Fichiers partagés NT, …

Double mot de passe

La mise en œuvre d’une stratégie d’authentification forte lors de la connexion sur la solution de VPN SSL nécessite l’utilisation du mot de passe pour l’authentification forte et le mot de passe statique utilisé en interne si l’utilisateur souhaite accéder aux applications avec la fonction d’auto login.

Cette solution est supportée par les solutions de VPN SSL. Il existe deux stratégies pour effectuer ce type d’authentification forte:

⇒

⇒

L’utilisateur fournit les deux mots de passe lors de son authentification sur la solution de VPN SSL, L’utilisateur fournit uniquement son mot de passe d’authentification forte pour ce connecter sur la passerelle, puis sa première authentification sur une application sera cachée par la solution VPN SSL et sera utilisée pour l’auto login aux autres applications.

Le mapping de groupe

La fonction de mapping groupe permet de récupérer en Radius, LDAP, ActivDirectory ou NTLM le groupe d’un utilisateur et le faire correspondre à un des groupes configurés sur le VPN-SSL. Cette fonctionnalité permet :



⇒

⇒

De faire correspondre un utilisateur à un profil du boîtier en utilisant la stratégie de groupe de l’Entreprise centralisée sur un serveur. De mettre en œuvre des stratégies d’authentification différentes selon le groupe de l’utilisateur.

La Gestion des autorisations

Les privilèges d'accès peuvent être attribués à des individus ou à des groupes d'utilisateurs (par exemples "Commerciaux", "Partenaires", "Informatique"). Ainsi, le VPN-SSL peut limiter les individus ou groupes à des ressources particulières. Les partenaires peuvent, par exemple, n'avoir le droit d'accéder qu'à un serveur d'extranet, tandis que les commerciaux peuvent se connecter aux e-mails, à l'intranet de l'entreprise et aux systèmes de CRM.s

3.7.2.3 Les fonctions d’audit et reporting Il fournit aux administrateurs des rapports sur les journaux de sessions et d'activations. Des rapports de synthèse regroupent l'utilisation par jour de la semaine, heure, OS accédé, durée de la session et type de fin de la session, pour une durée paramétrable par l'utilisateur. Des rapports détaillés, avec fonctions de forage, offrent un accès complet et granulaire à toutes les données sur les utilisateurs finaux.

“Pour les entreprises nécessitant un accès distant souple à leurs applications, les systèmes de VPN SSL sans client offrent une solution fiable et sécurisée. Pour une sécurité accrue, particulièrement critique lorsque les applications sont accessibles par les partenaires, les entreprises devraient évaluer les solutions offrant des possibilités de filtrage au niveau des couches applicatives telles que la prévention des attaques de scripts à travers le site et la mise en œuvre de trafic HTTP compatible RFC.”

David Thompson, Senior Research Analyst au META Group

3.7.2.4 Installation rapide, déploiement facile et évolutif Pour les administrateurs, le contrôleur élimine les coûts associés aux VPN distants traditionnels, qui nécessitent l'installation de logiciels client sur chaque dispositif et/ou des modifications aux ressources centrales accédées. Ceci simplifie considérablement les déploiements et diminue le temps de mise en œuvre. Généralement, un VPN-SSL peut être installé en quelques heures au lieu des quelques jours ou semaines que demandent les systèmes traditionnels. Il peut ajouter automatiquement des utilisateurs en authentifiant l'utilisateur auprès d'un serveur AAA et en affectant l'utilisateur à un groupe défini dans l'annuaire de l'entreprise.

3.7.2.5 Administration facile et coût de maintenance réduits Outre une installation rapide, Les VPN-SSL offrent une interface d'administration intuitive et familière, basée sur un navigateur Web. Cette interface est personnalisable afin de permettre d'ajuster l'apparence et le comportement du produit à votre intranet d'entreprise. Parce qu'il s'agit d'une solution sans client, les coûts de support sont considérablement réduits. La maintenance des systèmes clients est éliminée et il n'est pas nécessaire de modifier ou mettre à jour les ressources réseau, les dispositifs distants ou l'architecture réseau.



Description : 1. Le boîtier SSL est dans une DMZ. Les flux en provenance des utilisateurs vers la solution VPN

SSL sont gérés par un Firewall et les flux vers les applications en provenance de la passerelle VPN SSL sont gérés par un deuxième Firewall.

2. Le firewall1 filtre les accès et les flux de données en SSL en provenance des utilisateurs. 3. Le Firewall2 filtre les accès de la solution VPN SSL vers les applications de l’entreprise.

3.7.2.6 « Webifyer » ou « webification » des applications Les webifyers permettent aux utilisateurs distants à partir de leur browser d’accéder à un grand nombre d’applications et de ressources de l’entreprise qui ont ou n’ont pas d’interface Web. La solution de VPN-SSL leur fournira celle-ci.

Exemple de « webification » d’application:

Systèmes de fichiers NT ou NFS

Accès à la sa messagerie en POP3 ou IMAP4

Terminal services : Citrix, WTS ou VNC

Host Access : VTxxx , ssh, telnet, 3270, 5250

X Window Access : X11, Gnome, KDE, TWM, Openwindows

Desktop

3.7.2.7 Tunnel Applicatif ou translation de port : Solutions Client/Serveur Le Tunnel Applicatif permet de supporter les applications de type Client Server pour les ordinateurs d’utilisateurs distants. Cette solution permet de créer un tunnel sécurisé dédié uniquement à l’application utilisée. Elle permet de fournir une plus grande flexibilité pour la restriction des applications accessibles par les utilisateurs.

La passerelle VPN-SSL fournit en standard des « templates » de configuration pour les applications les plus utilisées. Mais il est possible de customiser des applications propriétaires à l’entreprise.

Fonctionnement :



⇒

⇒ ⇒ ⇒ ⇒ ⇒ ⇒

3.7.2.8 VPN-SSL ou l’accés au réseau d’entreprise La fonction d’accès au réseau d’entreprise d’une solution VPN-SSL permet d’utiliser toutes les applications au-dessus d’IP : UDP, TCP, ICMP. La passerelle VPN-SSL avec cette fonctionnalité permet de supporter tous les types d’applications au dessus d’IP, tel que la vidéo conférence, le streaming video, la voix sur IP : H323, SIP , …

Description • Le VPN SSL est similaire au VPN IPSec, il est totalement transparent • Il est permet de créer un tunnel sécurisé pour tous types d’applications au dessus d’IP :

TCP/UDP, ICMP, … • L’ordinateur de l’utilisateur aura l’attribution d’une adresse IP qui pourra être routée dans le

réseau de l’entreprise. • Aucune configuration particulière n’est nécessaire sur le poste de l’utilisateur avant la

création du VPN SSL. • Le split tunneling permet à l’administrateur de spécifier quels sont les réseaux qui seront

atteints à travers ce tunnel sinon la totalité du trafic empruntera le tunnel. • Il est possible à l’administrateur de vérifier avant l’établissement un certain nombre de

paramètres de sécurité sur le poste de l’utilisateur : Présence ou pas d’un Firewall et/ou d’un anti-virus et/ou d’un autre type d’application, Vérifier la version de ces types d’application, Template pour les différentes applications utilisées, L’IP Forwarding est dévalidé, Vérification des tables de routage, Vérification des paramètres qui doivent être valides sur le poste client Site de quarantaine si un ou plusieurs points vérifiés ne seraient pas corrects pour permettre à l’utilisateur de les corriger par une mise à jour d’une version logicielle par exemple.

• Le tunnel SSL établit une liaison PPP entre le client distant et le VPN-SSL. L’ensemble du trafic en provenance du client sera routé vers le réseau de l’entreprise.

Fonctionnement :

3.7.2.9 VPN SSL et anti-virus La solution VPN SSL doit supporter les différentes solutions d’Anti-Virus pour permettre à l’entreprise de contrôler les fichiers que l’utilisateur introduirait dans celle-ci. La passerelle VPN-SSL supporte en interne une solution d’Anti-Virus, mais les besoins de l’entreprise sont de supporter les solutions internes à celle-ci, ainsi le support du protocole ICAP permet l’interconnexion pour la décontamination des fichiers transférés entre l’utilisateur et le réseau interne avec des solution d’Anti-Virus qui intègrent ce protocole.

Les solutions d’Anti-Virus supportant ICAP sont par exemple :

Trend Micro,

Symantec,

Sophos,



…

Les solutions de VPN-SSL sont souvent présentées sous forme de boitier/serveur rackable, mais certains fournisseurs les présentent sous forme logicielle.

3.7.3 VPN IPSec ou SSL: Les critères de décision Auteur : Philippe Clost (Juniper- Netscreen) [email protected]

3.7.3.1 L’accès sécurisé Garantir un accès sécurisé aux ressources des entreprises est devenu un élément critique pour les entreprises et constitue un critère de comparaison de leur réussite. Que les utilisateurs soient sur un site éloigné ou dans leur chambre d’hôtel, ils ont besoin d’un accès facile aux ressources de leurs sociétés pour remplir leur mission et maintenir leur productivité. En plus de cela, des sociétés partenaires et des clients nécessitent de plus en plus un accès en temps réel à des ressources et des applications de l’entreprise.

Au début des années 90, peu de solutions étaient disponibles pour accéder à distance au réseau d’entreprise (site central). Ces solutions étaient excessivement chères et très peu flexibles à l’image des liaisons louées et réseaux privés. Cependant, l’explosion d’Internet et de son utilisation ont permis l’émergence des réseaux privés virtuels (VPN), solution alternative pour les réseaux d’entreprises. La plupart des solutions proposées utilisent les services reposant sur l’infrastructure de transport IP et le protocole IPSEC pour assurer une solution flexible et plus économique d’accès sécurisé.

Si les VPN IPSEC conviennent parfaitement à des liaisons de type site à site, par contre, son utilisation et leur déploiement pour les employés mobiles restent encore onéreux, voire pratiquement impossible dans le cas d’interconnexion partenaires ou de clients. Ce constat a permis l’éclosion de solutions VPN SSL, permettant aux employés mobiles, aux partenaires ainsi qu’aux clients d’offrir un moyen facile pour accéder en toute sécurité aux ressources dont ils ont besoin. Les VPN SSL et les VPN IPSEC, de manière complémentaire, permettent aux entreprises de mettre en place un accès sécurisé au réseau de l’entreprise des sites distants et des utilisateurs nomades.

Quelles sont les différences qui existent entre le VPN SSL et le VPN IPSEC et quels sont les critères qui permettent de décider quelle technologie est la mieux adaptée pour chaque type de business ?.

3.7.3.2 Les VPN de niveau 3 ou les VPN IPSEC ? Les VPN IPSEC ou les VPN de niveau 3 (couche réseaux) offrent un moyen facile, économique pour acheminer des communications entre différents sites, en gardant une connectivité et flexibilité maximales pour satisfaire les besoins accrus des utilisateurs. Ils ont été créés comme alternative plus économique que les liaisons privées et les liaisons louées pour utiliser l’infrastructure de l’Internet pour élargir le réseau privé à d’autres sites distants.

Concrètement, les VPN de niveau 3 lancent un défi : comment utiliser l’Internet (qui utilise le protocole IP et transmet les données en clair), réseau public par excellence, pour transporter du trafic sensible qui utilise moult protocoles ? Les VPN IPSEC combinent des fonctions d’encapsulation et de chiffrement pour gagner ce défi. Ils utilisent des protocoles de négociation entre pairs tels que IPSEC pour encapsuler les données transférées dans un « emballage » IP qui va transiter sur Internet.

Ces données encapsulées sont reçues par la passerelle VPN IPSEC, décryptées et routées vers le destinataire. Les flux provenant de la passerelle VPN IPSEC sont acheminés exactement comme n’importe quel flux d’utilisateur dans le LAN. Cette solution s’avère performante pour faciliter des communications régulières entre utilisateurs se trouvant sur des sites distants pour améliorer la productivité de l’entreprise au sens large.

Cependant dans certains cas, un accès aussi « large » n’est pas nécessaire. Un employé nomade, par exemple, peut juste avoir besoin de consulter ses e-mails ou récupérer certains documents de l’intranet sans avoir besoin d’un tunnel réservé qui permet l’accès à toutes les ressources du réseau. En outre, ce niveau d’accès peut introduire des risques lorsque le « point terminal » sur lequel l’utilisateur se trouve n’est pas sécurisé et facilement manipulable. S’il est facile de sécuriser des PC




sur les LAN, de telles mesures de sécurité sont difficiles et onéreuses à implémenter pour des PC mobiles dans des réseaux qui ne sont pas gérés. Par conséquent, toutes les communications qui proviennent de terminaux et qui ne sont pas sous contrôle se verraient restreindre les ressources disponibles et n’auraient plus de communication permanente, afin d’atténuer les vulnérabilités du système de sécurité mis en place. Par exemple, les employés mobiles qui se connectent depuis un réseau extérieur à une ressource ou à une application devraient être autorisés uniquement à utiliser les ressources et les applications sollicitées, et il est inutile de leur allouer toutes les ressources du réseau local.

De même, les entreprises partenaires peuvent être autorisées à utiliser seulement certaines ressources et on ne doit pas leur accorder un accès total.

Il faut en outre considérer pour les VPN IPSEC le niveau de gestion des ressources disponibles aussi bien pour le déploiement que pour la maintenance.

Tous les employés mobiles et les télétravailleurs qui se trouvent à des points non gérés par l’entreprise doivent installer des logiciels sur leurs PCs. Pour les entités désireuses d’offrir un accès sécurisé à des centaines ou à des milliers d’employés mobiles, le déploiement, les mises à jour et la gestion de tous les clients s’avèreraient coûteuses en temps et en argent.

Si on ajoute les partenaires des entreprises et leurs clients, les difficultés sont décuplées.

Bien que les VPN IPSEC représentent un investissement approprié pour des sites distants, des succursales ou des agences régionales où une connectivité au site central hautement fiable et disponible est requise, les clients IPSEC pour des employés mobiles représentent, dans certains cas, un investissement peu adapté aux besoins, au vu des contraintes inhérentes à cette technologie (utilisation de logiciels spécifiques). Un constat similaire est fait dans le cas de connectivité avec des partenaires et/ou clients.

En outre, les VPN IPSEC ne prennent généralement pas en charge des moyens d’accès propres aux employés mobiles tels que les kiosques d’Internet et les PDAs.

C’est cet environnement qui a donné naissance au VPN SSL offrant une solution facile à utiliser pour les employés mobiles, les partenaires des entreprises. Cette nouvelle solution complète l’offre des VPN IPSEC pour du site à site qui permet une infrastructure de communication fiable et puissante.

3.7.3.3 Qu’est ce que le VPN SSL ? Le terme VPN SSL désigne une nouvelle gamme de produits à forte croissance utilisant plusieurs technologies. Pour définir les différentes technologies et produits qui se trouvent sur cette gamme, nous pouvons commencer par définir le terme VPN. ou Virtual Private Network qui fait référence à l’utilisation d’un réseau public tel que Internet pour transmettre des données privées. Jusqu'en 2001, toutes les solutions utilisaient un transport de couche réseau. Le premier standard entériné fut le protocole IP Sécurisé (IPSEC), cependant quelques vendeurs ont utilisé d’autres méthodes, tels que « Layer 2 tunneling protocol « (L2TP) ou le protocole Point-to-Point tunneling Protocol (PPTP).

Les VPN SSL utilisent une philosophie différente pour transporter des données privées sur Internet. Contrairement à la technologie IPSEC, qui nécessite l’installation d’un client IPSEC sur un ordinateur portable de l’entreprise par exemple, SSL utilise HTTPS/SSL disponible sur tous les navigateurs classiques sans ajout logiciel, pour garantir un accès sécurisé. En utilisant la technologie VPN SSL, la connexion entre l’employé mobile et la ressource interne s’établit via une connexion Web sur les couches applicatives contrairement à IPSEC qui ouvre un tunnel au niveau de la couche réseau. L’utilisation de SSL est idéale pour les nomades vu que :

L’utilisateur n’a pas besoin de télécharger SSL pour accéder aux ressources de l’entreprise

L’utilisateur n’a pas besoin de configurer son poste de travail

SSL est disponible sur tous les navigateurs, les utilisateurs peuvent accéder aux ressources à partir de tout poste disposant d’un navigateur.

L’utilisation d’un VPN SSL est facile, ne nécessite aucune configuration et elle est accessible à tout type d’utilisateurs, sans compétence technique particulière.



Aucune mise à jour n’est requise pour le SSL, ce qui est un atout majeur par rapport à IPSEC. Le SSL est indépendant de tout système opérationnel car il se déploie sur les couches applicatives et tout changement de ces systèmes opérationnels ne requiert aucune mise à jour pour l’implémentation du SSL.

Comme la technologie SSL prend son essence dans les couches applicatives, un contrôle d’accès aux applications extrêmement granulaire devient possible, ce qui en fait une solution idéale pour les employés mobiles et tous les utilisateurs qui accèdent à partir de points d’accès non sécurisés.

3.7.3.4 IPSEC ou SSL VPN ? Un grand nombre d’utilisateurs se demandent laquelle des deux technologies doit être déployée ? Qui de IPSEC ou SSL convient le mieux pour les politiques de sécurité mises en place et quelle est la technologie qui permet de résoudre au mieux les différents problèmes ? Quel est le prix réel à payer pour déployer et administrer une

solution basée sur IPSEC et SSL ?

Cette ambiguïté n’est pas atténuée vu que tous les débats sur IPSEC et SSL sont largement orientés sur des détails techniques des protocoles utilisés, alors que le critère de décision entre ces deux technologies dépend essentiellement de l’usage que l’on veut en faire.

IPSEC et SSL ne sont pas antagonistes et ne sont pas des technologies exclusives. IPSEC et SSL peuvent - c’est souvent le cas - être déployés dans la même entreprise. Le critère de choix déterminant n’est pas lié au débat de ce que peut faire chaque protocole, mais à ce que peut accomplir chaque déploiement. Lorsque les coûts ou les avantages de chaque type de déploiement sont considérés, comme associés aux problèmes que chaque technologie se propose de résoudre, le choix de déploiement devient plus clair.

Les administrateurs désireux de réaliser des liaisons site à site hautement performantes et redondantes assurant des opérations de secours se tourneront plutôt vers des solutions VPN IPSEC. Ces solutions ont été créées pour garantir aux employés à partir de n’importe quel point du globe un accès aux ressources de l’entreprise auxquelles ils ont droit.

Pendant des années, les solutions VPN IPSEC offraient une connectivité fiable et disponible, indispensable pour des communications inter-sites distants au sein de l’entreprise. Ils permettent aux utilisateurs situés sur des sites distants d’accéder aisément aux ressources centrales de l’entreprise, tout comme le feraient les employés qui se trouvent sur le LAN du site central.

Les administrateurs, qui souhaitent que des employés mobiles et d’autres utilisateurs ne provenant pas d’une zone de confiance accèdent à certaines ressources de la société seront plus enclins à utiliser du VPN SSL. En effet, cette technologie se propose de satisfaire les besoins d’accès sécurisé des employés mobiles, des partenaires ainsi que des clients à certaines ressources de la société de n’importe quel endroit.

Les solutions VPN SSL permettent aux administrateurs de construire des stratégies de contrôle granulaires atteignant les niveaux serveur, voire fichiers pour les utilisateurs qui veulent y accéder. Ces fonctionnalités atténuent les risques d’accès aux ressources de l’entreprise d’entités non protégées, des réseaux de faible voire non sécurisé ainsi que d’utilisateurs non autorisés. De cette façon, les VPN SSL offrent aux utilisateurs la possibilité de se raccorder à certaines ressources des entreprises avec un navigateur Internet à partir de n’importe quel endroit.

3.7.3.5 Coût total de la possession ou TCO (Total Cost of Ownership) Le TCO est un paramètre fondamental dans le choix de la technologie à déployer.

Encore une fois, il est essentiel de regarder le déploiement plutôt que la technologie pour prendre la bonne décision. Si le besoin s’apparente à des liaisons site à site typiquement pour les sites distants ou les succursales, les VPN IPSEC semblent une solution logique ayant un coût raisonnable. Les utilisateurs dans ce cas se trouvent dans le même LAN sans avoir à administrer de clients isolés. Par contre, la multitude et variété de types d’accès susceptibles d’être utilisées par des employés mobiles, partenaires et clients rendent les solutions VNP SSL plus adaptées. Les administrateurs peuvent garder leurs stratégies d’authentification, créer des politiques de sécurité granulaires et



déployer un accès à différents types d’utilisateurs en quelques heures sans avoir à déployer, à configurer ou à gérer des logiciels propres à chaque client.

3.7.3.6 La sécurité Les comparaisons entre IPSEC et SSL conduisent souvent à l’éternel débat « quel est le protocole le plus sûr » ? En réalité, ce débat a très peu d’incidence sur le choix entre VPN SSL et VPN IPSEC pour un accès dans le cas d’employés mobiles ou de liaisons site à site. Les deux protocoles se fixent les mêmes objectifs, se basent sur un échange de clés et offrent une protection forte des données pendant le transport. En dépit de différences inhérentes aux protocoles, IPSEC et SSL se ressemblent fortement. Les deux technologies sécurisent les flux IP et permettent des échanges, ce qui les rend utilisables pour différentes applications.

Bien que les deux protocoles soient fondamentalement différents, ils ont des points en commun tels que le chiffrement, l’authentification et les protocoles d’établissement des clés de session. Chaque protocole supporte les mêmes procédés de chiffrement, d’intégrité et d’authentification : 3DES, AES, MD5 ou SHA1.

L’accès au réseau

Les VPN IPSEC ont été développés pour élargir virtuellement le réseau LAN de l’entreprise ou certains de ces segments. Ce type d’accès est vital pour des sites distants, où les employés demandent un accès illimité pour une meilleure efficacité. Comme les utilisateurs des liaisons site à site sont assujettis aux mêmes restrictions que les employés du LAN de la société, cette extension virtuelle ne constitue en aucune manière un risque supplémentaire pour le déploiement du LAN. Ces restrictions de sécurité ne peuvent pas effectivement être étendues à des utilisateurs mobiles, des partenaires d’entreprises ou clients qui souhaitent accéder à certaines ressources à partir de différents types d’équipements et/ou de réseaux.

Pour ce type de besoins, les VPN SSL réduisent les risques d’accès avec un coût raisonnable. SSL a souvent été critiqué pour permettre un accès à partir de différents types d’équipements, incluant ceux qui ne sont pas gérés par l’entreprise et aussi pour sa facilité de déploiement vers un large éventail d’utilisateurs. En pratique, ces critiques sont injustes. Aujourd’hui, plusieurs solutions VPN SSL intègrent des méthodes de vérification et de mise en application de la sécurité de l’utilisateur, ainsi qu’un effacement total des informations téléchargées lors de chaque session.

L’accès aux applications

Les VPN IPSEC prennent en charge toute application basée sur IP. Pour un produit VPN IPSEC, tous les paquets IP sont les mêmes. Par conséquent, ils constituent la solution naturelle pour le déploiement de liaison site à site où il est inacceptable de limiter l’accès aux ressources ou applications au réseau LAN de l’entreprise.

Les applications/ services des solutions VPN SSL varient d’un vendeur /produit à un autre. En effet, chaque vendeur propose sa propre solution de présentation d’interfaces clientes au travers de navigateurs web, de relais des flux applicatifs et au travers de passerelles d’intégration aux serveurs internes.

Par le passé, la technologie SSL était critiquée car chaque application devait être « Web-isée », nécessitant le développement d’une nouvelle fonctionnalité et la distribution d’un nouveau logiciel. Ce problème est aujourd’hui résolu par les acteurs majeurs qui proposent des produits qui garantissent un accès « clientless » aux ressources Web, un accès aux applications de type client/serveur. En définitive, les VPN SSL peuvent être utilisés pour sécuriser l’accès à quasiment toutes les applications existantes pour différents types d’utilisateurs.

Encore une fois, si l’objectif est d’offrir aux utilisateurs un accès de niveau réseau à partir d’équipements gérés situés dans des réseaux de confiance, les VPN IPSEC sont les plus appropriés. Mais si le résultat visé pour le déploiement est de permettre à des employés mobiles ou à des utilisateurs se trouvant dans des endroits non contrôlés, comme les partenaires, un contrôle d’accès à des ressources spécifiques de la société, les VPN SSL conviennent parfaitement.

La Gestion de l’accès


4 nov 2004 © etna – Vo

Un autre aspect à prendre en considération est le contrôle d’accès. Si les VPN IPSEC utilisent le filtrage des paquets comme moyen de sélection, dans la pratique les organisations accordent l’accès à de multiples réseaux plutôt que de prendre la peine de modifier ou de créer des règles de sécurité lors de changements d’adresse IP ou pour de nouvelles applications. Si le besoin est de permettre un accès à des serveurs privés pour un groupe d’utilisateurs de confiance les VPN IPSEC sont un excellent choix. Parallèlement, si le déploiement cible nécessite un accès de contrôle plus fin : par utilisateur, par événement, par ressource, VPN SSL est le meilleur choix parce qu’il opère sur les couches applicatives rendant de tels contrôles plus aisés à implémenter. De nouvelles fonctionnalités de gestion de contrôle d’accès permettent d’effectuer une authentification dynamique, associée à une mise en place très flexible et granulaire d’autorisation par ressource et permettent d’adhérer à la politique de sécurité pour un coût raisonnable.

3.7.3.7 Conclusion La question la plus importante n’est pas « Quel protocole offre le meilleur chiffrement ? », mais véritablement, « Quelle est la technologie dont la sécurité convient le mieux aux besoins d’une solution d’accès distant ? »

IPSEC peut être utilisé pour sécuriser tout trafic IP alors que SSL se focalise sur le niveau applicatif. Fort de ces constats, IPSEC est mieux adapté dans le cas de connexions de longue durée où des connexions ouvertes de niveau réseau permanentes sont requises. SSL, de son côté est mieux adapté aux systèmes où l’accès à des ressources et/ou à des applications par individu ou groupe est nécessaire.

Les plus et les moins de IPSEC et SSL

Plus Moins

SSL Clients inclus dans les navigateurs Web Prévu pour les applications Web Moins coûteux que IPSec Déploiement facile

Les postes clients peuvent ne pas être connus Authentification par certificats L'information sensible peut être sur les postes clients

IPSEC Le client s'authentifie par un moyen sûr Les postes distants sont facilement mis à jour La connexion niveau réseau donne un accès indépendant des applications

Lie l'utilisateur à son poste de travail Demande un déploiement pour chaque utilisateur qui veut l'utiliser Demande du support

ir en dernière page pour les droits de reproduction 84/166

3.8 LE CHIFFREMENT DES DONNEES SUR DISQUE

Auteur : Gérard Péliks (EADS)

[email protected]

Le poste de travail nomade quand il n’est pas connecté au réseau ne constitue plus un danger pour l’Intranet, mais il peut contenir des renseignements confidentiels et




qui doivent le rester. Même si ce poste de travail est volé ou perdu, les renseignements confidentiels qu’il contient ne doivent pas être lus par des personnes non autorisées. Pour cela, il est impératif de pouvoir chiffrer certaines parties du disque dur, dans lesquelles on placera impérativement les fichiers qui ne doivent être accessibles qu’au propriétaire du poste de travail.

Les logiciels de chiffrement des données sur disque permettent non seulement de chiffrer les fichiers contenus dans certaines partitions disque, mais aussi peuvent masquer ces partitions aux personnes non habilitées à lire ces fichiers confidentiels. Une bonne solution est de coupler l’authentification forte (utilisation de sa carte à puce par exemple) avec la possibilité d’accéder aux partitions confidentielles et de déchiffrer les fichiers qu’elles contiennent. Inversement, les fichiers de ces partitions sont chiffrés et les partitions ne sont plus visibles quand on retire la carte à puce.

3.9 LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) Auteurs : Hervé Chappe (Alcatel) [email protected] et Anne Coat (AQL) [email protected]

3.9.1 Certificats Numériques et Autorités de Certification L'objectif premier de la PKI est de répondre au doute qui peut subsister sur la validité de l'association entre la clé publique et l'identité de l'émetteur.

La PKI permet aussi de gérer à une échelle industrielle les paires de clés (secrète/publique) asymétriques pour l’authentification et le cryptage.

La PKI est l’implémentation industrielle de la technologie de certification Numérique.

Une PKI comprend au moins les éléments d'architecture suivants :

une Autorité d'Enregistrement (RA, Registration Authority), qui reçoit les demandes de certificats et vérifie les identités des demandeurs, avant de transmettre la demande à :

Une Autorité de Certification (CA, Certification Authority) qui distribue, gère, et révoque les certificats numériques, et met à jour les Listes de Révocation des Certificats (CRL),

Un Règlement pour l’utilisation des certificats.

3.9.2 Applications de la PKI Accès authentifié des employés et des extérieurs (clients, fournisseurs, partenaires) pour

gestion de leur droits d’accès aux ressources de l’entreprise,

Accès SSL (authentifié et crypté) aux serveurs Web,

Emission de cartes à puces d'authentification,

Signature et contrôle d’intégrité de code,

Communications VPN (Virtual Private Network) authentifiées et chiffrées, soit de site à site, soit de client RAS (Remote Access Service) à site,

Toute application réservant l'accès de ressources déterminées à un groupe d'acteurs définis.

3.9.3 Certificats Numériques Le Certificat Numérique est un identifiant d’authentification unique reliant les coordonnées d’un utilisateur à sa clé publique, résolvant ainsi la question sur la validité de la clé publique de l’émetteur, et validant du même coup la signature numérique.

Il est émis par une entité reconnue par l'émetteur et le destinataire (la PKI).

Il tient donc lieu de signature, et peut être attaché par l'émetteur à un courrier électronique, une transaction commerciale, ou tout autre fichier.

Le format d’un Certificat Numérique répond à la Norme IETF X.509 (V.3 en 2004), qui demande qu'il comprenne les éléments suivants :

La clé publique de l’utilisateur,





Le type d’algorithme de chiffrement,

Les coordonnées du possesseur du certificat,

La période de validité du certificat,

L’identité de l’Autorité de Certification,

Une Signature Numérique (celle de la PKI) pour valider le certificat.

Un utilisateur peut disposer de certificats multiples pour répondre à des besoins multiples : accès distant au réseau, transactions bancaires, signature de code, etc.

3.9.4 Autorité de Certification (CA, Certification Authority) La technologie des Certificats Numériques est une technologie de sécurité, mais elle ne suffit pas à elle seule à garantir la confiance, qui repose sur le niveau de confiance que l’on peut accorder à l’Autorité de Certification.

C'est pourquoi certaines CA reçoivent elles-mêmes des certificats de CA "de niveau supérieur", qui assurent de la validité de leur propre clé publique (qui sert à "signer" les certificats de leurs abonnés).

L’Autorité de Certification assure de multiples responsabilités :

Vérification des informations personnelles (délégable à l'Autorité d'Enregistrement),

Emission des Certificats Numériques,

Gestion des répertoires de clés publiques (Annuaires),

Archivage des certificats,

Séquestre des clés secrètes,

Révocation des certificats (durée de vie expirée, suppression des droits du possesseur, gestion des compromissions),

Modifications diverses pour raisons de sécurité,



Validation du certificat d’un émetteur sur présentation par le récepteur.

Toute organisation peut acquérir un logiciel pour créer une PKI, et mettre en place l’infrastructure de CA nécessaire. C’est en définitive la qualité et le suivi du Règlement associé (politique de certification, détail des pratiques de certification, (voir la norme IETF RFC 2527)) qui détermineront le niveau de confiance accordable à la CA.

Certaines CA seront plus rigoureuses que d’autres sur les contrôles d’identité des utilisateurs et sur les procédures de révocation.

Il y a plusieurs types de CA :

CA privée : utilisée en interne dans une société pour le contrôle d’identité des employés (badge),

CA fournisseur, utilisée par une société pour offrir des services à ses clients (carte bancaire) et partenaires,

CA publique, utilisée par un service public (Carte Vitale).

Les serveurs de la CA doivent être physiquement sécurisés (bunker) et leur accès doit être rigoureusement contrôlé.

L’établissement de relations entre CA multiples est un sujet délicat. On considère principalement deux configurations :

A l’intérieur d’un même domaine de confiance (société multi-site), les CA multiples sont en général organisées de façon pyramidale, avec une CA maître et des CA hiérarchiquement dépendantes, éventuellement à plusieurs niveaux (régional, local)

Entre deux domaines de confiance distincts (deux sociétés en relation d’affaires), il est possible d’établir une certification croisée des CA de chacun, ce qui permet à une CA de valider les certificats émis par l’autre.

Ce point impose une continuité du chemin de confiance, qui repose sur :

L'interopérabilité (technique et organisationnelle) entre les CA,

Le niveau de confiance réciproque entre : les CA elles-mêmes, les utilisateurs de chaque CA envers l'autre CA ,

Dans certaines architectures de PKI, seule la PKI "maître" peut valider les certificats des PKI "feuilles", même si des PKI "branches" existent.

3.10 LA DETECTION D'INTRUSIONS Auteur : Gérard Péliks (EADS) [email protected]

Le firewall assure une protection périmétrique autour du réseau privé de l’entreprise, mais il ne peut analyser que les paquets IP qui le traversent, et ne peut réagir contre des attaques qui se perpétuent derrière lui dans l’Intranet. Il est bon de prévoir une deuxième ligne de défense et même plusieurs lignes de défense en profondeur. C’est ce que font les sondes de détection d’intrusion et les détecteurs d’anomalies réseaux.




Les sondes de détection d’intrusion

Une sonde de détection d’intrusion placée à un endroit sensible du réseau, analyse les paquets IP qui passent et les compare à une base de signatures d’attaques, qui doit être tenue à jour, pour déceler si les paquets sont dangereux. La sonde réagit, si son analyse conduit à penser que le paquet est douteux, par exemple en générant une alarme et parfois même en modifiant la configuration d’un routeur.

Un problème posé par certaines sondes de détection d’intrusion est de réagir trop souvent et l’accumulation des alarmes, souvent de fausses alarmes, alourdit la tâche de l’administrateur. Mais mieux vaut signaler une fausse alarme que d’en laisser passer une vraie, pensez-vous ? Oui, à condition d’avoir le temps et les ressources pour repérer et traiter les vraies alarmes si elles sont noyées dans le flot des fausses.

Les détecteurs d’anomalie réseau

On trouve sur le marché une autre famille de détecteurs : les détecteurs d’anomalies réseau et d’anomalies système. Un moteur cognitif apprend à la sonde le fonctionnement normal du réseau ou du système. Cette normalité est modélisée dans des équations et les sondes sont alors prêtes à réagir quand un événement leur semble s’écarter d’un certain seuil de ce qui est considéré comme un événement normal. Ainsi, dans une entreprise où le réseau n’est sollicité habituellement que pour la messagerie ou le Web et seulement durant la journée, si à trois heures du matin le poste de travail d’une personne de la direction des ressources humaines lance à distance une compilation de C++, la sonde détectera l’anomalie et réagira. Ce type de sonde signale beaucoup moins de fausses alarmes que celles des détecteurs d’intrusion, et affecte moins les performances du réseau. Il n’est ici plus question de comparer

chaque paquet avec une base de signature qui s’allonge avec le temps, et possède parfois une signature proche du paquet que la sonde analyse.

3.11 LES ANTI (VIRUS, SPAMS, SPYWARES), Auteur : Alexandre le Faucheur ([email protected])

Les statistiques sont nombreuses et très éloquentes sur les risques qu’encourt une compagnie qui ne protège pas suffisamment son système d’information contre les attaques des pirates.




En 2003 les entreprises dépensaient environ 6% de leur budget informatique dans la sécurité et ce chiffre a été en augmentation par rapport à l’année 2002. 80 % des entreprises à travers le monde ont déjà planifié ou sont en train de définir des procédures pour sécuriser leur système d’information.

80 % des entreprises utilisent une authentification forte pour connecter leurs utilisateurs distants.

Voici les technologies les plus utilisées par les entreprises pour se protéger :

Antivirus 96%

VPN/RPV 86%

IDS 85%

Monitoring/filtrage de contenue 77%

PKI 45%

Cartes à puce 43%

Biométrie 19%

La tendance actuelle d’investir dans des infrastructures PKI et Cartes à puce prouve que le besoin de mobilité est de plus en plus important et que le choix d’une bonne méthode de connexion à distance est une des problématiques à l’heure actuelle pour les DSI. La biométrie n’est pas encore une technologie suffisamment mature pour être déployée à grande échelle (trop coûteuse et complexe).

On constate, heureusement, que les règles de bases de la sécurité informatique ont bien été véhiculées au cours des années : 96 % des entreprises sont équipées d’antivirus et 85 % d’IDS/Firewall. Il ne faut cependant pas oublier que les pirates ne sont jamais à court d’idée et qu’ils arrivent encore a surprendre les éditeurs d’antivirus, d’antispywares, … La vigilance est donc toujours de mise.

3.11.1 Les antivirus Il existe plus d’une vingtaine d’antivirus différents sur le marché, ce nombre peut sembler important mais c’est sans compter sur l’imagination des créateurs de virus qui utilisent des technologies de plus en plus complexes pour rendre difficile la détection de leurs virus

Nous allons parler succinctement des différents types de virus pour bien faire comprendre au lecteur pourquoi une mise à jour régulière de son antivirus est importante !

Définition : Un virus est un «petit» programme de code malicieux qui réside dans un fichier exécutable appelé «hôte. Un virus cherche à se reproduire dans tous les fichiers exécutables présents sur l’ordinateur infecté. Un virus peut contenir, en plus, une bombe logique (charge utile) qui endommage les données enregistrées sur le disque dur de l’ordinateur infecté (ce n’est pas souvent le cas).

A chaque exécution du programme contaminé, le virus devient actif et cherche par tous les moyens à contaminer d’autre fichiers exécutables ou d’autres ordinateurs (pour les plus évolués) en s’y propageant. Il existe des variantes appelées macro virus qui utilisent ce même principe mais pour infecter seulement les fichiers pouvant exécuter le « macro code », c’est le cas par exemple de « I love You » qui fonctionne uniquement avec les logiciels de la suite Office de Microsoft car ils sont les seuls logiciels capables d’interpréter du macro code. Depuis Windows 2000, il est possible d’interpréter du macro code à partir du système d’exploitation ce qui rend les virus encore plus menaçants.

Pour détecter ces virus et les détruire, les éditeurs d’antivirus utilisent une méthode de reconnaissance de code malicieux. Le code dangereux des virus est stocké dans une base de donnée fréquemment mise à jour, cette base de donnée contient la signature des virus c’est à dire les opérations dangereuses que peuvent effectuer le virus.

Dans le but d’éradiquer tous les virus sur un ordinateur, les éditeurs ont conçu des programmes scannant tous les fichiers exécutables sur le disque dur d’un ordinateur, car c’est à l’état inactif (non chargé en mémoire) que les virus sont les plus vulnérables.



Pour éviter que leurs virus soient détruits facilement, les concepteurs de virus ont dans un premier temps chiffré le virus dans le programme hôte pour qu’il soit indétectable au « repos ». Dans cette configuration il est effectivement impossible de détecter la présence d’un virus dans un fichier exécutable. De plus ils sont généralement dotés de méthodes permettant de masquer leurs modifications. Ces virus deviennent donc furtifs aux yeux des antivirus.

Mais heureusement le code du virus est visible dés lors qu’il devient actif (exécuté en mémoire) alors l’antivirus peut le repérer, le détruire et ainsi désinfecter le fichier contaminé sans trop de casse.

Les concepteurs de virus ont alors redoublé d’efforts en utilisant des algorithmes plus complexes, qui consistent à modifier de façon dynamique le code malicieux du virus à chaque exécution du programme hôte, le rendant indétectable à l’antivirus. Cette méthode est très efficace car chaque fois que le virus devient actif, il infecte des fichiers avec un code malicieux qui auto modifie. Lorsque l’antivirus reconnaît un code malicieux il purge le fichier infecté mais pendant ce temps le virus aura infecté un autre fichier avec un autre code malicieux qui pourra lui même s’auto modifier.

Les dernières technologies employées pour palier à ces virus polymorphes et/ou metamorphes consistent à faire résider chaque programme en zone mémoire protégée pour éviter d’infecter d’autres fichiers et ainsi détecter le code malicieux en utilisant des scanners d’algorithmes, la majeure partie des antivirus supporte ce procédé.

Les antivirus actuels sont capables de détecter et de corriger la plupart des virus polymorphes ou autres sur des architectures 32 bits classiques, en revanche il n’est pas certain que les antivirus puissent protéger les serveurs ou stations de travail avec une architecture 64 bits.

3.11.2 Les antispams Définition : Le spam est l’envoi en grande quantité d’e-mails indésirables qui inondent les serveurs de messagerie et qui peuvent de surcroît contenir des malwares, virus ou autres chevaux de Troie.

Tout le monde à déjà plus ou moins rencontré ce phénomène et heureusement la plupart des logiciels de messagerie disposent de fonctions de filtrages pour supprimer ces nuisances.

Il faut cependant faire remarquer au lecteur que certains spams contenant du code malicieux utilisent votre carnet d’adresse pour contaminer vos contacts stockés dans votre logiciel de messagerie. Il faut donc éradiquer ce fléau qui risque de donner une mauvaise image de votre entreprise.

Le problème majeur que rencontre les éditeurs d’antispams est l’impossibilité d’identifier correctement l’adresse source de l’e-mail. En effet les « spammers » utilisent des adresses valides (selon les protocoles SMTP/POP) mais inexistantes pour tromper au maximum les outils antispams. On ne peut pas donc jamais déterminer à 100 % la validité d’un courrier électronique, car aucun élément ne permet d’authentifier l’émetteur. Un certain nombre de précautions peuvent cependant être prises comme l’utilisation d’un antivirus de messagerie qui filtrera automatiquement tous les spams contenant des virus, chevaux de Troie, … Configurer des règles de filtrage pour éliminer certaines adresses de spams qui reviennent trop souvent (on parle alors de « black list »). Ces mesures peuvent parfaitement suffire pour les particuliers et les petites entreprises mais sont inadaptés aux grandes entreprises, dans ce cas il faut investir dans des logiciels antispams.

Il existe différentes technologies pour éradiquer ou ralentir la progression des spams sur le réseau de l’entreprise. Certaines technologies marquent le trafic mail avec des priorités différentes qui limitent l’influence des e-mails-spams en ralentissant leurs progressions pour éviter de « flooder » les serveurs. D’autres technologies utilisent des outils statistiques (gaussienne / réseaux de neurones / scoring /…) pour déterminer après une période d’apprentissage si un e-mail est un spam ou non et ainsi exécuter automatiquement la solution adéquate.

Il faut cependant savoir que chaque pays est souverain sur la question des spams et que les législations aussi bien en France, en Europe que dans le reste du monde ne sont pas harmonisées. Vous pouvez, dans certain pays, être coupable par négligence si vous ne mettez pas à disposition de vos employés les outils adéquats. Le problème du spam est donc un souci qui concerne toutes les entreprises.



3.11.3 Les anti spywares Définition : Un spyware est un logiciel qui enregistre le comportement d’un utilisateur naviguant sur l’Internet à son insu, il peut aussi communiquer plus ou moins volontairement des données personnelles (login/password, …) à une entité tierce. Le spyware s’installe en général par l’action de l’utilisateur qui accepte un contrat de licence mais si le browser web, est mal configuré, alors certains spywares peuvent s’installer à l’insu de l’utilisateur en toute transparence.

Il faut savoir qu’on dénombre environ plus de 3.000 spywares/malwares/adwares à l’heure actuelle et que la tendance est à l’augmentation depuis plusieurs années. Nous allons démontrer au lecteur pourquoi il faut se prémunir de ces logiciels qui peuvent nuire aussi bien aux particuliers qu’aux entreprises. Le spyware est un fléau plus préoccupant encore que le virus !

Comme nous le savons déjà il existe trois grands types de spywares : Adware, Spyware et Keylogger. Les adwares n’engendrent habituellement que des nuisances de confort en affichant de façon intempestive de la publicité lors que vous naviguez sur l’Internet. Les deux autres catégories peuvent causer beaucoup plus de dégâts. En effet le keylogger enregistre toutes les touches clavier tapées par l’utilisateur et transfère ces informations à un pirate, comme les password / login. Certains spywares modifient directement la configuration de sécurité de votre navigateur web mais aussi de votre système d’exploitation pour le rendre encore plus vulnérable sur l’Internet, d’autres encore transmettent à une personne tierce des informations personnelles comme l’architecture de votre système de fichiers Il faut donc absolument vous en protéger au même titre que les virus.

Les spywares sont l’eldorado des pirates et sont transmis par les applications peer to peer (échange de fichiers entre utilisateurs finaux), sur le web et avec certains freewares ou sharewares. La prolifération de ces programmes est donc rapide et les risques pas assez mesurés par les entreprises de plus de 100 employés qui reconnaissent cependant avoir à plus de 90 % des problèmes de types spywares sur leurs réseaux !

Pour bien comprendre les risques que vous encourez il faut savoir que certains spywares ne sont pas détectés par les antivirus car ils sont installés comme des programmes normaux et peuvent donc avoir accès aux fonctions systèmes du système d’exploitation. On appel ces programmes des spywares commerciaux.

Il existe pourtant des solutions fiables comme les antispywares. Attention cependant, il existe sur Internet des antispywares gratuits qui peuvent contenir eux mêmes des spywares ou autre vers, chevaux de Troie …

Il ne faut donc pas installer le premier logiciel venu et utiliser toutes les protections possibles pour s’assurer de bon fonctionnement de ces programmes (comme bloquer les programmes suspects avec son firewall personnel). La plupart des éditeurs d’antivirus proposent des solutions antispywares intégrées, il existe aussi un certain nombre de compagnies qui vendent des solutions antispywares comme les produits X-cleaner, Spybot, Ad-aware, pour lesquels il existe aussi parfois des versions gratuites mais limitées.

3.12 SECURITE ET MOBILITE Auteur : Franck Franchin (FRANCE TELECOM) [email protected]

La grande généralisation des terminaux portables ou mobiles associée à la banalisation du travail en situation de mobilité engendre de nouvelles menace sur la protection des informations de l'entreprise.

La principale menace qui pèse sur les données stockées dans un terminal mobile (PC portable, PDA, smartphone) demeure le vol physique du-dit terminal. Toutefois, d'autres menaces commencent à poindre à l'horizon.

Par exemple, qui n'a pas renvoyé son PDA défaillant directement au fabricant, via le SAV du vendeur. Si on peut éventuellement faire confiance aux services après-vente du fabricant (et cela reste à prouver...), le plaisir d'en recevoir un tout neuf en échange sous garantie ne doit pas faire oublier ce qu'est devenu l'ancien... Revendu sur un site d'enchères par exemple, il a pu devenir la proie d'un pirate.



Selon le Gartner, 90% des terminaux mobiles n'ont pas les protections nécessaires pour éviter la récupération d'information sensibles : comptes de messagerie, mots de passe, contacts stratégiques, et autres documents confidentiels.

Une autre nouvelle menace est liée à l'intégration par défaut de systèmes de communication sans fil (Bluetooth, Wifi, IrDa) activés par défaut, quelquefois à l'insu du

propriétaire du terminal. Un portable devient alors vulnérable dans tous les lieux publics.

Mais la notion de sécurité n'implique pas uniquement la « confidentialité ». Parlons plutôt « intégrité » et « disponibilité ». La facilité d'utilisation et l'ubiquité de ces terminaux nous fait souvent oublier les bonnes règles de base : sauvegarde et synchronisation. Les disques durs des PCs portables sont soumis à des contraintes importantes qui les fragilisent quant bien même ils ont été conçus en ce sens. Les cartes CF ou autres des PDAs sont sensibles à l'électricité statique et supportent quelquefois mal plusieurs aller-retours avec un appareil photo. De leur côté, les smartphones ont une fâcheuse tendance à « tomber ».

Une autre notion en sécurité porte sur l'identification du périmètre de sécurité et sur les contrôles d'accès aux données. Si cette notion peut s'appliquer plus ou moins facilement à des PCs physiquement résidents dans un bureau potentiellement fermé à clé et relié à un Ethernet câblé, que dire d'un PC portable Wifi qui voyage dans une voiture, prend l'avion, se connecte sur une borne Wifi à la maison ou à l'hôtel et qui pratique le libre-échangisme de données avec ses pairs par clés USB interposées. On ose à peine parler du double-attachement. Que le premier qui n'a jamais laissé son PC portable en salle de réunion sans surveillance pendant 5 minutes lance la pierre.

Parlons donc du vol des mobiles et des portables. Dans toute entreprise, les chiffres sont édifiants, quand bien même l'auto-déclaration donne une image fidèle de ces sinistres. Aujourd'hui, un PC portable vaut presque le tiers d'un modèle équivalent en gamme il y a 3 ans. Quel est l'intérêt pour un voleur de franchir le périmètre de sécurité d'une grande entreprise pour dérober 4 ou 6 portables ? Il n'en tirera au mieux que quelques centaines d'euros pièce. Sans être paranoïaque, il suffit de se balader sur certains forums underground pour trouver des pirates qui revendent des bases de données de mots de passe, de numéros d'accès à des Extranets, des numéros de cartes de crédit (avec dates d'expiration). N'est-il pas plus facile de voler des PCs ou de racheter des disques durs sur Ebay que de pénétrer des systèmes d'informations bardés de contre-mesures ?

L'information ne vaut-elle pas désormais plus que le matériel qui la traite ?

Voici donc maintenant quelques conseils de base qui facilitent la vie (et le sommeil) d'un utilisateur de portable ou de mobile :

Règle N°1 - Penser aux sauvegardes - Utiliser le graveur de CD ou de DVD qui équipe désormais la grande majorité des portables pour effectuer périodiquement des sauvegardes des données les plus importantes. La clé USB est aussi un bon outil (pour les échanges de vos Powerpoint, préférer à chaque fois que c'est possible le courrier électronique et les répertoires partagés) ;

Règle N°2 - Utiliser les répertoires partagés et les fonctions de synchronisation - Si vous oubliez de faire vos sauvegardes, vous pourrez toujours compter sur celles effectuées par votre administrateur réseau sur vos serveurs de fichiers d'entreprise.

Règle N°3 - Utiliser le chiffrement - Pour les données sensibles, ne pas hésiter à recourir aux fonctions de chiffrement de votre système d'exploitation ou à celles d'une solution dédiée. Bien évidemment, ne pas succomber à la facilité de sauvegarder le mot de passe sur le disque dur.

Règle N°4 - Toujours considérer que votre portable risque d'avoir été infecté. Vous avez passé une semaine en mission sans vous connecter au réseau de votre entreprise et donc sans mise à jour de votre anti-virus. Pendant cette même période, vous avez échangé des fichiers avec cette sacrée clé USB, vous avez fait du Wifi à l'hôtel et à l'aéroport et vous vous êtes connecté en mode « invité » chez votre client. Assurez-vous de forcer une mise à jour de l'anti-virus de votre portable dès votre retour au bureau.

Règle N°5 - Différencier les mots de passe - Votre portable ou mobile ne devrait jamais avoir le même mot de passe qu'un autre système « fixe » que vous utilisez au bureau.



Règle N°6 - Bien choisir ses mots de passe - La longueur est plus importante que la complexité. Le mot de passe suivant « Par un bel et chaud après-midi d'automne à Paris » est plus dur à cracker (dictionnaire ou force brute) que « #@&é@=}é ».

3.13 LES OUTILS DE CONTROLE ET DE SURVEILLANCE Auteur : Gérard Péliks (EADS) [email protected]

Le proxy et le cache ne sont pas, à proprement parler des solutions de sécurité, mais ils y participent, en assurant le confort des utilisateurs et sont souvent associés à la fourniture d’une solution complète pour sécuriser le réseau interne de l’entreprise, au moins au niveau humain. Le proxy a pour fonction de se faire passer pour un serveur (web par exemple) pour masquer le vrai serveur aux utilisateurs. C’est sur ce principe que sont bâtis les firewalls haut de gamme. Le cache est un espace disque dans lequel l’information demandée est stockée un certain temps pour être resservie en cas de nouvelle demande de cette information.

Le proxy constitue un endroit stratégique pour contrôler l’information demandée aux serveurs Web. Un proxy « intelligent » permet de réunir les utilisateurs par groupes ou par fonctions, de diviser le temps en plages horaires et de regrouper les pages Web par catégories. On peut alors conseiller ou interdire telle catégorie de pages web, durant telle plage horaire à tel groupe d’utilisateurs. Le proxy placé dans l’Intranet, derrière le firewall, souvent sur une DMZ, peut également limiter les abus en établissant des quotas, en temps de connexion, en nombre de pages web lues, en volume de données chargé par jour, par semaine, par mois pour chaque groupe d’utilisateurs, dans une période choisie. Les noms des collaborateurs indélicats peuvent être placés, un certain temps, dans une liste noire. Ces collaborateurs perdent alors toute possibilité d’accéder au web, le temps du séjour de leurs noms dans cette liste qui sera vite redoutée.

Ces mesures vous semblent incompatibles avec le droit, que tout utilisateur peut revendiquer, de garder une parcelle de sa vie privée même durant les horaires de travail ? Ce même utilisateur a aussi des devoirs, et en particulier celui d’utiliser les outils mis à sa disposition par son employeur, à des fins uniquement professionnelles. Une fois les employés avertis qu’un tel système de surveillance est mis en place, l’employeur peut alors l’utiliser. Et le seul fait de savoir que ce système de surveillance existe dans une entreprise rend les employés plus sensibles à n’ouvrir que les pages web utiles dans le cadre de leurs fonctions et au moins à éviter de charger certaines pages, si ce n’est celles improductives, au moins celles répréhensibles par la loi.

Ainsi, avec quelques précautions, et quelques outils et réglementations acceptées de part et d’autre, l’accès à cette incroyable ressource qu’est l’Internet, pourra se faire avec efficacité, et sans conséquences préjudiciables pour l’employé comme pour son employeur.

3.14 L’ERADICATION DES LOGICIELS ESPIONS Auteur : Gérard Péliks (EADS) [email protected]

La morale n’ayant pas sa place quand il est question d’observer son prochain, certains éditeurs de logiciels placent dans leurs programmes des bouts de code qui vont fonctionner comme des mouchards et renseigner des régies publicitaires, des concurrents ou des faux amis, à l’extérieur. Dans le dernier roman de Tom Clancy, l’ours et le dragon, vous avez un magnifique exemple de logiciel espion tournant sur le poste de travail d’un dirigeant chinois, et qui va devenir un facteur essentiel de la victoire des Etats-Unis en guerre contre la Chine. Sans aller chercher si loin, voyons ce que vous avez sur votre propre poste de travail. Téléchargez le logiciel adaware que vous trouverez gratuitement sur le web www.lavasoft.de (rassurez vous, il ne contient ni virus, ni logiciel espion). Installez le et lancez le.

Si vous avez déjà navigué sur le web, comme la plupart d’entre nous, vous trouverez sur votre poste de travail au moins un pointeur vers le cookie du fournisseur de bannières doubleclick qui peut renseigner une régie publicitaire sur vos habitudes de navigation. Ca n’est pas très grave. Mais si vous avez téléchargé des logiciels, peut être avez-vous installé, bien sûr à votre insu, de redoutables logiciels espions qui envoient, par le réseau, à vos concurrents les fichiers confidentiels contenus dans votre disque, tels que les conditions de remises, vos remarques personnelles sur vos clients et partenaires, les spécifications des produits non encore annoncés, vos propositions de réponse à appel d’offre en préparation.




uction 94/166

Si vous avez téléchargé et installé un logiciel et vous apprenez qu’il contient un spyware (logiciel espion), ne pensez pas pouvoir supprimer ce logiciel espion simplement en désinstallant le programme qui vous en a fait cadeau. Les spywares ont la vie dure et ne se laissent pas facilement éradiquer car ils se cachent à des endroits du disque où on ne pense pas aller les chercher. Heureusement un logiciel comme adaware sait les éradiquer correctement.

3.15 LES POTS DE MIELS Auteur : Gérard Péliks (EADS) [email protected]

Le temps qui s’égraine inexorablement est un cauchemar pour le hacker durant l’attaque d’un réseau. Au début, les poussées d’adrénalines le transportent au nirvana des pirates quand il perçoit les premiers signes de rupture du système d’information de sa victime sous ses coups de boutoirs dirigés sur les vulnérabilités qu’il a trouvées dans ce système. Mais si l’attaque dure plus que prévu, le hacker ressent alors qu’un danger diffus le menace et que les tenailles menaçantes du risque se rapprochent doucement de lui au risque de le broyer.

Il arrive en effet que le chemin de l’attaque passe par un terrain miné. Ces pièges, ce sont les honeypots, les pots de miel placés en amont d’un système d’information et qui l’émule par un firewall, par-ci, un serveur de fichier et de messagerie par-là, mais ce sont en réalité des leurres dans lesquels le hacker s’englue et n’arrive plus à en sortir sans laisser des traces qu’il ne pourra pas effacer. Son attaque est observée, analysée et ses méthodes sont éventées, et soudain

l’espoir changea de camp, le combat changea d’âme

du hacker maintenant, on capturait les trames.

et le pirate peut se faire serrer par les autorités judiciaires compétentes.

4 nov 2004 © etna – Voir en dernière page pour les droits de reprod

On distingue les pots de miel qui se contentent de simuler des fonctionnalités d’un logiciel et qui entament un dialogue avec l’attaquant et d’autres plus élaborés qui sont de vraies applications, une base de données Oracle par exemple, mais truffées de sondes de détections d’intrusions, d’analyseurs de logs où tout est journalisé et archivé sur un serveur qui est lui totalement inaccessible au pirate englué dans le piège. Le hacker croit agir dans l’obscurité de l’anonymat, son attaque est en fait exposée en pleine lumière sans espoir d’effacer les indices qu’il sème. A l’inverse d’un firewall, le pot de miel laisse pénétrer les hackers mais ne les laisse abandonner la place qu’après avoir mis en évidence le déroulement des attaques. Un pot de miel peut confiner vers et virus dans une enceinte pour mieux les analyser et trouver une parade. Riches sont les informations qui en sont tirées. Il y a même un projet de recherche, le honeynet auquel participent les plus fins limiers de la sécurité qui gère tout un réseau de pots de miel. Ce réseau n’est pas plus attaqué qu’un autre mais pas moins non plus, c’est

à dire qu’il est donc très attaqué et ces attaques sont décortiquées dans le but de diffuser aux participants du projet des informations sur la psychologie et la sociologie des agresseurs et de concevoir des contre-mesures pour les coincer.

Où placer un pot de miel ? Ceux à grande échelle, comme le projet honeynet sont des réseaux à part entière et se trouvent « quelque part » sur l’Internet. Les attaquants y entrent mais n’en sortent pas. Pour une entreprise, il est préférable d’isoler les pots de miel dans une zone démilitarisée



(DMZ), créée par leur firewall et de n’en révéler bien sûr l’existence qu’aux utilisateurs qu’on ne souhaite pas voir tomber dans le piège.

La mise en place d’un pot de miel est-elle légale ? Faut-il être du côté du gendarme ou du côté du voleur ?

Il n’y a pas de législation spécifique concernant les pots de miel placés sur les STAD (Système de Traitement Automatisée des Données) comme on nomme de manière désuète les systèmes d’information dans les livres de droit. Tout réside dans l’intention et dans la manière dont les créateurs de pots de miel s’y prennent. De même qu’un fonctionnaire de police n’a pas le droit, du moins en France, de créer les circonstances et l’environnement d’un méfait pour prendre un délinquant en flagrant délit, de même il ne peut être fait de publicité pour attirer un pirate dans un réseau piégé pour utiliser les preuves de son attaque en justice. Pour que l’agressé puisse donc utiliser les preuves d’une attaque, l’agresseur doit être tombé naturellement dans le piège tendu. Placer des pots de miel s’apparente donc plus à une partie de pêche au pirate qu’à une embuscade montée sur les grands chemins des autoroutes de l’information. On pourrait aussi concevoir un pot de miel qui réagisse en attaquant l’agresseur pour compromettre son propre système d’information en remontant aux sources de l’attaque. Mais le pirate pourrait alors se plaindre d’avoir été attaqué alors qu’il était tombé sur votre réseau (comme) par hasard sans intention malveillante. Et que dire si le hacker utilise pour vous attaquer, un poste intermédiaire comme celui de la police ! Le monde est loin d’être simple et binaire et mieux vaut donc garder son pot de miel passif.

Dans un Intranet, un honeypot doit être bien évidemment considéré comme un outil de surveillance et sa légitimité repose sur une obligation d’information des représentants sociaux des employés sur ce qui est mis en fonction. Ceci enlève au pot de miel son effet surprise, mais c’est bien le but de la protection des employés contre les outils de surveillance non déclarés, d’autre part, sa mise en place doit reposer sur le principe de proportionnalité qui dit qu’un outil de surveillance ne peut être mis en place par l’employeur que s’il est justifié par la valeur de l’information qu’il protège et par les ardeurs des attaquants à le compromettre. En théorie, que le pot de miel soit placé en dehors de l’Intranet pour coincer les pirates extérieurs ou à l’intérieur pour surveiller les employés, il devrait être accompagné d’un message du genre : « Attention ce serveur n’est accessible qu’aux personnes autorisées. En entrant dans ce serveur, vous acceptez que votre activité soit contrôlée et divulguée » D’ailleurs à bien y réfléchir, c’est peut être astucieux de mettre cette recommandation, pot de miel ou pas, pour obtenir un effet dissuasif, un peu comme ceux qui mettent un écriteau « Chien méchant !!!» dans leur jardin alors que n’y réside qu’une paisible tortue.

Signalons qu’un pot de miel d’un genre nouveau vient de faire son apparition à l’occasion de la sortie du film Blueberry. Ce film est proposé en DivX sur les serveurs d’échanges tels que KazaA et eDonkey. Vous téléchargez, comme plusieurs dizaines de milliers d’internautes l’ont déjà fait, le fichier DivX de 700MO ( !) et vous obtenez le tout début du film, mais au détour du chemin, voici Vincent Cassel qui apparaît et vous explique que vous venez de télécharger une copie vidéo de très mauvaise qualité comme ce qu’on trouve habituellement avec ce genre d’échanges, et que pour apprécier le film, mieux vaut aller le voir au cinéma. Le reste du DivX est constitué de scènes de tournage du film pour vous faire comprendre que la création d’une telle œuvre ne peut être envisagée que si les spectateurs paient leurs places de cinéma. Dissuasif mais moral !



4 LA GESTION DE LA SECURITE

4.1 LA GESTION CENTRALISEE DE LA SECURITE Auteur : Michel Habert (Netcelo) [email protected]

4.1.1 Introduction 4.1.1.1 Le problème

Plusieurs tendances sont actuellement observables:

Les entreprises s’étendent, les lieux de travail sont de plus en plus dispersés.

Les points d’accès aux réseaux de collecte, les réseaux d’interconnexion IP privés ou publics se multiplient, les réseaux sans fil (WLAN, GPRS et bientôt UMTS) facilitent la mobilité intra et extra entreprise mais sont vulnérables en raison de la technique de transmission utilisée (l’air).

Les ressources physiques des réseaux sont pour des raisons de coût, mutualisées, ce qui fait que les VPN IP sont la voie royale de migration des entreprises vers IP.

Une bande passante élevée devient disponible à des coûts abordables,

Les attaques via des virus, vers etc se sont intensifiées et se focalisent sur les systèmes d’exploitation les plus utilisés (ex Windows).

On assiste ainsi à la mise à disposition de l’entreprise d’une ressource de communication donnant l’illusion, quelle que soit la distance, d’un réseau local mais par contre plus vulnérable.

Enfin, les entreprises pour leur développement commercial, utilisent de plus en plus internet qui s’intègre au cœur du fonctionnement de l’entreprise.

Ceci montre la problématique que doit résoudre l’entreprise qui est de s’organiser face à cette intensification des communications et des attaques, à l’ouverture sur le monde concrétisée par l’utilisation d’internet, à l’augmentation de la vulnérabilité des environnements de travail, des réseaux et des systèmes.

4.1.1.2 La situation actuelle De nombreuses d’entreprises sont déjà équipées de systèmes pour pallier à des disfonctionnements ou à des défaillances et de systèmes de protection basés principalement sur le cloisonnement de leur système par des pare-feux (firewalls) , sur des outils d’éradication d’infections et de filtrage. Dans un contexte de communications en forte progression avec l’entreprise étendue, des réseaux et des environnements vulnérables, des attaques nombreuses, ces niveaux de protection se révèlent de plus en plus complexes à maîtriser et insuffisants en couverture de sécurité.

4.1.1.3 La solution La solution à cette problématique est d’une part la prise en compte de la sécurité dans la conception du système d’information, de ne pas la considérer comme une pièce rapportée et d’autre part de mettre en place une gestion globale de la sécurité, ceci afin d’apporter les moyens de défense nécessaires au SI (système d’information) pour faire face aux intrusions internes et externes et également aux défaillances et disfonctionnements préjudiciables au bon fonctionnement du SI. Seule une gestion centralisée de la sécurité peut assurer une vision globale.

A la base, il est nécessaire que l’entreprise élabore une politique de sécurité de son système d’information qui reflète sa vision stratégique en terme de sécurité de système d’information.

Cette politique de sécurité doit couvrir les aspects environnementaux, organisationnels, physiques, logiques et techniques du SI et aboutir à l’élaboration de règles de sécurité qui devront être appliquées.

L’application de ces règles doit être administrée, supervisée, surveillée et contrôlée et justifie la présence d’un centre de gestion de la sécurité.



4.1.2 Caractéristiques d’un système de gestion centralisé de la sécurité 4.1.2.1 Un système de gestion de la sécurité basé sur des politiques

Un moyen d’appliquer et de contrôler l’application les règles d’une politique de sécurité globale est de disposer d’un système de gestion central de la sécurité basé sur des politiques.

Le principe est de d’enregistrer les règles découlant de la politique de sécurité dans le système de gestion, de les interpréter et de les faire appliquer.

Les règles vont porter sur la sécurité :

de l’environnement : systèmes d’accès physiques, systèmes d’alarmes (vidéo-surveillance), systèmes de protection (incendie, eau, énergie,..)

des ressources système et réseau du système d’information : stations/serveurs, sites en réseau, réseaux, services

des personnes sous la forme de rôles (utilisateurs, administrateur, administrateur privilégié , superviseur) et de droits.

Le système de gestion de la sécurité s’appuiera sur un système d’administration exploité.

4.1.2.2 Un système de gestion intégré Un des problèmes de la sécurité est la diversité des techniques mise en œuvre. L’administration peut vite se révéler complexe si par exemple il y a une grande variété de consoles d’administration dédiées à l’administration de tel ou tel appareil.

Il est par conséquent nécessaire de disposer d’un centre d’administration intégré qui rassemble sur une seule console l’ensemble des opérations de sécurité pour l’ensemble des équipements et l’ensemble des techniques de sécurité administrés.

VPN IPVPN IPservices

Console intégrée gestion

Centre de gestion de la sécurité

Composants administrés

VPN IPVPN IPservices

Console intégrée gestion

Centre de gestion de la sécurité

Composants administrés

4.1.3 Le système d’administration (SOC- Security Operations center) Le système d’administration de la sécurité est la partie informatisée du système de gestion. Il est intégré à un environnement sécurisé et est lui-même sécurisé : configuration à haute disponibilité, site de secours (disaster recovery).

Il est associé à une exploitation qui met en œuvre des procédures d’exploitation. Une architecture de système à l’état de l’art basée sur le modèle TMN (Telecommunicaitons Management Networks) et les fonctions ISO FCAPS (Fault, Configuration, Accounting, Performance, Security) est recommandée.



Le système d’administration sera organisé en plusieurs sous systèmes pour réaliser les fonctions d’administration :

enregistrement des politiques

configuration

gestion des certificats (PKI)

mise à jour des logiciels et des bases de signatures

supervision

surveillance (collecte, analyse de logs) et alertes

Mises à jour logiciel et bases de données (ex bases anti-virales, filtrages URL, anti-spam)

fabrication de rapports,

gestion des tickets d’incidents.

Le système sera opéré par des consoles :

pour les opérations (consoles de gestionnaire)

pour le contrôle (consoles de supervision de SLA) client

pour l’administration du système de sécurité,

4.1.4 Les opérations L’application des règles de sécurité est réalisée par des opérations qui interviennent :

Lors de l’approvisionnement Avant le démarrage d’une activité, une personne ou un appareil doit posséder des informations et des droits nécessaires à l’accomplissement des tâches qui lui incombent, ces informations d’approvisionnement précèdent l’activation.

Cette phase d’approvisionnement peut se réaliser de plusieurs manières :

Un système de configuration qui fournit (mode pull) ou applique (mode push) les fichiers de configuration de sécurité lors de la mise en service des stations/serveurs, équipements de réseau, services applicatifs, applications.

Un système PKI (Public Key Infrastructure) qui fournit les certificats aux utilisateurs et aux équipements,

L’envoi confidentiel par messagerie électronique de login/mots de passe aux utilisateurs ou aux administrateurs

Fournir un badge à une personne.

Fournir une procédure d’exploitation à un administrateur

En cours de fonctionnement En cours de fonctionnement, des opérations de sécurité sont effectuées. Ces opérations peuvent être programmées ( exemple : procédure d’exploitation : sauvegarde, date de péremption d’un certificat) ou non programmées, déclenchées en fonction d’évènements, par exemple détection d’intrusion, modification de politique.

Exemple d’opérations :

mise à jour de logiciel

mise à jour de base anti-virale

renouvellement de mots de passe

renouvellement de certificats



mises à jour de logiciel

reconfigurations suite à une modification de politique

désactivation suite à une détection d’intrusion

réactivation suite à la fermeture d’un incident ayant provoqué une désactivation

sauvegarde.

4.1.5 La surveillance

Un système de sécurité nécessite un sous-système de surveillance qui recueille en permanence des informations (exemple enregistrements de logs) en provenance des composants sécurisés. Des corrélations sont effectuées et produisent des informations exploitables pour :

Signaler des anomalies ou des intrusions (alertes)

Elaborer des historiques de fonctionnement.

4.1.6 La supervision

La supervision contrôle et surveille l’exécution des opérations et recouvre l’aspect fonctionnement normal et anormal.

Exemple :

contrôle de l’état d’activité d’un équipement de réseau (ping),

contrôle de l’approvisionnement d’un appareil,

4.1.7 Le contrôle

Plusieurs types de contrôle peuvent être effectués:

Contrôle de l’environnement physique (gardiennage),

Contrôle périodique de l’état de vulnérabilité de tous les systèmes du système d’information.

Contrôle de la configuration d’un poste pour l’autoriser à se connecter à l’entreprise.

Contrôle des sauvegardes. Essai de restauration d’un système à partir de la dernière sauvegarde,

Etc..

4.1.8 La sécurité et l’administration du centre de gestion de la sécurité Le centre de gestion de la sécurité doit lui-même disposer de ses propres fonctions de sécurité pour sécuriser son propre fonctionnement.

Ce type de sécurité fait partie des fonctions d’administration du centre de gestion.

4.1.9 Fonctionnement d’un centre de gestion centralisé de la sécurité Plusieurs types de fonctionnement sont possibles :

SOC ( Security Operations center) entreprise

L’entreprise dispose de son centre de gestion centralisé de la sécurité

Cette formule nécessite des moyens et des compétences.

SOC externalisé • Services administrés Le centre de gestion est exploité par une société tierce mais l’entreprise garde le contrôle de sa sécurité tout en n’ayant plus la complexité de gestion et les investissements d’un SOC. • Infogérance



Le système d’information et le centre de gestion sont exploités par une société tiers.

4.1.10 Garanties de sécurité Pour disposer de garanties de sécurité pour la gestion de la sécurité, le centre de gestion pourra faire l’objet d’une certification critères communs (CC) à un niveau de sécurité EALi (Evaluation Assurance Level i). Ceci implique l’écriture d’une cible de sécurité concernant le système de gestion.

4.1.11 Standards et Modèles de référence utiles Le guide PSSI (gratuit) édité par la DCSSI : Elaboration de politiques de sécurité des systèmes

d’information

Le modèle TMN (Telecommunications Management Network) : modèle de référence pour la réalisation de systèmes d’administration

Les fonctions FCAPS (Fault, Configuration, Accounting, Performance, Security) : standard ISO qui décrit les fonctions d’un système d’administration.

Rendre des services administrés : le standard ITIL ( IT infrastructure Library) définit comment délivrer des services et les supporter.

4.2 LES SCANNERS DE VULNERABILITES Auteur : Dominique Ciupa (Intranode) [email protected]

4.2.1 Un sujet technique et une question d'organisation La recherche de vulnérabilités peut se faire en croisant les informations de bulletins d'alertes à l'inventaire des machines d'un système d'information et des applications qui y résident. Si le responsable de la sécurité est informé de la publication d'une nouvelle vulnérabilité sur une machine et une application donnée, et qu'il sait qu'il possède cette machine et cette application, éventuellement configurée d'une manière spécifique pour que la vulnérabilité soit réelle, il va déduire que son système d'information possède cette vulnérabilité. C'est là un travail fastidieux et dont la fiabilité est nécessairement limitée par la difficulté qu'il y a à tenir à jour un inventaire. Les systèmes d'information sont en effet complexes et évoluent sans cesse. Une telle solution artisanale est donc rapidement très coûteuse et risque de passer à côté de nombreuses vulnérabilités sur des machines et des applications non recensées de façon exhaustive. Cette solution revient à condamner le responsable de la sécurité à un travail jamais achevé, tel Sisyphe remontant son rocher tous les jours sur la montagne.

La recherche de vulnérabilités d'un système d'information est donc d'abord et avant tout une question d'organisation et de méthode. Le scanner de vulnérabilités apporte une solution d'automatisation de la gestion des vulnérabilités.

Il existe sur le marché des scanners plus ou moins développés. Certains, proposé par exemple par de grands éditeurs d'anti-virus, se limitent à la recherche des seules vulnérabilités des OS Microsoft.




D'autres même ne recherchent que les vulnérabilités Microsoft qui ont été exploitées par un virus, ignorant les vulnérabilités connues, mais non encore exploitées. Il est pourtant vital de chercher à se protéger de façon préventive contre les vulnérabilités qui feront, demain, l'objet de nouvelles attaques. Les machines protégées ne seront en effet pas vulnérables. Cette démarche préventive est très importante lorsque l'on sait que les remèdes des éditeurs d'anti-virus travaillant sur la recherche de signature des codes malicieux ne sont disponibles qu'après l'attaque des virus.

Il est vain de croire que seules les machines sous Windows sont exposées à une exploitation de leurs vulnérabilités. La prise de contrôle d'un gros serveur d'entreprise sous Linux ou sous Unix peut intéresser plus d'un hacker. La mise hors d'état de fonctionner d'un équipement de surveillance vidéo numérique sous OS Linux peut de même être autrement plus préjudiciable à l'entreprise que l'arrêt d'un PC bureautique. L'entreprise prendra donc soin à ce que les solutions de scan de vulnérabilités de son système d'information couvrent bien l'ensemble de ses équipements et applications avec toute l'hétérogénéité de son parc.

4.2.2 Les technologies de recherche de vulnérabilités Il existe schématiquement deux grandes approches de la recherche de vulnérabilités. D'une part, le scanner qui teste à distance les machines cibles sans installer de logiciel sur ces machines. Le scanner établit un dialogue plus ou moins forcé avec la machine cible en employant toute sorte de protocoles. D'autre part, les solutions mettant en œuvre des agents sur les machines cibles. Les deux approches ne sont pas égales, mais peuvent se compléter utilement.

4.2.2.1 Le scanner par dialogue avec les machines cibles La première famille de solution de gestion de vulnérabilités s'appuie sur un scanner établissant un dialogue avec chaque machine via le réseau IP. Ce scanner est souvent une appliance que les responsables sécurité pourront connecter simplement et rapidement en n'importe quel point de leur réseau. Le scanner interroge ses cibles comme le ferait un hacker pour découvrir la nature de l'équipement, la présence des logiciels actifs, leurs configurations. Le scanner possède une base de tests qu'il exécute pour rechercher les vulnérabilités des équipements qu'il interroge. Il utilise toute sorte de protocoles pour établir un dialogue avec la machine qu'il interroge. Le scanner peut, dans certains cas, utiliser les mots de passe d'administration de la machine pour accéder aux registres et découvrir plus finement les configurations.

Les scanners de vulnérabilités peuvent recourir à des technologies différentes. Les scanners les plus rudimentaires lancent une batterie de tests séquentiels sur les machines cibles et récupèrent la totalité des informations en réponse à leurs requêtes. Cette technique est assez lourde, très consommatrice de temps et de ressources du réseau et des machines. Elle peut de plus causer des problèmes sur la machine cible. Un test prévu pour être inoffensif sur une machine donnée, peut être destructeur sur une seconde machine. Il est donc absolument nécessaire de pouvoir choisir de le lancer ou non en fonction d'une première identification de la machine cible. C'est pourquoi d'autres scanners utilisent des systèmes experts. Ils enchaînent leurs requêtes en tenant compte des réponses obtenues précédemment. Cette technique allège la sollicitation du réseau et des machines. Elle peut de même s'avérer plus efficace en effectuant une corrélation forte entre les différentes réponses obtenues. Une supposition de vulnérabilité en réponse à une requête peut en effet être confirmée ou infirmée par le système expert grâce à une corrélation avec les réponses de requêtes précédentes ou suivantes.

Certains scanners peuvent générer des dialogues perturbateurs et prendre le risque de bloquer, voire de détruire des données, sur la machine cible. Il est clair que le fait de faire effectivement rebooter une machine à distance est une preuve que celle-ci est vulnérable en déni de service. On trouve, par exemple, ce type de test dans des solutions de scanners open-source pour lesquels certains développeurs ont jugé pertinent de réaliser de tels tests. Cette solution n'est cependant pas utilisable sur un parc de machines en production et les responsables sécurité devront prendre garde à ce que les éditeurs de solutions de scans aient une politique claire sur la qualité de leurs tests et leur caractère non perturbateur.

Le dialogue entre le scanner et les machines cibles peut éventuellement être limité en cas de cloisonnement du réseau IP par des firewalls. On mettra alors différents scanners dans le système d'information pour interroger les machines de différentes DMZ. Il est de même intéressant d'avoir un



scanner sur le réseau IP public, l'Internet, pour connaître les vulnérabilités que pourrait découvrir un hacker de l'extérieur du système d'information de l'entreprise, et d'avoir un ou plusieurs autres scanners au sein de l'Intranet de l'entreprise pour avoir une connaissance exhaustive des vulnérabilités du système d'information.

4.2.2.2 Les agents embarqués sur les machines cibles La seconde famille de solution de recherche de vulnérabilité s'appuie sur une technologie d'agents embarqués sur les machines cibles. Ces agents analysent les équipements sur lequel ils sont embarqués, les logiciels, leurs configurations et la présence éventuelle de correctifs. Ils déduisent les vulnérabilités d'une base de données de configurations. Cette technologie exige un déploiement préalable d'agents sur les machines et ne pourra pas être utilisée pour découvrir un parc mal inventorié ou des équipements en perpétuelle modification de configuration. Elle vise surtout à connaître la présence ou l'absence de correctifs de sécurité sur la machine sur laquelle l'agent est embarqué. Elle ne s'intéresse pas en général aux problèmes de configurations générant des vulnérabilités. Cette technologie est davantage utilisée par les outils de gestions de correctifs ou patch management. L'agent sert alors de relais au téléchargement des correctifs. Cette solution ne fonctionne plus lorsque l'agent est retiré sur une machine, par maladresse ou malveillance. Toutes les solutions de cette famille ne sont pas équivalentes. En particulière, elles ne fonctionnent jamais sur toutes les machines existantes, de tous les constructeurs et avec tous les systèmes d'exploitation et configurations possibles et imaginables. Les scanners établissant un dialogue à distance ont, pour leur part, plus de facilité à établir un contact avec tout type de machines.

Les deux technologies, scanner et agent embarqué, loin d'être concurrentes, peuvent donc être utilement complémentaire l'une de l'autre. Cet aspect est développé ci-après dans le paragraphe sur le pilotage de la distribution des correctifs.

4.2.2.3 Les consoles pour restituer les résultats des scanners Les vulnérabilités détectées par le scanner doivent être présentées aux différents responsables de la sécurité. Pour un petit périmètre, la question est très simple. Une seule personne consulte les résultats qui représentent quelques dizaines ou centaines de vulnérabilités et de machines. Dans le cas de grandes entreprises au contraire, la question se pose en terme d'organisation. En général, les entreprises souhaitent pouvoir répartir à leur guise les droits d'accès sur les vulnérabilités du système d'information. Le responsable sécurité d'une filiale aura ainsi accès aux descriptions des vulnérabilités du périmètre placé sous sa responsabilité, mais il n'est pas nécessairement pertinent de l'autoriser à consulter les vulnérabilités du système des autres filiales du groupe. De son côté, un responsable sécurité groupe souhaitera avoir une vue synthétique de l'état de vulnérabilité de l'ensemble du système. Il pourra ainsi contrôler le travail réalisé au sein de chaque entité, contrôler les dérives et, si besoin est, proposer de réaffecter certaines ressources pour répondre de manière efficace aux besoins du groupe.

L'architecture d'une solution de scanners de vulnérabilités comprendra donc une console centrale, des accès locaux et toute une organisation de consolidation, gestion des droits de lecture des résultats, et de programmation des scans. Elle pourra éventuellement mettre en œuvre des bases réparties pour fournir une grande souplesse d'organisation.

4.2.2.4 La hiérarchisation des vulnérabilités dans le contexte du système d'information de l'entreprise Trop d'information tue l'information, c'est bien connu ! Mettre en œuvre des solutions de scanners de vulnérabilités doit être fait avec soin pour ne pas se trouver submergé par une information non exploitable. Le choix de la solution retenue doit être fait dans le cadre d'une réflexion d'organisation de l'exploitation des résultats. Toutes les solutions ne sont pas toujours aussi facilement exploitables. Les grandes entreprises peuvent en effet avoir des parcs de plusieurs milliers de serveurs, et plusieurs dizaines de milliers de postes de travail. Chaque machine peut avoir plusieurs dizaines de vulnérabilités. On doit toujours garder à l'esprit que l'année de travail d'un individu ne comptera jamais plus de 1.500 à 2.000 heures de travail. Demander à une même personne d'analyser et de corriger manuellement des dizaines de milliers de vulnérabilités n'est pas réaliste.

Il est donc crucial d'organiser la production des résultats des scanners de vulnérabilités pour communiquer aux différents responsables des informations pertinentes pour le travail qu'ils doivent



faire individuellement, en précisant le degré d'importance de chaque problème pour s'autoriser à ne pas corriger certaines vulnérabilités.

Vouloir corriger toutes les vulnérabilités d'un large système d'information coûterait en effet extrêmement cher et n'est pas raisonnable. L'entreprise doit donc faire des choix et hiérarchiser les actions correctrices qu'elle va entreprendre. Toutes les vulnérabilités ne présentent pas le même risque pour l'entreprise. Une vulnérabilité permettant de lire de données sur une machine qui n'héberge pas d'informations confidentielles ne présente pas un grand danger pour l'entreprise. A l'inverse, une vulnérabilité dont l'exploitation peut générer un déni de service sur une machine de commande d'une chaîne de production présente un risque de perte d'exploitation extrêmement élevé.

Les vulnérabilités sont elles-mêmes plus ou moins critiques de façon intrinsèque. Ainsi, une première vulnérabilité exploitable pour un déni de service peut, par exemple, provoquer un reboot d'une machine. Il se peut que celle-ci fonctionne ensuite parfaitement après son redémarrage. Une seconde vulnérabilité peut par exemple être exploitée pour bloquer la même machine, mais en détruisant son système de façon à rendre tout redémarrage impossible. On le voit bien, la seconde vulnérabilité est beaucoup plus préjudiciable que la première.

Pour être efficace, les solutions de scanners de vulnérabilités doivent donc proposer une analyse des risques prenant en compte :

Le rôle propre de chaque équipement au sein du système d'information et sa criticité fonctionnelle pour l'entreprise,

La criticité intrinsèque de chaque vulnérabilité, mesurée par exemple sur des risques : • d'accessibilité à des données, • de corruption de ces données, • de déni de service, • de prise de contrôle à distance de la machine,

Le niveau de difficulté d'exploitation de la vulnérabilité.

Ce dernier paramètre peut évoluer dans le temps, avec par exemple, la publication d'« exploits » rendant simple du jour au lendemain l'exploitation d'une vulnérabilité connue.

Une mesure de criticité sur 3 niveaux, bas, moyen et haut, sans plus de précision, est trop pauvre pour une analyse efficace des risques. Une combinaison de ces différents paramètres doit permettre d'organiser une hiérarchisation pertinente des vulnérabilités identifiées dans le contexte de l'entreprise à un moment donné.

Enfin, la solution doit proposer des rapports détaillés pour les responsables opérationnels d'une partie du système d'information avec les informations adaptées pour leurs actions et doit également proposer des rapports consolidés avec une vue de synthèse pour une direction centrale de la sécurité.

4.2.3 Les usages des scanners de vulnérabilités Les usages que l'on peut faire des scanners de vulnérabilités se regroupent en 3 familles :

L'audit, la cartographie et l'inventaire,

Le pilotage de la distribution des correctifs et de la reconfiguration des équipements,

Le filtrage d'alarmes pour les outils de supervision ou fault management.

Les entreprises peuvent retenir un ou plusieurs de ces usages ou avancer progressivement d'un à plusieurs usages.

4.2.3.1 L'audit, la cartographie, l'inventaire C'est historiquement le premier usage que l'on a fait des scanners de vulnérabilités. Le scanner exécute de façon automatique des tests que les consultants réalisaient auparavant de façon manuelle. L'objectif est faire un état des lieux des risques associés aux vulnérabilités et de mesurer



le niveau de risque de global. Des mesures régulières permettent de suivre les tendances et de vérifier que les mesures de corrections prises sont efficaces.

Il est particulièrement important que les résultats de vulnérabilités soient hiérarchisés en fonction des risques intrinsèques de la vulnérabilité et de l'importance fonctionnelle de chaque équipement. Il est de même très utile que les vulnérabilités soient associées à des recommandations en vue d'effectuer ensuite les corrections.

Les scanners sont utilisés soit pour des audits ponctuels, soit pour des audits récurrents assurant un suivi du niveau de vulnérabilité.

Le scanner pouvant explorer de très larges plages d'adresses IP, il permet également de réaliser une cartographie et un inventaire du système d'information. C'est un service très utile, peu cher et très efficace. Il permet aux entreprises d'éviter des tâches de recensement manuel extrêmement lourdes. Le scanner travaillant sans agent embarqué sur la machine cible permet de réaliser un inventaire rapide, sans installation préalable longue. L'ajout ensuite d'agents sur les machines permettant d'approfondir l'inventaire, en mesurant par exemple la durée d'exploitation des logiciels. Une telle information permet de mieux gérer les licences logiciels et d'arrêter le paiement de licences de logiciels non utiles.

Les audits de vulnérabilités peuvent également être limités à l'analyse de ce qui est visible par un hacker potentiel, en plaçant le scanner sur le réseau public. On a alors un sous-ensemble de vulnérabilités par rapport à toutes celles que l'on peut déceler en positionnant le scanner sur le réseau interne de l'entreprise, c'est-à-dire sans protection de firewall entre le scanner et les machines cibles.

4.2.3.2 Le pilotage de la distribution des correctifs et des outils de reconfiguration du système d'information C'est souvent l'étape suivante de l'utilisation des scanners de vulnérabilités. Ils sont utilisés de façon permanente au sein de système d'information pour traquer l'arrivée de nouvelles vulnérabilités. Celles-ci peuvent être corrigées de 2 manières différentes :

Par le déploiement d'un correctif de sécurité, c'est-à-dire un patch,

Par une reconfiguration de l'équipement vulnérable.

Les scanners vont alors être interfacés avec différents outils pour fournir une solution d'exploitation et de maintenance du système d'information.

Des outils de trouble ticketing pour suivre le processus de correction du début à la fin et notifier les actions adéquates aux responsables concernés. L'un des plus répandu est la solution ARS de BMC Software Remedy.

Des outils de patch management pour déployer automatiquement les correctifs de sécurité. Ces outils vont en général s'appuyer sur les techniques d'agents embarqués sur les machines cibles.

Des outils de gestion de configuration et provisionning pour modifier les configurations logiciels de parcs importants.

Dans un tel processus, le scanner de vulnérabilités intervient en début de processus pour générer une alerte et exposer le besoin d'une correction avec pondération du risque. Les responsables, au vu du risque et de l'importance des machines concernées, choisissent alors de corriger ou non. Il est alors fortement recommandé de procéder à des tests de non-régression pour s'assurer que les correctifs, patches ou changement de configuration, ne sont pas incompatibles avec d'autres applications déjà en place.

Enfin, le scanner intervient après correction pour contrôler que les vulnérabilités ont effectivement disparues, et que la correction apportée n'a pas généré de nouvelles vulnérabilités. Aucun logiciel n'étant parfait, il est très intéressant de disposer d'une solution de contrôle indépendante de l'outil de déploiement pour valider, en toute impartialité, le bon résultat de l'opération de correction. Le scanner pourra notamment contrôler la présence ou l'absence des agents de télédistribution sur les machines cibles.



Schématiquement, le processus de correction peut être représenté par le diagramme suivant :

4.2.3.3 Le filtrage d'alarmes pour les solutions de supervision Les solutions de supervision, et fault management de la sécurité, sont chargées de traiter toutes les alarmes émanant d'un système. Celles-ci peuvent avoir pour source des sondes de détection d'intrusion (IDS), des logs de firewalls, filtres applicatifs, des anti-virus, etc. Ces systèmes doivent faire face à deux difficultés contradictoires :

Ne pas voir une attaque, et donc ne pas générer une alarme pertinente ;

Interpréter inutilement un comportement inoffensif comme étant une attaque.

Le principal problème est celui du traitement d'un nombre très important d'alarmes. Il n'est pas rare de parler de milliers d'alertes par jour pour une entreprise et de millions d'alertes par jour pour un grand opérateur de télécommunications. Sur de tels nombres, seule une très faible part s'avère être effectivement dangereuse et demande un traitement et des actions immédiates.

Les systèmes de fault management procède par corrélation d'évènements pour trier l'ensemble des alarmes et séparer les plus sérieuses de ce qui est appelé le « bruit ». Le facteur de réduction du nombre d'informations est parfois de l'ordre de la centaine, voire supérieure au millier.

Une connaissance actualisée des vulnérabilités du système d'information participe à ce processus de réduction du nombre d'alarmes. Il est en effet très important de savoir si une attaque porte sur un périmètre d'équipements vulnérables ou non. Suivant le cas, l'attaque pourra être qualifiée de sérieuse ou avec quasiment aucune chance d'aboutir. Les solutions de scanners de vulnérabilité doivent pour cela s'interfacer avec les outils de fault management et supervision de la sécurité.



5 LES RESEAUX PARTICULIERS

5.1 APPLICATIONS A LA VOIX SUR IP Auteur Alexis Ferrero (OrbitIQ) [email protected]

La généralisation des infrastructures exploitant des services de type Voix sur IP (VoIP), pose naturellement avec une plus grande acuité le problème de la vulnérabilité de ces systèmes.

Des systèmes de protection bien spécifiques ont donc été développés pour répondre aux problèmes et faiblesses intrinsèques des solutions VoIP courantes, en cohérence avec les contraintes de QoS (qualité de Service) requises pour le transport de la parole.

Dans la majorité des cas, ces équipements, comparables en terme de positionnement aux Firewalls et autres IDS, placés entre les serveurs et éléments VoIP, et les postes clients, filtrent les connexions et suivent le trafic avec une compréhension des protocoles mis en oeuvre.

Actuellement ces fonctions sont souvent intégrées à un produit dédié nommé Session Border Controler (SBC), mais peuvent aussi se retrouver dans d'autres éléments de l'architecture VoIP (tels que SIP Proxy, SoftSwitch, etc.).

Nous allons voir les risques particuliers qui existent dans le monde VoIP, et quelle solution les produits spécifiques récents apportent.

5.1.1 Architecture d'un système VoIP Le SBC est généralement placé en frontal du système VoIP à protéger, en point de coupure entre l'infrastructure VoIP de l'opérateur et, soit les réseaux clients, soit les infrastructures des autres opérateurs avec lesquels il a des accords d'échange. Il occupe cette position pour pouvoir, par exemple réaliser des fonctions de NAT Remote Traversal ou la génération de SDR, mais il est surtout placé à un point stratégique pour pouvoir protéger le réseau VoIP de l'opérateur en filtrant les connexions malveillantes, mais aussi en masquant certains détails vis-à-vis de l'extérieur.

Dans la plupart des cas le trafic VoIP est acheminé sur un réseau ou un VLAN distinct de celui des données, et doit donc remplir toutes les fonctions de sécurité pour ce réseau, puisqu'il n'est pas secondé par un équipement traditionnel. Inversement, il n'est sensé gérer que le trafic de type VoIP (signalisation et flux de phonie).

Rappel : NAT Remote Traversal

De par la pénurie d'adresses IP publiques, et le besoin de se protéger de divers types d'attaques, une grande partie des réseaux d'utilisateurs, en entreprise comme en résidentiel, sont placés derrière des équipements chargés de la fonction de NAT (Network Address Translation) qui convertissent les adresses IP entre l'Internet et le réseau interne, et dans la majorité des cas, de manière asymétrique, c'est à dire en n'utilisant, par exemple, qu'une unique adresse IP publique




(visible de l'Internet) pour les différents utilisateurs du réseau. Cette conversion n'ayant que peu ou pas de compréhension des protocoles applicatifs, elle rend incohérents les paquets de signalisation (SIP ou MGCP par exemple), dans lesquels les adresses IP de l'en-tête et de la partie signalisation n'ont plus aucune correspondance. Pour remédier à ce problème, une solution peut être de modifier tous les équipements NAT (comme par exemple toutes les Residential Gateway) pour qu'ils comprennent et gèrent correctement la conversion des adresses IP de l'en-tête mais aussi celles apparaissant dans le champ de la signalisation. Cette solution est hélas très utopique. Une solution beaucoup plus réaliste consiste à palier à la modification des adresses IP a posteriori (après le passage par le NAT), pour rendre la cohérence aux datagrammes de signalisation lors de leur réception par l'opérateur VoIP. C'est que l'on appelle le NAT Remote Traversal, puisque la correction est effectuée à distance.

5.1.2 Les risques

Les risques de la VoIP comparés aux systèmes voix traditionnels existent car le réseau VoIP est, comme son équivalent data, connecté à l'Internet, et de ce fait, exposé à toutes les tentatives d'intrusion, et d'attaques que l'on y trouve. Parce que l'ensemble des communications avec l'extérieur va circuler sur le même lien, le risque d'écoute indiscrète est d'autant plus important. (En téléphonie traditionnelle, le multiplexage des canaux rendait un peu plus complexe ce type d'espionnage, puisque chaque communication devrait alors faire l'objet d'une écoute spécifique).

La probabilité d'attaque est plus élevée que dans le monde data, parce que l'environnement téléphonique fait intervenir une composante économique (coûts et revenus) beaucoup plus rigoureuse que dans le monde de la data. Une communication téléphonique vers l'international ou vers un mobile, dont l'émetteur est mal- ou non-identifiable, a un coût intrinsèque réel, que l'opérateur va certainement devoir régler, sans pouvoir répercuter vers le véritable appelant. A grande échelle (durée et quantité de communications) cela devient très vite un problème critique.

Un autre risque, qui n'est pas propre à la VoIP mais cependant fondamental est qu'en mutualisant l'utilisation de l'infrastructure de communication pour supporter les services Voix et Data, on prend le risque de voir les deux services devenir simultanément indisponibles en cas de défaillance ou d'attaque sérieuse, et donc de perdre de cette façon le moyen ultime habituel : Appeler le technicien réseau par téléphone en cas de panne réseau.



5.1.3 Les attaques La plupart des attaques spécifiques VoIP ont un équivalent dans le monde des PBX traditionnels. Certaines sont plus faciles en VoIP, d'autres au contraire plus complexes :

Le DoS (Denial of Service) qui consiste à dégrader ou inhiber un service en bombardant un élément de l'infrastructure VoIP (serveur Proxy, Gateway par exemple) d'une grande quantité de paquets malveillants (tels des trames TCP SYN ou ICMP Echo à destination d'un SIP Proxy)

L'Eavesdropping ou Call Interception, qui correspond à l'observation indélicate et/ou illégale des flux (signalisation et phonie) et au décodage pour une écoute passive et prohibée des communications

Le Packet Spoofing, ou Presence Theft, où le malfaiteur génère des paquets en utilisant ou en usurpant l'identité d'un utilisateur (permettant donc une impersonation soit au niveau paquet au niveau de l'équipement, ou bien au niveau de l'individu). Typiquement ce genre d'attaque permet de tricher sur la facturation (Toll Fraud)

Le Rejeu (Replay) qui est la re-transmission de tout ou partie d'une session réelle, de manière à ce qu'elle soit traitée à nouveau (a priori dans un but malintentionné), ce qui correspond aussi au Signal Protocol Tampering

Le Message integrity, qui modifie ou corrompt le ou les messages lors de leur circulation

En VoIP il est aussi possible d'injecter un virus à un flot de données. Les équipements de sécurité dédiés doivent donc vérifier le contenu des communications au fil de l'eau, si un anti-virus n'est pas déjà actif sur le circuit vers l'Internet.

5.1.4 Fonctions Les fonctions de sécurisation que nous allons détailler sont les suivantes :

Cryptage

Firewall VoIP Stateful (Signal & Media Validation)

Admission Control List (ACL)

Topology Hiding

Observation et interception légale

DoS protection

5.1.4.1 Cryptage Un moyen de protéger les flux (signalisation et média) lors de leur transit de toute observation, est naturellement de les crypter, par exemple via un VPN. Il s'agit d'une solution commune à tous les échanges de données, qui dans le cas de la VoIP doit cependant ne pas ajouter de délai de codage trop important, sous peine de dégrader la qualité de la voix. Le fait d'avoir des équipements de terminaison hardware permet généralement d'éviter cet écueil.

5.1.4.2 Firewall VoIP Stateful Cette capacité correspond dans la pratique à l'ouverture et la fermeture dynamique de "pinhole" par le SBC, à partir de l'établissement d'une connexion et jusqu'à sa clôture.

Le SBC qui a la compréhension des protocoles de signalisation, va suivre l'échange menant à l'établissement effectif de la connexion VoIP, et ouvrir automatiquement le "trou" correspondant à la combinaison (adresse IP, numéro de port) dans les deux sens. Notons par ailleurs que la plupart des SBC effectuent aussi du NAT Traversal et sont effectivement obligés de suivre l'établissement de la connexion, et au passage, de modifier certaines adresses IP à l'intérieur du datagramme, de manière à permettre le passage au travers du NAT distant.

Naturellement les SBC, tels un Firewall Stateful, bloquent implicitement toutes les combinaisons d'adresses IP et de numéro de port qui ne correspondent pas à l'ouverture ou la continuation d'une session VoIP identifiée.



5.1.4.3 Admission Control List D'une manière parfaitement comparable à la configuration d'un Firewall ou des règles de sécurité applicables sur un routeur, il est possible et recommandé de définir un certain nombre de filtres sur le SBC, restreignant les communications VoIP à un ensemble délimité d'adresses IP référencées. Tout équipement non-référencé verra ses tentatives de connexion systématiquement rejetées.

5.1.4.4 Topology Hiding L'équipement chargé de la protection de l'infrastructure VoIP bloque systématiquement toute tentative d'accès aux serveurs et entités média situés dans la zone protégée. Cela correspond à cacher, ou occulter l'ensemble des éléments VoIP du cœur du système et qui n'ont pas de raison d'être en "contact" direct avec l'extérieur.

5.1.4.5 Observation et interception légale Le SBC est aussi l'élément stratégique privilégié pour effectuer un suivi des communications, voire une écoute quand cela est requis par l'autorité adéquate. Les SBC sont donc généralement capables de détecter en temps réel un comportement à risque, et de dupliquer la session sur un port d'écoute, permettant la surveillance d'une connexion malveillante, comme peut le requérir le CALEA (Communications Assistance for Law Enforcement Act) outre atlantique.

5.1.4.6 DoS Protection Le moyen le plus efficace de se protéger des attaques de type DoS (Denial of Service) en VoIP consiste à s'assurer d'une cohérence avec le protocole employé et le service requis.

Ainsi en limitant le taux d'établissement d'appel et média (call set-up rate & media rate) par flux, on se protège implicitement des attaques DoS, mais aussi potentiellement des perturbations que pourrait engendrer un équipement défectueux (dans un état instable), tout en maintenant le service pour les utilisateurs légitimes.

La temporisation entre appels (call gapping) permet de protéger le SoftSwitch, les serveurs Proxy SIP et les autres entités impliquées dans la signalisation, d'une sur-occupation temporaire malveillante, voire de tendre vers un état inopérant.

La limitation du taux d'appels (rate limiting) quant à elle, permet de protéger aussi bien le Media Gateway, serveur IVR, et autres équipements média, en définissant des taux naturellement cohérents avec la technologie (par exemple, le codec employé pour un flot permet de situer un seuil maximum du nombre de trames que l'on doit recevoir par seconde).

Note : Dans le monde de la VoIP, les Phreakers sont les pendants des Hackers (terme inapproprié mais tellement galvaudé). Les Phreakers utilisent le système téléphonique pour :

passer des appels gratuitement

perturber le système téléphonique

pour se divertir (défi plus ou moins technique)

5.2 LA SECURITE DU CENTRE D’APPELS Auteur : Jean-Denis Garo (EADS) – [email protected]

5.2.1 Le centre d’appels Un centre d’appels est une application permettant la distribution intelligente des appels vers des compétences.

Physiquement un centre d’appels est constitué d’un logiciel de traitement des appels connecté à un autocommutateur (PBX). Des modules optionnels peuvent enrichir la solution centre d’appels : SVI (Serveur Vocal Interactif), application d’appels sortants (Preview, Progressive, Predictive), enregistreur de communications, base de données, logiciels de relation client (ERP, Planification, GRC ou CRM), bandeaux lumineux, casques, PC …



On utilise le vocable «centre de contacts» lorsque les flux mail, fax sont intégrés au «routage intelligent des appels» ou qu’une interaction avec le web est proposée (chat, push de pages internet, partage de formulaires…)

5.2.2 Les enjeux Le centre d’appels est l’outil de vente au cœur de la relation client, une interruption de service dans un contexte commercial générera des pertes financières importantes pour l’entreprise utilisatrice. Prenons l’exemple d’une activité de cambiste, ou de vépéciste, ou de centre de réservation (SNCF) : l’interruption de service se chiffrera immédiatement en perte de chiffre d’affaires et l’utilisateur saura réclamer les pertes à son prestataire de service (intégrateur ou opérateur).

Cette préoccupation reste toutefois plus directe pour les outsourceurs dont l’obligation de moyens est souvent spécifiée dans l’Appel d’Offres par leurs clients.

Au-delà de l’aspect commercial, pour des administrations le service aux usagers peut revêtir des aspects d’extrême urgence : le cas d’un centre d’appels (application appels sortants) utilisé en prévention des risques d’inondations, ou en protection des personnes âgées à domicile, ne saurait subir une perturbation.

Enfin le centre d’appels est également utilisé dans les centres de secours ou de commandements (control room) par les SAMU, Pompiers, et même service de police, dans ces cas particuliers toute rupture de communication aurait des répercutions tragiques. En effet le centre d’appels est l‘un des outils de la chaîne d’alerte, il sert à la qualification de la demande (via QCM dynamique en CTI) et permet au « régulateur » de rester en contact avec les équipes d’interventions et ce en coordination avec des outils de cartographie afin d’aider ces forces dans leurs actions.

5.2.3 Une double actualité : L’évolution des besoins et des technologies modifie les architectures offertes aux utilisateurs.

Un centre d’appels peut ainsi être mutualisé sur de nombreux sites (SNCF Grandes Lignes mutualise 2000 positions sur 38 sites en France, réparties sur 9 centres d’appels en réseau).

Cette mutualisation est possible au travers d’un WAN, mais peut aussi servir des agents à domicile (télétravail) via ADSL, comme des agences au travers d’un IPBX.

Le centre d’appels est alors distribué, comme ses applications (base de données, SVI…) sur des réseaux distants.

Par ailleurs, l’ouverture du centre de contacts vers de nombreux moyens d’accès multimédia à sécuriser :

Possibilité de contacts via les emails, les fax ;

Possibilité de contact au travers du Web (chat, partage de formulaire, co-navigation web)

Utilisation de la ToIP (téléphonie sur IP)

… rend la gestion de l’intégrité du centre d’appels ou de contacts plus complexe.

Des préoccupations nouvelles :

L’enrichissement de la connaissance du client, dans le traitement de sa demande ou en préalable à un appel, fortement favorisé par le CTI (couplage téléphonie Informatique) permet une remontée de fiche (Pop Up) à l’écran de l’agent, et permet également à l’agent comme à l’appelant d’interroger des bases de données, au travers du SVI. Cet enrichissement, impératif dans la recherche de rentabilité de l’entreprise utilisatrice d’un centre d’appels, est recherché dans l’amélioration de la relation client comme des applications « self service » (consultation d’un compte bancaire, de résultats d’examens, commande de fournitures, de documents administratifs…)

Si les préoccupations classiques du gestionnaire étaient d’assurer la disponibilité (conformité du système à ses spécifications à un moment donné), la continuité de service (conformité du système à ses spécifications sur une période donnée), la sûreté (capacité du système à être arrêté en cas d’erreur ou d’attaque), et la maintenabilité (capacité du système à évoluer et à être réparé).



Toutefois l’intégration à la gestion du flux voix, de ces nouveaux éléments apporte son lot de nouvelles préoccupations pour le gestionnaire de la sécurité. Nous en détaillons trois sur le modèle de la CIA :

Un point d’accès central aux informations personnelles des clients qui doivent être protégées : Confidentialité. Les informations santé ou bancaires ou toutes informations confidentielles utiles à l’organisme amener à les gérer ne doivent pas être accessibles par accident ou malveillance à autrui.

S’assurer de l’intégrité des informations transmises : Intégrité. Une commande par Internet ou téléphone amène l’utilisateur à transmettre des informations concernant sa carte bancaire, ses codes d’accès ou son profil, ces dernières doivent être protégées.S’assurer de la bonne identité du télé-acteur : Authenticité. De la même manière que pour l’exemple précédent, un utilisateur de centre d’appels doit délivrer ses informations au bon interlocuteur, et ainsi être assuré que dans ses transactions mail, fax, web ou téléphoniques, il s’adresse à la bonne personne.

5.2.4 Les risques : Nous pouvons identifier 4 familles de risques :

Les risques extérieurs (qui touchent les locaux) : inondation, incendie, rupture de l’alimentation en électricité, coupure des lignes opérateurs…

Les risques humains intérieurs : grève, sabotage (déni de service), malveillance…

Les risques humains extérieurs : écoute électronique (eavesdropping), fabrication d’un message envoyé par une entité se faisant passer pour une autre (spoofing), attaque virale…

La déficience matérielle et logicielle.

5.2.5 Les chaînons Cette chaîne de sécurité protégeant l’activité du centre d’appels est composée de 5 chaînons :

La téléphonie, les serveurs ;

Les logiciels, les progiciels ;

La stabilité des OS, PC opérateurs ;

Les applications tierces : base de données ;

Les utilisateurs.

5.2.6 Les solutions : L’élément prépondérant sera pour le gestionnaire du centre d’appels de définir le niveau de sécurité souhaité. Le cœur du centre d’appels reste le PBX ou IPBX, c’est la robustesse et l’intégrité de ce premier chaînon qu’il faudra assurer.

D’autres précautions seront envisagées, en fonction du niveau de sécurité souhaité. Nous énumérons les principales, cette liste n’est pas exhaustive, et chaque projet nécessite une stratégie sécurité propre.

Options organisationnelles :

Déployer une architecture en réseau. Plusieurs centres d’appels sur des sites distincts dialoguent et partagent la charge. Une fonction d’hyperviseur permet de centraliser les statistiques et la supervision de l’activité. Chaque site peut être cloisonné. Des droits de clients légers peuvent être octroyés à un superviseur nomade.

Programmer des audits réguliers de l’architecture.

Programmer des formations « sécurité » du personnel du centre d’appels.

Options Technologiques :



Privilégier la solution IPBX à la solution PCBX

Créer une DMZ (Firewall) hébergeant les serveurs Voix : centres d’appels, SVI, et l’offre IPBX

Créer une DMZ (Firewall) hébergeant les serveurs Data : Internet, messageries mails, bases de données…

Offrir un VPN aux sites ou utilisateurs distants

Déployer des solutions antivirus notamment sur les postes clients et les serveurs

Sauvegarder les scripts et messages d’accueils ou IVR sur des serveurs distants.

Dupliquer les serveurs, les alimentations…Envisager une solution de réplication et restauration des données : une solution logicielle indépendante de la plate-forme.Un serveur de secours

géographiquement délocalisé.Une réplication asynchrone garantissant un transfert séquentiel en temps réel des données.Un basculement automatique (Fail Over) sur le secours avec une discontinuité du service inférieure à 10mn.

• Une restauration (Fail Back) vers la configuration nominale.

Envisager une solution de partage de charge et de haute disponibilité : la première solution propose un serveur qui contrôle et rend prioritaire les flux en fonctions de la charge des centres d’appels, associé à la haute disponibilité on s’assure qu’en cas de panne l’ensemble des flux est dirigé vers le centre d’appels opérationnel.

5.3 LA SECURITE DES RESEAUX SANS FIL Auteurs : Michèle Germain ( ComXper) [email protected] et Alexis Ferrero (OrbitIQ) [email protected]

Ce sous-chapitre traite essentiellement des réseaux Wi-Fi basés sur les standards 802.11 de l’IEEE, qui sont les plus répandus en tant que WLAN. D’autres technologies seront néanmoins évoquées à la fin.

5.3.1 Le problème du WEP Le standard 802.11 qui régit les réseaux sans fil Wi-Fi a été pensé pour donner un maximum de facilité d’emploi et de flexibilité pour se connecter à un réseau, au détriment hélas de la sécurité.

Il prévoit un mécanisme d’authentification réseau et un chiffrement WEP, trop fragile pour résister longtemps aux attaques des hackers. De plus, nombre d’utilisateurs négligent de mettre en œuvre ces sécurités élémentaires.

L'identification réseau

Un réseau radio Wi-Fi est identifié par un SSID (drapeau alphanumérique non crypté) qui sert de reconnaissance mutuelle entre le point d’accès et les terminaux. Pour être clair, le SSID n’a pas la vocation d’être un élément de sécurité ; il a pour seul but de garantir l’indépendance de réseaux radioélectriquement proches.

Chaque fabriquant utilise un SSID constructeur qui est programmé par défaut sur tous les équipements commercialisés. Bien évidemment, les listes SSID constructeurs sont largement publiées sur l’Internet. La première précaution consiste donc à personnaliser le SSID.

Le SSID n’est malgré tout qu’une piètre protection, puisqu’il est diffusé en clair sur l’interface air. Les tags de Warchalking ne s’y trompent pas et indiquent explicitement le SSID du réseau. La diffusion du SSID se fait périodiquement ou bien à la demande d’un poste mobile qui désire se connecter. L’option programmée par défaut est la diffusion périodique.

Plusieurs mécanismes permettent d'améliorer significativement la sécurité de la phase de connexion.

Le premier consiste à inhiber la diffusion périodique du SSID. Dans ce cas, c'est au poste client de connaître ce SSID pour s'attacher (ou d’émettre une demande de connexion, cf. ci-dessous). C’est une sage précaution mais une piètre protection. L’attaquant n’a qu’à attendre patiemment qu’un usager mobile se présente : l’heure d’ouverture des bureaux d’une entreprise est un moment très favorable à l’interception du SSID.



Une technique similaire consiste à ne pas répondre aux broadcast émis par des postes mobiles désirant se connecter et qui demandent quels sont les SSID disponibles ou visibles. Les postes mobiles du réseau doivent alors obligatoirement connaître le SSID.

Il s'agit cependant, d'une part, de protections très limitées, car les SSID peuvent être découverts via les communications des autres postes mobiles observés, et d'autre part, l’inhibition de l’échange du SSID peut bloquer l'attachement de certains NIC dont les implémentations nécessitent ces étapes dans leur processus de connexion.

Personnaliser le SSID et ne pas le diffuser, c’est mieux, mais c’est insuffisant ! Le WEP

Le WEP est le mécanisme de sécurisation standard prévu par le protocole 802.11. Il repose sur un mécanisme d’authentification et de chiffrement utilisant des clés de 40 ou 128 bits (plus un vecteur d'initialisation de 24 bits). Jusqu’à ce qu’il impose WPA (voir ci-dessous), le label Wi-Fi n’imposait qu’une clé de 40 bits.

Des implémentations à 128 (24+104) et 256 bits sont courantes et plus robustes. Mais des programmes existent maintenant dans le public pour casser ces clés.

Le chiffrement utilise un « ou exclusif » des données à chiffrer avec une séquence pseudo aléatoire. Les principales vulnérabilités de cet algorithme viennent des facteurs suivants :

la séquence pseudo aléatoire est obtenue au moyen d’un algorithme linéaire et est facilement prédictible

la clé est statique et commune à l’ensemble des points d’accès et postes mobiles du réseau,

le contrôle d’intégrité est faible et ne filtre pas efficacement les altérations des trames,

il ne comporte pas d’indication de séquencement, ce qui facilite les attaques par rejeu,

la séquence pseudo aléatoire est initialisée au moyen d’un vecteur d’initialisation, transmis en clair sur l’interface air et de ce fait interceptable par sniffing.

Face à ces faiblesses, diverses méthodes ont été ajoutées pour résoudre cette insuffisance. Citons le dynamic WEP et surtout le TKIP qui permettent le changement fréquent de la clé de chiffrement. Ces dernières fonctionnalités se trouvent en standard dans les mécanismes du 802.11i.

L’authentification est tout autant vulnérable, du fait qu’elle est basée sur la même protection que le chiffrement. Elle se fait par envoi d’un texte à chiffrer au poste mobile qui désire se connecter. Cette dernière renvoie le texte chiffré par le WEP. Si le chiffrement est connu, l’intrusion est immédiate. Sinon, il suffit d’écouter la séquence de connexion d’un poste mobile puisque le texte d’authentification passe successivement en clair puis chiffré sur l’interface air. En tout état de cause, l’authentification porte sur le poste et non sur son utilisateur.

En pratique, il suffit de deux heures pour « casser » le WEP, certains se vantant même de le faire en un quart d’heure !

Pour faciliter le travail des hackers, il existe des dictionnaires de séquences pseudo aléatoires en fonction des valeurs du vecteur d’initialisation. On trouve également sur Internet d’excellents logiciels de cracking du WEP (Airsnort ou Netstrumbler sous Linux, par exemple).

Utiliser le WEP, c’est mieux, mais c’est insuffisant ! Modification de la clé

La clé de chiffrement est unique et partagée par tous les points d’accès et postes mobiles du réseau. Une clé, ça s’use… et une des règles élémentaires de la sécurité des réseaux chiffrés consiste à changer périodiquement les clés.

Le protocole 802.11 ne prévoit aucun mécanisme de mise à jour des clés. Par conséquent, la mise à jour doit se faire manuellement et simultanément sur tous les équipements radio du réseau. Ceci n’est possible que sur de très petits réseaux et, en pratique, personne ne se livre à



une opération manuelle sur un réseau qui comprend un nombre significatif de points d’accès et de postes mobiles.

Modifier les clés, c’est mieux, mais c’est irréaliste ! Le filtrage des adresses MAC

Cette protection consiste à n’autoriser l’accès au réseau qu’à un ensemble de stations dûment répertoriées au moyen de leur adresse MAC. Cette protection n’est pas non plus parfaite, car les adresses MAC peuvent être récupérées par les sniffers et réutilisées par des hackers.

Enfin, le filtrage des adresses MAC est contraignant pour l’utilisateur puisque l’introduction d’un nouveau poste mobile nécessite une reconfiguration du réseau. En pratique, cette technique n’est réaliste que si le réseau contient un nombre relativement restreint et stable de stations.

Filtrer les adresses MAC, c’est mieux, mais c’est insuffisant ! Alors que faire ?

La mauvaise réputation des réseaux sans fil vient de ce que nombre d’utilisateurs n’ont voulu mettre en œuvre que les mécanismes standards, ou aucun, ou encore se font une bonne conscience en inhibant la diffusion du SSID.

Les techniques des réseaux filaires, notamment le VPN, peuvent venir au secours des réseaux sans fil, pour apporter une sécurité applicative.

Consciente des failles de sécurité du protocole, l’IEEE travaille à une extension du protocole de base, désignée 802.11i, qui repose sur des techniques éprouvées de chiffrement et d’authentification, dont le WPA (Wi-Fi Protected Access) constitue une première étape (cf. § 5.3.3).

5.3.2 Les contre-mesures de base 5.3.2.1 La surveillance du réseau

L’IDS

Les protections contre les intrusions réseau se font essentiellement par les systèmes IDS dédiés au Wi-Fi, qui cherchent à corréler plusieurs événements douteux pour déterminer si le réseau ou un système particulier est en train de subir une intrusion

Les capacités de l'IDS wireless intégrées au commutateur Wi-Fi consistent à surveiller continuellement les échanges et les flux Wi-Fi pour détecter au plus tôt tout risque ou événement anormal, informer immédiatement l'administrateur et réagir en temps réel.

Les équipements évolués savent repérer les WEP faibles, les Rogue AP, les ponts wireless (WBS), localiser les équipements responsables d'un déni de service, détecter une impersonation ou une attaque ASLEAP5. Ces capacités reposent sur la base de connaissance que possède le commutateur central et qu'il enrichit au fil de l'eau lors de toute connexion, authentification, tout échange, tout déplacement ou toute modification des caractéristiques d'un équipement.

La surveillance du trafic

Un mode de protection particulièrement efficace contre l’impersonation consiste à observer continuellement tout le trafic Wi-Fi, tout le trafic sur les réseaux câblés, et de pouvoir détecter toute station ou AP incohérent. Il s'agit de détecter l'apparition d'un élément inconnu (station ou AP), la "duplication" d’une station ou d’un point d’accès, le "déplacement" d'un point d’accès.

Un moyen de surveillance est, par exemple, de vérifier que le trafic des postes mobiles Wi-Fi connus et détectés passe bien par les LAN appropriés. Un autre consiste à associer à chaque poste mobile la puissance du signal émis. Si pour la même adresse MAC, deux puissances

5 ASLEAP est un outil permettant de cracker le cryptage LEAP



différentes sont perçues à un moment donné, les deux postes sont mis en quarantaine et une alarme est envoyée vers l'administrateur.

Les équipements qui supervisent les différents flux de communication s'assurent que les communications provenant des AP ne parviennent pas directement au cœur du réseau par un circuit illicite (Rogue AP typiquement) et à l'inverse, que ces communications radio sont effectivement visibles sur le réseau câblé après passage par l'équipement de protection (commutateur, firewall, etc.) et non pas détournées vers un réseau pirate via un Fake AP.

Le monitoring

Le mode de fonctionnement de Wi-Fi implique que dès qu'un AP est associé à un canal de fréquence, il ne fonctionne que sur ce canal et n'a plus la possibilité de superviser les autres canaux.

Ceci est donc le rôle de points d’accès particuliers dédiés à l'écoute, donc passifs, qui balayent continuellement les différents canaux pour surveiller les flux des différentes cellules qu'ils reçoivent et vérifier le bon fonctionnement des points d’accès voisins.

Tout le trafic de ces AP de surveillance est remonté vers le commutateur qui peut s'assurer qu'aucun de ses clients connus ne se connecte à un AP "non référencé".

Les AP passifs, donc en mode d'écoute, peuvent détecter et suivre des signaux relativement faibles, provenant d'équipements assez éloignés. Par conséquent, leur couverture est beaucoup plus large que celle des AP actifs.

Enfin, concernant les capacités de monitoring, un administrateur réseau peut mettre en œuvre un système Wi-Fi non pas dans le but d’offrir un service de mobilité, mais dans celui de surveiller qu'aucune installation pirate (Rogue AP) n'a effectivement été installée et connectée au réseau. Ainsi, un commutateur WLAN uniquement équipé d'AP passifs permet de surveiller quotidiennement le réseau et de détecter l'apparition de transmissions Wi-Fi avant même qu'une installation « officielle » ne soit déployée.

Détachement forcé

La protection la plus courante consiste à forcer systématiquement le dé-attachement du client en cause ou de tous les clients connus qui se seraient attachés à un AP frauduleux. De cette façon le réseau Wi-Fi apparaît inaccessible à ces postes de travail qui ne parviennent pas à établir une connexion complète.

Cette capacité apporte une protection forte mais elle nécessite néanmoins de régler définitivement le problème par une intervention physique sur le poste client ou l'AP à la source du danger. Des outils de localisation facilitent la recherche de l’équipement visé.

L’audit de la couverture radio

Lors de l’installation des points d’accès, il est important de vérifier que la couverture radio ne déborde pas inutilement hors de la zone prévue, même si ceci ne met pas le réseau à l’abri des hackers équipés d’équipements amplificateurs qui leur permettent d’agir bien au-delà de la zone de couverture nominale.

Une disposition judicieuse des points d’accès et des antennes permet d’optimiser la couverture radio. Celle-ci doit ensuite être vérifiée périodiquement, pour s’assurer qu’aucun point d’accès pirate n’a été ajouté sur le réseau. Cette précaution vaut également pour les réseaux câblés non Wi-Fi… certains utilisateurs ont déjà eu la surprise de trouver des points d’accès Wi-Fi sur des réseaux qui n’étaient pas supposés en intégrer.

5.3.2.2 L’ingénierie du réseau Le commutateur

Si les points d’accès sont connectés sur un simple concentrateur et non sur un commutateur, les données à destination de tout poste fixe ou mobile sont diffusées sur le réseau et peuvent être interceptées par un sniffer. Il est vivement recommandé de déployer les WLAN sur des infrastructures de commutateurs et de contrôler le trafic des postes mobiles vers le réseau câblé..



Il existe deux types d’architecture WLAN :

La première repose sur un commutateur standard. Les points d’accès intègrent les fonctions radio réseau et sécurité. Le commutateur peut gérer aussi bien les postes fixes que les postes mobiles.

La seconde repose sur un commutateur spécifique WLAN qui fédère les fonctions radio, réseau et sécurité. Les points d’accès n’ont aucune intelligence et se contentent de jouer leur rôle d’émetteur-récepteur radio. Cette seconde configuration est plus résistante aux attaques de type Rogue AP, puisque nécessite une intervention au niveau du commutateur.

Notons qu'idéalement le commutateur WLAN possède plusieurs queues, permettant d'envisager la gestion de flux avec garantie de qualité de service (QoS), typiquement la VoIP à partir d'ordinateurs ou de téléphones Wi-Fi.

Le VLAN

Une précaution consiste à segmenter le réseau afin d’isoler les données sensibles du réseau radio et à déployer le WLAN sur une infrastructure VLAN6 qui lui est propre. Le réseau peut comporter plusieurs VLAN, chacun correspondant à un sous-réseau WLAN spécifique avec son propre SSID.

Il est ainsi fortement recommandé de faire arriver systématiquement tous les VLAN du réseau sur le commutateur WLAN, même ceux qui ne feront transiter aucun trafic par celui-ci. Cela permet au commutateur de localiser tous les équipements, de mettre à jour sa base de connaissance du réseau et de détecter la présence anormale d'un flux ou d'un client sur un segment où il ne devrait pas figurer.

Les sous-réseaux radio sont mis logiquement dans une zone démilitarisée d’un firewall qui contrôle le flux d’informations entre le réseau radio et le réseau filaire (cf. ci-dessous).

Le firewall

Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre la partie WLAN et le reste de l'infrastructure réseau. Il est intégré au commutateur WLAN, quand il y en a un.

Idéalement, ce firewall doit mettre en œuvre des protections au niveau de l’adressage, gérer des filtres, journaliser les connexions, posséder des ACL (Access Control List) à partir desquelles les accès sont filtrés, suivre les connexions dans le temps (capacité dite « stateful ») afin de garantir un niveau de sécurité au moins égal à celui de l'environnement câblé.

La meilleure protection est de considérer tout ce qui concerne le réseau sans fil (à l’intérieur et à l’extérieur de l’entreprise) comme étant dans une bulle d’insécurité à mettre logiquement sur une DMZ du firewall et activer une authentification forte et des mécanismes de chiffrement VPN.

6 Partition logique d’un réseau physique visant à créer des sous-réseaux (segments) virtuels.



Configuration du WLAN dans la DMZ d’un firewall

Le pot de miel (honeypot)

La configuration du WLAN peut également inclure des pièges (pots de miel), sous la forme de points d’accès peu sécurisés n’accédant qu’à des données sans importance qui attireront les hackers et les tiendront hors du réseau protégé.

Le VPN

Le VPN fournit un tunnel chiffré qui constitue une protection efficace, notamment lorsque l’utilisateur travaille dans une zone non sécurisée, par exemple sur un hotspot public.

L'utilisation de réseau virtuel privé gère la liaison de la même manière que pour un poste nomade filaire raccordé via modem téléphonique. Le VPN assure le cryptage et l'authentification mutuelle, protégeant ainsi tous les trafics de l'ordinateur client jusqu'au commutateur Wi-Fi. Ce dernier a la charge de terminer les VPN de tous les clients et de livrer un trafic "sain" au réseau LAN auquel il est connecté.

5.3.2.3 La configuration des stations radio Interdiction de liaison « ad hoc »

Les postes mobiles, ainsi que les postes fixes équipés de l’option Wi-Fi, doivent être configurés pour interdire toute connexion « ad-hoc », c’est à dire de station à station, sans passer par un point d’accès. Ceci fait barrage aux hackers qui tenteraient une intrusion du réseau via une station du réseau. Cette précaution est essentielle pour les utilisateurs amenés à se connecter à leur entreprise depuis un hotspot public.

Concernant les postes fixes équipés de l’option Wi-Fi, il est bon de désactiver celle-ci hors utilisation.

Il est vivement conseillé que les postes mobiles soient également équipées d’un firewall personnel pour filtrer les accès entrants indésirables et limiter les possibilités de connexions sortantes.

Contrôle du débit radio

Un type de protection assez répandu contre les AP frauduleux (Fake AP) positionnés par exemple à l'extérieur du bâtiment (et donc avec une puissance radio faible), consiste à interdire aux postes mobiles de se connecter avec un débit trop bas (1 ou 2 Mb/s), car a priori incohérent avec la topologie de disposition des AP issue de l’ingénierie radio du réseau.

5.3.2.4 Les défenses radio Les leurres



Cette forme de défense, propre aux réseaux Wi-Fi, est une riposte contre le Wardriving (« Fake AP » de Black Alchimy sous Linux).

Elle consiste à diffuser en grand nombre des trames contrefaites avec des SSID, adresses MAC et numéro de canal aléatoires. Les outils de Wardriving voient des multitudes de réseaux et sont incapables de repérer le vrai.

5.3.2.5 La sécurisation au niveau applicatif La sécurisation de l’information transportée peut être faite au niveau des applications, sans protéger l’association du poste mobile au point d'accès. L’information peut être détournée mais elle est inutilisable.

Chiffrement

Des protocoles standards, comme SSL, peuvent être employés à cet effet.

Authentification

Ce mode d'authentification par un serveur Web "forcé" à la connexion, répond au besoin de type hotspot pour les opérateurs.

Il revient à authentifier l'utilisateur par login/password sur un portail Web, le serveur Web résidant dans le commutateur WLAN. La liaison entre le Client et le commutateur est sécurisée par SSL et l'authentification peut être réalisée via une base d’authentification locale.

En retour l'utilisateur est assigné à une catégorie définissant son VLAN, ses droits, etc. Par exemple si l'utilisateur est connu mais qu'il n'a plus de crédit, il peut être redirigé vers un VLAN aboutissant à une page particulière qui l’invite à renouveler son abonnement.

Pour sécuriser totalement les communications authentifiées par serveur Web, un moyen est de faire suivre la phase d'authentification par la mise en service d'un client VPN éventuellement téléchargé (Dialer VPN).

5.3.3 Les évolutions du protocole : WPA et 802.11i 5.3.3.1 Petit historique

1997

2002

2000

1999

2004

Ratification du standard 802.11 avec WEP

Début du WardrivingDécision de l ’IEEE de lancer 802.11i

Ratification du standard 802.11b (WiFi) avec WEP

Introduction de WPA

Ratification de 802.11i

?

5.3.3.2 802.11i Le protocole 802.11i, extension du protocole de base pour la sécurité du Wi-Fi, attendu depuis plusieurs années, a finalement été ratifié en juillet 2004. Il est possible que l’arrivée de ce nouveau protocole, commercialement nommé WPA2 modifie le contours du label Wi-Fi.

802.11i s’appuie sur TKIP et 802.1x et reprend l’allongement de la clé, le code



d’intégrité MIC et le séquencement des paquets. Mais la grande innovation est l’introduction d’un chiffrement AES particulièrement performant et compatible avec les contraintes de QoS.

Un inconvénient est la puissance de calcul nécessaire à AES, qui exige l’implémentation d’un co-processeur, déjà présent par mesure conservatoire sur les équipements récents supportant WPA. Pour cette raison, il sera nécessaire de prévoir un rétrofit matériel des équipements WEP d’une génération antérieure à WPA.

5.3.3.3 WPA 1.0 En attendant l’avènement de 802.11i (voir ci-dessous), l’IEEE a introduit WPA (Wi-Fi Protected

Access), qui en est un sous-ensemble et apporte un plus très significatif.. Depuis 2003, tous les produits radio ayant le label Wi-Fi supportent obligatoirement WPA.

Il fait usage du standard IEEE 802.1x pour faire référence à un serveur d'authentification RADIUS, ce qui correspond à considérer le commutateur WLAN comme un concentrateur de modems (RAS ou BAS) dans une architecture de collecte traditionnelle.

Le protocole d’authentification utilisé entre le commutateur et le serveur peut être une des couches bâties au-dessus d'EAP (Extensible Authentication Protocol).

WPA fait aussi usage de TKIP qui gère la génération et l’échange dynamique des clés de chiffrement, tout en s’appuyant sur le WEP

802.1x est un protocole de contrôle d’accès réseau qui s’applique à tout type de LAN radio ou filaire. Il définit un cadre d’utilisation d’EAP.

EAP, initialement conçu pour PPP, est un protocole de transport de l’authentification, celle-ci étant supportée par une application de niveau supérieur (ULA) et reposant sur un serveur Radius.

Le protocole RADIUS est un protocole client/serveur permettant de gérer de façon centralisée les comptes des utilisateurs et les droits d'accès associés. Il supporte de multiples mécanismes d’authentification dont EAP.

Le serveur RADIUS est un serveur d’authentification (AAA) dont les communications avec les clients sont supportées par le protocole RADIUS.

Les produits WPA sont compatibles ascendants 802.11i.

Chiffrement TKIP

Tout en conservant l’architecture du WEP, TKIP met en jeu un certain nombre de mécanismes propres à améliorer la résistance aux attaques, en résolvant notamment le problème de la réutilisation cyclique des clés :

le calcul de la clé est basé sur une clé temporelle partagée par les postes mobiles et les points d’accès et changée tous les 10 000 paquets,

une méthode de distribution dynamique assure le rafraîchissement de la clé temporelle,

le calcul de la séquence de clés fait intervenir l’adresse MAC de la station, donc chaque poste mobile dispose de sa propre séquence,

le vecteur d’initialisation est incrémenté à chaque paquet, ce qui permet de rejeter des paquets « rejoués » avec un numéro de séquence antérieur,

un code d’intégrité ICV (calculé selon un algorithme MIC nommé Michael) introduit une notion de « CRC chiffré ».

La mise à niveau TKIP d’équipements WEP se fait par simple mise à jour de logiciel.

TKIP a l’avantage d’être compatible avec le WEP, autorisant ainsi l’interopérabilité d’équipements WEP et d’équipements TKIP… avec bien sûr, un niveau de sécurité WEP. Son défaut est son temps de calcul qui dégrade les performances du réseau et n’est pas compatible avec les contraintes de QoS.

Authentification



L’authentification repose sur les protocoles standards 801.1x et EAP au-dessus desquels sont développés des standards d’authentification interopérables.

Différentes couches sont définies au-dessus d’EAP pour supporter des polices de sécurité (par ordre de protection croissante) :

EAP-MD5 utilise un serveur RADIUS qui ne contrôle qu’un hash-code du mot de passe du poste mobile et ne fait pas d’authentification mutuelle. Ce protocole est déconseillé pour les réseaux radio car il peut laisser le poste mobile se connecter sur un pot de miel.

LEAP, développé par CISCO moins vulnérable par le risque qu’un tiers non autorisé puisse avoir connaissance des mots de passe et est également exposé à des attaques de type dictionnaire (ASLEAP, introduit une authentification mutuelle et délivre des clés WEP pour le chiffrement du WLAN. L’authentification est basée sur un échange login/password. Il n’en demeure pas standard recommandé de sécurisation des WLAN. Il met en œuvre un serveur d’authentification).

PEAP et EAP-TTLS utilisent un serveur RADIUS et sont basés sur un échange de certificats. Les serveurs RADIUS qui supportent PEAP et EAP-TTLS peuvent s’appuyer sur des bases de données externes : Domaine Windows ou annuaire LDAP, par exemple

EAP-TLS est le RADIUS. Les postes mobiles et le serveur doivent s’authentifier mutuellement au moyen de certificats. La transaction est sécurisée par un tunnel chiffré.

EAP-TLS/TTLS et PEAP sont particulièrement résistants aux attaques de type dictionnaire et man in the middle.

5.3.3.4 802.11i L’arrivée du protocole 802.11i, extension du protocole de base pour la sécurité du Wi-Fi, est attendue depuis plusieurs années et serait annoncée pour l’automne 2004.

Il s’appuie sur TKIP et 802.1x et reprend l’allongement de la clé, le code d’intégrité MIC et le séquencement des paquets. Mais la grande innovation est l’introduction d’un chiffrement AES particulièrement performant et compatible avec les contraintes de QoS.

Un inconvénient est la puissance de calcul nécessaire à AES, qui exige l’implémentation d’un co-processeur, déjà présent par mesure conservatoire sur les équipements récents supportant WPA. Pour cette raison, il sera nécessaire de prévoir un rétrofit matériel des équipements WEP d’une génération antérieure à WPA.



5.3.3.5 En bref

Protocole de chiffrement

Longueur de clé

Méthode de chiffrement

Vulnérabilités

WEP 40, 128 bits RC-4

Vulnérable à l'injection de paquet et rejeu, car pas de code d'intégrité de message Vecteur d'initialisation faible

Dynamic WEP 40, 128 bits RC-4 Vulnérable à l'injection de paquet Vecteur d'initialisation faible

TKIP - WPA 1.0 128 bits RC-4 Code d'intégrité de message faible, injection de paquet

IPsec 128, 168, 192 ou 256 bits 3DES, AES

AES-CCMP - IEEE 802.11i

128, 192 or 256 bits AES Code d'intégrité de message et clés

de chiffrement identiques

5.3.4 Application Le niveau de sécurisation demandé varie selon les situations

WLAN entreprise

WPA s’adresse aux entreprises. Les protocoles EAP-TLS, EAP-TTLS et PEAP s’appuyant sur un serveur RADIUS sont particulièrement recommandés.

Dans ce type d’implémentation, le VPN n’est pas nécessaire, du moins en ce qui concerne la confidentialité du réseau radio. Il est même déconseillé si le réseau Wi-Fi sert également de support à la voix, car il dégrade la qualité de service.

WLAN résidentiel et SoHo

Il est peu probable de trouver un serveur d’authentification dans ce domaine. WPA propose pour ces réseaux, un mode allégé nommé WPA-PSK.

L’authentification se fait sans avoir recours à un serveur et repose sur l’échange d’un password partagé. Ce même password sert à initialiser le processus de chiffrement TKIP.

La gestion étant faite manuellement, WPA-PSK ne peut s’appliquer qu’à des réseaux de petite taille.

Hotspot

Afin de faciliter l’accès au réseau des postes itinérants, aucun mécanisme de sécurité n’est mis en œuvre dans les hotspots publics.

En particulier, il n’y a pas d’authentification au niveau Wi-Fi, puisque l'utilisateur lors de sa connexion n'a aucune connaissance du réseau, et réciproquement. L'authentification se fait alors sur un portail Web.

C’est à l’utilisateur de prévoir sa propre protection, par VPN, par chiffrement applicatif, en utilisant un firewall client et en configurant correctement sa station afin de bloquer l’intrusion directe d’une autre station.

5.3.5 Autres technologies 5.3.5.1 Bluetooth

Bluetooth est connu pour des applications point à point, plutôt que pour la réalisation de WLAN, bien que ceci soit techniquement possible.

Bien que le protocole Bluetooth prévoie des mécanismes de sécurisation performants, ceux-ci sont rarement mis en œuvre.



La faible portée (10 mètres) d’une liaison Bluetooth protège contre les intrusions les plus courantes, ou du moins donne bonne conscience aux utilisateurs… Ne perdons pas de vue que dans un lieu public, les personnes sont souvent à moins de 10 mètres les unes des autres.

Il faut être particulièrement vigilant en utilisant un clavier sans fil Bluetooth qui rayonne quand même sur 10 mètres : tous les codes frappés sur le clavier passent sur la liaison, en particulier les mots de passe.

Par ailleurs, le standard Bluetooth prévoit plusieurs puissances de transmission : 10mW, qui est celle couramment utilisée et 100 mW qui donne une portée comparable à celle d’un réseau Wi-Fi. Des équipements 100mW commencent à voir le jour, permettant de bâtir des WLAN de petite capacité, tout autant vulnérables que des réseaux Wi-Fi.

Une nouvelle forme de spamming, le « Blue Jacking » tend à se répandre et semble promise à un brillant avenir. Elle consiste à envoyer des textes (spams) sur l’écran des mobiles à portée du spammer. La limitation de la portée n’est pas un facteur modérateur, car il faut tenir compte que le spammer se déplace, lui aussi.

Une autre attaque par Bluetooth concerne les téléphones portables bi-standard GSM – Bluetooth. Une faille de Bluetooth permet d’obtenir à distance des informations stockées dans un combiné. Les attaques se font essentiellement dans les hotspots publics. Par ce biais, le hacker peut récupérer les coordonnées du fournisseur du service et le login/password qu’une victime qui se trouve près de lui vient de recevoir par SMS. Une précaution consiste à désactiver l’option Bluetooth de son téléphone.

5.3.5.2 HiperLAN/2 HiperLAN/2 est un standard de l’ETSI concurrent du 802.11a. Il est cité ici pour mémoire, puisque HiperLAN/2 vient d’être définitivement abandonné.

Contrairement à 802.11, HiperLAN/2 prévoit de base des mécanismes de sécurité efficaces, de chiffrement, d’authentification mutuelle et de distribution dynamique de clés.

L’authentification peut être basée sur un échange de hash-code MD5 ou bien sur une clé publique RSA. HiperLAN/2 supporte divers identifiants d’authentification : identifiant de réseau, adresse IEEE, certificat.

Le chiffrement prévoit deux options, basées sur les algorithmes DES et 3-DES.

5.3.5.3 WiMAX WiMAX, autre standard 802.16 de l’IEEE, se positionne sur le créneau du réseau métropolitain, notamment comme alternative à la desserte câble ou ADSL.

Contrairement au Wi-Fi, les équipements finaux doivent être préalablement déclarés pour pouvoir être connectés au réseau WiMAX, ce qui ne facilite pas la tâche des hackers.

L’authentification se fait par des certificats et par chiffrement asymétrique.

Le chiffrement utilise une clé délivrée par la séquence d’authentification et un algorithme 3-DES.

5.3.5.4 802.20 Le standard IEEE 802.20 s’adresse à des structures WAN pour des usagers mobiles. Contrairement aux réseaux 3G qui sont voix et données, les réseaux 802.20 sont dédiés à l’Internet mobile.

L’authentification mutuelle est basée sur des certificats avec signature RSA, au cours de laquelle sont distribuées les clés de chiffrement symétrique.

5.3.5.5 Réseaux 2G/2,5G/3G Le GSM utilise des mécanismes de sécurité particulièrement efficaces qui assurent l’authentification de l’identité de l’abonné, la confidentialité de l’identité de l’abonné, la confidentialité de la signalisation échangée et la confidentialité de l’information échangée.

La sécurité est implémentée à trois niveaux :



dans la carte SIM : informations personnelles de sécurité (clé d’authentification, algorithmes d’authentification et de génération des clés, identité de l’abonné, code personnel,

dans le terminal : algorithme de cryptage,

dans le réseau : algorithme de cryptage, serveur d’authentification.

L’utilisation d’identifiants temporaires permet de masquer l’identité du terminal et constitue une protection efficace contre les interceptions.

Les algorithmes de chiffrement du GSM sont tenus secrets… et apparemment le sont encore.

Les mêmes mécanismes sont reconduits pour l’UMTS et le GPRS.



6 UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT

6.1 LES EQUIPEMENTS DE SECURITE MULTIFONCTION Auteur Thierry Rouquet (Arkoon) [email protected]

6.1.1 Le développement du marché des Network Security Appliance Depuis environ 3 ans sont apparus sur le marché des équipements de sécurité combinant un ensemble de fonction de sécurité destinée à protéger le réseau. Ces équipements associent des fonctionnalités de protection agissant au niveau du réseau lui-même (Firewall/VPN IPSec), au niveau des applications communiquant sur ce réseau (Prévention d’intrusion, détection d’intrusion en coupure) et au niveau des contenus véhiculés (au antivirus gateway). Le cas échéant, ils offrent également des fonctions complémentaires de type qualité de service, anti spam et web filtering. Toutes les fonctions d’un tel équipement sont généralement activées simultanément mais le produit peut aussi être utilisé de manière spécialisée. Il faut noter que ces appliances sont des équipements de sécurité réseau, et n’offrent donc pas de fonctions applicatives de type reverse proxy ou serveur VPN SSL qui par nature compromettraient la sécurité de l’équipement.

Ces équipements qui permettent de sécuriser les accès Internet mais aussi l’ensemble des communications inter site de l’entreprise ont très rapidement séduit le marché des entreprises de petites et moyennes taille, par leur rapidité de mise en œuvre, la simplicité de leur administration et leur faible coût de possession. Avec l’apparition de plate-forme d’administration centralisée permettant de gérer ces fonctions de sécurité sur un grand nombre d’équipements et l’arrivée sur le marché d’appliances hautes performances tirant partie de dispositif d’accélération hardware qui déchargent le processeur des tâches les plus consommatrices de ressource ; ces équipements intéressent de plus en plus les grandes entreprises.

6.1.2 Les menaces polymorphes La complexité des réseaux d’entreprise ne cesse de croître et avec elle le nombre de vulnérabilités susceptibles d’être exploitées par un nombre toujours croissant de personnes mal intentionnées. Les menaces auxquelles doivent faire face les administrateurs de sécurité sont très variées : tentative d’intrusion, déni de service, virus, vers, etc,... elles évoluent vers des menaces polymorphes, c'est-à-dire capable de se transformer d’un type à un autre en utilisant différents modes de transport et en exploitant plusieurs vulnérabilités simultanément (exemple du vers CodeRed qui se propagent via HTTP – utilisation d’une faille IIS, via SMTP et via le partage de fichiers Microsoft )

Protéger le système d’information contre ce type de menace qualifié de « blended threats » nécessite de combiner différentes techniques de protection : Firewall, IPS, IDS temps réel, Antivirus sur les différents protocoles HTTP, FTP, SMTP…

6.1.3 Les limites de l’approche « best of breed » La combinaison de ces techniques sous la forme d’appliances spécialisées par fonction (approche de type « best of breed ») si elle offre une indiscutable modularité dans la mise en œuvre, constitue cependant un ensemble hétérogène, coûteux à maintenir et surtout complexe du point de vue de son administration car chacun des équipements dispose de son propre environnement d’administration et de mise à jour. Les appliances doivent être configurées et supervisées de manière indépendante les unes des autres, augmentant ainsi le coût d’administration, et le risque d’erreur.

6.1.4 Les avantages de l’approche multifonction Installation : L’approche multifonction combine les bénéfices du « plug and play » propre aux appliances avec le « tout en un » propre au multifonction réduisant ainsi considérablement le temps nécessaire à l’installation. Ainsi le temps nécessaire à l’installation d’une appliance de sécurité multifonction (installation, activation de licence, paramétrage) est compris entre 15 à 45 minutes en fonction de la qualité du guide de prise en main.




Configuration : Le processus de configuration de la politique de sécurité est lui aussi simplifié car toutes les fonctions sont configurées de manière coordonnée et centralisée au moyen de la même interface.

En fait la fonction firewall sert de base aux autres fonctions de sécurité offertes par l’appliance. Les règles d’accès aux services (web, FTP, eMail) sur les différentes interfaces, sont donc configurées par l’administrateur comme pour un Firewall qui prend en compte en même temps les services offerts ou les actions liées aux autres fonctions de sécurité de l’appliance.

Monitoring : Toute l’activité de l’équipement est contrôlée au moyen d’un seul et même environnement de supervision, d’historisation et d’analyse réduisant ainsi de manière très sensible le temps de formation de l’administrateur et améliorant considérablement son efficacité.

Mise à jour : L’ensemble des mises à jour : mise à jour du firmware, des bases de signature antivirus, des bases de signature IDPS, des listes d’URL… est géré de manière sécurisée et centralisée (authentification par certificat et chiffrement de la communication) sur une même infrastructure et de manière cohérente. Les différentes fonctions de l’appliance sont ainsi mises à jour de manière automatique minimisant les risques d’erreur inhérents à l’utilisation de dispositifs hétérogènes.

Coûts : Le principal bénéfice de l’approche multifonction est la diminution du coût de possession. En effet, l’acquisition d’un même équipement pour assurer toutes les fonctions s’avérera à l’évidence beaucoup moins lourd à la fois en coût d’achat et en maintenance. Les coûts de mise en œuvre et d’administration de l’équipement seront, comme nous l’avons vu ci-dessus, eux aussi très inférieurs.

6.1.5 Le développement du marché de l’appliance multifonction Le marché des appliances multifonction est promis à une croissance très forte. IDC prévoit en effet une croissance proche de 80% l’an sur les 4 prochaines années là où le marché des appliances Firewall/VPN dédiée devrait stagner. Cette croissance est liée à l’adoption par des entreprises de plus en plus importante de l’approche multifonction pour des raisons de coût et de simplicité d’administration.

6.2 LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES Auteur Thierry Karsenti (CheckPoint) [email protected]

À l’heure actuelle, les télé travailleurs sont de plus en plus nombreux à utiliser la technologie VPN (Virtual Private Network, réseau privé virtuel) pour accéder aux ressources internes des entreprises via les technologies d’accès Internet, telles que les modems câble ou les lignes DSL. Cependant, la disponibilité constante de ces services Internet haut débit est une véritable porte ouverte aux intrusions, lesquelles menacent aussi bien le poste client que le réseau de l’entreprise. Pour empêcher les pirates de détourner une session VPN dans le but d’accéder aux ressources internes de l’entreprise, il est primordial de déployer une solution de sécurité de bout en bout pour les clients VPN.

Les administrateurs informatiques ont le choix entre différentes approches pour sécuriser les systèmes des utilisateurs distants, allant d’une politique d’autorisation souple à une politique très restrictive qui risque d’empêcher les utilisateurs de profiter pleinement des connexions haut débit. La meilleure approche reste toutefois le déploiement concerté d’une solution complète garantissant un niveau de sécurité optimal tout en permettant aux utilisateurs d’exploiter au maximum le service Internet haut débit.

6.2.1 Identification des risques Les réseaux VPN d’accès distant menacent la sécurité de l’entreprise à bien des égards. Tout d’abord, chaque poste à usage professionnel est susceptible de contenir des données sensibles qui doivent être protégées. À ce titre, il doit donc être soumis à des mesures de contrôle d’accès, telles que celles offertes par les firewalls. Ensuite, les données transmises par et vers l’ordinateur d’un employé doivent également être protégées. Cette fonction est d’ailleurs l’objectif intrinsèque de tout




réseau VPN ! Malheureusement, les services haut débit permanents accentuent les dangers car les sessions longues sont par nature davantage exposées aux attaques. La troisième et probablement la principale raison justifiant la protection des ordinateurs individuels est qu’elle les empêche d’être contaminés à long terme, notamment par des programmes de type Cheval de Troie. Prenons un exemple : imaginez qu’un pirate place discrètement un programme sur un PC non protégé et connecté à Internet. Ce programme capture et consigne toutes les opérations au clavier de cet utilisateur. Le pirate peut donc facilement se procurer le mot de passe d’accès au réseau VPN de l’entreprise, annihilant ainsi la fonction première du VPN. Autre type de programme tout aussi dangereux, le Cheval de Troie enregistre un PC non protégé pour l’utiliser comme attaquant involontaire, ou « zombie », lors d’une attaque DDoS (Déni de service distribué).

Les administrateurs informatiques sont de plus en plus conscients de ces dangers. Voilà pourquoi ils sont de plus en plus nombreux à demander des solutions de sécurité d’entreprise de bout en bout. Mais quelle approche adopter ?

6.2.2 Correction des lacunes de sécurité Une approche de sécurisation des clients VPN consiste à mettre en place une politique d’entreprise demandant aux utilisateurs de déployer une solution personnelle de pare-feu à administrer individuellement. Plusieurs constructeurs en proposent sur le marché. Malheureusement, cette approche place le fardeau de l’installation, de la configuration et de l’administration du pare-feu sur les épaules des utilisateurs finaux. La difficulté de fournir l’assistance et la formation nécessaires pour cette approche « du chacun pour soi » la rend irréaliste.

Une autre approche consiste à acheter une solution de pare-feu personnelle administrée de manière centralisée pour sécuriser les postes individuels. Cependant, cette méthode n’offre pas de garantie suffisante : les utilisateurs sont libres de désactiver ou de modifier la configuration de leur pare-feu avant d’ouvrir une session VPN. Si les produits de pare-feu et de client VPN ne sont pas intégrés, rien ne permet d’affirmer que le pare-feu personnel fonctionne en continu sur le poste client. Un tunnel VPN pourrait dès lors être menacé sans que l’administrateur informatique ni l’utilisateur ne s’en rendent compte, avec de lourdes conséquences pour le réseau.

En outre, si une entreprise envisage de déployer deux solutions distinctes pour la connectivité VPN d’accès distant et la sécurité du poste de travail, elle ne doit pas perdre de vue le coût de leur charge administrative. En effet, chaque nouvelle version devra subir un test de compatibilité, que ce soit au niveau du client VPN ou du pare-feu du poste de travail. Les administrateurs informatiques devraient également tenir compte d’autres aspects tels que l’évolutivité et l’administration s’ils veulent utiliser plusieurs produits de sécurité client indépendants. Par exemple, quelles seront les implications de l’ajout d’un nouvel utilisateur ou de la mise à jour de la politique de sécurité au niveau des deux solutions, et ce, pour tous les utilisateurs du VPN ?

6.2.3 Approche intégrée Aujourd’hui, certaines solutions intègrent étroitement des fonctions de sécurité du poste de travail dans une solution de clients VPN. Cette approche offre de réels avantages. Ainsi, un pare-feu/client VPN intégré peut imposer automatiquement la sécurité sur l’ordinateur de chaque utilisateur final. Alors que les VPN apportent la connectivité standard avec un cryptage côté client et l’authentification des utilisateurs, ces solutions ajoutent de puissantes fonctions de sécurité telles que le contrôle d’accès et le contrôle de la sécurité client. Ces fonctions permettent aux administrateurs d’imposer une politique de sécurité des clients administrée de manière centralisée. Elles permettent également d’implémenter un contrôle d’accès aux clients basé sur des règles et de définir des politiques différentes pour chaque groupe d’utilisateurs. Et bien plus encore... Les entreprises qui comptent différents types d’utilisateurs VPN distants, comme des commerciaux et des informaticiens, peuvent adapter les politiques de sécurité aux besoins de chaque utilisateur.

Autre avantage de ces solutions : elles permettent d’étendre la sécurité du réseau pour englober des contrôles de sécurité personnalisés. Elles pourraient impliquer, par exemple, des fichiers « .dll » Windows pouvant vérifier une multitude de conditions sur les postes client, notamment l’installation d’une application spécifique ou encore une valeur du registre Windows. Les résultats positifs de ces contrôles pourraient être la condition à l’établissement d’une connexion VPN. Ces solutions pourraient être configurées de manière à garantir la mise à jour de la solution antivirus d’un poste



client avant l’établissement d’une session VPN avec ce poste. De cette façon, les clients et le réseau de l’entreprise seront efficacement protégés contre les virus potentiellement dangereux.

6.2.4 Amélioration de la sécurité par l’administration Les solutions de sécurité des clients difficiles à administrer ne fourniront pas le niveau de sécurité requis. Voilà pourquoi il importe de s’assurer que les solutions offrent des fonctionnalités capables d’aider les administrateurs à déployer et à administrer un grand nombre d’utilisateurs distants. Ainsi, si le logiciel client est difficile à configurer, il y a de fortes chances que de nombreux utilisateurs exploiteront des systèmes mal paramétrés dont le niveau de sécurité sera insuffisant. Certains fournisseurs de VPN proposent des outils de création de package logiciels auto-exécutables et auto-extractibles qui s’installent de manière transparente sur les systèmes client. Ils n’exigent pas de savoir-faire ni d’interaction spécifiques de la part de l’utilisateur final. Les frais d’assistance technique sont donc réduits et le logiciel est correctement installé.

Les entreprises devraient également rechercher des solutions qui mettent à jour automatiquement le logiciel client. La sécurité du client s’en trouverait considérablement améliorée grâce à l’utilisation d’un logiciel constamment actualisé. Les nouveaux composants logiciels devraient être transférés vers le client et mis en place de manière transparente, avec un éventuel redémarrage automatique des services ou de la machine.

6.2.5 Résumé Pour profiter pleinement des avantages d’un réseau VPN d’accès distant, les entreprises doivent veiller à ce que la technologie choisie offre une sécurité optimale aux clients VPN. Même si les fonctions VPN standard, telles que le cryptage et l’authentification des utilisateurs, sécurisent les transmissions échangées par les utilisateurs du réseau VPN, la protection des postes de travail est également un élément capital de la sécurité globale de l’entreprise. Les systèmes client doivent être protégés avec des technologies de pare-feu personnel étroitement intégrées au réseau VPN.

Quant à la solution VPN globale, elle doit permettre d’imposer les exigences de sécurité sur les clients du VPN, préalablement à toute connexion au réseau. Ce n’est qu’après avoir protégé leurs clients VPN que les entreprises pourront être assurées de l’intégrité de leur réseau.

6.3 LE SINGLE SIGN ON Auteur Frédéric Pierre (Avencis) [email protected]




6.3.1 Origines du Single Sign-On Le besoin de signature unique (Single Sign-On ou SSO par contraction) est apparu lorsque l’informatique est devenue hétérogène. En effet, lorsque l’informatique était centralisée, la principale authentification réalisée par les utilisateurs correspondait à l’authentification sur le serveur (central en l’occurrence).

Puis, l’informatique a évolué et s’est démocratisée ; les utilisateurs sont devenus plus nombreux et, avec eux, les applicatifs, plus divers et adaptés à différents besoins. Par conséquent, aujourd’hui la multiplication des environnements et donc des sources d’authentification est maintenant une réalité.

Les architectures mises en œuvre pour répondre à cette problématique ont évolué et continuent à évoluer. Plusieurs solutions ont été envisagées sans jamais répondre complètement à la problématique des utilisateurs.

Les premières solutions ont été mises en place par les éditeurs de systèmes d’exploitation comme par exemple le système NIS (ex Yellow Pages). Les solutions de ce type, même si elles ont connu un certain succès, n’ont jamais été étendues au-delà des systèmes d’exploitation pour lesquels elles ont été conçues.

6.3.2 Pourquoi le Single-Sign-On ? L’authentification vis à vis de ressources (systèmes, applications…) est aujourd’hui une habitude banale et un utilisateur doit typiquement gérer de nombreux mots de passe : un mot de passe pour la connexion au poste de travail, un mot de passe pour la messagerie et N mots de passe applicatifs. Il n’est pas rare qu’un utilisateur doive utiliser 5 ou 6 mots de passe, voire plus pour certains utilisateurs ou administrateurs.

La gestion de ces mots de passe devient alors problématique pour l’utilisateur et entraîne les comportements suivants :

les mots de passe deviennent triviaux ou sont identiques sur tous les systèmes,

les mots de passe sont notés sur des post-it™ ou dans un cahier,

l’utilisateur oublie ou confond certains de ses mots de passe (ceux qu’il n’utilise pas fréquemment)

Ces comportements ont deux conséquences fâcheuses pour l’entreprise :

les mots de passe triviaux ou identiques entraînent des problèmes de sécurité. La découverte d’un des mots de passe génère un risque pour l’ensemble des accès de l’utilisateur. Aujourd’hui les outils de sécurité, lorsqu’ils découvrent l’un des mots de passe d’un utilisateur essayent de le rejouer sur les autres systèmes et applications. Un nombre important d’applications transmettent les mots de passe en clair. Il est donc aisé de découvrir les mots de passe des utilisateurs pour ces applications.

si l’on oblige les utilisateurs à utiliser des mots de passe ‘forts’ (non triviaux), ils ne peuvent les mémoriser tous et doivent les noter par écrit ce qui est évidemment contradictoire avec l’objectif premier qui était de renforcer la sécurité.

L’oubli par les utilisateurs de certains de leurs mots de passe (le syndrome du retour de vacances) génère un nombre important d’appels au help-desk et donc perte de temps et gaspillage de ressources.

Le principe du mécanisme de Single Sign-On est de rassembler les crédentiels que l’utilisateur doit mémoriser dans un coffre-fort : l’utilisateur n’a donc plus à connaître qu’un seul mot de passe (ou à posséder une carte à puce munie d’un code personnel). Il est généralement possible, pour se conformer à des politiques de sécurité internes par exemple, d’exclure certaines ressources du contrôle de la solution de SSO.

La mise en place d’une solution de SSO permet plusieurs améliorations notables :



une augmentation générale du niveau de sécurité : l’utilisateur n’a plus qu’à connaître un seul mot de passe ou le code porteur de l’élément physique, les mots de passe des autres applications pouvant être plus complexes voire inconnus de l’utilisateur,

les mots de passes des applications ne sont plus notés dans des cahiers ou sur des Post-it™,

le nombre d’appels au help desk pour des changements de mots de passe diminue de manière considérable ;

la satisfaction globale des utilisateurs et leur productivité augmente.

La mise en place d’une solution de SSO permet donc de réduire le nombre de mots de passe que l’utilisateur doit connaître tout en maintenant voire en renforçant la sécurité des systèmes d’information.

6.3.3 Aperçu des solutions existantes On distingue 4 types d'architectures pour répondre à la problématique SSO :

Les architectures WebSSO

Les architectures « server centric »

Les architectures « user centric »

Les architectures mixtes

6.3.3.1 Architectures WebSSO Les solutions de WebSSO permettent d’uniformiser les accès à plusieurs sites Web mais, comme leur nom l’indique, se limitent aux accès Web. Ces solutions sont généralement déployées pour permettre aux clients externes d’une entreprise de ne s’authentifier qu’une seule fois pour accéder à l’ensemble des ressources auquel ils ont accès à travers un portail.

Cette architecture est relativement peu employée pour les utilisateurs internes d’une entreprise (la majorité des applications n’étant pas « Web », elle ne permet de prendre en compte qu’une partie de la problématique SSO)

Architecture « Web SSO» agent



Architecture « Web SSO» reverse proxy

Il existe deux implémentations de solutions de WebSSO :

l’implémentation par agents : un agent SSO est installé sur l’ensemble des serveurs Web qui est chargé de gérer les accès des utilisateurs, les authentifier et propager les accréditations des utilisateurs entre les différents sites Web.

l’implémentation « reverse proxy » : tous les accès Web vers l’ensemble des sites SSO passent par le « reverse proxy ». Ce dernier se charge d’authentifier l’utilisateur et d’effectuer les authentifications en lieu et place de l’utilisateur sur les autres sites Web.

La mise en place d’une solution de WebSSO ne nécessite pas le déploiement d’outils sur le poste de travail de l’utilisateur. Le déploiement de la solution WebSSO est relativement simple. En contrepartie, seules les authentifications Web sont prises en charges.

6.3.3.2 Architectures « Server Centric » Dans une architecture de type « Server Centric », l'application conserve sa base de gestion des accréditations. Un serveur spécialisé dit de sécurité est responsable de la mise à jour de cette base via des agents spécifiques.



Architecture « Server Centric »

Cette solution repose sur l'existence d'agents pour gérer les bases de gestion des accréditations. Pour chaque application il est nécessaire de valider les points suivants :

disponibilité de l'agent pour la version de l'application et le système d'exploitation,

délai de disponibilité d'un nouvel agent lors de la mise a jour de l'application,

mécanismes de synchronisations entre l'agent et le serveur

disponibilité d'API au niveau de l'application pour développer un agent.

L’implémentation d’une telle solution consiste en la mise en place de l'infrastructure (serveur(s) de sécurité et agents) ; c’est un processus long, coûteux et complexe.

Les solutions existantes intègrent généralement quelques agents systèmes et de très rares agents applicatifs. La mise à jour de ces agents s'effectue souvent longtemps après l'apparition d'une nouvelle version du système d'exploitation ou de l'application.

Il est parfois possible de développer des agents pour les applications non supportées. Ces développements sont également longs et coûteux.

Pour des raisons de disponibilité (élimination des Single Points of Failure) et de fiabilité, il est nécessaire de protéger le serveur de sécurité. Cette redondance entraîne, outre un surcoût notable, une complexité supplémentaire en terme d'administration.

6.3.3.3 Les architectures « User Centric » Les architectures « User Centric » ne sont pas basées sur l’existence d’un serveur de sécurité mais orientés utilisateurs. Cette topologie permet une mise en œuvre plus simple des solutions de SSO et une meilleure adaptation à la problématique de l’utilisateur.

L’ensemble des informations permettant à l’utilisateur de s’authentifier sur les diverses applications est stocké sur une carte à puce ou dans un fichier chiffré.

Le principal avantage de cette architecture est sa simplicité de mise en œuvre. En revanche, l’absence de fonctions de centralisation restreint l’usage de cette solution à des structures de petites tailles. De plus, il n’existe pas d’alternatives de connexion (mode dégradé) en cas de perte ou d’oubli de l’élément de connexion (l’utilisateur est en général bloqué).

6.3.3.4 Les solutions mixtes Les solutions mixtes sont des solutions qui combinent les avantages des architectures « User Centric » et « Server Centric » sans en avoir leurs inconvénients.

Comme les architectures « User Centric », les solutions mixtes sont orientées ‘utilisateur’ et permettent, sur de petites organisations, un fonctionnement sans serveur de sécurité. Cependant, dans des environnements de taille plus grande et comme les solutions « Server Centric », ces architectures s’appuient sur les éléments d’infrastructures existants (typiquement réseau et annuaire d’entreprise). De cette manière, elles offrent la possibilité de centraliser d’une part les principales tâches d’administration et, d’autre part, les mécanismes de redondances qui permettent aux utilisateurs de se connecter en mode dégradé.



Architecture mixte

L’absence de serveur (propriétaire) dédié est palliée par la capacité de s’intégrer à l’architecture des systèmes d’information existante telle que les annuaires d’entreprise LDAP ou Active Directory… Dans ces architectures mixtes, on peut centraliser la gestion des configurations et utiliser les services de l’annuaire pour diffuser (éventuellement automatiquement) les paramètres de configuration.

Les solutions les plus avancées dans cette catégorie gèrent des conteneurs multiples stockés dans différents référentiels (élément physique, cache de connexion, annuaire…) et assurent la synchronisation entre ces sources. Elles garantissent également l’intégrité des crédentiels utilisateurs par des mécanismes d’autocontrôle.

6.4 SECURITE LOGIQUE ET SECURITE PHYSIQUE Pris en charge par Patrick Chrisment (Computer Associates) patrick [email protected].




7 LES ASPECTS JURIDIQUES ET HUMAINS

7.1 QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE Auteur : Gérard Péliks (EADS) [email protected]

Nous abordons le côté juridique posé par l’utilisation des outils de l’Internet, mis à disposition des employés s’ils ne sont pas utilisés, durant les heures de bureau, à des fins conformes à l’éthique de leur employeur.

Nous ne sommes pas, ici, dans le domaine de l’informatique, du rationnel et du binaire mais dans celui du droit qui est une discipline profondément subjective dépendant de la compréhension des problèmes, de l’interprétation et de l’intime conviction des juges. Certes leurs décisions s’appuient sur des textes du code du travail, du code civil, du code pénal et du code européen, mais, en dernier lieu, ce n’est pas un ordinateur qui tranche, ce sont des hommes et des femmes avec leurs convictions et leurs doutes.

Nous allons voir, à travers trois affaires, l’arrêt Nikon, l’affaire

de l’Ecole de Physique et Chimie Industrielle de la ville de Paris et l’affaire Escota que l’utilisation non conforme du e-mail et du Web durant les heures de travail si elle est portée devant les tribunaux ne se heurte pas à un vide juridique, comme on le pense souvent, et c’est parfois l’arroseur qui se fait arroser avec l’obligation de payer les frais de justice.

7.1.1 L’arrêt Nikon Ce cas jugé jusqu’en en cassation a créé un véritable séisme dans la vision qu’avait la justice de la surveillance des e-mails des salariés pratiquée par leur employeur et fait aujourd’hui jurisprudence dans tous les cas semblables. Un ingénieur de Nikon, tirant parti du statut qu’il avait dans l’entreprise, vendait par e-mail pour son compte personnel du matériel photographique et tenait sa comptabilité dans un dossier noté « personnel » Tous ses e-mails étaient également placés dans un folder nommé « personnel ». Avec le temps, ayant eu vent des pratiques évidemment prohibées de cet employé, l’employeur entreprit de le confondre en portant un oeil, en dehors de sa présence, sur ses messages et ses fichiers concernant ces coupables échanges et surtout bien entendu sur ceux marqués « personnel ». L’escroquerie ainsi mise à jour de façon évidente, l’employé fut licencié pour faute grave.

Mais l’affaire n’en resta pas là. Considérant inadmissible la violation de son espace privé, l’employé attaqua Nikon devant le tribunal des prud’hommes pour licenciement abusif, arguant d’une violation inacceptable de la confidentialité de ses fichiers et de sa messagerie privée réalisée sans son accord. Le tribunal des prud’hommes donna raison à l’employeur. L’employé fit porter alors l’affaire devant la cour d’appel de Paris qui donna encore raison à l’employeur. Convaincu d’être victime d’une atteinte inqualifiable à sa vie privée et d’un abus caractérisé de son employeur qui s’était




permis de lire ses e-mails personnels, persuadé d’autre part qu’un tribunal de prud’hommes et une cour d’appel ne pouvaient comprendre ce qu’était les affaires concernant la haute technologie, l’ex employé porta le jugement de la cour d’appel devant la cour de cassation.

Contrairement aux précédentes juridictions, la cour de cassation de Paris, par l’arrêt devenu le célèbre « arrêt Nikon » du 2 octobre 2001 donna raison à l’employé et invalida les condamnations précédentes, en s’appuyant sur l’article L120-2 du Code du Travail qui souligne que l’on peut rechercher dans les fichiers personnels du salarié uniquement sous réserve qu’il y ait une justification par rapport à la tâche qu’il doit accomplir et des circonstances graves justifiant la mesure ». La Cour de Cassation a ainsi affirmé, et cela est considéré comme une doctrine que : "Le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur."

Pour résumer, l’arrêt autorise un employé à utiliser Internet à des fins personnelles pendant son temps de travail dans la mesure où cela ne déborde pas sur sa productivité.

Cet arrêt marqua le début d’une jurisprudence à partir de laquelle aucun jugement ne peut aller à l’encontre d’un employé qui réclame son droit à un espace privé dans son entreprise pour stocker les fichiers ou les e-mails déclarés comme étant personnels. Cet arrêt impose également pour l’employeur un devoir de pertinence dans ses pratiques vis à vis de ses employés.

7.1.2 L’Ecole de Physique et Chimie Industrielle de Paris Dans cette affaire opposant un étudiant à cette prestigieuse Grande Ecole se mêlent la haine, la délation, l’argent le chantage et même l’exotisme, tous les ingrédients pour assurer le succès d’un téléfilm ou d’un roman de plage. Un chercheur d’un machisme exacerbé décide de mener à une assistante récalcitrante une vie impossible, multipliant les e-mails l’accusant des pires déviations et dépravations, usurpant son adresse e-mail et détruisant les fichiers sur son disque, allant même jusqu’à modifier les résultats de ses recherches et les slides de ses présentations. Eplorée, la pauvre fille se plaint au Directeur de l’Ecole lui demandant des mesures pour que s’arrête ce harcèlement quotidien. Le Directeur demande au RSSI et à l’Ingénieur Système de surveiller les échanges par e-mail du chercheur pour confondre ce triste individu. Et des e-mails ainsi mis en lumière éclata la vérité. Comme preuves à conviction, le contenu de ces e-mails fut porté à la connaissance du Directeur de l’Ecole qui convoqua le chercheur pour lui passer un savon, le sommer de cesser immédiatement ses coupables agissements et de faire des excuses à l’assistante harcelée sinon …

Et là l’Ecole commit une erreur. Il ne fallait pas chercher un arrangement à l’amiable avec ce triste sire, car lui s’empressa de porter plainte contre l’Ecole pour violation inadmissible de son espace privé. Le tribunal donna raison au chercheur qui obtint tout de même 20 000€ payables par le Directeur de l’Ecole, le RSSI et l’ingénieur système. Ce qui était reproché n’était pas tant la lecture des e-mails puisque c’était une obligation pour établir les responsabilités dans une situation conflictuelle, d’autant plus que les e-mails avaient été lus mais pas détournés par l’ingénieur système. Ce qui était reproché à l’Ingénieur Système était surtout la divulgation du contenu de ces e-mails au Directeur de l’Ecole. Je cite : « Si la préoccupation de la sécurité du réseau justifiait que les administrateurs de réseaux fassent usage de leurs positions et des possibilités techniques à leur disposition pour mener des investigations et prendre des mesures que la sécurité imposait … en revanche la divulgation du contenu de ces messages ne relevait pas de ces objectifs ».

En conclusion, un RSSI, ou un responsable système peut à l’extrême limite et s’il en a l’obligation pour la bonne marche du service et à la demande de son employeur observer au moins statistiquement l’utilisation de la messagerie mais il ne peut en aucun cas révéler ce qu’il découvre à son employeur. L’affaire fut portée en Cour d’appel qui confirma une partie des condamnations mais assortit les amendes de sursis.



7.1.3 L’affaire Escota Un motard en colère, employé chez Lucent Technologies ulcéré par le montant du péage de la portion d’autoroute qu’il empruntait chaque jour pour se rendre à son travail et par les conditions d’insécurité de cette autoroute décida de se venger à sa façon. Escota est la société qui a bâti et gère les autoroutes Estérel Côte d’Azur Provence Alpes. Ce motard monta, à partir de son lieu de travail, un site Web pour parodier celui de la société d’autoroutes www.escota.com. Il nomma ce web satirique qui se substituait à ses pages personnelles hébergées chez Lycos, également hébergeur du web de Lucent www.escroca.com en prenant bien sûr la même calligraphie pour le logo et la même ligne éditoriale que le vrai site escota.com. Et il ne fut pas tendre pour la société d’autoroute, mettant même des images qui ne jouaient pas en faveur de l’affirmation de sécurité et de services que cette société disait fournir aux usagers. Quand la société Escota s’aperçut de l’existence de ce site, cela ne la fit pas rire du tout. Elle obtint sa fermeture immédiate. Six mois plus tard la société Escota porta plainte contre la société Lucent Technologie, employeur du créateur du site parodique parce que les pages étaient mises à jour durant les heures de bureau. Elle porta aussi plainte contre l’hébergeur.

Bien que l’employé s’engagea à payer toutes sommes incombant à Lucent si le tribunal obtenait pour la société Escota des dommages et intérêts, il fut licencié pour faute grave. Escota demanda 200 000 euros de dommages et intérêts à la société Lucent Technologies. Quand le Tribunal de Grande Instance de Marseille statua sur cette affaire, en juin 2003, la question fut de trancher si le site était satirique et destiné à amuser le public ou s’il était haineux et destiné à nuire à la société d’autoroute. C’est cette dernière hypothèse que retint le Tribunal. Si l’employé n’avait critiqué que la société Escota, il aurait pu s’en tirer sans trop de mal, mais il avait aussi critiqué la qualité de ses services …

La société Lucent pour ne pas avoir explicitement interdit dans sa charte de sécurité, l’usage des outils mis à disposition des employés pour nuire à d’autres sociétés, car je cite : « aucune interdiction spécifique n’était formulée à l’attention des salariés quant à l’éventuelle réalisation de sites Internet ou de fournitures d’informations sur des pages personnelles » et l’ex employé furent condamnés à verser 4000 euros de frais de justice et 12000 euros pour payer la publication du jugement dans deux quotidiens nationaux. En conclusion Lucent Technologies fut reconnue co fautive du délit commis par son ex employé pour lui avoir laissé la possibilité de créer un site personnel à contenus diffamatoires à l’encontre de la société autoroutière Escota. Lucent Technologies se retourne maintenant contre son ex employé pour lui faire payer tous ces frais. Les dommages et intérêts réclamés par Escota n’ont pas été accordés. Aucune faute ne fut retenue contre l’hébergeur Lycos. La cour d’appel saisie confirma la décision du tribunal de Grande Instance.

Ces affaires vont certainement se multiplier et la jurisprudence s’étoffera. Nous avons droit à notre espace privé, sur le réseau, à condition qu’il soit clairement identifié, mais nous avons aussi l’obligation d’utiliser les outils mis à notre disposition, durant les heures de travail à des fins professionnelles.

7.2 POLITIQUE ET REFERENTIELS DE SECURITE Auteur : Pierre-Luc Refalo (Comprendre et Réussir) [email protected]

7.2.1 Préambule Tout est désormais affaire de risques. Accepter, comprendre les situations de danger, gérer ses états de vulnérabilités sont pour les dirigeants et les managers une exigence permanente. Il est bien sûr de leur devoir de traiter les menaces qui portent sur les activités de leur entreprise, sur leurs systèmes d’information et leurs réseaux de communication.

Une fois levée, la question essentielle de l’engagement de l’entreprise qui nomme un ou des collaborateurs et leur fixe des objectifs clairs, il n’y a pas de démarche « sécurité » sans orientations politiques. Elles posent les fondements d’une réglementation interne, mais aussi les bases des relations avec les tiers. Les dirigeants n’ont d’autre choix que de montrer, leur engagement, non pas en paroles, mais en actes, non pas en symboles, mais en mesures concrètes.




Face à la complexité du sujet, tout plan d’action ne peut se concevoir sans une approche politique claire, affichée et formelle. Une réglementation écrite est nécessaire. Sa mise en œuvre ne peut réussir sans l’adhésion et implication de toute l’entreprise. Seuls les hommes et l’organisation garantiront sa mise en oeuvre.

Le terme « politique » a été utilisé dans des sens très variés dans la sécurité informatique.

Est-ce une charte composée de quelques principes fondateurs ?

Est-ce un programme (politique) qui s’appuie sur une vision du risque ?

Est-ce un ensemble de règles à appliquer obligatoirement ?

Est-ce un ensemble de principes, de bonnes pratiques de sécurité qu’il convient d’appliquer lorsqu’on le peut en fonction de critères opérationnels ou économiques ?

Est-ce une spécification technique des processus à mettre en place voire des configurations requises pour les infrastructures et les services ?

7.2.2 Fondamentaux Indépendamment de son champ et de son contenu, une politique de sécurité repose sur 4 bases fondamentales :

La volonté des dirigeants doit être clairement exprimée.

Les principes de base et les règles fondamentales doivent être formulés.

Les interlocuteurs et responsables doivent être identifiés.

Les procédures et sources d’information doivent être diffusées et facilement accessibles.

Une politique cherche à répondre à des enjeux stratégiques liés au business, mais elle peut aussi s’attacher à fixer des objectifs de sécurité déterminés par l’étude de scénarios de risques. Enfin, elle peut reposer sur une démarche organisationnelle imposée par des exigences réglementaires (secret médical, sécurité financière, …) ou environnementales (concurrence, terrorisme, …).

Toute politique s’appuie donc sur des enjeux et des orientations stratégiques. Telle entreprise mettra en avant sa croissance économique, une autre privilégiera la qualité de ses produits ou la relation avec ses clients, telle autre la réduction de son endettement. Dans l’administration, les enjeux seront différents : la qualité des soins et le secret médical auront la priorité dans la santé, la qualité de service et la sécurité des usagers seront privilégiées dans les transports publics. La lutte contre l’espionnage industriel sera l’enjeu majeur des centres de recherche nationaux et de certaines universités et grandes écoles.

C’est en fonction de ces paramètres que la politique sécurité prendra son sens en rappelant des objectifs forts :

protection du savoir-faire

respect des obligations juridiques et réglementaires

protection des revenus

protection de l’image de marque

7.2.3 Des principes fondateurs Toute politique de sécurité répond à des enjeux qui doivent être clairement explicités. Mais elle doit aussi reposer sur des bases solides, conceptuelles mais fondamentales pour donner du sens aux règles et aux processus. Sept grands principes fondamentaux peuvent ainsi être formulés. Le premier d’entre eux est l’économie, les six autres lui étant très étroitement liés. Ils visent tous à garantir l’efficacité de la mise en œuvre de la politique.

L’économie Aucune démarche d’entreprise ne peut faire abstraction des coûts. Comment concevoir une démarche qui ne reposerait pas sur une évaluation quantitative des risques et une approche



financière des plans d’actions ? Comment imaginer une mise en œuvre de moyens qui ne soit pas cohérente avec les risques évalués et les impacts économiques des incidents, des fraudes et des piratages ? L’entreprise doit clairement rappeler que l’on ne dépense pas 100 si l’on risque 10. L’intégration Pour qu’elle soit efficace, que ce soit au sein d’une organisation ou d’un système d’information, dans le cadre d’un projet ou d’un processus, la sécurité est intégrée sous des formes diverses : • par la responsabilisation des acteurs • par l’identification des risques dans les phases amont des projets • par l’utilisation, quand c’est possible, de dispositifs et d’outils (physiques ou logiques)

existants L’efficacité des mesures mises en œuvre sera garantie par l’implication de chacun et non en s’appuyant sur quelques individus. La cohérence La sécurité globale d’un système, d’un processus, d’une organisation doit être cohérente. Elle dépend toujours du maillon le plus faible. La mise en oeuvre des dispositifs de sécurité vise à garantir un niveau de sécurité homogène dans tous les domaines de la prévention/protection et de la détection/réaction. Il est inutile de blinder une porte si les fenêtres restent ouvertes ou chiffrer des données si les documents confidentiels restent sur les bureaux, les portes ouvertes. La simplicité Face à la complexité et à la rapidité d’évolution de l’environnement (politique, social, technique, marketing et organisationnel), les mesures de sécurité seront d’autant plus acceptées et efficaces qu’elles seront simples et compréhensibles par les collaborateurs, les fournisseurs, les partenaires et les clients. Une action bien ciblée, quelques règles bien comprises et appliquées seront plus efficaces que de multiples consignes s’appuyant sur des outils difficiles à utiliser. La proportion Dans un souci d’efficience, les dispositifs de sécurité sont proportionnés aux risques et aux menaces encourus. Les coûts et les conditions de mise en oeuvre des mesures ne sont validés qu’après identification et évaluation précises des enjeux. Trois niveaux de sécurité peuvent être définis : • standard : applicable pour toute information en faisant appel à des dispositifs de sécurité

existants. • renforcé : applicable à des informations sensibles et des systèmes critiques, en faisant

appel à des dispositifs de sécurité complémentaires sans remise en cause fondamentale de l’environnement technique et organisationnel.

• sur mesure : applicable à des informations secrètes et des systèmes vitaux reposant sur des dispositifs de sécurité certifiés ou spécifiques dont seule l’entreprise possède la maîtrise.

La transparence La politique se met en oeuvre dans un souci de transparence des décisions et des processus opérationnels. Ceci vise à faciliter le contrôle et l’audit et s’applique dans le cadre des projets, des opérations quotidiennes et des incidents. La pérennité Les solutions de sécurité doivent être conçues à partir de produits pérennes et sur des technologies éprouvées. Ils offrent des garanties d’évolutivité dans le temps, d’adaptation à l’apparition de nouveaux risques et de facilité de maintenance à un coût raisonnable. La politique évoluera en fonction de l’expérience acquise au quotidien et sur l’évolution de l’environnement notamment législatif et organisationnel.



7.2.4 L’organisation dans le cadre politique L’approche politique de l’entreprise se concrétise sous la forme des responsabilités qu’elle souhaite attribuer pour répondre à ses exigences ou ses préoccupations tirées d’une vision ou d’une connaissance des risques opérationnels. L’entreprise considère-t-elle que seuls comptent les aspects légaux et notamment le respect de la vie privée ? Mais comment traiter aussi la protection du patrimoine, notamment immatériel ? Comment veiller aussi aux menaces liées à l’espionnage économique ? Et peut-elle ignorer la fraude ou le piratage informatique ?

Dès que la problématique « cyber-sécurité » apparaît comme une volonté stratégique et globale, l’attribution des responsabilités devient difficile. Car, en effet, combien est-il difficile de faire coopérer des acteurs aussi différents et souvent très compétents dans leur domaine que des informaticiens et des juristes, des anciens fonctionnaires de police et des agents de sécurité physique, le tout en cohérence et en bonne synergie avec les autres métiers concernés dans l’entreprise, Juridique, Ressources Humaines, Stratégie et Marketing, Systèmes d’Information, Achats, …

L’enjeu est ici de séparer le management stratégique et le management opérationnel. Le lien entre les deux sera un des aspects de la Politique de Sécurité exprimée sous la forme des « meilleures pratiques » (cf schéma).

Il n’est pas toujours nécessaire de répondre à des enjeux pour faire de la sécurité. On peut se satisfaire d’une démarche plus qualitative, analogique voire historique. Peut-on concevoir une maison sans portes ? Même dans les plus beaux quartiers, a priori les plus sûrs, on met des portes et des verrous ! L’assureur l’exige bien sûr. Par ailleurs, il est possible d’observer ce que font les partenaires, les autres entités du groupe, … On s’adapte plus tactiquement que politiquement à des pratiques de sécurité, à des exigences ou des contraintes externes.

Dans la cyber-sécurité, des services se sont imposés peu à peu et rien ne semble en mesure de les remettre en cause sur le fond :

sauvegardes

codes secrets

coupe-feu



anti-virus

…

Certes, ils répondent à des risques réels et souvent quotidiens mais se pose-t-on encore la question du risque avant de mettre en œuvre et d’acheter ces dispositifs ? Ne peut-on se convaincre une bonne fois pour toutes que c’est une sécurité « intégrée » à d’autres processus comme la mise en œuvre d’une application, le déploiement d’une architecture bureautique ou de réseaux ? Nous sommes ici dans une approche politique de type « bonnes pratiques », qualitative et reposant sur de l’expérience. On rentre dans le domaine de l’expertise plus que du management, ce dernier étant de toute façon requis pour la mise en œuvre.

Quelques familles de « bonnes pratiques » se sont peu à peu imposées. Elles répondent à une démarche de prévention et d’anticipation. Ce sont :

les contrôles d’accès logiques

le cloisonnement de réseaux

la gestion des attaques logiques

la confidentialité des informations

les contrôles d’accès physiques

la continuité des activités

Elles peuvent être complétées par d’autres domaines émergents qui s’adressent à de nouveaux cyber-risques liés à l’e-business et à l’e-commerce.

la signature électronique

les moyens de paiement sécurisés

…

Les guides de « bonnes pratiques » seront complétés par des guides de management qui décrivent

la veille et les relations extérieures

la sécurité dans les projets

l’analyse de risque et l’audit

la gestion des incidents et des crises

7.2.5 Une Charte et quatre politiques Nous pouvons considérer que les aspects « réglementation » de la cyber-sécurité ne peuvent pas être traités dans une politique unique et qu’une certaine modularité est nécessaire.

Il existe certes des principes fondamentaux applicables à tous.

Il existe aussi des bonnes pratiques issues de plus de quinze ans d’expérience.

Il existe des différences fondamentales, de maturité et de sens de responsabilité des dirigeants.

Il existe des considérations fondamentalement différentes entre les règles à appliquer à des collaborateurs, à des clients ou des fournisseurs. Or, à l’heure des échanges électroniques généralisés, on ne peut englober tout le monde dans une approche unique du risque.

Il ne faut pas oublier, enfin, que dans certains domaines, des choix seront nécessairement tactiques et économiques.

Ainsi, quel que soit son métier, sa taille et sa culture, une entreprise peut et doit aborder son approche « réglementaire » de la « cyber-sécurité » en trois grands domaines introduits par une charte et supportée par les normes, les guides de bonnes pratiques et de management.



Le cadre général d’une Politique de Sécurité

7.2.6 Des choix essentiels Pour aller plus loin, il y a toujours des choix qui se présentent au décideur. Les décisions si elles reposent sur la culture, le métier et la stratégie de l’entreprise, ne doivent pas éliminer des choix plus « tactiques » voire opportunistes, quotidiens et souvent effectués sous la pression.

7.2.6.1 Entre laxisme et paranoïa Nous vivons dans des régimes démocratiques où le droit est la règle principale de nos fonctionnements collectifs. C’est aussi le cas dans l’entreprise qui, si on accepte l’idée qu’elles sont lancées dans une guerre économique, doivent connaître leur ennemi et les menaces pour bien se protéger. « Si tu veux la paix, prépare la guerre » disait Sun Tzu. Le décideur, quel qu’il soit, peut très bien se sentir à l’abri (en se bandant les yeux) ou à l’inverse voir des ennemis partout (alors qu’il n’y en a pas). Dans les deux cas, il prend des risques. Négligences voire irresponsabilité dans un cas, blocages et sans doute surcoûts dans l’autre.

C’est pourquoi, une approche « responsable », ni laxiste, ni paranoïaque doit prévaloir de nos jours. Pour qu’elle soit réaliste et applicable, il convient que les dirigeants et les managers qui seront impliqués adhèrent à une telle orientation politique. Il est en effet fréquent de voir des experts techniques chercher à sur-protéger, car conscients des menaces et des vulnérabilités techniques mais aussi des décideurs obnubilés par les dépenses et les coûts et qui ne comprennent pas pourquoi tel ou tel investissement est nécessaire. C’est le cas des actions préventives comme la veille, ou réactives comme la gestion des incidents. On a bien d’autres choses à faire que d’anticiper des risques « immatériels » et de chercher à expliquer pendant des jours comment a pu s’opérer une intrusion ou un vol. De toute façon, cela n’intéresse pas grand monde et le mal, de toute façon, est fait !

Le président ou le directeur général, le ministre, le recteur d’Académie, le chef d’établissement, … ne peuvent pas rester totalement absents de la démarche « cyber-sécurité ». Ils doivent exprimer dans une note de service puis dans des nominations et des délégations de pouvoir en quoi cette gestion de risques est vitale pour l’activité et la santé de l’entreprise ou de l’organisme.



Le dirigeant doit écrire que les systèmes d’information, les réseaux de communication, et l’information elle-même :

représentent une composante essentielle du patrimoine et contribuent, par leur maîtrise et leur qualité à l’efficacité des actions, à la confiance accordée par les clients, usagers, les actionnaires, les instances de tutelle, au développement et à la pérennité des activités.

sont un bien vulnérable soumis à des menaces très diverses. Toute altération, divulgation, destruction, accidentelle ou malveillante, peut porter de graves préjudices à l’organisation et par voie de conséquence à ses collaborateurs ou à ses clients et partenaires.

sont soumis à des menaces spécifiques liées au métier (concurrence, service public, relation client/usager, gestion financière, …) qui exigent une vigilance accrue. L’Internet, ses technologies et ses services, sont une source de développement, d’efficacité et de revenus potentiels. Mais il introduit aussi des vulnérabilités très importantes dont il convient de se prémunir.

Les décideurs doivent aussi chercher à impliquer l’ensemble des collaborateurs en insistant sur les bonnes pratiques individuelles et essentiellement comportementales que chacun doit respecter. Elle doit mentionner les acteurs en charge de la gestion de ces nouveaux risques et l’existence de la Politique Sécurité qui constitue un cadre de référence applicable à l’ensemble des entités et avant tout un objectif à atteindre. Cette politique est par nature insuffisante mais traduit une volonté stratégique Sa mise en oeuvre nécessite l’implication de chaque collaborateur. Sans doute, l’enjeu est de faire passer le message que la sécurité ne peut plus, ne doit plus être considérée comme une arme de défense, mais comme un atout.

7.2.6.2 Entre « bonnes pratiques » et « obligations » Pourquoi ne pas se satisfaire d’une « petite lumière » que chacun se chargerait de maintenir en vie pour que dure la politique sécurité ? Plutôt que des obligations quasi-dictatoriales que chacun passerait son temps à dénigrer ou ne pas respecter ?

Il y a un grand enjeu éducatif. C’est le choix classique de l’éducation ou de la répression. Nous voyons sur les routes combien sont inefficaces les rappels à l’ordre, les contraventions et les retraits de permis pour tenter de faire conduire les automobilistes moins vite, avec leur ceinture de sécurité et sans avoir (trop) bu.

La sécurité est toujours contraignante et il est si simple de passer outre sans prendre beaucoup de risques (personnels) d’ailleurs. Dans le monde de l’immatériel, nous devons nous poser la question de la responsabilité individuelle, consciente, adaptable et non collective, uniforme, imposée.

C’est pour cela que l’approche par les bonnes pratiques prend du sens par rapport à des obligations permanentes et imposées. Certes, il existe des domaines qui ne mériteront aucun compromis, mais l’exception « obligatoire » confirmera la règle permanente du « libre choix », du « libre arbitre ».

Les obligations seront idéalement présentées dans un règlement intérieur en respectant les processus d’élaboration avec l’assistance d’un avocat et de validation du Comité d’Entreprise ou des représentants du personnel.

7.2.6.3 Entre technologies et processus La sécurité informatique est un domaine principalement méthodologique et technique. La tentation est grande, et l’expérience quotidienne le prouve, de conserver une approche par les outils. « Vous avez un risque X, j’ai l’outil Y qu’il vous faut ». Discours classique d’offreur, qui possède bien des avantages :

Il donne bonne conscience au client qui pense mettre en œuvre les moyens adaptés.

Il donne de l’activité aux experts de l’entreprise et aux prestataires qui peuvent justifier leur rôle et leurs « alertes ».

Il développe un marché de produits essentiellement américains.

Malgré ce développement marketing et cette profusion d’outils, la sécurité des entreprises s’en porte-t-elle mieux ? Il nous faut sans doute reprendre le travail et ici encore rentrer dans une



approche « qualité ». Quels sont les processus de sécurité essentiels, vitaux que doit posséder l’entreprise pour couvrir ses risques ?

Nous retombons encore une fois sur les « bonnes pratiques » qui se déclineront quasi-mécaniquement en « processus » et non pas en outils techniques. Bien sûr ils existent et sont fort utiles mais ils ne peuvent rentrer dans une approche politique sans de nombreux pré-requis souvent oubliés.

7.2.6.4 Entre règles et procédures Elaborer des règles et des bonnes pratiques démontre la connaissance des risques et la volonté de les gérer. Le danger des bonnes pratiques, c’est d’élaborer, de proposer des règles fonctionnelles ou opérationnelles mais qui n’indiqueront pas comment il faut les respecter voire les appliquer. Les bonnes pratiques n’ont de sens que si des procédures adaptées aux règles et aux processus sont définies, formalisées et implémentées.

Combien d’entreprises possèdent des procédures de « cyber-sécurité » formelles et maintenues ? C’est toute la difficulté du choix politique des « bonnes pratiques ». Si elles restent des vœux pieux, elles reviennent elles-aussi à se donner bonne conscience. D’où l’intérêt extrêmement important qu’il faut porter à la sensibilisation voire à la formation.

7.2.6.5 Entre information et formation Il y a une différence fondamentale entre se sentir responsable (sans forcément l’être) parce qu’on est informé et être acteur, actif, parce que l’on sait précisément ce que l’on doit faire et comment. Les efforts à consentir dans un cas comme dans l’autre sont forts différents. Les résultats le sont aussi.

Le cas de la gestion des mots de passe ou des virus est exemplaire. Combien de fois a-t-il été répété, écrit et re-écrit qu’un code secret, parce qu’il est secret ne se communique à personne ? Et pourtant …

De la même façon, combien de fois a-t-il été dit et redit au sein des entreprises et par de nombreux médias comment se propageaient les nouveaux virus ainsi que les consignes à respecter ? Et pourtant …

La véritable question reste que chacun à son niveau assume ses responsabilités, et cela commence au niveau des dirigeants. Se contenter d’informer le personnel est nécessaire mais n’est plus suffisant. Les chartes n’ont de sens et seront satisfaisantes et utiles que si elles sont signées individuellement. Peut-on se contenter de transmettre un savoir ? Peut-on se satisfaire de collaborateurs qui « ont » plus qu’ils ne « sont » ? Comment passer d’une culture de l’ « avoir » à une culture de l’ « être » ?

L’enjeu n’est-il pas aujourd’hui de former l’ensemble des collaborateurs en fonction de leur profil à ce qu’ils doivent faire quotidiennement pour réduire la négligence humaine naturelle, limiter les capacités de malveillance et réellement responsabiliser ?

7.2.6.6 Entre sensibilisation et contractualisation Nous pouvons aller plus loin que cette dichotomie sur l’information ou la formation qui vise à responsabiliser en communiquant un savoir, une connaissance ou en apportant des compétences, un savoir-faire. L’objectif est-il de se satisfaire d’une sensibilisation, une formation de surface ou de rechercher une véritable responsabilité professionnelle et contractuelle. Aujourd’hui, nous sommes bien obligés de considérer que seule une véritable contractualisation des droits et devoirs de chaque acteur est rendue nécessaire. Comment peut-elle se mettre en œuvre ?

Tout d’abord au sein du contrat de travail, puis du règlement intérieur comme nous l’avons vu plus haut. Mais aussi sous la forme de clauses contractuelles que l’entreprise élabore avec ses fournisseurs. Nous pouvons schématiser ces intervenants externes en trois catégories :

les accords de confidentialité applicables à tous acteurs et tout contexte

les engagements de sécurité des services sous traités

les exigences de sécurité pour l’hébergement de sites informatiques et services Internet



les engagements contractuels des parties dans le cadre des contrats de prestation de services

7.2.6.7 Entre concentration et décentralisation Finalement, pour mettre en œuvre cette politique, l’entreprise doit se déterminer clairement dans le domaine de l’organisation. Une approche « centralisatrice », concentrée, des missions et des acteurs prend un sens dans les petites structures, mono-métier et dont les implantations sont limitées par exemple à une région ou un pays. Néanmoins, s’il existe une entité centrale responsable des aspects « politiques », il n’est pas inutile de prévoir des « correspondants » décentralisés sur le terrain dont la mission non permanente sera d’animer, de conseiller et de contrôler au quotidien la mise en œuvre de la réglementation.

A l’autre extrême, dans les grands groupes et les multinationales, présentes sur un ou plusieurs continents, et qui exercent leurs activités dans plusieurs métiers, une approche centralisée reste possible mais devient très délicate. Une approche décentralisée ne doit pas omettre le devoir du dirigeant voire de l’actionnaire. Comment alors concilier l’expression d’une volonté commune, unique et la mise en œuvre adaptée, efficace, respectueuse des différences dans les entités et les métiers, le tout en évitant les redondances, incohérences et dépenses superflues ?

7.2.7 Synthèse Les « meilleures pratiques » sont avant tout des exigences « qualité » et si elles répondent à des menaces, ne nécessitent pas fondamentalement de mesures de risque. Ne pas faire, n’est-ce pas tout simplement être inconscient voire irresponsable ? Sécurité et qualité des infrastructures ne font plus qu’un.

Avoir une approche stratégique du risque, élaborer des textes de politique sont importants mais non suffisants. L’ensemble des acteurs doit connaître et appliquer des consignes adaptées à cette réglementation. Ne pas informer et former ses collaborateurs et ses prestataires, voire ses clients des droits et devoirs de chacun relève si ce n’est de l’incohérence, de l’erreur.

A l’heure de la sous-traitance des systèmes d’information, des réseaux et de leur sécurité, l’entreprise doit s’adapter en termes de technologies, de processus, d’offreurs. Omettre les aspects juridiques de la sécurité dans ses contrats fournisseurs est une faute parfois lourde de conséquence.

Avoir confiance dans ses technologies, ses hommes et ses fournisseurs, là se situe l’avenir de la sécurité. Mais qu’est-ce qu’un offreur de confiance ? Peut-on acheter de la confiance ?

Ce concept essentiel nous ramène finalement au principe fondateur de la sécurité, à la science du secret qu’est la cryptologie, dans ses deux déclinaisons fondamentales :

Pour la confidentialité des informations qui s’adresse à la vie privée, à la guerre économique

Pour la signature électronique et les paiements sécurisés qui s’adresse au monde de l’e-business et de l’e-commerce

7.3 LES RESPONSABILITES ET LES ACTEURS DE L’ENTREPRISE Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]

7.3.1 Une nette orientation en faveur du juridique et du réglementaire Parmi les tendances 2004-2005 a relevé en matière de politique de sécurité la forte poussée des contraintes juridiques et l’observation du comportement des utilisateurs arrivent en tête.

À l’échelle mondiale, 50 % des grandes entreprises sont dépourvues d’un poste de RSSI (KPMG, 2002). En matière de responsabilités pénales : Tendances fortes en 2002/2003, l’implication du Risk Manager dans une responsabilité pénale. Comme le souligne le rapport du Cigref (2002) «par le biais des mécanismes de délégation, la responsabilité pénale du directeur des systèmes d’information, et du RSSI (ou Risk Manager), voire de l’administrateur réseau, messagerie…. est de plus en plus évoquée (atteinte aux données, systèmes, personnes avec fichiers nominatifs, abus de confiance….). A la question : Qui est responsable pénalement au sein des premières entreprises françaises ?




les RSSI ont répondu (source Cigref) :

PDG ou DG dans 70 % des cas

DSI dans 20 % des cas

RSSI dans 10 % des cas

Un RSSI doit mesurer les risques dans toutes leurs dimensions. Il doit définir une politique homogène dans sa méthodologie en s’aidant des normes qui doivent êtres approuvées par la direction générale. La fonction RSSI est désormais reconnue et mature, encore lui manque-t-elle un statut ou du moins un cadre professionnel construit et reconnu, voire certifié.

De différents textes du droit du travail émanent trois grands principes en matière d'accès des salariés à internet à des fins personnelles :

Le PRINCIPE DE TRANSPARENCE (Art L121-8 du Code du Travail prévoit l'information préalable des salariés sur tout dispositif et collecte de données les concernant personnellement) ;

Le PRINCIPE DE DISCUSSION COLLECTIVE (Art L432-2 du Code du Travail prévoit la consultation du Comité d'Entreprise lors de l'introduction de nouvelles technologies) ;

Le PRINCIPE DE PROPORTIONNALITE (Art L120-2 : «Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas (…) proportionnées au but recherché»).

7.3.2 RSSI : maîtriser les risques d’une délégation de pouvoirs En principe, l’employeur est toujours considéré comme responsable de ce qui arrive dans son entreprise. Pourtant, en pratique, il ne peut être présent partout et dans les entreprises dont la structure est complexe son absence physique rend bien souvent impossible un contrôle par lui seul de toutes les règles dont notamment celles relatives à la sécurité informatique. Pour pallier cette difficulté, et alors qu’aucun texte réglementaire ne prévoit ni n’organise la délégation de pouvoir, la jurisprudence l’autorise à transférer ses pouvoirs et ainsi ses responsabilités à une personne dotée de la compétence et des moyens suffisants pour les assumer, c’est le cas du DSI. La délégation de pouvoirs exonère alors l’employeur. Elle a pour effet d’opérer un transfert de responsabilité pénale du chef d’entreprise sur la tête du DSI, délégataire.

Toutefois, la jurisprudence reconnaît sa régularité à la condition que le DSI délégataire soit pourvu de la compétence, du pouvoir, des moyens et de l’autorité nécessaire pour veiller efficacement à l’observation des dispositions protectrices de la sécurité informatiques des salariés. Ces conditions sont cumulatives, à défaut, seule la responsabilité du chef d’entreprise sera engagée. En ce qui concerne la forme de la délégation, elle est généralement pour des raisons probatoires, écrite.

D’une manière générale, le DSI veillera à se réserver un temps adéquat pour accepter à la délégation et il pourra légitimement la refuser s’il ne dispose pas des informations suivantes :

l’objectif de la délégation et ses liens avec le contexte organisationnel global de l’entreprise

la nature de la délégation, ses contraintes, sa durée

la raison du choix

les objectifs et résultats attendus

les avantages et rétributions proposés en contrepartie

la marge d’autonomie et les pouvoirs conférés

les moyens mis à disposition et les informations nécessaires

l’aide et la formation complémentaire éventuelle qu’il pourra recevoir

les obstacles plus ou moins prévisibles et les risques encourus

les informations en retour attendues



les modalités de contrôle et de bilan prévues

7.3.3 Quelle déontologie pour un cyber-comportement conforme avec les chartes Internet ? Selon une étude internationale réalisée par Blue Coat Systems, Inc., les employés ne respectent pas les règles institutionnelles d'utilisation d'Internet en procédant à des téléchargements répréhensibles aux yeux de la loi. Près de 40% des utilisateurs d'Internet interrogés à l'occasion de cette enquête reconnaissent télécharger et partager des fichiers via les réseaux de leurs entreprises, alors que 45% se disent liés au respect de règles internes d'utilisation d'Internet.

Selon l'étude de Blue Coat, seulement 22% des personnes interrogées considèrent que le peer-to-peer est un outil important dans le cadre de leur activité professionnelle. Pourtant 42% d'entre elles admettent utiliser des moteurs de recherche peer-to-peer, tels que Kazaa et Morpheus. Lorsqu'on leur demande leur sentiment vis-à-vis des poursuites éventuelles auxquelles peut être exposée leur entreprise pour avoir téléchargé des fichiers soumis à des droits d'auteur, 60% des personnes interrogées se déclarent indifférentes.

Les utilisateurs d'applications peer-to-peer se servent des réseaux de leurs employeurs pour télécharger et partager des fichiers soumis à copyright. Afin de protéger l'entreprise contre toute responsabilité légale et de préserver la bande passante réseau, Blue Coat recommande d'exercer un contrôle accru sur l'activité peer-to-peer transitant par le réseau, d'établir une règle acceptable d'utilisation d'Internet dans l'ensemble de l'organisation et de mettre celle-ci en oeuvre à l'aide d'une appliance proxy.



8 LES CERTIFICATIONS

8.1 LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) Auteur : Gérard Péliks (EADS) [email protected]

Les instances nationales officielles telles que la DCSSI en France, organisme inter ministériel dépendant des services du Premier Ministre (Secrétariat Général de la Défense Nationale) apportent la garantie qu’un outil de sécurité est lui-même sécurisé. Cette Direction Centrale pour la Sécurité des Systèmes d’Information délivre des certificats qui attestent du sérieux des phases de développement des produits, de leur aptitude à remplir les fonctions de sécurité dans des conditions définies et du degré de confiance qu’on peut accorder au produit certifié. Des sociétés françaises, les CESTI (Centre d'Evaluation de la Sécurité des Technologies de l'Information) expertes dans les travaux de validation des produits et bien sûr indépendantes de tout constructeur, s’assurent en amont de la conformité des produits de sécurité candidats aux certifications et aux exigences des degrés de confiance que les cibles évaluées souhaitent atteindre. Elles portent ensuite le dossier de certification auprès de la DCSSI qui signe et décerne le certificat de conformité.

Ainsi, les sociétés utilisatrices peuvent accorder à leurs solutions de sécurité un degré de confiance précisément défini par un certificat dans une échelle qui comprend six niveaux pour la certification ITSEC (Information Technology Security Evaluation Criteria) et sept niveaux pour la certification Critères Communs (EAL1 à EAL7) . Les constructeurs peuvent alors prouver la qualité de leurs produits de sécurité par un certificat officiel, après une validation effectuée par des centres d’expertises français agréés par cet organisme. Cette certification apporte l’assurance que tout au long de la phase de développement des produits, puis dans les tests de validation, les failles les plus insidieuses donc les plus dangereuses que peut comporter tout logiciel n’entachent pas les produits de sécurité certifiés à un niveau raisonnable sur une cible de sécurité suffisamment large.

La sécurité des systèmes d’informations obtenue par des firewalls, VPN, sondes de détection d’intrusion, systèmes d’authentification forte ne sera pas compromise par des portes dérobées éventuelles cachées dans ces logiciels car elles auraient été décelées et bien entendu supprimées au cours de la conception et de l’évaluation de ces produits.




8.2 L'ISO17799 Auteur : Anne Coat-Rames (AQL et AFNOR) [email protected]

8.2.1 Historique La norme ISO 17799 est issue, depuis sa proposition en 2000, au comité SC27 de l'ISO, de la norme anglaise BS7799-1 créée en 1995, révisée en 1999, et qui thésaurise depuis 1985 des "mesures de sécurité".

Cette norme constitue un guide de bonnes pratiques pour la gestion de la sécurité de l'information, et ce n'est pas une norme d'exigences.

(La nuance est perceptible, dans le texte, par l'emploi du terme "should" (devrait, il faudrait), au lieu du terme "shall", qui indique une obligation de mise en œuvre.)

Elle ne fait donc pas l’objet d’une certification proprement dite, mais certains organismes auditeurs délivrent des attestations.

La seconde partie de la norme anglaise d'origine (la BS7799-2) traite des Systèmes de Management de la Sécurité de l'Information (SMSI ou ISMS), et fait l'objet, en Grande Bretagne et dans certains pays européens et asiatiques, de schémas de certification, qui permettent aux entreprises de faire reconnaître leur maîtrise de la sécurité de l'information pour des objectifs et des périmètres définis, en se référant à cette norme.

8.2.2 La structure de l'ISO 17799:2000 Comme guide de bonnes pratiques, l'ISO 17799 propose plus d'une centaine de recommandations, organisées dans la version actuelle en 10 chapitres présentés dans le schéma ci-dessous.




Ces recommandations sont majoritairement d'ordre organisationnel, et incluent des recommandations techniques très générales, indépendantes de choix technologiques précis.

La démarche liée à la norme ISO 17799 considère que :

POURQUOI : la sécurité de l'information n'a de sens que par rapport aux objectifs métier et aux contraintes de l'organisation (notamment légales), et c'est l'objet de la définition de la politique de sécurité que d'expliquer pourquoi l'organisation veut mettre en place une démarche de sécurité, (un peu l'équivalent de la déclaration d'engagement de la Direction dans un système qualité)

QUI : la sécurité de l'information est portée par des personnes, internes et externes à l'organisation, et les responsabilités de chacun face à la démarche doivent être définies et diffusées,

QUOI : La sécurité de l'information n'a de sens que si elle sait ce qu'elle doit protéger, donc il est nécessaire d'identifier les biens (informations, opérations, personnes, locaux, …) réellement indispensables au fonctionnement de l'organisation,

COMMENT : La sécurité de l'information est indissociable de la sécurité de l'environnement de l'information, ce qui justifie que l'on s'interroge sur : • (QUI) : Les risques que font courir à l'information les personnes qui y accèdent (et non sur

la sécurité de ces personnes) • (OU) : La sécurité des locaux dans lesquels se trouvent les informations et les personnes

qui y accèdent (règles anti-incendie, etc.) • Les mesures prises dans les opérations d'exploitation des informations et dans les

échanges d'informations, quelqu'en soit le format, pour continuer à garantir, dynamiquement, la sécurité des informations,



• Les mesures prises pendant le développement des applications qui manipulent les informations, pour garantir leur sécurité pendant le développement, et pendant l'exploitation, y compris pendant les opérations de maintenance,

• Les mesures prises pour gérer les incidents de sécurité, et permettre à l'organisation de poursuivre son activité jusqu'au retour à des conditions nominales,

La pierre angulaire de ces mesures est le contrôle d'accès, physique et logique, aux informations, aux locaux, et aux matériels support de l'information,

L'ensemble des mesures prises doivent être conformes aux réglementations en cours (droit de la propriété intellectuelle, droit des personnes, …), et doit viser le respect de ces réglementations, aussi des audits, internes ou externes, de la mise en œuvre de la politique de sécurité, sont-ils recommandés, pour vérifier que cette dernière est appliquée, mais surtout qu'elle est toujours en accord avec les objectifs métier de l'organisation.

C'est pourquoi la norme ISO 17799 propose des recommandations pratiques sur des mesures de sécurité à mettre en œuvre au quotidien dans l'organisation.

8.2.3 Comment l'utiliser ? La norme ISO17799 permet à une Direction Générale de sensibiliser ses collaborateurs, dont la DSI (et réciproquement).

Elle fournit une structure simple pour mettre en place une démarche d'amélioration de la sécurité de l'information, de manière autonome, ou aisément insérable dans une démarche qualité existante.

Elle facilite la communication de l’organisation en interne et en externe (clients, fournisseurs, partenaires, assureurs, etc.), en fournissant un référentiel international reconnu.

Elle propose des mesures, mais n'exige pas d'être mise en œuvre de manière exhaustive, mais seulement sur les risques identifiés par l'organisation sur le périmètre qu'elle décide de considérer (exemple, le plan de continuité d'un centre d'exploitation de télécommunication).

8.3 L'ISO 21827 : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE Auteur : Anne Coat-Rames (AQL et AFNOR) [email protected]

8.3.1 Historique L'ISO 21827 est issue du passage en Fast Track en octobre 2002 auprès de l'ISO/ JTC1/ SC27 du modèle Systems Security Engineering- Capability Maturity Model (SSE-CMM(®)) du Software Engineering Institute (université de Carnegie Mellon http://www.sei.cmu.edu/sei-home.html ).

Le modèle SEI devient alors la norme ISO 21827:2002 Technologies de l'information-Ingénierie de sécurité système-Modèle de capacité de maturité (SSE-CMM(®)). Il est actuellement disponible en anglais, gratuitement sur le site de l'ISSEA (international Systems Security Engineering Association), ou sur le site de l'ISO.

Ce référentiel a été développé à partir de 1995, à l'initiative de la NSA et de la DoD, sur les bases génériques de CMM(®) par un groupe de projet composé d'industriels, d'universitaires, et d'entités gouvernementales.

Son objectif était de :

Démontrer les relations entre l'ingénierie de système et l'ingénierie de la sécurité,

Identifier les propriétés et les activités d'ingénierie de la sécurité,

La structure du modèle devait permettre d'auditer les pratiques d'ingénierie de la sécurité d'une organisation, au sein d'un audit System Engineering CMM(®), en complément d'un audit System Engineering CMM(®), ou de manière indépendante.

Sa structure est donc similaire à celle du System Engineering CMM(®), donc à la structure continuus du CMMi(®), avec :



une échelle de niveaux de maturité de 1 à 5,

et une dimension d'aptitude semblable à celle du CMMi(r), ou de l'ISO 15504.

Attention, le SSE-CMM ne propose pas la version "staged" du modèle CMMi(®), comparable à celle du Software - CMM de 1993. Une organisation ne peut donc pas se déclarer SSE-CMM Niveau X, mais seulement Niveau X pour les processus d'analyse de risque, d'assurance sécurité, etc.

Le modèle est destiné aux fournisseurs de services, composants, et systèmes sécurisés, aux départements de développement, d'exploitation, maintenance, et de désinstallation (désarmement).

La norme propose un modèle d'auto-évaluation de l'ingénierie de sécurité des systèmes, et non une évaluation de la sécurité des systèmes (comme les Critères Communs), même si les deux aspects sont liés, bien sûr.

8.3.2 La structure du SSE-CMM(®) - ISO 21827:2002 Le SSE-CMM(®) est structuré en trois macro-catégories de processus :

Une catégorie de processus du niveau de l'organisation, similaire à celles déjà identifiées dans le SE-CMM (définition des processus de l'organisation)

Une catégorie de processus du niveau du management de projet et de l'assurance qualité (Plan Technical Effort, Monitor and Control Technical Effort, Manage Project Risk, Manage configuration , ensure quality),

Ce sont ces deux premières catégories de processus, issues du modèle SE-CMM, qui rendent le SSE-CMM compatible (compliant) avec les autres CMM et avec le modèle SPICE.

Il est donc possible d'intégrer des processus du SSE-CMM dans des évaluations SPICE.

Une catégorie de processus d'ingénierie de sécurité, qui permettent de prendre en compte le niveau de sécurité correspondant au besoin, aussi bien au niveau du projet qu'un niveau de l'organisation.

Ces trois catégories rassemblent :

22 Processus, comprenant eux-mêmes 129 Pratiques de Base (Basic Practices ou BP),

un ensemble de Pratiques Génériques (GP), qui s'appliquent chacune à l'ensemble des processus et permettent, selon leur degré de réalisation dans chaque processus, d'évaluer la maturité de ces processus (cinq niveaux).

Chaque processus peut donc être évalué indépendamment, même s'il existe une forte corrélation entre les mises en œuvre des processus d'une même catégorie.

Ces processus couvrent :

les différentes phases du cycle de vie (conception, développement, exploitation...),

les différentes fonctions d'une entreprise (gestionnaires, structure d'organisation, ingénierie...),

les interfaces internes (logiciels, matériels, élément humain, exploitation...)

et les interfaces externes (autres entreprises, fournisseurs, certification, ...).

Nous nous intéressons ici plus spécialement à la catégorie de processus d'ingénierie de sécurité, qui peut-être subdivisée en 3 axes, comme l'indique le schéma ci-dessous :



les processus focalisés sur l'évaluation et le management du risque, identification des menaces

et vulnérabilités puis analyse de leur impact sur l'organisation, qui permettent d'identifier les risques suffisamment importants pour devoir être pris en compte par l'organisation,

les processus de spécification des besoins de sécurité, des mesures de sécurité, et de mise en œuvre de ces dispositions, dans un objectif de réduction et de contrôle des risques identifiés et retenus précédemment. Ces processus sont mis en œuvre conjointement aux processus de construction des produits et systèmes,

les processus d'assurance sécurité, qui vérifient la mise en œuvre des dispositions, et mesurent leur efficacité dans l'atteinte du niveau de sécurité souhaité.

Ce référentiel, même sous sa forme d'ISO 21827, ne permet pas de certification, mais permet de compléter des (auto) évaluations, en fournissant un cadre d'évaluation des pratiques de l'organisation en matière de sécurité.

Son principal intérêt est d'engager l'organisation dans une démarche d'amélioration continue de sa sécurité, compatible avec d'autres démarches d'amélioration continue, et d'autres systèmes de management (ISO 9001, CMMi(®), ISO 15504, par exemple).

Les utilisateurs, surtout américains, œuvrent dans des domaines pointus, comme la fabrication de micro-processeurs, ou de systèmes technologiques avancés, ou pour la sécurité nationale. De par sa nature (culture sécurité), le nombre précis d'utilisateurs réguliers de ce référentiel n'est pas connu.



9 LES ENJEUX ECONOMIQUES DE LA SECURITE

9.1 2004-2005 : DES ATTAQUES QUI EVOLUENT DE L’EXPLOIT TECHNOLOGIQUE A L’APPAT DU GAIN Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]

"E-Crime Watch 2004" l’une des plus récentes études a été publiée en mai 2004 sur les évolutions de la cyber-criminalité auprès des entreprises nord-américaines. Elle souligne un fait majeur en matière de cyber-risques en 2004 : l’accroissement significatif des "e-crimes" et des intrusions à des fins financières.

Environ un tiers des entreprises « cyber-attaquées » ne mesurent pas les pertes liées aux e-crimes ou aux intrusions, et parmi les deux tiers restant, seule 50% disposent d’estimations sur le montant global des pertes engendrées. 43% des personnes interrogées signalent une augmentation par rapport à 2002 et 70% reconnaissent au moins un problème sérieux. Au total, les dommages sont estimés à 666 millions de dollars. Selon les sondés, les pertes se répartissent à 56% en pertes opérationnelles, 25% financières et 12% indiquent d'autres types de pertes.

Menée auprès de responsables sécurité et juridiques de grandes entreprises nord-américaines en collaborations avec les services secrets américains et le Carnegie Mellon University Software Engineering Institute’s CERT®, l’enquête couvre les activités « cyber-risques » de l'année 2003 avec des estimations sur 2004.

Le nombre moyen d'incidents constaté par entreprise s’élève à 136, bien que 30% ne déclarent aucun problème et 25% en constatent moins de 10. Autre indicateur révélateur : 41% des interrogés n'ont pas de plan de reprise pour répondre à ce type de crise. A l’origine des causes, 30% ne connaissent pas l'origine des problèmes engendrés par la e-sécurité. Sur les 70% restants, la ventilation entre attaques internes et externes donne une estimation de 71% pour les attaques externes et 29% pour les menaces internes.

Cette étude reste incomplète : Elle n’évoque pas les motivations et le niveau technique (souvent excellent) des attaquants. Rien non plus sur les cyber-bandes qui se livrent au cyber-racket organisé après pillage et vol d’informations stratégiques suite à des intrusions sur les systèmes d’information. Elle ne parle pas enfin des ripostes encore complexes face à ces nouvelles menaces ni du rôle des « cyber-assureurs ». Une certitude : les menaces sont désormais motivées exclusivement par l’appât du gain et plus uniquement par l’exploit technologique. Va t-on se mettre à regretter les hackers des années 90 guidés en grande majorité par la seule reconnaissance de leurs exploits techniques ?

9.2 SECURITE : QUELLES DEPENSES POUR QUELS USAGES ? Selon IDC, le marché des services de réseaux gérés à l’échelle européenne s’élève à 13,6 milliards de dollars et augmentera chaque année de 11 % jusqu’en 2005.

Datamonitor prévoit six milliards de dollars en 2007 pour les dépenses globales des entreprises touchant à la mise en place de firewalls et de VPN (Virtual Private Network) soit le double des investissements consentis en 2003. Quels seront les secteurs les plus consommateurs de VPN et de firewalls ? Celui de la finance, pour commencer. Viennent ensuite les gouvernements et organes d’Etats, qui cherchent déjà à développer l’accès des citoyens aux institutions et à l’administration, via Internet. En 2007, leurs dépenses de sécurité pèseront un milliard, contre 471 millions de dollars en 2003. Enfin, les secteurs de la distribution et de l’industrie pharmaceutique devraient, pour sécuriser leurs données propriétaires, dépenser respectivement environ 772 et 297 millions de dollars en 2007.

Ainsi, Datamonitor estime à 21,2 milliards de dollars en 2005 le marché mondial de la Sécurité informatique

De son coté IDC estime le marché global de la sécurité des systèmes d’information à 17,2 milliards de dollars en 2004 !




Pour le marché européen : de 524,6 millions de dollars en 2000, le marché européen de la sécurité devrait atteindre 3,13 milliards de dollars en 2007 (source Frost&Sullivan)

Marché européen encore : les produits liés à la sécurité internet Cyber-risques représentent en 2002 1,754 milliard de dollars, les services 1,147 milliard et les produits et services PKI 478 millions de dollars (source Infonetic Research)

Les revenus issus du marché des pare-feu et des réseaux privés virtuels (VPN) atteignent un total de 668 millions de dollars au troisième trimestre 2003, selon une étude publiée récemment par Infonetics Research qui prévoit un chiffre d'affaires de 874 millions de dollars lors de la même période en 2004... puis de 1,2 milliards dollars en 2005.

Fin 2004, le marché français de la sécurité pourrait atteindre près de Un milliard et demi d’euros (source IDC)

Côté services, en 2003, les grands comptes sont largement équipés et dotés de direction de la sécurité. Ils boudent toujours l’externalisation jugée trop stratégique en sécurité car ils veulent garder la maîtrise de leurs outils d’administration de la sécurité par exemple. De leur coté, les PME européennes ne trouvent pas en 2003 dans les «Managed Services» externalisés une offre qui leur convient. Elles étaient moins d’un tiers en 2002 à externaliser ou sous-traiter leur approche sécuritaire (source Harte Hank/WatchGuard 2002). Reste que les offres se multiplient et la seconde génération d’ASP apparaît avec des offres plus spécifiques (Patch Management par exemple).

Côté menaces et attaques, une étude du Gartner Group indique que d’ici 2005, 70 % des PME gérant leurs propres systèmes de sécurité raccordés à Internet feront l’objet d’une attaque réussie via Internet. Plus de 60 % d’entre elles ne réaliseront pas qu’elles ont été victimes d’une ou plusieurs attaques. Doivent-elles trouver leur salut en adoptant les règles définies dans les politiques de sécurité de leurs grands clients qui deviendraient des partenaires Cyber-risques en étendant leur vison de la sécurité ? En 2004/ 2005 les PME/PMI continuent leur intégration de plus en plus aux systèmes d’informations de leurs grands clients. C’est le concept de e-confiance et d’échanges dématérialisés encouragés par des approches métier : avocats, huissiers, greffiers, notaires…

9.3 DU SENS DU ROI EN SECURITE DES SYSTEMES D’INFORMATION Auteur : Juan Antonio Hernandez (Néo Sécurité) [email protected]

« Ce qui peut être compté ne compte pas forcément ; et ce qui compte ne se compte pas nécessairement ».

Einstein

Qui n’a jamais été surpris de constater, à la lecture de la presse informatique professionnelle, combien le sujet du retour sur investissement, le fameux ROI7, est omniprésent ? La presse spécialisée dans le domaine de la sécurité n’y fait pas exception. Pas un numéro qui ne comporte son analyse de ROI, qu’il s’agisse, par exemple, de justifier l’acquisition d’un outil de détection d’intrusion, d’une application de gestion des mises à jour, ou le recours à un nouveau type de service externalisé.

La question du ROI semble être celle face à laquelle aucun DSI8 ou RSSI9 ne peut se soustraire. Prendre le réflexe de se la poser semble être le meilleur moyen de démontrer sa préoccupation "business" dans le choix de nouvelles solutions.

Compte tenu du fait que la sécurité du système d’information ne contribue pas directement à la réalisation du chiffre d’affaires de l’entreprise, on peut se demander si cet indicateur économique emprunté à la finance, et dont les industries du XIXè siècle en généralisèrent l’usage, est légitime ici ? Est-il adapté aux besoins du manager qu’est devenu le RSSI ? Si tel est le cas, comment le calculer ? Enfin, constitue-t-il un bon outil d’aide à la décision pour une gestion efficace des risques auxquels l’entreprise est exposée ?

7 Return On Investment dans la terminologie anglo-saxonne 8 Directeur des systèmes d’information 9 Responsable de la sécurité des systèmes d’information




9.3.1 Qu’est-ce qu’un ROI ? Le ROI est un indicateur financier d’aide à la décision en matière d’investissement. Une direction qui se pose la question de l’opportunité du renouvellement de tout ou partie de son outil de production, calcule l’avantage financier que lui procurera cet investissement en comparant d’une part les coûts directs et indirects engendrés par le remplacement de l’outil en place et d’autre part les gains induits par le nouvel équipement, que ce soit en termes de prix de revient, de productivité, d’amélioration de la qualité ou d’allongement du cycle d’amortissement, etc. Forte de cette information – et dans l’hypothèse où on ne tient compte que de la dimension financière – l’entreprise sera en mesure de prendre une "bonne" décision d’investissement, puisque ce sera un processus rationnel qui l’y aura conduit.

Outre le domaine de la production, le calcul de ROI peut s’avérer pertinent pour évaluer l’intérêt d’une action marketing ou commerciale.

9.3.2 Système d’information, sécurité et ROI Parmi les grandes mutations que l’entreprise a connues au cours du XXè siècle, l’informatisation a non seulement profondément changé la façon dont on travaille mais a également donné lieu à une modification de la répartition de ce qui constitue la valeur de l’entreprise. Il parait désormais incontestable de considérer qu’une partie de la valeur "réelle" de l’entreprise réside dans son système d’information (que serait aujourd’hui une banque sans son système d’information ?) même si la valeur comptable en donne une représentation différente, en ne prenant en compte que les actifs traditionnels.

C’est pourquoi pour une grande entreprise aujourd’hui, la question de sécuriser tout ou partie du système d’information, telle procédure, ou les réseaux, ne se pose plus en ces termes. Face aux différentes menaces mentionnées dans les précédents chapitres de ce livre, les enjeux sont compris. Les vraies questions deviennent : Jusqu’où faut-il aller ? Combien faut-il dépenser ? Ou encore : comment être sûr qu’on dépense convenablement, c’est-à-dire ni trop, ni trop peu; qu’on dépense intelligemment; qu’on dépense pertinemment ?

Il existe des cas où le calcul de ROI se présente de manière relativement simple. Imaginons par exemple le cas d’un RSSI qui souhaite justifier la mise en œuvre d’une plate-forme antivirale, indépendamment de toute considération juridique ou pratique, par un calcul de ROI. En supposant qu’il dispose des données lui permettant le calcul, il lui suffira de comparer le coût C1 résultant du temps d’intervention moyen des équipes informatiques après chaque infection - auquel il ajoutera le coût induit par le non-fonctionnement des PC infectés (pertes d’exploitation, perte de chiffre d’affaires) – au coût C2 de la solution antivirale supposée parfaite10 (licences, matériels, maintenance, ressources humaines nécessaires au déploiement et à l’exploitation). Le ROI sera tout simplement égal à la différence C1-C2.

9.3.3 Calcul du ROI : un exercice difficile La réalité montre que dans de nombreux autres domaines de la sécurité, le problème du calcul du ROI ne se pose pas aussi simplement : comment calculer celui d’un programme de sensibilisation à l’échelle d’une entreprise ? Ou celui relatif à la mise en œuvre d’une plate-forme de détection d’intrusion ? Ou encore celui de la prise en compte de la sécurité au lancement d’un vaste projet informatique ? Il ne s’agit pas de prétendre que le ROI n’est pas modélisable mais force est de constater qu’il est difficile de construire un modèle fiable.

On peut trouver plusieurs raisons à cela. Tout d’abord, différents facteurs vont modifier les paramètres du modèle selon le secteur économique dans lequel on se place et même selon l’entreprise quand on est dans un secteur donné. C’est pourquoi les ROI présentés comme des valeurs absolues dans les documentations commerciales apparaissent peu crédibles. Par ailleurs, on manque souvent d’éléments et de recul pour être en mesure d’évaluer ces paramètres : les expériences chiffrées et convenablement mesurées ne sont guère fréquentes. Considérons à ce titre le cas de la sécurisation d’une application métier à développer : pendant les phases de conception

10 Un antivirus parfait serait un antivirus capable de détecter et d’isoler tout nouveau virus, garantissant donc qu’on ne subirait aucune infection dans le futur… ce qui, à ma connaissance, n’existe pas encore !



et d’intégration, le RSSI connaîtra le montant des investissements liés à la sécurité. Puis, lorsque l’application sera passée en phase d’exploitation, et tant qu’aucun incident ne se sera produit, il n’obtiendra vraisemblablement plus d’information lui permettant de mesurer le bénéfice d’une sécurisation de l’application dès sa conception.

Il est plus facile de mesurer un éventuel retour sur investissement à posteriori, comme dans l’exemple précédemment cité du RSSI et de sa plate-forme antivirale, que de disposer d’un modèle fiable pour modéliser le futur. C’est sans doute là que réside la principale difficulté : contrairement au champ d’utilisation habituel du ROI – le remplacement d’une machine par une autre sur une chaîne d’usine par exemple. – dans lequel le modèle de calcul est déterministe (on sait calculer le ROI de façon sûre), on ne peut bâtir, lorsqu’il s’agit de sécurité, qu’un modèle probabiliste, dont les paramètres dépendent eux-mêmes d’une modélisation des risques (modélisation en termes de survenance, de fréquence et de conséquence). Or si l’on considère le risque comme la résultante d’une fonction dépendant des actifs à protéger, de sa vulnérabilité et des menaces auxquelles elle est exposée, on comprend alors que le risque et donc le ROI recherché varient d’une entreprise à une autre.

9.3.4 Un indicateur souvent inadapté Tenter de calculer un ROI en sécurité des systèmes d’information est donc bel et bien un exercice séduisant pour tout manager de la sécurité puisqu’il permet, à travers une démarche qui se veut aussi rationnelle que possible, de légitimer financièrement un choix. Mais on s’expose tout d’abord au risque que l’indicateur sur lequel on fonde sa décision soit faux. Et quand bien même il serait juste, peut-on ne considérer que la dimension financière ?

Dans le cas où il s’agit de choisir entre deux solutions, d’autres facteurs devront vraisemblablement entrer en jeu : modalités de déploiement, qualité du produit ou du service, facilité d’utilisation, accessibilité du support technique, intérêt et motivation des personnels qui en seront les utilisateurs, etc.

Dans le cas où il s’agit de choisir entre faire et ne rien faire, sans doute faut-il se poser la question des conséquences du 2nd choix ? Avant que la réglementation ne leur impose des mesures préventives, les grandes entreprises du début du siècle, dont l’essentiel de la richesse était concentré dans leurs usines et leurs entrepôts, se sont-elles posé la question de l’intérêt de s’équiper en extincteurs en termes de ROI ?

Peut-être serait-il pertinent de présenter à une direction générale un nouvel indicateur, le RONI (Return On Non Investment), lequel caractériserait les conséquences financières des risques auxquels on s’expose faute d’investissements adéquats ?

Enfin, du point de vue de l’actionnaire, si le système d’information participe de la valeur de l’entreprise, il serait fort utile de le valoriser. Cela permettrait de déterminer les moyens qu’il serait raisonnablement légitime de consacrer à sa protection…



10 BIBLIOGRAPHIE ET REFERENCES

10.1 GENERAL (Réf. 1) http://www.netcost-security.comhttp://www.mag-securs.com/

(Réf. 3) http://secuser.com

(Réf. 4) http://www.zataz.com/

(Réf. 5) http://securiteinfo.com/

(Réf. 6) http://www.clusif.asso.fr/

(Réf. 7) http://www.securitystats.com

10.2 ATTAQUES ET MENACES (Réf. 8) http://www.hoaxbuster.com/

(Réf. 9) http://www.nwfusion.com/techinsider/2004/0517techinsidermain.html?page=2

(Réf. 10) http://www.imperva.com/application%5Fdefense%5Fcenter/glossary/

(Réf. 11) http://www.trendmicro.com/en/security/general/glossary/overview.htm

(Réf. 12) http://www.incidents.org/

(Réf. 13) http://www.spywareguide.com/

10.3 VOIP (Réf. 14) http://www.forumvoip.com/

(Réf. 15) http://www.sipforum.org/

(Réf. 16) http://www.voipwatch.com/

(Réf. 17) http://www.vonmag.com/

(Réf. 18) http://www.sipcenter.com/

(Réf. 19) http://www.voip-info.org/

(Réf. 20) http://www.iptel.org/

(Réf. 21) http://www.voip-news.com/

(Réf. 22) http://www.voip.org.uk/

(Réf. 23) http://vomit.xtdnet.nl/

10.4 CENTRE D’APPELS (Réf. 24) www.phonethik.com

(Réf. 25) www.planeteclient.com

(Réf. 26) articles de la revue "Centres d'appels": • N°16, 01.05.2000 "Protéger le coeur du centre d'appels : l'autocommutateur" • N°16, 01.05.2000 "Comment sécuriser son centre d'appels" • N°26, 01.06.2001 "Sécurisation une necessité au quotidien" • N°52 - 01.09.2004 "Communication de crise : Les centres d’appels en première ligne" • N°53, 01.10.2004 "La sécurité : un paramètre à ne plus négliger"

http://www.netcost-security.com/

http://www.mag-securs.com/

http://secuser.com/

http://www.zataz.com/

http://securiteinfo.com/

http://www.clusif.asso.fr/

http://www.securitystats.com/

http://www.hoaxbuster.com/

http://www.nwfusion.com/techinsider/2004/0517techinsidermain.html?page=2

http://www.imperva.com/application%5Fdefense%5Fcenter/glossary/

http://www.trendmicro.com/en/security/general/glossary/overview.htm

http://www.incidents.org/

http://www.spywareguide.com/

http://www.forumvoip.com/

http://www.sipforum.org/

http://www.voipwatch.com/

http://www.vonmag.com/

http://www.sipcenter.com/

http://www.voip-info.org/

http://www.iptel.org/

http://www.voip-news.com/

http://www.voip.org.uk/

http://vomit.xtdnet.nl/

http://www.phonethik.com/

http://www.planeteclient.com/



10.5 WI-FI (Réf. 27) ART http://www.art-telecom.fr/

(Réf. 28) WECA http://www.weca.net/OpenSection/index.asp

(Réf. 29) WLANA : http://www.wlana.org/index.html

(Réf. 30) IEEE 802.11 : http://grouper.ieee.org/groups/802/11/

(Réf. 31) Wi-Fi Planet : http://www.wi-fiplanet.com/

(Réf. 32) Wi-Fi Networking News : http://wifinetnews.com/

(Réf. 33) Paul Mühlethaler : 802.11 et les réseaux sans fil (Eyrolles)

(Réf. 34) HiperLAN/2 : http://www.etsi.org/

(Réf. 35) Bluetooth : http://bluetooth.com

(Réf. 36) UnStrung : http://www.unstrung.com/

(Réf. 37) Rappels de théorie radio http://www.swisswireless.org/wlan_calc_fr.html

(Réf. 38) Microsoft Technology Center : http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx

(Réf. 39) O'Reilly - comparaison technique de TTLS et PEAP http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html

(Réf. 40) IEC - Tutoriel EAP pour 802.1X : http://www.iec.org/online/tutorials/acrobat/eap_methods.pdf

10.6 INGENIERIE SOCIALE (Réf. 41) Avis du CERT – « Social Engineering » http://www.cert.org/advisories/CA-1991-04.html

(Réf. 42) Bernz – “The complete social engineering FAQ” http://www.morehouse.org/hin/blckcrwl/hack/soceng.txt

(Réf. 43) Harl – “People hacking”. The Psychology of Social Engineering

(Réf. 44) Tims – “Social Engineering : Policies and Education a Must” http://www.sans.org/infosecFAQ/social/policies.htm

(Réf. 45) Gartner – http://www3.gartner.com/gc/webletter/security/issue1

10.7 JURIDIQUE (Réf. 46) http://www.clic-droit.com/

(Réf. 47) http://www.iteanu.com/

(Réf. 48) http://www.juriscom.net/

(Réf. 49) http://www.murielle-cahen.com

(Réf. 50) http://www.cnil.fr/

(Réf. 51) http://legifrance.gouv.fr

(Réf. 52) http://www.legalbiznext.com/

(Réf. 53) Livre “Tous Cyber Criminels“ de Olivier Itéanu (Laffont éditeur)

10.8 LOISIRS

10.8.1 Livres (Réf. 54) L’ours et le dragon de Tom Clancy

http://www.art-telecom.fr/

http://www.weca.net/OpenSection/index.asp

http://www.wlana.org/index.html

http://grouper.ieee.org/groups/802/11/

http://www.wi-fiplanet.com/

http://wifinetnews.com/

http://www.etsi.org/

http://bluetooth.com/

http://www.unstrung.com/

http://www.swisswireless.org/wlan_calc_fr.html

http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx

http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html

http://www.iec.org/online/tutorials/acrobat/eap_methods.pdf

http://www.cert.org/advisories/CA-1991-04.html

http://www.morehouse.org/hin/blckcrwl/hack/soceng.txt

http://www.sans.org/infosecFAQ/social/policies.htm

http://www3.gartner.com/gc/webletter/security/issue1

http://www.clic-droit.com/

http://www.iteanu.com/

http://www.juriscom.net/

http://www.murielle-cahen.com/

http://www.cnil.fr/

http://legifrance.gouv.fr/

http://www.legalbiznext.com/



Comment un logiciel espion s’avère déterminant pour gagner la guerre entre les USA et la Russie d’un côté et la Chine de l’autre.

(Réf. 55) Mademoiselle Chat de Frank et Vautrin (Fayard)

Les services secrets alliés essaient de voler la machine à chiffrer allemande ENIGMA

(Réf. 56) Piège sur le réseau de Philipp Finch (titre original : f2f) Presses de la Cité

Un serial killer recrute ses victimes sur le Net. Intrusions, capture d'information, cheval de troie, vers, phreaking, vol de n° de cartes de crédit (codeZ)... l'attaque informatique dans toute sa splendeur.

(Réf. 57) Histoire des codes secrets de Simon Singh

De l'Égypte des pharaons à l'ordinateur quantique

(Réf. 58) Da Vinci Code de Dan Brown

Un méchant albinos, une jolie cryptographe et quelques espions du Vatican pour déchiffrer un code secret et découvrir l'un des plus grands mystères de notre temps.

(Réf. 59) Operation Fiat Lux de Thomas O'Neil et Jean de Kerily

Un grand groupe français victime d'un crack boursier découvre une manipulation orchestrée par un fond d'investissement proche de la NSA.

10.8.2 Films (Réf. 60) U571 – (Universal studios)

Comment l’équipage d’un sous-marin américain s’empare de la machine ENIGMA en abordant un sous-marin allemand en perdition.

(Réf. 61) Le rideau déchiré (Alfred Hitchcock)

Les secrets étaient cachés dans une note de musique. Bel exemple de stéganographie.

(Réf. 62) Contact (Robert Zemeckis)

Encore un bel exemple de stéganographie : un vieux film d'actualité livre ses secrets

(Réf. 63) Wargames (John Badham)

David commence par infiltrer le réseau informatique de son lycée et finit par celui du Pentagone. A quoi tient le déclenchement de la 3° guerre mondiale !

(Réf. 64) Matrix (Andy Wachowski)

Inutile de présenter....

(Réf. 65) Johnny Mnemonic (Robert Longo)

Au XXIème siècle, l'information est devenue le centre de toutes les convoitises. et les multinationales emploient des coursiers du futur pour sécuriser le transport de ces informations.a mémoire de ces coursiers est en péril, face aux agressions.



11 GLOSSAIRE

11.1 ACRONYMES AP Access Point ART Autorité de régulation des Télécommunications. BAS Broadband Access Server BLR Boucle Locale Radio BPSK Binary Phase Shift Keying CCK Complementary Code Keying DSI Directeur des systèmes d’information DSSS Direct Sequence Spread Spectrum EAP Extensible Authentication Protocol EAP-TLS EAP with Transport Layer Security EAP-TTLS EAP with Tunnelled Transport Layer Security ESS Extended Service Set ETSI European Telecommunications Standard Institute FHSS Frequency Hopping Spread Spectrum IBSS Independent BSS IDS Intrusion Detection System IEEE Institute of Electrical & Electronic Engineers IETF Internet Engineering Task Force L2TP Layer 2 Tunneling Protocol LAN Local Area Network LEAP Lightweight EAP MD5 Message Digest 5 MEGACO Media Gateway Controller MGCP Media Gateway Control Protocol NAS Network Access Server OFDM Orthogonal Frequency Division Multiplexing PAN Personnal Area Network PBX Private Branch Exchange PEAP Protected EAP PIRE Puissance Isotrope Rayonnée Equivalente PPTP Point-to-Point Tunneling Protocol PSK Pre-Shared Key QAM Quadrature Amplitude Modulation QPSK Quadrature Phase Shift Keying RAS Remote Access Server RLAN Radio LAN ROI Return on Investment RSSI Responsable de la Sécurité des Systèmes d’Information RTCP Realtime Control Protocol RTP RealtimeTransport Protocol SCTP Stream Control Transmission Protocol SDP Session Description Protocol



SGDN Secrétariat général de la Défense nationale (SGDN) SIP Session Initiation Protocol SSID Service Set Identification SSRC Synchronization source identifier (RTP header) STA Station TCP/IP Transmission Control Protocol/Internet Protocol TLS Transport Layer Security TTLS Tunneled TLS VLAN Virtual LAN VoIP Voice over Internet Protocol VPN Virtual Private Network WAN Wide Area Network. Utilisé parfois à la place de WLAN WECA Wireless Ethernet Compatibility Alliance WISP Wireless ISP WLAN Wireless LAN WLL Wireless Local Loop WMAN Wireless MAN VoWLAN Voice over WLAN WPA Wi-Fi Protected Access WPAN Wireless PAN

11.2 DÉFINITIONS DES, 3DES Data Encryption Standard : Chiffrement symétrique qui permet d’assurer le

chiffrement des données. Le DES a une longueur de clé utile de 56 bits, le triple DES de 168 bits.

802.11a Autre variante du protocole 802.11, également qualifié Wi-Fi, mais opérant dans une autre bande de fréquences d’accès encore très limitée en France

802.11b, 802.11g Variantes du protocole 802.11 adoptées par les produits courants "WiFi" et qui correspondent à des techniques de modulation différentes, dont la différence tangible pour l'utilisateur se traduit par le débit maximum.

802.11i Extension du protocole 802.11 pour la sécurité. AAA Authentication, Autorisation and Accounting : Un serveur AAA est un serveur

d’authentification forte qui délivre les autorisations d’accès et génère les éléments comptables.

ACL Access Control List : Liste d’adresses ou de ports fonctionnant comme un filtre pour gérer les autorisations/interdictions d’accès.

AES Advanced Encryption Standard : Méthode de chiffrement symétrique, d'origine belge, utilisée par l’armée américaine, plus moderne que le DES, plus rapide, dont les clés sont plus longues.

AH Authentication Header, champ ajouté par l’IPSEC devant chaque paquet IP pour permettre son authentification

Appliance Plate-forme matérielle sur laquelle sont préchargés les logiciels de sécurité (Firewall et VPN, parfois aussi détecteur d’intrusion). Les appliances peuvent être des PC standards modèle tour, ou des racks 1u et 2u, ou encore des boîtiers spécifiques.

ASLEAP Attaque de type dictionnaire sur LEAP BLR Boucle Locale Radio Booter Lancer les services du système d’exploitation pour que les applications qui les

utilisent soient prêtes à fonctionner. Le boot (amorçage) se fait à l’allumage du poste de travail et du serveur.



BPSK Binary Phase Shift Keying Broadcast Diffusion : Émission depuis un point vers toutes les stations susceptibles de

détecter le signal. BSS Basic Service Set : Ensemble formé par un point d'accès et les stations situées

dans sa zone de couverture radio électrique. BSSID Basic Service Set IDentifier : identifiant d’un point d’accès, concrètement son

adresse MAC. Centrino Une offre matérielle d’INTEL, composée d'un processeur (Pentium-M), d'un jeu

de composants associé (le 855) et d'un module Wi-Fi qui assure l'émission et la réception des données (contrôleur RLAN Intel PRO/2100).

CERT Computer Emergency Response Team. Réseau mondial de centres qui réceptionne et diffuse les alertes de sécurité et les vulnérabilités des systèmes. Voir sur www.cert.org.

Certificat Fichier contenant divers renseignements qui permettent d’authentifier un utilisateur, avec en particulier son nom, sa société, l’autorité de confiance qui a signé ce certificat, les dates de validité du certificat, la clé publique qui va permettre de chiffrer / déchiffrer lors d’un chiffrement asymétrique et une partie chiffrée qui permet d’en contrôler l’origine.

Clé USB Ou token USB. Objet amovible contenant un chip dans lequel sont stockés les certificats et les clés de chiffrement. La différence avec une carte à puce est que la clé USB se positionne dans le port USB que tous les postes de travail possèdent en standard et ne nécessite donc pas d’acquérir un lecteur additionnel. Le contenu du chip de la clé USB ne peut être recopié, ce qui offre une sécurité plus grande que le stockage de la clé privée sur un disque dur ou sur une disquette.

CNIL La Commission Nationale de l’Informatique et des Libertés est une autorité administrative indépendante à qui toute action de constitution de liste nominative doit être communiquée. Voir www.cnil.fr

Codec Le codec identifie le mode de numérisation et de compression du signal (la voix dans notre cas) se distinguent par leurs caractéristiques : qualité du signal sonore, bande passante et capacité de traitement CPU requise. Les codec les plus courants sont des recommandations ITU : G.711 (64 kb/s a & µlaw) ; G.723.1(5,3/6,3 kb/s 30 ms frame size) ; G.729 (8 kb/s 10 ms frame size) ; mais aussi GSM (13+ kb/s) ; Speex (2,15 - 44,2 kb/s)

Commutateur (Switch) : Équipement qui aiguille les paquets d’un segment vers un autre en se basant sur un mécanisme d’adressage.

Concentrateur (Hub) : Équipement qui relie les différents segments physiques d’un réseau en étoile. Le concentrateur laisse passer tous les flux sans contrôle.

Coupe-feu Voir firewall. CRC Cyclic Redundancy Check : résultat d’un algorithme, destiné à vérifier l’intégrité

d’un message et éventuellement détecter des erreurs de transmission. DES – 3DES Data Encryption Standard. Algorithmes de chiffrement symétriques. Le DES

utilise une clé de 56 bits, le 3DES utilise trois clés en série de 56 bits, qui donnent une clé virtuelle de chiffrement de 168 bits.

Dialer VPN Appel Java qui ouvre un tunnel chiffrant depuis un poste client vers un RAS. DMZ DeMilitarized Zone. Un ou plusieurs réseaux partant d’un firewall et qui ne sont ni

le réseau externe non protégé, ni le réseau interne très protégé. C’est une zone intermédiaire avec une politique de sécurité particulière, dans laquelle on place souvent le serveur Web institutionnel de l’entreprise, le serveur anti-virus et le serveur de messagerie.

DoS Deny of Service (déni de service) : Attaque qui consiste à rendre un réseau inopérant par saturation ou destruction de ses ressources.



DS Distribution System : Réseau d’infrastructure qui permet de relier plusieurs BSS pour constituer un ESS. Le système de distribution peut être un réseau filaire, un câble entre deux points d'accès voire un réseau.

ESP Encryption Standard Protocol, champs ajoutés devant et derrière chaque paquet IP pour permettre l’authentification et le chiffrement / déchiffrement de ces paquets.

ESS Extended Service Set : Ensemble de BSS reliés entre eux par système de distribution (voir DS)

ESSID Extended Service Set IDentifier : Identifiant servant de reconnaissance mutuelle entre un réseau et ses terminaux, souvent abrégé en SSID.

Firewall Solution logicielle ou matérielle placée en coupure entre deux ou plusieurs réseaux et qui contrôle tous les échanges entre ces réseaux pour ne laisser passer que les échanges autorisés par la politique de sécurité de l’entreprise qu’il protège.

Garde barrière Voir firewall. H.323 Recommandation ITU (Study Group 16) pour la transmission temps-réel de vidéo

et de données sur un réseau à commutation de paquet, traditionnellement appliquée à la visio-conférence sur IP, mais aussi à la phonie.

Hacker Pirate qui attaque votre réseau par méchanceté, bravade, divertissement ou simplement parce que c’est son travail. On trouve de plus en plus de hackers non spécialistes mais équipés de logiciels d’attaques qui peuvent être trouvés gratuitement sur l’Internet, et dont ils n’ont pas à connaître finement le comportement pour les utiliser.

Hoax Fausse alerte de virus ou de ver, souvent un canular qui ne repose sur aucune menace réelle mais génère néanmoins la peur, cause des pertes de temps et empoisonne la vie des utilisateurs. Voir en http://hoaxbusters.ciac.org/

Hot Spot Réseau radio ouvert au public pour offrir l'accès à l'Internet à des utilisateurs de passage.

HTTP Hyper Text Transfert Protocol. Protocole applicatif définissant les échanges entre un client Web (tel que l’Internet Explorer ou le Netscape Navigator) et un serveur Web tel que l’IIE ou Apache.

IKE Internet Key Exchange, méthodes de l’IPSec, basées sur le chiffrement asymétrique, pour échanger la clé de chiffrement symétrique.

Intranet Réseau interne de l’entreprise dont les applications utilisent les protocoles réseaux de l’Internet (protocoles IP).

IPSec Internet Protocol Security, suite de protocoles et méthodes qui ajoutent des fonctionnalités d’authentification et de chiffrement à la version actuelle du protocole IP, l’IPv4. La prochaine version des protocoles IP, l’IPv6, contient d’origine toutes ces fonctionnalités de sécurité.

LDAP Le Lightweight Directory Access Protocol est un protocole IP qui définit comment accéder à des services en ligne d'annuaire.

MIC Message Integrity Code : algorithme utilisé par TKIP pour calculer un code d’intégrité d’un paquet.

NAT Network Address Translation, méthodes pour cacher les adresses IP d’un réseau protégé, en les modifiant pour présenter des adresses différentes à l’extérieur. Il y a la NAT statique qui fait correspondre une adresse publique à chaque adresse interne privée, et la NAT dynamique qui attribue une adresse prise dans un pool limité d’adresses publiques à chaque adresse interne, jusqu’à épuisement des adresses disponibles.

NIC Network Information Centre : Autorité qui attribue des plages d’adresses Internet et des noms de domaine aux utilisateurs.

NIC Network Interface Card : Carte d’adaptation installées dans un ordinateur et qui fournit un point de connexion vers un réseau.



Paquet IP Parcelle élémentaire d’information dans laquelle les données sont transportées dans les réseaux IP. Un paquet IP se compose d’une partie en-tête, et d’une partie donnée.

PIN Personal Identification Number : Code secret à quatre chiffres (ou plus) qui permet d’activer le dispositif d’authentification d’une clé USB ou d’une carte à puce.

Pinhole Le trou d'une aiguille correspond dans le cas du Firewall à la brèche très limitée qui est créée de manière temporaire pour laisser passer une connexion de son ouverture à sa clôture.

PKI Public Key Infrastructure, infrastructure à clé publique qui se compose de diverses autorités (de certification, d’enregistrement) et d’un système de distribution de clés asymétriques.

Port D’un point de vue logiciel, numéro caractérisant une application (par exemple 80 est un numéro de port affecté au protocole web HTTP). D’un point de vue matériel, un port caractérise un connecteur physique par exemple une clé d’authentification s’adapte sur un port USB.

Poste mobile Poste qui peut accéder à un service sans se raccorder par câble. Poste nomade Poste qui peut accéder à un service depuis n’importe quel point câblé. Protocoles IP Série de protocoles définis par les RFC (Requests for Comments) et sur lesquels

les échanges Internet et par extension Intranet reposent. Proxy Logiciel entre l’utilisateur et le serveur d’application, qui masque cette application

en se faisant passer pour le serveur RADIUS Remote Authentication Dial-In User Service : Protocole normalisé qui décrit la

communication entre un RAS et un serveur AAA nommé RADIUS. RLAN Réseau local (LAN) dont tout ou partie de l'infrastructure repose sur une

technologie radio. RSA Du nom des inventeurs : Rivest, Shamir, Adelman. Le RSA est une méthode

d’authentification et de chiffrement à base de clés asymétriques basé sur des clés de 1024 bits ou 2048 bits. Le RSA est souvent utilisé pour une authentification mutuelle et un échange d’une clé de chiffrement symétrique.

RTC Réseau Téléphonique Commuté : La connexion RTC permet de se connecter à Internet à partir de n'importe quelle prise téléphonique en connectant un modem entre l'ordinateur et la ligne. Les modems RTC offrent un débit maximum de 56 Kbps (ou Kb/s pour kilo bits par seconde).

SDR Session Detail Records, correspond à la notion de tickets de consommation, directement déduits des communications ayant eu lieu, et permettant donc la facturation.

SMTP Simple Mail Transfert Protocol. Protocole applicatif sur lequel repose la messagerie sur l’Internet.

Sniffer Sonde logicielle destinée à analyser le trafic sur un réseau. Les hackers les utilisent pour récupérer à la volée des informations sensibles (par exemple mots de passe) à l'insu des administrateurs réseau.

Softswitch Textuellement, commutateur logiciel, correspond au serveur de l'architecture VoIP qui regroupe les fonctions autrefois réalisées par l'autocommutateur (PABX), telles que la messagerie vocale, les fonctions de renvois, mais aussi l'ACD ou l'IVR.

Spoofing Méthode de piratage qui consiste à usurper l'adresse IP d'un ordinateur du système à attaquer, de manière à pouvoir l'accéder de manière transparente.

SSID Service Set IDentifier : Drapeau servant de reconnaissance mutuelle entre un réseau et ses terminaux

TKIP Temporal Key Integrity Protocol : Protocole de chiffrement utilisé par WPA USB Clé USB : objet amovible contenant un chip (une puce) dans lequel sont stockés

les certificats et les clés de chiffrement. La clé USB se positionne dans le port



USB des postes de travail. Son contenu ne peut être recopié et la clé asymétrique ne quitte jamais le token USB.

VPN Virtual Private Network : Tunnel chiffrant entre deux réseaux protégés bâti sur un réseau non-protégé et qui, après authentification mutuelle des deux bouts du tunnel, chiffre les transactions qui doivent l’être et en assure l’authenticité, la confidentialité et l’intégrité.

War-chalking Ensemble de symboles tracés par les hackers pour indiquer la présence d’un réseau WiFi.

War-driving Technique utilisée par les hackers, qui consiste à se déplacer avec un ordinateur portable et un système de réception radio, afin de détecter la présence de réseaux WiFi. Le système peut être complété par un GPS pour localisation automatique.

WEP Wireless Equivalent Privacy : mécanisme d’authentification et de chiffrement standard du protocole 802.11

WiFi Label délivré par le WECA qui garantit l'interopérabilité des équipements radio répondant au standard 802.11. Par extension de langage, désigne le standard lui-même.

WPA WiFi Protected Access : mécanisme d’authentification et de chiffrement préconisé comme solution d’attente de 802.11i, en alternative au WEP

WPA2 Nouveau nom du 802.11i



Copyright © etna 2004 - La reproduction et/ou la représentation de ce document sur tous supports est autorisée à la condition d'en citer la source comme suit © etna 2004 - http://www.etnafrance.org/ressources/securiteip/livre-securite.pdf L'utilisation à but lucratif ou commercial , la traduction et l'adaptation de ce document sous quelque support que ce soit est interdite sans la permission écrite de l’etna.

livre ouvert sur la sécurité - mag-securs · alain thibaud, directeur technique europe du sud de...

Documents