CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) APERÇU DES FONCTIONS DE SÉCURITÉ DES SYSTÈMES D EXPLOITATION

Transcription

1 CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) APERÇU DES FONCTIONS DE SÉCURITÉ DES SYSTÈMES D EXPLOITATION CSG-10\G Août

2 Page intentionnellement laissée en blanc.

3 Avant-propos Le document est NON CLASSIFIÉ et il est publié avec l autorisation du chef du Centre de la sécurité des télécommunications Canada (CSTC). Les propositions de modification devraient être envoyées par les voies de communication sécurisées du ministère concerné au représentant des Services à la clientèle du CSTC. Pour de plus amples renseignements, prière de communiquer avec les Services à la clientèle de la Sécurité des TI du CSTC, par courriel à l adresse itsclientservices@cse-cst.gc.ca, ou par téléphone au Date d entrée en vigueur La présente publication entre en vigueur le 28 août. Carey Frey Directeur, Programme avec l industrie de la Sécurité des TI Gouvernement du Canada, Centre de la sécurité des télécommunications Canada Il est interdit de faire des copies de cette publication ou d extraits de cette publication sans la permission écrite du CSTC. i

4 Page intentionnellement laissée en blanc. ii

5 Table des matières Avant-propos... i Date d entrée en vigueur... i Table des matières...iii Liste des tableaux... v Liste des figures... v Liste des abréviations et acronymes Introduction Contexte Objet Portée Public cible Gestionnaires opérationnels Gestionnaires de la sécurité Gestionnaires des opérations et gestionnaires des services Structure du document Aperçu des systèmes d exploitation Fonctions et types de services de sécurité Identification et authentification Autorisation Contrôle d accès Confidentialité Intégrité Disponibilité Responsabilisation Non-répudiation Vulnérabilités, menaces et risques communs Vulnérabilités, menaces et risques de nature générale D outils élémentaires à dispositifs intelligents Détermination de l approche de l organisation en matière de sécurité Partage des ordinateurs de bureau Utilisation acceptable des ordinateurs de bureau Absence de normes de sécurité Absence de protection des mots de passe Absence de renforcement durant l installation Contrôles d accès physique Service de diagnostic et de gestion assuré par le fournisseur Protection contre les maliciels iii

6 Rustines et mises à niveau inadéquates liées au système d exploitation Absence de plan de sauvegarde et de reprise pour les systèmes d exploitation Vulnérabilités, menaces et risques liés aux connexions de réseau Soutien du service d hébergement de sites Web Soutien du protocole FTP (pour File Transfer Protocol) Reniflage de réseau Partage des ressources d ordinateur de bureau Configuration réfractaire au risque Menaces liées au panneau de contrôle Mots de passe par défaut Menaces liées à la gestion à distance Restriction des droits administratifs Gestion à distance par l interface Web Protocole SNMP (pour Simple Network Management Protocol) Bibliographie Annexe A Sommaire des recommandations Annexe B Vulnérabilités, menaces et risques liés aux services de sécurité Annexe C Liste de contrôle des fonctions de sécurité pour les systèmes d exploitation iv

7 Liste des tableaux Tableau 1 : Vulnérabilités, menaces et risques liés aux services de sécurité du système LINUX31 Tableau 2 : Vulnérabilités, menaces et risques liés aux services de sécurité du système Mac Tableau 3 : Vulnérabilités, menaces et risques liés aux services de sécurité du système WINDOWS Tableau 4 : Recommandations relatives à la sécurité LINUX Tableau 5 : Recommandations relatives à la sécurité Mac OS X Tableau 6 : Recommandations relatives à la sécurité WINDOWS Liste des figures Figure 1 : Exemple de modèle d identification et d authentification... 7 Figure 2 : Exemple de modèle d autorisation... 8 Figure 3 : Exemple de modèle de contrôle d accès... 9 Figure 4 : Exemple de modèle de non-répudiation v

8

9 Page intentionnellement laissée en blanc. vii

10

11 Liste des abréviations et acronymes ANSI BSD BTMM CAAR CSPC CSTC DAC DG DNS DoS ET FTP GC GID HFS HID HTTP(S) I et A IIS IP IPP IPSec L2TP LAN LCA LDAP LINUX LPD American National Standards Institute Berkeley Software Distribution Back to My Mac Contrôle d accès axé sur les rôles Conseils en matière de sécurité pour les produits commerciaux Centre de la sécurité des télécommunications Canada Contrôle d accès discrétionnaire Directeur général Service de noms de domaine Déni de service Énoncé des travaux File Transfer Protocol Gouvernement du Canada Identificateur de groupe Système de fichiers hiérarchiques Système de détection d intrusion au niveau de l hôte Hypertext Transmission Protocol - Secure Identification et authentification Internet Information Server Internet Protocol Internet Printing Protocol Internet Protocol Security Layer 2 Tunnelling Protocol Réseau local Liste de contrôle d accès Lightweight Directory Access Protocol Système d exploitation de source ouverte de type Unix Line Printer Deamon 1

12 Mac Système d exploitation de Apple Macintosh MD5 Résumé de message version 5 PC Ordinateur personnel PSG Politique sur la sécurité du gouvernement POP3 Post Office Protocol 3 RARP Reverse Address Resolution Protocol SCSI Small Computer System Interface SHA Secure Hash Algorithm SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SSH Secure Shell SSL Secure Socket Layer TCP Transmission Control Protocol Telnet Telecommunication Network TFTP Trivial File Transfer Protocol TI Technologie de l information UDP User Datagram Protocol UFS Unix File System UID Identificateur d utilisateur WINDOWS Système d exploitation de Microsoft X.509 Norme de l IEEE pour les certificats numériques 2

13 1 Introduction Le présent document comprend des conseils et de l orientation concernant la protection des systèmes d exploitation WINDOWS, Mac OS 10.5.x (ci-après appelé Mac OS X) et LINUX utilisés dans un environnement type de réseau local désigné «protégé A» du gouvernement du Canada (GC). 1.1 Contexte Les Conseils en matière de sécurité pour les produits commerciaux (CSPC) offrent des conseils de haut niveau aux clients non techniques du GC sur les aspects liés à la sécurité de la technologie utilisée à l appui de leur mandat opérationnel. 1.2 Objet Le présent document traite de l exploitation sûre des systèmes d exploitation pendant toute la durée de leur vie utile. Les conseils et l orientation offerts visent à décrire les objectifs (pourquoi, quoi et quand) des recommandations de sécurité relatives à l utilisation sûre de ces systèmes dans l environnement réseau du GC. 1.3 Portée Les Conseils en matière de sécurité s appliquent SEULEMENT aux environnements non classifiés et «protégés A». Leur portée concerne UNIQUEMENT les recommandations relatives à la sécurité des versions de système d exploitation utilisées dans les ordinateurs de bureau. 1.4 Public cible Le présent document s adresse aux utilisateurs qui ont des perspectives particulières concernant la sécurité des systèmes d exploitation, selon leurs responsabilités. Les gestionnaires opérationnels sont normalement responsables de la sécurité au plan stratégique et autorisent des initiatives majeures en matière de sécurité, notamment une politique de sécurité organisationnelle conforme à la section de la Politique sur la sécurité du gouvernement 1 (PSG)

14 Les gestionnaires de la sécurité sont responsables de l élaboration concrète de la politique; ils en surveillent la mise en œuvre et en assurent le maintien en permanence, conformément à la section 10.1 de la PSG. Les gestionnaires des opérations et les gestionnaires des services s assurent de l application de contrôles de sécurité spécifiques et veillent à ce que les activités opérationnelles respectent les politiques convenues Gestionnaires opérationnels La gouvernance de la sécurité ministérielle relève des gestionnaires opérationnels supérieurs. À titre de propriétaires des ressources d information de leur organisation, il est essentiel que ces gestionnaires comprennent le rôle que joue la sécurité des systèmes d exploitation d ordinateur de bureau à l égard de la protection de ces ressources. Le soutien qu ils accordent aux gestionnaires de la sécurité et aux gestionnaires des opérations leur confère l autorité suffisante pour appliquer la politique. Les gestionnaires opérationnels supérieurs devraient participer activement au développement d un cadre efficace de sécurité pour les ordinateurs de bureau afin d améliorer l efficacité opérationnelle. Ils offrent ainsi à l ensemble du ministère une orientation claire et concrète en matière de sécurité des ordinateurs de bureau. Les gestionnaires opérationnels peuvent utiliser les deux sections suivantes du document en guise d introduction à la sécurité des systèmes d exploitation d ordinateur de bureau Gestionnaires de la sécurité Les gestionnaires de la sécurité sont responsables de la mise en œuvre, de l évaluation, des corrections et du maintien de politiques et de procédures de sécurité efficaces au sein de l organisation. Ils doivent en outre surveiller continuellement le respect de la sécurité. Ces gestionnaires participent normalement au forum sur la sécurité de la gestion avec des représentants des gestionnaires opérationnels principaux. Les forums sur la sécurité de la gestion, recommandés par la majorité des organismes internationaux en matière de normes de sécurité, ont pour mandat : d examiner et d approuver les changements apportés aux politiques ou aux responsabilités en vue d améliorer la sécurité de l information; de surveiller et d examiner les incidents de sécurité. Le présent document peut aider les gestionnaires de la sécurité à choisir les contrôles de sécurité appropriés pour les systèmes d exploitation d ordinateur de bureau et à comprendre la mesure dans laquelle ces contrôles sont conformes à la PSG. Cette dernière peut les aider à faire de la sécurité des systèmes d exploitation d ordinateur de bureau une composante essentielle de la gestion des services de TI. 4

15 1.4.3 Gestionnaires des opérations et gestionnaires des services L objectif principal de ces gestionnaires est d utiliser les technologies de l information (TI) pour offrir des services opérationnels de haut niveau. Pour protéger ces services, il est essentiel de développer et de maintenir des processus et des procédures efficaces capables de soutenir les buts et les objectifs de l organisation. Les gestionnaires des opérations et les gestionnaires des services veillent à mettre en œuvre les contrôles de sécurité sélectionnés par les gestionnaires de la sécurité afin de développer et maintenir des processus et des procédures opérationnels appropriés pour les systèmes d exploitation d ordinateur de bureau, en conformité aux exigences de sécurité. Le présent document aide ces gestionnaires à comprendre la manière dont ils doivent mettre en œuvre le processus de gestion des services de TI pour appliquer et gérer les contrôles de sécurité des systèmes d exploitation d ordinateur de bureau. 1.5 Structure du document Section 2 Aperçu des services de sécurité des systèmes d exploitation. Section 3 Liste des problèmes de sécurité des TI liés à l utilisation des systèmes d exploitation et détermination des risques connexes. La section donne également un aperçu des stratégies d atténuation des risques et des politiques appropriées à utiliser dans l environnement de travail des réseaux du GC. Section 4 Bibliographie. Annexe A Sommaire des recommandations. L annexe cerne les services qui permettent d améliorer au maximum la sécurité des produits du groupe de systèmes d exploitation tout en soutenant le mandat opérationnel des clients du GC. Annexe B Vulnérabilités, menaces et risques associés aux services de sécurité. Annexe C Liste de contrôle qui vise à aider le lecteur à choisir les options essentielles de configuration des systèmes d exploitation qui lui permettront d obtenir la configuration la mieux protégée tout en répondant de manière efficace aux besoins opérationnels. 5

16 2 Aperçu des systèmes d exploitation Un système d exploitation est le programme qui, après avoir été initialement chargé dans l ordinateur par un programme d amorçage, gère tous les autres programmes (applications) de l ordinateur. Sans son système d exploitation, un ordinateur n a aucune utilité. La présente section donne un bref aperçu des systèmes d exploitation d ordinateur de bureau ci-dessous qui font l objet du présent guide sur la sécurité : LINUX Linux est un système d exploitation que Linus Torvalds, de l Université de Helsinki (Finlande), a initialement créé durant ses loisirs alors qu il était jeune étudiant. Le noyau, au cœur de tous les systèmes Linux, est développé et diffusé en vertu d une licence publique générale GNU et son code source est offert gratuitement à tous. De nos jours, il existe des centaines d entreprises et d organisations et autant de personnes qui ont lancé leur propre version de système d exploitation axée sur le noyau Linux; Mac OS X Le système d exploitation Mac OS X d Apple utilise les modules de base de la version UNIX de Berkeley Software Distribution (BSD) et hérite donc des mêmes faiblesses au plan de la sécurité. Il est raisonnablement sûr comme produit original puisque tous les services qui dépendent du super serveur Internet sont désactivés par défaut. Il inclut également des outils de sécurité tiers tels les enveloppeurs TCP, OpenSSH et un coupe-feu IP de filtrage de paquet. Il transmet des avis de mise à jour aux utilisateurs dès qu Apple les rend disponibles. Les principaux problèmes de sécurité qu il pose sont liés à ses fonctions limitées (camouflage des valeurs de hachage de mot de passe contre les utilisateurs non autorisés, capacités très restreintes au plan de la robustesse des mots de passe, contrôles d accès inadéquats des set-uid et set-gid de certains fichiers exécutables). WINDOWS (y compris Windows NT, Windows 2000, Windows XP et Windows Vista) WINDOWS est conçu pour offrir une plateforme stable et sûre capable d exécuter les applications commerciales actuelles. Le système NOS (pour Network Operating System) de WINDOWS se superpose au protocole TCP/IP pour prendre en charge les protocoles standard TCP/IP tels TCP/UDP, IP, HTTP, FTP, TFTP, SMTP, SNMP et DNS. Il prend également en charge les protocoles de sécurité et d authentification tels Kerberos, IPSec et L2TP. Selon les données de sécurité actuellement disponibles, le moyen le plus facile pour un attaquant de s introduire dans un réseau interne est d exploiter les vulnérabilités à haut risque de WINDOWS telle la mystification, le reniflage et l hameçonnage. Compte tenu de la rétrocompatibilité qu offre WINDOWS, on retrouve la plupart de ces vulnérabilités dans les versions NT/2000/XP du produit. 6

17 2.1 Fonctions et types de services de sécurité Identification et authentification L identification et l authentification (I et A) des applications sont le fondement de toutes les autres activités liées à la sécurité des systèmes puisqu elles établissent la relation de confiance entre l utilisateur et l environnement d ordinateur de bureau. Ce processus en deux étapes est conçu de manière à s assurer que le réseau connaît vraiment l identité de tout utilisateur qui tente d accéder à ses fonctions. Le processus d I et A, illustré à la Figure 1, Exemple de modèle d identification et d authentification, comprend les DEUX étapes suivantes : identification Reconnaissance par le système d exploitation de l identité d un utilisateur ou d un processus qui s exécute en son nom. L identification de l utilisateur est le plus fréquemment établie par l intermédiaire d un nom unique lisible par ordinateur (appelé «identificateur de connexion») et associé à l utilisateur; authentification Vérification par le système d exploitation que l identificateur de l utilisateur lui appartient effectivement. L authentification est effectuée au cours d un processus qui valide un justificatif d identité fiable associé au nom lisible par ordinateur de l utilisateur. Ce justificatif d identité peut être un mot de passe (statique ou dynamique), un certificat numérique ou un élément biométrique telle une empreinte digitale. Service d authentification Service d application Ordinateur client Utilisateur Figure 1 : Exemple de modèle d identification et d authentification 7

18 2.1.2 Autorisation Le processus d autorisation permet de s assurer que l identité de l utilisateur (ou d un processus qui lui est relié) authentifié est associée aux droits et privilèges qui lui permettent d accéder aux données en utilisant les composantes du système d exploitation et d exécuter les fonctions opérationnelles qui lui incombent. Il y a plusieurs façons d appliquer les mécanismes d autorisation. La Figure 2, Exemple de modèle d autorisation, illustre l une des méthodes. Voici les plus couramment utilisées : Contrôle d accès axé sur les rôles (CAAR) Association d un utilisateur individuel à un rôle ou à un groupe d utilisateurs de manière qu il «hérite» des privilèges, des droits d accès et des fonctions associés à ce rôle ou à ce groupe; Contrôle d accès discrétionnaire (DAC) Attribution à l utilisateur des permissions associées aux fonctions de son poste; Liste de contrôle d accès (LCA) Vérification qu un utilisateur donné figure bien dans une LCA; Certificat X.509 Fonctions d autorisation élargies dans le certificat numérique de l utilisateur. 1. Créer un élément (données d élément) 4. Exception : vous n êtes pas autorisé à créer d élément Service de gestionnaire des ressources Intercepteur de sécurité 2. Demande d autorisation : l utilisateur peut-il créer l élément? 3. Autorisation refusée : l utilisateur ne peut pas créer l élément Service d autorisation Figure 2 : Exemple de modèle d autorisation 8

19 2.1.3 Contrôle d accès Les fonctions de contrôle d accès et d autorisation d un système d exploitation sont intimement liées. Le contrôle d accès permet de s assurer que l accès aux données et aux fonctions du système d exploitation est autorisé uniquement conformément aux permissions énoncées explicitement dans le profil de l utilisateur, et qu aucun accès n est accordé à un utilisateur non autorisé ou à un utilisateur qui contrevient aux règles énoncées dans son profil, tel qu illustré dans la Figure 3, Exemple de modèle de contrôle d accès. Utilisateur A Privilèges attribués BB, XX, YY, ZZ Réussite L utilisateur A peut accéder à l objet 1 Tentatives d accès Objet 1 Utilisateur B Privilèges attribués AA, BB Tentatives d accès L C A Utilisateur A et privilège YY Utilisateur B et privilège XX ou ZZ Échec L utilisateur B ne peut pas accéder à l objet 1 Figure 3 : Exemple de modèle de contrôle d accès Confidentialité La confidentialité concerne l assurance que l information que l utilisateur crée, utilise ou à laquelle il accède (y compris l information sur les adresses de réseau, les identités des utilisateurs) ne peut être ni ne sera divulguée sans autorisation. Le système d exploitation doit assurer la confidentialité de l information qu il stocke et transmet. La responsabilité de la confidentialité de l information propre à une application relève de l application concernée. Les versions les plus courantes du mécanisme de protection de la confidentialité utilisent habituellement une des méthodes suivantes : invocation d un mécanisme d infrastructure cryptographique pour chiffrer les données ou la connexion de réseau utilisée pour leur transmission; seuls les utilisateurs autorisés ont accès aux clés de déchiffrement; 9

20 utilisation du système d exploitation pour associer des étiquettes et des marquages d information aux données créées ou modifiées; utilisation du système d exploitation pour supprimer les objets temporaires Intégrité L intégrité concerne l assurance que l information, les processus exécutables et les ressources sont protégés contre toute corruption ou modification non autorisée, imprévue ou accidentelle. La responsabilité de l exactitude de l information opérationnelle relève de l application qui a créé et modifié les données Disponibilité La disponibilité concerne l assurance que les données, les processus exécutables et les ressources de système sont disponibles au moment où l utilisateur (ou le processus) en a besoin, sous la forme exigée par celui-ci Responsabilisation La responsabilisation concerne l assurance que toutes les activités et les transactions effectuées par les utilisateurs (ou par les processus utilisés en leur nom) peuvent leur être rattachées afin de les en tenir responsables. La vérification est le mécanisme le plus couramment utilisé pour assurer la responsabilisation Non-répudiation La non-répudiation apporte une preuve irréfutable de l association de l identité de l utilisateur (ou d un processus exécuté en son nom) à un élément d information dont l utilisateur s est servi pour créer, modifier, supprimer, transmettre ou recevoir de l information détenue par le système d exploitation. Cet élément peut être un fichier ou un message, de l information de sécurité de l utilisateur (p. ex., des autorisations), ou des données de configuration, tel qu illustré dans la Figure 4, Exemple de modèle de non-répudiation. 10

21 1. APPROBATION : preuve de l identité du responsable de l approbation du contenu du message 3. ORIGINE : preuve de l origine découlant de l information des services d approbation et d envoi 2. ENVOI : preuve de l identité de l émetteur d un message INTERNET ÉMETTEUR 4. TRANSPORT : preuve à l intention de l émetteur du message que l autorité de livraison a remis le message au destinataire prévu DESTINATAIRE 5. RÉCEPTION : preuve que le destinataire a reçu le message 6. RECONNAISSANCE : preuve attestant que les destinataire a reconnu le contenu du message 7. LIVRAISON : preuve que le destinataire a reçu le message et en a reconnu le contenu Figure 4 : Exemple de modèle de non-répudiation 11

22 3 Vulnérabilités, menaces et risques communs La présente section donne un aperçu des vulnérabilités, menaces et risques les plus courants associés à un système d exploitation. Ces vulnérabilités sont les plus susceptibles d être exploitées par des menaces et, ainsi, de poser des risques pour l information stockée, créée ou gérée dans l environnement réseau du GC. Les sous-sections qui suivent abordent du point de vue de la sécurité les vulnérabilités, menaces et risques communs ainsi que les mesures d atténuation dans un environnement opérationnel. 3.1 Vulnérabilités, menaces et risques de nature générale La prise en compte des fonctions de sécurité du système d exploitation devrait faire partie du processus de planification et de déploiement puisque ces fonctions sont essentielles à la posture de sécurité globale des environnements opérationnels d aujourd hui. Les outils et les applications du système d exploitation aident les utilisateurs à fournir des services opérationnels D outils élémentaires à dispositifs intelligents Dans les environnements de travail ministériels actuels, les ordinateurs de bureau jouent un rôle important. Ils sont intégrés à l environnement réseau complexe du ministère pour faciliter l accès de l information aux clients. La liste suivante comprend les vulnérabilités, menaces et risques communs associés à l utilisation des ordinateurs de bureau, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de surveillance et de maintenance préventive. Menace : accès aux données et divulgation non autorisés. Risque : les ordinateurs de bureau reliés au réseau du ministère peuvent être compromis et utilisés à des fins malveillantes. Atténuation : traitement de chaque ordinateur de bureau comme une partie intégrante du réseau. Politique de sécurité : assurance que les ordinateurs de bureau de réseau sont pris en compte dans le programme de sécurité et la planification d urgence liée aux TI Détermination de l approche de l organisation en matière de sécurité La majorité des ordinateurs de bureau utilisent un système d exploitation WINDOWS; toutefois, on a récemment observé que les utilisateurs adoptent de plus en plus des ordinateurs fonctionnant sous LINUX et Mac pour répondre à des besoins opérationnels spécialisés. La liste suivante présente les vulnérabilités, menaces et risques communs associés à ces systèmes 12

23 d exploitation, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité. Vulnérabilités : absence d actualisation opportune des technologies (Windows NT et XP); gestion inadéquate des rustines. Menaces : Les problèmes de sécurité qui n ont pas été atténués peuvent donner lieu à des accès non autorisés et à la divulgation d information. Risque : Chaque ordinateur de bureau de réseau auquel on n a pas appliqué les rustines appropriées pose un risque de non conformité des mesures de sécurité du ministère concerné à la PSG. L adoption improvisée des systèmes d exploitation Linux et Mac dans un environnement de bureau ordinaire est susceptible d attirer l attention sur les vulnérabilités propres à ces produits. Atténuation : Mettre en œuvre une gestion proactive des rustines et un programme d actualisation de la technologie sensible aux vulnérabilités signalées et capable de corriger les bogues et d appliquer des rustines de sécurité. Politique de sécurité : Cerner la stratégie de sécurité privilégiée par l organisation (c.-à-d., sécurité par obscurité ou par transparence) et le niveau de tolérance au risque. Cette politique doit être appliquée aux prises de décisions concernant les achats de TI liés aux systèmes d exploitation d ordinateur de bureau Partage des ordinateurs de bureau Pour réduire le coût de possession de ses ordinateurs de bureau, un ministère peut déployer des postes de travail communs (partagés) dans ses environnements de travail. Ces postes seraient offerts aux utilisateurs qui doivent accéder à des périphériques partagés tels des graveurs DVD, des imprimantes et des numériseurs. La liste suivante comprend les vulnérabilités, menaces et risques communs associés au partage des ordinateurs de bureau, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de responsabilisation; faible renforcement des systèmes; données résiduelles résidentes. Menaces : 13

24 divulgation et accès non autorisés; trafiquage de la configuration d ordinateur de bureau. Risque : La protection physique relative à la responsabilisation face aux ordinateurs de bureau est perdue lorsque ces ordinateurs sont partagés par une vaste collectivité d utilisateurs. Le caractère anonyme et la perte de contrôles directs associés à un petit groupe de travail peuvent mener à une mauvaise utilisation des ressources (p. ex., stockage local systématique de données, création excessive de copies de données dans le stockage des portables) lorsque les dispositifs sont partagés par un groupe beaucoup plus nombreux. Atténuation : Procéder à l identification et à l authentification (I et A) de l utilisateur avant d accorder l accès aux ressources partagées du réseau. Limiter l utilisation de comptes d utilisateur génériques et adopter une I et A au niveau réseau capable de prendre en charge une identification unique pour l ensemble de l organisation. L authentification peut être effectuée au moyen de mots de passe robustes 2, de cartes à puce, de cartes de sécurité d accès (c.-à-d., HID) ou de données biométriques. Politique de sécurité : Empêcher l utilisation de comptes d utilisateur anonymes ou génériques dans les ordinateurs de bureau de réseau en exigeant l authentification Utilisation acceptable des ordinateurs de bureau Le déploiement d ordinateurs de bureau sans formation appropriée ou sans connaître la politique sur l «utilisation acceptable» du ministère peut créer des vulnérabilités facilement exploitables. La liste suivant présente les vulnérabilités, menaces et risques communs associés à une utilisation inacceptable des ordinateurs de bureau, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de politique sur l utilisation acceptable. Menaces : accès non autorisé aux ressources; installation non autorisée d outils logiciels tiers. Risques : mauvaise utilisation des ressources partagées (utilisation excessive à des fins autres qu opérationnelles); 2 La gestion des mots de passe devrait respecter la politique ou les lignes directrices en matière de sécurité du ministère ou de l organisme. 14

25 installation de logiciels illégaux donnant lieu à un accès et un profilage indésirables des données et menant à la divulgation non autorisée et à la perte de productivité. Atténuation : établir et tenir à jour une politique sur l «utilisation acceptable» obligatoire que tous les utilisateurs d ordinateur de bureau doivent reconnaître avoir lu et compris. Politique de sécurité : les ordinateurs de bureau de TI de l organisation doivent être utilisés à des fins opérationnelles. Si l organisation souhaite ne pas appliquer de manière stricte les limites imposées à l utilisation personnelle des ordinateurs de bureau, la politique de sécurité devrait stipuler que l utilisation modérée à des fins personnelles est acceptable. La politique devrait également établir ce que l organisation juge excessif et énoncer les conséquences dans l éventualité où l utilisation acceptable poserait un problème Absence de normes de sécurité Bien que des normes de sécurité largement reconnues aient pu être établies pour les ordinateurs de bureau en réseau, des contraintes de temps, combinées à une absence de ressources et de planification, peuvent empêcher leur application. La liste suivante présente les vulnérabilités, menaces et risques communs associés à l absence de normes de sécurité, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : configurations non standard entraînant des vulnérabilités inconnues. Menaces : utilisation non autorisée; erreurs d exploitation; divulgation non autorisée imputable à une défectuosité de l ordinateur de bureau. Risques : listes de contrôle de sécurité non standard donnant lieu à une utilisation non protégée des ordinateurs de bureau. Atténuation : définir et appliquer l utilisation obligatoire des listes de contrôle de configuration de sécurité avant le déploiement; établir des normes de vérification pour les ordinateurs de bureau. Politique de sécurité : la configuration des ordinateurs de bureau de réseau doit être incluse dans les vérifications de sécurité des ministères. 15

26 3.1.6 Absence de protection des mots de passe Les ministères devraient utiliser des mots de passe robustes pour toutes les connexions d utilisateur. Le fait de recourir uniquement à une configuration minimale pour appliquer les mots de passe robustes peut compromettre les identificateurs d utilisateur. La liste qui suit présente les vulnérabilités, menaces et risques communs associés à l absence de protection des mots de passe, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence d exigences relatives à l utilisation de mots de passe robustes pour les comptes d utilisateur et d administrateur. Menaces : l utilisation d identificateurs d utilisateur lors d attaques par force brute ou d attaques par dictionnaire peut compromettre les ordinateurs de bureau lorsque l on omet d exiger l utilisation de mots de passe robustes. Risques : compromission des ordinateurs de bureau donnant lieu à un accès non autorisé aux données sensibles Atténuation : s assurer d appliquer une politique de mots de passe robustes qui stipule que les mots doivent contenir au minimum 8 caractères (combinaison de caractères ASCII, numériques et spéciaux) et qui exige de l utilisateur qu il change son mot de passe au moins tous les 90 jours. Politique de sécurité : définir et appliquer une politique d utilisation de mots de passe robustes dans tous les ordinateurs de bureau connectés au réseau du ministère Absence de renforcement durant l installation L absence de renforcement d un ordinateur de bureau durant l installation peut donner lieu à la divulgation non autorisée d information sensible. La liste suivante présente les vulnérabilités, menaces et risques communs associés à l absence de renforcement durant l installation, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de normes de configuration. Menaces : accès non autorisé aux ordinateurs de bureau; divulgation non autorisée d information sensible. Risques : S ils ne sont pas configurés avec soin avant d être accessibles sur le réseau, les ordinateurs de bureau peuvent exposer le ministère à des intrusions d intrus malveillants ou d employés mécontents. 16

27 Atténuation : Utiliser le système de gestion des biens du ministère pour identifier et pister les ordinateurs de bureau et tenir à jour l information qui les concernent (emplacement, marque et modèle du fabricant, adresses et noms IP, et adresses MAC connexes). Dans le cas d une nouvelle installation, protéger l ordinateur contre le trafic de réseau hostile jusqu à l installation et au renforcement du système d exploitation. Désactiver toutes les fonctions inutiles (p. ex., désactiver tous les protocoles de réseau non nécessaires, supprimer les applications inutiles et désactiver toute option non requise). Définir un processus de gestion de la configuration conforme aux procédures de gestion des changements de l organisation. Effectuer des tests de tous les processus et contrôles de disponibilité (p. ex., dispositifs d alimentation sans coupure, processus de sauvegarde et de reprise, etc.) pour assurer le bon fonctionnement des appareils en cas de panne. Politique de sécurité : les ordinateurs de bureau doivent satisfaire aux critères stricts de la liste de contrôle de sécurité avant d être autorisés à se connecter au réseau Contrôles d accès physique Le fait de placer les ordinateurs de bureau partagés dans des emplacements faciles d accès et très fréquentés accroît le risque d accès non autorisé ou des dommages causés aux ordinateurs et à leur matériel. La liste suivante présente les vulnérabilités, menaces et risques communs associés à l absence de contrôles d accès physique, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de contrôles d accès physique. Menaces : défectuosité de l ordinateur de bureau découlant d une configuration inappropriée; perte d information à la suite d un vol de dispositifs de stockage telles les cartes de mémoire, les disques durs, etc. Risque : un attaquant qui peut accéder physiquement à un ordinateur de bureau peut en compromettre la configuration. Un attaquant plus astucieux peut y injecter du code non autorisé pour éventuellement extraire de l information essentielle et la transmettre ailleurs. Atténuation : exiger que toute personne qui accède à l ordinateur de bureau soit identifiée et autorisée (c.-à-d., qu elle porte un badge d identité et soit interceptée avant d arriver à proximité de l ordinateur); exiger que les personnes soit soumises à un processus d I et A avant d accéder au réseau; prévoir des escortes compétentes pour surveiller les activités des techniciens et autres personnes responsables du service; 17

28 recourir uniquement à des techniciens de service certifiés et s assurer que des contrôles appropriés ont été prévus pour ces activités (p. ex., l effacement du contenu d un disque dur). Politique de sécurité : tout accès physique ou de réseau non autorisé aux ordinateurs de bureau de réseau est interdit. Dans la mesure du possible, nettoyer les dispositifs de stockage internes ou réinitialiser les paramètres de configuration avant toute activité de service Service de diagnostic et de gestion assuré par le fournisseur Le diagnostic à distance des ordinateurs de bureau peut mettre sérieusement en péril la sécurité des TI, sauf si l on applique des procédures d I et A strictes au moment de permettre l accès à partir d un emplacement externe. Vulnérabilités : absence de configuration sûre. Menaces : accès non autorisé du fournisseur aux biens et données sensibles. Risque : permettre l accès à un utilisateur externe exige d étendre la relation de confiance à des utilisateurs anonymes et expose l organisation à des risques de sécurité. Atténuation : refuser tout accès externe, sauf lorsque cela est nécessaire pour les activités; lors de l autorisation d un accès externe, évaluer avec soin les risques possibles et imposer des limites d accès strictes; restreindre les communications de manière à autoriser uniquement le trafic obligatoire entre les ordinateurs de bureau et un nombre restreint d'adresses authentifiées; les communications doivent utiliser seulement des ports nécessaires; utiliser des coupe-feu pour limiter l accès aux seules adresses IP qui peuvent communiquer avec les dispositifs réseau. Politique de sécurité : Interdire tout accès externe, sauf lorsque cela est nécessaire pour les activités, et exiger, lorsque des autorisations d accès externe sont accordées, des accords sur les niveaux de service (ANS) énonçant en détail les exigences connexes en matière de sécurité Protection contre les maliciels Les ordinateurs de bureau de réseau sont vulnérables aux attaques de maliciel comme tout autre dispositif connecté à un réseau. Les ordinateurs qui utilisent la même technologie et la même configuration exigent une protection antivirus adéquate pour prévenir tout accès non autorisé par des intrus. La liste suivante présente les vulnérabilités, menaces et risques communs associés à 18

29 l absence de protection antivirus, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de détection de maliciel. Menaces : accès par des intrus et divulgation d information sensible; erreurs du système d exploitation; défectuosité de l ordinateur de bureau. Risque : de nombreux ordinateurs de bureau du même type et qui utilisent les mêmes paramètres sont des cibles faciles pour des maliciels comme les vers de réseau. Si le maliciel peut compromettre un de ces ordinateurs, il peut se propager et prendre le contrôle de tous les ordinateurs similaires au sein de l organisation. Atténuation : s assurer que tous les ordinateurs de bureau de réseau bénéficient d une protection antivirus adéquate; appliquer les mises à jour de logiciel et les rustines de sécurité testées et approuvées les plus récentes; utiliser la fonction de mise à jour automatique du fichier de définition de maliciels pour tous les ordinateurs de bureau de réseau. Politique de sécurité : on doit appliquer un mécanisme de protection antivirus à tous les ordinateurs de bureau en réseau et déployer des rustines et des logiciels fiables et à jour Rustines et mises à niveau inadéquates liées au système d exploitation Les ordinateurs de bureau de réseau qui utilisent la même technologie et la même configuration devraient posséder des outils automatisés de gestion des rustines de système d exploitation pour prévenir les défectuosités et les risques de sécurité non atténués. La liste suivante présente les vulnérabilités, menaces et risques communs associés à l absence de rustines et de mises à niveau adéquates du système d exploitation, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de gestion des rustines. Menaces : accès et divulgation non autorisés et erreurs ou défectuosité du système d exploitation. Risque : de nombreux ordinateurs de bureau du même type et qui présentent les mêmes lacunes au plan des rustines ou des mises à niveau de sécurité sont des cibles faciles pour des maliciels 19

30 tels les virus et les vers de réseau, etc. Si le maliciel peut compromettre un de ces ordinateurs, il peut se propager et prendre le contrôle de tous les ordinateurs similaires au sein de l organisation. Atténuation : s assurer que tous les ordinateurs de bureau de réseau utilisent un outil de gestion des rustines automatisé et dynamique pour leur logiciel de système d exploitation. Appliquer les mises à jour de logiciel et les rustines de sécurité testées et approuvées les plus récentes. Politique de sécurité : le système d exploitation des ordinateurs de bureau de réseau doit être tenu à jour quant aux rustines et aux mises à jour de sécurité. On doit appliquer une gestion automatisée des rustines à tous les ordinateurs et déployer des rustines et des logiciels fiables et à jour Absence de plan de sauvegarde et de reprise pour les systèmes d exploitation Même si les ordinateurs de bureau d un ministère ont été renforcés pour en protéger la configuration, l absence d un plan de sauvegarde et de reprise automatisé pourrait entraîner des délais inutiles en cas de panne. La liste suivante présente les vulnérabilités, menaces et risques communs associés à l absence de plan de sauvegarde et de reprise, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de contrôle de la configuration. Menaces : accès et divulgation non autorisés et erreurs de système d exploitation ou défectuosité des ordinateurs de bureau. Risque : dans le cas où une organisation doit remplacer un grand nombre d ordinateurs de bureau endommagés après une panne de courant ou une fuite d eau, l absence de copie «originale» peut causer des retards inutiles et entraîner une défectuosité du système. Atténuation : s assurer que tous les ordinateurs de bureau de réseau possèdent une copie de sauvegarde de leur configuration «originale». Cette copie peut servir à installer rapidement une configuration approuvée sûre dans les nouveaux ordinateurs de bureau en temps normal ainsi qu en situation d urgence. Politique de sécurité : tous les ordinateurs de bureau de réseau doivent posséder une copie «originale» du système d exploitation renforcé et approuvé, et conserver une version de cette copie dans un support de sauvegarde. Les outils logiciels de restauration d image peuvent servir à déployer facilement et rapidement des configurations sécurisées d ordinateur de bureau. 3.2 Vulnérabilités, menaces et risques liés aux connexions de réseau Les services de réseau sont normalement intégrés au logiciel du système d exploitation des ordinateurs clients. Lors de la prise de décisions, on doit prendre en considération des éléments 20

31 particuliers du système d exploitation pour répondre aux exigences en matière de sécurité du ministère Soutien du service d hébergement de sites Web La majorité des systèmes d exploitation d ordinateur de bureau prennent en charge les services d hébergement de sites Web, tel Internet Information Service (IIS). Cette fonction permet d utiliser des ordinateurs locaux clients pour héberger des sites Web. Toutefois, cette capacité de prise en charge du service IIS expose tout le réseau aux menaces liées aux portails Web. La liste suivante présente les vulnérabilités, menaces et risques communs associés au soutien des services d hébergement de sites Web, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilité : le service d hébergement de sites Web peut être utilisé sans qu il soit nécessaire d authentifier les mots de passe ou de vérifier la possibilité d échange ou de divulgation non autorisés d information. Menace : divulgation non autorisée d information sensible; propagation de maliciel ou d espiogiciel. Risque : un service d hébergement de sites Web peut être utilisé pour le transfert non autorisé de maliciel ou la transmission d information avec des environnements externes. Atténuation : désactiver le soutien du service d hébergement de sites Web, sauf si un besoin opérationnel le justifie. Politique de sécurité : exploiter tous les systèmes d exploitation d ordinateur de bureau avec le minimum de services et de privilèges requis pour répondre aux besoins opérationnels Soutien du protocole FTP (pour File Transfer Protocol) La majorité des systèmes d exploitation d ordinateur de bureau acceptent normalement l utilisation du protocole FTP pour l échange de fichiers. Cet échange peut être effectué avec le logiciel FTP client de l ordinateur. La liste suivante présente les vulnérabilités, menaces et risques communs associés au soutien du protocole FTP, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de défense de périmètre adéquate; absence de protection contre le code malveillant; 21

32 absence d autorisation appropriée; absence de contrôles adéquats ou de contrôle d accès. Menace : le protocole FTP peut servir à envoyer des fichiers directement à l ordinateur de bureau sans authentification du mot de passe. Risque : le protocole FTP peut servir à transmettre du maliciel. Atténuation : désactiver le soutien du protocole FTP, sauf si un besoin opérationnel le justifie. Politique de sécurité : exploiter tous les systèmes d exploitation d ordinateur de bureau avec le minimum de services et de privilèges requis pour répondre aux besoins opérationnels Reniflage de réseau La fonction de gestion à distance permet de tirer avantage de la capacité d administration centralisée d un ministère et de l appliquer aux ordinateurs de bureau. Les commandes de gestion à distance sont souvent transmises en clair à l ordinateur de bureau, où elles sont traitées. La liste suivante présente les vulnérabilités, menaces et risques communs susceptibles de permettre le reniflage de réseau, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Risque : un intrus peut intercepter le trafic du réseau ou saisir les codes de gestion ou les mots de passe. Atténuation : on recommande de recourir au chiffrement pour brouiller le contenu des paquets et empêcher que leurs données soient consultées par une source non autorisée. SNMPv3 utilise le chiffrement des commandes de gestion. Certaines imprimantes peuvent protéger les fichiers d impression avec le protocole IPP over SSL (également appelé IPPS). Le protocole IPSEC peut également assurer la sécurité des données de communications. Politique de sécurité : seul le reniflage contrôlé, autorisé et surveillé par le personnel de soutien des TI est autorisé. On doit recourir au chiffrement dans la mesure du possible Partage des ressources d ordinateur de bureau Compte tenu des limites de la fonction DAC (contrôle d accès discrétionnaire) relativement aux dossiers et répertoires communs, la majorité des ordinateurs de bureau offrent par défaut à tous les utilisateurs un accès libre au partage de l espace de stockage local. La liste suivante présente les vulnérabilités, menaces et risques communs associés au partage des ressources d ordinateur de bureau, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de contrôle de l accès à l espace de stockage. 22

33 Menaces : accès non autorisé à l information sensible. Risque : l inexistence ou le caractère inadéquat des contrôles (c.-à-d., l absence de partitionnement) peut faire en sorte que l espace de stockage local d un ordinateur de bureau soit partagé à l échelle d Internet; l espace peut alors être compromis, et l organisation et son information mises en péril. Atténuation : définir une installation standard dont la fonction de partage des ressources d ordinateur de bureau est désactivée par défaut. Politique de sécurité : s assurer que le partage des ressources d ordinateur de bureau respecte la politique du privilège minimum Configuration réfractaire au risque Afin de permettre un accès sans restriction au réseau ministériel, les responsables installent parfois les ordinateurs de bureau en utilisant les paramètres d installation et de configuration par défaut, ce qui peut entraîner une défectuosité du système d exploitation. La liste suivante présente les vulnérabilités, menaces et risques communs associés à une installation ou une configuration par défaut, y compris des propositions de mesures d atténuation des risques et des suggestions d inclusion dans la politique de sécurité du ministère. Vulnérabilités : absence de normes de sécurité pour les ordinateurs de bureau. Menaces : défectuosité du système d exploitation; divulgation non autorisée d information. Risque : ce type de configuration, la plus souple et la moins restrictive, peut néanmoins exposer l organisation aux attaques à grande échelle. Elle offre une occasion idéale au logiciel malveillant (p. ex., les vers) de se propager, ainsi qu une rampe de lancement relativement sûre pour la compromission progressive du réseau. Le fait de permettre à n importe qui d accéder aux ordinateurs de bureau ouvre la porte aux utilisateurs malveillants qui sont alors en mesure de créer des situations d attaque par déni de service (DoS) contre ces ordinateurs partagés. Atténuation : restreindre le nombre de moyens autorisés pour l envoi de travaux d impression. S assurer que les connexions d ordinateur de bureau sont configurées de manière à limiter l accès aux seuls utilisateurs autorisés et leur permettre de gérer uniquement leurs propres données. Les organisations réfractaires au risque doivent verrouiller les dispositifs des ordinateurs de bureau et prendre les mesures de sécurité supplémentaires suivantes : gestion des protocoles désactiver les protocoles inutiles et potentiellement vulnérables; gestion des ports les adresses de ports de communication spécifiques peuvent être changées individuellement et désactivées (p. ex., SMTP, LDAP, HTTP, FTP, LPD, IPP, Telnet, JCP, RARP et POP3). 23