Architecture de services sécurisée

Transcription

1 Architecture de services sécurisée Projet de Fin d Etudes M2 Islem ABD-EL RAHMAN Maëva ALLEN Stéphane DORAIL Florent FAUVIN Thomas HUBERT Loïc SIKIDI Ulric TOINON

2 1

3 Sommaire 1 Introduction Architecture Cluster Web Le Cluster Web Le Cluster MySQL Les Webmails DNS Active Directory DHCP DNS Group Policy Supervision Serveur de fichier Proxy Analyse antivirale Interception SSL Authentification transparente Kerberos Déploiement de certificats racines de confiance Verrouillage des paramètres proxy des navigateurs Sonde Documentations Améliorations OCS Défense face à une vulnérabilité

4 3

5 1 Introduction Ce projet se veut être une miniaturisation d un système d information de PME, avec les besoins classiques des utilisateurs, mais aussi l administration et la sécurité. Sa finalité pourrait être de servir de démo pour une future société de services voulant proposer des solutions «clé en main» à des PME dont ce n est pas le métier (et donc avec infogérance limitée). Afin de rester proche de la réalité, mais également de monter techniquement en compétence, nous avons fait le choix d utiliser : un Active Directory pour gérer l authentification des machines sur le parc, les systèmes d exploitation Windows et Ubuntu pour les postes utilisateurs, des logiciels libres pour les services (Squid, Bind, Surricata, Dovecot, etc.). Au final, 26 machines furent créées, hébergées sur un Hyperviseur que nous avions nous-mêmes loué sur SoYouStart. Nous accédions aux machines Linux par SSH par rebond, et aux machines Windows via l interface graphique fournie par vsphere. La soutenance de ce projet eu lieu le 11 février 2015, devant un jury composé de M. Lahlou et M. Vialle, notre référent technique. 4

6 2 Architecture L architecture que nous avons conçue est schématisée ci-après. Elle se scinde en deux parties : le LAN de notre PME d une part, et une DMZ d autre part qui hébergera entre autres notre cluster Web. Elle sera expliquée et «zoomée» au fur et à mesure de ce rapport. 5

7 3 Cluster Web Par Ulric TOINON Aujourd hui, lorsqu on construit un projet web avec une entreprise, les attentes de celle-ci sont souvent accès sur la rapidité de réponse et sur la haute disponibilité des données. En effet, les entreprises veulent que leurs sites soient accessible à tout moment, qu il soit localisé sur site ou à l extérieur. Cette haute disponibilité s obtient par la duplication des nombres de serveur afin d assurer la rapidité de réponse et la redondance des données. Les entreprises optent donc en général pour des clusters (grappe de serveur) qui assureront le service web. Pour ce projet, nous avons choisi de mettre en place un cluster pour assurer le service web de l entreprise. Ce cluster sera composé d une grappe de deux serveurs web avec un load balancer (répartiteur de charges) et d une grappe de deux serveurs SQL avec lui aussi un load balancer. On nommera le premier cluster Cluster Web et le deuxième cluster Cluster MySQL. 3.1 Le Cluster Web Ce cluster est un cluster composé d un répartieur de charge et de deux noeuds de serveur web. Le répartiteur de charge Etant dans un environnement complétement virtualisé, nous avons opté pour une solution libre, bien connu dans le monde du web: Nginx. 6

8 Nginx est un logiciel libre de serveur web capable de faire office de reverse proxy (proxy inverse) écrit par un développeur russe, Igor Sysoev. Ce logiciel est sous licence BSD originale. Nous l avons configuré afin qu il fasse office de reverse proxy pour du déchiffrement des flux SSL ainsi que répartiteur de charge. Les serveurs web Les machines virtuelles qui hébergent les serveurs web sont composé de deux disques durs, eux aussi virtuels, dont un pour le système et l autre pour stocker les données. Comme le répartiteur de charge, les deux noeuds web disposent eux aussi d un Nginx faisant cette fois office de serveur web. Ces serveurs webs sont chacun composés d un WAF (Web Application Firewall) nommé Naxis couplé à Nginx afin de bloquer les attaques communes comme le cross-site scripting (XSS) ou les injections SQL. Nous avons mis en place aussi une réplication en miroir des fichiers des sites webs entre les deux disques de données. Afin d assurer la communication entre les disques, nous avons mis en place un système qui permet de gérer des blocs de disques appelé DRBD. Ces disques sont montés en Primary/Primary, ce qui signifie que toutes les modifications qui seront apportées sur l un des deux disques seront répliquées sur l autre disque. Sur ce système, nous avons ajouté une surcouche, OCFS2, développé par Oracle qui permet de gérer un cluster de fichier. 7

9 3.2 Le Cluster MySQL Ce cluster est composé d un répartiteur de charge et de deux noeuds SQL. Les noeuds SQL Nous avons choisi MySQL comme base de données pour le stockage des données webs. Ces bases de données ont été configurées en master/master. Autrement dit, dès qu une modification est faite sur un noeud, celle-ci est directement répliqué sur l autre noeud. Nous avons autorisé un accès à distance à l utilisateur du répartiteur de charge. La configuration de MySQL, qui n écoute qu en localhost après l installation du paquet, a été modifiée pour que celle-ci accepte les connexions à distance. Le répartiteur de charge En ce qui concerne le load balancer, noust avons mis en place un HAProxy configuré pour écouter sur le port 3306, qui est le port par défaut de MySQL et retransmettre les informations à un noeud SQL qui traite le moins de demande (mode least connection ). 8

10 4 Les Webmails Par Maëva ALLEN On appelle Webmail une interface web permettant de lire, gérer et envoyer des courriers électroniques depuis un navigateur Internet. Un webmail est donc accessible à partir d une url et permet de consulter ses messages depuis n importe quel ordinateur sans distinction de lieu. Du point de vue sécurité, les messages ne sont pas stockés sur la machine de l utilisateur et sont presque toujours accessibles grâce à une connexion HTTPS sécurisée. Lors de ce projet, nous avons étudié 4 solutions pouvant répondre à nos besoins en termes de Webmail : Kolab, BlueMind, Roundcube et Mailpile. BlueMind C est une solution libre de groupware 1 qui fournit des services de messagerie standard et instantanée, de calendrier et contacts partagés, de synchronisation et mobilité. On peut aussi rajouter à cela un moteur de recherche basé sur elasticsearch. BlueMind est 100% web et toutes les fonctionnalités sont conçues pour être disponibles via un navigateur web. Il intègre son propre SSO ce qui permet de passer de manière transparente d une application à l autre. Les environnements qui supportent cet outil sont de type Linux. Blue Mind est aussi accessible depuis les clients lourds de messagerie classique au moyen des protocoles standard SMTP, POP et IMAP. La synchronisation avec les smartphones est aussi possible. Kolab 1 Un groupware, collecticiel, ou encore logiciel de groupe, est un type de logiciel qui permet à un groupe de personnes de partager des documents à distance pour favoriser le travail collaboratif. 9

11 Il s agit d un groupware libre qui permet de gérer les courriers électroniques, agendas et carnets d adresses d une organisation pour les environnements de type Linux. L idée consiste à stocker toutes les données nécessaires sur un serveur IMAP (Cyrus ou Dovecot). Les clients de messagerie communiquent avec un serveur Kolab via les protocoles cardav et caldav. Kolab est une grosse solution, qui intègre Roundcube comme webmail. Dans le cadre de notre projet, nous n avions pas besoin d un outil aussi complet. En effet, Kolab gère son serveur automatiquement et nous disposions déjà du notre. Roundcube C est le webmail que nous avons choisi pour notre réseau. Quelques avantages que propose Roundcube sont le fait qu il soit multiplateforme et distribué sous une licence libre. Ce logiciel est très populaire et utilisé par des grandes organisations. Il était accessible sur notre réseau via webmail.6zo.fr Roundcube propose une interface fonctionnelle et moderne pour gérer ses s et est basé sur PHP et un SGBD de type MySQL, PostgreSQL, SQLite ou MSSQL. Dans le cadre de notre projet, une base de données MySQL a été mise en place. Roundcube peut être installé sur une plateforme LAMP. Il est compatible avec les serveurs web Apache, Nginx, Lighttpd, Hiawatha ou Cherokee. Enfin, nous pouvons lister quelques spécifications techniques : support IMAP, nombre illimité d'utilisateurs et de messages, support de serveur SMTP externe, gestion du cache etc. Mailpile C est un produit nouveau, innovant pour le protocole IMAP et est un client webmail léger écrit en Python qui a aussi l avantage d être multiplate-forme, distribué sous une licence libre. La caractéristique majeure de cette solution est le fait de faciliter le chiffrement des courriers électroniques. Il a été intéressant d étudier cet outil d un point de vue 10

12 sécurité pour notre projet. D un point de vue esthétique, il s avère que l interface utilisateur n est pas très intuitive. Cet outil était accessible sur notre réseau via mail.6zo.fr 11

13 5 DNS Par Loïc SIKIDI Le DNS est l acronyme pour Domain Name System, c est un service qui permet de traduire les noms de domaines en adresses IP. Toute entreprise se doit d avoir un serveur DNS si elle souhaite profiter de la toute la richesse apportée par Internet. Dans le cadre de notre projet, nous avons décidé d installer plusieurs DNS. En premier lieu, lorsqu on installe l Active Directory un DNS est créé, nous l avons utilisé comme DNS privé, c est-à-dire seulement accessible par notre LAN. Ce DNS est particulièrement utile lorsque nos utilisateurs (provenant du LAN) souhaitent aller sur Internet. Néanmoins nous sommes face à une problématique comment des personnes extérieures à notre LAN peuvent-elles accéder à notre service? En effet par quel moyen peuvent-elles résoudre notre nom de domaine 6zo.fr. Pour répondre à cette problématique, nous avons installé sur notre parc un second DNS, celui-ci peut être considérer comme notre DNS public. Pour se faire, nous avons acheté un nom de domaine ( qui pointe directement sur notre parc. Ainsi notre site est accessible par le monde entier. D un point de vue technique, notre DNS public est constitué de deux serveurs afin d avoir une sécurité en cas de panne. L un des serveurs à le statut de maître alors que le second à un statut d esclave. Un système de synchronisation existe, afin d assurer une cohérence de données entre les deux serveurs. Pistes d améliorations A ce jour, les machines du LAN utilisent le DNS de l AD pour faire de la résolution de nom lorsqu elles sont sur Internet. Or au cours de la soutenance, notre professeur de 12

14 sécurité M. Vialle, a mis en exergue la dangerosité d une telle configuration. En effet, si le DNS de l AD arrive en surcharge, ce qui est fort probable dans un parc avec de nombreuses machines, alors il peut faire tomber l AD. Expérience qui aurait pour conséquence de bloquer l activité de l entreprise. Une solution simple permettrait de pallier cette problématique : déléguer la résolution de nom à un autre serveur DNS. 13

15 6 Active Directory Par Stéphane DORAIL L Active Directory est le nom du service d annuaire de Microsoft qui est utilisé en grande partie dans les entreprises grâce au système d exploitation Microsoft Windows Server. Le service d annuaire Active Directory est basé sur le standards TCP/IP. L annuaire référence les personnes (nom, prénom, numéro de téléphone, etc.) mais également toute sorte d hôte, dont les serveurs, les imprimantes, les applications, les bases de données, etc. Permettant de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications, Active Directory constitue ainsi le noyau central de toute l architecture réseau et a vocation à permettre à un utilisateur de retrouver et d accéder à n importe que ressource identifiée par ce service. L ensemble des utilisateurs par défaut sont désactivés. Le but est de ne laisser aucun compte par défaut afin d éviter la compromission de l AD 6.1 DHCP Le protocole DHCP est l un des protocoles majeurs sur le serveur Windows Server. Il va permettre de distribuer les adresses IP. La machine va servir de base pour toutes les requêtes DHCP. Chaque poste d un employer lambda aura une adresse IP dynamique. Les autres hôtes auront des adresses IP statiques (serveur, imprimante, CEO). 14

16 Le serveur DHCP se définit par la mise en place d une plage IP que l on veut affecter à notre réseau Lan. Une fois cette plage IP définit, nous allons exclure un ensemble d adresse IP afin de pouvoir les réserver plus tard pour les hôtes définis précédemment. Une fois cela fait chaque carte réseau de chaque hôte se trouvant dans le réseau lan sera configuré en mode dynamique et le serveur attribuera une adresse de la façon suivante : o Si une réservation d adresse IP a été faite sur une adresse MAC en particulier, alors il lui attribuera l adresse IP définit. o S il n y a pas de réservation alors le serveur DHCP attribuera une adresse IP sur la plage d adresse définit. 6.2 DNS Nous avons choisi comme nom de domaine interne infra.6zo.fr. Le nom de domaine 6zo.fr a déjà été réservé sur le site C est ce qui nous permet d avoir accès à l ensemble de l information que nous communiquons de l extérieur à travers le site web de l entreprise. Cependant, nous allons nous pencher sur la configuration interne du domaine lié à l infrastructure lan. Le domaine ici présent va nous permettre en interne de pouvoir effectuer une résolution de nom sur l ensemble des postes internes à l entreprise (ordinateur, imprimante, serveur, etc). Bien entendu, il est question de flexibilité et de simplicité pour l ensemble des employés de la compagnie. Le serveur webmail.infra.6zo.fr sera plus compréhensible que d écrire infra.6zo.fr. Une fois que le poste est intégré au domaine le DNS attribue automatiquement le nom du poste et associe ce nom à l adresse IP qu il détient. En revanche, pour les serveurs qui possèdent une adresse IP réserver, c est à l administrateur d administrer sur le DNS l associa du nom du serveur et l adresse IP. 15

17 6.3 Group Policy Les stratégies de groupe sont des fonctions de gestion centralisées qui va nous permettre la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les GPO seront attribués en fonction de l arborescence de la forêt de l AD. Elles sont paramétrables en fonction de l ordinateur ou bien de l utilisateur. Notre approche est de scinder les ordinateurs et les utilisateurs par deux unités d organisation différente afin de pouvoir mettre en place des GPOs destinés aux utilisateurs et aux ordinateurs. La liste des GPOs est exhaustive, car il y a un ensemble de restriction possible sur l ensemble du système d exploitation de Windows. L ensemble des GPOs sont destinés à limiter les accès pour les employés ou forcer les utilisateurs à détenir certaines informations comme par exemple, forcer les utilisateurs à utiliser le serveur mandataire et les certificats liées aux https, interdire l accès au panneau de configuration pour les utilisateurs. 16

18 7 Supervision Par Stéphane DORAIL C est la technique industrielle de suivi et de pilotage informatique. Elle permet la surveillance du bon fonctionnement d un système ou d une activité. Elle nous permet de surveiller, rapporter et alerter les fonctionnements normaux et anormaux des systèmes informatiques. Nous avons choisi l outil Nagios qui est un logiciel libre sous licence GPL. Elle répond aux préoccupations suivantes : - Technique destinée à la surveillance du réseau, de l infrastructure et des machines ; - Applicative destinée à la surveillance des applications et des processus métiers ; En cas de dysfonctionnement, le système de supervision permet d envoyer des messages sur la console de supervision, ou bien d envoyer un courrier aux administrateurs 24h/24 et 7j/7 à l adresse admin@6zo.fr. Notre serveur de supervision sera dominé sur la supervision système. La supervision système porte principalement sur trois types principaux de ressources système : - Le processeur ; - La mémoire ; - Le stockage ; - Commutateurs : - Serveurs : 17

19 8 Serveur de fichier Par Thomas HUBERT Le partage de fichier est effectué grâce à l outil Samba 4 que nous avons installé sur la machine «SMB» du LAN. Il s agit d une application permettant d utiliser le protocole SMB (Session Message Block) sous Linux et par conséquent de : - Partager un répertoire Linux pour une machine Windows - Accéder à un répertoire Windows depuis une machine Linux - Partager une imprimante Linux pour une machine Windows - Utiliser une imprimante Windows pour une machine Linux Mise à part une amélioration générale des performances, la grande nouveauté de Samba 4 (par rapport aux versions précédentes) est la prise en charge totale d un Active Directory. Cet outil assure donc aujourd hui les rôles de serveurs LDAP, DNS, Kerberos pour la gestion des clés de sécurité, NTP pour la gestion des horloges et RPC (Remote Procedure Call). Dans le cadre de notre projet, nous avons utilisé Samba 4 uniquement pour le serveur de fichier et non pour son Active Directory intégré, car il était plus intéressant d installer et de configurer chaque serveur indépendamment. Nous avons donc configuré le serveur de fichier de manière à partager des dossiers présents sur la machine «SMB» et visibles dans l onglet Réseau de Windows. 18

20 Dans un premier temps, nous avons configuré l accès aux répertoires avec une authentification via un utilisateur Samba. Un pop-up apparaissait donc à chaque fois qu un client voulait accéder à un des dossiers partagés. Il fallait ensuite entrer le login et mot de passe de l utilisateur Samba. Dans un objectif de sécurité, pour éviter que les clients se retrouvent avec plus de 3 mots de passes (et commencent à les marquer sur des post-it), nous avons configuré l accès aux répertoires via une authentification transparente Kerberos. Les clients (répertoriés dans l Active Directory) pouvaient donc accéder aux répertoires sans aucun pop-up. 19

21 9 Proxy Par Florent FAUVIN Le proxy utilisé est bien entendu la référence en la matière : Squid. 9.1 Analyse antivirale L analyse antivirale est effectuée par l antivirus Clamav. Le protocole utilisé pour «lier» Squid à Clamav est le protocole ICAP. Pour ce faire, Squid doit donc avoir été compilé avec l option «--enable-icap-client». Concrètement, voici la mise en œuvre de l analyse antivirale : 1) Squid effectue la requête HTML demandée par le navigateur web. 2) Via le protocole ICAP, il envoie les réponses du serveur web au service ICAP Squidclamav tournant sur le serveur ICAP C-ICAP. 3) Squidclamav envoie les paquets reçus au daemon clamd de Clamav, qui les analyse. 4) Clamd renvoie le résultat de l analyse antivirale à Squidclamav. 5) Squidclamav traitera cette réponse et, si un virus a été détecté, il donnera l instruction à Squid (via ICAP) de rediriger le navigateur web vers une page de warning, hébergé sur un serveur web du LAN. Voici un exemple de message qu obtiendrait un client ayant tenté de télécharger un virus : 20

22 9.2 Interception SSL Une analyse antivirale telle que décrite ci-dessus ne fonctionnerait pas avec des requêtes HTTPS. En effet, les trames HTTP seraient chiffrées avec le protocole TLS, tout comme le bienheux code viral. Ainsi, pour que l analyse antivirale puisse avoir lieu, il faut désencapsuler le flux HTTPS. D ailleurs, la capture écran ci-dessus montre que l analyse antivirale a fonctionné, malgré le protocole HTTPS utilisé. Sachez que par défaut, la version de Squid présente dans les dépôts Debian ne permet pas de faire de l interception SSL. Il a fallu télécharger les sources de Squid et les compiler avec les features appropriées, notamment : --enable-ssl : pour l interception SSL --enable-ssl-crtd : pour la génération dynamique de certificats La première manière de faire est de copier un certificat SSL serveur sur Squid, que ce dernier utiliserait pour chiffrer le flux HTTPS entre lui et le navigateur web. Le problème avec cette solution, est qu elle génèrerait continuellement des alertes SSL au niveau du navigateur web, puisque le CN du certificat serait systématiquement différent du FQDN du serveur requêté. 21

23 La solution retenue fut de faire générer dynamiquement par Squid des certificats serveurs avec le même FQDN que le serveur requêté, en utilisant un certificat SSL racine auto-signé. Cette seconde solution ferait en sorte qu il n y ait aucune alerte au niveau du navigateur web, mais ce, à une condition : que le certificat SSL racine auto-signé utilisé par Squid soit dans le magasin de certificats racines de confiance du navigateur web. Le déploiement centralisé de tels certificats se fera par GPO pour deux navigateurs : Internet Explorer et Firefox. Voir la partie Authentification transparente Kerberos L authentification transparente Kerberos permettra à un navigateur d un hôte déjà authentifié sur l Active Directory d utiliser le service Squid sans être obligé de s authentifier à nouveau avec un mot de passe. Pour «Kerbériser» Squid, la méthode est la suivante : 1) Avoir préalablement compiler Squid avec la feature «--enable-negotiate-authhelpers=squid_kerb_auth». 2) Avoir parallèlement téléchargé les sources et compilé le programme squid_kerb_auth. 3) Créer l hôte Squid sur l Active Directory et récupérer sa clef privée dans un keytab. 4) Créer un service HTTP sur l Active Directory et récupérer sa clef privée dans un keytab, nommé HTTP.keytab. 5) Configurer Squid pour qu il utilise le programme squid_kerb_auth pour gérer l authentification Kerberos et lui indiquer le chemin du HTTP.keytab, sans oublier de lui donner les droits pour le lire. 22

24 9.4 Déploiement de certificats racines de confiance Le déploiement de certificats racines dans les magasins de confiance des navigateurs Internet Explorer et Firefox est entièrement différent. En effet, Internet Explorer est par défaut pris en charge par l Active Directory de Microsoft, alors que Firefox, non. Internet Explorer lit le magasin des certificats racines de confiance de Windows. Ainsi, il suffit d importer notre certificat racine auto-signé dans les magasins Windows des clients pour qu Internet Explorer lui fasse de facto confiance. La stratégie de groupe d un tel déploiement est la stratégie de clé publique «Autorité de certification racines de confiance». Pour Firefox, deux freins viennent complexifier le déploiement. Premièrement, les stratégies de groupe par défaut n intègrent pas Firefox. Il a donc fallu créer des stratégies en important un modèle de paramètres à configurer, à partir d un fichier ADM. De plus, pour que ces paramètres soient pris en compte, il faut faire exécuter un script VBS au client lors de l ouverture de session. Deuxièmement, Firefox ne lit pas le magasin de Windows mais a son propre magasin de confiance. Il se compose en trois fichiers (cert8.db, key3.db et secmod.db) situés dans le dossier Profil de l utilisateur. Concrètement, voici la méthodologie appliquée : 1) Lancer le logiciel Firefox depuis une machine Windows et importer dans son magasin notre certificat racine auto-signé. 2) Copier les trois fichiers de base de données.db liés à ce magasin dans un dossier partagé sur le serveur Active Directory (par exemple dans un sous-dossier de Netlogon ou Sysvol, partagés par défaut). 3) Créer la GPO en important son modèle de paramétrage du fichier ADM et lui indiquer le dossier où se situent les fichiers.db. 4) Ajouter à la GPO le script VBS qui fera concrétiser la GPO sur le poste client. 23

25 9.5 Verrouillage des paramètres proxy des navigateurs Le verrouillage des paramètres proxy des navigateurs des postes clients se fait lui aussi par GPO. Tout comme indiqué à la partie précédente, la GPO pour configurer Internet Explorer est par défaut déjà créée sur l Active Directory. La GPO pour configurer Firefox a déjà été créée à l étape précédente : il suffit de la paramétrer. Voici un extrait du rapport de la GPO déployée : 24

26 10 Sonde Par Stéphane DORAIL Tout au long de la progression du projet, nous avons voulu mettre en place une sonde IPS en utilisant la sonde open source «suricata». Cependant, après passage à l orale, l IDS est plus que suffisant pour sonder l ensemble du réseau. En termes de charge, l IPS est trop important pour pouvoir l exécuter. De plus, l IPS est une licence propriétaire en entreprise qui est non utilisable dans notre cas. La sonde «snort» est tout à fait acceptable pour sonder l ensemble du réseau. C est un sujet qui mérite d être approfondi vu que nous sommes partis sur la base d IPS. 25

27 11 Documentations Pour que le partage de connaissances soit effectif au sein du groupe, un wiki fut créé afin de rédiger nos documentations : 26

28 12 Améliorations Notre projet mets en place la plupart des services existant dans une petite entreprise. Nous aurions pu ajouter un ERP ou un CRM pour représenter les logiciels qui sont habituellement sur site OCS Un autre axe d amélioration aurait été de mettre en place un agent de gestion de parc. En effet, aujourd hui, nous sommes capable de lister l ensemble des paquets présent sur les machines car nous l avons mis en place il y a peu de temps. Dans quelques mois, cette liste sera déjà moins exhaustive. Avoir un agent sur chaque machine qui remonte ces informations seraient un bon moyen de savoir ce qu il y a sur les machines. De plus, OCS permet de déployer à distance des mises à jour logiciel sur les postes clients ou d éxecuter des scripts ou ligne de commande directement sur la machine. Nous pensons que cet axe d amélioration aurait pu donner un plus à notre projet. Nous avons commencer à l installer sur notre serveur de virtualisation, mais nous n avons pas eu le temps de bien l exploiter Défense face à une vulnérabilité En pleine séance de soutenance, nous avons reçu un challenge : «Le CERT FR vous informe : Alerte sur faille CVE activement exploitée sur internet. Merci de traiter sur votre périmètre. Cordialement,» 27

29 Nous n avons pas pu rendre effective notre solution lors de la soutenance, mais voici les étapes que nous avons proposées : 1) Recherche d informations sur la vulnérabilité : quels logiciels sont concernés? Sur quels systèmes? Y a-t-il une mise à jour? 2) Inventaire : quels logiciels sur notre parc sont vulnérables? Sur quels postes? 3) Test : tester la mise à jour sur une machine de test, pour s assurer que la mise à jour ne «casse» pas une autre application métier. 4) Déploiement de la mise à jour. 5) Vérification de l'effectivité du déploiement sur les postes ciblés. 5 bis) Se congratuler mutuellement et aller boire une bière. 6) Moyens parallèles : mise à jour des antivirus et IPS (contre des codes d'exploitation de la faille). 28