OFPPT SECTEUR TERTIAIRE & NTIC. Module : ROYAUME DU MAROC

Transcription

1 ROYAUME DU MAROC OFPPT Office de la Formation Professionnelle et de la Promotion du Travail DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR TERTIAIRE & NTIC Support de formation Module : ASSURANCE DE LA SECURITE ET DE L INTEGRITE DU SYSTEME INFORMATIQUE Concepteur : M TAIS Adil - ISTA Taza Validation: M. Abdellah BENTALEB CDC Tertiaire & TIC

2 Assurance de la sécurité et de l intégrité du système informatique Sommaire : Introduction à la sécurité et les risques menaçant les sites informatiques 1-20 Intro à la sécurité informatique 1 Objectifs de la sécurité informatique 1 Classification des risques 2 Risques électriques 3 Les virus 4 Spam 6 Logiciel espion 7 Cheval de Troie (informatique) 8 L'usurpation d'identité: le phishing 9 Cross site scripting (XSS) 9 Attaques des mots de passe 10 Méthodes d'intrusions 12 Analyse des connexions INTERNET de base. 15 L'accès à distance à un réseau 19 Les mesures de protection des données Contrôle d accès 21 Dispositions principales de sécurité électrique 24 Alimentation redondante 26 L'onduleur 27 Brancher et régler un onduleur 29 Protection des données : RAID 32 Monter un système RAID 5 avec Windows XP 36 Partager votre ordinateur de façon plus sûre 44 Protection de votre ordinateur à l'aide de mots de passe 46 Supprimer les partages administratifs (C$ et ADMIN$ )sous [Windows XP] 50 Sécuriser le partage de fichiers sous Windows XP 51 Cryptographie 54 Cryptage avec le logiciel : TrueCrypt 4.2a 57 Hide Folders 57 Dekart Private Disk Light 58 Crypter ses données sous Windows 59 Logiciel : AxCrypt Chiffrement de données avec PGP 63 L'entretien préventif et le nettoyage informatique 78

3 La protection contre les intrusions réseau Qu'est-ce que la sécurité d'un réseau? 80 Antivirus 81 Mise en place d un antivirus (avast) 83 Mise en place des antivirus dans un environnement client serveur 90 Les ports à ouvrir en TCP et en UDP, les plages d'adresses. 112 Virtual Private Networks (VPN). 115 Création d un serveur VPN sous Windows 2000 PRO / XP PRO 117 Utilisation du moniteur IPSec sous Windows Server Pare-feu (FireWall) 138 Mise en place du firewall de windows xp SP2 143 Mise en place du firewall ZoneAlarm 148 Sécuriser un réseau Wi-Fi 155 Lutte contre le pollupostage 158 Utilisation de Ad-aware 160 Mise en place d un serveur proxy dans un établissement 164 Installation/ configuration de Wingate 167 Partager une connection Internet avec WinRoute 170 Sécurité réseau sous Unix 178 Configurer Squid comme serveur proxy sous Linux 182 SSL 188 Mise en place du SSL avec IIS 5.0 dans un domaine Windows Sécurisation d'un serveur Apache 193 La sauvegarde des données Introduction 198 Méthodes conseillées 201 Périphériques de sauvegarde et chargements. 201 Sauvegarde serveur réseau 214 Sauvegardes et restaurations de données sous Windows 2000 Server 218 Sauvegarder et restaurer le système avec Win XP Pro 229 Sauvegarde avec le logiciel UltraBackup 235 Création d'image Système (Ghost) 239 Politique de sécurité de l'information, validation et recouvrement des données Politique de sécurité de l'information 243 Guide de survie (conseils pour une meilleure sécurité) 248 Plan de continuité d'activité 249 La politique d IBM en matière de sécurité informatique 252 Récupérer des données effacées avec INSPECTOR File Recovery 255 Récupération des données avec GetDataBack 259 SÉCURITÉ : Calculer une somme MD5 sous MS-Windows 263 Questionnaire sécurité Références 269

4 Livres: Références Ross J. Anderson : Security Engineering: A Guide to Building Dependable Distributed Systems, ISBN Didier Godart : Sécurité informatique: Risques, Stratégies & Solutions, ISBN Bruce Schneier : Secrets & Lies: Digital Security in a Networked World, ISBN Paul A. Karger, Roger R. Schell : Thirty Years Later: Lessons from the Multics Security Evaluation, IBM white paper. Histoire des codes secrets, de S. Singh, ed. LGF, septembre 2001, ISBN , Cours de cryptographie, de G. Zémor - Cassini, Sites: Wikipédia, l'encyclopédie libre commentcamarche.com ybet.be Revue : PC Magazine, déc Aide en ligne de Windows XP. Guide de Référence : WinRoute Pro 4.2, pour la version 4.1 (Build 22 et plus). Kerio Technologies Inc.

5 Introduction à la sécurité et les risques menaçant les sites informatiques Intro à la sécurité informatique... 5 Objectifs de la sécurité informatique... 5 Classification des risques... 6 Risques électriques... 7 Les virus... 8 Spam Logiciel espion Cheval de Troie (informatique) L'usurpation d'identité: le phishing Cross site scripting (XSS) Attaques des mots de passe Méthodes d'intrusions Analyse des connexions INTERNET de base L'accès à distance à un réseau Intro à la sécurité informatique Le terme «système d'information» désigne ici tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information. De tels systèmes se prêtent à des intrusions de types diverses, susceptibles de modifier ou détruire l'information, ou de la révéler à des tiers qui ne doivent pas en avoir connaissance. Ces intrusions peuvent être simples. Utilisant des technologies et de méthodes très répandues, elles sont à la portée de services spécialisés dans la recherche du renseignement comme à celle de particuliers à l'affût d'informations pouvant servir leurs intérêts, entre autres les organisations criminelles, terroristes ou susceptibles de compromettre l'ordre public. La Sécurité des systèmes d information (SSI) est l ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires pour conserver ou rétablir la disponibilité, l'intégrité et la confidentialité des informations ou du système. Objectifs de la sécurité informatique La sécurité informatique vise généralement cinq principaux objectifs : La confidentialité La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction. L'intégrité Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle). La disponibilité L'objectif de la disponibilité est de garantir l'accès à un service ou à des ressources. La non-répudiation La non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction.

6 L'authentification L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées. Classification des risques La sécurité informatique vise à se protéger contre les risques liés à l'informatique, pouvant être fonction de plusieurs éléments : les menaces qui pèsent sur les actifs à protéger ; les vulnérabilités de ces actifs ; la sensibilité de ceux-ci, qui est la conjonction de différents facteurs : o Disponibilité, o Intégrité, o Confidentialité, o Imputabilité. Si l'un des éléments est nul, le risque n'existe pas. C'est pourquoi, l'équation est généralement représentée par : Risque = Menaces * Vulnérabilités * Sensibilité Les principales menaces effectives auxquelles on peut être confronté sont : l'utilisateur : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur (par insouciance ou malveillance) les programmes malveillants : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données l'intrusion : une personne parvient à accéder à des données ou à des programmes auxquels elle n'est pas censée avoir accès un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données. Nombre d incidents connus liés à la sécurité informatique répertoriés par le CERT (

7 CSI/FBI 2004 Computer Crime and Security Survey Results (source: Risques électriques Les incendies d'origine électrique Un incendie sur trois serait d'origine électrique. Pour que survienne un incendie d'origine électrique, il faut qu'il y ait simultanément : une source de chaleur ou une étincelle, un comburant (l'oxygène de l'air), un combustible. Les principales causes d'incendies d'origine électrique sont : L'échauffement par surintensité : dégagement de chaleur lié à la résistance du récepteur et à l'intensité ; La surintensité par surcharge : une intensité supérieure à ce que peut supporter un circuit ; Le court-circuit ; Un défaut d'isolement conduisant à une circulation anormale du courant entre récepteurs et masse ou entre récepteur et terre ; Contacts défectueux entraînant une résistance anormale et un échauffement. Certains facteurs peuvent aggraver les échauffements : Une ventilation insuffisante, L'accumulation de poussière ou de dépôts de graisse, Le stockage de matériaux inflammables à proximité d'installations électriques, L'empilage des câbles empêchant l'évacuation de la chaleur, Le maintien en fonctionnements d'appareils ayant subi des courts-circuits.

8 Les virus Nous dirons ici que tout Code Parasite Autopropageable (CPA) est un virus informatique (définition de Mark Ludwig, tirée de The Little Book of Computers Viruses, 1991). Le terme «code» fait bien évidemment référence à des instructions rédigées dans un langage de programmation évolué ou non. Le mot «parasite» souligne le caractère insidieux du code viral : il est là où on ne devrait normalement pas le trouver. Il constitue un ajout non-voulu par l'utilisateur. Quant à «autopropageable, il renvoie à cette caractéristique de duplication qu'ont les virus : la capacité à se multiplier en infectant d'autres fichiers. Ils recopient leurs propres instructions (code) au sein de celles d'un autre programme. L'efficacité de la duplication se mesure au fait que l'exécution du programme hôte n'est pas altérée, alors que ses fonctionnalités ont été modifiées. C'est une définition parmi tant d'autre d'un virus informatique mais intéressons nous maintenant aux différents types qui existent. Types de virus : On peut classer les virus selon leur mode de déclenchement ou leur mode de propagation. On distingue alors plusieurs catégories de virus : Les vers : il s'agit de programmes possédant la faculté de s'autoreproduire et de se déplacer à travers un réseau en utilisant des mécanismes de communication classiques, comme les RPC (Remote Procedure Call, procédure d'appel à distance) ou le rlogin (connexion à distance), sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier...) pour se propager. Un ver est donc un virus réseau. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrices pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé. Les bombes logiques: elles sont de véritables bombes à retardement. Ce sont de petits programmes restant inactifs tant qu'une condition n'est pas remplie, une fois la condition remplie (une date par exemple), une suite de commandes est exécutée (dont le but, le plus souvent, hélas, est de faire le plus de dégâts possible). Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise! Un exemple célèbre est le virus Michelangelo qui devait se déclencher à la date anniversaire de la naissance de l'artiste (Michel-Ange) ; Les chevaux de Troie : par analogie avec la mythologie grecque, ce sont des programmes dont l'aspect malveillant est caché au premier abord. Un cheval de Troie permet généralement de préparer une attaque ultérieure de la machine infectée. Par exemple, ils agissent en laissant ouverts des ports de communication qui peuvent être ensuite utilisés par des programmes d'attaque. Ils sont difficiles à détecter par un utilisateur non averti. Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté. Un cheval de Troie peut par exemple : voler des mots de passe copier des données sensibles exécuter tout autre action nuisible... Les macrovirus : ce sont des virus écrits sous forme de macros (une macro est une série de commandes destinée à effectuer automatiquement quelques tâches d'une application spécifique)

9 exécutables dans des applications bureautiques (traitement de texte, tableur, etc.) ou des logiciels clients de messagerie électronique. Ces macrovirus vont détourner tous les appels des macros standards. La propagation se fait généralement par l'opération de sauvegarde. Comme de plus en plus de logiciels intègrent ces notions de macros, les macrovirus sont devenus les virus les plus fréquents et les plus redoutables pouvant malheureusement causer de grands dégâts (formatage du disque dur par exemple). Un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows). Les virus de secteur d'amorce (aussi appelés virus «boot sector») : cette catégorie regroupe les virus infectant le secteur d'amorçage du disque (disque dur, disquettes, disque zip,...). Il s'agit d'un type de virus infectant la partie faisant démarrer l'ordinateur. Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infecté, il doit être démarré avec un secteur d'amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l'ordinateur. Le secteur d'amorçage du disque est le premier secteur lu au démarrage de l'ordinateur. Ce genre de virus a donc un contrôle complet de la machine, puisqu'il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l'«incrustation» du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l'ordinateur, jusqu'au moment où on l'éteint. Mais pourquoi le secteur d'amorçage d'un ordinateur n'est pas protégé contre l'écriture? Le secteur d'amorçage est typique au système d'exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l'utilisateur désire changer de système d'exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d'amorcer sa machine avec une disquette ou un disque dur de quelqu'un d'autre. Les virus fichiers : Virus Non résidents : C'étaient les virus les plus répandus il y a quelques années. Lors de l'infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l'exécution du fichier, c'est le code viral qui est d'abord lancé. Ce code viral cherche d'autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s'agit donc d'un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu'il contient le virus en plus du programme. Virus résidents : Il s'agit de virus qui restent présent dans la mémoire de l'ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d'une source infectée, une source douteuse, soit d'un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu'un programme est exécuté et qu'il n'est pas infecté, le virus l'infecte. La différence avec celui vu précédemment est qu'il n'y a pas besoin de procédure pour trouver une cible, puisque c'est l'utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu'à l'arrêt complet de la machine. Certains d'entre eux peuvent résister au simple redémarrage (c-à-d : CTRL ALT DEL).

10 Virus multiformes : Virus regroupant les caractéristiques des virus parasites et des virus du secteur d'amorçage. Les autres caractéristiques des virus : * Virus furtifs (intercepteurs d'interruptions) : ce sont des virus modifiant complètement le fonctionnement du système d'exploitation. Ces virus le modifient tellement qu'il semble sain aux antivirus. Ceci les rend très difficiles à détecter, puisque les antivirus sont trompés, croyant le système d'exploitation sain. * Virus polymorphes (mutants) : ce virus est différent à chaque infection. Il doit ceci à son encryption (Il existe un algorithme reprenant une valeur au hasard, permettant d'avoir un fichier crypté à chaque fois différent ne dérangeant cependant pas le décryptage). Le programme entier et le virus sont encryptés, excepté le premier segment destiné à la décryption. Ce genre de virus est donc beaucoup plus difficile à détecter que les précédents et presque impossible à détruire sans supprimer le fichier infecté, vu qu'il est crypté. * Virus réseau : Ces virus se reproduisent dans les réseaux en prenant le contrôle des interruptions réseau (peu fréquents). * Virus flibustiers (Bounty hunters) : virus visant la modification des antivirus les rendant non - opérationnels. Ce genre de virus est très rare mais très efficace. Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractéristiques vues cidessus. Plus le virus a de caractéristiques, plus il sera dangereux, compliqué, vorace en ressources de l'ordinateur (du à sa complexité). Ce qui signifie gênant sans même être actif, et surtout difficile à détecter par un antivirus (trompé, rendu inactif,...) mais aussi plus facilement repérable, et ce, dû à la baisse des performances de la machine. Les virus VBS script : Ce type de virus se propage par mail à l'aide d'un fichier attaché (type exe, vbs etc..) bien souvent en ayant un nom évocateur. Ces nombreux virus sont en langage Visual Basic. Ils sont de type Vbs (Visual Basic Script) ou plus simplement «script». Par exemple, le désormais célèbre I Love You et le virus KakWorm sont écrits dans ce langage. Les canulars : Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax), c'est-à-dire des annonces reçues par mail propageant de fausses informations (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement,...) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation. Ainsi, de plus en plus de personnes font suivre des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple : provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes Spam Le spam, mot anglais du jargon informatique, désigne les communications électroniques massives, notamment de courrier électronique, sans sollicitation des destinataires, à des fins publicitaires ou malhonnêtes. Ce terme est considéré comme un anglicisme. En guise de remplacement, certains pays francophones proposent d'utiliser les mots pourriel (de poubelle et courriel) et polluriel (de pollution et courriel), ainsi que d'autres variantes. Le mot pourriel est d'usage assez courant, polluriel est plus rarement utilisé.

11 Le verbe spammer est souvent utilisé dans le langage familier pour qualifier l'action d'envoyer du spam, le spamming. Le mot spammeur désigne celui qui envoie du spam. Les mots polluposter, pollupostage et polluposteur en sont leurs équivalents. Il est recommandé d'utiliser le terme d' arroseur pour designer un spammeur. Cibles du pourriel : Le pourriel peut s'attaquer à divers médias électroniques : les courriels, les forums de discussion de Usenet, les moteurs de recherche, les wikis, les messageries instantanées. o Par courrier électronique : Le pourriel par courrier électronique est le type de pollupostage le plus répandu. Le coût d'envoi d'un courrier électronique étant négligeable, il est facile d'envoyer un message à des millions de destinataires. Les destinataires assument le coût de réception et de stockage en boîte aux lettres, ce qui peut causer des coûts non négligeables aux prestataires de services, à cause du volume pris par le pourriel. Les forums de discussion de Usenet sont une cible facile du spam. En effet, un message envoyé à un forum touche tous les lecteurs du forum. Certains groupes de discussion ne reçoivent pratiquement plus que du pollupostage (c'est l'une des raisons pour lesquelles de nombreux forums sont modérés, c'est-à-dire surveillés par un humain ou un robot qui effectue un tri parmi les articles proposés o Par des fenêtres pop-up de Windows. o Par systèmes vocaux : Le développement de la voix sur réseau IP (téléphonie par Internet) fait craindre l'arrivée prochaine sur nos combinés d'un nouveau type de pourriel, le spam vocal, baptisé SpIT (Spam over Internet Telephony). En effet, des systèmes comme Skype voient déjà une part notable des appels être d'origine non sollicitée, même s'il s'agit encore de contacts personnels plutôt que de sollicitations commerciales. o Spamdexing - Référencement abusif Le référencement abusif destiné aux robots d'indexation de moteur de recherche consiste à modifier des pages Web en utilisant des mots-clés d'une façon abusive pour améliorer le classement dans les moteurs de recherche. o Par commentaires via les blogs La présence de liens vers un site web est un critère important de classement dans les moteurs de recherche. Afin d'augmenter artificiellement le nombre de liens pointant vers leurs sites, certains mettent des messages de commentaires dans les blogs uniquement pour ajouter un lien vers un ou plusieurs sites web à promouvoir. Logiciel espion Un logiciel espion (ou mouchard) est un logiciel malveillant qui infecte un ordinateur dans le but de collecter et de transmettre à des tiers des informations de l'environnement sur lequel il est installé sans

12 que l'utilisateur n'en ait connaissance. L'essor de ce type de logiciel est associé à celui d'internet, qui sert de moyen de transmission des données. o Étymologie Logiciel espion est tiré de l'anglais spyware et se dit également espiogiciel ou plus rarement espiongiciel. o Fonctionnement Un logiciel espion est composé de trois mécanismes distincts : Le mécanisme d'infection. Par exemple, le spyware Cydoor utilise le logiciel grand public Kazaa. Le mécanisme assurant la collecte d'information. Pour le même exemple, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa. Le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. Le tiers peut être le concepteur du programme ou une entreprise. La transmission de données à un État est très spéculative et relève peut-être plus de la théorie du complot. o Où trouve-t-on des logiciels espions? Le logiciel espion est très répandu sur les systèmes Microsoft, sur lesquels il n'est généralement pas détectable par les logiciels anti-virus ni les anti-espiogiciels actuels, car fonctionnant avec le même principe qu'un rootkit. Certaines pages web peuvent, lorsqu'elles sont chargées, installer à l'insu de l'utilisateur un logiciel espion, généralement en utilisant des failles de sécurité du navigateur Internet Explorer. Ils sont souvent présents dans des gratuiciels (différents des logiciels libres), ou des partagiciels, afin de rentabiliser leur développement. Il est possible que la suppression de l'espiogiciel d'un gratuiciel empêche celui-ci de fonctionner. En général les logiciels à code source libre comme Mozilla FireFox n'en contiennent aucun. On en trouve également dans les logiciels d'installation de pilotes fournis avec certains périphériques. Ainsi, les fabricants d'imprimantes peuvent s'en servir pour savoir en combien de temps une cartouche d'encre est vidée. Plus généralement, tous les logiciels propriétaires peuvent en cacher puisque leurs sources ne sont pas accessibles. Enfin, certains administrateurs systèmes ou réseaux installent eux-mêmes ce type de logiciel pour surveiller à distance l'activité de leurs ordinateurs, sans avoir à se connecter dessus. Cheval de Troie (informatique) En informatique, un cheval de Troie est un type de logiciel malveillant, c'est-à-dire un logiciel d'apparence légitime, mais conçu pour subrepticement exécuter des actions nuisibles à l'utilisateur. Un cheval de Troie n'est pas un virus informatique dans le sens où il ne se duplique pas par luimême, fonction essentielle pour qu'un logiciel puisse être considéré comme un virus. Un cheval de Troie est conçu pour être dupliqué par des utilisateurs naïfs, attirés par les fonctionnalités vantées.

13 Les chevaux de Troie servent très fréquemment à introduire une porte dérobée sur un ordinateur. L'action nuisible à l'utilisateur est alors le fait qu'un pirate informatique peut à tout moment prendre à distance (par Internet) le contrôle de l'ordinateur. Pour éviter les infections de chevaux de Troie, la règle la plus simple est d'installer un minimum de logiciels, de provenance sûre. Après infection, on peut détecter un cheval de Troie avec un antivirus à jour. Enfin, on peut utiliser un pare-feu pour limiter et surveiller les connexions au réseau que pourrait utiliser le pirate. Toutefois, une fois installé, le cheval de Troie peut désactiver les antivirus et parefeu existants. Exemples de chevaux de Troie : Back Orifice, NetBus, SubSeven L'usurpation d'identité: le phishing Le phishing (prononcer fishing) est une des nouvelles facettes à la problématique de l'usurpation d'identité. Il s'agit d'exploiter l'internet et le courrier électronique afin de pousser des utilisateurs à divulguer des informations privées en leur faisant croire que ces demandes d'information proviennent de services légitimes. Ces courriers électroniques peuvent apparaître comme authentiques, alors qu'en réalité ils ne visent qu'à tromper l'utilisateur, un peu comme le pêcheur utilisant des leurres ressemblant à s'y méprendre à de vrais insectes pour faire mordre le poisson. Les informations ainsi recherchées peuvent être de différentes natures: informations personnelles informations financières (numéros de carte de crédit, etc.), nom d'utilisateur et mot de passe du compte d'un utilisateur légitime, numéros de sécurité sociale, etc. De même, les identités usurpées peuvent être celles: de banques connues, de services de vente en ligne, d'entreprises de crédit, etc. Cross site scripting (XSS) Le Cross site scripting, abrégé XSS, est un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux. Il est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style), X étant une abréviation commune pour "cross" (croix) en anglais. Le terme Cross site scripting n'est pas une description très précise de ce type de vulnérabilité. Mark Slemko, pionnier du XSS, en disait Le problème n'est pas simplement le 'scripting', et il n'y a pas forcément quelque chose entre plusieurs sites. Alors pourquoi ce nom? En fait, le nom a été donné quand le problème était moins bien compris, et c'est resté. Croyez moi, nous avions des choses plus importantes à faire que de réfléchir à un meilleur nom. Le principe est d'injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d'url, etc. Si ces données arrivent telles

14 quelles dans la page web transmise au navigateur (par les paramètres d'url, un message posté, etc.) sans avoir été vérifié, alors il existe une faille : on peut s'en servir pour faire exécuter du code malveillant en langage de script (du JavaScript le plus souvent) par le navigateur web qui consulte cette page. Pour vérifier la présence d'une faille XSS, il suffit de faire passer un script, par exemple <script>alert('bonjour')</script> qui provoquera l'affichage d'une boîte de dialogue. Les risques L'exploitation d'une faille de type XSS peut permettre à un intrus de réaliser les opérations suivantes : Affichage d'un contenu non interne au site (publicité, faux article) Redirection (parfois de manière transparente) de l'utilisateur. Vol d'informations, par exemple sessions et cookies. Actions sur le site faillible, à l'insu de la victime et sous son identité (envois de messages, suppression de données, etc.) Une faille de type XSS est à l'origine de la propagation des virus sur MySpace en 2005 ainsi que de Yamanner sur Yahoo!Mail en Attaques des mots de passe Attaque par force brute : L'attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles. Cette méthode de recherche exhaustive ne marche que dans les cas où le mot de passe cherché est constitué de peu de caractères. Pour contrer cette attaque, il suffit simplement de choisir des mots de passe d'une longueur conséquente ou des clés suffisamment grandes. Ainsi, l'attaquant devra attendre quelques années avant de trouver le bon mot de passe. Cette méthode est souvent combinée avec l'attaque par dictionnaire pour obtenir de meilleurs résultats. 1. Explication mathématique Si le mot de passe contient N caractères, indépendants (la présence d'un caractère ne va pas influencer un autre) et uniformément distribués (aucun caractère n'est privilégié), le nombre maximum d'essais nécessaires se monte alors à : 26 N si le mot de passe ne contient que des lettres de l'alphabet totalement en minuscules ou en majuscules 52 N si le mot de passe ne contient que des lettres de l'alphabet, avec un mélange de minuscules et de majuscules 62 N si le mot de passe mélange les majuscules et les minuscules ainsi que les chiffres Il suffit en fait d'élever la taille de «l'alphabet» utilisé à la puissance N. Il s'agit ici d'une borne supérieure et en moyenne, il faut deux fois moins d'essais pour trouver le mot de passe (si celui-ci est aléatoire). En réalité, bien peu de mots de passe sont totalement aléatoires et le nombre d'essais est bien inférieur aux limites données ci-dessus (grâce à la possibilité d'une attaque par dictionnaire). Le tableau ci-dessous donne le nombre maximum d'essais nécessaires pour trouver des mots de passe de longueurs variables.

15 Type 3 caractères 6 caractères 9 caractères lettres minuscules ,4 * lettres minuscules et chiffres ,0 * minuscules, majuscules et chiffres ,6 * ,3 * Un ordinateur personnel est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe par seconde. Cela dépend de l'algorithme utilisé pour la protection mais on voit qu'un mot de passe de seulement 6 caractères, eux-mêmes provenant d'un ensemble de 36 symboles (minuscules ou majuscules accompagnés de chiffres), ne tiendrait pas très longtemps face à une telle attaque. Dans le cas des clés utilisées pour le chiffrement, la longueur est souvent donnée en bits. Dans ce cas, le nombre de possibilités (si la clé est aléatoire) à explorer est de l'ordre de 2 N où N est la longueur de la clé en bits. Une clé de 128 bits représente déjà une limite impossible à atteindre avec la technologie actuelle et l'attaquant doit envisager d'autres solutions cryptanalytiques si celles-ci existent. Il faut cependant prendre en compte que la puissance du matériel informatique évolue sans-cesse (voir Loi de Moore) et un message indéchiffrable à un moment donné peut l'être par le même type d'attaque une dizaine d'années plus tard. 2. Limiter la recherche exhaustive Pour éviter des attaques par force brute, la meilleure solution est: d'allonger le mot de passe ou la clé si cela est possible; utiliser la plus grande gamme de symboles possibles (minuscules, majuscules, ponctuations, chiffres); pour éviter d'avoir à faire face à une attaque par dictionnaire, faire en sorte que le mot de passe soit aléatoire; et pour une sécurité optimum, empêcher de dépasser un nombre maximal d'essais en un temps ou pour une personne donnée. Dans les applications, on peut aussi introduire un temps d'attente entre l'introduction du mot de passe par l'utilisateur et son évaluation. L'éventuel attaquant devrait dans ce cas attendre plus longtemps pour pouvoir soumettre les mots de passe qu'il génère. Le système peut aussi introduire un temps d'attente après plusieurs essais infructeux, ceci dans le but de ralentir l'attaque. Les systèmes de mots de passe comme celui d'unix utilisent une version modifiée du chiffrement DES. Chaque mot de passe est accompagné d'une composante aléatoire appelée sel dont le but est de modifier la structure interne de DES et éviter ainsi une recherche exhaustive en utilisant du matériel spécialement conçu pour DES. Toutefois, avec suffisamment de temps, l'attaquant pourra toujours (en théorie) trouver le mot de passe ou une clé sauf si celui-ci emploie le principe du masque jetable. Le masque jetable, également appelé chiffre de Vernam est un algorithme de cryptographie inventé par Gilbert Vernam en Bien que simple, ce chiffrement est le seul qui soit théoriquement impossible à casser, même s'il présente d'importantes difficultés de mise en oeuvre pratique. Attaque par dictionnaire : L'attaque par dictionnaire est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Elle consiste à tester une série de mots de passe potentiels, les uns à la suite des autres, en

16 espérant que le mot de passe utilisé pour le chiffrement soit contenu dans le dictionnaire. Si tel n'est pas le cas, l'attaque échouera. Cette méthode repose sur le fait que de nombreuses personnes utilisent des mots de passe courants (par ex : un prénom, une couleur, le nom d'un animal...). C'est pour cette raison qu'il est toujours conseillé de bien réfléchir avant de choisir un mot de passe. L'attaque par dictionnaire est souvent une méthode utilisée en complément de l'attaque par force brute qui consiste à tester de manière exhaustive les différentes possibilités de mots de passe. Cette dernière est particulièrement efficace pour des mots de passe n'excédant pas 5 ou 6 caractères. o Contenu du dictionnaire et règles Outre le contenu habituel d'un dictionnaire qui renferme un ensemble de mots, le dictionnaire peut être fortement amélioré en combinant les mots ou en appliquant certaines règles. Par exemple, pour chaque mot, on peut essayer de changer la casse de certaines lettres. Une autre astuce consiste à répéter deux fois le mot (par exemple «secretsecret»), dans l'espoir que l'utilisateur fasse appel à cette méthode peu sûre pour renforcer son mot de passe. On peut aussi générer des dictionnaires, par exemple pour des numéros de plaque, des numéros de sécurité sociale, des dates de naissance, etc. o Logiciels Le logiciel John the Ripper, le plus connu dans ce domaine, est fourni avec une liste de règles qui permettent d'étendre l'espace de recherche et explorer les failles classiques dans l'élaboration des mots de passe ou des clés par les utilisateurs. Il existe des dictionnaires qui contiennent plusieurs millions de mots et qui ne sont pas fournis avec le logiciel. Citons encore L0phtcrack et Cain & Abel qui fournissent des services similaires. Toutefois, ce type de logiciels n'est pas forcément utilisé dans un but malicieux. Ces outils peuvent être utiles pour les administrateurs qui veulent sécuriser les mots de passe et alerter les utilisateurs sur les risques encourus. Méthodes d'intrusions Les risques d'intrusions sont un sujet à la mode. Différentes méthodes d'intrusions vont être examinées. La première méthode d'intrusion consiste à injecter un trojan dans votre PC (via un mail par exemple). Ce logiciel serveur va réagir à toute demande d'un client (le programme de celui qui essaye l'intrusion) via un port TCP ou UDP. Les ports sont spécifiques à chaque trojan (aussi appelé cheval de Troie). Ce type d'intrusion nécessite donc 2 versions du logiciel, la partie serveur implantée sur le PC infecté et la partie client implanté sur le PC qui essaye de prendre le contrôle du PC infecté. Je vous laisse aux sites spécialisés pour la liste des trojans et leurs ports spécifiques. La deuxième méthode consiste à utiliser des failles de sécurité dans le fourbi Microsoft, que ce soit dans le système d'exploitation Windows, dans Internet Explorer ou dans Outlook (toutes versions confondues). Nettement plus costaude, cette solution est réservée aux professionnels. Ceci peut permettre à un site de tests de firewall par exemple d'ouvrir ton lecteur CD-ROM à distance. Avec un firewall software sur la station et le réseau protégé par un firewall hardware, on se sentait pourtant plutôt en sécurité. La solution consiste à suivre les SERVICE PACK de sécurité des programmes (quand les nouvelles versions n'ouvrent pas d'autres failles) De loin la plus sournoise, la troisième méthode consiste à modifier des informations dans la trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqué croit que les informations proviennent effectivement du site demandé comme dans le schémas ci-dessous. Pour parer à ces attaques, il faut impérativement que les trames soit toutes analysées avant la lecture par le navigateur.

17 Les buts sont multiples: vols d'informations et dans de nombreux cas, utilisé ce PC comme relais pour d'autres attaques. La cible détecte alors l'attaque comme provenant du PC "hacké". 1. Les spywares et adware. Les spyware et adware sont tous deux des programmes commerciaux qui vous envoient des publicités lorsque vous naviguez sur Internet. En aucun cas, ces logiciels ne sont considérés comme des virus. Ils ne sont donc ni détectés, ni supprimés par un anti-virus! Un adware se contente d'afficher des bannières de pub sur votre écran. Le programme se connecte automatiquement sur son site pour récupérer de nouvelles publicités et les pubs sont renouvelées à chaque connexion. Si vous ne vous connectez pas, il affiche quand même à intervalle régulier les publicités chargées lors des précédentes connexions. Ces programmes sont généralement chargés avec un :logiciel gratuit. Ils sont maintenant supplantés par les spywares. Un spyware est également un programme marketing mais son fonctionnement est différent. A chaque connexion, il se branche sur son site et peut communiquer ce qu'il veut. En premier, il va vous suivre à la trace et communiquer à fait les sites sur lesquels vous surfez. Ceci semble peu important mais va définir vos habitudes et centres d'intérêt. Ceci est intéressant pour vous envoyer des publicités ciblées. Comme ils s'intègrent directement dans le navigateur, il faut pratiquement réinstaller Windows pour les virer ou utiliser un logiciel gratuit comme ad-aware de lavasoft. D'autres utilisations sont plus sournoises puisque quelques uns de ces spyware enregistrent vos tapes claviers (et peuvent les envoyer

18 sur le site mère) ou même analysent vos documents Word et Excel. Gator et Gain sont les plus connus. 2. Microsoft. On trouve régulièrement des problèmes de sécurité dans les systèmes d'exploitation, les navigateurs et les programmes de Mail de Microsoft; Ceci est utilisé pour les intrusions, comme pour la prolifération des virus. La seule solution est la mise à jour de votre programme sur le site de Microsoft. 3. Les attaques par Déni de service (Denial of Service) Encore un problème relevant de la sécurité sur INTERNET. Arrivées depuis peu dans le monde des connexions, ce type d'attaque consiste à envoyer un maximum de requête sur un serveur web ou un routeur en un minimum de temps. La requête consiste en multitudes paquets ICMP echorequets en modifiant l'adresse source de chaque paquet. Les commandes envoyées sont des multiples petits paquets de 64 Kb ou inférieur. La cible ne peut plus répondre aux demandes de connexions car l'ensemble de la bande passante est limitée. Ceci est la méthode du gamin gâté qui ne parvient pas à s'introduire sur un site, alors, il le plante. Par contre, c'est aussi une méthode beaucoup plus professionnelle. Pour assurer un maximum d'envoi en même temps, le hacker doit utiliser un maximum de PC en même temps: ceci se fait par l'implantation d'un trojan dans l'ordinateur de simples amateurs et demande à tous ces PC d'envoyer les même commandes au même moment. 4. Déni de service station (tear drop, new tear, boink,...) Les attaques de type Teardrop, Newtear, Boink,... sont quasiment identiques au déni de service ci-dessus sauf qu'elle ne s'attaque qu'aux ordinateurs (serveurs inclus) directement connectés ou même via un routeur. Ce type d'attaque vise les système Windows 32 bits (Win 95, 98, Me, XP (Pro), NT et 2000) mais également les systèmes d'exploitation Linux inférieur à (comme Linux n'est pas dans mes compétences, à vérifier). Apparemment, les Mac et systèmes Unix peuvent aussi être altérés par ces attaques. A part Windows 3.11 et DOS, tous sont donc visés. L'attaque ne se fait plus sur un serveur, mais sur les stations connectées. Ce type d'attaque consiste à envoyer des packets TCP/IP qui se recouvrent appelé OOB = Out Of Band). L'ordinateur cible tente de reconstruire les informations et finalement, n'y arrivant pas, ceci provoque un plantage de la machine. En Windows, vous vous retrouvez avec une belle fenêtre bleue et vous n'avez d'autres choix que de redémarrer la machine. Quelques précisions. Anonyme sur Internet, pas si sûr. A chaque connexion, votre fournisseur d'accès vous alloue une adresse IP personnelle et unique sur le réseau INTERNET. Un routeur protège votre adresse TCP/IP locale sur le réseau en n'indiquant que l'adresse extérieure (celle fournie par le FAI) via le NAT. Par contre, si vous utilisez le partage fourni avec Win 98SE et supérieur, toutes les adresses IP du réseau sont visibles de l'extérieur. Pour le paramétrage des partages INTERNET. Toute intrusion, attaques de tout type demande d'abord au "hacker" de connaître l'adresse TCP/IP de la cible vis à vis d'internet. Le sport pour lui est ensuite de connaître les adresses internes des stations PC ou autres du réseau. Tant que l'adresse Wan (Internet) est invisible, il ne peut rien. Forcément, elle est plus facile a détecter lorsque le réseau local est raccordé par adresse TCP/IP fixe. Dans le même ordre d'idées, votre système d'exploitation et votre navigateur Internet sont automatiquement envoyés par votre navigateur au site, idem pour la résolution de votre écran (dimension et nombre de couleurs) Les serveurs proxy sont des genres de mémoires cache qui permettent d'accélérer les connexions. Lorsque vous visitez une page, le proxy la garde en mémoire. Si une demande sur cette

19 page intervient rapidement, le proxy ne la télécharge pas d'internet mais directement de sa mémoire. Vous suivre à la trace devient plus difficile puisque vous n'êtes pas toujours directement en contact avec les sites. Ces proxy peuvent être des boîtiers externes, inclus dans un PC du réseau local dédié ou implanté chez le fournisseur d'accès (à condition d'être configuré dans le navigateur suivant les adresses fournies par votre provider). Les coockies sont de petits fichiers textes chargés sur votre PC. Ces cookies enregistrent vos préférences. Ceci permet par exemple d'arriver directement sur la version française de Google.be. Pas bien dangereux, mais ces cookies incluent souvent des informations tels que mots de passe (même s'ils sont souvent cryptés) ou la date de votre dernière visite sur un site. Le NAT (Network Adress Translation) sert de translation entre l'extérieur du réseau local (Internet) et les stations. Le routeur construit une table de correspondance d'adresses IP. De cette manière, l'extérieur ne sait pas déterminer l'adresse interne d'une station. A la réception de données par le routeur, celui-ci transfère les informations vers le véritable destinataire grâce à sa table. Analyse des connexions INTERNET de base. Le partage d'une connexion INTERNET permet de connecter plusieurs ordinateurs reliés en réseau TCP/IP simultanément avec un seul modem. Le partage professionnel se fait via un routeur, mais des partages plus simples utilisent un modem relié sur un PC (méthode Windows). Le modem peut être normal, ISDN ou ADSL. De même, le type de modem peut être interne, externe série, externe USB ou même dans certains modem ADSL, relié via à une carte réseau. Dans les trois premiers cas, le partage peut se faire directement par le système d'exploitation (Windows 98 seconde édition, Windows Millenium, Windows 2000 ou Windows XP). Dans le cas d'une liaison via carte réseau, le partage peut se faire via un routeur ou via un logiciel de type WinGates. Ces logiciels assurent également la sécurité des connexions. Dans ce dernier cas, le PC assurant le partage reçoit 2 cartes réseau. Une dernière remarque, dans le cas d'un partage simple via le système d'exploitation, chaque ordinateur peut demander la connexion, mais la connexion ne peut être coupée que sur le PC connecté à Internet. Ceci ne pose pas de problèmes en ADSL, mais attention aux communications téléphoniques en RTC ou ISDN. Vous pouvez néanmoins paramétrer la connexion à distance pour couper la connexion INTERNET après un certain laps de temps d'inactivité. Dans le menu Option d'internet Explorer, choisissez la commande option Internet. Sélectionnez la connexion (Ma connexion cidessous) et cliquez sur le bouton paramètres. Dans la fenêtre suivante, sélectionnez le bouton "avancé". Cochez la case Déconnecter si inactif pendant et tapez le nombre de minutes souhaitée.

20 Différents logiciels ou matériels vont néanmoins se connecter entre le réseau et INTERNET, soit pour assurer la sécurité, soit pour assurer la vitesse de connexion. Ces appareils (logiciels) assurent différentes fonctions de connexion. 1. Les différents points d'une connexion / partage INTERNET professionnel. Avant de parler des appareils et solutions à mettre en oeuvre pour des connexions Internet professionnelles, analysons les différents problèmes possibles. Ceci nous permettra à terme de dessiner notre connexion plus facilement. (1) Partage de base via Windows. Dans le cas d'une connexion vers INTERNET, la première tâche est le partage. Ceci va permettre à plusieurs utilisateurs en même temps de se connecter sur Internet (navigation, mail, news,...). Ceci passe nécessairement par une installation réseau. Dans ce cas, un ordinateur ou un appareil (généralement un simple PC sur lequel est connecté le modem doivent servir de liaison.

21 Selon le schémas ci-dessus, chaque station possède sa propre adresse TCP/IP et De même, le fournisseur d'accès fournit automatiquement une adresse TCP/IP à la connexion. Lors d'une demande d'affichage d'un site, référencé par une adresse TCP/IP propre, par exemple que nous dénommerons par Lors de la demande d'affichage, la station 1 envoie à l'appareil de liaison son adresse propre (pour la réponse) et l'adresse du site qu'elle veut afficher (X.X.X.X@site). Le fournisseur d'accès et tous les composants du réseau Internet vont se débrouiller pour que les informations du site soit renvoyés à l'adresse TCP/IP Internet fournis par le fournisseur d'accès (X.X.X.X.@ISP) qui les renvoie à l'appareil de liaison. Celui-ci fera le transfert de sa propre adresse Internet vers l'adresse privée de la station 1. Le fonctionnement, quoique complexe de manière interne, n'est pas trop difficile à mettre en oeuvre avec les logiciels actuels. Cette méthode est utilisée par le partage de connexion Internet implantée dans Windows 98 SE, Millenium, 2000 ou XP. Cette solution n'est pas très sécurisée. Chaque adresse des PC connectés est visible d'internet. Cette pratique est utilisée pour de petits partages de connexions INTERNET familiales en modem RTC ou en ADSL avec modem USB. (2) Partage via un logiciel spécialisé. Cette solution de partage INTERNET utilise un PC relais entre le réseau et INTERNET. L'ordinateur utilise 2 cartes réseaux. Une carte réseau est connectée vers le réseau interne, la deuxième carte réseau est connectée à un modem Ethernet RJ45. Le logiciel peut être Wingate, quelques solutions professionnelles (Symantec par exemple) ou une solution à base de linux. Le PC relais doit rester connecté pour que la connexion INTERNET fonctionne. Le logiciel assure différentes fonctions: NAT (Network Adress Translation), proxy (cache) et même firewall. Le firewall s'il est directement implanté (Linux) est identique à un firewall hardware. Vous pouvez également installer sur ce PC relais un firewall software de type Zonealame Pro (la version gratuite ne fonctionne pas dans ce cas).

22 (3) Partage via un routeur simple. L'utilisation d'internet est tout à fait transparente pour le réseau. Le routeur reste connecté en permanence. Ceci cache le réseau interne (adresse des PC et périphériques) pour l'extérieur, mais n'empêche pas les risques d'intrusion. En effet, à part les adresses cachées (NAT), les stations sont directement connectées sur INTERNET. Un trojan sur une station communiquera à travers le réseau de manière complètement transparente. Il est même probable que le hacker ne s'apercevra qu'il est dans un réseau qu'au moment de la prise de contrôle du PC lorsqu'il aura accès à tous les partages de dossiers et périphériques. Ceci donne un semblant de sécurité, guère plus.

23 (4) Partage via routeur et firewall hardware. Ce schéma est presque la solution de sécurité idéale(le presque inquiète). Le routeur et le firewall peuvent être inclus dans le même boîtier. Le modem peut être intégré dans le routeur ou connecté entre celui-ci et INTERNET. La sécurité ne repose pas sur le montage mais sur la manière de paramétrer le firewall. Ceci est valable pour toutes les solutions de sécurité firewall. L'accès à distance à un réseau Dans certains cas, on utilise carrément deux routeurs-firewall. Le premier se raccorde sur Internet d'une part et sur un réseau interne comportant le serveur Web, le deuxième sert de transition entre cette zone appelée DMZ ou demilitarized zone) et le réseau local. Prise de contrôle à distance et transferts de fichiers. Un trojan permet de prendre le contrôle à distance (entre autre) d'un PC via Internet. Cette solution semble facile mais permet à d'autres de prendre le contrôle aussi. Cette solution est donc tout à fait à proscrire. La solution la plus communément utilisée fait appel à des logiciels de type PC Anywhere qui permettent de prendre la commande de PC via des modems analogiques ou ISDN, ou même l'adsl (Internet). Cette solution est souvent utilisée pour de petites infrastructures de type indépendants, mais rarement pour le contrôle des réseaux. De nombreuses tentatives d'attaques par INTERNET viennent de ce logiciel. Le paramétrage de PC Anywhere permet de changer le numéro de port pour l'accès à distance. Ce n'est pas la solution parfaite. En effet, pour une prise de contrôle à distance, il faut le numéro de port et le programme client. En changeant le numéro de port, l'administrateur suppose que le pirateur ne pourra prendre le contrôle. De l'autre côté, le pirateuar par scannage d'adresses sur tous les ports, reçoit les logiciels qui répondent (même mal) sur un port. Il n'a plus qu'à essayer tous les programmes possibles sur ce port. La prise de contrôle se fait également par mot de passe (nettement conseillé). Une autre solutions qui n'est utilisée que par certains programmes permettent de mettre en commun des ressources via l'accès réseau à distance.

24 Cette fonction nécessite l'installation d'un composant additionnel de Windows: serveur d'accès réseau à distance et permet l'utilisation de fichiers sur des disques partagés via un modem (toujours RTC ou ISDN). La connexion pour permettre l'entrée se fait également via un mot de passe et le démarrage de ce serveur d'accès à distance via la partie accès réseau à distance. Certains programmes bureautiques (notamment Works de Microsoft) incluent également des fonctions de transferts de fichiers.

25 Les mesures pour la protection des données Contrôle d accès Dispositions principales de sécurité électrique Alimentation redondante L'onduleur Brancher et régler un onduleur Protection des données : RAID Monter un système RAID 5 avec Windows XP Partager votre ordinateur de façon plus sûre Protection de votre ordinateur à l'aide de mots de passe Supprimer les partages administratifs (C$ et ADMIN$ )sous [Windows XP] Sécuriser le partage de fichiers sous Windows XP Cryptographie Cryptage avec le logiciel : TrueCrypt 4.2a Hide Folders Dekart Private Disk Light Crypter ses données sous Windows Logiciel : AxCrypt Chiffrement de données avec PGP L'entretien préventif et le nettoyage informatique Contrôle d accès Contrôle d'accès dans les entreprises : A différencier nettement le contrôle d'accès à certaines parties «sensibles» d'un bâtiment au contrôle de présence des employés dans l'entreprise. Le contrôle d'accès grâce à la biométrie (voire ci-dessous) commence à se développer. Contrôle d'accès aux systèmes informatiques : Définition : Le contrôle d'accès à des ressources informatiques est généralement étudié suivant la règle AAA (Authentication Authorization Accounting): Authentification Cette première phase consiste à vérifier que l'utilisateur correspond bien à l'identité qui cherche à se connecter. Le plus simple ici consiste à vérifier une association entre un mot de passe et un identifiant, mais des mécanismes plus élaborés peuvent être utilisés tels les cartes à puces, La carte à puce est une carte plastifiée aux dimensions de 85,6 54 millimètres avec une épaisseur de l'ordre de 70 à 90 centièmes de millimètres. Elle comporte au moins un circuit intégré (la puce). Les cartes à puce de haut de gamme récentes (2005) contiennent des microprocesseurs plus puissants (32 bits à plus de 10 MHz) et des quantités de mémoire plus importantes (dépassant les 256 Ko d'eeprom, 512 Ko de ROM). Les types de mémoire rencontrées dans les cartes à puce se diversifient également, notamment avec l'introduction de Mémoire Flash de plusieurs Mo à partir de La puce composant peut être accessible électriquement par des contacts de cuivre de façon électromagnétique, à courte ou moyenne portée, via une antenne interne dont les spires sont moulées dans l'épaisseur de la carte pour les cartes sans contact.

26 par une combinaison des deux précédentes : on parle alors de cartes Avec et Sans Contact (ou ASC) La carte à puce succède : Taxonomie : aux cartes à codes barres aux cartes à pistes magnétiques. Il existe trois catégories de cartes à puces : Les cartes à mémoire (comme les télécartes de Télécom) Les cartes à logiques câblés. Qui sont par exemple utilisées dans les décodeurs de chaîne payante. Les cartes à microprocesseurs proprement dites, qui peuvent être : o mono-applicatives, comme par exemple les cartes bancaires B0'(anciènne) o multi-applicatives, comme les cartes bancaires EMV (EuropayMastercardVisa) Fonctionnement Actuellement, elles comportent souvent un microcontrôleur les rendant actives et permettant des fonctions plus élaborées, en particulier des reconnaissances de clé. Elles comportent principalement une zone mémoire, ainsi que plusieurs dispositifs de calcul destinés (entre autres) à la cryptographie. Ainsi, une fois insérées dans un lecteur, elles se comportent en fait comme un micro-ordinateur capable d'effectuer des traitements d'information. Un programme de codage (décodage) et/ou un code (mot de passe) dans la puce, inaccessibles de l'extérieur, sont le garant d'une bonne sécurité (au sens bancaire). Elles sont aujourd'hui particulièrement répandues dans des applications comme les cartes bancaires françaises, les cartes Vitale, mais aussi les cartes SIM utilisées dans les téléphones portables pour l'identification du propriétaire et la sauvegarde d'informations diverses (numéros de téléphone et autres). Avant d'être remises à la personne qui l'utilisera, une carte à puce est normalement 'personnalisée' électriquement (par l'organisme émetteur) via un encodeur de cartes et un programme informatique (outil de personnalisation), afin d'inscrire dans la puce les informations nécessaires à son utilisation. Par exemple, on inscrira dans une carte bancaire les références bancaires de l'utilisateur, ou dans la carte d'un contrôle d'accès, les autorisations accordées au porteur de la carte. La personnalisation consiste également à imprimer des donnés supplémentaires (nom de la personne, photo, etc) sur la carte, par exemple à l'aide d'une imprimante à sublimation, au dessus d'une pre-impression offset. On peut considérer jusqu'à un certain point que les clefs USB, récemment apparues, font partie de la famille des «cartes à mémoire», mais il faut noter que leur mémoire n'intègre aucune protection limitant son accès, contrairement aux cartes à puce proprement dites, dont l'une des caractéristiques majeures est de protéger les données qu'elles contiennent de toute intrusion. Autorisation Cette phase consiste à vérifier que l'utilisateur maintenant authentifié dispose des droits nécessaires pour accéder au système. Elle est parfois confondue avec la précédente sur de petits systèmes, mais sur des systèmes plus importants, un utilisateur peut tout à fait être authentifié (ex : membre de l'entreprise) mais ne pas avoir les privilèges nécessaires pour accéder au système (ex : page réservée aux gestionnaires). Traçabilité Pour lutter contre les usurpations de droits, il est souhaitable de suivre les accès aux ressources informatiques sensibles (heure de connexion, suivi des actions, ). Identification des personnes : La biométrie est couramment utilisée, seule ou associée à l'anthropométrie, afin d'identifier des personnes sur la base de caractéristiques physiques individuelles.

27 L anthropométrie : technique qui concerne la mesure des particularités dimensionnelles d'un homme ou d'un animal. Elle est particulièrement utilisée en ergonomie. Pour l'homme, elle concerne notamment : Les dimensions o La stature (communément appelée taille) o La hauteur du buste o La longueur de chaque membre et de chaque partie de membre (bras, avant-bras...) Les masses o Masse totale o Masse de chaque partie du corps o Les centres de gravités Les circonférences, parfois appelées couronnes o Bassin, poitrine, tour de cou... o circonférence des membres Technologies : Les systèmes de contrôle biométrique peuvent analyser des caractéristiques morphologiques ou comportementales. o Principe de fonctionnement 1. Capture de l'information à analyser (image ou son). 2. Traitement de l'information et création d'un fichier " signature/gabarit " (éléments caractéristiques de l'image), puis mise en mémoire de ce fichier de référence sur un support (disque dur, carte à puce, code barre). 3. Dans la phase de vérification, on procède comme pour la création du fichier " signature/gabarit " de référence, ensuite on compare les deux fichiers pour déterminer leur taux de similitude et prendre la décision qui s'impose. Les informations stockées ne sont en jamais les images d'origine, mais un modèle mathématique des éléments qui distinguent l'échantillon biométrique d'un autre. Ce modèle est appelé un " gabarit " ou " signature ". De cette manière, on obtient alors des fichiers de très petite taille. Par exemple, l image d origine d une empreinte digitale à une taille de l ordre de octets, et son gabarit une taille de l'ordre de 500 octets.

28 La création d un gabarit s'effectue pendant la phase d'enrôlement qui est l'opération de génération et d'enregistrement du gabarit ainsi que des informations sur l'identité de la personne comme son nom, son prénom, son identifiant (numéro d'identification personnel). Dans cette phase, la qualité de l'image de l'échantillon biométrique pour le gabarit est primordiale pour la pleine satisfaction de l'utilisation du dispositif biométrique. o Performances des systèmes Il est impossible d'obtenir une coïncidence absolue (100% de similitude) entre le fichier "signature" créé lors de l'enrôlement et le fichier "signature" créé lors de la vérification, les éléments d'origine (une image, un son...) utilisés pour les traitements informatiques ne pouvant jamais être reproduits à l'identique. Les performances des systèmes d'authentifications biométriques s'expriment par : T.F.R. - Taux de faux rejets (False Rejection Rate) : Pourcentage de personnes rejetées par erreur. T.F.A. - Taux de fausses acceptations (False Acceptance Rate) : Pourcentage d'acceptations par erreur. T.E.E. - Taux d égale erreur (Equal Error Rate), donne un point sur lequel le T.F.A. est égal au T.F.R. > Analyse morphologique les empreintes digitales ; les empreintes palmaires (forme de la main) ; la rétine ; l'iris ; le visage. > Analyse comportementale la dynamique de signature ; la dynamique de la frappe au clavier. > Analyse comportementale & morphologique la voix. Dispositions principales de sécurité électrique Posséder une installation électrique conforme aux normes de sécurité est nécessaire pour vous prémunir des risques de dysfonctionnements et d'accidents électriques. Reliez votre installation à la terre Tous les circuits de votre installation doivent être reliés à la terre, sans quoi l évacuation des fuites de courant est impossible. Assurez-vous de la présence du réseau de terre et de la prise de terre dans votre local. Mettez aux normes votre tableau électrique Pour réduire les risques d'accident domestique, vous devez avoir un tableau électrique conforme aux normes de sécurité doté pour chaque circuit d un appareil de protection adapté (coupe-circuit, disjoncteur, etc.). Cet appareil de protection coupe automatiquement le circuit en cas d anomalie. Protégez vos circuits électriques

29 Votre installation électrique doit être dotée d un ou plusieurs interrupteurs différentiels ou disjoncteurs différentiels. Ainsi, en cas de défaut sur un appareil électrique ou d un contact accidentel avec un conducteur sous tension, le dispositif de protection coupe automatiquement le circuit. Afin que la coupure d un circuit n affecte pas le fonctionnement des autres, il est recommandé d installer un interrupteur différentiel sur chaque circuit principal de votre bâtiment. Protégez vos fils électriques Les fils électriques dénudés sont à l origine de nombreux accidents. Veillez à cacher vos fils électriques par des plinthes et moulures. Ce matériel permet aussi de protéger les nombreux fils souples qui alimentent le matériel audio, vidéo ou informatique. Remplacez vos prises et interrupteurs défectueux Si les fiches insérées dans vos prises sont lâches ou se détachent très facilement, les fils peuvent surchauffer et créer un risque d incendie. Veillez à remplacer vos prises défectueuses ou cassées par des prises conformes aux règles de sécurité. Respectez le nombre minimum de prises de courant requis Pour éviter l'emploi abusif des multiprises et des rallonges électriques, il est obligatoire de respecter un nombre minimum de prises de courant par pièce. Respectez le nombre minimum de prises de communication requis La norme oblige l'installation d'au moins une prise de communication par pièce principale. Les prises de type RJ45 sont à privilégier car elles permettent le branchement d'un téléphone, d'une télévision ou de l'informatique. Une prise de courant doit être installée à proximité de chaque prise de communication. Protégez vos équipements contre la foudre Un orage s accompagne de coups de foudre générateurs de surtensions. Celles-ci peuvent endommager les appareils les plus coûteux comme les ordinateurs, les chaînes hi-fi, les lecteurs DVD Un paratonnerre, une réglette multiprise ou un onduleur ne suffisent pas à les protéger. Pour une protection vraiment efficace, vous pouvez opter pour un parafoudre placé dans votre tableau électrique. Lui seul assure la sécurité de l ensemble de votre installation électrique. L installation de parafoudre est obligatoire par la norme dans les régions à forte densité de foudroiement et dans tous les bâtiments équipés de paratonnerre.

30 Prise parafoudre : Alimentation redondante Définition : On parle d'alimentation redondante lorsqu'une machine dispose de plusieurs blocs pouvant se suppléer les uns aux autres en cas de panne. Exemple : Alimentation Redondante 2x500W - Mini - MRG-6500P Le format utilisé est le format dit "mini", ce qui permet d'installer le bloc dans un emplacement prévu pou rune alimentation standard ATX (150mm de large par 86mm de haut). Seule la LONGUEUR de l'alimentation dépasse la dimension habituelle (200mm au lieu de 140mm). Néanmoins de nombreux boîtiers, et notamment les boîtiers orientés serveur, permettent de loger une telle alimentation. Le principe est d'assurer une sécurité totale. En effet, même si l'un des deux modules tombe en panne, votre machine de s'arrêtera pas car le second bloc assurera immédiatement et automatiquement le relais pour fournir en permanence une électricité de qualité. CARACTERISTIQUES : - Température de fonctionnement 0 C ~ 40 C - Humidité Tolérée : 20%-95% - HOT-SWAPPABLE / HOT-PLUGGABLE REDUNDANCY FUNCTION - Deux ventilos 40mm pour le refroidissement de chaque module - Entrée courant pour chaque module

31 L'onduleur Présentation : Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif permettant de protéger des matériels électroniques contre les aléas électriques. Il s'agit ainsi d'un boîtier placé en interface entre le réseau électrique (branché sur le secteur) et les matériels à protéger. L'onduleur permet de basculer sur une batterie de secours pendant quelques minutes en cas de problème électrique, notamment lors de : Micro-coupures de courant, c'est-à-dire des coupures électriques de quelques millièmes de seconde pouvant se traduire par le redémarrage de l'ordinateur. Coupure électrique, correspondant à une rupture en alimentation électrique pendant un temps déterminé. Surtension, c'est-à-dire une valeur nominale supérieure à la valeur maximale prévue pour le fonctionnement normal des appareils électriques. Sous-tension, c'est-à-dire une valeur nominale inférieure à la valeur maximale prévue pour le fonctionnement normal des appareils électriques. Pics de tension. Il s'agit de surtensions instantanées (pendant un temps très court) et de forte amplitude. Ces pics, dûs à l'arrêt ou la mise en route d'appareils de forte puissance, peuvent à terme endommager les composants électriques. Foudre, représentant une surtension très importante intervenant brusquement lors d'intempéries (orages). La majeure partie des perturbations électriques sont tolérées par les systèmes informatiques, mais elle peuvent parfois causer des pertes de données et des interruption de service, voire des dégâts matériels. L'onduleur permet de «lisser» la tension électrique, c'est-à-dire supprimer les crêtes dépassant un certain seuil. En cas de coupure de courant, l'énergie emmagasinée dans la batterie de secours permet de maintenir l'alimentation des matériels pendant un temps réduit (de l'ordre à 5 à 10 minutes). Audelà du temps d'autonomie de la batterie de l'onduleur, celui-ci permet de basculer vers d'autres sources d'énergie. Certains onduleurs peuvent également être branchés directement à l'ordinateur (via un câble USB par exemple) afin de commander proprement son extinction en cas de panne de courant et éviter toute perte de données. Choix? : Le choix se résume à deux critères principaux, la puissance de l'onduleur et sa technologie. Sa puissance : Se détermine en fonction de votre configuration et se mesure en VA = voltampère. Les onduleurs suivant le modèle ont une puissance de protection comprise entre 300 et 780 VA et + si besoin. - pour commencer faites la liste des appareils à protéger (unité centrale, moniteur, imprimante, clavier, souris, modem, disque de sauvegarde externe, scanner, enceintes,...) et notez la consommation de chacun d'eux. Vous trouvez ces valeurs soit au verso des appareils sur une plaquette, soit dans la notice d'utilisation, et ensuite :

32 a)- vous additionnez ces valeurs en ampères, et multipliez le résultat par 220 c'est-à-dire la valeur de la tension du réseau actuel, ce qui vous donne des Volts Ampères. b)- vous pouvez aussi rencontrer des valeurs en watts, que vous multipliez par 1,4 ce qui vous donne encore des Volts Ampères = calcul approché. Vous devez toujours choisir un modèle d'onduleur dont la puissance de protection est plus élevée que celle dont vous avez besoin, et il est conseillé de se munir de sa fiche pour en parler avec son fournisseur qui vous guidera plus facilement et pourra éventuellement corriger des erreurs glissées dans vos calculs. Sa technologie : Vous trouvez sur le marché plusieurs types de matériels suivant la technologie utilisée : - Technologie Off Line : Ce type de configuration minimum, avec la batterie qui prend le relais en cas de coupure du courant, est le modèle de base et bien sûr l'appareil le moins cher. - Technologie On Line : Ici le courant alternatif du réseau est transformé en permanence, par le redresseur-chargeur de l'onduleur, en courant continu qui traverse la batterie puis transformé à nouveau en courant alternatif, et qui donne un courant dit "régulé", "stabilisé" ou encore "lissé". C'est la perfection vu que le courant est totalement retraité, mais seul ennui cet appareil dont la puissance peut atteindre plusieurs milliers de VA, est cher et surtout utilisé dans un environnement industriel comme des laboratoires, des réseaux... - Technologie interactive : C'est un modèle hybride et sans doute le système idéal pour un utilisateur ordinaire. D'une part le principe du type off-line mais en plus équipé d'un régulateur de tension pour filtrer éventuellement les variations importantes pouvant survenir sur le réseau électrique d'alimentation. C'est un modèle répandu et pour un onduleur interactif de 400 VA vous devriez pas vous ruiner. Quelques points à surveiller. : Il faut que votre onduleur dispose d'au moins 3 ou 4 prises minimum pour raccorder vos matériels, et que son interrupteur soit facilement accessible. Un bouton de "test" est souhaitable pour régulièrement vérifier le bon fonctionnement de l'onduleur et de la charge de batterie. Et comme toujours, vérifiez que les câbles, notice en français sont bien présents et quel type de garantie est applicable. ATTENTION : Si vous êtes relié à l'internet, certains onduleurs offrent aussi une protection coté ligne téléphonique. Sinon moyennant quelques dirhames de plus, vous pouvez trouver une prise spéciale de raccordement et de protection de l'appareil Fax/modem qui agit par filtrage de la ligne téléphonique. En général l'onduleur protège l'ordinateur et le moniteur (pour permettre de sauvegarder le travail en cours mais il faut être présent) et par contre les périphériques sont coupées de courant mais protégées quand même des surtensions. Il est souhaitable dans le cadre PRO surtout, que l'onduleur soit doté d'un logiciel qui sauvegarde le travail en cours et éteint ensuite automatiquement la machine en cas de coupure de courant. Il est fréquent que des programmes très longs à exécuter ne nécessitent pas une présence permanente devant l'appareil.

33 Conseil : Choisissez toujours un modèle dont la puissance en VA est supérieure à votre configuration. Essayez de prévoir les matériels supplémentaires que vous allez acheter (certainement) dans quelque temps. Un scanner, un disque dur externe... - Si vous hésitez encore, il existe une protection utile qui toutefois ne maintiendra pas votre ordinateur allumé le temps d'enregistrer et de le fermer. Il s'agit d'un bloc multiprise (5 prises) dont les sorties sont protégées par des filtres qui évitent les surtensions, sous-tensions et doté aussi d'une prise spécifique pour brancher le modem car la foudre peut passer par la prise téléphonique. Brancher et régler un onduleur Les onduleurs se partagent en deux catégories. Certains se connectent sur une prise USB du micro. Si celui-ci est doté de Windows XP, le PC reconnaît automatiquement les onduleurs comme des batteries rechargeables. Ce sont de loin les plus pratiques, Windows XP gérant directement leur fonctionnement. Les autres modèles nécessitent l'installation d'un logiciel fourni par le constructeur pour être détectés, puis contrôlés. Ils se connectent le plus souvent sur une prise série du micro, parfois sur une prise USB. Une fois votre onduleur installé, testez-le pour vous assurer de son bon fonctionnement. La méthode est simple : il suffit de couper le courant. Temps nécessaire : 15 minutes Etape 1 - Installez le pilote Si votre onduleur n'est pas reconnu comme une batterie ou si votre micro n'est pas équipé de Windows XP, il est impératif d'installer le pilote et le logiciel disponibles sur le disque fourni par le constructeur. Introduisez le CD-Rom dans votre lecteur, puis suivez les indications affichées à l'écran. Si vous disposez de Windows XP et que l'onduleur est reconnu comme une batterie rechargeable, le CD d'installation livré ne vous est d'aucune utilité. Etape 2 - Branchez les câbles 1 - Eteignez, puis débranchez le micro ainsi que la prise d'alimentation de tous les périphériques reliés : écran, imprimante, scanner, modem, etc. 2 - Il vous faut ensuite connecter un à un chacun des câbles d'alimentation directement à l'onduleur, en veillant à respecter la puissance maximale (voir encadré plus bas), à l'exception des imprimantes laser qui sont incompatibles avec ces appareils. Suivant les modèles, un onduleur peut proposer deux types de prises, distingués par des couleurs ou des pictogrammes différents. Le terme anglais Battery ou le dessin d'une batterie signalent les prises qui relient le matériel connecté à la batterie de l'onduleur. Le terme anglais Surge ou un dessin

34 représentant un éclair indiquent les prises qui assurent la protection en cas de surtensions. Dans le cas où l'onduleur propose les deux types de prises, les prises notées Battery cumulent les deux fonctions. En pratique, reliez à la batterie uniquement les éléments vitaux en cas de défaillance électrique, à savoir l'unité centrale et l'écran, afin d'assurer la plus grande autonomie possible au micro. Eventuellement, branchez le reste des périphériques, imprimante et scanner, sur les prises de protection contre la surtension. Cette opération n'est pas la plus évidente. En effet, les onduleurs n'acceptent pas tous les prises au standard français. Il vous faut alors remplacer un à un les câbles d'alimentation. Au mieux, l'onduleur est livré avec une paire de cordons, au pire vous devrez en acheter des supplémentaires. 3 - Autre possibilité offerte par certains onduleurs : la protection de la connexion ADSL sur la ligne téléphonique, susceptible elle aussi d'être frappée par la foudre. Dans ce cas, repérez les deux prises adéquates sur l'onduleur. Celui-ci va venir s'intercaler entre la prise téléphonique et le modem (un câble supplémentaire est livré à cet effet). Branchez le cordon qui arrive de la ligne téléphonique sur l'entrée In, puis raccordez le modem ou le boîtier numérique sur la prise Out. 4 - Reliez à son tour le micro à l'onduleur grâce au câble USB ou série en fonction du modèle. En dernier lieu, branchez le cordon d'alimentation de l'onduleur sur le secteur. Allumez l'onduleur puis, un par un, les éléments raccordés. Etape 3 - Réglez l'onduleur avec Windows XP 1 - Les réglages de l'onduleur reconnu comme une batterie par Windows XP se trouvent dans les paramètres de gestion de l'alimentation. Pour les afficher, cliquez avec le bouton droit sur le Bureau, puis sélectionnez Propriétés dans le menu déroulant. Dans la fenêtre qui s'ouvre, cliquez sur l'onglet Ecran de veille, puis sur le bouton Gestion de l'alimentation. 2 - Cliquez ensuite sur l'onglet Alertes. Il permet de gérer deux niveaux d'alerte de décharge de l'onduleur lorsque celui-ci est sollicité au cours d'une coupure d'alimentation. Le premier (niveau de batterie faible) a un caractère plutôt informatif, le second (niveau de batterie critique) intervient avant la décharge totale. Cochez les deux cases Alerte de niveau de batterie... puis réglez leur niveau de déclenchement à l'aide du curseur, respectivement à 25 % et 10 % par exemple. 3 - Pour pousser plus avant les réglages, cliquez sur le bouton Action d'alerte de la zone Alerte de niveau de batterie faible. Dans la nouvelle fenêtre, cochez les options Alerte sonore et Affichage

35 d'un message, puis validez par OK. Vous serez par la suite averti que la batterie de l'onduleur a atteint le niveau spécifié par un son et un message à l'écran. 4 - Cliquez ensuite sur le bouton Action d'alerte de la zone Alerte de niveau de batterie critique. La situation est alors plus urgente : dans la section Action d'alerte, choisissez dans le menu déroulant l'option En cas d'alerte, l'ordinateur sera : mettre en veille prolongée. Cette dernière est préférable à un arrêt ou une simple mise en veille : elle vous assure de retrouver l'intégralité des documents et des programmes ouverts au redémarrage du micro. Elle vous dispense également de cocher l'option Forcer la mise en veille/l'arrêt même si le programme ne répond plus. Cliquez sur le bouton OK, puis validez le tout en cliquant sur Appliquer. 5 - A tout moment, vous pouvez vérifier le niveau de charge de l'onduleur dans l'onglet Jauge de batterie. Cliquez sur le bouton OK pour fermer la fenêtre Propriétés des options d'alimentation. Etape 4 - Réglez l'onduleur avec le logiciel fourni Les logiciels fournis avec les onduleurs varient d'un fabricant à l'autre. Difficile, donc, de donner une procédure commune. Les réglages par défaut sont en général satisfaisants. Mais vous pouvez toujours les personnaliser, notamment définir le moment où l'ordinateur va être éteint, et de quelle manière Ne dépassez pas la puissance de l'onduleur! Les onduleurs offrent un certain nombre de prises pour brancher les appareils à leur batterie. Mais cela ne veut en aucun cas dire que vous pouvez occuper toutes les prises sans danger! Veillez à respecter la puissance électrique précisée par le fabricant. Ce dernier fournit une puissance en voltampère (VA), une définition ésotérique pour le consommateur! Pour faire simple, un onduleur d'une puissance de 500 VA (environ 300 W) accueillera facilement un micro de moyenne gamme. Mais si vous possédez un PC de haut de gamme avec un processeur rapide et une carte graphique dernier cri, choisissez un onduleur une puissance de 700 VA (environ 500 W).

36 Arrière de l'onduleur Liebert PSA500 MT Prises de connexion à la batterie Prises de connexion pour réguler la tension 3 - Prise USB 4 - Prise série 5 - Prises de protection du modem 6 - Prise d'alimentation de l'onduleur Face avant de l'onduleur MGE UPS Systems 1 - Prises de connexion à la batterie Prises de connexion pour réguler la tension Protection des données : RAID Présentation de la technologie RAID La technologie RAID (acronyme de Redundant Array of Inexpensive Disks, parfois Redundant Array of Independent Disks, traduisez Ensemble redondant de disques indépendants) permet de constituer une unité de stockage à partir de plusieurs disques durs. L'unité ainsi créée (appelée grappe) a donc une grande tolérance aux pannes (haute disponibilité), ou bien une plus grande capacité/vitesse

37 d'écriture. La répartition des données sur plusieurs disques durs permet donc d'en augmenter la sécurité et de fiabiliser les services associés. Cette technologie a été mise au point en 1987 par trois chercheurs (Patterson, Gibson et Katz) à l'université de Californie (Berkeley). Depuis 1992 c'est le RAID Advisory Board qui gère ces spécifications. Elle consiste à constituer un disque de grosse capacité (donc coûteux) à l'aide de plus petits disques peu onéreux (c'est-à-dire dont le MTBF, Mean Time Between Failure, soit le temps moyen entre deux pannes, est faible). Les disques assemblés selon la technologie RAID peuvent être utilisés de différentes façons, appelées Niveaux RAID. L'Université de Californie en a défini 5, auxquels ont été ajoutés les niveaux 0 et 6. Chacun d'entre-eux décrit la manière de laquelle les données sont réparties sur les disques : Niveau 0: appelé striping Niveau 1: appelé mirroring, shadowing ou duplexing Niveau 2: appelé striping with parity (obsolète) Niveau 3: appelé disk array with bit-interleaved data Niveau 4: appelé disk array with block-interleaved data Niveau 5: appelé disk array with block-interleaved distributed parity Niveau 6: appelé disk array with block-interleaved distributed parity Chacun de ces niveaux constitue un mode d'utilisation de la grappe, en fonction : des performances du coût des accès disques Niveau 0 Le niveau RAID-0, appelé striping (traduisez entrelacement ou agrégat par bande, parfois injustement appelé stripping) consiste à stocker les données en les répartissant sur l'ensemble des disques de la grappe. De cette façon, il n'y a pas de redondance, on ne peut donc pas parler de tolérance aux pannes. En effet en cas de défaillance de l'un des disques, l'intégralité des données réparties sur les disques sera perdue. Toutefois, étant donné que chaque disque de la grappe a son propre contrôleur, cela constitue une solution offrant une vitesse de transfert élevée. Le RAID 0 consiste ainsi en la juxtaposition logique (agrégation) de plusieurs disques durs physiques. En mode RAID-0 les données sont écrites par "bandes" (en anglais stripes) : Disque 1 Bande 1 Bande 4 Bande 7 Disque 2 Bande 2 Bande 5 Bande 8 Disque 3 Bande 3 Bande 6 Bande 9 On parle de facteur d'entrelacement pour caractériser la taille relative des fragments (bandes) stockés sur chaque unité physique. Le débit de transfert moyen dépend de ce facteur (plus petite est chaque bande, meilleur est le débit). Si un des éléments de la grappe est plus grand que les autres, le système de remplissage par bande se trouvera bloqué lorsque le plus petit des disques sera rempli. La taille finale est ainsi égale au double de la capacité du plus petit des deux disques : deux disques de 20 Go donneront un disque logique de 40 Go. un disque de 10 Go utilisé conjointement avec un disque de 27 Go permettra d'obtenir un disque logique de 20 Go (17 Go du second disque seront alors inutilisés). Il est recommandé d'utiliser des disques de même taille pour faire du RAID-0 car dans le cas contraire le disque de plus grande capacité ne sera pas pleinement exploité.

38 Niveau 1 Le niveau 1 a pour but de dupliquer l'information à stocker sur plusieurs disques, on parle donc de mirroring, ou shadowing pour désigner ce procédé. Disque1 Bande 1 Bande 2 Bande 3 Disque2 Bande 1 Bande 2 Bande 3 Disque3 Bande 1 Bande 2 Bande 3 On obtient ainsi une plus grande sécurité des données, car si l'un des disques tombe en panne, les données sont sauvegardées sur l'autre. D'autre part, la lecture peut être beaucoup plus rapide lorsque les deux disques sont en fonctionnement. Enfin, étant donné que chaque disque possède son propre contrôleur, le serveur peut continuer à fonctionner même lorsque l'un des disques tombe en panne, au même titre qu'un camion pourra continuer à rouler si un de ses pneus crève, car il en a plusieurs sur chaque essieu... En contrepartie la technologie RAID1 est très onéreuse étant donné que seule la moitié de la capacité de stockage n'est effectivement utilisée. Niveau 2 Le niveau RAID-2 est désormais obsolète, car il propose un contrôle d'erreur par code de Hamming (codes ECC - Error Correction Code), or ce dernier est désormais directement intégré dans les contrôleurs de disques durs. Cette technologie consiste à stocker les données selon le même principe qu'avec le RAID-0 mais en écrivant sur une unité distincte les bits de contrôle ECC (généralement 3 disques ECC sont utilisés pour 4 disques de données). La technologie RAID 2 offre de piètres performances mais un niveau de sécurité élevé. Niveau 3 Le niveau 3 propose de stocker les données sous forme d'octets sur chaque disque et de dédier un des disques au stockage d'un bit de parité. Disque 1 Disque 2 Disque 3 Disque 4 Octet 1 Octet 2 Octet 3 Parité Octet 4 Octet 5 Octet 6 Parité Octet 7 Octet 8 Octet 9 Parité De cette manière, si l'un des disques venait à défaillir, il serait possible de reconstituer l'information à partir des autres disques. Après "reconstitution" le contenu du disque défaillant est de nouveau intègre. Par contre, si deux disques venaient à tomber en panne simultanément, il serait alors impossible de remédier à la perte de données. Niveau 4 Le niveau 4 est très proche du niveau 3. La différence se trouve au niveau de la parité, qui est faite sur un secteur (appelé bloc) et non au niveau du bit, et qui est stockée sur un disque dédié. C'est-à-dire plus précisément que la valeur du facteur d'entrelacement est différente par rapport au RAID 3. Disque 1 Disque 2 Disque 3 Disque 4

39 Bloc 1 Bloc 2 Bloc 3 Parité Bloc 4 Bloc 5 Bloc 6 Parité Bloc 7 Bloc 8 Bloc 9 Parité Ainsi, pour lire un nombre de blocs réduits, le système n'a pas à accéder à de multiples lecteurs physiques, mais uniquement à ceux sur lesquels les données sont effectivement stockées. En contrepartie le disque hébergeant les données de contrôle doit avoir un temps d'accès égal à la somme des temps d'accès des autres disques pour ne pas limiter les performances de l'ensemble. Niveau 5 Le niveau 5 est similaire au niveau 4, c'est-à-dire que la parité est calculée au niveau d'un secteur, mais répartie sur l'ensemble des disques de la grappe. Disque 1 Disque 2 Disque 3 Disque 4 Bloc 1 Bloc 2 Bloc 3 Parité Bloc 4 Parité Bloc 5 Bloc 6 Parité Bloc 7 Bloc 8 Bloc 9 De cette façon, RAID 5 améliore grandement l'accès aux données (aussi bien en lecture qu'en écriture) car l'accès aux bits de parité est réparti sur les différents disques de la grappe. Le mode RAID-5 permet d'obtenir des performances très proches de celles obtenues en RAID-0, tout en assurant une tolérance aux pannes élevée, c'est la raison pour laquelle c'est un des modes RAID les plus intéressants en terme de performance et de fiabilité. L'espace disque utile sur une grappe de n disques étant égal à n-1 disques, il est intéressant d'avoir un grand nombre de disques pour "rentabiliser" le RAID-5. Niveau 6 Le niveau 6 a été ajouté aux niveaux définis par Berkeley. Il définit l'utilisation de 2 fonctions de parité, et donc leur stockage sur deux disques dédiés. Ce niveau permet ainsi d'assurer la redondance en cas d'avarie simultanée de deux disques. Cela signifie qu'il faut au moins 4 disques pour mettre en oeuvre un système RAID-6. Comparaison Les solutions RAID généralement retenues sont le RAID de niveau 1 et le RAID de niveau 5. Le choix d'une solution RAID est lié à trois critères : la sécurité : RAID 1 et 5 offrent tous les deux un niveau de sécurité élevé, toutefois la méthode de reconstruction des disques varie entre les deux solutions. En cas de panne du système, RAID 5 reconstruit le disque manquant à partir des informations stockées sur les autres disques, tandis que RAID 1 opère une copie disque à disque. Les performances : RAID 1 offre de meilleures performances que RAID 5 en lecture, mais souffre lors d'importantes opérations d'écriture. Le coût : le coût est directement lié à la capacité de stockage devant être mise en oeuvre pour avoir une certaine capacité effective. La solution RAID 5 offre un volume utile représentant 80 à 90% du volume alloué (le reste servant évidemment au contrôle d'erreur). La solution RAID 1 n'offre par contre qu'un volume disponible représentant 50 % du volume total (étant donné que les informations sont dupliquées). Mise en place d'une solution RAID : Il existe plusieurs façons différentes de mettre en place une solution RAID sur un serveur :

40 de façon logicielle : il s'agit généralement d'un driver au niveau du système d'exploitation de l'ordinateur capable de créer un seul volume logique avec plusieurs disques (SCSI ou IDE). de façon matérielle o avec des matériels DASD (Direct Access Stockage Device) : il s'agit d'unités de stockage externes pourvues d'une alimentation propre. De plus ces matériels sont dotés de connecteurs permettant l'échange de disques à chaud (on dit généralement que ce type de disque est hot swappable). Ce matériel gère lui-même ses disques, si bien qu'il est reconnu comme un disque SCSI standard. o avec des contrôleurs de disques RAID : il s'agit de cartes s'enfichant dans des slots PCI ou ISA et permettant de contrôler plusieurs disques durs. Monter un système RAID 5 avec Windows XP Nous allons voir comment exploiter Windows XP pour accéder à des fonctions RAID sophistiquées avec seulement très peu de modifications. Exploitation des fonctions RAID 5 de Windows XP Il existe un grand choix de disques durs de constructeurs renommés comme Hitachi, Maxtor, Seagate et Western Digital. Pour un usage domestique ou bureautique, un seul disque dur est généralement suffisant, mais pour les réseaux d entreprise, un ensemble de plusieurs disques est souvent indispensable. Le seul problème, c est que ces ensembles RAID ne sont pas précisément bon marché. Beaucoup de constructeurs de cartes mères intègrent déjà des contrôleurs RAID à leurs cartes, mais tous ne conviennent pas pour des applications de serveurs de fichiers. La plupart d entre eux ne supportent que les modes simples 0 et 1, et la combinaison des deux, appelée 0+1 (bande & miroir). On peut atteindre de grandes capacités de stockage et une vitesse étonnante avec le RAID 0, mais les risques de perdre des données à cause d un disque hors d usage sont aussi multipliés par le nombre de disques de l ensemble. On peut obtenir un bon équilibre entre vitesse et sécurité des données avec le RAID 0+1, qui met en miroir deux ensembles RAID 0. Le seul inconvénient c est que la capacité réelle de stockage est divisée par deux. Si une grande capacité de stockage est une priorité essentielle, l option habituelle est le RAID 5, qui répartit les données sur tous les disques de l ensemble et ajoute aussi des informations de parité tournante. La capacité de stockage réelle de l ensemble est la somme de la capacité de tous les disques moins la capacité d un des disques. Cela dit, cette solution est moins simple qu il n y paraît. Le calcul des informations de parité et la reconstruction des données en temps réel demandent un CPU très performant. Cela oblige donc l utilisateur, soit à acheter un contrôleur RAID très onéreux avec une unité XOR intégrée, soit de s en remettre à un modèle meilleur marché qui surcharge le CPU avec les calculs XOR. Dès lors, pourquoi ne pas utiliser l option du RAID 5 logiciel? Si le budget est serré et que l utilisation d un simple contrôleur sans l unité XOR est de toute façon possible, le RAID 5 logiciel est un choix équivalent. Le RAID 5 offert par Windows Server peut inclure tous les disques existants, rendant inutile la présence d un contrôleur RAID 5. Cependant, si l on a besoin que des services de fichiers, il n est même pas besoin de la coûteuse licence pour Windows Server, car Windows XP est capable de gérer des fonctions RAID complexes après seulement quelques modifications. Libérer le RAID 5 sous Windows XP

41 Débrider Windows XP pour faire fonctionner le RAID 5 demande un éditeur hexadécimal (par exemple Ultra Edit) et le CD de Windows XP. Il faut tout d abord copier certains fichiers dans un dossier temporaire : C:\windows\system32\drivers\dmboot.sys C:\windows\system32\dmconfig.dll C:\windows\system32\Dmadmin.exe Il faut ensuite ouvrir ces fichiers avec l éditeur hexadécimal : Les fichiers originaux du répertoire System32 de Windows doivent maintenant être remplacés par nos versions modifiées. Cependant, si l on change simplement les fichiers en les écrasant en écrivant par dessus, Windows s en rendra compte et restaurera ses fichiers originaux avec ses fichiers de sauvegarde. Si le disque système est en FAT32, il suffit de démarrer n importe quel système d exploitation DOS pour écraser les fichiers en écrivant par dessus manuellement. Comme la FAT32 ne s occupe pas du tout de la sécurité, nous ne recommandons pas l utilisation de ce système de fichiers. Dans un environnement NTFS il faudra redémarrer à partir du CD de Windows et lancer la console de récupération. Ceci peut être fait en appuyant sur la touche «R» dans le premier écran de sélection. Là, il faut copier les fichiers modifiés sur une disquette. Il faut tout d abord entrer dans le répertoire Windows :

42 C: [ENTER] cd\windows [ENTER] Il faut maintenant copier les fichiers un par un en utilisant les commandes qui suivent. Tous les fichiers sont mis dans deux répertoires différents! copy a:\dmboot.sys system32\drivers copy a:\dmboot.sys system32\dllcache copy a:\dmconfig.dll system32 copy a:\dmconfig.dll system32\dllcache copy a:\dmadmin.exe system32 copy a:\dmadmin.exe system32\dllcache Création d un ensemble RAID 5 Il faut maintenant redémarrer le système. De retour dans Windows, lancer la console de gestion et aller dans le gestionnaire de disque. Ici, il faut convertir en disques dynamiques tous le disques que l on a l intention d utiliser dans l ensemble RAID 5. Après cela, un clic droit sur les disques ouvrira un menu contextuel permettant la création d un nouveau volume :

43 Après modification des fichiers comme montré plus haut, Windows XP est capable de supporter le RAID 5 logiciellement. Nous avons utilisé quatre disques WD740 Raptor de Western Digital pour notre ensemble de test.

44 Les fenêtres d options suivantes... ne diffèrent pas, que l on crée un ensemble ou un simple volume. Dès que Windows a terminé la création de l ensemble, le RAID 5 sera disponible sous Windows comme n importe quel autre disque dur. Cela inclut aussi l option de donner des autorisations à quelqu un en propre ou à des groupes et de partager les fichiers. Le pire des scénarii : et si un disque tombe en panne?

45 A l évidence, le système le plus sophistiqué est absolument inutile s il ne marche pas. En plus de notre ensemble habituel de benchmarks, nous avons simulé une panne de disque en enlevant le câble SATA. Cette capture d écran montre le gestionnaire de disques de Windows après que nous ayons débranché un disque dur et remis le câble de données en place au bout de quelques secondes. Pour des raisons de sécurité, Windows ne réintègre pas le disque dans l ensemble automatiquement. Les autres disques de l ensemble sont marqués «Echec de redondance».

46 Cliquer sur «réparer volume» démarrera le processus de reconstruction.

47 Il faut bien sûr choisir auparavant un disque sain.

48 Le processus de reconstruction commence! Conclusion Nous avons été très étonnés par la simplicité de la gestion d'un ensemble RAID 5 sous Windows XP. Faire passer l administration du RAID des contrôleurs au système d exploitation n est peut-être pas une solution puissante, mais elle autorise un niveau de souplesse peu commun dans le domaine du stockage. N importe quel système Windows XP est techniquement capable de faire tourner des ensembles RAID, dès lors que l on peut y relier le nombre de disques durs désiré. Peut importe le matériel que l on utilise. Pour avoir le RAID 5, il suffit de modifier simplement trois fichiers. Notre simulation d une panne de disque a été probante, car le processus de reconstruction peut être mis en œuvre aisément, même par des utilisateurs moins expérimentés. De plus, ce processus prend le même temps qu avec un système RAID matériel. Il faut cependant noter que la sécurité Windows est un problème important, car l accès au gestionnaire disques permet à n importe qui de détruire tout cet ensemble en quelques secondes. L autre avantage de notre approche RAID 5 sous Windows XP c est son prix imbattable. Mis à part les disques qu il faut bien sûr acheter, tout ce qu il faut c est le nombre de ports nécessaires sur la carte mère ou le contrôleur utilisé. Acheter un contrôleur RAID onéreux n est plus indispensable dans ce cas de figure.

49 Au final, il ne reste qu un inconvénient : le RAID 5 sous Windows ne travaille pas aussi rapidement, loin s en faut, que les systèmes en matériel. Cela dit, les serveurs de fichiers n ont pas toujours besoin d être les plus rapides possibles. Si l on a besoin de configurer un serveur de fichiers redondant pour des accès occasionnels et un faible trafic, un RAID sous Windows est une option qu il faut à tout prix considérer. Il faut cependant être prudent : une fois l ensemble constitué, on ne peut pas le transférer sur aucun des contrôleurs RAID matériel. Si l on change d avis, il faut réinstaller tout le matériel. Partager votre ordinateur de façon plus sûre Vue d'ensemble des comptes d'utilisateur Un compte d'utilisateur définit les actions qu'un utilisateur peut effectuer dans Windows. Sur un ordinateur autonome ou membre d'un groupe de travail, un compte d'utilisateur établit les droits assignés à chaque utilisateur. Sur un ordinateur appartenant à un domaine réseau, un utilisateur doit être membre d'un groupe au moins. Les autorisations et droits accordés à un groupe le sont également à ses membres. Comptes d'utilisateur sur un ordinateur membre d'un domaine réseau Vous devez ouvrir une session en tant qu'administrateur ou en tant que membre du groupe Administrateurs pour utiliser l'application Comptes d'utilisateur du Panneau de configuration. Cette fonctionnalité permet d'ajouter des utilisateurs à votre ordinateur ou à un groupe. Dans Windows, les autorisations et les droits de l'utilisateur sont généralement accordés à des groupes. En ajoutant un utilisateur à un groupe, vous accordez à cet utilisateur toutes les autorisations et tous les droits d'utilisateur assignés à ce groupe. Par exemple, un membre du groupe Utilisateurs peut exécuter la plupart des tâches nécessaires à son travail, telles qu'une ouverture de session sur l'ordinateur, la création de fichiers et de dossiers, l'exécution de programmes et l'enregistrement des modifications apportées aux fichiers. En revanche, seul un membre du groupe Administrateurs peut ajouter des utilisateurs à des groupes, modifier des mots de passe utilisateur ou modifier la plupart des paramètres du système. La fonctionnalité Comptes d'utilisateur permet de créer ou de modifier le mot de passe des comptes d'utilisateur local, ce qui est utile lors de la création d'un nouveau compte d'utilisateur ou si un utilisateur oublie un mot de passe. Un compte d'utilisateur local est un compte créé par cet ordinateur. Si l'ordinateur fait partie d'un réseau, vous pouvez ajouter des comptes d'utilisateurs réseau aux groupes de votre ordinateur et ces utilisateurs peuvent utiliser leur mot de passe réseau pour se connecter. Vous ne pouvez pas modifier le mot de passe d'un utilisateur réseau. Remarques Vous ne pouvez pas créer des groupes dans l'application Comptes d'utilisateur. Utilisez pour cela Utilisateurs et groupes locaux. Dans Comptes d'utilisateur, vous pouvez placer un utilisateur dans un seul groupe. Généralement, vous trouvez un groupe présentant l'ensemble des autorisations dont un utilisateur a besoin. Si vous devez ajouter un utilisateur à plusieurs groupes, utilisez Utilisateurs et groupes locaux. Pour améliorer la sécurité d'un mot de passe, celui-ci doit contenir au moins deux des éléments suivants : lettres en majuscules, lettres en minuscules et chiffres. Plus la séquence de caractères est aléatoire, plus le mot de passe est sûr. Si vous souhaitez configurer d'autres exigences relatives au mot de passe (longueur minimale, durée d'expiration, unicité), ouvrez Stratégie de groupe et allez dans Stratégie de mot de passe.

50 Pour plus d'informations sur la modification des contraintes concernant les mots de passe, cliquez sur Rubriques connexes. Comptes d'utilisateur sur un ordinateur autonome ou membre d'un groupe de travail Deux types de comptes d'utilisateur sont disponibles sur votre ordinateur : compte d'administrateur d'ordinateur et compte limité. Le compte Invité est destiné aux utilisateurs auxquels aucun compte n'est assigné sur l'ordinateur. > Compte Administrateur d'ordinateur : Le compte d'administrateur d'ordinateur est destiné à une personne capable d'effectuer des modifications à l'échelle du système, d'installer des programmes et d'accéder à tous les fichiers de l'ordinateur. Seul un utilisateur titulaire d'un compte d'administrateur d'ordinateur bénéficie d'un accès total aux comptes d'utilisateur de l'ordinateur. Cet utilisateur : Peut créer et supprimer des comptes d'utilisateur sur l'ordinateur. Peut créer des mots de passe pour d'autres comptes d'utilisateur inscrits sur l'ordinateur. Peut modifier le nom, l'image, le mot de passe et le type associés aux comptes d'autres utilisateurs. Ne peut pas modifier le type de son compte d'utilisateur pour adopter un compte limité, sauf s'il existe au moins un autre utilisateur de l'ordinateur titulaire d'un compte d'administrateur d'ordinateur. Cela garantit qu'il existe toujours au moins une personne possédant un compte Administrateur d'ordinateur sur l'ordinateur. >Compte limité : Les comptes limités sont destinés aux utilisateurs qui ne doivent pas être autorisés à modifier les paramètres de l'ordinateur et à supprimer des fichiers importants. Un utilisateur qui possède un compte limité : Ne peut pas installer un logiciel ou un matériel, mais peut accéder aux programmes déjà installés sur l'ordinateur. Peut changer l'image associée à son compte et créer, modifier ou supprimer son mot de passe. Ne peut pas modifier le nom ni le type de son compte. Un utilisateur qui possède un compte Administrateur d'ordinateur a le droit d'effectuer ces modifications. Remarque Certains programmes risquent de ne pas fonctionner correctement avec les comptes limités. Le cas échéant, modifiez le compte limité en compte d'administrateur d'ordinateur, à titre temporaire ou permanent. >Compte Invité : Le compte Invité est destiné aux personnes qui ne possèdent pas de compte d'utilisateur sur l'ordinateur. Aucun mot de passe n'est associé à ce compte, ce qui permet aux utilisateurs de se connecter rapidement pour consulter leur messagerie électronique ou Internet. L'utilisateur connecté sous le compte Invité : Ne peut pas installer un logiciel ou un matériel, mais peut accéder aux programmes déjà installés sur l'ordinateur. Ne peut pas changer le type du compte Invité.

51 Peut changer l'image associée au compte Invité. Remarque Un compte nommé «Administrateur» est créé pendant l'installation. Ce compte Administrateur, qui possède des privilèges d'administrateur d'ordinateur, utilise le mot de passe d'administrateur que vous avez entré pendant l'installation. L'option Comptes d'utilisateur se trouve dans le Panneau de configuration. Pour ouvrir Comptes d"utilisateurs, cliquez sur Démarrer, sur Panneau de configuration, puis doublecliquez sur Comptes d"utilisateurs. Protection de votre ordinateur à l'aide de mots de passe Lorsque vous protégez votre ordinateur par un mot de passe fort, personne ne peut accéder à vos fichiers ou programmes à votre insu. Lorsque vous définissez votre mot de passe, vous devez également créer un disque de réinitialisation de mot de passe. En cas d'oubli du mot de passe, vous pouvez utiliser le disque de réinitialisation de mot de passe pour accéder à vos fichiers et programmes. Les tâches liées aux mots de passe varient selon que l'ordinateur est connecté ou non à un domaine de réseau. a) Vue d'ensemble du partage des fichiers et des dossiers Vous pouvez partager les fichiers et les dossiers stockés sur votre ordinateur, sur un réseau et sur le Web. La méthode que vous choisissez dépend des personnes avec lesquelles vous voulez partager les fichiers et de l'ordinateur qu'elles vont utiliser pour accéder à ces fichiers. Lorsque vous partagez des fichiers ou des dossiers, ils sont plus vulnérables que lorsqu'ils ne sont pas partagés. Les personnes qui accèdent à votre ordinateur ou votre réseau sont en mesure de lire, copier ou modifier les fichiers qui se trouvent dans un dossier partagé. Vous devez toujours vous souvenir que les fichiers et les dossiers que vous partagez sont disponibles à d'autres personnes et il est conseillé de surveiller ces fichiers et dossiers partagés régulièrement. Important Si vous ordinateur n'est pas joint à un domaine, vous pouvez utiliser l'assistant Configuration du réseau pour activer ou désactiver automatiquement le partage de fichiers et d'imprimantes. Pour démarrer l"assistant Configuration du réseau, cliquez sur Démarrer, sur Panneau de configuration, puis double-cliquez sur Assistant Configuration du réseau. b) Pour partager des fichiers et des dossiers sur un ordinateur Le déplacement ou la copie d'un fichier ou d'un dossier dans Documents partagés permet qu'il soit disponible à toute personne disposant d'un compte utilisateur sur l'ordinateur. 1. Ouvrez Mes documents. 2. Cliquez sur le fichier ou le dossier que vous souhaitez partager. 3. Faites glisser le fichier ou le dossier vers le dossier Documents partagés dans Autres emplacements.

52 Remarques Pour ouvrir Mes documents, cliquez sur Démarrer, puis sur Mes documents. Si vous êtes connecté à un domaine de réseau, les dossiers Documents partagés, Images partagées et Musique partagée ne sont pas disponibles. Si le fichier ou le dossier que vous souhaitez partager ne se trouve pas dans Mes documents ou ses sous-dossiers, utilisez Rechercher pour le trouver. Pour ouvrir la fonction de recherche, cliquez sur Démarrer, puis sur Rechercher. c) Pour partager un dossier ou un lecteur Utilisation de Dossiers partagés 1. Ouvrez Gestion de l"ordinateur (local). 2. Dans l'arborescence de la console, cliquez sur Partages. Où? Gestion de l'ordinateur o Outils système Dossiers partagés Partages 3. Dans le menu Action, cliquez sur Nouveau partage de fichiers. 4. Suivez les étapes définies dans Créer un dossier partagé. Des messages vous invitent à sélectionner un dossier ou un lecteur, taper un nouveau nom de partage et une description de la ressource partagée, et définir des autorisations. Après avoir fourni ces informations, cliquez sur Terminer. Remarques Pour ouvrir Gestion de l"ordinateur, cliquez sur Démarrer, puis sur Panneau de configuration. Double-cliquez sur Outils d"administration, puis sur Gestion de l"ordinateur. Vous devez être un membre du groupe Administrateurs ou Utilisateurs avec pouvoir pour utiliser Dossiers partagés. Utilisation de l'explorateur Windows Ouvrez l'explorateur Windows, puis recherchez le dossier ou le lecteur partagé auquel vous voulez ajouter un nouveau nom de partage. Si vous êtes connecté à un domaine, effectuez l'une des actions suivantes : 1. Cliquez avec le bouton droit sur le dossier ou le lecteur partagé, puis cliquez sur Partage et sécurité. 2. Cliquez sur Partager ce dossier. 3. Choisissez les autres options souhaitées, puis cliquez sur OK.

53 Si vous n'êtes pas connecté à un domaine ou si vous utilisez Windows XP Édition familiale, effectuez l'une des actions suivantes : 1. Cliquez avec le bouton droit sur le dossier ou le lecteur partagé, puis cliquez sur Propriétés. 2. Sous l'onglet Partage, cliquez sur Partager ce dossier sur le réseau. 3. Choisissez les autres options souhaitées, puis cliquez sur OK. Utilisation d'une ligne de commande 1. Ouvrez l'invite de commandes. 2. Tapez la commande : net share net share nom_partage=lecteur:chemin Valeur nom_partage=lecteur:chemin Remarques Description Crée, supprime ou affiche des ressources partagées. Nom réseau de la ressource partagée et son chemin d'accès absolu. Pour ouvrir une invite de commandes, cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires, puis cliquez sur Invite de commandes. Pour afficher la syntaxe complète de cette commande, à l'invite de commandes, tapez : net help share Vous pouvez utiliser Dossiers partagés pour gérer les ressources partagées à la fois sur des ordinateurs locaux et distants. L'Explorateur Windows et la ligne de commande vous permettent de gérer des ressources partagées uniquement sur votre ordinateur local. Pour masquer la ressource partagée aux autres utilisateurs, faites suivre le nom de la ressource partagée du caractère $. Les utilisateurs peuvent alors mapper un lecteur vers cette ressource partagée, mais ils ne peuvent pas voir la ressource partagée dans l'explorateur Windows ou le Poste de travail, ou en utilisant la commande net view sur l'ordinateur distant. Pour plus d'informations sur cette commande, consultez Net view. Vous devez disposer des autorisations appropriées pour effectuer cette procédure. d) Pour partager un lecteur ou un dossier sur le réseau 1. Ouvrez l' Explorateur Windows, puis recherchez le lecteur ou le dossier que vous voulez partager. 2. Cliquez avec le bouton droit sur le lecteur ou le dossier, puis cliquez sur Partage et sécurité. o Si vous partagez un lecteur, sous l'onglet Partager cliquez sur Si vous comprenez bien les risques et que vous voulez toujours partager la racine du lecteur, cliquez ici. o Si vous partagez un dossier, allez à l'étape suivante. 3. Effectuez une des tâches suivantes : o Si la case à cocher Partager ce dossier sur le réseau est disponible, activez cette case à cocher. o Si la case à cocher Partager ce dossier sur le réseau n'est pas disponible, cet ordinateur ne se trouve pas sur un réseau. Si vous voulez installer un réseau

54 domestique ou pour petite entreprise, cliquez sur le lien Assistant Configuration réseau et suivez les instructions pour activer le partage de fichiers. Une fois ce partage activé, reprenez cette procédure. e) Pour publier un fichier ou un dossier sur le Web 1. Ouvrez Poste de travail. 2. Double-cliquez sur un lecteur ou un dossier. 3. Cliquez sur le fichier ou le dossier à publier sur le Web. 4. Sous Gestion des fichiers : cliquez sur Publier ce dossier sur le Web, - ou - cliquez sur Publier ce fichier sur le Web. 5. Suivez les instructions de l'assistant Publication de sites Web. f) Pour définir, afficher, modifier ou supprimer des autorisations de fichier et de dossier 1. Ouvrez l' Explorateur Windows, puis recherchez le fichier ou le dossier dont vous souhaitez définir les autorisations. 2. Cliquez avec le bouton droit sur le fichier ou le dossier, cliquez sur Propriétés, puis sur l'onglet Sécurité. 3. Effectuez l'une des actions suivantes : o Pour définir les autorisations d'un groupe ou d'un utilisateur qui n'apparaît pas dans la zone Noms d'utilisateur ou de groupe, cliquez sur Ajouter. Tapez le nom du groupe ou de l'utilisateur dont vous souhaitez définir les autorisations, puis cliquez sur OK. o Pour modifier ou supprimer les autorisations d'un groupe ou d'un utilisateur, cliquez sur le nom correspondant. 4. Effectuez l'une des actions suivantes : o Pour accepter ou refuser une autorisation, dans la zone Autorisations pour utilisateur ou groupe, sélectionnez la case à cocher Autoriser ou Refuser. o Pour supprimer le groupe ou l'utilisateur de la zone Noms d'utilisateur ou de groupe, cliquez sur Supprimer. g) Pour rendre vos dossiers privés 1. Ouvrez Poste de travail. 2. Double-cliquez sur le lecteur où Windows est installé (généralement le lecteur C:, sauf si vous avez plusieurs lecteurs sur votre ordinateur). Si le contenu du lecteur est caché, sous Gestion du système, cliquez sur Afficher le contenu de ce lecteur. 3. Double-cliquez sur le dossier Documents and Settings. 4. Double-cliquez sur votre dossier utilisateur. 5. Cliquez avec le bouton droit sur un des dossiers de votre profil utilisateur, puis cliquez sur Propriétés. 6. Sous l'onglet Partager, activez la case à cocher Rendre ce dossier privé afin d'être le seul autorisé à y accéder. Remarques Vous ne pouvez par rendre vos dossiers privés si votre lecteur n'est pas formaté en NTFS.

55 Pour ouvrir Poste de travail, cliquez sur Démarrer, puis sur Poste de travail. Cette option est disponible seulement pour les dossiers qui font partie de votre profil utilisateur. Les dossiers de votre profil utilisateur comprennent les dossiers Mes documents et ses sous-dossiers, Bureau, Menu démarrer, Cookies et Favoris. Si vous ne rendez par ces dossiers privés, ils sont accessibles à toutes les personnes qui utilisent votre ordinateur. Quand vous rendez un dossier privé, tous ses sous-dossiers sont également privés. Par exemple, si vous rendez Mes documents privé, vous rendez également privés Ma musique et Mes images. Quand vous partagez un dossier, vous partagez également tous ses sous-dossiers, sauf si vous les rendez privés. Supprimer les partages administratifs (C$ et ADMIN$ )sous [Windows XP] Par défaut les systèmes Microsoft Windows possèdent des partages administratifs cachés afin de permettre à l'administrateur d'une machine d'accéder aux ressources de la machine à travers le réseau. Les partages administratifs par défaut, accessibles uniquement aux administrateur, sont les suivants : * C$ : Accès à la partition ou au volume racine. Les autres partitions sont également accessibles par leur lettre, suivie du caractère «$» ; * ADMIN$ : Accès au répertoire %systemroot%, permettant la gestion d'une machine sur le réseau. * IPC$ : Permettant la communication entre les processus réseau. * PRINT$ : Accès à distance aux imprimantes. Pour visualiser et gérer les partages administratifs de l'ordinateur, il suffit d'aller dans Panneau de configuration / Outils d'administration / Gestion de l'ordinateur / Dossiers partagés / Partages. Une alternative consiste à cliquer avec le bouton droit sur le poste de travail et sélectionner Gérer. Il est possible, notamment pour des raisons de sécurité, de supprimer l'accès aux partages administratifs C$ et ADMIN$. Pour ce faire, il suffit d'éditer la base de registres, grâce à la commande suivante : regedit Parcourez la base de registres pour atteindre l'enregistrement suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Créez une nouvelle valeur Dword nommée AutoShareWks et affectez-lui la valeur 0. Il est possible de réactiver les partages administratifs en supprimant cette valeur. La suppression des partages de cette manière persistera aux redémarrages suivants de la machine. Vous avez également la possibilité de désactiver temporairement ces partages sans toucher à la base de registre en tapant dans une fenêtre MS-Dos: net share c$ /delete net share admin$ /delete net share ipc$ /delete Dans ce cas, les partages seront réactivés au prochain redémarrage de l'ordinateur. Sécuriser le partage de fichiers sous Windows XP

56 Si vous avez activé le partage de fichiers et d'impression sous Windows 2000 pour partager des fichiers, vous devez nécessairement sécuriser l'accès aux répertoires partagés. Pour ce faire vous devez suivre les instructions suivantes: 1. ouvrir le Poste de travail. 2. Sélectionner le disque sur lequel se trouve le répertoire à partager. 3. Sélectionner le répertoire à partager (dans l exemple Données à partager sur le réseau), appuyer sur le bouton droit de la souris pour faire apparaître le menu et sélectionner la commande Partage et sécurité. 4. Dans l onglet Partage, sélectionner l option Partager ce dossier et donner un nom au partage (dans l exemple Partage). Appuyer ensuite sur le bouton Autorisations. 5. Appuyer sur le bouton Supprimer pour empêcher «tout le monde» d accéder à ce partage.

57 6. Appuyer sur le bouton Ajouter pour choisir les utilisateurs qui pourront accéder au partage. 7. Indiquer le nom des utilisateurs ou des groupes qui pourront accéder au partage et appuyer sur le bouton Vérifier les noms (dans l exemple un groupe nommé groupe de partage des données).

58 8. Lorsque les noms apparaissent, appuyer sur le bouton OK pour fermer la fenêtre. 9. Autoriser le groupe à accéder au partage en Lecture seule ou pour le Modifier. Appuyer sur le bouton OK pour fermer la fenêtre. 10. Appuyer sur le bouton OK pour fermer la fenêtre et terminer le travail.

59 Cryptographie La cryptographie est une des disciplines de la cryptologie, s'attachant à protéger des messages (assurant confidentialité et/ou authenticité), en s'aidant souvent de secrets ou clés. Elle est utilisée depuis l'antiquité, mais certaines de ses méthodes les plus importantes, comme la cryptographie asymétrique, n'ont que quelques dizaines d'années d'existence. Vocabulaire Notamment à cause d'anglicisme, puis de la création des fameuses chaînes de télévision dites cryptées, une importante confusion des termes existe : chiffrement et déchiffrement : le chiffrement est la transformation à l'aide d'une clé de chiffrement d'un message en clair en un message incompréhensible si on ne dispose pas d'une clé de déchiffrement chiffre : anciennement code secret, par extension, algorithme utilisé pour le chiffrement cryptogramme : message chiffré décrypter : retrouver le message clair correspondant à un message chiffré sans posséder la clé de déchiffrement ou même retrouver la clé de déchiffrement (terme que ne possède pas les anglophones, qui eux cassent des codes secrets) cryptographie : étymologiquement écriture secrète, est devenue par extension l'étude de cet art. C'est donc aujourd'hui la science visant à créer des chiffres cryptanalyse : science analysant les cryptogrammes en vue de les casser

60 cryptologie : science regroupant la cryptographie et la cryptanalyse. A. Algorithmes et protocoles a. Algorithmes de chiffrement faibles (cassables facilement) Les premiers algorithmes utilisés pour le chiffrement d'une information étaient assez rudimentaires dans leur ensemble. Il consistaient notamment au remplacement de caractères par d'autres. La confidentialité de l'algorithme de chiffrement est donc la pierre angulaire de ce système pour éviter un cassage rapide. ROT13 (rotation de 13 caractères, sans clé) Chiffre de Vigenère (chiffrement polyalphabétiques) b. Algorithmes de cryptographie symétrique (à clé secrète) Les algorithmes de chiffrement symétrique se basent sur une même clé (ou presque) pour chiffrer et déchiffrer un message. Le problème de cette technique est qu'il faut que toutes les clés soient parfaitement confidentielles. Et lorsqu'un grand nombre de personnes désirent communiquer ensemble, le nombre de clés augmente de façon importante (une pour chaque couple communicant). Ce qui pose des problèmes de gestions des clés. Quelques algorithmes de chiffrement symétrique très utilisés : DES (Data_encryption_standard) 3DES AES RC4 RC5 MISTY1 et d'autres ; c. Algorithmes de cryptographie asymétrique (à clé publique et privée) Pour résoudre en partie le problème de la gestion des clés, la cryptographie asymétrique a été mise au point dans les années Elle se base sur le principe de deux clés : une publique, permettant le chiffrement une privée, permettant le déchiffrement Comme son nom l'indique, la clé publique est mise à la disposition de quiconque désire chiffrer un message. Ce dernier ne pourra être déchiffré qu'avec la clé privé, qui elle doit être confidentielle. Quelques algorithmes de cryptographie asymétrique très utilisés : RSA (Rivest_Shamir_Adleman) DSA (Digital_Signature_Algorithm) Protocole d'échange de clés Diffie-Hellman et d'autres ; B. Fonctions de hachage (exemple avec la signature électronique) Le paradigme de signature électronique (appelé aussi signature numérique) est un procédé permettant de garantir l'authenticité de l'expéditeur (fonction d'authentification) et de vérifier l'intégrité du message reçu.

61 La signature électronique assure également une fonction de non-répudiation, c'est-à-dire qu'elle permet d'assurer que l'expéditeur a bien envoyé le message (autrement dit elle empêche l'expéditeur de nier avoir expédié le message). a) Qu'est-ce qu'une fonction de hachage? Une fonction de hachage (parfois appelée fonction de condensation) est une fonction permettant d'obtenir un condensé (appelé aussi condensat ou haché ou en anglais message digest) d'un texte, c'està-dire une suite de caractères assez courte représentant le texte qu'il condense. La fonction de hachage doit être telle qu'elle associe un et un seul haché à un texte en clair (cela signifie que la moindre modification du document entraîne la modification de son haché). D'autre part, il doit s'agir d'une fonction à sens unique (one-way function) afin qu'il soit impossible de retrouver le message original à partir du condensé. S il existe un moyen de retrouver le message en clair à partir du haché, la fonction de hachage est dite «à brèche secrète». Ainsi, le haché représente en quelque sorte l'empreinte digitale (en anglais finger print) du document. Les algorithmes de hachage les plus utilisés actuellement sont : MD5 (MD signifiant Message Digest). Développé par Rivest en 1991, MD5 crée une empreinte digitale de 128 bits à partir d'un texte de taille arbitraire en le traitant par blocs de 512 bits. Il est courant de voir des documents en téléchargement sur Internet accompagnés d'un fichier MD5, il s'agit du condensé du document permettant de vérifier l'intégrité de ce dernier) SHA (pour Secure Hash Algorithm, pouvant être traduit par Algorithme de hachage sécurisé) crée des empreintes d'une longueur de 160 bits SHA-1 est une version améliorée de SHA datant de 1994 et produisant une empreinte de 160 bits à partir d'un message d'une longueur maximale de 2 64 bits en le traitant par blocs de 512 bits. b) Vérification d'intégrité En expédiant un message accompagné de son haché, il est possible de garantir l'intégrité d'un message, c'est-à-dire que le destinataire peut vérifier que le message n'a pas été altéré (intentionnellement ou de manière fortuite) durant la communication. Lors de la réception du message, il suffit au destinataire de calculer le haché du message reçu et de le comparer avec le haché accompagnant le document. Si le message (ou le haché) a été falsifié durant la communication, les deux empreintes ne correspondront pas.

62 c) Le scellement des données L'utilisation d'une fonction de hachage permet de vérifier que l'empreinte correspond bien au message reçu, mais rien ne prouve que le message a bien été envoyé par celui que l'on croit être l'expéditeur. Ainsi, pour garantir l'authentification du message, il suffit à l'expéditeur de chiffrer (on dit généralement signer) le condensé à l'aide de sa clé privée (le haché signé est appelé sceau) et d'envoyer le sceau au destinataire. A réception du message, il suffit au destinataire de déchiffrer le sceau avec la clé publique de l'expéditeur, puis de comparer le haché obtenu avec la fonction de hachage au haché reçu en pièce jointe. Ce mécanisme de création de sceau est appelé scellement. Encryption de disque à la volée : Cryptage avec le logiciel : TrueCrypt 4.2a Catégorie : Sécurité, Cryptage Editeur : Paul Le Roux Licence : Logiciel libre TrueCrypt est un outil d'encryption de disque à la volée pour Windows XP, 2000 et Le disque en question peut être un fichier monté comme un disque virtuel ou bien un disque dur existant. Le logiciel est orienté vers une sécurité maximale et les données sont encryptées à la volée au moment ou elles sont stockées. Lorsque les données sont cryptées avec l'un des nombreux algorithmes d'encryption proposés (Blowfish, AES-256, CAST5, Tripe DES...), l'ouverture du fichier ou du disque dur ne fait rien apparaître d'autre qu'une série de chiffres aléatoires. A noter qu'en plus d'être crypté, le volume peut aussi être masqué. La création d'un volume se fait par le biais d'un assistant clair. A l'usage, le volume encrypté est vu par Windows comme un disque classique et en possède toutes les caractéristiques, il faudra simplement saisir le mot de passe associé au volume au moment du "montage" de celui-ci. Hide Folders Si vous souhaitez protéger efficacement les documents et les dossiers enregistrés sur votre disque, Hide Folders est exactement l'outil dont vous avez besoin. En un clic, vous allez pouvoir les masquer ou les protéger par un mot de passe.

63 Prix : Gratuit Taille : 276 Ko Plates-formes : Microsoft Windows 95/98/ME/NT/2000/XP Dekart Private Disk Light Basé sur le populaire Private Disk de Dekart, Private Disk Light vous permet de créer une zone sécurisée pour toutes vos données de travail, d'échanger des données cryptées avec d'autres personnes et d'être assuré que vos informations sont à l'abri des manipulations aussi bien externes qu'internes. Private Disk Light est une solution qui vous permet de créer un ou plusieurs disques virtuels sécurisés sur votre disque dur. Les informations stockées dans cette zone sécurisée sont automatiquement cryptées et ne peuvent être décryptées qu'avec le bon mot de passe. Sans le mot de passe, il est impossible d'accéder et de décrypter les informations d'un disque sécurisé. Private Disk Light emploie un algorithme de cryptage standard nommé AES. Cette technologie garantit un cryptage de haut niveau sans pour autant gêner les performances de l'ordinateur. Remarque importante : Dekart Private Disk ne contient aucun spyware, programme publicitaire ou virus et est totalement gratuit (freeware). Private Disk Light est très facile d'utilisation et l'installation prend quelques minutes seulement. Le cryptage des données est un procédé sans effort, ne requérant que la copie des fichiers dans le disque sécurisé sélectionné. Private Disk Light conserve les informations dans un endroit sûr et sécurisé, mais son développement a été arrêté. Si vous souhaitez un produit offrant de meilleures fonctionnalités que Dekart Private Disk Light, utilisez Dekart Private Disk, un logiciel de cryptage disque très avancé et facilement configurable, offrant toute une importante panoplie de fonctions et d'options. Pourquoi Dekart Private Disk est-il plus sécurisé que Dekart Private Disk Light? Dans DPD Light, votre disque est crypté par la "clé AES" à l'aide de l'algorithme AES. La "clé AES" est elle-même cryptée par la "clé RC4" à l'aide de l'algorithme RC4 et en utilisant la longueur de clé installée par défaut sur votre ordinateur. La longueur de la clé RC4 dépend des paramètres de Windows et s'élève à 56 bits ou 128 bits selon le cas. Ouvrez la boîte de dialogue "A propos" d'internet Explorer et contrôlez si vous utilisez le cryptage 128 bits. La clé RC4 est générée à partir de votre mot de passe en utilisant l'algorithme SHA-1. Avec Dekart Private Disk 2.xx, nous n'utilisons pas la cryptographie de Windows pour le cryptage des données. Ainsi le disque est crypté en utilisant l'algorithme AES 256 bits. La clé AES est cryptée en utilisant l'algorithme AES 256 bits. La seconde clé AES 256 bits est aussi générée à partir de votre mot de passe en utilisant SHA-512. Ainsi, les différences se résument à l'abandon de l'algorithme RC4 et à l'utilisation exclusive du cryptage AES 256 bits. Pourquoi utiliser deux clés AES? Une clé AES est utilisée pour le cryptage du disque (indépendamment de votre mot de passe) et l'autre est générée à partir de votre mot de passe. Grâce à cette architecture, il est plus facile de modifier le mot de passe car il n'est pas nécessaire de crypter à nouveau l'intégralité des données du disque. Si vous modifiez le mot de passe, la clé de cryptage du disque ne change pas : elle est simplement recryptée avec une autre clé AES (générée à partir du nouveau mot de passe).

64 Crypter ses données sous Windows Windows XP Professionnel permet de limiter l'accès à un fichier ou un dossier en le sécurisant par une méthode de cryptage en mode natif. Nous verrons ici comment utiliser pleinement cette fonctionnalité. Nous aborderons par la suite une modification de la base de registre permettant d'ajouter une option de cryptage/décryptage dans le menu contextuel. Sur une partition NTFS avec Windows XP Professionnel, il est possible de crypter simplement un fichier ou un dossier que l'on souhaite protéger. Cette fonctionnalité de cryptage n'est malheureusement pas disponible pour l'édition familiale de Windows XP. Prenons l'exemple de cryptage d'un dossier (et son contenu) et d'un fichier. Cryptage d'un dossier : Voici le dossier à crypter : Faites un clic droit sur le dossier, sélectionnez Propriétés puis Avancé. Cochez ensuite la case Crypter le contenu pour sécuriser les données puis cliquez sur le bouton OK. Enfin, cliquez sur le bouton Appliquer. La fenêtre suivante apparaît :

65 Laisser l'option Appliquer les modifications à ce dossier et à tous les sous-dossiers et fichiers sélectionnée afin de crypter également le contenu du dossier puis cliquez sur OK. A noter qu'un fichier qui sera copié ou déplacé dans ce répertoire sera crypté à son tour. Cryptage d'un fichier : La démarche pour le cryptage d'un fichier est similaire : Faites un clic droit sur le fichier, sélectionnez Propriétés puis Avancé. Cochez ensuite la case Crypter le contenu pour sécuriser les données puis cliquez sur le bouton OK. Enfin, cliquez sur le bouton Appliquer. La fenêtre suivante apparaît : Laisser l'option Crypter le fichier et le dossier parent sélectionnée afin de crypter également le dossier contenant le fichier puis cliquez sur OK.

66 Les noms des fichiers et dossiers cryptés apparaissent maintenant en vert dans l'explorateur, ils sont ainsi identifiable d'un simple coup d'oeil : L'accès à ces fichiers cryptés sous votre session sera interdit à un autre utilisateur du même poste. Ainsi par exemple, un utilisateur qui tentera d'accéder à un fichier Word crypté par vos soins aura le message suivant : La méthode pour décrypter les dossiers et fichiers est tout aussi simple : il suffit simplement de désactiver la case à cocher Cryptage de la boîte de dialogue Propriétés accessible par un clic droit sur l'élément. Cryptage et décryptage en ligne de commande : La commande que nous allons utiliser est cipher. Dans cet exemple, nous allons crypter le dossier C:\Fichiers cryptés. Commençons par ouvrir une invite de commande. Allez dans Démarrer, Exécuter... puis saisissez cmd et validez. Tapez ensuite la commande suivante : cipher /e /s:"c:\fichiers cryptés" Validez afin de crypter le répertoire. L'option /e permet de crypter le répertoire ainsi que les fichiers qui y seront ultérieurement copiés. L'option /s quand à elle, permet d'appliquer l'opération à tous les sous répertoires. Pour décrypter le dossier ou fichier, tapez la commande suivante : cipher /d /s:"c:\fichiers cryptés" Valider afin de décrypter le répertoire. L'option /d permet de décrypter le répertoire ainsi que les fichiers qui y seront ultérieurement copiés. Pour connaître l'ensemble des options de la commande cipher, tapez cipher /?. Ajout de la fonction "Crypter/Décrypter" dans le menu contextuel : Afin de simplifier les opérations de Cryptage/Décryptage des fichiers et dossiers, nous allons effectuer une modification dans la base de registre afin d'ajouter une nouvelle option dans le menu contextuel (accessible par clic droit). Ouvrez regedit (Démarrer, Exécuter... puis tapez regedit). Allez dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva nced Créez une valeur DWORD nommée EncryptionContextMenu et donnez lui la valeur 1.

67 Si vous ne souhaitez pas effectuer vous même cette manipulation dans la base de registre, vous pouvez utiliser le fichier.reg disponible en bas de page. Une fois la modification effectuée, il suffit de faire un clic droit sur un dossier ou un fichier puis de choisir l'option Crypter : De même, un nouveau clic doit sur l'élément crypté fera apparaître l'option Décrypter dans le menu contextuel : Si vous souhaitez supprimer cette option du menu contextuel, il suffit simplement de supprimer la clé EncryptionContextMenu ou bien de passer sa valeur à 0. Méthode de cryptage : La méthode de cryptage utilisée de façon native par Windows XP (et par Windows Server 2003) est appelée EFS (pour Encrypting File System). Ce système utilise une clé de cryptage de fichier générée de façon aléatoire, indépendante de la paire de clés publique/privée d'un utilisateur. L'algorithme de cryptage se fait sur 40 bits (128 bits en Amérique du Nord). Le cryptage des données se réalise d'un simple clic grâce à la génération d'une paire de clés publiques et à un certificat de cryptage de fichier. Ce dernier est alors créé lors du premier cryptage d'un fichier par un utilisateur, ce certificat sera ensuite réutilisé pour les cryptages ultérieurs. Pour plus de sécurité, chacun des fichiers possède une clé de cryptage unique. ATTENTION : De part ce système de cryptage utilisé, il est impossible de décrypter les données suite à une réinstallation de Windows ou à la suppression du compte utilisateur qui a effectué le cryptage. Bien que le système de fichiers EFS comporte un système de récupération des données intégré, ce dernier permet uniquement aux agents de récupération de configurer les clés publiques utilisées pour récupérer des données cryptées. En aucun cas la clé privée d'un utilisateur pourra être retrouvée, les fichiers cryptés resteront alors illisibles! Note : le système de cryptage EFS ne fonctionne que sur une partition NTFS. Ainsi, si vous copiez des données cryptées sur une clé USB (qui est formatée en FAT), les fichiers seront copiés sans le cryptage. Enfin, on peut également citer l'existence du programme AxCrypt. Contrairement au cryptage EFS, ce freeware fonctionne sur toutes les versions de Windows et permet de crypter simplement vos données sensibles.

68 Logiciel : AxCrypt Crypter et décrypter d'un clic droit fichiers et répertoires AxCrypt permet de crypter des données sensibles grâce à un algorithme codé sur 128 bits. Ce n'est peut être pas suffisant pour des données militaires mais conviendra sans problème pour éviter que collègues et/ou famille aillent fouiller dans vos fichiers sensibles. L'interface du logiciel est réduite à sa plus simple expression puisqu'il n'y en a pas. L'accès à celui-ci se fait uniquement grâce au menu contextuel de l'explorateur Windows. En s'installant, AxCrypt y a en effet ajouté quelques entrées qui révèlent ses fonctionnalité. On a droit à un "crypter", un "crypter et créer un exécutable" qui se révèle bien pratique pour envoyer un fichier protégé à un ami qui ne possède pas le logiciel et un "brouiller et supprimer" qui efface de manière fiable un fichier. Dans le cas de cryptage d'un répertoire complet, le logiciel va crypter de manière récursive chacun des fichiers du répertoire et de ses sous répertoires. Chiffrement de données avec PGP Introduction PGP de «Pretty Good Privacy» (signifie en anglais: "Plutôt bonne intimité"), est un logiciel de cryptographie gratuit créé en 1991 par Philip Zimmermann un informaticien américain. Ce logiciel est le plus connu dans le domaine de la protection des données sur Internet et est souvent utilisé pour protéger le courrier électronique. Il est basé à la fois sur le mécanisme des clés publiques et des clés secrètes. PGP permet d effectuer des opérations tels que: Encrypter des textes : Cette opération permet de s assurer que seul le destinataire pourra lire le contenu du message. Par cette opération on assure la confidentialité des contenus. Signer des textes : Cette opération permet de s assurer de la provenance d un document, ci celui-ci est bien identique au document original. Par cette opération on assure à la fois l authenticité et l intégrité des contenus. Pour effectuer ces opérations, on doit obtenir une paire de clés, l'une publique et l'autre secrète. Comme leur nom l'indique, la première pourra être diffusée à n'importe qui, de n'importe quelle façon, alors que la deuxième ne doit être connue que par son propriétaire. De façon générale, un fichier encrypté avec une clé publique ne peut être décrypter qu'avec la clé secrète correspondante, et inversement. Il est donc nécessaire de bien saisir le fonctionnement des clés publiques et privées. 1. Clé publique et clé privée PGP se base sur le système à clé publique pour le chiffrement des données, avant d utiliser PGP il est donc important de comprendre la différence entre la clé publique et la clé privée.

69 1.1 Le principe du chiffrement Le chiffrement à clé publique, aussi appelé le chiffrement asymétrique, implique une paire de clés : une clé publique et une clé privée. La clé publique est publiée dans des annuaires et ainsi connue de tous alors que la clé privée n'est connue que de la personne à qui la paire appartient. On retrouve donc: Une clé publique pour le chiffrement Une clé privée pour le déchiffrement 1.2 Fonctionnement Une fois que l'on a les deux clés, les opérations de chiffrement et déchiffrement s'effectuent de cette façon: Pour encrypter un message, et en assurer ainsi la confidentialité, vous utilisez la clé publique de la personne à qui vous voulez envoyer le message. Ce dernier devra donc le décrypter avec sa clé privée. Comme il est le seul à pouvoir l'utiliser, vous êtes certain qu'il est le seul à pouvoir lire le contenu du message. Pour signer un message, vous utiliserez votre clé secrète. Ainsi, toutes les personnes intéressées à vérifier si le message provient de vous pourront le faire en le décryptant avec votre clé publique. Si cela fonctionne, l'authenticité du message est assurée. De plus, puisque PGP inclut de l'information sur la nature du document dans la signature, ce mécanisme assure aussi l'intégrité du contenu. Les fichiers cryptés à l'aide de PGP offre une véritable inviolabilité. Le système de codage repose sur le modèle de la cryptographie à clé publique. PGP génère une paire de clés, la clé publique distribuée au plus grand nombre qui sert à chiffrer, la clé secrète qui reste sur l'ordinateur de son propriétaire, sans laquelle il est impossible de déchiffrer un message envoyé au moyen de la clé publique allant de paire.

70 2 Installation et configuration 2.1 1ère partie : installation du logiciel En premier lieu, il faut se procurer le logiciel qui est en libre téléchargement sur internet. Lancez ensuite le SETUP.EXE et suivez les instructions afin d installer le programme dans le répertoire souhaité. Vous arriverez à la fenêtre de dialogue ci-dessous : Si vous n avez pas de clé déjà définie, cliquez sur Non, autrement choisissez Oui. Dans notre cas, considérons qu aucune clé n est définie, nous cliquons donc sur Non. L installation du logiciel est maintenant terminée, reste à définir les paires de clés. En effet, lors de la seconde étape de l installation, un trousseau de clés devra être créé. C est ce jeu de clé qui sera utilisé pour le cryptage et le décryptage des informations à protéger. Ce trousseau se compose d une clé publique destinée à être distribuée à tous vos correspondants potentiels et d une clé secrète qui doit rester confidentielle ème partie : Création des paires de clés Une fois l installation terminée, l assistant de création de clé se lance. C est cet assistant qui nous permettra de créer notre clé publique ainsi que notre clé privée.

71 Il faut d abord entrer les informations vous concernant. Le nom complet est demandé ainsi que l adresse , ces variables seront utilisées pour générer la clé publique. Le type de clé à choisir est généralement Diffie-Hellman/DSS ; le type RSA correspondant à l ancien standard en matière de sécurité (RSA est utilisé surtout pour les versions de PGP antérieurs à 5.0).

72 Il faut ensuite choisir la longueur de la clé. Les décrets du 17 Mars 1999 autorisent l utilisation des logiciels de cryptographie possédant une longueur de clé inférieure ou égale à 128 bytes (1024 bits).

73 Il est possible d indiquer une date d expiration des clés. A compter de cette date les clés créées par l utilisateur ne seront plus utilisable pour le cryptage ou même la signature d un quelconque document. Elles resteront tout de même valides pour le décryptage des documents ou encore la vérification des signatures. Il est conseillé de conserver ces clés et donc de ne pas prendre en compte la proposition d expiration. Le système est déjà sécurisé, il n est pas obligatoire de rajouter une date d expiration. Voici la partie secrète de l installation, c est ici que nous devons indiquer votre phrase secrète (passphrase) qui sera assimilée à notre clé privée, elle doit être strictement confidentielle car c est elle qui permettra de décrypter ou bien de signer un document et donc de garantir son intégrité. Mémorisez votre phrase secrète car elle pourra vous être redemandée plus tard. En cas d oubli, elle ne pourra pas être récupérée.

74 PGP génère ensuite de manière aléatoire un trousseau de clés selon les critères de taille et de type indiqué. La clé est générée automatiquement Laissez la case: «Send my key to the root server now» décochée. Cette fonction n est pas indispensable et l envoi vers l extérieur n est pas possible.

75 L installation et la configuration du logiciel sont maintenant terminées. PGP vous permet de sauvegarder les clefs créées sous 2 fichiers, secring.skr (clef privée) et pubring.pkr (clef publique). Enregistrez vos clés sur un support de type disquette afin de pouvoir les récupérer en cas de panne système ou formatage. Vos clés ont été crées et elles vous sont propres. Il ne faut communiquer à personne votre clé privée. Elle vous servira à décrypter les informations cryptées avec votre clé publique.

76 Maintenant l'installation et les clés finalisées, nous nous attarderons à l'utilisation des multiples fonctionnalités du logiciel. 3 Utilisation de PGP Une fois le jeu de clés créé, il vous sera possible de crypter et décrypter des données. Pour ce faire PGP se compose de deux composants : PGPkeys et PGPtools. 3.1 Présentation du logiciel PGP crée des plug-ins qui permettent de crypter et décrypter directement les messages réalisés avec Eudora, Microsoft Exchange, Outlook, Outlook Express (pour la version 6). Vous pouvez également crypter tout message ou fichier et le transmettre de façon sécurisée en utilisant soit l'explorateur de Windows, soit PGPtools. PGP génère deux clés, l'une publique, l'autre secrète. Ces clefs de chiffrement et de déchiffrement sont distinctes et ne peuvent se déduire l'une de l'autre. La clé secrète, générée par le logiciel crypte les données, cette clé secrète est ensuite cryptée par une clé publique. Ce couple de clés est appelé bi-clé. La clé publique est utilisée pour vérifier une signature. Elle est distribuée à tous vos correspondants potentiels, soit par un fichier joint (un texte incompréhensible qui fait office de clé), soit dans un Mail, soit via un serveur de clés publiques. La clé publique chiffre et est distribuée, la clé privée déchiffre et reste sur le PC. Autrement dit, pour correspondre avec d autres utilisateurs de PGP, vous aurez besoin d une copie de leur clé publique et ils auront besoin d une copie de la vôtre. Vous allez ainsi utiliser leur clé publique et votre clé privée pour crypter les messages et eux utiliseront leur clé privée et votre clé publique pour le décrypter. Toutes ces clés sont gérées (importation, exportation, création...) avec un trousseau, le logiciel PGPkeys.

77 Le propriétaire d'un bi-clé (un couple composé d'une clé publique et d'une clé privée) est le seul à pouvoir mettre en œuvre la clé privée et exécuter l'opération de génération de signature numérique, alors que plusieurs destinataires sont à même d'utiliser la clé publique et ainsi de vérifier la signature. Les deux clés sont accessibles et visibles dans la fenêtre de PGPkeys. C est depuis cette fenêtre que vous effectuez toutes vos opérations de gestion des clés. 3.2 Importer et distribuer une clé publique Importer une clé publique L utilisation d une clé publique est nécessaire au cryptage des informations. Il est possible d importer des clés publiques de correspondant dans la mesure où celui-ci l a créé. Pour importer la clé publique que l on vous a envoyée, dans un premier temps ouvrez PGPkeys puis dirigez vous dans le menu Keys et choisissez Import (ou faites CTRL+M).

78 Une fenêtre de recherche s ouvrira, sélectionnez alors la clé publique de votre correspondant. Celle-ci est sera ajoutée et visible dans la liste des clés. Si la clé est envoyée sous forme d un texte, copiez-le et collez-le dans PGP. 3.3 Distribuer une clé publique Votre clé publique est créée et vous désirez maintenant échanger des informations cryptées avec vos correspondants, pour ce faire il vous faudra leur transmettre votre clé publique. La distribution d une clé publique peut se faire de deux manières différentes: soit en l envoyant à un serveur de clés soit en la transmettant directement à votre correspondant Première méthode Pour envoyer votre clé à un serveur, ouvrez PGPkeys et sélectionnez votre clé puis cliquez sur le menu "Server" et sélectionnez le serveur sur lequel vous souhaiter envoyer votre clé. Afin d effectuer cette opération, il vous faudra être connecté à Internet.

79 Seconde méthode Cette méthode de distribution permet d envoyer votre clé sous la forme d un fichier texte ou de l inclure dans un mail. Ouvrez PGPkeys, sélectionnez votre clé et cliquez sur Copy dans le menu Edit ou faites (CTRL+C). Vous pouvez maintenant coller la clé dans un fichier texte ou directement dans un mail.

80 La clé se présente sous cette forme : Nous venons de voir comment utiliser les différents outils du logiciel PGP, d'autre part celuici s'intègre facilement à Windows et certains outils de messagerie. Il serait alors intéressant et utile de connaître cette tout autre facette de l'utilisation de PGP. 4 Intégration dans Windows et les outils de messagerie Après l installation de PGP une icône représentée par un cadenas s installe au niveau de la barre des taches : PGPTray PGPTray vous permettra d encrypter, signer, décrypter, vérifier mais aussi de configurer les options du logiciel. Le cadenas présent dans la barre des taches est un raccourci vers PGP. 4.1 Crypter un mail PGP s intègre parfaitement à la plupart de logiciels de messagerie (sauf Netscape malheureusement). Une nouvelle icône PGP permet d accéder rapidement aux fonctionnalités de PGP.

81 Après avoir ouvert votre mail il suffit de faire un clic droit sur PGPTray puis dans «Current Window» de sélectionner l action à appliquer sur le mail ; Vous avez le choix entre : Encrypter, signer ou encrypter et signer.

82 4.2 Crypter un fichier de son disque dur Il est possible d'utiliser PGP pour crypter et signer les fichiers joints dans les courriers électroniques mais aussi pour crypter et signer des fichiers stockés sur votre ordinateur. Nous allons donc voir comment crypter un fichier texte à l aide de PGP. Avec l'explorateur de Windows, sélectionnez le (s) fichier (s) ou le dossier à crypter, appuyez sur le bouton droit de votre souris sélectionnez PGP puis cliquez sur "Encrypt". Une fenêtre de sélection de clé s affiche «PGPshell Key Selection Dialog», sélectionnez votre clé, double-cliquez dessus pour la déplacer vers la fenêtre des destinataires puis cliquez sur le bouton "Ok". Un fichier avec l'extension PGP est créé. Pour l'ouvrir il suffit de double cliquer dessus puis de saisir la phrase mot de passe. Vous pouvez également configurer différentes options comme la sortie sous forme de fichier texte ou l effacement du fichier texte original. Enregistrez alors le fichier crypté (désormais illisible) dans un répertoire. Seul le possesseur de la clé privée complémentaire à celle que vous avez utilisée pourra décrypter le fichier.

83 Le même procédé est possible en passant par l intermédiaire de PGPtools avec son outil "Encrypt Sign" : En cliquant sur celui-ci vous devrez sélectionnez le fichier à crypter. Puis, vous accéderez à la fenêtre de sélection de clés où vous choisirez la clé à utiliser pour le codage du fichier. Nous venons de voir l'utilité et la simplicité de PGP au sein de Windows et les outils de messagerie. Conclusion PGP est très puissant, gratuit et très simple d'utilisation. Il permet très facilement de crypter des fichiers et des s assurant ainsi une complète confidentialité. Il s'intègre très bien à Windows et aux outils de messagerie ce qui facilite d'autant plus son utilisation. C'est l'outil indispensable dans la quête d'intimité sur Internet et chez soi. L'entretien préventif et le nettoyage informatique Le matériel informatique (ordinateurs, imprimantes...) est soumis à de multiples agressions, quel que soit le lieu d'utilisation. Ainsi, des poussières, parfois chargées d'électricité statique, comme celles provenant de certaines moquettes, pénètrent à l'intérieur de l'appareil, s'y accumulent et finissent par provoquer des pannes. Les objectifs de l'entretien préventif : diminuer le nombre de pannes, réduire les coûts de maintenance, augmenter la pérennité du matériel, accroître le confort des utilisateurs en conservant les postes de travail propres, et par là-même accroître l'image de marque de l'entreprise.

84 L'entretien préventif d'un appareil est constitué de plusieurs opérations : arrêt de la machine, déconnexion des alimentations et du câblage, démontage et nettoyage des carters, dépoussiérage des grilles d'aération, nettoyage des parties internes (facultatif), nettoyage de la connectique, remontage des carters, traitement antistatique (antipoussière), reconnexion des câbles, remise en marche de l'appareil, test de bon fonctionnement

85 Mise en œuvre de la protection contre les intrusions réseau Qu'est-ce que la sécurité d'un réseau? Antivirus Mise en place d un antivirus (avast) Mise en place des antivirus dans un environnement client serveur Les ports à ouvrir en TCP et en UDP, les plages d'adresses Virtual Private Networks (VPN) Création d un serveur VPN sous Windows 2000 PRO / XP PRO Utilisation du moniteur IPSec sous Windows Server Pare-feu (FireWall) Mise en place du firewall de windows xp SP Mise en place du firewall ZoneAlarm Sécuriser un réseau Wi-Fi Lutte contre le pollupostage Utilisation de Ad-aware Mise en place d un serveur proxy dans un établissement Installation/ configuration de Wingate Partager une connection Internet avec WinRoute Sécurité réseau sous Unix Configurer Squid comme serveur proxy sous Linux SSL Mise en place du SSL avec IIS 5.0 dans un domaine Windows Sécurisation d'un serveur Apache Qu'est-ce que la sécurité d'un réseau? La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs desdites machines possèdent uniquement les droits qui leur ont été octroyés. Il peut s'agir : d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système de sécuriser les données en prévoyant les pannes de garantir la non-interruption d'un service Les causes de l'insécurité On distingue généralement deux types d'insécurité : l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (par exemple la non-désactivation de services réseaux non nécessaires à l'utilisateur) l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose

86 Le but des agresseurs Les motivations des agresseurs que l'on appelle communément "pirates" peuvent être multiples : l'attirance de l'interdit le désir d'argent (violer un système bancaire par exemple) le besoin de renommée (impressionner des amis) l'envie de nuire (détruire des données, empêcher un système de fonctionner) Procédé des agresseurs Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens : l'obtention d'informations utiles pour effectuer des attaques utiliser les failles d'un système l'utilisation de la force pour casser un système Comment se protéger? se tenir au courant connaître le système d'exploitation réduire l'accès au réseau (firewall) réduire le nombre de points d'entrée (ports) définir une politique de sécurité interne (mots de passe, lancement d'exécutables) déployer des utilitaires de sécurité (journalisation) Antivirus Un antivirus est un logiciel censé protéger un micro-ordinateur contre les programmes néfastes appelés virus, vers, macrovirus, etc. Les principaux antivirus du marché se fondent sur des fichiers de signatures et comparent alors la signature génétique du virus aux codes à vérifier. Certains programmes appliquent également la méthode dite heuristique tendant à découvrir un code malveillant par son comportement. Autre méthode, l'analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de courriels supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de signatures. Les antivirus peuvent scanner le contenu d'un disque dur, mais également la mémoire de l'ordinateur. Pour les plus modernes, ils agissent en amont de la machine en scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux montant que descendant. Ainsi, les courriels sont examinés, mais aussi les fichiers copiés sur ou à partir de supports amovibles tels que cédéroms, disquettes, connexions réseau... Les scans en ligne Note: ces antivirus nécessitent en général le chargement de programmes ActiveX, et ne fonctionnent donc qu'avec Internet Explorer. Seul Trend Micro HouseCall n'a besoin ni d'activex ni d'internet Explorer. Trend Micro HouseCall (tout browser et système supportant Java) 14 antivirus à l essai :

87 Ces résultats sont des indicateurs de rapidité mais pas d efficacité. Les mesures effectuées le furent sur un disque n hébergeant que 8.5 Go de données, les temps imposés par des supports plus vastes doivent être envisagés en conséquence. En dessous de dix minutes - soit 600 secondes -, on peut considérer que le logiciel mène à bien sa mission sans trop pénaliser l'utilisateur pressé. Au-delà de 20 minutes, la durée agace! Occupation mémoire (en Mo) Test pour votre antivirus : source : pc magazine déc 2005 Afin de tester votre antivirus, il existe un fichier test à télécharger dénommé «Anti-Virus test file». Créez un fichier texte de 68 octets contenant ces caractères : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Que vous sauvegardez. EICAR est un code répondant au niveau signature comme un virus afin de tester les antivirus. Il permet de tester l' efficacité d' une protection virale Ce fichier ne contient pas de virus mais une signature qui doit être détectée par votre logiciel antivirus si celui-ce est basé sur une méthode de recherche par signature. EICAR est édité par un organisme indépendant et reconnu par la majorité des éditeurs d'antivirus (tant commerciaux que libres). Il peut être renommé en fichier.com, c'est un fichier exécutable MS-DOS valide inoffensif affichant "EICAR-STANDARD-ANTIVIRUS-TEST-FILE". Mise en place d un antivirus (avast) Il existe des moyens de se protéger gratuitement. Offrant généralement moins de fonctionnalités de leurs homologues du commerce et un peu plus lent, ces logiciels restent tout de même une alternative honorable pour vous protéger efficacement contre les virus.

88 Ainsi, avast! est un antivirus gratuit pour un usage personnel qui, à défaut d un Kaspersky Anti-Virus Personal ou d un Norton Antirivus, vous protégera contre les virus. Légèrement plus rapide que ses concurrents gratuits AntiVir ou AVG, Avast fait très bien son travail Introduction Installer avast! Enregistrer avast! Mettre à jour avast! Améliorer la protection en temps réel Effectuer une analyse complète Supprimer un virus Fiche pratique : Planifier une analyse antivirus Installer avast! Téléchargez tout d'abord avast!. Double cliquez ensuite sur le fichier setupfre.exe téléchargé pour exécuter le programme d installation d avast! Cliquez ensuite deux fois sur le bouton Suivant, sélectionnez l option J accepte du contrat de licence puis cliquez une nouvelle fois sur Suivant. Le dossier d installation par défaut du programme est proposé. Si vous souhaitez le modifier, cliquez sur le bouton. Cliquez ensuite sur le bouton Suivant. Sélectionnez la configuration Typique puis cliquez deux fois sur Suivant pour débuter l installation. Après quelques minutes, le programme vous propose d analyser vos disques durs au démarrage suivant de votre ordinateur. Confirmez l opération en cliquant sur le bouton Oui. Redémarrez alors votre ordinateur pour terminer l'installation du programme. Enregistrer avast! Au démarrage suivant, le programme vous indique qu il est nécessaire de vous enregistrer afin de pouvoir l utiliser gratuitement. Cliquez sur le lien Page d enregistrement d avast! Edition

89 Familiale. Remplissez alors le formulaire en spécifiant une adresse valide afin de recevoir une clé d activation. Cliquez ensuite sur le bouton Suivant. Cliquez ensuite sur Suivant puis sur le bouton Enregistrer. Double cliquez ensuite sur l icône avast! Antivirus qui se trouve sur le Bureau. Dans la boite de dialogue Enregistrer, saisissez la clé que vous avez reçue par mail puis cliquez sur le bouton OK. Mettre à jour avast! Pour être protégé contre les virus qui apparaissent quotidiennement, votre antivirus doit être à jour. Vous pouvez configurer avast! pour que cette mise à jour soit automatique. Dans avast!, cliquez sur le lien Base de données à côté de Mises à jour automatiques. Dans la fenêtre de réglages qui s ouvre, vérifiez que l'option Automatique de la rubrique Base de données virale est bien sélectionnée puis cliquez sur le lien Mettre à jour maintenant. Les bases de l antivirus sont alors mises à jour.

90 Sélectionnez ensuite l option Automatique de la même rubrique pour mettre à jour automatiquement les bases. Faites de même pour la rubrique Programme. Validez ensuite par OK. Améliorer la protection en temps réel Grâce à la protection en temps réel, avast! vous protège constamment contre les virus en analysant les fichiers que vous utilisez, les sites que vous visitez et les mails que vous recevez. Dans l interface principale du programme, cliquez sur le lien Standard à côté de Protection résidente. Déplacez alors le curseur vers Elevée. Tous les fichiers sans exceptions pourront ainsi être examinés en temps réel.

91 Protection élevée et performances Si vous constatez une baisse importante de performances suite à l activation de la protection résidente élevée, repassez-là en standard qui effectue une analyse un peu moins fine, mais toute aussi efficace. Effectuer une analyse complète Une fois par semaine, il est conseillé d'analyser complètement vos disques durs à la recherche d'éventuels virus. Pour cela, cliquez sur l icône Disques Locaux. Dans la boite de dialogue qui apparaît, déplacez le curseur vers la droite afin de sélectionner l option Scan minutieux. Cochez ensuite la case Scan des archives afin de vérifier les fichiers contenus dans les archives compressées, comme les fichiers zip. Cliquez enfin sur le bouton Démarrer pour débuter l analyse. Supprimer un virus Lorsqu un virus est détecté, que cela soit par une analyse complète ou par l'analyse en temps réel, une boite de dialogue d avertissement s ouvre pour vous en informer et vous demander l action à effectuer.

92 Cliquez sur le bouton Réparer pour tenter de désinfecter le fichier contaminé. Si la réparation est impossible, pour pouvez alors supprimer le fichier infecté ou bien le mettre en quarantaine pour tenter de le désinfecter ultérieurement. Cliquez pour cela sur les boutons adéquats. Accéder aux fichiers mis en quarantaine Une fois mis en quarantaine, un fichier infecté ne peut plus contaminer d autres fichiers et exécuter le virus. Pour voir les fichiers mis en quarantaine, cliquez sur le bouton Zone de quarantaine symbolisée par une boite à outils. Pour envoyer le fichier au laboratoire de l éditeur d avast! pour un examen approfondi, cliquez dessus avec le bouton droit de la souris puis choisissez la commande à ALWIL Software. Donnez quelques informations supplémentaires sur les circonstances de la contamination puis cliquez sur le bouton Envoyer un mail. Planifier une analyse antivirus avec Avast! Contrairement à la version professionnelle, la version familiale de l'antivirus Avast!, qui est gratuite, ne propose pas de fonctionnalité de planification pour vos analyses antivirus. Il est uniquement possible de programmer une analyse pour le démarrage suivant. Toutefois, en utilisant le planificateur de tâches de Windows, vous pouvez tout à fait planifier vos analyses antivirus, quand bon vous semble, une fois par semaine par exemple et ce, grâce à l'outil d'analyse des fichiers d'avast! accessible via l'explorateur. 1. Cliquez sur le bouton Démarrer, sur Programmes, Accessoires, Outils système puis sur Tâches planifiées. 2. Dans la fenêtre Tâches planifiées qui s'ouvre, double cliquez sur l'icône Création d'une tâche planifiée.

93 3. L'assistant Tâche planifiée s'ouvre alors. Cliquez sur le bouton Suivant. 4. Cliquez ensuite sur le bouton Parcourir puis, à l'aide de la fenêtre d'explorateur, ouvrez le dossier d'installation d'avast!, c'est-à-dire C:\Program Files\Alwil Software\Avast4 par défaut. Cliquez ensuite sur le fichier ashquick.exe puis cliquez sur le bouton Ouvrir. 5. Donnez ensuite un nom à votre tâche, Analyse antivirus Avast! par exemple. Choisissez ensuite la fréquence d'exécution de cette tâche, Toutes les semaines par exemple puis cliquez sur le bouton Suivant. 6. Choisissez alors le jour et l'heure auxquels vous souhaitez réaliser une analyse antivirus, le Dimanche soir à 22 heures par exemple. Cliquez ensuite sur le bouton Suivant.