Formation sécurité Module 2 : les outils de sécurité

Transcription

1 Formation sécurité Module 2 : les outils de sécurité 24 mai 2006 Gérard Péliks EADS Secure Networks 24 mai 06 1/13

2 24 mai 06 2/13

3 FORMATION SECURITE...1 MODULE 2 : LES OUTILS DE SECURITE LES OUTILS DE SECURITE LES ELEMENTS DE LA CHAINE L AUTHENTIFICATION FORTE LES FIREWALLS Les paramètres pour filtrer les données Le masquage des adresses IP du réseau interne Les zones démilitarisées LE CHIFFREMENT Les principes du chiffrement Chiffrement symétrique et asymétrique LES RESEAUX PRIVES VIRTUELS L IPSec Le SSL Le MPLS LES OUTILS DE PREVENTION D INTRUSION LES OUTILS DE SURVEILLANCE LE PC NOMADE SECURISE AVEC OU SANS FIL Le VPN client Le firewall personnel Le chiffrement d un disque dur et autres médias ANNEXES ACRONYMES DÉFINITIONS BIBLIOGRAPHIE WEBOGRAPHIE ORGANISMES ET ASSOCIATIONS mai 06 3/13

4 1 LES OUTILS DE SECURITE Un anti-virus n est pas le seul outil nécessaire pour sécuriser un réseau. En fait toute une panoplie de solutions doit être envisagée pour offrir un niveau acceptable de sécurité. L idéal est de posséder une interface commune de gestion de ces outils et d offrir à l utilisateur une totale transparence et un moyen unique de s authentifier qui sera cascadé entre tous les outils quand nécessaire. 1.1 LES ELEMENTS DE LA CHAINE Les attaques menacent l intégrité, la confidentialité, l authenticité et la disponibilité des informations. Il convient de protéger ces informations par des outils appropriés. Pour imager ces outils, faisons une analogie entre quelques-uns uns de ceux qui protègent un système d information et les services équivalents qui protègent une banque. Un firewall peut être assimilé à un gardien posté au portail d entrée de la banque. Certains gardiens vous laissent entrer si vous portez une cravate et si votre portrait ne figure pas dans un trombinoscope de personnes indésirables. D autres vous demandent de vous authentifier et vous fouillent avant de vous laisser entrer parce que leur politique de sécurité est ainsi faite. Il en est de même pour les firewalls. Certains filtrent les trames IP au niveau du réseau et en fonction de l adresse de départ ou de destination, laissent passer ces trames ou les rejettent. D autres analysent finement le contenu de chaque paquet IP avant de l autoriser ou de le bloquer et de journaliser l attaque. Le VPN (ou RPV réseau privé virtuel) est analogue à un fourgon blindé qui transporte les fonds d une succursale de banque vers une autre succursale ou la recette d un commerçant vers sa banque. Bien sûr avec un matériel approprié on peut attaquer le fourgon et le fracturer pour s emparer de son contenu. La protection est dans l épaisseur du blindage. De même pour les VPN, la protection repose sur la longueur de la clé et la solidité des algorithmes de chiffrement. Les IDS ou IPS, intrusion détection systems ou intrusion prevention systems, agissent comme des caméras de surveillance. Certains observent et retransmettent ce qui se passe (IDS). D autres observent, retransmettent et peuvent réagir en cas de fonctionnement jugé anormal (IPS). Le scanner de vulnérabilités est comme un audit de sécurité. Il évalue les faiblesses et les dangers qui pèsent sur un système d information ou sur un réseau et dresse un journal de ce qu il trouve. Le chiffrement est comme une clé de sûreté, il y en a de plus ou moins performantes. La clé de sûreté sert à ouvrir une porte, la clé de chiffrement sert à ouvrir, en clair, un fichier chiffré. Elle sert aussi à fermer un fichier en le chiffrant comme on ferme une porte à clé. Dans le cas d un VPN, une clé chiffre à l entrée du tunnel, une clé déchiffre à la sortie. L authentification forte peut être comparée à un badge, avec la photo et la signature du porteur. 1.2 L AUTHENTIFICATION FORTE Avant d offrir ou de refuser à un utilisateur l accès au réseau, il convient de s assurer que cet utilisateur est bien celui qu il prétend être (authentification) avant de contrôler que la politique de sécurité de l entreprise accorde à cet utilisateur le droit d accéder au réseau (autorisation). La solidité d un système de protection est toujours celle de son maillon le plus faible, et souvent ce maillon est précisément l authentification. Il faut savoir que l authentification d un individu par son mot de passe seul n offre aucune garantie réelle de sécurité, surtout si ce mot de passe est rejouable, encore plus s il n expire pas dans le temps, et davantage encore si le mot de passe est laissé au libre choix de l utilisateur. De toute manière les mots de passe transitent en clair sur le réseau où ils peuvent être facilement lus. Il existe aussi des utilitaires qui récupèrent les mots de passe sur les disques pour les déchiffrer et ce n est alors qu une question de temps pour parvenir à obtenir ces mots de passe en clair, quand ils ne sont pas déjà stockés en clair sur le disque. Sans authentification, comment s assurer que le bénéficiaire d un droit d accès est bien celui qu il prétend être, pour empêcher qu il accède aux informations d une autre personne, car alors le vol de 24 mai 06 4/13

5 données potentiel sera difficilement identifiable puisque c est la personne autorisée qui semblera les avoir prises. On peut prouver qu on est celui qu on prétend être par trois moyens. Par ce qu on a, par exemple une carte, un token USB ou une calculette. Par ce qu on sait, par exemple un mot de passe Par ce qu on est et ici intervient la biométrie, par exemple les empreintes digitales, l iris de l œil, la morphologie de la main ou du visage. C est en combinant au moins deux de ces trois moyens qu on obtient une authentification forte, comme par exemple une clé USB (ce qu on a) avec un code PIN (ce qu on sait). Comme une souris (ce qu on a) avec prise d empreintes digitales (ce qu on est). L authentification est considérée comme forte parce qu on perd rarement les deux moyens à la fois. 1.3 LES FIREWALLS Le firewall, appelé aussi pare-feu ou garde-barrière, est l élément nécessaire, mais pas suffisant, pour commencer à implémenter une politique de sécurité périmétrique autour de son Intranet. La première caractéristique d un Intranet est d être un réseau privé. Mais si ce réseau privé présente des connexions vers l Internet ou vers tout autre réseau public, pourquoi doit-il être considéré comme un réseau privé plutôt que comme une extension de l Internet ou du réseau public? avec tous les risques que cela entraîne. Un firewall est un dispositif logiciel ou matériel (les appliances) qui filtre tous les échanges qui passent par lui pour leur appliquer la politique de sécurité de l entreprise. Cette politique, au niveau du firewall consiste à laisser passer tout ou partie de ces échanges s ils sont autorisés, et à bloquer et journaliser les échanges qui sont interdits. Bien entendu, la finesse et la granularité des éléments entrant en jeux dans le filtrage des échanges, et la hauteur de vue du firewall pour traiter ce qu il convient de laisser passer ou de bloquer, mesurent la capacité d un firewall à prendre en compte des politiques de sécurité qui peuvent être très complexes Les paramètres pour filtrer les données L idéal est de pouvoir filtrer les données suivant le plus de critères possibles, en fonction de ce qu on trouve en contrôlant le contenu des paquets IP. Pour filtrer finement la messagerie ou les accès Web, il faut attribuer des permissions ou des interdictions, en se basant sur le protocole applicatif utilisé au-dessus du protocole IP (SMTP pour la messagerie, HTTP pour le Web). Il est ainsi possible de permettre à un utilisateur nomade, l accès, de l extérieur de l entreprise, à son serveur de messagerie et de lui refuser l accès au Web situé sur l Intranet. Il existe des firewalls qui ne filtrent qu au niveau élémentaire du paquet IP et d autres, plus évolués qui montent jusqu au niveau applicatif pour appliquer une politique de sécurité centrée sur l utilisateur et l utilisation qu il fait des applications que le firewall protège. Le paquet IP se compose de deux éléments : son en-tête et la donnée utile qu il transporte. Dans l en-tête on trouve l adresse IP, le nom de l hôte origine et de l hôte de destination, les numéros de port entrant et sortant et le protocole utilisé. Les firewalls qui se contentent de filtrer à ce niveau offrent peu de souplesse pour implémenter une politique de sécurité, par contre offrent de très bonnes performances réseaux puisqu ils n analysent pas le contenu des paquets. Certains firewalls analysent le contenu des paquets et fonctionnent à base de relais (les proxies). Un proxy est une application située sur le firewall, qui permet à celui-ci de se faire passer, vis à vis de l utilisateur, pour le serveur de l application à laquelle il veut accéder. Avec ce mécanisme, un firewall est capable de fonctionner comme un sas qui demande à l utilisateur de s authentifier, prend en compte sa demande, la transmet au serveur si la politique de sécurité l autorise. Au retour, il analyse la réponse du serveur jusqu au niveau applicatif et si elle est conforme à la politique de sécurité de l entreprise, il la transmet à l utilisateur. 24 mai 06 5/13

6 Par exemple dans un flux web, le proxy HTTP est capable de supprimer du contenu des pages web, les ActiveX, les applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de limiter la taille des fichiers attachés aux s, de refuser les attachements de fichiers exécutables et de bloquer les messages qui, dans leur champ sujet, contiennent certains mots qui peuvent laisser supposer qu il s agit d un SPAM ou d un virus. Plus un firewall dispose d un nombre important de proxies, plus souple et plus complète peut être la politique de sécurité qu il implémente. Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on trouve un niveau intermédiaire connu sous le nom de «statefull Inspection» où l état d un paquet IP entrant dans le firewall est mémorisé pour pouvoir traiter ce qu il convient de faire avec le paquet réponse qui revient par le firewall Le masquage des adresses IP du réseau interne La première information que le hacker désire connaître est l architecture réseau de l Intranet qu il cherche à attaquer. Cela ne lui suffit pas pour réussir son attaque mais cela lui fait gagner du temps. Alors, pour ne pas faciliter ses coupables desseins, et pour lui mettre des entraves autant commencer par cacher l architecture du réseau privé et en particulier les adresses IP qui peuvent lui permettre de le reconstituer. Les firewalls offrent cette possibilité en substituant aux adresses IP de l Intranet, l adresse du contrôleur réseau qui permet au firewall de communiquer avec l extérieur. C est ce qu on appelle en jargon de sécurité la NAT translation des adresses du réseau. Le monde extérieur ne verra le réseau Intranet que comme une adresse IP unique, celle du contrôleur réseau externe du firewall, même si l Intranet possède plusieurs milliers d adresses IP Les zones démilitarisées Un firewall doit être placé en coupure entre un réseau non protégé (par exemple l Internet) et le réseau qu il protège. Il contrôle les informations qui passent entre les deux réseaux. Plus de deux interfaces réseaux peuvent sortir d un firewall. Celui-ci contrôle alors les transferts entre chacune de ses interfaces réseau et applique une politique de sécurité qui peut être particulière pour les paquets IP qui transitent de telle à telle interface. Supposons un firewall avec trois interfaces réseaux, donc duquel partent trois réseaux. La première interface est tournée vers l extérieur, vers le réseau non protégé, comme l Internet, via un routeur. La deuxième est tournée vers le réseau interne à protéger. La troisième interface est tournée vers un réseau qui n est ni tout à fait le réseau interne à protéger, ni le réseau public. C est un réseau sur lequel on peut appliquer une politique de sécurité particulière, moins stricte que celle du réseau interne. Il s agit là d une DMZ, zone démilitarisée, sur laquelle on place en général le serveur Web de l entreprise et parfois le serveur anti-virus et le serveur de messagerie. 1.4 LE CHIFFREMENT Les principes du chiffrement Art de dissimuler l information à qui n est pas habilité à en prendre connaissance, le chiffrement a été utilisé dès l aube de l humanité. La Rome antique nous a fait connaître le rouleau de parchemin enroulé autour d un bâton, le scytale. Le texte était écrit dans le sens de la longueur du bâton sur le parchemin enroulé. Le parchemin déroulé, son texte n avait aucun sens. Le parchemin enroulé sur un autre scytale de même diamètre, son texte apparaissait en clair. Le diamètre du scytale était le secret à conserver. La période de la Renaissance française, riche en coup d états et autres coups tordus, a vu proliférer l utilisation du carré de Vigénère, tableau qui contenait les méthodes de substitution de chaque lettre d un message pour permettre de le coder et de le décoder. Durant la deuxième guerre mondiale, les sous-marins allemands correspondaient entre eux et avec leur base par messages codés par un dispositif électromécanique, la machine Enigma. Grâce à une série de rouleaux permettant des connexions et un réseau de circuits électriques, les messages étaient codés puis décodés par qui possédait une autre machine Enigma avec les mêmes rouleaux placés aux mêmes endroits avec les même circuits électriques. Pour la petite histoire, tous les 24 mai 06 6/13

7 moyens de chiffrements employés jusque là ont été cassés. La machine Enigma, par exemple l a été par le mathématicien anglais Alan Turing. Et vint l ère du numérique. Un des moyens de dissimuler l information à ceux qui ne sont pas habilités à en prendre connaissance est de la chiffrer. Il n est d ailleurs pas obligatoire d utiliser le chiffrement pour dissimuler une information, car insérer une information en clair là où elle n est pas censée se trouver est un moyen encore plus subtil de la dissimuler. Si l information n est pas chiffrée, elle ne semblera pas présenter une valeur telle qu un individu non autorisé à la lire ou à la modifier, soit tenté d en prendre connaissance, c est l art de la stéganographie. Pour chiffrer ou déchiffrer un message, le chiffrement d une information met en jeu deux éléments, l algorithme et la clé. L algorithme de chiffrement consiste en une série de traitements mathématiques qui transforment l information en clair en information inintelligible. Une autre série de traitements va, à partir de l information chiffrée, restituer l information en clair. La clé de chiffrement est une information qui va permettre à l algorithme de chiffrement de chiffrer le message d une manière telle que seul le détenteur de la clé de déchiffrement correspondante va pouvoir à partir du message chiffré, obtenir le message en clair. L algorithme n est pas un secret, sauf si bien sûr c est un algorithme propriétaire. La plupart des algorithmes utilisés dans le civil sont des standards publiés tels que le DES, 3DES, AES, RSA. L élément secret est la clé. Ainsi, pour un algorithme connu, essayer toutes les clés possibles pour déchiffrer un message, attaque dite par force brute, conduit inévitablement au résultat, le message déchiffré. Obtenir le résultat en clair est juste une question de puissance de calcul et de temps de traitement. C est pourquoi, pour que le chiffrement soit sûr, la clé doit être un nombre suffisamment grand qui réclame pour déchiffrer une information chiffrée, sans connaître la clé de déchiffrement, une puissance de calcul combinée à un temps de traitement hors de rapport avec l intérêt de déchiffrer cette information. Si vous deviez utiliser un millier de PC qui partagent leur puissance, durant une centaine d années, pour déchiffrer le code d une carte bleue, le feriez-vous? Connaissant la clé pour déchiffrer, bien entendu le déchiffrement est quasi immédiat. On peut craindre également des attaques au niveau des algorithmes. Certains sont plus «durs» que d autres et certains comportent des vulnérabilités connues. Il convient, indépendamment de la longueur de la clé, de bien choisir son algorithme de chiffrement en fonction du niveau de confidentialité de l information que l on veut obtenir Chiffrement symétrique et asymétrique Il existe deux familles d algorithmes de chiffrement, les algorithmes symétriques (comme le DES, le 3DES et l AES) et les algorithmes asymétriques (le plus utilisé aujourd hui étant le RSA). Dans un algorithme symétrique, lorsqu on chiffre avec une clé, on déchiffre avec la même clé. On parle alors de clé secrète. Le problème est que si le message chiffré est envoyé par le réseau dans un autre lieu pour être déchiffré, comment s assurer que de chaque côté, on possède la même clé secrète? Il y a bien sûr la possibilité d installer manuellement la clé secrète aux deux extrémités du tunnel qu on veut créer car il n est pas prudent de transmettre la clé secrète par le même réseau que le message chiffré. Ceci peut être mis en œuvre lorsque le nombre d extrémités des réseaux est très limité, chaque extrémité doit posséder l ensemble des clés secrètes des autres extrémités avec lesquelles l extrémité peut être amenée à chiffrer/déchiffrer des informations. Mais si le nombre d extrémités est important, cette méthode devient vite irréalisable. Ceci d autant plus qu il est prudent de changer les clés secrètes après un certain temps d utilisation. Ce problème a conduit à la conception d algorithmes asymétriques. Il existe alors deux clés. Quand on chiffre avec une clé, on ne peut déchiffrer qu avec l autre clé. On parle alors d une bi-clé : la clé privée et la clé publique correspondante. La clé privée, comme son nom l indique, est un secret. La clé publique correspondante, au contraire, peut être largement distribuée à tous ceux qui en ont besoin et n est pas du tout secrète. A partir de la clé privée, il est très facile de retrouver la clé 24 mai 06 7/13

8 publique correspondante. A partir d une clé publique, il est quasiment impossible de retrouver la clé privée à laquelle elle correspond. Pour faire (trop) simple, disons qu à partir de deux nombres premiers très grands, il est très facile de connaître leur produit, mais à partir de leur produit, il est beaucoup plus difficile de retrouver les deux nombres premiers qui le composent. Ceci est une simplification extrême, la réalité est beaucoup plus complexe. Avec l algorithme RSA, par exemple, la clé privée est une fonction des deux nombres premiers et la clé publique est fonction de leur produit. Donc supposons que je possède une bi-clé pour mettre en œuvre le chiffrement asymétrique. Je conserve soigneusement, à l abri des regards ma clé privée, si possible sur une carte à puce ou un token USB plutôt que sur mon disque dur. Je distribue à tous mes correspondants, par le réseau, la clé publique correspondante qui n est pas un secret, ou je leur dit où la récupérer, par exemple dans un annuaire de clés publiques. Si je chiffre avec ma clé privée, que seul je possède, vous pourrez déchiffrer avec ma clé publique correspondante. Vous êtes sûr que le message a été chiffré par moi, qui seul possède la clé privée de chiffrement que je ne révèle à personne. Moi, je ne sais pas qui de vous a déchiffré mon message puisque tous ceux qui ont obtenu la clé publique correspondant à ma clé privée ont pu le faire. Supposons maintenant que l un de vous chiffre un message avec la clé publique qui correspond à ma clé privée. Nous sommes tous sûrs d une chose, je suis le seul à pouvoir déchiffrer ce message puisque je suis le seul à posséder la clé privée qui peut rétablir ce message en clair. Un message chiffré par une clé publique ne peut pas être déchiffré par cette même clé publique. Vous êtes sûr que seul moi, pourrai déchiffrer votre message mais moi je ne sais pas qui a chiffré le message puisque tous ceux qui possèdent la clé publique correspondant à ma clé privée ont pu le faire. En général, avec un algorithme asymétrique, le chiffrement se fait en utilisant une clé publique, il est donc déchiffré par celui qui détient la clé privée correspondante. L opération consistant à chiffrer avec une clé privée est utilisée en général pour la signature électronique de ce message. Le principe de l algorithme asymétrique pose un problème de base. Comment être sûr qu une clé publique reçue par le réseau correspond bien à une certaine clé privée? L acceptation d un algorithme asymétrique est basée sur cette confiance. C est ici qu on introduit la notion de certificat. Une clé publique est distribuée par le réseau dans un certificat qui atteste que la clé publique qu il contient est bien celle qui correspond à la clé privée de telle personne, travaillant dans telle entreprise et que la période de validité de cette clé courre de telle date à telle date. Ce certificat est signé par une autorité à laquelle les deux parties ont confiance. Pour réaliser cela, il faut mettre en place une architecture dite «de clés publiques», c est ce qu on appelle la PKI. Pour terminer ce paragraphe, précisons que le chiffrement symétrique, beaucoup plus rapide que le chiffrement asymétrique et demandant des clés moins longues est le plus employé. Le chiffrement asymétrique est surtout utilisé pour échanger une clé symétrique de manière sûre à travers un réseau qui ne l est pas et pour signer les messages. 1.5 LES RESEAUX PRIVES VIRTUELS Un réseau privé virtuel (VPN Virtual Private Network) est un canal sécurisé établi le temps d une session ou d une transaction sur un réseau physique qui lui peut ne pas être sécurisé. Ce réseau physique peut être un réseau local, l Internet ou l air dans le cas du WiFI ou du WiMax par exemple. Le réseau est dit virtuel parce qu il se constitue sur un réseau existant en lui ajoutant des fonctionnalités en particulier de confidentialité et d intégrité alors que ni le réseau physique, ni les protocoles IP d origine, n apportent ce genre de fonctionnalités. Le réseau est dit privé parce que le temps de la transaction, l utilisateur peut considérer que ce réseau lui est propre autant que lui appartiendrait une ligne louée sur laquelle il serait seul. Un réseau privé virtuel ajoute essentiellement des fonctionnalités d authentification, de confidentialité et d intégrité, aux informations qui transitent par lui. L authentification des extrémités est la preuve que le message vient bien de telle extrémité du tunnel et va bien vers telle autre extrémité. Avant la transaction, les deux extrémités du tunnel 24 mai 06 8/13

9 s authentifient mutuellement. Ceci paraît simple à faire lorsqu il n y a qu un seul tunnel, mais pensez que chaque point peut être le départ de nombreux tunnels. La confidentialité est l assurance que seul celui qui est destinataire d une information pourra la lire. L intégrité est l assurance que l information n a pas été modifiée par quelqu un qui n est pas autorisé à le faire. Constituer un réseau privé virtuel est donc l art d établir entre deux points un canal sécurisé qui après authentification mutuelle des deux bouts du tunnel, va faire transiter l information de manière intègre et confidentielle. Il existe plusieurs types de réseaux privés virtuels. Chacun a ses qualités et ses défauts. C est ce qu on en attend qui doit décider duquel choisir. Nous allons décrire le réseau privé virtuel IPSec, puis le SSL et enfin le MPLS L IPSec Le SSL L IPSec (protocoles internet sécurisés) est une série de protocoles, standardisés par l IETF, qui viennent en complément des protocoles IP actuels, dits IPv4. L IPSec ajoute les fonctionnalités d intégrité, de confidentialité, d authentification et de non rejeu qui manquent dans les protocoles IP définis par l IPv4. Ces fonctionnalités sont de base dans la version récente des protocoles IP, l IPv6. Un tunnel IPSec est bâti entre un client IPSec et un serveur IPSec, ou entre deux serveurs IPSec. Une extrémité du tunnel peut être constituée par votre poste de travail avec le logiciel IPSec client. Le serveur IPSec est en général une appliance qui fait à la fois office de firewall et de passerelle IPSec, placée à l entrée d un réseau Intranet. Agissant aux niveaux bas des couches IP, l IPSec est indépendant des applications qu il traite. L IPSec est un bon moyen d établir des réseaux privés virtuels entre différents Intranets d une entreprise possédant plusieurs implantations. Le SSL (Secure Socket Layer) est un protocole conçu initialement pour apporter des fonctionnalités de confidentialité aux échanges Web (protocole HTTP). Il apporte les mêmes fonctionnalités que l IPSec mais au niveau des couches applicatives. Dépendant de l application, il est donc moins indépendant du niveau applicatif que l IPSec car il reste fondamentalement lié au protocole HTTP. Toutefois il existe des serveurs, dits Webifiers, qui encapsulent des protocoles non Web dans des protocoles HTTP rendant dès lors l utilisation du SSL possible pour une application pour laquelle le SSL n avait pas été prévu au départ. Le grand avantage du SSL est que le client SSL est de base dans tous les navigateurs, comme l Internet Explorer et le Firefox. Il n y a donc, contrairement aux VPN IPSec aucun déploiement à prévoir sur les postes clients ni aucune gestion des clients SSL à assurer Le MPLS Ni l IPSec, ni le SSL ne peuvent garantir la qualité de service. En particulier ils ne peuvent pas garantir un délai d acheminement maximum pour le transfert des données. Les VPN MPLS apportent cette garantie. Avec ceux-ci, proposés essentiellement par les opérateurs de télécommunication, chaque utilisateur peut considérer posséder son propre canal qu il ne partage pas, contrairement avec l IPSec et le SSL, avec d autres utilisateurs. Il n est donc plus nécessaire de chiffrer les données pour assurer leur confidentialité durant le transfert. Pour fournir une qualité de service garantie, à chaque transaction est attribué un «label de priorité» et un chemin qui dépendent de la qualité de service souscrite. Le MPLS est très utilisé dans les réseaux frame relay gérés par les opérateurs. Les utilisateurs n ont pas à investir sur leur mise en place, par contre les VPN MPLS présentent un coût mensuel non négligeable. 1.6 LES OUTILS DE PREVENTION D INTRUSION Le firewall permet d établir, autour du système d information de l entreprise, un périmètre de sécurité dit «en noix de coco». Si le firewall est compromis, alors rien ne protège plus les informations situées à l intérieur de l entreprise des attaques venant de l extérieur. Le firewall ne protège pas d avantage contre les attaques qui se font depuis l intérieur de l entreprise. C est pourquoi il est 24 mai 06 9/13

10 indispensable d ajouter au firewall une sécurité en strate, dite encore «en pelure d oignon» qui ajoute une sécurisation indispensable à l intérieur de l entreprise. C est là que les IDS (Intrusion Detection Systems) interviennent. Les IDS sont composées de sondes de détection d intrusion et d une console pour administrer ces sondes et analyser les informations fournies. Comme le fait un antivirus, une IDS analyse les paquets et recherche s ils contiennent des signatures qui caractérisent des attaques connues. Il existe également des sondes de détection d intrusion qui observent le comportement des applications utilisées dans l entreprise et qui déclenchent une alarme quand elles détectent un fonctionnement qui sort de la normale. Il y a hélas beaucoup de «faux positifs» qui causent des déclenchements d alarmes alors qu il n y a pas d attaques et des «faux négatifs» qui sont des attaques que les IDS ne voient pas. On distingue les HIDS qui sont des sondes qui auscultent les systèmes et les NIDS qui auscultent les réseaux. Les IPS ajoutent une fonction active aux IDS qui restent passives et ne font que signaler des attaques. Les IPS (Intrusion Prevention System) sont capables, lors d un constat de fonctionnement sortant des normes, de reconfigurer un routeur ou de re paramétrer automatiquement un firewall. 1.7 LES OUTILS DE SURVEILLANCE Comme outils de surveillance, citons les proxies Web qui contrôlent les navigations des employés et qui ne laissent passer que les pages Web qui correspondent aux catégories de listes blanches, ou qui interdisent les pages Web qui sont inscrites dans des catégories de listes noires. Il peut être établit, pour chaque employé ou chaque groupe d employés, des quotas en durée, en volume ou en nombre de pages Web consultées durant une période de temps déterminée. Parfois le chemin de l attaquant passe par un terrain miné. Ces pièges, ce sont les honeypots, les pots de miel placés en amont d un système d information et qui l émule par un firewall, par-ci, un serveur de fichier et de messagerie par-là, mais ce sont en réalité des leurres dans lesquels l attaquant s englue et n arrive plus à en sortir sans laisser des traces qu il ne pourra pas effacer. Son attaque est observée, analysée et ses méthodes sont éventées. On distingue les pots de miel qui se contentent de simuler des fonctionnalités d un logiciel et qui entament un dialogue avec l attaquant et d autres plus élaborés qui sont de vraies applications, une base de données par exemple. Ces dernières sont truffées de sondes de détections d intrusions, d analyseurs de logs où tout est journalisé et archivé sur un serveur qui est lui totalement inaccessible au pirate englué dans le piège. Le hacker croit agir dans l obscurité de l anonymat, son attaque est en fait exposée en pleine lumière et sans espoir d effacer les indices qu il sème. 1.8 LE PC NOMADE SECURISE AVEC OU SANS FIL Quand un employé sort de son entreprise et tente, de l extérieur, de s y connecter, son PC nomade devient un maillon en général faible de la chaîne de sécurité de l entreprise, de plus l utilisateur qui se trouve derrière est également un maillon faible. Il convient donc de l équiper de logiciels de sécurité pour parer aux menaces spécifiques dont il est entouré et qui pèsent aussi sur le système d information interne de l entreprise Le VPN client Le VPN client est un logiciel, installé sur le poste nomade de l utilisateur, qui va permettre de créer un tunnel IPSec vers l Intranet de son entreprise. Il permet d effectuer une authentification mutuelle entre le poste nomade et le tunnel serveur qui se trouve en général sur le firewall qui sécurise les accès à l Intranet de l entreprise. Il se crée ensuite un tunnel chiffrant entre ces deux extrémités. L utilisateur nomade accède, depuis l extérieur, aux serveurs de son Intranet, qui lui sont autorisés, avec autant de sécurité que s il était resté dans son Intranet Le firewall personnel Un tunnel VPN établit entre le poste nomade et l Intranet constitue un sérieux danger. Si le poste de nomade est attaqué par un hacker qui prend le contrôle de ce poste à distance, souvent sans que 24 mai 06 10/13

11 l utilisateur qui a créé un tunnel, puisse s apercevoir à temps de l agression, une voie royale est offerte à l attaquant vers les serveurs de l Intranet, et tout le réseau privé est ainsi mis en danger. Pour éviter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum de sécurité, équivalent à celui d un firewall personnel. Les fonctions anti-rebond et blocage des flux entrants d un tunnel client apportent ce niveau de sécurité. Le blocage des flux entrants empêche toute tentative de connexion vers le poste nomade. L antirebond ne permet pas de passer par le poste nomade pour emprunter un tunnel qu il vient de créer Le chiffrement d un disque dur et autres médias Le VPN répond au besoin de faire transiter une information secrète sur un réseau public, mais à l autre bout du VPN, cette information est livrée en clair. Le VPN ne répond donc pas à la nécessité de chiffrer les informations confidentielles là où elles sont stockées. Chiffrer au moins les informations confidentielles sur son disque dur, ses disquettes et ses clés mémoires est une nécessité car beaucoup de PC disparaissent, volés ou simplement oubliés dans un train ou un taxi. Souvent la valeur marchande du PC est négligeable par rapport à celle des informations qu il stocke. Les méthodes qui s appliquent aux VPN s appliquent aussi bien sûr au chiffrement des disques durs. Il faut s authentifier de manière forte avec une carte à puce ou une clé USB (à ne pas confondre avec une clé mémoire) en introduisant ce média et en entrant son code secret (PIN code) ou son empreinte digitale par exemple. Les logiciels de chiffrement sur disque sont ensuite en principe transparents pour l utilisateur. On chiffre au niveau du fichier, d un répertoire ou d une partition disque. 24 mai 06 11/13

12 2 ANNEXES 2.1 ACRONYMES DMZ DeMilitarized Zone DNS Domain Name System DSI Directeur des systèmes d information IDS Intrusion Detection System IRC Internet Relay Chat MPLS Multiprotocol Label Switching NAT Network Address Translation PKI Public Key Infrastructure RSSI Responsable de la Sécurité des Systèmes d Information SSL Secure Socket Layer URL Uniform Resource Locator VPN Virtual Private Network WAN Wide Area Network 2.2 DÉFINITIONS Certificat : Fichier contenant divers renseignements qui permettent d authentifier un utilisateur, avec en particulier son nom, sa société, l autorité de confiance qui a signé ce certificat, les dates de validité du certificat, la clé publique qui va permettre de chiffrer / déchiffrer lors d un chiffrement asymétrique et une partie chiffrée qui permet d en contrôler l origine. Coupe-feu : Voir firewall DMZ : DeMilitarized Zone. Un ou plusieurs réseaux partant d un firewall et qui ne sont ni le réseau externe non protégé, ni le réseau interne très protégé. C est une zone intermédiaire avec une politique de sécurité particulière, dans laquelle on place souvent le serveur Web institutionnel de l entreprise, le serveur anti-virus et le serveur de messagerie. Firewall : Solution logicielle ou matérielle placée en coupure entre deux ou plusieurs réseaux et qui contrôle tous les échanges entre ces réseaux pour ne laisser passer que les échanges autorisés par la politique de sécurité de l entreprise qu il protège. Intranet : Réseau interne de l entreprise dont les applications utilisent les protocoles réseaux de l Internet (protocoles IP). IPSec : Internet Protocol Security, suite de protocoles et méthodes qui ajoutent des fonctionnalités d authentification et de chiffrement à la version actuelle du protocole IP, l IPv4. La prochaine version des protocoles IP, l IPv6, contient d origine toutes ces fonctionnalités de sécurité. NAT : Network Address Translation, méthodes pour cacher les adresses IP d un réseau protégé, en les modifiant pour présenter des adresses différentes à l extérieur. Il y a la NAT statique qui fait correspondre une adresse publique à chaque adresse interne privée, et la NAT dynamique qui attribue une adresse prise dans un pool limité d adresses publiques à chaque adresse interne, jusqu à épuisement des adresses disponibles. Paquet IP : Parcelle élémentaire d information dans laquelle les données sont transportées dans les réseaux IP. Un paquet IP se compose d une partie en-tête, et d une partie donnée. PIN : Personal Identification Number : Code secret à quatre chiffres (ou plus) qui permet d activer le dispositif d authentification d une clé USB ou d une carte à puce. Proxy : Logiciel entre l utilisateur et le serveur d application, qui masque cette application en se faisant passer pour le serveur 24 mai 06 12/13

13 VPN : Virtual Private Network : Tunnel chiffrant entre deux réseaux protégés bâti sur un réseau non-protégé et qui, après authentification mutuelle des deux bouts du tunnel, chiffre les transactions qui doivent l être et en assure l authenticité, la confidentialité et l intégrité. 2.3 BIBLIOGRAPHIE La Sécurité à l Usage des Décideurs (Collection TENOR) ISBN La Sécurité à l Usage des PME et des TPE (Collection TENOR) Guide de sensibilisation à la sécurisation du système d information et du patrimoine informationnel de l entreprise Medef Direction Innovation, Recherche et Nouvelles Technologies Histoire des codes secrets de Simon Singh (de l'égypte des pharaons à l'ordinateur quantique) Vers et virus François Paget Dunot Collection Infopro ISBN WEBOGRAPHIE ORGANISMES ET ASSOCIATIONS AFNOR Association Française de normalisation L AFNOR est l organisme officiel qui fait avancer les standards en France CIGREF Club Informatique des Grandes Entreprises Françaises S occupe de promouvoir l utilisation des NTIC CLUSIF Club de la sécurité des systèmes d information français TENOR Telecom & Networks ORganisation 24 mai 06 13/13