Livre ouvert sur la sécurité

Transcription

1 Livre ouvert sur la sécurité Issu d un travail de groupe de la commission sécurité de l etna 28 juillet juillet 2004 etna Voir en dernière page pour les droits de reproduction 1/98

2 Ont participé, à ce jour, à la rédaction de ce papier blanc de l etna sur la sécurité Nom Prénom Société mél Bichard Jean-Philippe NetCost&Security redaction@netcost-security.fr de Groot Max Gemplus max.de-groot@gemplus.com Ferrero Alexis OrbitIQ alexisf@orbitiq.com Franchin Franck France Telecom franck.franchin@francetelecom.com Germain Michèle ComXper comxper@free.fr Habert Michel Netcelo michel.habert@netcelo.com Karsenti Thierry CheckPoint thierry@checkpoint.com Peliks Gérard EADS gerard.peliks@eads-telecom.com Refalo Pierre-Luc Comprendre et Réussir plr@comprendre-et-reussir.com Thibaud Alain F5 Networks a.thibaud@f5.com Les illustrations sont l œuvre de Laurent Germain (laurentgermain@yahoo.fr) Le développement de ce livre ouvert est coordonné par gerard.peliks@eads-telecom.com tel : juillet 2004 etna Voir en dernière page pour les droits de reproduction 2/98

3 Le mot du Président de l etna Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les informations qu'ils contiennent, ce travail commun de la commission sécurité de l'etna pourra se révéler très utile. Edmond Cohen, Président de Western Telecom, ecohen@western.fr Le mot de la Représentante de la commission sécurité auprès du Conseil d Administration de l etna En tant que marraine de cette commission sécurité de l'etna, je me félicite devant la passion qui anime ce groupe de travail et la rédaction de cet ouvrage. Il s'agit de technologies concurrentes, de personnes d'environnements hétérogènes mais tout le monde consacre beaucoup d'énergie et d'enthousiasme à ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la protection des flux d'informations. Le nombre de personnes intéressées à participer à nos journées networking ainsi qu'à ce booklet montre que personne ne s'y trompe, les enjeux sont considérables pour les utilisateurs, les sociétés et les gouvernements. Ils sont à la fois économiques, politiques voire même d'ordre sociologique. Un grand merci à Gérard qui est celui qui nous communique sa passion et qui met de l'ordre dans tout ce qui lui arrive parfois de façon un peu chaotique mais toujours sécurisée. Un grand bravo à tous. Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, l.cohen-laloum@f5.com Le mot du Président de la commission sécurité de l etna Le pari un peu surréaliste de réaliser un livre ouvert sur la sécurité à destination des décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs acteurs de la sécurité des systèmes d information sur le marché français a été lancé dès la création de la commission sécurité de l etna. L ambition de ce booklet était, dès le départ, d évangéliser le monde des télécoms sur les diverses facettes de la sécurité des systèmes d information avec l idée que de la diversité de ses auteurs naîtrait la richesse de cet ouvrage et son adéquation au but recherché. Cette bonne résolution est toutefois restée théorique jusqu à ce que Michèle Germain, consultante télécom m envoie une première contribution sur la sécurité des réseaux sans fils, donnant ainsi un aspect très concret à cette idée belle et ambitieuse. Michèle a également défini le style et la mise en page de cet ouvrage. Alexis Ferrero (OrbitIQ), Secrétaire Général de la commission Wi-Fi de l'etna a rejoint notre petit groupe pour mettre sa compétence sur la sécurité du Wi-Fi au service de cette réalisation commune, et ce fut un exemple de coopération pour fusionner, modifier, simplifier les textes soumis. Il a ensuite traité l application de la sécurité à la voix sous IP. Puis Franck Franchin, Directeur délégué opérations à la direction de la sécurité de l'information de France Télécom, qui avait animé une intervention aussi intéressante que mouvementée au cours de 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 3/98

4 l événement networking de notre commission, en décembre 2003, sur le thème des menaces sur les réseaux sans fils, a traité les parties «Ingénierie Sociale», «Cyber Racket» et «Sécurité et Mobilité». Michel Habert, Directeur Technique de Netcelo avait présenté les VPN IPSec lors de notre événement networking d avril 2004 sur les postes mobiles. Il traite du même sujet pour ce booklet et aussi de la gestion centralisée de la sécurité. Alain Thibaud, Directeur Technique Europe du Sud de F5 Networks avait présenté à ce même événement les VPN SSL et les traite dans cet ouvrage. Jean-Philippe Bichard, Rédacteur en chef de la très intéressante revue hebdomadaire en ligne NetCost&Security nous a fait bénéficier d une présentation qu il avait faite dans le cadre du colloque EPF 2004 sur la certification des logiciels aux Etats Unis. Thierry Karsenti, Directeur Technique EMEA de CheckPoint nous a ouvert l accès aux white papers de CheckPoint que nous avons exploités dans le chapitre «la sécurité de bout en bout». Max de Groot, Technical Marketing WLAN Business Line chez GEMPLUS a commencé une entrée sur l authentification forte et explique très clairement pourquoi l information contenue dans le chip d une carte à puce est sécurisée. Nous avons trouvé un artiste pour illustrer nos textes. Merci à Laurent Germain qui nous apporte son talent et son humour pour que notre booklet soit certes instructif, mais aussi plaisant à lire. Merci aussi à celles et ceux qui se sont déclarés très enthousiastes pour participer à l élaboration de cet ouvrage et dont nous attendons impatiemment les contributions en textes et en images. Et n oublions pas ceux qui ne tarderont pas à rejoindre les contributeurs de ce booklet, car il ne sera jamais trop tard pour participer. Le mot du hacker Gérard Péliks, EADS Defence and Communications Systems Ce qui me gênerait le plus, c est que vos utilisateurs perdent leur naïveté face aux menaces de l Internet. Quand j attaque votre système d information, soit pour jouer avec, soit pour vous nuire, soit pour l utiliser comme relais pour réaliser d autres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension sécurité entrait dans l esprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que j encourre de lourdes sanctions pénales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tâche encore plus difficile et surtout plus risquée. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 4/98

5 LIVRE OUVERT SUR LA SECURITE LA CYBERCRIMINALITE LES MENACES, LES VULNERABILITES Les faiblesses du Web Les faiblesses de la messagerie LES ATTAQUES Le vol de données Les accès non autorisés Les dénis de services Les attaques sur la messagerie Les attaques sur le Web Les attaques par système d exploitation Les attaques combinées FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE, Face au virus Mydoom.A Les logiciels espions LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS, Les hoax LES MENACES SUR LES POSTES NOMADES LE CAS DU RESEAU SANS FIL La "révolution" radio Les préoccupations de l Administrateur Réseau Risques et attaques L INGENIERIE SOCIALE LE CYBER RACKET La prolifération des risques Les approches Un exemple Les règles à suivre LES CONTRE-MESURES ET MOYENS DE DEFENSE LES FIREWALLS BASTION Les paramètres pour filtrer les données A quel niveau du paquet IP le filtrage doit-il se situer? Le masquage des adresses IP du réseau interne Les zones démilitarisées Firewall logiciel ou firewall matériel? En parallèle ou en série? Sous quel système d exploitation? LE FIREWALL APPLICATIF LE FIREWALL PERSONNEL L AUTHENTIFICATION FORTE, L authentification et la chaîne de sécurisation Le rôle de la carte à puce dans l authentification Exemples actuels d utilisation de carte à puce Conclusion LE CHIFFREMENT, LA STEGANOGRAPHIE LES VPN Les VPN IPSec, Le VPN-SSL ou l accès distant sécurisé nouvelle génération VPN-SSL ou l accés au réseau d entreprise juillet 2004 etna Voir en dernière page pour les droits de reproduction 5/98

6 2.7.4 Anti-virus Choisir entre un VPN IPSec et un VPN SSL LE CHIFFREMENT DES DONNEES SUR DISQUE LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) LA SIGNATURE ELECTRONIQUE LA DETECTION D'INTRUSIONS, LES ANTI (VIRUS, SPAMS, SPYWARES), SECURITE ET MOBILITE LES OUTILS DE CONTROLE ET DE SURVEILLANCE, L ERADICATION DES LOGICIELS ESPIONS LES POTS DE MIELS LA GESTION DE LA SECURITE LES ASPECTS DE VERIFICATION ET D AUDIT LA REMONTEE ET LA CORRELATION DES LOGS LA GESTION CENTRALISEE DE LA SECURITE Introduction Caractéristiques d un système de gestion centralisé de la sécurité Le système d administration (SOC- Security Operations center) Les opérations La surveillance La supervision Le contrôle La sécurité et l administration du centre de gestion de la sécurité Fonctionnement d un centre de gestion centralisé de la sécurité Garanties de sécurité Standards et Modèles de référence utiles LA GESTION DES CORRECTIFS ET DES PATCH LES RESEAUX PARTICULIERS APPLICATIONS A LA VOIX SUR IP Architecture d'un système VoIP Les risques Les attaques Fonctions LA SECURITE DES RESEAUX SANS FIL Le problème du WEP Les contre-mesures de base Les évolutions du protocole : WPA et i Application Autres technologies UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES Identification des risques Correction des lacunes de sécurité Approche intégrée Amélioration de la sécurité par l administration Résumé LES ASPECTS JURIDIQUES ET HUMAINS LES RISQUES DU «METIER», QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE L arrêt Nikon L Ecole de Physique et Chimie Industrielle de Paris L affaire Escota POLITIQUE ET REFERENTIELS DE SECURITE, Préambule juillet 2004 etna Voir en dernière page pour les droits de reproduction 6/98

7 6.3.2 Fondamentaux Des principes fondateurs L organisation dans le cadre politique Une Charte et quatre politiques Des choix essentiels Synthèse LES RESPONSABILITES ET LES ACTEURS DE L ENTREPRISE, EXTERNALISER OU INTERNALISER? LE CALCUL DU RETOUR SUR INVESTISSEMENT DE LA SECURITE (ROI) LES CERTIFICATIONS LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) L'ISO L EVALUATION DE SECURITE PAR LE BIAIS DE L'ISO LA CERTIFICATION AUX ETATS UNIS Le NIAP US Le DCA La création de l ENISA Européenne LA VEILLE SECURITE LES ENJEUX ECONOMIQUES DE LA SECURITE BIBLIOGRAPHIE ET REFERENCES GENERAL ATTAQUES ET MENACES VOIP WI-FI INGENIERIE SOCIALE JURIDIQUE LOISIRS Livres Films GLOSSAIRE ACRONYMES DÉFINITIONS juillet 2004 etna Voir en dernière page pour les droits de reproduction 7/98

8 1 LA CYBERCRIMINALITE Partie prise en charge par Olivier Caleff (Apogée Communications) / Jean-Philippe Bichard (NetCost&Security) Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et cyber-mafias ). Cet attentat dramatique a clairement montré que ce n'était ni le nombre, ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l on place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le domaine militaire que civil. "Aujourd'hui la France n'avance dans les NTIC que sur la pointe des pieds par rapport aux avions et aux chars" a déclaré aux Echos Paul Ivan de Saint Germain ancien directeur de recherche au ministère de la Défense. 1.1 LES MENACES, Auteur : Gérard Péliks (EADS) gerard.peliks@eads-telecom.com Dès qu un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs voire même à une perte totale des fichiers systèmes, avec impossibilité de «rebooter» son PC. Quand l utilisateur se connecte sur l Intranet de sa société, ce réseau est automatiquement sujet à des menaces pouvant porter atteinte à l intégrité, et même à l existence des informations et aux applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si l utilisateur connecté à son Intranet, a aussi accès simultanément à l Internet, les menaces sont multipliées tant dans leur nombre que dans leur diversité. Nous ne pouvons rien contre l existence de ces menaces, qui sont liées à la nature humaine et à la nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se concrétiser par des attaques réussies. Contre les vulnérabilités, heureusement pour l utilisateur, pour son poste de travail et pour les réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les explorer. Mais les outils ne sont efficaces qu intégrés dans une politique de sécurité connue et librement acceptée par l entreprise ou la collectivité, car on ne le répétera jamais assez, ce n est pas le réseau qui est dangereux, c est bel et bien l utilisateur, parfois de manière consciente mais aussi souvent sans le vouloir et sans même le savoir. Les menaces sont bien réelles. Pour se protéger contre elles, puisqu on ne peut les éliminer, il faut les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l entreprise cible. Il n est pas possible de se prémunir contre toutes les menaces, donc il n est pas crédible de se croire hors d atteinte de toute attaque. Heureusement les informations et les applications résidant dans votre réseau et dans vos postes de travail n ont pas toute la même valeur stratégique pour l entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l endroit où les 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 8/98

9 informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût qu induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit, pour chaque domaine d information, pour chaque application, il y a un seuil au-delà duquel, il n est pas rentable d investir plus pour protéger une information dont la perte causerait un préjudice inférieur au coût des solutions de sécurité mises en place. Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une information dont la perte serait sans commune mesure avec le coût de la solution de protection de cette information. 1.2 LES VULNERABILITES Les faiblesses du Web Partie traitée provisoirement par Gérard Péliks (EADS) Par son étendue, sa richesse de contenu et sa simplicité d utilisation, l Internet est une mine d informations pour les entreprises et un média sans précédent pour faire connaître les informations mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l Internet, l utilisateur peut accéder à des millions de pages Web, et peut, à l aide de portails et de moteurs de recherche, obtenir l information qui lui est nécessaire dans le cadre de son travail, au moment où il en a besoin (caractéristiques d un produit, liste de prix, conditions de vente, contacts, plan d accès ) Les cookies Le Web est ainsi une ressource devenue indispensable pour la productivité d une entreprise, mais qui n est pas sans dangers. Avec les pages Web, on récolte souvent à son insu, ces fameux cookies. Un cookie est un petit document texte, amené, et exploité par une page Web, lors de sa lecture, qui réside sur votre disque dur et qui renseigne le serveur Web sur votre identité, sur vos commandes, sur vos habitudes. Faut t il les accepter, sachant que si on les refuse, la navigation Web sur certains sites peut devenir difficile, voire impossible? Quels en sont les dangers, que dit la réglementation européenne? Quels sont les outils pour éventuellement les détruire? Le surf abusif Mais le plus dangereux, pour la productivité des employés, c est l ouverture libre des accès au Web, avec les dérives que l on constate. En laissant sans surveillance ses collaborateurs naviguer sur l Internet, l employeur s expose à certains risques : baisse de productivité des employés, effondrement des performances du réseau interne, voire même poursuites judiciaires en tant que responsable pénal au même titre que l employé ayant effectué un acte illégal. Par exemple, sur le territoire français, le téléchargement d images pédophiles ou racistes est un délit, donc passible de sanctions judiciaires pour l utilisateur comme, sous certaines conditions, pour son employeur. Que dit la réglementation, quels sont les risques juridiques pour l employé et pour l employeur? Comment provoquer une auto discipline ou restreindre l accès de certains employés, durant certaines plages horaires? Comment obtenir les listes de pages Web à interdire ou à conseiller? La solution à ce problème est simple : faire diminuer la consommation Web à des fins non professionnelles, pour permettre et favoriser l augmentation de la consommation Web à des fins utiles aux missions des collaborateurs, et à leur enrichissement professionnel. Par voie de conséquence, la bande passante du réseau sera bien employée, et il conviendra même, par des fonctions de relais (proxy/cache) de l augmenter en ne laissant sortir, vers l Internet, que les demandes de connexions nécessaires. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 9/98

10 1.2.2 Les faiblesses de la messagerie 1.3 LES ATTAQUES Le vol de données Partie traitée provisoirement par Gérard Péliks (EADS) Livre ouvert sur la sécurité Par où passe le voleur moderne, dans ce monde où l information est devenue le bien le plus précieux d une entreprise? Et bien par le modem de votre PC portable ou par le contrôleur Ethernet de votre poste de travail fixe, qui branché sur le réseau de votre entreprise, met celui-ci à portée du hacker et se trouve ainsi en grave danger. Mais le hacker n est le plus souvent pas seul en cause. Plus de 50% d attaques réussies bénéficient d une complicité à l intérieur de l entreprise. L employé est-il pour autant un indélicat potentiel? Parfois oui, par esprit de vengeance ou par intérêt inavouable, mais le plus souvent par manque de maturité vis à vis du problème de la sécurité. Si on lui demande, par téléphone, au nom de son responsable, ou du responsable système, de fournir son login et son mot de passe, parce qu il y a un besoin urgent de le connaître pour mettre à jour les postes de travail à distance avec un nouvel utilitaire indispensable, pensez-vous que tous réagiront de manière professionnelle, en refusant de les donner? Et on voit alors, par exemple, la liste des salaires d une entreprise publiée à l extérieur, les dossiers médicaux et autres renseignements des plus confidentiels dévoilés au grand public. L employé détenteur de ses données nominatives donc confidentielles et le chef d entreprise peuvent alors être, à juste titre inquiets car ils sont responsables devant la loi de la protection des données confidentielles qu ils détiennent, et se doivent de les protéger. On entend souvent qu entre le droit et l Internet existe un grand vide juridique. Il n en est rien, et le chapitre 3 traite de ce sujet d un point de vue juridique Les accès non autorisés Partie traitée provisoirement par Gérard Péliks (EADS) Pour offrir ou refuser à un utilisateur l accès au réseau, il convient bien entendu d authentifier cet utilisateur afin de contrôler si la politique de sécurité de l entreprise lui accorde le droit d y accéder. La solidité d un système de protection est toujours celle de son maillon le plus faible, et souvent ce maillon c est précisément l authentification. Il faut savoir que l authentification d un individu par son mot de passe n offre aucune garantie réelle de sécurité, surtout si ce mot de passe est re-jouable, encore plus s il n expire pas dans le temps, et davantage encore si le mot de passe est laissé au libre choix de l utilisateur. De toute manière les mots de passe transitent en clair sur le réseau où ils peuvent être facilement lus. Il existe aussi des utilitaires qui récupèrent les mots de passe sur les disques pour essayer de les déchiffrer et ce n est alors qu une question de temps pour y parvenir. Donc avant d accorder une permission, il faut s assurer que le bénéficiaire de cette permission est bien celui qu il prétend être, sinon il aura accès aux informations d une autre personne, et le vol de données potentiel sera difficilement identifiable puisque la personne autorisée semblera les avoir prises Les dénis de services Partie traitée provisoirement par Gérard Péliks (EADS) Il n est pas indispensable de chercher à pénétrer un réseau pour le mettre hors d état, il suffit de le saturer. Quoi de plus facile, avec un programme adapté, d envoyer vers un serveur de messagerie des milliers de s par heures, ou de faire des centaines de milliers d accès vers un serveur web, uniquement pour monopoliser la bande passante et les ressources des serveurs, afin de les rendre inaccessibles. Mais l assaillant sera découvert puisqu il est facile de déterminer d où viennent les attaques, pensezvous? Non, même pas, car les attaques sophistiquées en dénis de service utilisent, en général, des serveurs relais tout à fait honnêtes mais investis le temps du forfait, car manquant des sécurités indispensables. Et il est alors plus difficile de remonter à l origine des attaques. C est ainsi que des 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 10/98

11 serveurs très sollicités dans le monde internet, comme yahoo, et même comme des serveurs principaux de noms de domaines, qui constituent le talon d Achille de l Internet, ont cessé virtuellement d exister sur le net, durant quelques heures, au grand émoi de leurs centaines de milliers d utilisateurs quotidiens. D autres serveurs non moins sérieux ont constitué les bases avancées de ces attaques. Ce qui est arrivé sur ces serveurs, peut aussi arriver à vos serveurs sans dispositif de protection, ou vos serveurs peuvent servir de relais d attaque. Vous serez alors responsables, bien que non coupables ou du moins inconsciemment non coupables, donc vous pourriez être inquiétés par la loi Les attaques sur la messagerie Partie prise en charge par Alexandre le Faucheur Partie traitée provisoirement par Gérard Péliks (EADS) Tout mél ouvert peut mettre en péril votre poste de travail et le réseau de l'entreprise et la messagerie, échange le plus utilisé sur l'internet constitue une menace grandissante pour les réseaux d'entreprise. Les méthodes d'attaques ou de simple nuisance sont multiples. Parmi les attaques les plus classiques citons : Le mail bombing, tir de barrage contre votre boîte à lettres qui bloque vos ressources avec pour but de causer un déni de service. Le mass mailer qui crée à votre insu, par rebond sur votre boîte à lettres, des chaînes maléfiques de s, à votre nom, vers les destinataires de vos listes de messagerie. Destinataires avec qui vous ne serez plus copains après. Le spamming, véritable harcèlement électronique, mais sans mauvaises intentions en principe, qui noie vos messages importants dans une forêt de messages non sollicités et dont les contre-mesures aboutissent à supprimer des messages honnêtes et importants en même temps que les spams Les attaques sur le Web Partie prise en charge par Alexandre le Faucheur Les attaques par système d exploitation Partie prise en charge par Alexandre le Faucheur Les attaques combinées Partie traitée provisoirement par Gérard Péliks (EADS) Le phishing Le phishing, la plus actuelle des menaces, repose sur trois impostures et sur votre naïveté (nous sommes plus de 700 millions de pigeons potentiels connectés sur l'internet). 1. Envoi de l'hameçon : vous recevez un qui à l'air de venir d'un destinataire de confiance, mais provient en réalité de l'attaquant. 2. Attente que ça morde : le vous demande de cliquer sur un hyperlien qui vous dirige sur un site Web qui a l'air d'être celui d'un site de confiance, d'après son adresse et le look de la page affichée. C'est en réalité celui de l'attaquant. 3. Le site Web de l'attaque par phishing, sur lequel vous emmène la deuxième imposture, vous demande, pour préparer la troisième imposture, celle qui fait mal, d'entrer des renseignements tels que votre couple login et mot de passe, vos coordonnées bancaires, votre numéro de carte de crédit... Avec ces renseignements, comme l'attaque est en général à but lucratif, l'attaquant usurpe votre identité, en utilisant les renseignements que vous lui avez aimablement fournis, pour vider votre compte bancaire ou attaquer notre réseau. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 11/98

12 Le panaché Livre ouvert sur la sécurité Citons maintenant la combinaison redoutable entre toute, fléau des temps modernes qui arrive par la messagerie. C 'est le quartet : spam + mass mailer + ver + phishing, le tout simultanément. Le ver est là pour installer un logiciel espion, un cheval de Troie ou une porte dérobée sur votre poste de travail, pour exploitation ultérieure. Par exemple le ver Bugbear.B, apparut en 2003 et véhiculé par la messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active automatiquement si vous contactez l'une des milliers de banques, dont plusieurs françaises, contenues dans sa liste. Il envoie ensuite l'intégrale des échanges électroniques, entre vous et avec votre banque, à on ne sait qui. 1.4 FOCUS SUR LES VIRUS, LES VERS, LES CHEVAUX DE TROIE, Partie prise en charge par Alexandre le Faucheur Partie traitée provisoirement par Gérard Péliks (EADS) On ne présente plus la menace des virus, des vers et autres codes malicieux, tels que ILOVEYOU, Nimda et très récemment Bugbear et chaque jour apporte sa moisson de nouvelles menaces, parfois de nouvelles catastrophes, souvent de fausses alertes «les hoax». L utilisateur qui a subit une perte de données qui lui étaient indispensables, et qui a transmis à son insu, l infection à tout le carnet d adresses de sa messagerie, où figurent les adresses de ses clients, de ses fournisseurs et de ses partenaires comprend immédiatement que les menaces ne sont pas que pour les autres, et que les dangers dont il apprend l existence sur l Internet et dans la presse sont un risque pour lui-même qu il convient de considérer avec sérieux. Cette menace, très visible, sournoise et de plus en plus sophistiquée, a donc eu au moins le mérite de motiver l utilisateur sur la nécessité de se protéger des dangers du réseau, mais les virus sont loin d être la seule menace qui peut empoisonner l existence de l utilisateur et détruire des applications sur le réseau Face au virus Mydoom.A Auteur Gérard Péliks EADS gerard.peliks@eads-telecom.com En ces jours mémorables qui ont terminé le mois de janvier et débuté celui de février 2004, il était difficile de passer à travers les tentatives des virus Mydoom A et B pour infecter votre poste de travail. Un matin, en ouvrant ma messagerie, j ai trouvé parmi les s reçus quelques-uns dont la provenance m était inconnue. Ils ne m étaient adressés ni par des clients, ni par des partenaires ou des fournisseurs, et ce n étaient pas non plus des newsletters auxquelles je suis abonné. Mon premier sentiment fut de penser qu il devait s agir de spams, ces messages non sollicités envoyés en nombre. Mais c était curieux car notre entreprise a mis en œuvre un filtre anti spams très efficace. De plus les titres des messages «hello», «hi» ou carrément des caractères aléatoires dont l assemblage ne constituait pas des mots, au moins en français ou en anglais, m inspirèrent l idée qu il devait s agir de mails porteurs de virus ou de vers. Aussi les ai-je effacés sans les lire, et sans aucuns regrets car je ne montre aucune pitié envers les quelques spams qui réussissent à tromper notre filtre. Mais au cours de la journée j ai reçu d autres s dont les titres m étonnèrent. Il semblait que des messages que j avais envoyés me revenaient avec un message d erreur parce qu ils n avaient pas pu atteindre leurs destinataires. Les titres des messages étaient du genre «Mail transaction failed». Là j étais impliqué, qu avais-je envoyé qui n avait pas atteint son destinataire? Le document que j étais censé avoir envoyé était-il important? Devais-je renvoyer le non parvenu? Sans hésiter j ai ouvert le premier de ces s dont le destinataire m était totalement inconnu. Qu importe, peut-être la pièce jointe allait-elle m éclairer sur l identité de ce destinataire car je sais tout de même ce que j envoie et à qui! Au moment de cliquer sur la pièce jointe qui était censée contenir le mail revenu avec mon fichier attaché, un doute s empara de mon esprit et mon doigt resta suspendu au-dessus de ma souris. Et si c était un piège? et si c était un virus? Avant de concrétiser un clic que je pouvais regretter, je suis sorti de mon bureau pour demander autour de moi si d autres avaient remarqué cette bizarrerie 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 12/98

13 incroyable de Outlook 2000 qui retournait, parce que non reçus, des messages jamais envoyés! Devant la machine à café j'ai constaté que j étais loin d être le seul à m'inquiéter. Les conversations allaient bon train, ce matin là, sur ces messages qui revenaient suite à un envoi qui n avait jamais eu lieu. Le risque zéro étant la meilleure des pratiques en pareil cas, j ai détruit tous ces messages et j en ai eu beaucoup d autres les jours qui suivirent, venant de personnes que je ne connaissais pas, mais aussi de partenaires, fournisseurs ou clients que je connaissais très bien et qui eux avaient donc sans doute été infectés. Ainsi fut en ces jours de virulence extrême mon vécu face au virus Mydoom-A. Ce que j ai appris plus tard, c est qu en réalité je ne risquais rien car notre anti virus d entreprise avait très tôt détecté le virus et remplaçait systématiquement le fichier en attachement des s, contenant la charge «utile» par un fichier texte qui avertissait que la pièce jointe avait été mise en quarantaine suite au soupçon d une attaque virale. Tirons la principale leçon de cette histoire. La meilleure défense contre vers et virus, de même que contre d autres menaces est d avoir systématiquement, par défaut, un instinct sécuritaire. Mieux vaut perdre un , effacé à tort, que perdre ses données et peut-être son réseau. Mieux vaut s abstenir de télécharger par le Web un fichier important mais sans origine certifiée que chercher ensuite ses images et ses fichiers PowerPoint et Word qui auront disparu et toujours au moment où on en a un besoin indispensable. Si l effacé était vraiment très important, l expéditeur vous contactera en s étonnant de n avoir pas eu de réponse de votre part. Vous ne vous serez pas fait un ami, mais vous aurez peut être évité d avoir comme ennemis toutes vos connaissances dont vous avez entré les adresses dans vos listes de distribution. Prenons une analogie : si on vous disait que dans le courrier, celui à base de papier à lettre qui aboutit dans votre boîte, il pouvait y avoir des lettres piégées et qu il suffisait pour le prouver de remarquer tous vos voisins avec des gueules de travers pour ne pas s en être méfié, ouvririez-vous sans méfiance les enveloppes dont vous n êtes assurés ni de la provenance ni de l expéditeur? Il faut réagir de même avec les s. Les virus de ces derniers temps, très médiatisés, vont au moins présenter l avantage de faire évoluer les mentalités. Le ne doit plus être considéré comme un texte anodin dont la lecture au pire vous fait perdre du temps. Un qui vous éclate en plein poste de travail peut marquer la fin de votre système d information. La deuxième leçon est qu il est indispensable d activer un antivirus d entreprise efficace qui filtre les échanges entre l extérieur et votre réseau interne. Il faut aussi sur chaque poste de travail un antivirus personnel qui filtre les échanges entre votre Intranet et le poste de travail, car on peut supposer que vous ou quelqu un sur votre réseau charge sur son poste de travail des fichiers à partir de CDROM, de disquettes, ou simplement n est pas aussi attentif que vous face à l insécurité du réseau et cet inconscient peut aussi vous envoyer des s à partir de l intérieur du réseau? Analysons ce qu était ce fameux virus Mydoom. C est un «mass-mailer», un virus qui, lorsqu il vous contamine, se communique automatiquement à toutes les adresses qu il trouve dans vos listes de messagerie. Si vous avez reçu de nombreux s contenant ce virus, c est que votre adresse e- mail figure dans beaucoup de listes de messagerie d ordinateurs qui ont été infectés. Comment saiton qu un message reçu contient ce virus? Par le titre d abord, qui présente plusieurs variantes : «hi», «hello» ou carrément comme nous l avons déjà évoqué «Mail Transaction Failed» ou «Mail Delivery System». Ensuite le , dont le corps du texte parfois contient des caractères unicode, donc pas toujours lisibles, est accompagné d une pièce jointe par laquelle le mal arrive. Un exécutable joint à un message ne doit jamais être exécuté car la présomption de virus est maximale surtout si l extension de la pièce jointe est un ".exe". Mais si c est un «.zip», vous pensez que l ouvrir ne vous engage à rien puisque vous allez simplement exécuter votre utilitaire Winzip qui va vous indiquer si l extension du fichier attaché est ou n est pas un «.exe»? Attention!!! ce virus là, et sans doute ceux qui suivront, sont très malins. Vous croyez exécuter un «.zip», mais le nom du fichier «document.zip», par exemple, est suivi de quelques dizaines d espaces pour se terminer par sa vraie extension «.exe»! Suivant la configuration de votre écran, soit cette extension est cachée dans la partie non visible de votre écran sur la droite, soit elle n apparaît que sur la ligne du dessous et jamais vous n allez remarquer cette ligne! Vous n avez alors plus que vos yeux pour 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 13/98

14 pleurer sur votre écran qui reste figé, sur le «Ctrl Alt Supr» qui met un temps infini à agir ou sur vos fichiers perdus! Mais rassurez-vous, dans le cas de Mydoom-A, chez vous point de fichiers perdus, car ce n est pas vous qui êtes visés en réalité, vous n êtes dans cette histoire qu un tremplin malchanceux bien que coupable d avoir été naïf ou inconscient devant l insécurité du réseau. La cible de Mydoom-A, ce n est pas vous donc, c est SCO, cet éditeur de logiciel de la lointaine côte ouest des Etats Unis qui affirme avoir des droits sur le système UNIX, se mettant à dos en particulier la communauté des logiciels libres. Mydoom-A installe sur les postes de travail une porte dérobée qui lui permet, à une date déterminée, d'utiliser votre poste contaminé pour bombarder de requêtes le serveur Web de SCO, le saturer et le faire tomber. L attaque s est déclenchée le 1 er février. Le serveur Web de SCO a été agressé ce jour là par plusieurs centaines de milliers de postes de travail qui le sollicitaient sans relâche, et SCO a préféré retirer son serveur Web du paysage Internet. Si votre poste de travail était contaminé et que vous étiez connectés sur le réseau ce 1 er février, vous avez peut-être participé à votre insu à cette curée Les logiciels espions Auteur Gérard Péliks EADS gerard.peliks@eads-telecom.com On se pose parfois la question : «mais pourquoi ce logiciel si puissant est disponible gratuitement en téléchargement sur l Internet? Qui finance ses développements?» Cette question est pertinente quand on connaît le coût de développement d un logiciel! La réponse est parfois aussi simple qu inquiétante. Le développement du logiciel gratuit peut être financé par un logiciel espion qui s installe, à l insu de l utilisateur, et qui renseigne une régie publicitaire ou pire un organisme de guerre économique travaillant pour un concurrent, sur vos habitudes de navigation, parfois même lui envoie des fichiers récupérés sur votre disque. Vous doutez que ce scénario puisse refléter la réalité? Ne vous êtes-vous jamais étonné quand parfois, votre poste de travail fait des accès disque ou réseau, alors que vous ne pressez aucune touche, et ne sollicitez pas votre souris? Ne vous êtesvous jamais étonné que votre curseur se bloque par intermittence, suite à l occupation de vos ressources par quelque chose qui vous échappe? Parfois c est bien dû à un logiciel espion, qui tapi au fond de votre disque, se réveille pour envoyer à l extérieur les renseignements confidentiels que votre disque contient. Aujourd hui, alors que se déchaîne la guerre électronique, où le renseignement est roi, la menace omniprésente sur le réseau, et les hackers malveillants ou professionnels toujours plus nombreux, il ne faut plus négliger ce type de menace. Vous doutez encore que votre disque puisse contenir un ou plutôt plusieurs logiciels espions? Téléchargez et installez le logiciel gratuit ad-aware qui se trouve sur le web (rassurez-vous, celui-ci ne contient pas de logiciels espions, et passe pour être le meilleur des logiciels pour trouver et éradiquer de votre disque ce genre de menaces). Vous serez fixé! et peutêtre après éradication de ces logiciels espions, votre poste de travail offrira de meilleures performances. 1.5 LES MENACES REPOSANT SUR LA CREDULITE DES UTILISATEURS, Partie prise en charge par Franck Franchin (France Telecom) Les hoax 1.6 LES MENACES SUR LES POSTES NOMADES Partie prise en charge par Olivier Caleff (Apogée Communications) / Alexandre le Faucheur (VALEO) Partie traitée provisoirement par Gérard Péliks (EADS) Déjà à l intérieur de l entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire de l attacher à un point fixe par un cordon d acier, et d utiliser l économiseur d écran quand vous 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 14/98

15 vous absentez provisoirement de votre bureau. Que dire alors des risques qu il encourt quand vous le sortez de l entreprise! Justement parlons-en. Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, paraît-il, disparaissent. Ce n est pas toujours l œuvre de simples voleurs intéressés par la valeur marchande du PC le plus souvent très inférieure à celle des informations stockées sur son disque dur. J ai connu une situation, lors d un salon, il y a quelques années, où la paroi de la remise d un stand avait été forcée durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient disparu. Au-delà de la gène évidente pour leurs propriétaires, l un des portables contenait le planning et l évolution des fonctionnalités des produits conçus et commercialisés par l entreprise et les carnets d adresses des partenaires et des clients. Que pouvait espérer le propriétaire de mieux qu un miracle fasse qu une météorite tombât sur son PC volé en détruisant son disque dur avant que son contenu ne soit exploité! Mais la probabilité pour que ce miracle se produise n est pas bien grande. Ajouté à cela, durant la journée, des coffres de voitures avaient été forcés sur le parking du salon et un autre PC portable avait été dérobé! Ce n est pas sur l espoir d un miracle que doit reposer la sécurité des données contenues dans les postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état d esprit, une politique de sécurité, et des outils correctement paramétrés. Durant la connexion votre poste nomade peut présenter un danger pour l intégrité du système d information de votre Intranet car il est exposé aux attaques dites «par rebond» qui permettent à un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans l Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre VPN est activé, le poste nomade n accepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l Internet. Quand vous n avez plus besoin d être connecté à l Intranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur. Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences catastrophiques pour notre système d information. Ce n est pas une raison, bien sûr pour relâcher votre vigilance. Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers échappent évidemment au contrôle de l antivirus de l entreprise. Une fois le poste nomade connecté à l Intranet, il peut infecter son système d information. Il est indispensable, avant tout chargement de fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur. Zone non protégée nomade Firewall V P N Zone protégée 1.7 LE CAS DU RESEAU SANS FIL Auteurs Michèle Germain (ComXper) ComXper@free.fr et Alexis Ferrero (OrbitIQ) alexisf@orbitiq.com 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 15/98

16 1.7.1 La "révolution" radio Livre ouvert sur la sécurité Le WLAN dans le paysage informatique Le nomadisme évoqué ci-dessus se faisait sur un réseau filaire, par conséquent dans un espace connu, relativement bien maîtrisé. L'avènement des réseaux voix et données radio - les WLAN - change les habitudes des utilisateurs et étend encore leur rayon d'action en faisant abstraction du fil. L'utilisateur, de nomade qu'il était, devient mobile. La presse, la fréquentation des "hotspots", sont les signes de l'engouement du public pour le WLAN. Les WLAN reposent en majorité sur les standards b et g de l IEEE, plus communément connus sous le label «Wi-Fi». Les utilisations du WLAN sont nombreuses. Citons tout d'abord le "hotspot", c'est à dire l'infrastructure radio ouverte dans un lieu public qui permet à chacun de se connecter à l'internet ou à l'intranet de son entreprise. L'intérêt est évident à la fois pour l'usager et pour le fournisseur du service, celui-ci pouvant offrir l'accès Réseau à un nombre quasi illimité d'usagers et avec un investissement minimal, c'est à dire sans avoir à déployer des câbles et des prises. Les hotspots, dont l'usage a été autorisé en France fin 2002 par l'art, se multiplient dans les lieux de passage (aérogares, gares, hôtels, cafés, etc.). Une autre application est le WLAN privé pour l'usage exclusif d'une entreprise ou d'un particulier. Le WLAN peut être utilisé seul pour constituer un réseau avec un minimum d'infrastructure. Cette configuration est souvent utilisée dans le domaine résidentiel ou SoHo, en premier lieu pour partager un accès ADSL entre plusieurs stations, l interconnexion des stations n étant pas nécessairement le besoin premier. En entreprise, le WLAN est adopté pour offrir un service de mobilité informatique (présence au chevet des malades en milieu hospitalier, inventaires en entrepôt, accueil de visiteurs dans des centres de conférence, etc.). Le WLAN constitue également une solution complémentaire au LAN filaire pour couvrir des zones difficiles d'accès ou difficiles à câbler. En particulier, le WLAN est apprécié dans des bâtiments historiques classés où les possibilités de câblage sont limitées et strictement contrôlées. Des liaisons point à point Wi-Fi sont parfois mises en œuvre pour réaliser des ponts radio entre les réseaux filaires de bâtiments séparés. Enfin, la plupart des ordinateurs portables sont maintenant équipés nativement d une carte ou d un module Wi-Fi intégré pour se raccorder aux réseaux Wi-Fi. «Centrino» de Intel est un package technologique Wi-Fi qui équipe de nombreux ordinateurs Constitution d un WLAN Dans la configuration considérée dans ce document, le WLAN est constitué de points d accès (AP) connectés sur une infrastructure filaire qui peut supporter des équipements fixes (serveurs, postes fixes ). Le schéma ci-dessous représente un WLAN dans sa forme la plus simple. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 16/98

17 Les spécificités d'un réseau radio Livre ouvert sur la sécurité Les menaces qui pèsent sur le poste nomade pèsent également sur le poste mobile, mais il existe d'autres dangers inhérents au support radio. La propagation des ondes radio Un réseau filaire est relativement bien maîtrisé, dans le sens où il se développe sur une infrastructure fixe, le câble, dans un lieu donné, le bâtiment, et est accessible uniquement depuis un nombre limité de points connus, les prises. Ceci permet notamment d'interdire toute utilisation frauduleuse du réseau en dehors des lieux qu'il dessert. Il n'en est pas de même du réseau radio puisque les ondes ne connaissent ni murs ni frontières : une borne placée devant une fenêtre, rayonne sans vergogne dans la rue, les murs laissent toujours passer une partie du signal, et la portée du réseau dépasse largement la zone à couvrir. Sans précaution, un pirate peut se connecter sur votre réseau, accéder à l Internet depuis votre propre compte et intercepter les transactions entre vos ordinateurs. Les perturbations radio Un autre problème du WLAN est la qualité de la transmission. Les réseaux de type Wi-Fi fonctionnent dans une bande de fréquences d'usage libre qui, contrairement aux fréquences DECT ou GSM, n est pas réservée à des applications déterminées, en l occurrence aux WLAN. Ainsi, votre réseau radio pourra-t-il être perturbé par celui du voisin, mais aussi être perturbé ou perturber nombre d'utilisations sans rapport avec le Wi-Fi : télécommandes (portails, voitures), systèmes d'alarmes, fours à micro-ondes, radioamateurs, etc. En dehors de ces éléments perturbateurs, la transmission radio est également soumise à ses propres aléas. En particulier, les conditions météorologiques peuvent être à l'origine d'une dégradation de la transmission. La plupart des problèmes liés à la transmission radio (mauvaise propagation, perturbations ) peuvent être contournés par une étude préalable d'ingénierie radio. Celle-ci vise à rechercher le meilleur emplacement pour installer les points d accès en fonction de la configuration des lieux et de la nature de l'environnement (murs, mobilier métallique). Il sera aussi nécessaire de prendre en compte la présence d'équipements fonctionnant dans la même bande de fréquence avec une attention particulière pour les équipements Bluetooth qui fonctionnent dans la même bande de fréquences. Le facteur humain Cette menace, strictement humaine, n'en est pas moins réelle. L'usager mobile ou nomade qui utilise son ordinateur dans des lieux publics (gare, aéroport ), le fait parfois pour le plus grand intérêt de voisins indélicats et non innocents qui ont les yeux rivés sur l'écran. Les moins scrupuleux n hésiteront pas à établir une liaison pirate avec l ordinateur à l insu de son propriétaire Le contrôle de l accès au réseau L accès au réseau radio est contrôlé au cours de différentes étapes : L attachement C est l opération par laquelle le point d accès et le poste mobile se reconnaissent mutuellement en tant que constituants d un même réseau. En effet, si plusieurs réseaux se chevauchent, il est bon de s assurer que l on se connecte sur le sien et non sur celui du voisin. L attachement joue en gros le rôle de la prise sur un réseau filaire. Il est basé sur l échange d un identifiant réseau, SSID pour un réseau Wi-Fi. L authentification L authentification permet de s assurer de l identité et des droits de l usager pour lui accorder le droit de se connecter, en regard de la politique d utilisation du réseau. Elle est généralement réalisée par un mécanisme défini par le protocole et peut aussi mettre en œuvre des solutions additives basées sur des protocoles d authentification plus rigoureux. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 17/98

18 La phase d authentification peut également être supprimée dans des réseaux qui, tels les hotspots, ont pour vocation de recevoir tout utilisateur qui en fait la requête. Elle doit alors se faire au niveau du portail Web (niveau applicatif). La communication Une fois l'utilisateur authentifié et autorisé, et donc associé à une catégorie, toutes les transactions qu'il va opérer au travers du WLAN sont encore soumises à un niveau élevé de contrôle et de surveillance. Le cryptage Il s'agit d'une part de se protéger contre les écoutes indélicates (eavesdropping), mais aussi potentiellement contre les attaques véhiculées par le trafic lui-même. La protection contre les premiers risques consiste à crypter les communications, celle contre les seconds consiste à contrôler le contenu du trafic contenu à l'aide d'un firewall et/ou d'un IDS (Intrusion Detection System) orienté sans-fil. Le protocole prévoit un chiffrement mis en œuvre sur les trajets radio de l information, c est à dire entre les points d accès et les postes mobiles. Dans un réseau Wi-Fi, le chiffrement est réalisé par le WEP ou l AES. Le chiffrement peut également être inhibé, notamment dans les hotspots. Il est également possible d appliquer un chiffrement de bout en bout qui se superpose au chiffrement radio, au moyen d un protocole de niveau applicatif (SSL) ou au niveau réseau (IPSec) Les préoccupations de l Administrateur Réseau La sécurité est la préoccupation critique d'un Administrateur Réseau confronté au Wi-Fi, d'une part parce que les faiblesses des technologies ont été très largement rapportées et commentées par la Presse, d'autre part parce qu'il s'agit d'une approche effectivement nouvelle du sujet qui présente une grande diversité. Comme nous l'avons vu, le Wi-Fi repose sur une transmission radio, généralement omnidirectionnelle, de type broadcast, (diffusion générale) où tout le monde peut écouter toutes les communications, voire transmettre des paquets en prétendant être un autre équipement (impersonation). A la différence des réseaux locaux de ces dernières années qui ont vu le remplacement du câble Ethernet par une arborescence de commutateurs, le WLAN est implicitement ouvert et par là, présente une forme de vulnérabilité spécifique. Les constructeurs et organismes de standardisation se sont donc employés à développer des méthodes de protection capables de fournir un niveau de sécurité comparable aux réseaux "câblés", voire supérieur. Pour un administrateur réseau, le développement d'un réseau Wi-Fi en extension de son LAN câblé, ne peut être envisagé s'il présente une vulnérabilité supérieure à l'architecture déjà en place ou bien, si le réseau Wi-Fi apparaît comme un maillon faible, mettant en péril l'ensemble de l'infrastructure (tel un cheval de Troie). En entreprise, la connexion d'un poste Client au réseau Wi-Fi est considérée comme celle d un poste nomade via modem téléphonique, donc au travers d'une infrastructure non-sûre. On applique donc des procédés très comparables : authentification forte de la connexion et cryptage des communications. Un certain nombre de compléments fondamentaux est apporté par des solutions spécialisées, comme des filtres ACL, un firewall, un IDS, parallèlement à la détection de tout événement pouvant être la prémisse d'une attaque Wi-Fi Risques et attaques Du fait des faiblesses des solutions standards, de nombreux risques existent en Wi-Fi, dont typiquement les Fake AP, Rogue AP, Honey Pot, Man in the Middle dont on parle le plus souvent, mais aussi les attaques par déni de service (DoS) et intrusion. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 18/98

19 Le piratage du WLAN peut viser plusieurs objectifs, dont le premier est de disposer gratuitement d'un accès Internet en se connectant depuis l'extérieur sur le réseau radio d'un particulier ou d'une entreprise. Outre l'aspect financier, l'attaque peut mener au déni de service, si le hacker occupe toute la bande passante, par exemple en envoyant des spams. Le hacker peut également mener des attaques sur l Internet et visiter des sites terroristes ou pédophiles en toute impunité puisque le responsable identifié sera le propriétaire du réseau attaqué! Les autres attaques relèvent du désir de nuire en s'infiltrant sur le réseau dans le but d'accéder à des informations, voire même de modifier ou détruire ces informations Dénis de service Ces attaques visent à rendre le réseau inopérant. Contre elles, il n'existe pas de moyen de se protéger et l'administrateur est contraint de se déplacer et d'agir sur place, éventuellement aidé d outils de localisation. Le brouillage (jamming) Le brouillage d un réseau radio est relativement facile à réaliser avec un équipement radio qui émet dans la même bande de fréquence que le réseau Wi-Fi. Il ne présente aucun risque d intrusion, mais constitue un déni de service efficace. Au-delà d une certaine puissance, le brouillage peut saturer les équipements physiques du réseau attaqué et le rendre totalement inefficace. Accès en rafale Les attaques DoS, qui ne sont pas propres au sans-fil, consistent à bloquer l'accès au réseau par un trafic ou des connexions malveillantes en rafale (trames d'authentification/association), en dégradant très significativement la qualité des communications ou en générant une charge de traitement sur les équipements réseau ou client (requêtes de probe). Des outils permettent de détecter ce genre de flux, de générer un avertissement et d aider l'administrateur à localiser la source de l'attaque. Certains commutateurs Wi-Fi sont capables de se défendre d eux-mêmes en bloquant l accès Wi-Fi dès détection d un flux anormal de trafic entrant. Spoofed deauthenticate frames (désauthentifications forcées) Ce type d attaque consiste à générer des trames qui visent à annuler l authentification d un poste mobile. Celui-ci ne peut plus se reconnecter sur le réseau. Une autre attaque consiste à envoyer des trames broadcastées, c est à dire sans adresse définie, qui attaquent de la même façon tous les postes mobiles à portée Intrusions L Intrusion Client Cette attaque consiste à exploiter les vulnérabilités du client pour accéder au réseau. Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre la partie WLAN et le reste de l'infrastructure réseau, qui garantit un niveau de sécurité au moins égal à celui de l'environnement câblé. L Intrusion Réseau C'est une des attaques les plus critiques. Une intrusion réseau vise à prendre le contrôle des ressources réseau d'une entreprise. Les protections contre ce risque sont les systèmes IDS dédiés au Wi-Fi, qui vont chercher à corréler plusieurs évènements douteux pour déterminer si le réseau ou un système particulier est en train de subir une intrusion Falsification des points d accès Le Fake AP (faux AP) Le faux point d accès (Fake AP) n'est pas un véritable AP, mais une station du réseau. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 19/98

20 Des logiciels (généralement sous Linux) permettent de faire apparaître l'interface Wi-Fi d'un poste client comme un point d accès et de configurer son SSID et adresse MAC dans un but d'impersonation. Le PC du hacker joue le rôle de point d accès en usurpant le SSID du réseau et peut donc récupérer les connexions Wi-Fi des utilisateurs : pour se livrer à une attaque man-in-the-middle en reproduisant donc au fil de l'eau les trafics vers le réseau WiFi, et récupérer ou déduire les données de sécurité, pour récupérer les mots de passe sur une page Web identique au serveur d'authentification (cas d'une authentification Web), ou simplement pour pirater les PC clients s'il n'y a aucune sécurité. Le Rogue AP (AP indésirable) La faille de sécurité dite Rogue AP est la plus redoutée en entreprise. L attaque consiste à brancher sur le réseau un point d accès pirate qui diffuse dans une zone où peut se trouver le hacker. Elle nécessite certaines complicités au sein de l entreprise. La faille de sécurité peut aussi être ouverte «innocemment» et sans intention malveillante quand un utilisateur du réseau, par commodité au niveau de ses bureaux par exemple, connecte un AP sur la prise Ethernet murale, lui conférant une certaine mobilité avec son ordinateur à l'intérieur de la cellule ainsi créée. Ces installations pirates sont particulièrement dangereuses parce qu'elles ouvrent le réseau de l'entreprise au monde Wi-Fi, généralement avec un niveau de sécurité insuffisant. Au pire, l'ap est un ordinateur qui peut fonctionner comme un pont, créant un Wireless Bridge, à savoir un lien entre le réseau Wi-Fi et le réseau local câblé. Le pot de miel (honeypot) inversé L attaquant installe dans la zone de couverture du réseau radio un point d accès avec un signal plus fort qui cherche à apparaître comme faisant partie intégrante du réseau de la société pour attirer les postes clients (utilisation du même SSID), et les laisser se connecter (au niveau WLAN). De cette façon le pot de miel espère pouvoir espionner la phase de connexion, pour en déduire les paramètres utiles, quitte à effectivement reproduire simultanément la phase de connexion vers le réseau réel (cas du Man in the Middle) Impersonation (Usurpation d identité) Ce type d'attaque consiste à prendre la place d'un poste mobile ou d'un point d accès valide dans le but d'accéder au réseau ou aux services. Elle peut être la conséquence d une attaque de type Fake AP. Elle peut se faire au niveau du poste mobile en usurpant son adresse MAC ou au niveau du point d accès en usurpant son adresse MAC et son SSID. Dans le pire des cas, les éléments du réseau n'étant pas aisément localisables en transmission radio, un AP frauduleux peut inviter un client à se connecter au réseau par son accès et en déduire les éléments d'authentification de ce client Probing et Découverte du réseau Bien que la découverte du réseau soit une des fonctions initiales normales de Wi-Fi, c'est aussi une des premières étapes qu'un intrus doit accomplir, et au cours de laquelle il faut essayer de le détecter, même s'il est assez peu "bavard". 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 20/98

21 Le Wardriving et le Warchalking Livre ouvert sur la sécurité Les pratiques de Wardriving utilisées par les hackers qui se déplacent avec un poste mobile à l'écoute des réseaux radio pour les repérer et les signaler sur une carte sont bien connues. L'association à un système GPS permet de dresser une cartographie des points de présence de réseaux radio. La pratique du Warchalking consiste à matérialiser la présence de ces réseaux en taggant des signes convenus dans les rues : Les équipements nécessaires se trouvent aisément dans le commerce et des logiciels libres de Wardriving sont disponibles sur l Internet. Certaines listes de hotspots trouvées sur l Internet ne donnent pas que les hotspots «officiels» des cafés et restaurants, mais incluent également des sites victimes du Wardriving. Des équipements sont capables de détecter l'emploi des applications de Wardriving les plus répandues (Netstumbler, Wellenreiter et AirSnort sous Linux) grâce à leur "signature" spécifique, et d'envoyer un message d'avertissement à l'administrateur du réseau. A ce stade aucune agression n'a encore été menée contre le réseau, mais il est indispensable de savoir qu'il est sous "observation" extérieure. Le Warflying L emploi d antennes omnidirectionnelles pour les AP Wi-Fi permet une excellente propagation de ceux-ci à la verticale, d autant plus excellente qu il ne s y rencontre guère d obstacles. Les hackers les mieux équipés pratiquent ainsi le Warflying depuis des hélicoptères ou de petits avions volant à pieds. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 21/98

22 Récupération des informations sensibles du réseau Par «informations sensibles», on entend les informations qui vont permettre au hacker de se connecter au réseau attaqué, à recueillir en clair les informations qui y circulent, d introduire luimême ses informations sous forme de virus, de vers, voire de données erronées ou encore de détruire des données. L intrusion par sniffing Le principe est le même que sur les réseaux Ethernet et utilise un sniffer qui capture les messages d ouverture de session pour récupérer le nom et le mot de passe. Il suffit au sniffer d être dans la zone de couverture radio du réseau, soit dans un rayon d une centaine de mètres autour d un point d accès. Munis d un amplificateur de signal (une simple boite de biscuits peut faire l affaire), les sniffers ont la possibilité de travailler avec des signaux particulièrement faibles, ce qui leur permet d augmenter cette distance. L écoute étant passive, l attaquant a peu de chances de se faire remarquer. La zone de couverture du réseau doit être comprise dans son sens le plus large. Il ne s agit pas seulement de la couverture fournie par les points d accès, mais aussi de la zone dans laquelle rayonnent les terminaux raccordés au réseau, même éloignés. Ainsi, un usager travaillant dans un hotspot d aéroport loin de son entreprise devient une cible potentielle pour un hacker et l Intranet de la victime peut être alors attaqué par rebond depuis son poste nomade. L attaquant peut ensuite se connecter comme un utilisateur légitime (spoofing) puis envoyer toutes sortes de commandes, virus, etc. sur le réseau. Un moyen plus pernicieux consiste à forcer la déconnexion abusive d'un client pour pouvoir déduire les éléments d authentification et de chiffrement en observant la phase de reconnexion qui s'ensuit. Écoute malveillante (Eavesdropping) L écoute malveillante consiste à observer et décoder le trafic du réseau. Comme évoqué précédemment, certains modes de cryptage possèdent des faiblesses intrinsèques qui permettent de "craquer" le codage (le temps de traitement est inversement proportionnel à la quantité de trafic espionné). La principale protection est l'emploi d'un cryptage fort. Au WEP standard, peu robuste, on préférera un VPN SSL ou IPSec Attaque au niveau de la station Attaque par rebond Le hacker se connecte à la station et constitue avec elle un réseau «ad-hoc», c est à dire sans infrastructure de distribution, et peut accéder au réseau de l entreprise par rebond sur cette station. Ce type d attaque n est pas propre au poste mobile. Des postes fixes équipés d une option WiFi non désactivée sont tout autant vulnérables. 1.8 L INGENIERIE SOCIALE Auteur : Franck Franchin (France Telecom) franck.franchin@francetelecom.com L ingénierie sociale (ou «social engineering») est une pratique qui consiste à exploiter le maillon souvent le plus faible d un système ou d un processus de sécurité : le «facteur humain». Nous allons présenter quelques techniques couramment utilisées par ces piratages qui préfèrent «hacker» des humains plutôt que des systèmes informatiques. On peut distinguer deux types d attaques en ingénierie sociale : l attaque ciblée sur une entreprise ou un individu Ce type d attaque repose sur la connaissance précise d une organisation, des pratiques spécifiques à des métiers dans une volonté déterminée de nuire ou de tirer un profit précisément identifié. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 22/98

23 l attaque de masse, sans cible spécifique (bien qu il puisse exister des cibles génériques : banques, organisme de défense nationale) Ce type d attaque est basé sur des comportements humains et/ou internautes bien connus (lettre pyramidale, pièce jointe pour adultes, usurpation d identité non détectée) Avant toute attaque de type ingénierie sociale, l agresseur va chercher à se renseigner sur les organisations et/ou les personnes qui sont ou seront ses cibles. Il va utiliser des attaques de type rebond : une information disponible permet d en obtenir une autre, etc. Ces informations sont obtenues soit par une «attaque humaine», soit par une «attaque informatique» qui utilise de la technologie pour tromper une personne (exemple : site factice Ebay). Elles permettent entre autre d humaniser la relation avec la victime potentielle en obtenant des information de «proximité» : date et lieu de naissance, club de sport, marque du véhicule, nom de la petite amie, etc. Une fois ces informations glanées et les victimes identifiées, voici quelques techniques et méthodes bien connues que va mettre en œuvre l agresseur : L approche directe L agresseur va entrer en relation avec sa victime et lui demander d effectuer une tâche particulière, comme lui communiquer un mot de passe. Quand bien même le taux d échec de cette méthode soit important, la persévérance de l attaquant est souvent statistiquement couronnée de succès. Le syndrome «VIP» - L attaquant va se faire passer pour une personne très importante et légitime (directeur de l entreprise, officier de police, magistrat, etc.) pour faire pression sur sa victime et par exemple demander un accès à distance au système d information parce qu il a un urgent besoin de remettre un document confidentiel au Président L utilisateur en détresse L attaquant prétend être un utilisateur qui n arrive pas à se connecter au système d information (stagiaire, intérimaire). La victime croit souvent rendre service à cette personne fort sympathique et dans l embarras. Le correspondant informatique L agresseur se fait passer pour un membre de l équipe du support technique ou pour un administrateur système qui a besoin du compte utilisateur et du mot de passe de sa victime pour effectuer par exemple une sauvegarde importante. L auto-compromission (RSE Reverse Social Engineering) L attaquant va modifier l environnement de sa victime (ordinateur, bureau physique) de manière aisément détectable afin que ce dernier cherche de l aide en la personne de l agresseur. Le contact s effectue via une carte de visite laissée sur place, un courrier opportun ou un coup de fil anodin. Le courrier électronique Deux types d attaque sont possibles : le code malicieux (virus, vers) en pièce jointe qu il est nécessaire d ouvrir (hors exception) pour l activer ou les hoax. Le site Internet Un site web de type jeu/concours peut demander à un utilisateur de saisir son adresse de courrier électronique et son mot de passe. Statistiquement, le mot de passe ainsi donné est très proche, voire identique, au mot de passe de l utilisateur sur son système d information. Le vol d identité L attaquant a obtenu suffisamment d information sur la victime ou une des relations de la victime pour s identifier et s authentifier. Il lui suffit alors d endosser cette nouvelle identité. Au cours de ces dernières années, cet art de la persuasion s est transformé quelquefois en art de la menace. Certains attaquants ont eu recours à des méthodes proches du chantage ou de l extorsion, en menaçant par exemple leur victime de les dénoncer à leur patron suite à des échanges de fichiers à caractères pornographiques. Malgré le sentiment commun «ça n arrive qu aux autres», il n est pas si facile de se protéger contre des attaques de types ingénierie sociale. Les agresseurs sont souvent très experts dans leur démarche, jouent sur le registre de l entraide et de l humain, la plupart du temps sans être agressif, ont appris à improviser, à faire appel aux meilleurs sentiments de leurs victimes et surtout construisent souvent une première relation inter-personnelle avant de rechercher réellement à soutirer des informations. Quelques bonnes pratiques de sensibilisation permettent toutefois de réduire les risques. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 23/98

24 Tout d abord il faut informer sur les méthode utilisées, puis il peut être nécessaire de fournir quelques lignes directrices pour les contrer : La politique de sécurité de l information doit clairement définir les rôles et responsabilités de chacun, comme par exemple les droits d accès et les droits de savoir des équipes de support technique. Les responsables doivent accepter de limiter leurs périmètres au «besoin de savoir» et cette limitation doit être connue de tous dans l entreprise. La politique de nommage des adresses de courrier électronique, des applications, des rôles et plus généralement la politique de diffusion des annuaires de l entreprise doit être renforcée et contrôlée vis à vis de l extérieur. Les utilisateurs doivent prendre l habitude d identifier et d authentifier les personnes, les messages ou les applications qui leur demandent d effectuer certaines tâches sensibles. Une procédure ad-hoc doit être aisément accessible ainsi qu une autre permettant d informer leur administrateur en cas de doute. 1.9 LE CYBER RACKET Auteur : Franck Franchin (France Telecom) franck.franchin@francetelecom.com Tout utilisateur de l Internet doit désormais faire face à une cybercriminalité galopante, terme qui regroupe l ensemble des actes de nature délictuelle et criminelle qui sont perpétrés via la Toile. A l image de sa grande sœur aînée du monde physique, la cybercriminalité est constituée aussi bien par les infractions de blanchiment d argent, de pédophilie, d usage de faux sur Internet en passant par l attaque par déni de service d un site web ou encore de chantage. Le spectre couvert est large et l entreprise tout comme le particulier en sont donc potentiellement victimes La prolifération des risques La prolifération des cyber-risques s appuie principalement sur l augmentation des abonnés au haut débit via l ADSL, technologie qui a permis d accroître le temps passé à surfer et a créé la notion de «connexion permanente» encore inconnue du particulier il y a quelques années. Profitant de ces conditions, un nouveau délit informatique sévit actuellement sur le web : le cyber-racket ou la cyber-extorsion. Selon le code pénal français, «l extorsion est le fait d obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d un secret, soit la remise de fonds, de valeurs ou d un bien quelconque. L extorsion est punie de sept ans d emprisonnement et de euros d'amende». Appliqué au domaine informatique, le cyber-racket consiste à menacer une personne physique ou morale via son courrier électronique ou son site web pour lui soustraire de l argent. Issus principalement d Europe de l Est, du Brésil ou de la Chine, leurs auteurs tirent leurs motivations aussi bien de l argent escompté d une telle escroquerie que de la réputation qu ils peuvent en jouir dans l univers underground de la cybercriminalité. Tout un nouvel écosystème s est rapidement mis en place. Les chimistes ont été remplacés par des hackers et les passeurs par des prêtes-noms qui ouvrent des comptes bancaires et possèdent des adresses de courrier électronique. Les lieux des infractions sont, pour l instant, concentrés sur les entreprises aux États Unis et à Londres mais tous les États occidentaux sont concernés potentiellement par ces nouveaux délits. Plusieurs cas ont défrayé la chronique outremanche et outre-atlantique comme lors du Superbowl ou de certaines courses hippiques Les approches Les approches sont différentes selon que la cible soit une personne morale, un salarié d un personne morale ou un particulier, personne physique. Le mode opératoire du cyber-racket appliqué à l entreprise est assez simple. En effet, des attaques par déni de service distribué (DDoS) via des machines compromises (dites zombies) sont capables de bloquer pendant de longues périodes l accès à un site ou à un réseau d entreprise en le bombardant de fausses requêtes. Les criminels réclament ensuite de l argent à leurs victimes en échange de l arrêt des attaques. De cette façon, l entreprise qui crée habituellement de la richesse grâce à son site web parce qu elle offre la possibilité de parier en ligne ou de commander à distance 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 24/98

25 différents produits, subit l indisponibilité de ses offres de services et, par conséquent, l insatisfaction de ses clients et une perte d exploitation. Concrètement, les racketteurs s attaquent principalement aux casinos en ligne et aux sites de commerce électronique, mais également à des victimes plus inattendues comme le port américain de Houston. Autre exemple connu, durant le Superbowl 2003 aux États-Unis, un racketteur a menacé plusieurs sites de paris en ligne d une attaque en déni de service s ils ne s acquittaient par d une somme allant de USD à USD. D un autre côté, les particuliers et notamment les collaborateurs d une entreprise doivent également faire face à ces nouvelles menaces. Là encore, le mode opératoire est assez simple. Le courrier électronique est le moyen retenu la plupart du temps par les cybercriminels pour extorquer de petites sommes d argent à des salariés. Le chantage peut porter sur la menace d effacer des fichiers importants sur leur ordinateur ou d y copier des photographies pédophiles. Cette technique débute en général par un courrier électronique demandant au destinataire de payer de 20 à 30 USD sur un compte bancaire électronique. Bien évidemment, il ne faut surtout pas obtempérer à une telle injonction car ce serait l effet boule de neige assuré! Le fait que l objet de l infraction soit une petite somme conduit souvent les victimes à accepter et à ne pas vouloir ébruiter l affaire Un exemple Par exemple, F-Secure, un éditeur informatique finlandais spécialisé dans la sécurité, a révélé que le personnel d une grande université scandinave avait été la cible d une tentative d'extorsion de ce genre. «Selon Mikko Hypponen, directeur de recherche chez F-Secure, des membres du personnel ont ainsi reçu un , apparemment en provenance d Estonie, qui indiquait que l expéditeur avait découvert plusieurs failles de sécurité dans le réseau informatique et menaçait d effacer un grand nombre de fichiers, sauf si les destinataires payaient 20 euros sur un compte bancaire en ligne». Ce dernier poursuit et affirme même qu «avant, si vous vouliez extorquer de l argent à des entreprises, il fallait pirater leur système d information et les persuader que vous aviez volé des informations. Maintenant, il n'y a rien d autre à faire que d envoyer un » Les règles à suivre Il convient d observer certaines règles au sein de son entreprise pour éviter ce type de déboires : Règle N 0 : Le cyber-chantage use du même cercle vicieux que le chantage physique. Une fois rentré dans le jeu de votre adversaire, il est impossible d en sortir facilement et c est l escalade assurée. Il vaut mieux refuser dès le début quand bien même la menace soit mise à exécution et informer qui de droit. Règle N 1 : Ne pas répondre à un courrier électronique en provenance d une personne inconnue et/ou dont l adresse de courrier électronique semble étrange (quant bien même il n est pas difficile pour un pirate de se «présenter» avec une adresse de courrier électronique usurpée ). Règle N 2 : Ne jamais verser de somme d argent, si petite soit elle, sur un compte bancaire d un tiers non clairement identifié. Rappelons aussi que le protocole SSL mis en avant dans le commerce électronique ne garantit pas l honnêteté du possesseur du certificat serveur! Règle N 3 : En cas de réception d un courrier électronique de type cyber-racket, prévenir immédiatement votre correspondant de sécurité. Règle N 4 : Ne jamais donner ses coordonnées bancaires à une personne ou sur un site dans lequel vous n avez pas pleinement confiance. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 25/98

26 2 LES CONTRE-MESURES ET MOYENS DE DEFENSE Comme nous l avons évoqué, l anti-virus n est pas le seul outil nécessaire pour sécuriser un réseau. En fait toute une panoplie de solutions doit être envisagée pour offrir un niveau acceptable de sécurité. L idéal est de posséder une interface commune de gestion de ces outils et d offrir à l utilisateur une totale transparence et un moyen unique de s authentifier qui sera cascadé entre tous les outils quand nécessaire. 2.1 LES FIREWALLS BASTION Auteur : Gérard Péliks (EADS) gerard.peliks@eads-telecom.com Le firewall, appelé aussi pare-feu ou garde-barrière, est l élément nécessaire, mais pas suffisant, pour commencer à implémenter une politique de sécurité sur son Intranet. La première caractéristique d un Intranet est d être un réseau privé. Mais si ce réseau privé présente des connexions vers l Internet ou vers tout autre réseau public, pourquoi doitil être considéré comme un réseau privé plutôt que comme une extension de l Internet ou du réseau public? avec tous les risques que cela entraîne. Un firewall est un dispositif logiciel ou matériel (les appliances) qui filtre tous les échanges qui passent par lui pour leur appliquer la politique de sécurité de l entreprise. Cette politique, au niveau du firewall consiste à laisser passer tout ou partie de ces échanges s ils sont autorisés, et à bloquer et journaliser les échanges qui sont interdits. Bien entendu, la finesse et la granularité des éléments entrant en jeux dans le filtrage des échanges, et la hauteur de vue du firewall pour traiter ce qu il convient de laisser passer ou de bloquer, mesurent la capacité d un firewall à prendre en compte des politiques de sécurité qui peuvent être très complexes, au moins durant leur phase de conception, dans l esprit de ceux qui les rédigent. Le firewall contrôle toutes les transactions qui passent d un réseau à l autre, ne laisse passer que celles autorisées et journalise les tentatives d attaque Les paramètres pour filtrer les données L idéal est bien sûr de pouvoir filtrer les données suivant le plus de critères possibles. Filtrer suivant le protocole du paquet IP, qui caractérise l application, est un minimum. Pour filtrer la messagerie ou les accès Web, en leur attribuant des permissions ou des interdictions, on se base sur le protocole applicatif utilisé au-dessus du protocole IP (SMTP pour la messagerie, HTTP pour le Web). Il est ainsi possible de permettre à un utilisateur nomade, de l extérieur, l accès à son serveur de messagerie et de lui refuser l accès au Web situé sur l Intranet. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 26/98

27 Les Firewalls évolués permettent de filtrer aussi en fonction de l origine et de la destination des échanges. Ainsi suivant l individu, ou le groupe auquel il appartient, suivant le serveur auquel il souhaite accéder, situé de l autre côté du Firewall, une politique de sécurité particulière sera appliquée à cet individu. Le filtrage en fonction du port est également une fonctionnalité importante. Le port est un nombre qui caractérise une application. Par exemple le port standard et réservé du Web est le port 80, mais on peut également faire des accès web à travers bien d autres ports (il y en a plus de possibles). Une politique de sécurité complète pour le Web doit tenir compte de tous les ports utilisés, et par exemple bloquer les ports qui ne sont pas dédiés aux flux dont on tolère le passage A quel niveau du paquet IP le filtrage doit-il se situer? Il existe des firewalls qui ne filtrent qu au niveau élémentaire du paquet IP et d autres, plus évolués qui montent jusqu au niveau applicatif pour appliquer une politique de sécurité centrée sur l utilisateur et l utilisation faite des applications que le firewall protège. Le paquet IP se compose de deux éléments : l en-tête et la donnée. Dans l en-tête on trouve l adresse IP, le nom de l hôte origine et destination, et le numéro de port entrant et sortant. Les firewalls qui se contentent de filtrer à ce niveau offrent peu de souplesse pour implémenter une politique de sécurité, par contre offrent de très bonnes performances réseaux puisqu ils ne passent pas beaucoup de temps à filtrer les paquets. Certains firewalls fonctionnent à base de relais de proxies. Un proxy est une application située sur le firewall, qui permet à celui-ci de se faire passer, vis à vis de l utilisateur, pour le serveur de l application à laquelle il veut accéder. Avec ce mécanisme de proxy, un firewall est capable de fonctionner comme un sas qui demande à l utilisateur de s authentifier, prend en compte sa demande, la transmet au serveur si celle ci est autorisée. Au retour, il analyse les paquets IP au niveau applicatif et peut les recomposer en des paquets conformes à la politique de sécurité de l entreprise, avant de transmettre le résultat à l utilisateur. Par exemple dans un flux web, le proxy HTTP est capable d enlever des pages web les ActivesX, les applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de limiter la taille des fichiers attachés aux s, de refuser les attachements de fichiers exécutables et de bloquer les messages qui, dans leur champ sujet, contiennent les fameux mots I LOVE YOU. Plus un firewall dispose d un nombre important de proxies, plus souple et plus complète peut être la politique de sécurité qu il implémente. On trouve aussi dans certains firewalls, un proxy générique qui peut être programmé pour s adapter à des besoins très spécifiques d une entreprise. Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on trouve un niveau intermédiaire connu sous le nom de «statefull Inspection» où l état d un paquet IP entrant est mémorisé pour pouvoir traiter ce qu il convient de faire avec le paquet réponse qui revient par le firewall Le masquage des adresses IP du réseau interne La première information que le hacker désire connaître est l architecture de l Intranet qu il cherche à attaquer. Cela ne lui suffit pas pour réussir son attaque mais cela lui fait gagner du temps, alors, pour ne pas faciliter ses coupables desseins, et pour lui mettre des entraves autant commencer par cacher l architecture du réseau privé et en particulier les adresses IP qui peuvent lui permettre de la reconstituer. Les firewalls offrent cette possibilité en substituant aux adresses IP de l Intranet, l adresse du contrôleur réseau qui permet au firewall de communiquer avec l extérieur. C est ce qu on appelle en jargon de sécurité la NAT (Network Address Translation) translation des adresses du réseau. Le monde extérieur ne verra le réseau Intranet que comme une adresse IP unique, celle du contrôleur réseau externe du Firewall, même si l Intranet possède plusieurs milliers d adresses IP Les zones démilitarisées Un firewall doit être placé en coupure entre un réseau non protégé (par exemple l Internet) et les réseaux qu il protège. Il contrôle les informations qui passent entre les deux réseaux. Plus de deux 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 27/98

28 interfaces réseaux peuvent équiper un firewall. Celui-ci contrôle alors ce qui passe entre chacune de ses interfaces réseau et applique une politique de sécurité qui peut être particulière à chacune de ces interfaces. Supposons un firewall avec trois interfaces réseaux, donc duquel partent trois réseaux. Le premier est celui qui va vers l extérieur, vers le réseau non protégé, comme l Internet, via un routeur. Le deuxième est le réseau interne à protéger. Le troisième réseau n est ni tout à fait le réseau interne à protéger, ni le réseau public. C est un réseau sur lequel on peut appliquer une politique de sécurité particulière, moins stricte que celle du réseau interne. Il s agit là d une DMZ (DeMilitarized Zone zone démilitarisée) sur laquelle on place en général le serveur Web de l entreprise et parfois le serveur anti-virus et le serveur de messagerie Firewall logiciel ou firewall matériel? On trouve sur le marché des offres de firewalls logiciels proposés pré-chargés sur une plate-forme matérielle. Ce sont les appliances. Les constructeurs proposent des gammes d appliances sous forme de mini tours ou de racks. L appliance est un moyen simple d installer un firewall dans une entreprise puisqu il suffit de booter la machine et le firewall est prêt à fonctionner. Tous les flux sont bloqués à l installation. Bien évidemment il reste ensuite à particulariser cette appliance selon la politique de sécurité de l entreprise. Certains constructeurs proposent leurs propres plates-formes matérielles chargées avec leurs firewalls logiciels, d autres ne proposent qu une plate-forme matérielle avec les logiciels venant d un autre éditeur de logiciels avec qui ils sont en partenariat technologique, d autres encore proposent des logiciels pré-chargés sur une plate-forme du commerce qui est généralement un PC avec des contrôleurs réseaux également du commerce En parallèle ou en série? Le firewall est un point de passage stratégique de l entreprise car c est par lui que tout flux entant et sortant doit transiter. Dans certain cas, par exemple pour le commerce électronique, une interruption de fonctionnement du firewall peut représenter une perte d argent conséquente. Une bonne solution est de prévoir deux firewalls ou plus, en parallèle, et un dispositif automatique pour que si l un tombe en panne, un autre prenne le relais. Et puisque on dispose alors de plusieurs firewalls, en fonctionnement normal Il est intéressant de les faire fonctionner en partage de charge, le moins chargé à un instant donné devenant davantage disponible pour traiter les nouveaux flux qui arrivent. Si l on veut assurer une sécurité optimale, il est intéressant de mettre deux firewalls de technologie différente en série. Ainsi si un agresseur réussi à passer la première ligne de défense constituée par le firewall en amont, il tombera sur la deuxième ligne de défense, différente dans sa manière de traiter la politique de sécurité. L agresseur devra donc recommencer son travail de pénétration alors qu il aura toutes les malchances d avoir été repéré durant son intrusion dans le premier firewall. Ce système est utilisé quand la sécurité doit être maximale. On place souvent un firewall qui fonctionne par filtrage de circuits à l extérieur, et un firewall fonctionnant par relais de proxies à l intérieur Sous quel système d exploitation? Le système d exploitation est composé des services système qui assurent la correspondance entre la plate-forme matérielle et les logiciels du firewall. C est donc un socle très important qui intervient dans la sécurité globale de la solution de sécurité. On trouve des systèmes d exploitation écrits par des fournisseurs de firewalls, et donc bien adaptés au logiciel firewall, et aussi à la plate-forme matérielle propriétaire d une appliance. On trouve également des firewalls tournant sur des systèmes d exploitation du commerce tels que les UNIX ou les systèmes d exploitation de Microsoft. Dans les divers systèmes UNIX, certains proposent leur offre sous une implémentation de LINUX, sous un dérivé du système UNIX BSD (Free BSD, Open BSD, NetBSD), sous Solaris de SUN, et encore sous d autres systèmes UNIX. Il n est pas question ici de trancher sur le meilleur système d exploitation sur lequel doit s appuyer un firewall, mais il est évident que d un point de vue sécurité, il est inutile, voir dangereux de bâtir un 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 28/98

29 mur infranchissable (le firewall) sur un terrain meuble (le système d exploitation) à travers lequel un hacker pourrait creuser un passage. Il est bon qu un fournisseur de firewall maîtrise le système d exploitation sur lequel tourne son logiciel firewall, jusqu au niveau des codes sources et des compilateurs qui servent, à partir de ces sources, à obtenir ce système d exploitation. Pour ne pas connaître de mauvaises surprises lors de l installation d un firewall logiciel sur site, il faut s assurer également qu à tous les éléments matériels de la plate-forme, et en particulier aux contrôleurs réseau, correspond un driver dans le système d exploitation. Un firewall aura de meilleures performances si le système d exploitation est conçu dans le but de gérer au plus fin sa plate-forme matérielle. D un autre côté si le système d exploitation est un système du commerce, l utilisateur aura plus de choix pour sa plate-forme matérielle, et le firewall logiciel acquis sera transférable vers une plate-forme matérielle plus puissante quand les besoins des utilisateurs évolueront. 2.2 LE FIREWALL APPLICATIF Partie prise en charge par Sami Jourdain (Deny All) sjourdain@denyall.com et Isabelle Bouet (F5) ibouet@f5.com 2.3 LE FIREWALL PERSONNEL Partie traitée provisoirement par Gérard Péliks (EADS) Après authentification mutuelle des deux extrémités du tunnel, et création du tunnel chiffrant, l utilisateur nomade accède, depuis l extérieur, aux serveurs de son Intranet, qui lui sont autorisés, avec autant de sécurité que s il était resté dans son Intranet. Cela constitue toutefois un sérieux danger. Si le poste de travail nomade est attaqué par un hacker qui prend le contrôle de ce poste à distance, souvent sans que l utilisateur qui a créé un tunnel, puisse s apercevoir à temps de l agression, une voie royale est offerte à l attaquant vers les serveurs de l Intranet, et tout le réseau privé est ainsi mis en danger. Pour éviter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum de sécurité, équivalent à celui d un firewall personnel. Les fonctions anti-rebond et blocage des flux entrants d un tunnel client apportent ce niveau de sécurité. Le blocage des flux entrants empêche toute tentative de connexion vers le poste nomade. L antirebond ne permet pas de passer par le poste nomade pour emprunter un tunnel. Sans ces fonctionnalités, un tunnel offre à l attaquant un accès direct vers les serveurs de l Intranet, car le flux étant autorisé, aucun firewall ne s inquiéterait de son contenu et le flux étant chiffré, aucune sonde de détection, placée en amont de la passerelle tunnel constituant l autre bout, ne pourrait l analyser pour réagir à une attaque. Pour préserver l intégrité des données sur un disque dur, il est aussi intéressant, même hors période où des tunnels sont établis entre le poste de travail et l Intranet, de mettre en œuvre un firewall personnel qui détectera les agressions. Celles-ci sont fréquentes surtout si le poste de travail reste longtemps connecté (comme c est le cas avec des connexions permanentes, avec le câble par exemple). 2.4 L AUTHENTIFICATION FORTE, Partie prise en charge par Frédéric Hubert (THALES) Frederic.HUBERT@fr.thalesgroup.com et Max de Groot (Gemplus) max.de-groot@gemplus.com L authentification et la chaîne de sécurisation La sécurisation des échanges de données sur des réseaux privées ou publics prend de plus en plus d importance. Non pas seulement parce qu avec l essor de réseaux sans fil publics on trouve davantage d endroits pour se connecter sur l Internet, réseau ouvert et vulnérable et vecteur de nombreux virus, menaces, chevaux de Troie et autre Spam, mais aussi parce qu en marge du succès du GSM, les fournisseurs d accès cherchent à se faire rémunérer par l utilisateur. On va donc vouloir protéger les données, mais aussi le revenu. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 29/98

30 Pour atteindre ces deux buts, il faut forcément commencer par une authentification forte, obtenue par la mise en œuvre de protocoles d authentification bien connus, analysés et souvent même attaqués pour en tester la robustesse. A l issue de l authentification, le client et le serveur d authentification partagent un secret qui peut ensuite être utilisé pour le chiffrement des données, permettant d en garantir la confidentialité et l intégrité. Toute personne qui intercepterait le flux ne pourrait en comprendre le contenu et aucun malfaiteur ne peut modifier des données ou utiliser la connexion d un tiers sans posséder le secret partagé. La mise en œuvre de cette protection n a aucun sens si, à la base, le serveur n est pas sûr de l authenticité de l utilisateur et inversement. Les normes Wi-Fi spécifient comment monter une protection dite robuste en se fondant sur un protocole d authentification générique. On parle d une chaîne de protection, associant la protection physique et logique du serveur d authentification, les protocoles d authentification et les données de l identité de l utilisateur, stockées sur son poste de travail. Le maillon le plus faible de cette chaîne est souvent l authentification de l utilisateur. En effet, de toute la chaîne d authentification, seul le poste de l utilisateur se ne trouve pas dans le domaine maîtrisé et contrôlé par l opérateur ou dans l Intranet contrôlé par l entreprise. Pour simplifier la tâche de l utilisateur qui, hors de son Intranet, est incontrôlable, des méthodes simples et rapides d authentification ont été inventées. Cependant leur utilisation n est sous contrôle ni de l entreprise, ni du fournisseur de services. Le mot de passe est-il sauvegardé sur le poste de travail, fait-il partie des 79% des mots de passe aisément devinables, est-il partagé entre plusieurs individus? Les opérateurs GSM ont bien compris la problématique. En utilisant la carte à puce pour l authentification, ils ont dans le poste de travail (le téléphone mobile) un objet qu ils contrôlent et qui renforce la chaîne de bout en bout. La sécurisation de réseaux commence donc par une authentification forte, généralement obtenue par deux facteurs, c est à dire par la présentation simultanée de quelque chose que l on possède et quelque chose que l on sait ou que l on est. La carte à puce (quelque chose que l on a), par exemple, ne devient opérationnelle qu après présentation d un mot de passe (quelque chose que l on sait) ou vérification d une empreinte digitale (quelque chose que l on est.) La méthode classique d authentification par nom d utilisateur et mot de passe est à bannir des réseaux sécurisés car elle ne met en œuvre qu un seul des facteurs nommés ci-dessus (quelque chose que l on sait) et le mot de passe est généralement aisément devinable (quand il n est pas stocké sur le PC.) Carte à puce, clé USB ou empreinte digitale combinée à un code PIN constituent un moyen d authentification beaucoup plus sûr qu un simple mot de passe Le rôle de la carte à puce dans l authentification Une carte à puce est un morceau de plastique rectangulaire, plat, équipé d un microprocesseur avec mémoire, capable de dialoguer en direct avec le monde extérieur, tel qu un PC. Son point fort se trouve dans la protection physique et logique du composant, sa mémoire et les données qu elle contient d une part, et la façon dont une carte est produite, personnalisée, distribuée et activée d autre part. Ainsi, le composant microélectronique est conçu en vue de la protection des données sensibles. Par exemple, la mémoire inclue se trouve en règle générale non pas en surface, mais au cœur du silicium, pour éviter l espionnage par balayage d électrons. Des filtres électriques protègent son fonctionnement en dehors de la marge normalement prévue, pour éviter des attaques se fondant sur les limites de fonctionnement. Le système d exploitation des cartes fournit une protection logique, évitant l accès non autorisé aux données et permet des calculs cryptographiques sur des données secrètes qui ne seront jamais divulguées à l extérieur. Les systèmes de développement modernes comme Java, sont disponibles sur la carte à puce et fournissent une plate-forme ouverte sur laquelle une large population de 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 30/98

31 développeurs de services peuvent intégrer leurs applications, sans interférer sur les données d autres applications. Les phases de la vie d une carte, les processus de fabrication, d initialisation et de personnalisation, de distribution et d activation sont protégés, documentés, audités et accrédités par des organismes veillant sur la sécurité des données. Il existe d ailleurs des processus d évaluation de sécurité de cartes à puce basés sur les Critères Communes et les cartes et leurs systèmes d exploitation sont certifié à des niveaux de plus en plus élevés. La carte à puce possède donc des atouts sérieux pour participer à l authentification forte, : une fois son porteur authentifié par code d identification personnel (PIN) ou par comparaison des minuties de ses empreintes digitales ou de la structure de son iris avec des données stockées dans la carte la carte permet d exécuter tout ou partie du protocole d authentification en utilisant les données secrètes stockées dans sa mémoire indépendamment du niveau de sécurité du poste de travail. Elle prouve ainsi à la fois l identité de son porteur (qui connaît le code PIN) et sa propre connaissance de données justificatives, sans pour autant divulguer des données sensibles. Un autre avantage de la carte à puce est sa portabilité. Un utilisateur porte les données justificatives de son identité sur sa carte d identité électronique qui est en permanence sur lui. Il peut utiliser n importe quel ordinateur pour se connecter au réseau ou service souhaité, sans laisser traces de son authentification, contrairement à un nom d utilisateur et mot de passe, par exemple, qui peuvent être gracieusement sauvegardés par le système d exploitation de l ordinateur pour une utilisation future. Par ailleurs, l utilisateur n a pas à divulguer de mot de passe à un tiers, et le secret partagé avec le serveur d authentification lui est inconnu et stocké sur sa carte Exemples actuels d utilisation de carte à puce L exemple le plus connu de l utilisation de la carte à puce pour l authentification est la téléphonie mobile. La carte SIM contenant une clé secrète effectue un calcul cryptographique avec cette clé et un numéro aléatoire envoyé par le réseau. Le résultat est comparé par le réseau avec un résultat attendu pour vérifier si la carte est authentique. Ce processus étant protégé par la saisie du code PIN de l utilisateur, il permet aussi de confirmer l identification de l utilisateur. Désirant utiliser la carte SIM aussi pour les réseaux sans fil publics qu ils opèrent, les opérateurs de téléphone mobile ont spécifié un protocole d authentification s insérant dans les spécifications Wi-Fi, mettant en œuvre la SIM. Ainsi, au fur et à mesure du déploiement des nouveaux réseaux, les systèmes basés sur nom/mot de passe seront remplacés par des systèmes d authentification forte, basé sur la SIM. A l intérieur des téléphones portables des abonnés GSM, la carte à puce peut être réutilisée pour des applications nouvelles. Ainsi, le poste de travail peut utiliser des applications localisées sur cette carte SIM, sans que cela ne nécessite le branchement sur le PC d un lecteur de carte. Le téléphone mobile, dialoguant avec le PC par une connexion Bluetooth, remplit cette fonction. Ainsi, le téléphone portable devient, grâce à la carte à puce, un dispositif d authentification multimodale. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 31/98

32 Téléphone portable devenant un dispositif d authentification en donnant accès à sa carte à puce via un lien Bluetooth, permettant au poste de travail d accéder au réseau. Un autre exemple est l authentification forte des réseaux virtuels privés à base de clé publique, utilisant les cartes à puce. L architecture système de Microsoft Windows permet d ores et déjà l utilisation des cartes à puce comme fournisseur de service cryptographique pour éviter de devoir mémoriser la clé privée dans la mémoire du poste de travail. En fait, la carte contient la clé privée dans une zone sécurisée et l utilise seulement pour des services bien définis. La carte avec la clé peut être distribuée facilement et de façon contrôlée en évitant toute divulgation inopinée de la clé privée Conclusion L authentification forte est un maillon essentiel de la chaîne de sécurité des échanges distants pour les entreprise. La carte à puce est un vecteur de confiance important dans l authentification et la sécurisation des réseaux, auxquelles opérateurs de téléphonie mobile GSM ou 3G font confiance depuis plus d une décennie. Elle permet de plus la mise en œuvre simple d authentifications fortes pour divers contextes juxtaposés. De ce fait, elle constitue une option technique incontournable pour l authentification forte dans le cadre des réseaux d entreprises. 2.5 LE CHIFFREMENT, Partie prise en charge par Abdallah Mhamed (INT Evry) et Anne Coat (AQL) Partie traitée provisoirement par Gérard Péliks (EADS) Le chiffrement consiste à traiter les données, par une clé de chiffrement qui met en oeuvre des algorithmes mathématiques qui brouillent ces données à une extrémité du tunnel, puis à retraiter à l autre extrémité du tunnel ces données par une clé de déchiffrement qui les rétablit en clair. Si la clé de chiffrement est identique à la clé de déchiffrement, le chiffrement est dit symétrique. Si la clé de chiffrement et la clé de déchiffrement sont différentes, le chiffrement est dit asymétrique. Le chiffrement symétrique type DES et 3DES est rapide mais le problème est de faire passer, de manière sécurisée, la clé de chiffrement, d une extrémité du tunnel à l autre, sur le réseau non protégé. A moins que les clés ne résident en dur sur chaque extrémité du tunnel, le danger est de voir sa clé de chiffrement volée durant son transfert. Il est dangereux de garder longtemps la même clé de chiffrement, et c est une bonne idée de la changer souvent, mais il faut alors faire transiter 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 32/98

33 chaque nouvelle clé sur le réseau non protégé. Cela augmente d autant plus le danger de voir ces clés secrètes subtilisées par des individus mal intentionnés, ou au moins non autorisés à les détenir. Le chiffrement asymétrique dont le plus connu est le RSA offre de moins bonnes performances en vitesse de traitement mais il ne nécessite pas d échanger une clé secrète entre les extrémités du tunnel. L une des deux clés est publique et le but est même de la diffuser largement. L autre, propriété d un utilisateur, doit absolument rester secrète et il ne doit jamais la communiquer. Les deux clés asymétriques sont liées par des algorithmes qui rendent impossible, connaissant l une des deux clés, de recomposer l autre. Le couple de clé de chiffrement / déchiffrement se compose d une clé privée que l utilisateur détient et qu il ne communique à personne, et d une clé publique qui n est pas un secret et dont le but est d être communiquée à tout le monde. Si la clé privée est utilisée pour chiffrer un message, il ne sera possible de déchiffrer ce message qu avec la clé publique correspondante. Inversement, si une clé publique est utilisée pour chiffrer, il ne sera possible de déchiffrer qu avec la clé privée associée. Dans le cas de la signature d un message, l utilisateur chiffre avec sa clé privée. Tous ceux qui possèdent la clé publique correspondante peuvent déchiffrer le message et sont sûrs que le message ne peut venir que de celui qui possède la clé privée associée à la clé publique qu ils détiennent. Dans le cas du chiffrement d un message, l utilisateur chiffre avec la clé publique de son correspondant et se trouve ainsi certain que seul son correspondant, qui possède la clé privée associée, pourra déchiffrer le message. Un réseau privé virtuel combine généralement les deux techniques, une clé symétrique pour chiffrer / déchiffrer, et un couple de clés asymétriques pour authentifier mutuellement les deux extrémités du tunnel et échanger la clé symétrique à travers le réseau non protégé. Dans le scénario des clés asymétriques, il reste un problème à régler : comment être sûr que la clé publique que l on détient est bien la clé associée à la clé privée de son correspondant? C est ici qu interviennent les certificats et les PKI. 2.6 LA STEGANOGRAPHIE Partie prise en charge par Olivier Caleff (Apogée Communications) / Alexandre le Faucheur(VALEO) Partie traitée provisoirement par Gérard Péliks (EADS) La technique de la stéganographie, considérée parfois à tord comme le chiffrement du pauvre, est très utilisée selon la CIA, dans les vidéos et les sonos de Ben Laden ou par le cartel de medellin. Du grec, Στεγανος (chiffrement), la stéganographie est une technique de dissimulation d un secret dans un message en clair. Alors que le chiffrement assure la confidentialité, l intégrité et l authenticité d un message, il attire aussi immanquablement l attention des hackers. Un message caché dans un message en clair (texte, image, son, vidéo) peut par contre transiter sans éveiller les convoitises, ce qui rend la stéganographie redoutable. 2.7 LES VPN Partie traitée provisoirement par Gérard Péliks (EADS) Un VPN est un réseau privé virtuel à recouvrement construit au-dessus de réseaux de transit IP. L entreprise étendue et les communautés sont de plus en plus interconnectées via les réseaux, pour des relations entre des sites distants, avec des travailleurs à domicile, avec des clients, des fournisseurs, des partenaires, etc. Les différents types de VPN identifiés pour répondre aux besoins des utilisateurs sont : les VPN de type Intranet pour les communications entre sites d une entreprise, les VPN de type accès distant pour les utilisateurs qui veulent se connecter à distance au moyen de postes de travail fixes ou mobiles à leur entreprise via un réseau public, filaire ou sans fil, les VPN de type Extranet pour des communications entre une entreprise et ses partenaires, ses fournisseurs et ses clients. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 33/98

34 Les VPN sont utilisés également pour réaliser : des VPN administratifs, pour la télé-maintenance de machines ou de services Web des VPN voix qui transportent et sécurisent la voix sur des réseaux convergés. Un réseau privé virtuel est donc un tunnel qui s établit sur un réseau entre deux passerelles. Après authentification mutuelle entre ces deux passerelles, et échange d une clé secrète de chiffrement, chiffre les transactions sortant d une passerelle, et les déchiffre à l autre extrémité, à la sortie de la deuxième passerelle, si la politique de chiffrement l impose. Entre les deux passerelles peut se trouver un réseau non protégé, voire un réseau public comme l Internet. Les paquets IP qui passent dans le réseau non protégé ne pouvant y être déchiffrés, l utilisateur peut considérer, durant le temps de passage des paquets entre les deux passerelles, que ses données ne pourront être lues par des personnes non autorisées. Donc le temps de l établissement du tunnel, le réseau non protégé appartient virtuellement à cet utilisateur. Ainsi un Réseau Privé Virtuel assure plusieurs fonctions : L authentification des deux extrémités du tunnel, pour s assurer que les paquets arrivent bien à la bonne destination, et partent bien de la bonne origine. La confidentialité pour que les paquets ne puissent être lus durant leur transfert sur le réseau non sécurisé. L intégrité pour éviter que les paquets puissent être altérés durant leur transfert. La non-répudiation qui permet d établir que les paquets reçus ont bien été envoyés Les VPN IPSec, Auteur : Michel Habert (Netcelo) michel.habert@netcelo.com Il y a une trentaine d années, quand fut conçu le protocole IP, autour duquel l Internet est bâti, il n était pas question de réseaux sécurisés. Bien au contraire, le but de l Internet était de tout partager, dans un monde essentiellement universitaire. Il y a une dizaine d années, les entreprises purent enfin utiliser ce média de communication. Apparurent alors la nécessité d assurer un adressage plus étendu, et le besoin de faire évoluer l état du protocole, alors IPv4, vers un nouveau protocole IP mieux adapté au monde commercial avec en particulier des fonctions d authentification et de chiffrement. l IPv6, nouvelle norme des réseaux IP a été défini à cet effet. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 34/98

35 Livre ouvert sur la sécurité Mais le passage de l IPv4 à l IPv6 impliquant d importantes modifications dans les infrastructures réseaux existantes, - on attend aujourd hui la généralisation de l IPv6 vers l année l IETF (l Internet Engineering Task Force) proposa, en attendant, des extensions au protocole IPv4, aujourd hui décrites dans les RFC 2401 à C est ainsi que l IPSec fut défini, en natif dans l IPv6 et ajouté à l IPv4. L IPSec permet de créer un réseau privé virtuel entre un poste de travail et un serveur d application (mode transport) ou entre deux passerelles réseau (mode tunnel). Pour chacun de ces deux modes, l IPSec ajoute des champs supplémentaires aux paquets IP Qu est ce qu IPSec? IPSec est un ensemble de protocoles, développés par l IETF (Internet Engineering Task Force) dont le but est de sécuriser le paquet IP et de réaliser des VPN. IPSec est indépendant des réseaux et des applications, il supporte tous les services IP (exemple HTTP, FTP, SNMP,..). Un protocole de sécurité Les services de sécurité offerts sont l intégrité en mode non connecté, l authentification de l origine des données, la protection contre le rejeu et la confidentialité (confidentialité des données et protection partielle contre l analyse du trafic). Ces services sont fournis au niveau de la couche IP, offrant donc une protection pour le protocole IP et tous les protocoles de niveau supérieur. IPSec supporte plusieurs algorithmes de chiffrement (DES, 3DES, AES) et il est conçu pour supporter d autres protocoles de chiffrement. L intégrité des données est obtenue de deux manières: un message digest 5 de 128-bits (MD5)- HMAC ou un algorithme de hachage sécurisé de 160-bits (SHA)-HMAC. Pour assurer la confidentialité des données et l authentification de leur origine, IPSec utilise deux protocoles : AH et ESP. Le protocole AH Le protocole AH (Authentication Header) assure l intégrité des données en mode non connecté, l authentification de l origine des données et, de façon optionnelle, la protection contre le rejeu en ajoutant un bloc de données supplémentaire au paquet. AH est un protocole très peu utilisé par rapport au protocole ESP. Le protocole ESP Le protocole ESP (Encapsulating Security Payload) peut assurer, au choix, un ou plusieurs des services suivants : confidentialité (confidentialité des données et protection partielle contre l analyse du trafic si l on utilise le mode tunnel), intégrité des données en mode non connecté et authentification de l origine des données, protection contre le rejeu. En mode transport, ESP traite la partie des paquets IP réservée aux données (mode transport), en mode tunnel, ESP traite l ensemble du paquet, données et adresses. Un protocole d administration IKE IPSec inclut également un protocole administratif de gestion de clés : IKE (développé également par l IETF). IKE est un protocole d administration «hors bande» et de gestion de clés servant à une authentification forte et à un chiffrement des données. IKE comprend quatre modes : le mode principal (Main mode), le mode agressif (Aggressive Mode), le mode rapide (Quick mode) et le mode nouveau groupe (New Group Mode). IKE est utilisé pour négocier, sous la forme d associations de sécurité (SA) les paramètres relatifs à IPSec. Préalablement à l établissement d un tunnel, le module IKE du correspondant initiateur établit avec le module IKE du correspondant récepteur une association de sécurité qui va permettre de réaliser cette négociation. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 35/98

36 IKE procède en deux étapes appelées phase 1 et phase 2. Dans la première phase, il met en place les paramètres de sécurité pour protéger ses propres échanges dans la SA ; dans la deuxième phase il met en place les paramètres de sécurité pour protéger le trafic IPSec. Par mesure de sécurité, les phases 1 et 2 sont réactivées périodiquement pour renégocier les clés. Un protocole de VPN IPSec est également un protocole VPN au même titre que d autres protocoles VPN IP: PPTP, L2TP, GRE ; il supporte un mode tunnel qui consiste à encapsuler le paquet IP de l utilisateur dans un paquet IP «le tunnel» à qui est appliqué les fonctions de sécurité IPSec. Un protocole pour traverser les appareils qui font du NAT (translation d adresses) Entre deux correspondants VPN, il peut y avoir des équipements qui réalisent la fonction de translation d adresse NAT/PAT, par exemple des firewalls. Ces équipements modifient les paquets IP lors de la translation d adresse et de port. Ceci pose un problème à IPSec lors du contrôle d intégrité du paquet qui se trouve modifié. Pour résoudre ce problème, le protocole NAT-traversal a été développé par l IETF. Ce protocole implémenté dans chaque correspondant VPN, encapsule le paquet IPSec dans un protocole applicatif (UDP ou TCP) ce qui préserve le paquet IPSec de modifications lors de la traversée d un équipement NAT. Les options IPSec/IKE Les options sont nombreuses : le mode transport, le mode tunnel, l intégrité et la confidentialité des données sont optionnelles, il y a plusieurs modes d authentification, il y a un mode manuel qui n oblige pas de disposer d IKE, IKE a quatre modes, on peut sélectionner le protocole de chiffrement, etc. Les raisons de ces nombreuses options sont : permettre l implémentation d IPSec sur des matériels d entrée de gamme, fournir un niveau de service adapté aux besoins de l utilisateur. La configuration d IPSec Le paramétrage d IPSec que ce soit pour choisir les options ou définir les options fait l objet d une politique de sécurité. Cette politique se traduit par des fichiers de configuration cohérents qui doivent être enregistrés chez les correspondants VPN. Un protocole très utilisé IPSec a été au départ conçu pour le protocole IPV6. Une implémentation IPV6 doit obligatoirement comporter IPSec. Cependant bien qu il soit optionnel pour une implémentation IPV4, la plupart des équipements de réseau et les systèmes supportent aujourd hui IPSec. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 36/98

37 Un protocole de sécurité à part entière IPSec est également utilisé pour sécuriser des protocoles VPN comme PPTP, L2TP, GRE. Dans ce cas IPSec est utilisé en mode transport. Les performances IPSec IPSec/IKE a un coût en terme de performances dû principalement : A la latence induite par les trames de traitement et les échanges IKE, Au nombre d octets supplémentaires dans les paquets sécurisés par IPSec, Au temps de traitement des paquets IPSec par les correspondants VPN hors chiffrement, Au temps de chiffrement. Ce coût n est aujourd hui pas rédhibitoire pour des implémentations d IPSec /IKE sur des appareils sans fil à faible puissance comme des PDAs. Par ailleurs l augmentation de la bande passante des réseaux de transit et la puissance des machines sont des facteurs qui vont minimiser de plus en plus ce coût. Des améliorations ont toutefois été apportées pour améliorer les performances IPSec/IKE : introduction de nouveaux algorithmes comme AES, et de type Elliptic Curve Cryptography (ECC) moins coûteux en traitements, En compressant les données, En faisant effectuer le chiffrement par du matériel, En utilisant des techniques de hachage pour parcourir les tables de contexte IPSec dans les correspondants VPN. Les évolutions d IPSec L IETF travaille à améliorer IPSec. Les travaux récents portent sur : Le protocole NAT-traversal, IKE V2 qui permet à un correspondant de travailler face à plusieurs autres correspondants en tant qu initiateur ou récepteur aussi bien en mode symétrique (peer-to-peer) que client/serveur Caractéristiques d un VPN IPSec Un VPN IPSec utilise IPSec à deux niveaux : pour réaliser un VPN qui interconnecte des correspondants par des tunnels, pour la sécurité des tunnels. Les correspondants Les correspondants VPN sont soit des équipements intermédiaires (passerelles) qui desservent plusieurs machines, soit des logiciels intégrés à des machines (stations, serveurs). Les tunnels sont établis entre des correspondants. Lorsqu un correspondant VPN est installé sur un site client, le terme de CPE (Customer Premise Equipment) est utilisé, par opposition à un correspondant VPN placé dans une infrastructure de réseau opérateur (exemple concentrateur de collecte VPN IPSec pour un réseau MPLS). 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 37/98

38 Réseau Réseau de de transit transit tunnel Correspondants VPN Réseau Réseau de de transit transit tunnel Correspondants VPN Réseau Réseau de de transit transit tunnel Correspondants VPN Les tunnels Un tunnel est un canal bi-directionnel établi entre deux correspondants. Un tunnel peut multiplexer plusieurs communications IP. La réalité d un tunnel dans le réseau de transit est un paquet IP qui encapsule un paquet utilisateur et qui comprend des octets supplémentaires dus au protocole IPSec utilisé (protocoles AH, ESP). Exemple application du protocole ESP en mode tunnel à un paquet IP Avant application ESP L adressage du tunnel Après application ESP Chaque extrémité d un tunnel a dans le cas le plus simple une adresse IP dans l espace d adressage du réseau de transit. Dans des situations plus compliquées où des appareils qui réalisent la fonction NAT sont placés entre le réseau de transit et le correspondant VPN il y a des redirections de paquets pour qu un paquet du tunnel transporté sur le réseau de transit arrive à l extrémité du tunnel chez le correspondant destination. La sécurité du tunnel IPSec sécurise le paquet IP transmis dans un tunnel, cette sécurité est robuste et si les correspondants sont des CPEs, le protocole IPSec assure une sécurité permettant d utiliser tout type de réseau de transit : WLAN, Internet, Chaque extrémité d un tunnel est associée à une zone représentée par un espace d adressage interne qui est desservi par le tunnel. Cette technique peut être utilisée à différentes fins : créer des 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 38/98

39 zones (zonage) ou réaliser du partage de charge en associant les tunnels à différents correspondants sur un site. L adressage d un VPN Quand un paquet IPSec a été traité par un correspondant récepteur, il n est plus encapsulé et retrouve son aspect d origine avant son entrée dans le tunnel côté correspondant émetteur. Ceci signifie qu à l intérieur d un VPN, un adressage interne est utilisé. Un VPN IPSec se comporte comme un commutateur interne qui fait passer les paquets d un sous réseau interne à un autre sous réseau interne. L adressage de tous les participants d un VPN doit être cohérent comme sur un réseau local comprenant plusieurs sous-réseaux. On utilisera les recommandations du RFC 1918 pour établir un plan d adressage cohérent d un VPN. La topologie des VPN Les VPN peuvent avoir différentes topologies : maillés, en étoile ou hub-and-spoke. Les VPN huband-spoke permettent à deux sites d extrémité de communiquer via un routage par le site central. Maillé En étoile Hub-and-spoke Les types de VPN Les VPN ont été classifiés à l origine en VPN site-à-site (symétriques) et VPN accès distants (client/serveur). Cette typologie devrait s estomper avec la généralisation du mode symétrique (peerto-peer) applicable dès aujourd hui à des postes clients. L administration d un VPN IPSec Administrer un VPN IPSec signifie administrer un réseau et la sécurité de ce réseau. C est administrer un ensemble de correspondants VPN distribués. Une administration centralisée basée sur des politiques est nécessaire pour tirer partie de la méthode de configuration d un correspondant VPN (basée sur des politiques) et pour assurer une cohérence entre les configurations des correspondants amenés à communiquer. Par rapport à une administration de réseau classique, la dimension sécurité est importante. Par exemple, la gestion de certificats pour les correspondants VPN nécessite les services d une PKI. Le rôle des VPN IPSec dans la sécurité Avec la généralisation de l utilisation de réseaux de transit vulnérables comme les WLAN et Internet, IPSec devient incontournable pour sécuriser les échanges réseau. Les VPN IPSec sont utilisables aussi bien dans l entreprise que pour les échanges de l entreprise étendue entre différents sites, pour des accès distants et pour des échanges avec des partenaires. La sécurité VPN est complémentaire avec la sécurité qui protège le site ou le poste d accès à internet et qui est basée sur les techniques de firewall, de détection et de prévention d intrusions et de contrôle de contenu (anti-virus, filtrages URL, anti-spam). La tendance actuelle est l apparition de nouveaux matériels et logiciels qui rassemblent la plupart de ces fonctions. Les nouvelles générations de passerelles et de routeurs vont intégrer un anti-virus en plus de la fonction IDS, firewall et VPN IPSec Le VPN-SSL ou l accès distant sécurisé nouvelle génération Auteur : Alain Thibaud (F5 Networks) a.thibaud@f5.com 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 39/98

40 Livre ouvert sur la sécurité Les solutions de VPN-SSL offrent un accès distant qui répond à la fois aux besoins des administrateurs et des utilisateurs finaux. Il permet aux entreprises de fournir l accès distant sécurisé, fiable et intuitif que demandent les utilisateurs, sans les migraines et le temps passé à l'installation et à la configuration des logiciels clients, et sans devoir modifier les applications côté serveur Un accès réseau approprié par type d utilisateur Le VPN ou (Réseau Privé Virtuel) SSL assurent l'accès le plus large aux utilisateurs des ressources réseau de l'entreprise. Nous pouvons regrouper les types d'utilisateurs en quatre catégories, leur offrant un accès sécurisé approprié tel que défini par l'administrateur réseau. L'utilisateur de PC portable de l'entreprise Egalement appelé utilisateur "de confiance", est un employé utilisant des équipements fournis et maintenus par l'entreprise. Pour ces utilisateurs, le connecteur VPN offre un accès distant à la totalité du réseau sans aucune modification aux applications, que ce soit côté serveur ou côté client. Cette solution apporte aux administrateurs la possibilité de détecter les virus et de mettre en œuvre les antivirus et firewall standards. L'utilisateur de kiosques ou d'ordinateur domestique Est un employé qui nécessite un accès aux ressources de l'entreprise depuis un dispositif qui n'est pas fourni et maintenu par l'entreprise (également qualifié de dispositif "non éprouvés"). Pour ces utilisateurs, les adaptateurs VPN-SSL proposent l'accès à une large gamme d'applications et ressources du réseau, depuis le partage de fichiers jusqu'aux applications mainframe. Le système VPN-SSL masque l'identité des ressources réseau via un mapping de l'url et élimine les données sensibles, laissées derrière par le navigateur et la session de l'application. L'utilisateur partenaire Est un non employé utilisant du matériel fourni et maintenu par une autre entreprise, avec des normes inconnues. Il est également qualifié de "non éprouvé". L'utilisateur du partenaire commercial nécessite généralement l'accès à des ressources limitées afin de réaliser des partages de fichiers ou d'accéder à l'extranet. Le dispositif VPN permet aux administrateurs d'offrir à ces utilisateurs un accès limité et approprié aux applications et sites de l'extranet via l'adaptateur Web. Le VPN- SSL offre une sécurité au niveau des couches applicatives et peut protéger contre les attaques des applications telles que les attaques de scripts à travers le site, directement sur les serveurs Web internes. L'utilisateur de dispositif mobile Est un employé qui a besoin d'accéder au réseau depuis un dispositif mobile personnel. Pour les utilisateurs de Palm OS, PocketPC, WAP et de téléphones imode, le VPN-SSL permet aux utilisateurs mobiles d'envoyer et recevoir des messages, de télécharger des attachements et d'attacher des fichiers du LAN aux s Les fonctions de sécurité du VPN-SSL Les administrateurs trouvent souvent difficile de supporter les systèmes d'accès distants. Le haut niveau de maintenance requis pour administrer les groupes d'utilisateurs et déployer les mises à jour, tout en maintenant la sécurité du réseau et l'accès des utilisateurs, est vraiment complexe. Les solutions anciennes offraient des possibilité d'authentification limitées pour garder la trace des utilisateurs du réseau ou pour donner des indications précieuses afin de régler les problèmes lorsqu'ils surviennent. Voici, quelques exemples de fonctions de sécurité présentes dans une appliance de VPN-SSL : Contrôle granulaire. Les administrateurs disposent d'un contrôle rapide et granulaire sur leurs ressources réseau. Il supporte les règles autorisant l'accès aux applications en fonction du dis positif d'affichage utilisé pour l'accès distant. Authentification stricte de l'utilisateur. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 40/98

41 Par défaut, les utilisateurs sont authentifiés vis à vis d'une base de données interne au système, en utilisant un mot de passe. Mais il peut également être configuré pour exploiter les méthodes d'authentification RADIUS et LDAP, l'authentification HTTP de base et par formulaires, et les serveurs de domaines Windows. De nombreuses entreprises exigent une authentification à deux facteurs, consistant à utiliser une méthode supplémentaire, au delà du profil et du mot de passe. Ce type de solutions supporte complètement l'authentification RSA SecurID basée sur les jetons. et il propose également une version intégrée de VASCO Digipass. Auto login Internal user database RADIUS authentication VASCO DigiPass authentication LDAP authentication Initial signup on LDAP with subsequent strong internal password Windows domain authentication HTTP Form & Basic authentication La fonction d auto login permet à la solution de VPN SSL de réutiliser le login /passsword fourni par l utilisateur pour s authentifier pour une nouvelle authentification auprès des applications de l Entreprise auxquelles il souhaite accèder : Double mot de passe Web interne, Citrix, Windows Terminal server, Fichiers partagés NT, La mise en œuvre d une stratégie d authentification forte lors de la connexion sur la solution de VPN SSL nécessite l utilisation du mot de passe pour l authentification forte et le mot de passe statique utilisé en interne si l utilisateur souhaite accéder aux applications avec la fonction d auto login. Cette solution est supportée par les solutions de VPN SSL. Il existe deux stratégies pour effectuer ce type d authentification forte: L utilisateur fournit les deux mots de passe lors de son authentification sur la solution de VPN SSL, L utilisateur fournit uniquement son mot de passe d authentification forte pour ce connecter sur la passerelle, puis sa première authentification sur une application sera cachée par la solution VPN SSL et sera utilisée pour l auto login aux autres applications. Le mapping de groupe La fonction de mapping groupe permet de récupérer en Radius, LDAP, ActivDirectory ou NTLM le groupe d un utilisateur et le faire correspondre à un des groupes configurés sur le VPN-SSL. Cette fonctionnalité permet : De faire correspondre un utilisateur à un profil du boîtier en utilisant la stratégie de groupe de l Entreprise centralisée sur un serveur. De mettre en œuvre des stratégies d authentification différentes selon le groupe de l utilisateur. La Gestion des autorisations Les privilèges d'accès peuvent être attribués à des individus ou à des groupes d'utilisateurs (par exemples "Commerciaux", "Partenaires", "Informatique"). Ainsi, le VPN-SSL peut limiter les individus ou groupes à des ressources particulières. Les partenaires peuvent, par exemple, n'avoir le droit d'accéder qu'à un serveur d'extranet, tandis que les commerciaux peuvent se connecter aux s, à l'intranet de l'entreprise et aux systèmes de CRM.s 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 41/98

42 Les fonctions d audit et reporting Livre ouvert sur la sécurité Il fournit aux administrateurs des rapports sur les journaux de sessions et d'activations. Des rapports de synthèse regroupent l'utilisation par jour de la semaine, heure, OS accédé, durée de la session et type de fin de la session, pour une durée paramétrable par l'utilisateur. Des rapports détaillés, avec fonctions de forage, offrent un accès complet et granulaire à toutes les données sur les utilisateurs finaux. Pour les entreprises nécessitant un accès distant souple à leurs applications, les systèmes de VPN SSL sans client offrent une solution fiable et sécurisée. Pour une sécurité accrue, particulièrement critique lorsque les applications sont accessibles par les partenaires, les entreprises devraient évaluer les solutions offrant des possibilités de filtrage au niveau des couches applicatives telles que la prévention des attaques de scripts à travers le site et la mise en œuvre de trafic HTTP compatible RFC. David Thompson, Senior Research Analyst au META Group Installation rapide, déploiement facile et évolutif Pour les administrateurs, le contrôleur élimine les coûts associés aux VPN distants traditionnels, qui nécessitent l'installation de logiciels client sur chaque dispositif et/ou des modifications aux ressources centrales accédées. Ceci simplifie considérablement les déploiements et diminue le temps de mise en œuvre. Généralement, un VPN-SSL peut être installé en quelques heures au lieu des quelques jours ou semaines que demandent les systèmes traditionnels. Il peut ajouter automatiquement des utilisateurs en authentifiant l'utilisateur auprès d'un serveur AAA et en affectant l'utilisateur à un groupe défini dans l'annuaire de l'entreprise Administration facile et coût de maintenance réduits Outre une installation rapide, Les VPN-SSL offrent une interface d'administration intuitive et familière, basée sur un navigateur Web. Cette interface est personnalisable afin de permettre d'ajuster l'apparence et le comportement du produit à votre intranet d'entreprise. Parce qu'il s'agit d'une solution sans client, les coûts de support sont considérablement réduits. La maintenance des systèmes clients est éliminée et il n'est pas nécessaire de modifier ou mettre à jour les ressources réseau, les dispositifs distants ou l'architecture réseau. Description : 1. Le boîtier SSL est dans une DMZ. Les flux en provenance des utilisateurs vers la solution VPN SSL sont gérés par un Firewall et les flux vers les applications en provenance de la passerelle VPN SSL sont gérés par un deuxième Firewall. 2. Le firewall1 filtre les accès et les flux de données en SSL en provenance des utilisateurs. 3. Le Firewall2 filtre les accès de la solution VPN SSL vers les applications de l entreprise. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 42/98

43 «Webifyer» ou «webification» des applications Les webifyers permettent aux utilisateurs distants à partir de leur browser d accéder à un grand nombre d applications et de ressources de l entreprise qui ont ou n ont pas d interface Web. La solution de VPN-SSL leur fournira celle-ci. Exemple de «webification» d application: Systèmes de fichiers NT ou NFS Accès à la sa messagerie en POP3 ou IMAP4 Terminal services : Citrix, WTS ou VNC Host Access : VTxxx, ssh, telnet, 3270, 5250 X Window Access : X11, Gnome, KDE, TWM, Openwindows Desktop Tunnel Applicatif ou translation de port : Solutions Client/Serveur Le Tunnel Applicatif permet de supporter les applications de type Client Server pour les ordinateurs d utilisateurs distants. Cette solution permet de créer un tunnel sécurisé dédié uniquement à l application utilisée. Elle permet de fournir une plus grande flexibilité pour la restriction des applications accessibles par les utilisateurs. La passerelle VPN-SSL fournit en standard des «templates» de configuration pour les applications les plus utilisées. Mais il est possible de customiser des applications propriétaires à l entreprise. Fonctionnement : VPN-SSL ou l accés au réseau d entreprise La fonction d accès au réseau d entreprise d une solution VPN-SSL permet d utiliser toutes les applications au-dessus d IP : UDP, TCP, ICMP. La passerelle VPN-SSL avec cette fonctionnalité permet de supporter tous les types d applications au dessus d IP, tel que la vidéo conférence, le streaming video, la voix sur IP : H323, SIP, Description Le VPN SSL est similaire au VPN IPSec, il est totalement transparent Il est permet de créer un tunnel sécurisé pour tous types d applications au dessus d IP : TCP/UDP, ICMP, L ordinateur de l utilisateur aura l attribution d une adresse IP qui pourra être routée dans le réseau de l entreprise. Aucune configuration particulière n est nécessaire sur le poste de l utilisateur avant la création du VPN SSL. Le split tunneling permet à l administrateur de spécifier quels sont les réseaux qui seront atteints à travers ce tunnel sinon la totalité du trafic empruntera le tunnel. Il est possible à l administrateur de vérifier avant l établissement un certain nombre de paramètres de sécurité sur le poste de l utilisateur : Présence ou pas d un Firewall et/ou d un anti-virus et/ou d un autre type d application, Vérifier la version de ces types d application, Template pour les différentes applications utilisées, 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 43/98

44 Livre ouvert sur la sécurité L IP Forwarding est dévalidé, Vérification des tables de routage, Vérification des paramètres qui doivent être valides sur le poste client Site de quarantaine si un ou plusieurs points vérifiés ne seraient pas corrects pour permettre à l utilisateur de les corriger par une mise à jour d une version logicielle par exemple. Le tunnel SSL établit une liaison PPP entre le client distant et le VPN-SSL. L ensemble du trafic en provenance du client sera routé vers le réseau de l entreprise. Fonctionnement : Anti-virus La solution VPN SSL doit supporter les différentes solutions d Anti-Virus pour permettre à l entreprise de contrôler les fichiers que l utilisateur introduirait dans celle-ci. La passerelle VPN-SSL supporte en interne une solution d Anti-Virus, mais les besoins de l entreprise sont de supporter les solutions internes à celle-ci, ainsi le support du protocole ICAP permet l interconnexion pour la décontamination des fichiers transférés entre l utilisateur et le réseau interne avec des solution d Anti-Virus qui intègrent ce protocole. Les solutions d Anti-Virus supportant ICAP sont par exemple : Trend Micro, Symantec, Sophos, Les solutions de VPN-SSL sont souvent présentées sous forme de boitier/serveur rackable, mais certains fournisseurs les présentent sous forme logicielle Choisir entre un VPN IPSec et un VPN SSL 2.8 LE CHIFFREMENT DES DONNEES SUR DISQUE Partie traitée provisoirement par Gérard Péliks (EADS) Le poste de travail nomade quand il n est pas connecté au réseau ne constitue plus un danger pour l Intranet, mais il peut contenir des renseignements confidentiels et qui doivent le rester. Même si ce poste de travail est volé ou perdu, les renseignements confidentiels qu il contient ne doivent pas être lus par des personnes non autorisées. Pour cela, il est impératif de pouvoir chiffrer certaines parties du disque dur, dans lesquelles on placera impérativement les fichiers qui ne doivent être accessibles qu au propriétaire du poste de travail. Les logiciels de chiffrement des données sur disque permettent non seulement de chiffrer les fichiers contenus dans certaines partitions disque, mais aussi peuvent masquer ces partitions aux personnes non habilitées à lire ces fichiers confidentiels. Une bonne solution est de coupler l authentification forte (utilisation de sa carte à puce par exemple) avec la possibilité d accéder aux 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 44/98

45 partitions confidentielles et de déchiffrer les fichiers qu elles contiennent. Inversement, les fichiers de ces partitions sont chiffrées et les partitions ne sont plus visibles quand on retire la carte à puce. 2.9 LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) Partie traitée provisoirement par Gérard Péliks (EADS) Partie prise en charge par Herve Chappe (Alcatel) / Anne Coat (AQL) Pour prouver l origine d une clé publique, on l insère dans un certificat qui est remis aux utilisateurs qui en ont besoin pour chiffrer un message à destination du détenteur de la clé privée, ou pour déchiffrer une signature émise par le détenteur de cette clé privée. Ce certificat est signé par une autorité en qui les utilisateurs (personne ou passerelle), placés aux deux extrémités du tunnel ont confiance. Le certificat ne peut être falsifié parce qu il contient une partie chiffrée par la clé privée de l autorité de certification. A la réception, il y a comparaison entre cette zone qui est déchiffrée par la clé publique de l autorité de certification du certificat de l autre extrémité du tunnel, et de la même zone en clair contenue dans le certificat. Si le certificat n a pas été compromis, il est établi que la clé publique qu il contient est bien la clé publique qui correspond à la clé secrète que l autre extrémité du tunnel seule détient. Le certificat présente également d autres renseignements sur l identité et la société du possesseur du certificat, ainsi que sur l autorité de certification qui l a signé et sur les dates de validité du certificat. Produire et gérer des certificats à grande échelle est le métier des tiers de confiance qui fournissent des PKI (Infrastructures de Clés Publiques). On peut être son propre tiers de confiance ou externaliser la gestion de ses clés, la signature et la distribution des certificats à une autorité extérieure LA SIGNATURE ELECTRONIQUE 2.11 LA DETECTION D'INTRUSIONS, Partie traitée provisoirement par Gérard Péliks (EADS) Le firewall assure une protection périmétrique autour du réseau privé de l entreprise, mais il ne peut analyser que les paquets IP qui le traversent, et ne peut réagir contre des attaques qui se perpétuent derrière lui dans l Intranet. Il est bon de prévoir une deuxième ligne de défense et même plusieurs lignes de défense en profondeur. C est ce que font les sondes de détection d intrusion et les détecteurs d anomalies réseaux. Les sondes de détection d intrusion Une sonde de détection d intrusion placée à un endroit sensible du réseau, analyse les paquets IP qui passent et les compare à une base de signatures d attaques, qui doit être tenue à jour, pour déceler si les paquets sont dangereux. La sonde réagit, si son analyse conduit à penser que le paquet est douteux, par exemple en générant une alarme et parfois même en modifiant la configuration d un routeur. Un problème posé par certaines sondes de détection d intrusion est de réagir trop souvent et l accumulation des alarmes, souvent de fausses alarmes, alourdit la tâche de l administrateur. Mais mieux vaut signaler une fausse alarme que d en laisser passer une vraie, pensez-vous? Oui, à condition d avoir le temps et les ressources pour repérer et traiter les vraies alarmes si elles sont noyées dans le flot des fausses. Les détecteurs d anomalie réseau On trouve sur le marché une autre famille de détecteurs : les détecteurs d anomalies réseau et d anomalies système. Un moteur cognitif apprend à la sonde le fonctionnement normal du réseau ou du système. Cette normalité est modélisée dans des équations et les sondes sont alors prêtes à réagir quand un événement leur semble s écarter d un certain seuil de ce qui est considéré comme un événement normal. Ainsi, dans une entreprise où le réseau n est sollicité habituellement que pour la messagerie ou le Web et seulement durant la journée, si à trois heures du matin le poste de travail 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 45/98

46 d une personne de la direction des ressources humaines lance à distance une compilation de C++, la sonde détectera l anomalie et réagira. Ce type de sonde signale beaucoup moins de fausses alarmes que celles des détecteurs d intrusion, et affecte moins les performances du réseau. Il n est ici plus question de comparer chaque paquet avec une base de signature qui s allonge avec le temps, et possède parfois une signature proche du paquet que la sonde analyse LES ANTI (VIRUS, SPAMS, SPYWARES), Partie prise en charge par Yann Berson (WEBWASHER) / Alexandre le Faucheur (VALEO) Partie traitée provisoirement par Gérard Péliks (EADS) L anti-virus de l entreprise installé sur un serveur intercepte et analyse les messages et surtout les pièces exécutables jointes aux messages, mais il est bien entendu impuissant contre les programmes qui sont récupérés par les utilisateurs à partir de CDROM ou de disquettes, directement sur leur poste de travail. C est pourquoi un anti-virus personnel, sur chaque poste de travail est indispensable. Même si l utilisateur n a sur son poste de travail que des fichiers personnels et d autres fichiers sans grande valeur pour l entreprise, l absence d un anti-virus personnel sur son poste de travail peut tout de même faire courir de gros risques à l entreprise, car quand l utilisateur inconscient branchera son PC sur le réseau, il pourra contaminer tout l Intranet. On ne peut demander à l utilisateur de faire diligence pour rester à jour dans ses versions d antivirus, l expérience prouve qu il chargera les nouvelles versions et les nouvelles bases de signatures de virus connus une fois ou deux, mais qu il ne le fera pas systématiquement et son anti-virus personnel deviendra vite obsolète. Les anti-virus personnels doivent être mis à jour et lancés automatiquement par un serveur de l entreprise, chaque fois que l utilisateur se connecte sur le réseau. Il est même conseillé, vu les dégâts que peuvent causer les virus et les vers de mettre en œuvre deux anti-virus provenant de constructeurs différents, par exemple un anti-virus X sur les postes de travail et un anti-virus Y sur le serveur d entreprise SECURITE ET MOBILITE Auteur : Franck Franchin (FRANCE TELECOM) franck.franchin@francetelecom.com La grande généralisation des terminaux portables ou mobiles associée à la banalisation du travail en situation de mobilité engendre de nouvelles menace sur la protection des informations de l'entreprise. La principale menace qui pèse sur les données stockées dans un terminal mobile (PC portable, PDA, smartphone) demeure le vol physique du-dit terminal. Toutefois, d'autres menaces commencent à poindre à l'horizon. Par exemple, qui n'a pas renvoyé son PDA défaillant directement au fabricant, via le SAV du vendeur. Si on peut éventuellement faire confiance aux services après-vente du fabricant (et cela reste à prouver...), le plaisir d'en recevoir un tout neuf en échange sous garantie ne doit pas faire oublier ce qu'est devenu l'ancien... Revendu sur un site d'enchères par exemple, il a pu devenir la proie d'un pirate. Selon le Gartner, 90% des terminaux mobiles n'ont pas les protections nécessaires pour éviter la récupération d'information sensibles : comptes de messagerie, mots de passe, contacts stratégiques, et autres documents confidentiels. Une autre nouvelle menace est liée à l'intégration par défaut de systèmes de communication sans fil (Bluetooth, Wifi, IrDa) activés par défaut, quelquefois à l'insu du propriétaire du terminal. Un portable devient alors vulnérable dans tous les lieux publics. Mais la notion de sécurité n'implique pas uniquement la «confidentialité». Parlons plutôt «intégrité» et «disponibilité». La facilité d'utilisation et l'ubiquité de ces terminaux nous fait souvent oublier les bonnes règles de base : sauvegarde et synchronisation. Les disques durs des PCs portables sont soumis à des contraintes importantes qui les fragilisent quant bien même ils aient été conçus en ce sens. Les cartes CF ou autres des PDAs sont sensibles à l'électricité statique et supportent quelquefois mal plusieurs aller-retours avec un appareil photo. De leur côté, les smartphones ont une fâcheuse tendance à «tomber». 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 46/98

47 Une autre notion en sécurité porte sur l'identification du périmètre de sécurité et sur les contrôles d'accès aux données. Si cette notion peut s'appliquer plus ou moins facilement à des PCs physiquement résidents dans un bureau potentiellement fermé à clé et relié à un Ethernet câblé, que dire d'un PC portable Wifi qui voyage dans une voiture, prend l'avion, se connecte sur une borne Wifi à la maison ou à l'hôtel et qui pratique le libre-échangisme de données avec ses pairs par clés USB interposées. On ose à peine parler du double-attachement. Que le premier qui n'a jamais laissé son PC portable en salle de réunion sans surveillance pendant 5 minutes lance la pierre. Parlons donc du vol des mobiles et des portables. Dans toute entreprise, les chiffres sont édifiants, quand bien même l'auto-déclaration donne une image fidèle de ces sinistres. Aujourd'hui, un PC portable vaut presque le tiers d'un modèle équivalent en gamme il y a 3 ans. Quel est l'intérêt pour un voleur de franchir le périmètre de sécurité d'une grande entreprise pour dérober 4 ou 6 portables? Il n'en tirera au mieux que quelques centaines d'euros pièce. Sans être paranoïaque, il suffit de se balader sur certains forums underground pour trouver des pirates qui revendent des bases de données de mots de passe, de numéros d'accès à des Extranets, des numéros de cartes de crédit (avec dates d'expiration). N'est-il pas plus facile de voler des PCs ou de racheter des disques durs sur Ebay que de pénétrer des systèmes d'informations bardés de contre-mesures? L'information ne vaut-elle pas désormais plus que le matériel qui la traite? Voici donc maintenant quelques conseils de base qui facilitent la vie (et le sommeil) d'un utilisateur de portable ou de mobile : Règle N 1 - Penser aux sauvegardes - Utiliser le graveur de CD ou de DVD qui équipe désormais la grande majorité des portables pour effectuer périodiquement des sauvegardes des données les plus importantes. La clé USB est aussi un bon outil (pour les échanges de vos Powerpoint, préférer à chaque fois que c'est possible le courrier électronique et les répertoires partagés) ; Règle N 2 - Utiliser les répertoires partagés et les fonctions de synchronisation - Si vous oubliez de faire vos sauvegardes, vous pourrez toujours compter sur celles effectuées par votre administrateur réseau sur vos serveurs de fichiers d'entreprise. Règle N 3 - Utiliser le chiffrement - Pour les données sensibles, ne pas hésiter à recourir aux fonctions de chiffrement de votre système d'exploitation ou à celles d'une solution dédiée. Bien évidemment, ne pas succomber à la facilité de sauvegarder le mot de passe sur le disque dur. Règle N 4 - Toujours considérer que votre portable risque d'avoir été infecté. Vous avez passé une semaine en mission sans vous connecter au réseau de votre entreprise et donc sans mise à jour de votre anti-virus. Pendant cette même période, vous avez échangé des fichiers avec cette sacrée clé USB, vous avez fait du Wifi à l'hôtel et à l'aéroport et vous vous êtes connecté en mode «invité» chez votre client. Assurez-vous de forcer une mise à jour de l'anti-virus de votre portable dès votre retour au bureau. Règle N 5 - Différencier les mots de passe - Votre portable ou mobile ne devrait jamais avoir le même mot de passe qu'un autre système «fixe» que vous utilisez au bureau. Règle N 6 - Bien choisir ses mots de passe - La longueur est plus importante que la complexité. Le mot de passe suivant «Par un bel et chaud après-midi d'automne à Paris» est plus dur à cracker (dictionnaire ou force brute) que «#@&é@=}é» LES OUTILS DE CONTROLE ET DE SURVEILLANCE, Partie prise en charge par Yann Berson (WEBWASHER) Partie traitée provisoirement par Gérard Péliks (EADS) Le proxy et le cache ne sont pas, à proprement parler des solutions de sécurité, mais ils y participent, en assurant le confort des utilisateurs et sont souvent associés à la fourniture d une solution complète pour sécuriser le réseau interne de l entreprise, au moins au niveau humain. Le proxy a pour fonction de se faire passer pour un serveur (web par exemple) pour masquer le vrai serveur aux utilisateurs. C est sur ce principe que sont bâtis les firewalls haut de gamme. Le cache est un espace disque dans lequel l information demandée est stockée un certain temps pour être resservie en cas de nouvelle demande de cette information. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 47/98

48 Le proxy constitue un endroit stratégique pour contrôler l information demandée aux serveurs Web. Un proxy «intelligent» permet de réunir les utilisateurs par groupes ou par fonctions, de diviser le temps en plages horaires et de regrouper les pages Web par catégories. On peut alors conseiller ou interdire telle catégorie de pages web, durant telle plage horaire à tel groupe d utilisateurs. Le proxy placé dans l Intranet, derrière le firewall, souvent sur une DMZ, peut également limiter les abus en établissant des quotas, en temps de connexion, en nombre de pages web lues, en volume de données chargé par jour, par semaine, par mois pour chaque groupe d utilisateurs, dans une période choisie. Les noms des collaborateurs indélicats peuvent être placés, un certain temps, dans une liste noire. Ces collaborateurs perdent alors toute possibilité d accéder au web, le temps du séjour de leurs noms dans cette liste qui sera vite redoutée. Ces mesures vous semblent incompatibles avec le droit, que tout utilisateur peut revendiquer, de garder une parcelle de sa vie privée même durant les horaires de travail? Ce même utilisateur a aussi des devoirs, et en particulier celui d utiliser les outils mis à sa disposition par son employeur, à des fins uniquement professionnelles. Une fois les employés avertis qu un tel système de surveillance est mis en place, l employeur peut alors l utiliser. Et le seul fait de savoir que ce système de surveillance existe dans une entreprise rend les employés plus sensibles à n ouvrir que les pages web utiles dans le cadre de leurs fonctions et au moins à éviter de charger certaines pages, si ce n est celles improductives, au moins celles répréhensibles par la loi. Ainsi, avec quelques précautions, et quelques outils et réglementations acceptées de part et d autre, l accès à cette incroyable ressource qu est l Internet, pourra se faire avec efficacité, et sans conséquences préjudiciables pour l employé comme pour son employeur L ERADICATION DES LOGICIELS ESPIONS Partie traitée provisoirement par Gérard Péliks (EADS) La morale n ayant pas sa place quand il est question d observer son prochain, certains éditeurs de logiciels placent dans leurs programmes des bouts de code qui vont fonctionner comme des mouchards et renseigner des régies publicitaires, des concurrents ou des faux amis, à l extérieur. Dans le dernier roman de Tom Clancy, l ours et le dragon, vous avez un magnifique exemple de logiciel espion tournant sur le poste de travail d un dirigeant chinois, et qui va devenir un facteur essentiel de la victoire des Etats-Unis en guerre contre la Chine. Sans aller chercher si loin, voyons ce que vous avez sur votre propre poste de travail. Téléchargez le logiciel adaware que vous trouverez gratuitement sur le web (rassurez vous, il ne contient ni virus, ni logiciel espion). Installez le et lancez le. Si vous avez déjà navigué sur le web, comme la plupart d entre nous, vous trouverez sur votre poste de travail au moins un pointeur vers le cookie du fournisseur de bannières doubleclick qui peut renseigner une régie publicitaire sur vos habitudes de navigation. Ca n est pas très grave. Mais si vous avez téléchargé des logiciels, peut être avez-vous installé, bien sûr à votre insu, de redoutables logiciels espions qui envoient, par le réseau, à vos concurrents les fichiers confidentiels contenus dans votre disque, tels que les conditions de remises, vos remarques personnelles sur vos clients et partenaires, les spécifications des produits non encore annoncés, vos propositions de réponse à appel d offre en préparation. Si vous avez téléchargé et installé un logiciel et vous apprenez qu il contient un spyware (logiciel espion), ne pensez pas pouvoir supprimer ce logiciel espion simplement en désinstallant le programme qui vous en a fait cadeau. Les spywares ont la vie dure et ne se laissent pas facilement éradiquer car ils se cachent à des endroits du disque où on ne pense pas aller les chercher. Heureusement un logiciel comme adaware sait les éradiquer correctement LES POTS DE MIELS Auteur : Gérard Péliks (EADS) gerard.peliks@eads-telecom.com Le temps qui s égraine inexorablement est un cauchemar pour le hacker durant l attaque d un réseau. Au début, les poussées d adrénalines le transportent au nirvana des pirates quand il perçoit les premiers signes de rupture du système d information de sa victime sous ses coups de boutoirs dirigés sur les vulnérabilités qu il a trouvées dans ce système. Mais si l attaque dure plus que prévu, le hacker ressent alors qu un 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 48/98

49 danger diffus le menace et que les tenailles menaçantes du risque se rapprochent doucement de lui au risque de le broyer. Il arrive en effet que le chemin de l attaque passe par un terrain miné. Ces pièges, ce sont les honeypots, les pots de miel placés en amont d un système d information et qui l émule par un firewall, par-ci, un serveur de fichier et de messagerie par-là, mais ce sont en réalité des leurres dans lesquels le hacker s englue et n arrive plus à en sortir sans laisser des traces qu il ne pourra pas effacer. Son attaque est observée, analysée et ses méthodes sont éventées, et soudain l espoir changea de camp, le combat changea d âme du hacker maintenant, on capturait les trames. et le pirate peut se faire serrer par les autorités judiciaires compétentes. On distingue les pots de miel qui se contentent de simuler des fonctionnalités d un logiciel et qui entament un dialogue avec l attaquant et d autres plus élaborés qui sont de vraies applications, une base de données Oracle par exemple, mais truffées de sondes de détections d intrusions, d analyseurs de logs où tout est journalisé et archivé sur un serveur qui est lui totalement inaccessible au pirate englué dans le piège. Le hacker croit agir dans l obscurité de l anonymat, son attaque est en fait exposée en pleine lumière sans espoir d effacer les indices qu il sème. A l inverse d un firewall, le pot de miel laisse pénétrer les hackers mais ne les laisse abandonner la place qu après avoir mis en évidence le déroulement des attaques. Un pot de miel peut confiner vers et virus dans une enceinte pour mieux les analyser et trouver une parade. Riches sont les informations qui en sont tirées. Il y a même un projet de recherche, le honeynet auquel participent les plus fins limiers de la sécurité qui gère tout un réseau de pots de miel. Ce réseau n est pas plus attaqué qu un autre mais pas moins non plus, c est à dire qu il est donc très attaqué et ces attaques sont décortiquées dans le but de diffuser aux participants du projet des informations sur la psychologie et la sociologie des agresseurs et de concevoir des contre-mesures pour les coincer. Où placer un pot de miel? Ceux à grande échelle, comme le projet honeynet sont des réseaux à part entière et se trouvent «quelque part» sur l Internet. Les attaquants y entrent mais n en sortent pas. Pour une entreprise, il est préférable d isoler les pots de miel dans une zone démilitarisée (DMZ), créée par leur firewall et de n en révéler bien sûr l existence qu aux utilisateurs qu on ne souhaite pas voir tomber dans le piège. La mise en place d un pot de miel est-elle légale? Faut-il être du côté du gendarme ou du côté du voleur? Il n y a pas de législation spécifique concernant les pots de miel placés sur les STAD (Système de Traitement Automatisée des Données) comme on nomme de manière désuète les systèmes d information dans les livres de droit. Tout réside dans l intention et dans la manière dont les créateurs de pots de miel s y prennent. De même qu un fonctionnaire de police n a pas le droit, du moins en France, de créer les circonstances et l environnement d un méfait pour prendre un délinquant en flagrant délit, de même il ne peut être fait de publicité pour attirer un pirate dans un réseau piégé pour utiliser les preuves de son attaque en justice. Pour que l agressé puisse donc utiliser les preuves d une attaque, l agresseur doit être tombé naturellement dans le piège tendu. Placer des pots de miel s apparente donc plus à une partie de pêche au pirate qu à une embuscade montée sur les grands chemins des autoroutes de l information. On pourrait aussi concevoir un pot de miel qui réagisse en attaquant l agresseur pour compromettre son propre système d information en remontant aux sources de l attaque. Mais le pirate pourrait alors se plaindre d avoir été attaqué alors qu il était tombé sur votre réseau (comme) par hasard sans intention malveillante. Et que dire si le hacker utilise pour vous attaquer, un poste intermédiaire comme celui de la police! Le monde est loin d être simple et binaire et mieux vaut donc garder son pot de miel passif. Dans un Intranet, un honeypot doit être bien évidemment considéré comme un outil de surveillance et sa légitimité repose sur une obligation d information des représentants sociaux des employés sur 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 49/98

50 ce qui est mis en fonction. Ceci enlève au pot de miel son effet surprise, mais c est bien le but de la protection des employés contre les outils de surveillance non déclarés, d autre part, sa mise en place doit reposer sur le principe de proportionnalité qui dit qu un outil de surveillance ne peut être mis en place par l employeur que s il est justifié par la valeur de l information qu il protège et par les ardeurs des attaquants à le compromettre. En théorie, que le pot de miel soit placé en dehors de l Intranet pour coincer les pirates extérieurs ou à l intérieur pour surveiller les employés, il devrait être accompagné d un message du genre : «Attention ce serveur n est accessible qu aux personnes autorisées. En entrant dans ce serveur, vous acceptez que votre activité soit contrôlée et divulguée» D ailleurs à bien y réfléchir, c est peut être astucieux de mettre cette recommandation, pot de miel ou pas, pour obtenir un effet dissuasif, un peu comme ceux qui mettent un écriteau «Chien méchant!!!» dans leur jardin alors que n y réside qu une paisible tortue. Signalons qu un pot de miel d un genre nouveau vient de faire son apparition à l occasion de la sortie du film Blueberry. Ce film est proposé en DivX sur les serveurs d échanges tels que KazaA et edonkey. Vous téléchargez, comme plusieurs dizaines de milliers d internautes l ont déjà fait, le fichier DivX de 700MO (!) et vous obtenez le tout début du film, mais au détour du chemin, voici Vincent Cassel qui apparaît et vous explique que vous venez de télécharger une copie vidéo de très mauvaise qualité comme ce qu on trouve habituellement avec ce genre d échanges, et que pour apprécier le film, mieux vaut aller le voir au cinéma. Le reste du DivX est constitué de scènes de tournage du film pour vous faire comprendre que la création d une telle œuvre ne peut être envisagée que si les spectateurs paient leurs places de cinéma. Dissuasif mais moral! 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 50/98

51 3 LA GESTION DE LA SECURITE 3.1 LES ASPECTS DE VERIFICATION ET D AUDIT Partie prise en charge par Olivier Caleff (Apogée Communications) 3.2 LA REMONTEE ET LA CORRELATION DES LOGS Partie prise en charge par Olivier Caleff (Apogée Communications) 3.3 LA GESTION CENTRALISEE DE LA SECURITE Auteur : Michel Habert (Netcelo) michel.habert@netcelo.com Introduction Le problème Plusieurs tendances sont actuellement observables: Les entreprises s étendent, les lieux de travail sont de plus en plus dispersés. Les points d accès aux réseaux de collecte, les réseaux d interconnexion IP privés ou publics se multiplient, les réseaux sans fil (WLAN, GPRS et bientôt UMTS) facilitent la mobilité intra et extra entreprise mais sont vulnérables en raison de la technique de transmission utilisée (l air). Les ressources physiques des réseaux sont pour des raisons de coût, mutualisées, ce qui fait que les VPN IP sont la voie royale de migration des entreprises vers IP. Une bande passante élevée devient disponible à des coûts abordables, Les attaques via des virus, vers etc se sont intensifiées et se focalisent sur les systèmes d exploitation les plus utilisés (ex Windows). On assiste ainsi à la mise à disposition de l entreprise d une ressource de communication donnant l illusion, quel que soit la distance, d un réseau local mais par contre plus vulnérable. Enfin, les entreprises pour leur développement commercial, utilisent de plus en plus internet qui s intègre au cœur du fonctionnement de l entreprise. Ceci montre la problématique que doit résoudre l entreprise qui est de s organiser face à cette intensification des communications et des attaques, à l ouverture sur le monde concrétisée par l utilisation d internet, à l augmentation de la vulnérabilité des environnements de travail, des réseaux et des systèmes La situation actuelle De nombreuses d entreprises sont déjà équipées de systèmes pour pallier à des disfonctionnements ou à des défaillances et de systèmes de protection basés principalement sur le cloisonnement de leur système par des pare-feux (firewalls), sur des outils d éradication d infections et de filtrage. Dans un contexte de communications en forte progression avec l entreprise étendue, des réseaux et des environnements vulnérables, des attaques nombreuses, ces niveaux de protection se révèlent de plus en plus complexes à maîtriser et insuffisants en couverture de sécurité La solution La solution à cette problématique est d une part la prise en compte de la sécurité dans la conception du système d information, de ne pas la considérer comme une pièce rapportée et d autre part de mettre en place une gestion globale de la sécurité, ceci afin d apporter les moyens de défense nécessaires au SI (système d information) pour faire face aux intrusions internes et externes et également aux défaillances et disfonctionnements préjudiciables au bon fonctionnement du SI. Seule une gestion centralisée de la sécurité peut assurer une vision globale. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 51/98

52 A la base, il est nécessaire que l entreprise élabore une politique de sécurité de son système d information qui reflète sa vision stratégique en terme de sécurité de système d information. Cette politique de sécurité doit couvrir les aspects environnementaux, organisationnels, physiques, logiques et techniques du SI et aboutir à l élaboration de règles de sécurité qui devront être appliquées. L application de ces règles doit être administrée, supervisée, surveillée et contrôlée et justifie la présence d un centre de gestion de la sécurité Caractéristiques d un système de gestion centralisé de la sécurité Un système de gestion de la sécurité basé sur des politiques Un moyen d appliquer et de contrôler l application les règles d une politique de sécurité globale est de disposer d un système de gestion central de la sécurité basé sur des politiques. Le principe est de d enregistrer les règles découlant de la politique de sécurité dans le système de gestion, de les interpréter et de les faire appliquer. Les règles vont porter sur la sécurité : de l environnement : systèmes d accès physiques, systèmes d alarmes (vidéo-surveillance), systèmes de protection (incendie, eau, énergie,..) des ressources système et réseau du système d information : stations/serveurs, sites en réseau, réseaux, services des personnes sous la forme de rôles (utilisateurs, administrateur, administrateur privilégié, superviseur) et de droits. Le système de gestion de la sécurité s appuiera sur un système d administration exploité Un système de gestion intégré Un des problèmes de la sécurité est la diversité des techniques mise en œuvre. L administration peut vite se révéler complexe si par exemple il y a une grande variété de consoles d administration dédiées à l administration de tel ou tel appareil. Il est par conséquent nécessaire de disposer d un centre d administration intégré qui rassemble sur une seule console l ensemble des opérations de sécurité pour l ensemble des équipements et l ensemble des techniques de sécurité administrés. Console intégrée gestion Centre de gestion de la sécurité services VPN VPN IP IP Composants administrés 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 52/98

53 3.3.3 Le système d administration (SOC- Security Operations center) Le système d administration de la sécurité est la partie informatisée du système de gestion. Il est intégré à un environnement sécurisé et est lui-même sécurisé : configuration à haute disponibilité, site de secours (disaster recovery). Il est associé à une exploitation qui met en œuvre des procédures d exploitation. Une architecture de système à l état de l art basée sur le modèle TMN (Telecommunicaitons Management Networks) et les fonctions ISO FCAPS (Fault, Configuration, Accounting, Performance, Security) est recommandée. Le système d administration sera organisé en plusieurs sous systèmes pour réaliser les fonctions d administration : enregistrement des politiques configuration gestion des certificats (PKI) mise à jour des logiciels et des bases de signatures supervision surveillance (collecte, analyse de logs) et alertes Mises à jour logiciel et bases de données (ex bases anti-virales, filtrages URL, anti-spam) fabrication de rapports, gestion des tickets d incidents. Le système sera opéré par des consoles : pour les opérations (consoles de gestionnaire) pour le contrôle (consoles de supervision de SLA) client pour l administration du système de sécurité, Les opérations L application des règles de sécurité est réalisée par des opérations qui interviennent : Lors de l approvisionnement Avant le démarrage d une activité, une personne ou un appareil doit posséder des informations et des droits nécessaires à l accomplissement des tâches qui lui incombent, ces informations d approvisionnement précèdent l activation. Cette phase d approvisionnement peut se réaliser de plusieurs manières : Un système de configuration qui fournit (mode pull) ou applique (mode push) les fichiers de configuration de sécurité lors de la mise en service des stations/serveurs, équipements de réseau, services applicatifs, applications. Un système PKI (Public Key Infrastructure) qui fournit les certificats aux utilisateurs et aux équipements, L envoi confidentiel par messagerie électronique de login/mots de passe aux utilisateurs ou aux administrateurs Fournir un badge à une personne. Fournir une procédure d exploitation à un administrateur En cours de fonctionnement En cours de fonctionnement, des opérations de sécurité sont effectuées. Ces opérations peuvent être programmées ( exemple : procédure d exploitation : sauvegarde, date de péremption d un 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 53/98

54 certificat) ou non programmées, déclenchées en fonction d évènements, par exemple détection d intrusion, modification de politique. Exemple d opérations : mise à jour de logiciel mise à jour de base anti-virale renouvellement de mots de passe renouvellement de certificats mises à jour de logiciel reconfigurations suite à une modification de politique désactivation suite à une détection d intrusion réactivation suite à la fermeture d un incident ayant provoqué une désactivation sauvegarde La surveillance Un système de sécurité nécessite un sous-système de surveillance qui recueille en permanence des informations (exemple enregistrements de logs) en provenance des composants sécurisés. Des corrélations sont effectuées et produisent des informations exploitables pour : Signaler des anomalies ou des intrusions (alertes) Elaborer des historiques de fonctionnement La supervision La supervision contrôle et surveille l exécution des opérations et recouvre l aspect fonctionnement normal et anormal. Exemple : contrôle de l état d activité d un équipement de réseau (ping), contrôle de l approvisionnement d un appareil, Le contrôle Plusieurs types de contrôle peuvent être effectués: Contrôle de l environnement physique (gardiennage), Contrôle périodique de l état de vulnérabilité de tous les systèmes du système d information. Contrôle de la configuration d un poste pour l autoriser à se connecter à l entreprise. Contrôle des sauvegardes. Essai de restauration d un système à partir de la dernière sauvegarde, Etc La sécurité et l administration du centre de gestion de la sécurité Le centre de gestion de la sécurité doit lui-même disposer de ses propres fonctions de sécurité pour sécuriser son propre fonctionnement. Ce type de sécurité fait partie des fonctions d administration du centre de gestion Fonctionnement d un centre de gestion centralisé de la sécurité Plusieurs types de fonctionnement sont possibles : 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 54/98

55 SOC ( Security Operations center) entreprise L entreprise dispose de son centre de gestion centralisé de la sécurité Cette formule nécessite des moyens et des compétences. SOC externalisé Services administrés Le centre de gestion est exploité par une société tiers mais l entreprise garde le contrôle de sa sécurité tout en n ayant plus la complexité de gestion et les investissements d un SOC. Infogérance Le système d information et le centre de gestion sont exploités par une société tiers Garanties de sécurité Pour disposer de garanties de sécurité pour la gestion de la sécurité, le centre de gestion pourra faire l objet d une certification critères communs (CC) à un niveau de sécurité EALi (Evaluation Assurance Level i). Ceci implique l écriture d une cible de sécurité concernant le système de gestion Standards et Modèles de référence utiles Le guide PSSI (gratuit) édité par la DCSSI : Elaboration de politiques de sécurité des systèmes d information Le modèle TMN (Telecommunications Management Network) : modèle de référence pour la réalisation de systèmes d administration Les fonctions FCAPS (Fault, Configuration, Accounting, Performance, Security) : standard ISO qui décrit les fonctions d un système d administration. Rendre des services administrés : le standard ITIL ( IT infrastructure Library) définit comment délivrer des services et les supporter. 3.4 LA GESTION DES CORRECTIFS ET DES PATCH Partie prise en charge par Olivier Caleff (Apogée Communications) 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 55/98

56 4 LES RESEAUX PARTICULIERS 4.1 APPLICATIONS A LA VOIX SUR IP Auteur Alexis Ferrero (OrbitIQ) alexisf@orbitiq.com La généralisation des infrastructures exploitant des services de type Voix sur IP (VoIP), pose naturellement avec une plus grande acuité le problème de la vulnérabilité de ces systèmes. Des systèmes de protection bien spécifiques ont donc été développés pour répondre aux problèmes et faiblesses intrinsèques des solutions VoIP courantes, en cohérence avec les contraintes de QoS (qualité de Service) requises pour le transport de la parole. Dans la majorité des cas, ces équipements, comparables en terme de positionnement aux Firewalls et autres IDS, placés entre les serveurs et éléments VoIP, et les postes clients, filtrent les connexions et suivent le trafic avec une compréhension des protocoles mis en oeuvre. Actuellement ces fonctions sont souvent intégrées à un produit dédié nommé Session Border Controler (SBC), mais peuvent aussi se retrouver dans d'autres éléments de l'architecture VoIP (tels que SIP Proxy, SoftSwitch, etc.). Nous allons voir les risques particuliers qui existent dans le monde VoIP, et quelle solution les produits spécifiques récents apportent Architecture d'un système VoIP Le SBC est généralement placé en frontal du système VoIP à protéger, en point de coupure entre l'infrastructure VoIP de l'opérateur et, soit les réseaux clients, soit les infrastructures des autres opérateurs avec lesquels il a des accords d'échange. Il occupe cette position pour pouvoir, par exemple réaliser des fonctions de NAT Remote Traversal ou la génération de SDR, mais il est surtout placé à un point stratégique pour pouvoir protéger le réseau VoIP de l'opérateur en filtrant les connexions malveillantes, mais aussi en masquant certains détails vis-à-vis de l'extérieur. Dans la plupart des cas le trafic VoIP est acheminé sur un réseau ou un VLAN distinct de celui des données, et doit donc remplir toutes les fonctions de sécurité pour ce réseau, puisqu'il n'est pas secondé par un équipement traditionnel. Inversement, il n'est sensé gérer que le trafic de type VoIP (signalisation et flux de phonie). Rappel : NAT Remote Traversal De par la pénurie d'adresses IP publiques, et le besoin de se protéger de divers types d'attaques, une grande partie des réseaux d'utilisateurs, en entreprise comme en résidentiel, sont placés derrière des équipements chargés de la fonction de NAT (Network Address Translation) qui convertissent les adresses IP entre l'internet et le réseau interne, et dans la majorité des cas, de manière asymétrique, c'est à dire en n'utilisant, par exemple, qu'une unique adresse IP publique 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 56/98

57 (visible de l'internet) pour les différents utilisateurs du réseau. Cette conversion n'ayant que peu ou pas de compréhension des protocoles applicatifs, elle rend incohérents les paquets de signalisation (SIP ou MGCP par exemple), dans lesquels les adresses IP de l'en-tête et de la partie signalisation n'ont plus aucune correspondance. Pour remédier à ce problème, une solution peut être de modifier tous les équipements NAT (comme par exemple toutes les Residential Gateway) pour qu'ils comprennent et gèrent correctement la conversion des adresses IP de l'en-tête mais aussi celles apparaissant dans le champ de la signalisation. Cette solution est hélas très utopique. Une solution beaucoup plus réaliste consiste à palier à la modification des adresses IP à posteriori (après le passage par le NAT), pour rendre la cohérence aux datagrammes de signalisation lors de leur réception par l'opérateur VoIP. C'est que l'on appelle le NAT Remote Traversal, puisque la correction est effectuée à distance Les risques Les risques de la VoIP comparés aux systèmes voix traditionnels existent car le réseau VoIP est, comme son équivalent data, connecté à l'internet, et de ce fait, exposé à toutes les tentatives d'intrusion, et d'attaques que l'on y trouve. Parce que l'ensemble des communications avec l'extérieur va circuler sur le même lien, le risque d'écoute indiscrète est d'autant plus important. (En téléphonie traditionnelle, le multiplexage des canaux rendait un peu plus complexe ce type d'espionnage, puisque chaque communication devrait alors faire l'objet d'une écoute spécifique). La probabilité d'attaque est plus élevée que dans le monde data, parce que l'environnement téléphonique fait intervenir une composante économique (coûts et revenus) beaucoup plus rigoureuse que dans le monde de la data. Une communication téléphonique vers l'international ou vers un mobile, dont l'émetteur est mal- ou non-identifiable, a un coût intrinsèque réel, que l'opérateur va certainement devoir régler, sans pouvoir répercuter vers le véritable appelant. A grande échelle (durée et quantité de communications) cela devient très vite un problème critique. Un autre risque, qui n'est pas propre à la VoIP mais cependant fondamental est qu'en mutualisant l'utilisation de l'infrastructure de communication pour supporter les services Voix et Data, on prend le risque de voir les deux services devenir simultanément indisponibles en cas de défaillance ou d'attaque sérieuse, et donc de perdre de cette façon le moyen ultime habituel : Appeler le technicien réseau par téléphone en cas de panne réseau Les attaques La plupart des attaques spécifiques VoIP ont un équivalent dans le monde des PBX traditionnels. Certaines sont plus faciles en VoIP, d'autres au contraire plus complexes : Le DoS (Denial of Service) qui consiste à dégrader ou inhiber un service en bombardant un élément de l'infrastructure VoIP (serveur Proxy, Gateway par exemple) d'une grande quantité de paquets malveillants (tels des trames TCP SYN ou ICMP Echo à destination d'un SIP Proxy) L'Eavesdropping ou Call Interception, qui correspond à l'observation indélicate et/ou illégale des flux (signalisation et phonie) et au décodage pour une écoute passive et prohibée des communications Le Packet Spoofing, ou Presence Theft, où le malfaiteur génère des paquets en utilisant ou en usurpant l'identité d'un utilisateur (permettant donc une impersonation soit au niveau paquet au niveau de l'équipement, ou bien au niveau de l'individu). Typiquement ce genre d'attaque permet de tricher sur la facturation (Toll Fraud) Le Rejeu (Replay) qui est la re-transmission de tout ou partie d'une session réelle, de manière à ce qu'elle soit traitée à nouveau (à priori dans un but malintentionné), ce qui correspond aussi au Signal Protocol Tampering Le Message integrity, qui modifie ou corrompt le ou les messages lors de leur circulation En VoIP il est aussi possible d'injecter un virus à un flot de données. Les équipements de sécurité dédiés doivent donc vérifier le contenu des communications au fil de l'eau, si un anti-virus n'est pas déjà actif sur le circuit vers l'internet. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 57/98

58 4.1.4 Fonctions Livre ouvert sur la sécurité Les fonctions de sécurisation que nous allons détailler sont les suivantes : Cryptage Firewall VoIP Stateful (Signal & Media Validation) Admission Control List (ACL) Topology Hiding Observation et interception légale DoS protection Cryptage Un moyen de protéger les flux (signalisation et média) lors de leur transit de toute observation, est naturellement de les crypter, par exemple via un VPN. Il s'agit d'une solution commune à tous les échanges de données, qui dans le cas de la VoIP doit cependant ne pas ajouter de délai de codage trop important, sous peine de dégrader la qualité de la voix. Le fait d'avoir des équipements de terminaison hardware permet généralement d'éviter cet écueil Firewall VoIP Stateful Cette capacité correspond dans la pratique à l'ouverture et la fermeture dynamique de "pinhole" par le SBC, à partir de l'établissement d'une connexion et jusqu'à sa clôture. Le SBC qui a la compréhension des protocoles de signalisation, va suivre l'échange menant à l'établissement effectif de la connexion VoIP, et ouvrir automatiquement le "trou" correspondant à la combinaison (adresse IP, numéro de port) dans les deux sens. Notons par ailleurs que la plupart des SBC effectuent aussi du NAT Traversal et sont effectivement obligés de suivre l'établissement de la connexion, et au passage, de modifier certaines adresses IP à l'intérieur du datagramme, de manière à permettre le passage au travers du NAT distant. Naturellement les SBC, tels un Firewall Stateful, bloquent implicitement toutes les combinaisons d'adresses IP et de numéro de port qui ne correspondent pas à l'ouverture ou la continuation d'une session VoIP identifiée Admission Control List D'une manière parfaitement comparable à la configuration d'un Firewall ou des règles de sécurité applicables sur un routeur, il est possible et recommandé de définir un certain nombre de filtres sur le SBC, restreignant les communications VoIP à un ensemble délimité d'adresses IP référencées. Tout équipement non-référencé verra ses tentatives de connexion systématiquement rejetées Topology Hiding L'équipement chargé de la protection de l'infrastructure VoIP bloque systématiquement toute tentative d'accès aux serveurs et entités média situés dans la zone protégée. Cela correspond à cacher, ou occulter l'ensemble des éléments VoIP du cœur du système et qui n'ont pas de raison d'être en "contact" direct avec l'extérieur Observation et interception légale Le SBC est aussi l'élément stratégique privilégié pour effectuer un suivi des communications, voire une écoute quand cela est requis par l'autorité adéquate. Les SBC sont donc généralement capables de détecter en temps réel un comportement à risque, et de dupliquer la session sur un port d'écoute, permettant la surveillance d'une connexion malveillante, comme peut le requérir le CALEA (Communications Assistance for Law Enforcement Act) outre atlantique DoS Protection Le moyen le plus efficace de se protéger des attaques de type DoS (Denial of Service) en VoIP consiste à s'assurer d'une cohérence avec le protocole employé et le service requis. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 58/98

59 Ainsi en limitant le taux d'établissement d'appel et média (call set-up rate & media rate) par flux, on se protège implicitement des attaques DoS, mais aussi potentiellement des perturbations que pourrait engendrer un équipement défectueux (dans un état instable), tout en maintenant le service pour les utilisateurs légitimes. La temporisation entre appels (call gapping) permet de protéger le SoftSwitch, les serveurs Proxy SIP et les autres entités impliquées dans la signalisation, d'une sur-occupation temporaire malveillante, voire de tendre vers un état inopérant. La limitation du taux d'appels (rate limiting) quant à elle, permet de protéger aussi bien le Media Gateway, serveur IVR, et autres équipements média, en définissant des taux naturellement cohérents avec la technologie (par exemple, le codec employé pour un flot permet de situer un seuil maximum du nombre de trames que l'on doit recevoir par seconde). Note : Dans le monde de la VoIP, les Phreakers sont les pendants des Hackers (terme inapproprié mais tellement galvaudé). Les Phreakers utilisent le système téléphonique pour : passer des appels gratuitement perturber le système téléphonique pour se divertir (défi plus ou moins technique) 4.2 LA SECURITE DES RESEAUX SANS FIL Auteurs : Michèle Germain ( ComXper) comxper@free.fr et Alexis Ferrero (OrbitIQ) alexisf@orbitiq.com Ce sous-chapitre traite essentiellement des réseaux Wi-Fi basés sur les standards de l IEEE, qui sont les plus répandus en tant que WLAN. D autres technologies seront néanmoins évoquées à la fin Le problème du WEP Le standard qui régit les réseaux sans fil Wi-Fi a été pensé pour donner un maximum de facilité d emploi et de flexibilité pour se connecter à un réseau, au détriment hélas de la sécurité. Il prévoit un mécanisme d authentification réseau et un chiffrement WEP, trop fragile pour résister longtemps aux attaques des hackers. De plus, nombre d utilisateurs négligent de mettre en œuvre ces sécurités élémentaires. L'identification réseau Un réseau radio Wi-Fi est identifié par un SSID (drapeau alphanumérique non crypté) qui sert de reconnaissance mutuelle entre le point d accès et les terminaux. Pour être clair, le SSID n a pas la vocation d être un élément de sécurité ; il a pour seul but de garantir l indépendance de réseaux radioélectriquement proches. Chaque fabriquant utilise un SSID constructeur qui est programmé par défaut sur tous les équipements commercialisés. Bien évidemment, les listes SSID constructeurs sont largement publiées sur l Internet. La première précaution consiste donc à personnaliser le SSID. Le SSID n est malgré tout qu une piètre protection, puisqu il est diffusé en clair sur l interface air. Les tags de Warchalking ne s y trompent pas et indiquent explicitement le SSID du réseau. La diffusion du SSID se fait périodiquement ou bien à la demande d un poste mobile qui désire se connecter. L option programmée par défaut est la diffusion périodique. Plusieurs mécanismes permettent d'améliorer significativement la sécurité de la phase de connexion. Le premier consiste à inhiber la diffusion périodique du SSID. Dans ce cas, c'est au poste client de connaître ce SSID pour s'attacher (ou d émettre une demande de connexion, cf. ci-dessous). C est une sage précaution mais une piètre protection. L attaquant n a qu à attendre patiemment qu un usager mobile se présente : l heure d ouverture des bureaux d une entreprise est un moment très favorable à l interception du SSID. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 59/98

60 Une technique similaire consiste à ne pas répondre aux broadcast émis par des postes mobiles désirant se connecter et qui demandent quels sont les SSID disponibles ou visibles. Les postes mobiles du réseau doivent alors obligatoirement connaître le SSID. Il s'agit cependant, d'une part, de protections très limitées, car les SSID peuvent être découverts via les communications des autres postes mobiles observés, et d'autre part, l inhibition de l échange du SSID peut bloquer l'attachement de certains NIC dont les implémentations nécessitent ces étapes dans leur processus de connexion. Personnaliser le SSID et ne pas le diffuser, c est mieux, mais c est insuffisant! Le WEP Le WEP est le mécanisme de sécurisation standard prévu par le protocole Il repose sur un mécanisme d authentification et de chiffrement utilisant des clés de 40 ou 128 bits (plus un vecteur d'initialisation de 24 bits). Jusqu à ce qu il impose WPA (voir ci-dessous), le label Wi-Fi n imposait qu une clé de 40 bits. Des implémentations à 128 (24+104) et 256 bits sont courantes et plus robustes. Mais des programmes existent maintenant dans le public pour casser ces clés. Le chiffrement utilise un «ou exclusif» des données à chiffrer avec une séquence pseudo aléatoire. Les principales vulnérabilités de cet algorithme viennent des facteurs suivants : la séquence pseudo aléatoire est obtenue au moyen d un algorithme linéaire et est facilement prédictible la clé est statique et commune à l ensemble des points d accès et postes mobiles du réseau, le contrôle d intégrité est faible et ne filtre pas efficacement les altérations des trames, il ne comporte pas d indication de séquencement, ce qui facilite les attaques par rejeu, la séquence pseudo aléatoire est initialisée au moyen d un vecteur d initialisation, transmis en clair sur l interface air et de ce fait interceptable par sniffing. Face à ces faiblesses, diverses méthodes ont été ajoutées pour résoudre cette insuffisance. Citons le dynamic WEP et surtout le TKIP qui permettent le changement fréquent de la clé de chiffrement. Ces dernières fonctionnalités se trouvent en standard dans les mécanismes du i. L authentification est tout autant vulnérable, du fait qu elle est basée sur la même protection que le chiffrement. Elle se fait par envoi d un texte à chiffrer au poste mobile qui désire se connecter. Cette dernière renvoie le texte chiffré par le WEP. Si le chiffrement est connu, l intrusion est immédiate. Sinon, il suffit d écouter la séquence de connexion d un poste mobile puisque le texte d authentification passe successivement en clair puis chiffré sur l interface air. En tout état de cause, l authentification porte sur le poste et non sur son utilisateur. En pratique, il suffit de deux heures pour «casser» le WEP, certains se vantant même de le faire en un quart d heure! Pour faciliter le travail des hackers, il existe des dictionnaires de séquences pseudo aléatoires en fonction des valeurs du vecteur d initialisation. On trouve également sur Internet d excellents logiciels de cracking du WEP (Airsnort ou Netstrumbler sous Linux, par exemple). Modification de la clé Utiliser le WEP, c est mieux, mais c est insuffisant! La clé de chiffrement est unique et partagée par tous les points d accès et postes mobiles du réseau. Une clé, ça s use et une des règles élémentaires de la sécurité des réseaux chiffrés consiste à changer périodiquement les clés. Le protocole ne prévoit aucun mécanisme de mise à jour des clés. Par conséquent, la mise à jour doit se faire manuellement et simultanément sur tous les équipements radio du réseau. Ceci n est possible que sur de très petits réseaux et, en pratique, personne ne se livre à une opération manuelle sur un réseau qui comprend un nombre significatif de points d accès et de postes mobiles. Modifier les clés, c est mieux, mais c est irréaliste! 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 60/98

61 Le filtrage des adresses MAC Livre ouvert sur la sécurité Cette protection consiste à n autoriser l accès au réseau qu à un ensemble de stations dûment répertoriées au moyen de leur adresse MAC. Cette protection n est pas non plus parfaite, car les adresses MAC peuvent être récupérées par les sniffers et réutilisées par des hackers. Enfin, le filtrage des adresses MAC est contraignant pour l utilisateur puisque l introduction d un nouveau poste mobile nécessite une reconfiguration du réseau. En pratique, cette technique n est réaliste que si le réseau contient un nombre relativement restreint et stable de stations. Alors que faire? Filtrer les adresses MAC, c est mieux, mais c est insuffisant! La mauvaise réputation des réseaux sans fil vient de ce que nombre d utilisateurs n ont voulu mettre en œuvre que les mécanismes standards, ou aucun, ou encore se font une bonne conscience en inhibant la diffusion du SSID. Les techniques des réseaux filaires, notamment le VPN, peuvent venir au secours des réseaux sans fil, pour apporter une sécurité applicative. Consciente des failles de sécurité du protocole, l IEEE travaille à une extension du protocole de base, désignée i, qui repose sur des techniques éprouvées de chiffrement et d authentification, dont le WPA (Wi-Fi Protected Access) constitue une première étape (cf ) Les contre-mesures de base La surveillance du réseau L IDS Les protections contre les intrusions réseau se font essentiellement par les systèmes IDS dédiés au Wi-Fi, qui cherchent à corréler plusieurs événements douteux pour déterminer si le réseau ou un système particulier est en train de subir une intrusion Les capacités de l'ids wireless intégrées au commutateur Wi-Fi consistent à surveiller continuellement les échanges et les flux Wi-Fi pour détecter au plus tôt tout risque ou événement anormal, informer immédiatement l'administrateur et réagir en temps réel. Les équipements évolués savent repérer les WEP faibles, les Rogue AP, les ponts wireless (WBS), localiser les équipements responsables d'un déni de service, détecter une impersonation ou une attaque ASLEAP 1. Ces capacités reposent sur la base de connaissance que possède le commutateur central et qu'il enrichit au fil de l'eau lors de toute connexion, authentification, tout échange, tout déplacement ou toute modification des caractéristiques d'un équipement. La surveillance du trafic Un mode de protection particulièrement efficace contre l impersonation consiste à observer continuellement tout le trafic Wi-Fi, tout le trafic sur les réseaux câblés, et de pouvoir détecter toute station ou AP incohérent. Il s'agit de détecter l'apparition d'un élément inconnu (station ou AP), la "duplication" d une station ou d un point d accès, le "déplacement" d'un point d accès. Un moyen de surveillance est, par exemple, de vérifier que le trafic des postes mobiles Wi-Fi connus et détectés passe bien par les LAN appropriés. Un autre consiste à associer à chaque poste mobile la puissance du signal émis. Si pour la même adresse MAC, deux puissances différentes sont perçues à un moment donné, les deux postes sont mis en quarantaine et une alarme est envoyée vers l'administrateur. Les équipements qui supervisent les différents flux de communication s'assurent que les communications provenant des AP ne parviennent pas directement au cœur du réseau par un circuit illicite (Rogue AP typiquement) et à l'inverse, que ces communications radio sont effectivement 1 ASLEAP est un outil permettant de cracker le cryptage LEAP 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 61/98

62 visibles sur le réseau câblé après passage par l'équipement de protection (commutateur, firewall, etc.) et non pas détournées vers un réseau pirate via un Fake AP. Le monitoring Le mode de fonctionnement de Wi-Fi implique que dès qu'un AP est associé à un canal de fréquence, il ne fonctionne que sur ce canal et n'a plus la possibilité de superviser les autres canaux. Ceci est donc le rôle de points d accès particuliers dédiés à l'écoute, donc passifs, qui balayent continuellement les différents canaux pour surveiller les flux des différentes cellules qu'ils reçoivent et vérifier le bon fonctionnement des points d accès voisins. Tout le trafic de ces AP de surveillance est remonté vers le commutateur qui peut s'assurer qu'aucun de ses clients connus ne se connecte à un AP "non référencé". Les AP passifs, donc en mode d'écoute, peuvent détecter et suivre des signaux relativement faibles, provenant d'équipements assez éloignés. Par conséquent, leur couverture est beaucoup plus large que celle des AP actifs. Enfin, concernant les capacités de monitoring, un administrateur réseau peut mettre en œuvre un système Wi-Fi non pas dans le but d offrir un service de mobilité, mais dans celui de surveiller qu'aucune installation pirate (Rogue AP) n'a effectivement été installée et connectée au réseau. Ainsi, un commutateur WLAN uniquement équipé d'ap passifs permet de surveiller quotidiennement le réseau et de détecter l'apparition de transmissions Wi-Fi avant même qu'une installation «officielle» ne soit déployée. Détachement forcé La protection la plus courante consiste à forcer systématiquement le dé-attachement du client en cause ou de tous les clients connus qui se seraient attachés à un AP frauduleux. De cette façon le réseau Wi-Fi apparaît inaccessible à ces postes de travail qui ne parviennent pas à établir une connexion complète. Cette capacité apporte une protection forte mais elle nécessite néanmoins de régler définitivement le problème par une intervention physique sur le poste client ou l'ap à la source du danger. des outils de localisation facilitent la recherche de l équipement visé. L audit de la couverture radio Lors de l installation des points d accès, il est important de vérifier que la couverture radio ne déborde pas inutilement hors de la zone prévue, même si ceci ne met pas le réseau à l abri des hackers équipés d équipements amplificateurs qui leur permettent d agir bien au-delà de la zone de couverture nominale. Une disposition judicieuse des points d accès et des antennes permet d optimiser la couverture radio. Celle-ci doit ensuite être vérifiée périodiquement, pour s assurer qu aucun point d accès pirate n a été ajouté sur le réseau. Cette précaution vaut également pour les réseaux câblés non Wi-Fi certains utilisateurs ont déjà eu la surprise de trouver des points d accès Wi-Fi sur des réseaux qui n étaient pas supposés en intégrer L ingénierie du réseau Le commutateur Si les points d accès sont connectés sur un simple concentrateur et non sur un commutateur, les données à destination de tout poste fixe ou mobile sont diffusées sur le réseau et peuvent être interceptées par un sniffer. Il est vivement recommandé de déployer les WLAN sur des infrastructures de commutateurs et de contrôler le trafic des postes mobiles vers le réseau câblé.. Il existe deux types d architecture WLAN : La première repose sur un commutateur standard. Les points d accès intègrent les fonctions radio réseau et sécurité. Le commutateur peut gérer aussi bien les postes fixes que les postes mobiles. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 62/98

63 La seconde repose sur un commutateur spécifique WLAN qui fédère les fonctions radio, réseau et sécurité. Les points d accès n ont aucune intelligence et se contentent de jouer leur rôle d émetteur-récepteur radio. Cette seconde configuration est plus résistante aux attaques de type Rogue AP, puisque nécessite une intervention au niveau du commutateur. Notons qu'idéalement le commutateur WLAN possède plusieurs queues, permettant d'envisager la gestion de flux avec garantie de qualité de service (QoS), typiquement la VoIP à partir d'ordinateurs ou de téléphones Wi-Fi. Le VLAN Une précaution consiste à segmenter le réseau afin d isoler les données sensibles du réseau radio et à déployer le WLAN sur une infrastructure VLAN 2 qui lui est propre. Le réseau peut comporter plusieurs VLAN, chacun correspondant à un sous-réseau WLAN spécifique avec son propre SSID. Il est ainsi fortement recommandé de faire arriver systématiquement tous les VLAN du réseau sur le commutateur WLAN, même ceux qui ne feront transiter aucun trafic par celui-ci. Cela permet au commutateur de localiser tous les équipements, de mettre à jour sa base de connaissance du réseau et de détecter la présence anormale d'un flux ou d'un client sur un segment où il ne devrait pas figurer. Les sous-réseaux radio sont mis logiquement dans une zone démilitarisée d un firewall qui contrôle le flux d informations entre le réseau radio et le réseau filaire (cf. ci-dessous). Le firewall Comme pour les réseaux câblés, la meilleure protection est la mise en place d'un firewall entre la partie WLAN et le reste de l'infrastructure réseau. Il est intégré au commutateur WLAN, quand il y en a un. Idéalement, ce firewall doit mettre en œuvre des protections au niveau de l adressage, gérer des filtres, journaliser les connexions, posséder des ACL (Access Control List) à partir desquelles les accès sont filtrés, suivre les connexions dans le temps (capacité dite «stateful») afin de garantir un niveau de sécurité au moins égal à celui de l'environnement câblé. La meilleure protection est de considérer tout ce qui concerne le réseau sans fil (à l intérieur et à l extérieur de l entreprise) comme étant dans une bulle d insécurité à mettre logiquement sur une DMZ du firewall et activer une authentification forte et des mécanismes de chiffrement VPN. Configuration du WLAN dans la DMZ d un firewall 2 Partition logique d un réseau physique visant à créer des sous-réseaux (segments) virtuels. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 63/98

64 Le pot de miel (honeypot) Livre ouvert sur la sécurité La configuration du WLAN peut également inclure des pièges (pots de miel), sous la forme de points d accès peu sécurisés n accédant qu à des données sans importance qui attireront les hackers et les tiendront hors du réseau protégé. Le VPN Le VPN fournit un tunnel chiffré qui constitue une protection efficace, notamment lorsque l utilisateur travaille dans une zone non sécurisée, par exemple sur un hotspot public. L'utilisation de réseau virtuel privé gère la liaison de la même manière que pour un poste nomade filaire raccordé via modem téléphonique. Le VPN assure le cryptage et l'authentification mutuelle, protégeant ainsi tous les trafics de l'ordinateur client jusqu'au commutateur Wi-Fi. Ce dernier a la charge de terminer les VPN de tous les clients et de livrer un trafic "sain" au réseau LAN auquel il est connecté La configuration des stations radio Interdiction de liaison «ad hoc» Les postes mobiles, ainsi que les postes fixes équipés de l option Wi-Fi, doivent être configurés pour interdire toute connexion «ad-hoc», c est à dire de station à station, sans passer par un point d accès. Ceci fait barrage aux hackers qui tenteraient une intrusion du réseau via une station du réseau. Cette précaution est essentielle pour les utilisateurs amenés à se connecter à leur entreprise depuis un hotspot public. Concernant les postes fixes équipés de l option Wi-Fi, il est bon de désactiver celle-ci hors utilisation. Il est vivement conseillé que les postes mobiles soient également équipées d un firewall personnel pour filtrer les accès entrants indésirables et limiter les possibilités de connexions sortantes. Contrôle du débit radio Un type de protection assez répandu contre les AP frauduleux (Fake AP) positionnés par exemple à l'extérieur du bâtiment (et donc avec une puissance radio faible), consiste à interdire aux postes mobiles de se connecter avec un débit trop bas (1 ou 2 Mb/s), car a priori incohérent avec la topologie de disposition des AP issue de l ingénierie radio du réseau Les défenses radio Les leurres Cette forme de défense, propre aux réseaux Wi-Fi, est une riposte contre le Wardriving («Fake AP» de Black Alchimy sous Linux). Elle consiste à diffuser en grand nombre des trames contrefaites avec des SSID, adresses MAC et numéro de canal aléatoires. Les outils de Wardriving voient des multitudes de réseaux et sont incapables de repérer le vrai La sécurisation au niveau applicatif La sécurisation de l information transportée peut être faite au niveau des applications, sans protéger l association du poste mobile au point d'accès. L information peut être détournée mais elle est inutilisable. Chiffrement Des protocoles standards, comme SSL, peuvent être employés à cet effet. Authentification Ce mode d'authentification par un serveur Web "forcé" à la connexion, répond au besoin de type hotspot pour les opérateurs. Il revient à authentifier l'utilisateur par login/password sur un portail Web, le serveur Web résidant dans le commutateur WLAN. La liaison entre le Client et le commutateur est sécurisée par SSL et l'authentification peut être réalisée via une base d authentification locale. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 64/98

65 En retour l'utilisateur est assigné à une catégorie définissant son VLAN, ses droits, etc. Par exemple si l'utilisateur est connu mais qu'il n'a plus de crédit, il peut être redirigé vers un VLAN aboutissant à une page particulière qui l invite à renouveler son abonnement. Pour sécuriser totalement les communications authentifiées par serveur Web, un moyen est de faire suivre la phase d'authentification par la mise en service d'un client VPN éventuellement téléchargé (Dialer VPN) Les évolutions du protocole : WPA et i Petit historique WPA 1.0 En attendant l avènement de i (voir ci-dessous), l IEEE a introduit WPA (Wi-Fi Protected Access), qui en est un sous-ensemble et apporte un plus très significatif.. Depuis 2003, tous les produits radio ayant le label Wi-Fi supportent obligatoirement WPA. Il fait usage du standard IEEE 802.1x pour faire référence à un serveur d'authentification RADIUS, ce qui correspond à considérer le commutateur WLAN comme un concentrateur de modems (RAS ou BAS) dans une architecture de collecte traditionnelle. Le protocole d authentification utilisé entre le commutateur et le serveur peut être une des couches bâties au-dessus d'eap (Extensible Authentication Protocol). WPA fait aussi usage de TKIP qui gère la génération et l échange dynamique des clés de chiffrement, tout en s appuyant sur le WEP 802.1x est un protocole de contrôle d accès réseau qui s applique à tout type de LAN radio ou filaire. Il définit un cadre d utilisation d EAP. EAP, initialement conçu pour PPP, est un protocole de transport de l authentification, celle-ci étant supportée par une application de niveau supérieur (ULA) et reposant sur un serveur Radius. Le protocole RADIUS est un protocole client/serveur permettant de gérer de façon centralisée les comptes des utilisateurs et les droits d'accès associés. Il supporte de multiples mécanismes d authentification dont EAP. Le serveur RADIUS est un serveur d authentification (AAA) dont les communications avec les clients sont supportées par le protocole RADIUS. Les produits WPA sont compatibles ascendants i. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 65/98

66 Chiffrement TKIP Livre ouvert sur la sécurité Tout en conservant l architecture du WEP, TKIP met en jeu un certain nombre de mécanismes propres à améliorer la résistance aux attaques, en résolvant notamment le problème de la réutilisation cyclique des clés : le calcul de la clé est basé sur une clé temporelle partagée par les postes mobiles et les points d accès et changée tous les paquets, une méthode de distribution dynamique assure le rafraîchissement de la clé temporelle, le calcul de la séquence de clés fait intervenir l adresse MAC de la station, donc chaque poste mobile dispose de sa propre séquence, le vecteur d initialisation est incrémenté à chaque paquet, ce qui permet de rejeter des paquets «rejoués» avec un numéro de séquence antérieur, un code d intégrité ICV (calculé selon un algorithme MIC nommé Michael) introduit une notion de «CRC chiffré». La mise à niveau TKIP d équipements WEP se fait par simple mise à jour de logiciel. TKIP a l avantage d être compatible avec le WEP, autorisant ainsi l interopérabilité d équipements WEP et d équipements TKIP avec bien sûr, un niveau de sécurité WEP. Son défaut est son temps de calcul qui dégrade les performances du réseau et n est pas compatible avec les contraintes de QoS. Authentification L authentification repose sur les protocoles standards 801.1x et EAP au-dessus desquels sont développés des standards d authentification interopérables. Différentes couches sont définies au-dessus d EAP pour supporter des polices de sécurité (par ordre de protection croissante) : EAP-MD5 utilise un serveur RADIUS qui ne contrôle qu un hash-code du mot de passe du poste mobile et ne fait pas d authentification mutuelle. Ce protocole est déconseillé pour les réseaux radio car il peut laisser le poste mobile se connecter sur un pot de miel. LEAP, développé par CISCO, introduit une authentification mutuelle et délivre des clés WEP pour le chiffrement du WLAN. L authentification est basée sur un échange login/password. Il n en demeure pas moins vulnérable par le risque qu un tiers non autorisé puisse avoir connaissance des mots de passe et est également exposé à des attaques de type dictionnaire (ASLEAP). PEAP et EAP-TTLS utilisent un serveur RADIUS et sont basés sur un échange de certificats. Les serveurs RADIUS qui supportent PEAP et EAP-TTLS peuvent s appuyer sur des bases de données externes : Domaine Windows ou annuaire LDAP, par exemple EAP-TLS est le standard recommandé de sécurisation des WLAN. Il met en œuvre un serveur d authentification RADIUS. Les postes mobiles et le serveur doivent s authentifier mutuellement au moyen de certificats. La transaction est sécurisée par un tunnel chiffré. EAP-TLS/TTLS et PEAP sont particulièrement résistants aux attaques de type dictionnaire et man in the middle i L arrivée du protocole i, extension du protocole de base pour la sécurité du Wi-Fi, est attendue depuis plusieurs années et serait annoncée pour l automne Il s appuie sur TKIP et 802.1x et reprend l allongement de la clé, le code d intégrité MIC et le séquencement des paquets. Mais la grande innovation est l introduction d un chiffrement AES particulièrement performant et compatible avec les contraintes de QoS. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 66/98

67 Un inconvénient est la puissance de calcul nécessaire à AES, qui exige l implémentation d un coprocesseur, déjà présent par mesure conservatoire sur les équipements récents supportant WPA. Pour cette raison, il sera nécessaire de prévoir un rétrofit matériel des équipements WEP d une génération antérieure à WPA En bref Protocole de chiffrement Longueur de clé WEP 40, 128 bits RC-4 Dynamic WEP 40, 128 bits RC-4 TKIP - WPA bits RC-4 IPsec AES-CCMP - IEEE i Application 128, 168, 192 ou 256 bits 128, 192 or 256 bits Méthode de Vulnérabilités chiffrement Vulnérable à l'injection de paquet et rejeu, car pas de code d'intégrité de message Vecteur d'initialisation faible Vulnérable à l'injection de paquet Vecteur d'initialisation faible Code d'intégrité de message faible, injection de paquet 3DES, AES AES Le niveau de sécurisation demandé varie selon les situations WLAN entreprise Code d'intégrité de message et clés de chiffrement identiques WPA s adresse aux entreprises. Les protocoles EAP-TLS, EAP-TTLS et PEAP s appuyant sur un serveur RADIUS sont particulièrement recommandés. Dans ce type d implémentation, le VPN n est pas nécessaire, du moins en ce qui concerne la confidentialité du réseau radio. Il est même déconseillé si le réseau Wi-Fi sert également de support à la voix, car il dégrade la qualité de service. WLAN résidentiel et SoHo Il est peu probable de trouver un serveur d authentification dans ce domaine. WPA propose pour ces réseaux, un mode allégé nommé WPA-PSK. L authentification se fait sans avoir recours à un serveur et repose sur l échange d un password partagé. Ce même password sert à initialiser le processus de chiffrement TKIP. La gestion étant faite manuellement, WPA-PSK ne peut s appliquer qu à des réseaux de petite taille. Hotspot Afin de faciliter l accès au réseau des postes itinérants, aucun mécanisme de sécurité n est mis en œuvre dans les hotspots publics. En particulier, il n y a pas d authentification au niveau Wi-Fi, puisque l'utilisateur lors de sa connexion n'a aucune connaissance du réseau, et réciproquement. L'authentification se fait alors sur un portail Web. C est à l utilisateur de prévoir sa propre protection, par VPN, par chiffrement applicatif, en utilisant un firewall client et en configurant correctement sa station afin de bloquer l intrusion directe d une autre station. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 67/98

68 4.2.5 Autres technologies Bluetooth Livre ouvert sur la sécurité Bluetooth est connu pour des applications point à point, plutôt que pour la réalisation de WLAN, bien que ceci soit techniquement possible. Bien que le protocole Bluetooth prévoie des mécanismes de sécurisation performants, ceux-ci sont rarement mis en œuvre. La faible portée (10 mètres) d une liaison Bluetooth protège contre les intrusions les plus courantes, ou du moins donne bonne conscience aux utilisateurs Ne perdons pas de vue que dans un lieu public, les personnes sont souvent à moins de 10 mètres les unes des autres. Il faut être particulièrement vigilant en utilisant un clavier sans fil Bluetooth qui rayonne quand même sur 10 mètres : tous les codes frappés sur le clavier passent sur la liaison, en particulier les mots de passe. Par ailleurs, le standard Bluetooth prévoit plusieurs puissances de transmission : 10mW, qui est celle couramment utilisée et 100 mw qui donne une portée comparable à celle d un réseau Wi-Fi. Des équipements 100mW commencent à voir le jour, permettant de bâtir des WLAN de petite capacité, tout autant vulnérables que des réseaux Wi-Fi. Une autre attaque par Bluetooth concerne les téléphones portables bi-standard GSM Bluetooth. Une faille de Bluetooth permet d obtenir à distance des informations stockées dans un combiné. Les attaques se font essentiellement dans les hotspots publics. Par ce biais, le hacker peut récupérer les coordonnées du fournisseur du service et le login/password qu une victime qui se trouve près de lui vient de recevoir par SMS. Une précaution consiste à désactiver l option Bluetooth de son téléphone HiperLAN/2 HiperLAN/2 est un standard de l ETSI concurrent du a. Il est cité ici pour mémoire, puisque HiperLAN/2 vient d être définitivement abandonné. Contrairement à , HiperLAN/2 prévoit de base des mécanismes de sécurité efficaces, de chiffrement, d authentification mutuelle et de distribution dynamique de clés. L authentification peut être basée sur un échange de hash-code MD5 ou bien sur une clé publique RSA. HiperLAN/2 supporte divers identifiants d authentification : identifiant de réseau, adresse IEEE, certificat WiMAX Le chiffrement prévoit deux options, basées sur les algorithmes DES et 3-DES. WiMAX, autre standard de l IEEE, se positionne sur le créneau du réseau métropolitain, notamment comme alternative à la desserte câble ou ADSL. Contrairement au Wi-Fi, les équipements finaux doivent être préalablement déclarés pour pouvoir être connectés au réseau WiMAX, ce qui ne facilite pas la tâche des hackers. L authentification se fait par des certificats et par chiffrement asymétrique. Le chiffrement utilise une clé délivrée par la séquence d authentification et un algorithme 3-DES. Le standard IEEE s adresse à des structures WAN pour des usagers mobiles. Contrairement aux réseaux 3G qui sont voix et données, les réseaux sont dédiés à l Internet mobile. L authentification mutuelle est basée sur des certificats avec signature RSA, au cours de laquelle sont distribuées les clés de chiffrement symétrique. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 68/98

69 Réseaux 2G/2,5G/3G Livre ouvert sur la sécurité Le GSM utilise des mécanismes de sécurité particulièrement efficaces qui assurent l authentification de l identité de l abonné, la confidentialité de l identité de l abonné, la confidentialité de la signalisation échangée et la confidentialité de l information échangée. La sécurité est implémentée à trois niveaux : dans la carte SIM : informations personnelles de sécurité (clé d authentification, algorithmes d authentification et de génération des clés, identité de l abonné, code personnel, dans le terminal : algorithme de cryptage, dans le réseau : algorithme de cryptage, serveur d authentification. L utilisation d identifiants temporaires permet de masquer l identité du terminal et constitue une protection efficace contre les interceptions. Les algorithmes de chiffrement du GSM sont tenus secrets et apparemment le sont encore. Les mêmes mécanismes sont reconduits pour l UMTS et le GPRS. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 69/98

70 5 UNE ARCHITECTURE DE SECURITE DE BOUT EN BOUT 5.1 LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES Auteur Thierry Karsenti (CheckPoint) - thierry@checkpoint.com À l heure actuelle, les télé travailleurs sont de plus en plus nombreux à utiliser la technologie VPN (Virtual Private Network, réseau privé virtuel) pour accéder aux ressources internes des entreprises via les technologies d accès Internet, telles que les modems câble ou les lignes DSL. Cependant, la disponibilité constante de ces services Internet haut débit est une véritable porte ouverte aux intrusions, lesquelles menacent aussi bien le poste client que le réseau de l entreprise. Pour empêcher les pirates de détourner une session VPN dans le but d accéder aux ressources internes de l entreprise, il est primordial de déployer une solution de sécurité de bout en bout pour les clients VPN. Les administrateurs informatiques ont le choix entre différentes approches pour sécuriser les systèmes des utilisateurs distants, allant d une politique d autorisation souple à une politique très restrictive qui risque d empêcher les utilisateurs de profiter pleinement des connexions haut débit. La meilleure approche reste toutefois le déploiement concerté d une solution complète garantissant un niveau de sécurité optimal tout en permettant aux utilisateurs d exploiter au maximum le service Internet haut débit Identification des risques Les réseaux VPN d accès distant menacent la sécurité de l entreprise à bien des égards. Tout d abord, chaque poste à usage professionnel est susceptible de contenir des données sensibles qui doivent être protégées. À ce titre, il doit donc être soumis à des mesures de contrôle d accès, telles que celles offertes par les firewalls. Ensuite, les données transmises par et vers l ordinateur d un employé doivent également être protégées. Cette fonction est d ailleurs l objectif intrinsèque de tout réseau VPN! Malheureusement, les services haut débit permanents accentuent les dangers car les sessions longues sont par nature davantage exposées aux attaques. La troisième et probablement la principale raison justifiant la protection des ordinateurs individuels est qu elle les empêche d être contaminés à long terme, notamment par des programmes de type Cheval de Troie. Prenons un exemple : imaginez qu un pirate place discrètement un programme sur un PC non protégé et connecté à Internet. Ce programme capture et consigne toutes les opérations au clavier de cet utilisateur. Le pirate peut donc facilement se procurer le mot de passe d accès au réseau VPN de l entreprise, annihilant ainsi la fonction première du VPN. Autre type de programme tout aussi dangereux, le Cheval de Troie enregistre un PC non protégé pour l utiliser comme attaquant involontaire, ou «zombie», lors d une attaque DDoS (Déni de service distribué). Les administrateurs informatiques sont de plus en plus conscients de ces dangers. Voilà pourquoi ils sont de plus en plus nombreux à demander des solutions de sécurité d entreprise de bout en bout. Mais quelle approche adopter? Correction des lacunes de sécurité Une approche de sécurisation des clients VPN consiste à mettre en place une politique d entreprise demandant aux utilisateurs de déployer une solution personnelle de pare-feu à administrer individuellement. Plusieurs constructeurs en proposent sur le marché. Malheureusement, cette approche place le fardeau de l installation, de la configuration et de l administration du pare-feu sur les épaules des utilisateurs finaux. La difficulté de fournir l assistance et la formation nécessaires pour cette approche «du chacun pour soi» la rend irréaliste. Une autre approche consiste à acheter une solution de pare-feu personnelle administrée de manière centralisée pour sécuriser les postes individuels. Cependant, cette méthode n offre pas de garantie suffisante : les utilisateurs sont libres de désactiver ou de modifier la configuration de leur pare-feu avant d ouvrir une session VPN. Si les produits de pare-feu et de client VPN ne sont pas intégrés, rien ne permet d affirmer que le pare-feu personnel fonctionne en continu sur le poste client. Un 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 70/98

71 tunnel VPN pourrait dès lors être menacé sans que l administrateur informatique ni l utilisateur ne s en rendent compte, avec de lourdes conséquences pour le réseau. En outre, si une entreprise envisage de déployer deux solutions distinctes pour la connectivité VPN d accès distant et la sécurité du poste de travail, elle ne doit pas perdre de vue le coût de leur charge administrative. En effet, chaque nouvelle version devra subir un test de compatibilité, que ce soit au niveau du client VPN ou du pare-feu du poste de travail. Les administrateurs informatiques devraient également tenir compte d autres aspects tels que l évolutivité et l administration s ils veulent utiliser plusieurs produits de sécurité client indépendants. Par exemple, quelles seront les implications de l ajout d un nouvel utilisateur ou de la mise à jour de la politique de sécurité au niveau des deux solutions, et ce, pour tous les utilisateurs du VPN? Approche intégrée Aujourd hui, certaines solutions intègrent étroitement des fonctions de sécurité du poste de travail dans une solution de clients VPN. Cette approche offre de réels avantages. Ainsi, un pare-feu/client VPN intégré peut imposer automatiquement la sécurité sur l ordinateur de chaque utilisateur final. Alors que les VPN apportent la connectivité standard avec un cryptage côté client et l authentification des utilisateurs, ces solutions ajoutent de puissantes fonctions de sécurité telles que le contrôle d accès et le contrôle de la sécurité client. Ces fonctions permettent aux administrateurs d imposer une politique de sécurité des clients administrée de manière centralisée. Elles permettent également d implémenter un contrôle d accès aux clients basé sur des règles et de définir des politiques différentes pour chaque groupe d utilisateurs. Et bien plus encore... Les entreprises qui comptent différents types d utilisateurs VPN distants, comme des commerciaux et des informaticiens, peuvent adapter les politiques de sécurité aux besoins de chaque utilisateur. Autre avantage de ces solutions : elles permettent d étendre la sécurité du réseau pour englober des contrôles de sécurité personnalisés. Elles pourraient impliquer, par exemple, des fichiers «.dll» Windows pouvant vérifier une multitude de conditions sur les postes client, notamment l installation d une application spécifique ou encore une valeur du registre Windows. Les résultats positifs de ces contrôles pourraient être la condition à l établissement d une connexion VPN. Ces solutions pourraient être configurées de manière à garantir la mise à jour de la solution antivirus d un poste client avant l établissement d une session VPN avec ce poste. De cette façon, les clients et le réseau de l entreprise seront efficacement protégés contre les virus potentiellement dangereux. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 71/98

72 5.1.4 Amélioration de la sécurité par l administration Les solutions de sécurité des clients difficiles à administrer ne fourniront pas le niveau de sécurité requis. Voilà pourquoi il importe de s assurer que les solutions offrent des fonctionnalités capables d aider les administrateurs à déployer et à administrer un grand nombre d utilisateurs distants. Ainsi, si le logiciel client est difficile à configurer, il y a de fortes chances que de nombreux utilisateurs exploiteront des systèmes mal paramétrés dont le niveau de sécurité sera insuffisant. Certains fournisseurs de VPN proposent des outils de création de package logiciels auto-exécutables et autoextractibles qui s installent de manière transparente sur les systèmes client. Ils n exigent pas de savoir-faire ni d interaction spécifiques de la part de l utilisateur final. Les frais d assistance technique sont donc réduits et le logiciel est correctement installé. Les entreprises devraient également rechercher des solutions qui mettent à jour automatiquement le logiciel client. La sécurité du client s en trouverait considérablement améliorée grâce à l utilisation d un logiciel constamment actualisé. Les nouveaux composants logiciels devraient être transférés vers le client et mis en place de manière transparente, avec un éventuel redémarrage automatique des services ou de la machine Résumé Pour profiter pleinement des avantages d un réseau VPN d accès distant, les entreprises doivent veiller à ce que la technologie choisie offre une sécurité optimale aux clients VPN. Même si les fonctions VPN standard, telles que le cryptage et l authentification des utilisateurs, sécurisent les transmissions échangées par les utilisateurs du réseau VPN, la protection des postes de travail est également un élément capital de la sécurité globale de l entreprise. Les systèmes client doivent être protégés avec des technologies de pare-feu personnel étroitement intégrées au réseau VPN. Quant à la solution VPN globale, elle doit permettre d imposer les exigences de sécurité sur les clients du VPN, préalablement à toute connexion au réseau. Ce n est qu après avoir protégé leurs clients VPN que les entreprises pourront être assurées de l intégrité de leur réseau. 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 72/98

73 6 LES ASPECTS JURIDIQUES ET HUMAINS Partie prise en charge par Olivier Iteanu (Iteanu associés) 6.1 LES RISQUES DU «METIER», 6.2 QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE Partie traitée provisoirement par Gérard Péliks (EADS) Nous abordons le côté juridique posé par l utilisation des outils de l Internet, mis à disposition des employés s ils ne sont pas utilisés, durant les heures de bureau, à des fins conformes à l éthique de leur employeur. Nous ne sommes pas, ici, dans le domaine de l informatique, du rationnel et du binaire mais dans celui du droit qui est une discipline profondément subjective dépendant de la compréhension des problèmes, de l interprétation et de l intime conviction des juges. Certes leurs décisions s appuient sur des textes du code du travail, du code civil, du code pénal et du code européen, mais, en dernier lieu, ce n est pas un ordinateur qui tranche, ce sont des hommes et des femmes avec leurs convictions et leurs doutes. Nous allons voir, à travers trois affaires, l arrêt Nikon, l affaire de l Ecole de Physique et Chimie Industrielle de la ville de Paris et l affaire Escota que l utilisation non conforme du et du Web durant les heures de travail si elle est portée devant les tribunaux ne se heurte pas à un vide juridique, comme on le pense souvent, et c est parfois l arroseur qui se fait arroser avec l obligation de payer les frais de justice L arrêt Nikon Ce cas jugé jusqu en en cassation a créé un véritable séisme dans la vision qu avait la justice de la surveillance des s des salariés pratiquée par leur employeur et fait aujourd hui jurisprudence dans tous les cas semblables. Un ingénieur de Nikon, tirant parti du statut qu il avait dans l entreprise, vendait par pour son compte personnel du matériel photographique et tenait sa comptabilité dans un dossier noté «personnel» Tous ses s étaient également placés dans un folder nommé «personnel». Avec le temps, ayant eu vent des pratiques évidemment prohibées de cet employé, l employeur entreprit de le confondre en portant un oeil, en dehors de sa présence, sur ses messages et ses fichiers concernant ces coupables échanges et surtout bien entendu sur ceux marqués «personnel». L escroquerie ainsi mise à jour de façon évidente, l employé fut licencié pour faute grave. Mais l affaire n en resta pas là. Considérant inadmissible la violation de son espace privé, l employé attaqua Nikon devant le tribunal des prud hommes pour licenciement abusif, arguant d une violation inacceptable de la confidentialité de ses fichiers et de sa messagerie privée réalisée sans son accord. Le tribunal des prud hommes donna raison à l employeur. L employé fit porter alors l affaire devant la cour d appel de Paris qui donna encore raison à l employeur. Convaincu d être victime d une atteinte inqualifiable à sa vie privée et d un abus caractérisé de son employeur qui s était permis de lire ses s personnels, persuadé d autre part qu un tribunal de prud hommes et une cour d appel ne pouvaient comprendre ce qu était les affaires concernant la haute technologie, l ex employé porta le jugement de la cour d appel devant la cour de cassation. Contrairement aux précédentes juridictions, la cour de cassation de Paris, par l arrêt devenu le célèbre «arrêt Nikon» du 2 octobre 2001 donna raison à l employé et invalida les condamnations précédentes, en s appuyant sur l article L120-2 du Code du Travail qui souligne que l on peut rechercher dans les fichiers personnels du salarié uniquement sous réserve qu il y ait une justification par rapport à la tâche qu il doit accomplir et des circonstances graves justifiant la 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 73/98