La sécurité à l usage des décideurs. La sécurité. à l usage des décideurs. 22 nov 2004

Transcription

1 La sécurité à l usage des décideurs 22 nov 2004 Centre Français de réflexion sur la sécurité des systèmes d information Collection Ténor etna France Ouvrage collectif sous la direction de Gérard Péliks.. Ont contribués à la rédaction de ce livre : Jean-Philippe Bichard, Matthieu Bonenfant, Olivier Caleff, Bernard Carayon, Hervé Chappe, Patrick Chrisment, Dominique Ciupa, Philippe Clost, Anne Coat-Rames, Max de Groot, Alexis Ferrero, Franck Franchin, Jean-Denis Garo, Laurent Germain, Michèle Germain, Gabriel Gross, Michel Habert, Juan Antonio Hernandez, Olivier Itéanu, Sami Jourdain, Thierry Karsenti, Alexandre Le Faucheur, Gérard Peliks, Frédéric Pierre, Pierre-Luc Refalo, Philippe Robin, Thierry Rouquet, Eleonore Sichel-Dulong, Gérald Souyri, Alain Thibaud 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 1/191

2 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 2/191

3 Le mot du Président de l etna France Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les informations qu'ils contiennent, ce travail commun du Centre français de réflexion sur la sécurité des systèmes d information, créé au sein de l'etna France, pourra se révéler très utile. Edmond Cohen, Président de Western Telecom, ecohen@western.fr Le mot de la Représentante du centre français de réflexion sur la sécurité des systèmes d information auprès du Conseil d Administration de l etna France Je félicite ce groupe de travail, devenu le Centre français de réflexion sur la sécurité des systèmes d information, devant la passion qu il a prouvée, dans la rédaction de cet ouvrage. Il s'agit de technologies concurrentes, de personnes d'environnements hétérogènes où tout le monde a consacré beaucoup d'énergie et d'enthousiasme à ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la protection des flux d'informations. Un remerciement particulier à tous les auteurs qui ont contribué à réaliser un livre qui sera certainement très utile et aussi à nos sponsors qui nous permettent en finançant les travaux d édition de le produire sous format papier. Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, l.cohen-laloum@f5.com Le mot du Président du centre français de réflexion sur la sécurité des systèmes d information Le mot du hacker Le pari un peu surréaliste d écrire un livre ouvert sur la sécurité à destination des décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs acteurs de la sécurité des systèmes d information sur le marché français a été lancé dès la création de la commission sécurité de l etna France. Son ambition est d évangéliser le monde des télécoms sur les diverses facettes de la sécurité des systèmes d information et des réseaux avec l assurance que la diversité de ses auteurs a apporté la richesse de cet ouvrage et son adéquation au but recherché. Gérard Péliks, EADS Defence and Communications Systems Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté face aux menaces de l Internet. Quand j attaque votre système d information, soit pour jouer avec, soit pour vous nuire, soit pour l utiliser comme relais pour réaliser d autres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension sécurité entrait dans l esprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que j encours de lourdes sanctions pénales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tâche encore plus difficile et surtout plus risquée. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 3/191

4 La sécurité L intelligence économique La cybercriminalité ANALYSE DES GRANDES TENDANCES 2004 / Les principaux enjeux 2004 / Pourquoi se protéger? E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? LES MENACES LES VULNERABILITES Une histoire qui remonte à la nuit des temps Un changement de comportement avec les vulnérabilités informatiques Les «exploits» Les parades Les attaques exploitant les vulnérabilités La difficulté des corrections Les faiblesses du Web LES ATTAQUES Le vol d informations Les accès non autorisés Les dénis de services Les attaques sur la messagerie Les attaques sur le Web Les attaques par le système d exploitation Les attaques combinées LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES Les éléments malfaisants Face au virus Mydoom.A Les logiciels espions LE CAS DU RESEAU SANS FIL La "révolution" radio Les préoccupations de l Administrateur Réseau Risques et attaques L INGENIERIE SOCIALE LE CYBER RACKET La prolifération des risques Les approches Un exemple Les règles à suivre LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS Le spim Le googlebombing Les attaques sur les téléphones portables Les attaques sur les photocopieurs Le Peer-to-Peer Les contre-mesures et moyens de défense LES FIREWALLS BASTION Les paramètres pour filtrer les données A quel niveau du paquet IP le filtrage doit-il se situer? Le masquage des adresses IP du réseau interne Les zones démilitarisées Firewall logiciel ou firewall matériel? En parallèle ou en série? Sous quel système d exploitation? LE FIREWALL APPLICATIF Des attaques sur les applications Web en forte croissance nov 2004 etna France Voir en dernière page pour les droits de reproduction 4/191

5 3.2.2 Les limitations des solutions de sécurité traditionnelles Le Firewall Applicatif ou Reverse Proxy Applicatif LE FIREWALL PERSONNEL L AUTHENTIFICATION FORTE L authentification et la chaîne de sécurisation Le rôle de la carte à puce dans l authentification Exemples actuels d utilisation de carte à puce Conclusion LA BIOMETRIE Introduction Identification Méthodes biométriques Précision Applications des techniques biométriques LE CHIFFREMENT ET LA CRYPTOGRAPHIE Introduction Cryptage symétrique Cryptage asymétrique La signature électronique Combinaison des techniques LA STEGANOGRAPHIE Le but de la stéganographie Dissimuler l information dans une image Dissimuler l information dans un texte LES VPN Les VPN IPSec Les VPN-SSL ou l accès distant sécurisé nouvelle génération VPN IPSec ou SSL: Les critères de décision LE CHIFFREMENT DES DONNEES SUR DISQUE LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) Certificats Numériques et Autorités de Certification Applications de la PKI Certificats Numériques Autorité de Certification (CA, Certification Authority) LA PREVENTION D'INTRUSIONS Les limites de la détection Qu est-ce que la prévention? Périmètre d action d un système de prévention Les moteurs d analyse Performances du système LES ANTI (VIRUS, SPAMS, SPYWARES) Les antivirus Les antispams Les anti spywares SECURITE ET MOBILITE LE FILTRAGE DE CONTENU INTERNET L ERADICATION DES LOGICIELS ESPIONS LES POTS DE MIELS La gestion de la sécurité LA GESTION CENTRALISEE DE LA SECURITE Introduction Caractéristiques d un système de gestion centralisé de la sécurité Le système d administration (SOC- Security Operations center) Les opérations La surveillance La supervision Le contrôle La sécurité et l administration du centre de gestion de la sécurité nov 2004 etna France Voir en dernière page pour les droits de reproduction 5/191

6 4.1.9 Fonctionnement d un centre de gestion centralisé de la sécurité Garanties de sécurité Standards et Modèles de référence utiles LES SCANNERS DE VULNERABILITES Un sujet technique et une question d'organisation Les technologies de recherche de vulnérabilités Les usages des scanners de vulnérabilités La gestion des correctifs CONTEXTE PRINCIPE DE TRAITEMENT DES CORRECTIFS DE SECURITE la phase amont Le déploiement La phase de suivi ÉLEMENTS COMPLEMENTAIRES OU SPECIFIQUES le facteur temps Les systèmes qui ne peuvent pas être pris en compte CONCLUSION Les réseaux particuliers APPLICATIONS A LA VOIX SUR IP Architecture d'un système VoIP Les risques Les attaques Fonctions LA SECURITE DU CENTRE D APPELS Le centre d appels Les enjeux Une double actualité : Les risques : Les chaînons Les solutions : LA SECURITE DES RESEAUX SANS FIL Le problème du WEP Les contre-mesures de base Les évolutions du protocole : WPA et i Application Autres technologies LA VIDEOSURVEILLANCE SUR IP La convergence des ressources et l optimisation des systèmes Exemple d application : la vidéosurveillance sur IP : Une architecture de sécurité de bout en bout LES EQUIPEMENTS DE SECURITE MULTIFONCTION Le développement du marché des Network Security Appliance Les menaces polymorphes Les limites de l approche «best of breed» Les avantages de l approche multifonction Le développement du marché de l appliance multifonction LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES Identification des risques Correction des lacunes de sécurité Approche intégrée Amélioration de la sécurité par l administration Résumé LE SINGLE SIGN ON Origines du Single Sign-On Pourquoi le Single-Sign-On? Aperçu des solutions existantes LA CONTINUITE D ACTIVITE L objectif de la continuité d activité d une entreprise nov 2004 etna France Voir en dernière page pour les droits de reproduction 6/191

7 7.4.2 De quelle continuité a besoin l entreprise? Construire le Plan de Continuité d Activité (PCA) dont l entreprise a besoin Une construction méthodique du PCA L entreprise tout entière doit faire vivre son PCA Le PCA comme une boîte à outils pour faire face à d autres situations DE LA CORRELATION ENTRE SECURITE PHYSIQUE ET SECURITE LOGICIELLE La sécurité physique et logique aujourd hui Les enjeux et la problématique La solution Les aspects juridiques et humains LE RSSI AT IL ENCORE DROIT AU SOMMEIL? Le RSSI coincé entre le marteau et l enclume de la loi De quelques précautions juridiques à prendre QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE L arrêt Nikon L Ecole de Physique et Chimie Industrielle de Paris L affaire Escota POLITIQUE ET REFERENTIELS DE SECURITE Préambule Fondamentaux Des principes fondateurs L organisation dans le cadre politique Une Charte et quatre politiques Des choix essentiels Synthèse LES RESPONSABILITES ET LES ACTEURS DE L ENTREPRISE Une nette orientation en faveur du juridique et du réglementaire RSSI : maîtriser les risques d une délégation de pouvoirs Quelle déontologie pour un cyber-comportement conforme avec les chartes Internet? Les certifications LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) L'ISO Historique La structure de l'iso 17799: Comment l'utiliser? L'ISO : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE Historique La structure du SSE-CMM( ) - ISO 21827: Les enjeux économiques de la sécurité : DES ATTAQUES QUI EVOLUENT DE L EXPLOIT TECHNOLOGIQUE A L APPAT DU GAIN SECURITE : QUELLES DEPENSES POUR QUELS USAGES? DU SENS DU ROI EN SECURITE DES SYSTEMES D INFORMATION Qu est-ce qu un ROI? Système d information, sécurité et ROI Calcul du ROI : un exercice difficile Un indicateur souvent inadapté Bibliographie et références GENERAL ATTAQUES ET MENACES VOIP CENTRE D APPELS WI-FI GESTION DES CORRECTIFS INGENIERIE SOCIALE JURIDIQUE LOISIRS Livres Films nov 2004 etna France Voir en dernière page pour les droits de reproduction 7/191

8 12 Glossaire ACRONYMES DÉFINITIONS Contributions à l écriture de ce livre nov 2004 etna France Voir en dernière page pour les droits de reproduction 8/191

9 1 L INTELLIGENCE ECONOMIQUE Auteur : Bernard Carayon, (Député du Tarn, Rapporteur du budget au Secrétariat Général de la Défense Nationale et du Renseignement à la Commission des finances) bcarayon@assemblee-nationale.fr L intelligence économique a connu en France depuis dix ans un sort assez désolant! Comprise tantôt dans son acception anglo-saxonne (le renseignement), tantôt comme une méthode antédiluvienne d entreprise au service des seuls intérêts marchands (la «veille» juridique, commerciale, technologique ), l intelligence économique est restée marginale dans la société française. Les efforts de quelques pionniers de talent ont été gâchés par les ratiocinations de théoriciens de second rang ou les vacations logomachiques de marchands du temple L Etat, lui-même, n a jamais produit le moindre corps doctrinal, restant aveugle, à de rares exceptions près, aux constructions intellectuelles et institutionnelles de nos grands concurrents. Dans l entreprise, l intelligence économique est restée cantonnée à des niveaux d exécution ; dans le système éducatif enfin, elle est restée une matière, sans accéder au statut de discipline universitaire. Durant dix ans, les Français ont ainsi confondu la fin et les moyens : le renseignement, la veille ne sont que des outils. L intelligence économique est une politique publique ; j en ai défini dans mon rapport le contenu, le périmètre, la finalité. Par la simple observation des dispositifs étrangers, et l adaptation à notre culture propre. Politique de sécurité, d abord : sécurité technologique, (celle des réseaux, des centres de recherches, des process industriels), sécurité juridique (dans l accès au capital, dans la protection des secrets d affaire, dans l identification d un périmètre stratégique de l économie française), sécurité commerciale Politique de compétitivité, ensuite : comment accompagner les entreprises dans la conquête des marchés mondiaux? Comment définir, conduire et valoriser les politiques de recherche et favoriser l innovation? Politique d influence : comment anticiper l évolution des normes, peser sur les décisions des organisations internationales? Comment identifier les nouveaux acteurs de la mondialisation? (ONG, fondations, fonds d investissement ) Politique de formation enfin : qui former, quel enseignement général, quel enseignement spécialisé? Cette politique publique- comme partout dans le monde, n est pas adaptée à tous les marchés : seuls les marchés que je qualifie de stratégiques (et que ni la doctrine, ni la théorie économique n ont identifiés!) sont concernés : ceux qui créent, en plus de la richesse et de l emploi, de la puissance et de l influence ; termes tabous! Tant pis. On reconnaîtra l aéronautique et le spatial, la défense, l énergie, la pharmacie, l industrie des technologies de la communication, de l information et de la sécurité, certains domaines de l industrie agro-alimentaire. La conquête de ces marchés, partout dans le monde, ne repose plus sur la qualité et le prix des produits et services, mais sur de nouveaux acteurs, de nouvelles méthodes. Comment expliquer les retards français? D abord par notre conception des relations commerciales internationales : autant nous sommes socio démocrates dans la définition de nos politiques économiques intérieures, autant nous sommes naïfs et libéraux dans le regard que nous portons sur les marchés mondiaux. Chez les anglo-saxons, c est exactement l inverse. Ensuite parce que l histoire des relations entre l administration et le monde économique est une histoire de contentieux, d incompréhension, voire de mépris mutuel. Or l intelligence économique repose sur le métissage des cultures, la définition de procédures de mutualisation de l information, l identification de convergences d intérêts. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 9/191

10 J ajouterai que nos élites politico- administratives ont une connaissance pour le moins réduite des ressorts réels du marché et plus encore, de la vie internationale. Enfin, la France n a pas de culture du renseignement. Les services dits «spécialisés» sont encore mal traités, budgétairement et administrativement, leur image est médiocre dans l enseignement supérieur, leur politique de communication nulle. Le regard des politiques lui-même est méfiant ; celui des grands chefs d entreprises dubitatif Quelles finalités pour cette politique publique, nouvelle comme l ont été au cours des vingt dernières années, la protection de l environnement et le développement durable? Identifier le périmètre stratégique de l économie française, cela veut dire se battre pour ce qui est essentiel. S affranchir des tutelles technologiques, comprendre qu il existe des métiers stratégiques dont certains sont concentrés entre les mains de nos grands concurrents (cabinets d avocats et d expertise comptable, d audit, de courtage d assurance, de normalisation et de certification). Associer capitaux publics et privés dans de nouveaux fonds dédiés au développement d entreprises spécialisées dans les technologies de l information, de la communication et de la sécurité, accentuer nos moyens dédiés à la recherche. Marier dynamiques publiques et privées pour conquérir des marchés, conduire l Europe vers de vraies stratégies industrielles, là où il n y a qu une politique concurrentielle entravant l essor de nos champions Autant de défis qui impliquent, pour paraphraser Paul Valery, un nouveau «regard sur le monde actuel». L Etat a tout à gagner à développer cette nouvelle politique. En termes d image : l intelligence économique est «moderne». En termes de fonction : privilégier la circulation de l information plutôt que sa rétention, valoriser celui qui donne plutôt que celui qui conserve, c est révolutionnaire! Pour les préfets, représentants de l Etat par excellence, comme pour les ambassadeurs, l intelligence économique constitue une merveilleuse opportunité. L occasion d être les pilotes d une réforme porteuse de sens, d être à coté des élus, des moteurs du développement économique dans ce qu il recèle de plus «fin» et de plus prospectif ; d être enfin les moteurs de la réforme administrative, la vraie, celle qui se veut au service de la Nation et non de ses corporatismes. Si de notables avancés peuvent être constatées un an après la remise de mon rapport au Premier ministre 1, il reste encore un long chemin à parcourir pour que l intelligence économique devienne en France une véritable politique publique. Le premier effet positif des débats qui ont suivi la publication de ces travaux fondés sur l écoute et le questionnement de près de quatre cents personnes est que l intelligence économique est mieux comprise aujourd hui, dans l administration et dans l entreprise, comme une approche stratégique en matière de compétitivité, de sécurité économique, d influence et de formation, plutôt que comme la simple mise en œuvre de techniques de traitement, d échange ou de protection de l information stratégique. L idée selon laquelle les critères de conquête des marchés ne sont pas toujours ceux que définit l économie libérale est également mieux partagée. Dans le jeu classique de la globalisation des échanges, pour les produits les plus courants, l entreprise augmente ses parts de marché par un avantage concurrentiel fondé sur le prix, la qualité de ses produits ou services, et une communication adaptée à sa cible. Il n en va pas de même dans certains secteurs stratégiques où les Etats interviennent fréquemment en faveur des entreprises nationales 2, en déployant, au besoin, les arguments financiers ou diplomatiques les plus frappants. 1 «Intelligence économique, compétitivité et cohésion sociale», La Documentation Française, Pour la définition d une entreprise nationale, on peut consulter par exemple le rapport du Commissariat général du Plan publié en 1999 et intitulé «La nouvelle nationalité de l entreprise dans la mondialisation» dans lequel cinq critères d évaluation sont proposés. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 10/191

11 Deuxième élément positif, la nomination au début de l année 2004 d un Haut Responsable à l intelligence économique par décret du Président de la République et placé auprès du Premier ministre a signé l engagement des pouvoirs publics sur ce sujet, même si son positionnement administratif final a donné lieu à de vraies interrogations quant à son efficacité, notamment dans le dialogue avec les entreprises 3. L actualité économique a montré que ce sujet est au cœur du développement de l industrie européenne. La constitution du troisième groupe pharmaceutique mondial et du premier européen SANOFI-AVENTIS - a pu s effectuer grâce aux efforts conjugués d un industriel visionnaire et d un Gouvernement audacieux. Les exemples de la consolidation du groupe ALSTOM défendue par le ministre de l Economie, des Finances et de l Industrie à Bruxelles et de la disparition de PECHINEY, absorbé par le canadien ALCAN (que l entreprise française n a pu racheter quelques années plus tôt en raison du veto de la Commission européenne) ont porté leurs fruits. En ce sens, la création annoncée en juin par le chancelier allemand d un groupe franco-allemand d entrepreneurs visant à promouvoir une politique industrielle commune, va dans le bon sens. L essentiel pourtant reste à accomplir. La situation sociale insupportable de trop nombreux compatriotes 4, la «découverte» du phénomène de délocalisations d entreprises ou plutôt de son accélération, y compris au sein de l Europe ; la poursuite des conséquences de la libéralisation des marchés par exemple la levée le 1 er janvier 2005 des quotas imposés en matière textiles à la Chine ; les contraintes et les opportunités que les préoccupations nouvelles en matière d environnement ou de développement suscitent : autant de facteurs qui devraient nous pousser à agir si nous ne voulons pas que la France ne soit demain qu un hypermarché au milieu d un champ de ruines sociales. La première urgence est de définir le «périmètre stratégique» de l économie française. Ce que nous devons défendre pour garantir une cohésion sociale menacée, ce que nous devons promouvoir pour assurer à nos enfants richesse intellectuelle et professionnelle. Les résultats de cette réflexion prospective doivent être connus de tous afin de permettre la création des filières éducatives et professionnelles nécessaires, de favoriser le ciblage des soutiens publics, d assurer la meilleure mobilisation des acteurs éducatifs, sociaux et économiques. Ce travail prospectif partagé et communiqué sera également un signe donné aux étudiants et aux jeunes professionnels dont l expatriation sonne comme une condamnation de l avenir de la France. Il encouragera également les entreprises étrangères à investir en France. Ce concept de périmètre stratégique de l économie française doit d ailleurs être décliné régionalement : à partir de leurs savoir-faire anciens ou plus récemment acquis, en fonction de leur localisation géographique, les régions n ont évidemment pas les mêmes atouts ou les mêmes fragilités. La dimension territoriale est un échelon essentiel de la mise en œuvre d une politique publique d intelligence économique. Si une stratégie nationale en ce domaine s oriente plus naturellement vers les grandes entreprises, c est bien au niveau régional que l action auprès des petites et moyennes entreprises et des entreprises régionales à envergure mondiale sera la plus efficace. Dans certains secteurs d activité, comme le textile par exemple, ce sont également ces entreprises qui se révèlent le plus exposées à la concurrence issue de la mondialisation. Dès l automne 2003, Nicolas SARKOZY, alors ministre de l Intérieur a compris le rôle majeur que les préfets en poste territorial et certaines directions du ministère de l intérieur peuvent jouer dans la réussite d une politique publique d intelligence économique. La mise en place d expérimentations régionales a été décidée et sa coordination confiée au Secrétaire général du ministère. Une orientation confirmée par Dominique de VILLEPIN qui a décidé de faire passer de cinq à sept le nombre de Régions initialement prévues avec l objectif de généraliser l expérimentation, en cas de succès, dès Cf. Mon rapport de la Commission des finances «Pour une stratégie de sécurité économique nationale» ( 4 Qui peut se satisfaire d une France dans laquelle un million d enfants ou d adolescents vivent sous le seuil de pauvreté INSEE rapportée par le quotidien «Le Monde» mars nov 2004 etna France Voir en dernière page pour les droits de reproduction 11/191

12 Le déroulement de ces expérimentations se heurtera vraisemblablement «sur le terrain» au double obstacle culturel qui fragilise notre pays depuis trente ans : la délégation administrative de la réflexion stratégique et le cloisonnement entre administrations. Comme il est fréquent pour les hommes politiques qui accèdent aux responsabilités exécutives, la «tyrannie du court terme» pourrait inciter les préfets de Région en charge ou les directeurs d administrations concernées à déléguer à un jeune «chargé de mission» la démarche méthodologique, l essentiel de la réflexion et l établissement de propositions. Ce n est pas la meilleure garantie de succès. Une des pistes ouvertes par mon rapport au Premier ministre propose la création de comités de pilotage régionaux d intelligence économique. Une telle structure dont la nature juridique importe peu - a l avantage de pérenniser l action engagée et d en assurer la nature collective : ce sont les croisements des expertises publiques et privées qui permettent d établir les meilleurs diagnostics, de définir les orientations et les actions à mettre en œuvre. C est également au sein de ce type de structure que l on évite la tentation de se limiter à quelques opérations d affichage et que la collaboration active entre services déconcentrés de l Etat peut être plus fluide. Parce qu il s agit d une politique régionale à inscrire dans le long terme qui comporte à la fois un volet industriel et scientifique mais également un volet social et éducatif, parfois culturel, parce qu il connaît le mieux les administrations du ministère de l intérieur utiles sur ces sujets, c est au préfet de Région qu il appartient d orienter, de coordonner et de suivre la réflexion stratégique, la mise en place des outils et des actions à mettre en œuvre. Son rôle-charnière d intermédiaire entre la politique de l Etat et l exécutif régional - qui doit être étroitement associé à toute démarche d intelligence économique - est essentiel. Nous pouvons nous montrer résolument optimistes. A côté de la mobilisation annoncée du Gouvernement et de l engagement des préfets dans les expériences régionales, de grandes entreprises françaises et européennes, conscientes des enjeux, ont choisi de soutenir la réflexion et l action sur des sujets directement liés à l intelligence économique. C est le sens de la Fondation d entreprises Prométhée que je crée et à laquelle j ai associé mon collègue de l opposition Jean- Michel BOUCHERON. Cet engagement collectif d entreprises au service de l intérêt général doit être pour nous source d exigences et d espoir.. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 12/191

13 2 LA CYBERCRIMINALITE Auteur : Jean-Philippe Bichard (NetCost&Security) redaction@netcost-security.fr Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et cyber-mafias ). Cet attentat dramatique a clairement montré que ce n'était ni le nombre, ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l on place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le domaine militaire que civil. 2.1 ANALYSE DES GRANDES TENDANCES 2004 / 2005 C est près d un milliard d hommes, de femmes et d enfants qui deviendront internautes d ici à Ils échangeront alors environ 35 milliards de messages par jour. Or, de sérieuses menaces pèsent sur ce secteur. En 2004, le cyber-racket ou chantage exercé par des cyber-bandes professionnels du cyber-crime pour extorquer de l argent aux entreprises après leur avoir dérobé des données sur leur système d information s est étendu. Ne parlons pas des spam, spim et autres vers qui envahissent désormais les objets nomades comme les téléphones portables et les agendas électroniques. Internet s est développé plus rapidement que n importe quel autre média. Depuis 1995, Internet connaît un succès foudroyant avec un trafic qui doublerait tous les 3 mois. Cette croissance exceptionnelle ne va pas sans problème. Le premier d entre eux, c est l absence de connaissances et d expertises sur le monde Internet, et surtout ceux de la E-Confiance et des Cyber-risques. La deuxième observation, c est la prise de risque stratégique que représente l absence d une politique de sécurité appliquée aux utilisateurs des systèmes d information. Trop d entreprises ignorent les menaces et les risques. Ils sont pourtant nombreux Les principaux enjeux 2004 / 2005 (Enquête NetCost&Security 2004) Technologiques : avec les conséquences de l usage du protocole IP devenu outil de référence pour les applications de messagerie et d échanges de données, le standard IP connu de tous est désormais présent au sein de tous les systèmes d information. PMI et PME ne sont pas encore en 2004 toutes raccordées à Internet. Si les usages liés aux procédures dématérialisées progressent, ces dernières demeurent en retrait face à un marché encore inquiet face aux menaces liées aux Cyber-risques via l Internet (attaques virales et ingénierie sociale). Enfin, si les notions de mises à jour commencent à êtres connues, les utilisateurs français souvent indisciplinés demeurent peu réceptifs aux règles de sécurité notamment sur les aspects liés aux mises à jour de bases de signatures et de patch (correctif) Économiques : la messagerie se substitue au téléphone l asynchrone au synchrone. A l échelle mondiale, 36 milliards de messages seront échangés au quotidien en Il y en avait 11 milliards en En 2004, l opérateur Wanadoo gère 20 millions de mails par jour. C est dire son importance en tant qu outil «positif» mais aussi vecteur de spams, rumeurs mais également éléments de preuves avec la signature électronique encore discrète mais techniquement opérationnelle. Le concept de Forensic computer ou la preuve via les NTIC est considéré comme une tendance majeure de N oublions pas le piratage des logiciels et la création de sites de stockage ou le téléchargement de logiciels: de plus en plus de logiciels sont disponibles sur le marché. Comme en 2003, les logiciels sont en 2004 souvent piratés pour servir d arme (la différence de connaissance entre les experts Cyber-risques et les attaquants s estompe) et téléchargés. En effet, de nombreux utilisateurs novices trouvent sur certains sites des «outils» de hacking ne nécessitant aucune connaissance particulière (ce qui ne réduit pas pour autant leurs effets). Autres tendances celles liées au piratage 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 13/191

14 d œuvres musicales et vidéo. Ce type de piratage inquiète sérieusement les «majors» du disque et de l industrie cinématographique en Des plaintes sont déposées et des groupes de pression se forment. Organisation de la malveillance : des attaques nouvelles faisant appel à des regroupements, de nombreuses attaques proviennent désormais d un regroupement effectué entre hackers et développeurs de codes malicieux. Avant 2003, les premiers étaient davantage «spécialisés» sur les attaques réseaux (couches basses) et les seconds sur les couches hautes (dites applicatives) en développant des codes malicieux qui exploitent les agendas des messageries pour accélérer leur propagation «consacrent» les attaques par codes malicieux de Mydoom à Sasser, la progression de l exploitation des failles non «patchées» devient inquiétante à tel point que de grands éditeurs comme Microsoft estiment que leurs priorités en sécurité en reposent sur l écriture de code sécurisé et la bonne gestion des «patch» par leurs grands clients. Les paradoxes des environnements ouverts : l environnement Open Source peut être profitable aux entreprises mais aussi à leurs attaquants (c est un des paradoxes de l open source). Cela dit, Linux et les outils Open source retiennent l attention de grands comptes. La forte poussée chez les décideurs de réflexions sur la conformité réglementaire et la veille juridique avec la notion de responsabilité de tiers (FAI, opérateurs, éditeurs ) et les problématiques liées à la délégation de pouvoir, certification, contrat des prestataires Dernier point rarement évoqué dans les études, les signes que donnent les utilisateurs «TECHNO- REBEL» se confirment face aux outils de Cyber-Surveillance et à des lois jugées «liberticides» par certains regroupements (utilisateurs d Internet, hébergeurs ). Ces nouvelles questions ne doivent pas être oubliées, elles sont le signe profond d un malaise chez bon nombre d utilisateurs. Ne sontils pas de plus en plus nombreux à se sentir «cyber-surveillés» sans de réelles explications? Un utilisateur malheureux dans son environnement peut concevoir de se révolter contre cet environnement. D où risque. Les premiers signes apparaissent avec la progression inquiétante des attaques internes confirme une tendance apparue en 2003 liée aux comportements. Les outils de traçabilité existent et inquiètent. Désormais des solutions de préventions liées à l anticipation des comportements apparaissent dans certaines entreprises afin d anticiper les comportements «à risque» et prévenir une menace. Surtout, le sacro-saint secret des correspondances privées est remis en cause par des RSSI bien décidés à faire valoir en priorité les précautions liées aux risques de menaces sur le patrimoine informationnel. D où l importance des chartes Internet de plus en plus précises liées au règlement d entreprise. Au sein des entreprises, la délinquance d utilisateurs internes «en col blanc» - ce sont eux qui ont accès à l information - augmente chaque année. En 2003 le nombre de menaces internes est considéré comme supérieur face aux attaques externes par les grandes entreprises nordaméricaines. En 2004, ces chiffres se confirment sans toutefois augmenter considérablement en raison de l application stricte des règles de politique de sécurité Pourquoi se protéger? La réponse est évidente : les sites gouvernementaux, les institutions, les universités et écoles, les banques, les industriels, les sites de commerce électronique ont tous connus des attaques sur leurs serveurs, sur leurs flux de transmission, sur leur Intranet et réseau interne, transactions Internet permet aux entreprises de tailles différentes de communiquer. C est le concept de l entreprise étendue. Les sous traitants doivent disposer de maillons de la chaîne de sécurité aussi robustes que ceux utilisés par les grands comptes avec qui ils travaillent. Dès lors, la politique de sécurité s étend à l extérieur du périmètre connu de l entreprise. Mais comment être certain que les règles propres à la politique de sécurité sont appliquées et correctement analysées? Idem pour les utilisateurs particuliers : Les opérateurs en 2003 et 2004 se préoccupent de plus en plus d offrir des solutions «packagées» de sécurité (anti-virus, anti-spam, contrôle parental, filtrage URL ). Fait nouveau : les opérateurs interviennent eux-mêmes pour réaliser des contrôles et en font connaître les résultats notamment auprès du grand public. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 14/191

15 AOL prétend que son système de «scan» automatique des pièces-jointes avait bloqué 500 millions de méls infectés par des virus, depuis son lancement mi-avril En moyenne, les 32 millions d'abonnés d'aol ont été individuellement protégés de l'attaque de 15 virus selon ce FAI. 2.2 E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? Les solutions de sécurité au sein des grandes entreprises mettent toutes en œuvre une partie ou généralement la totalité des mécanismes suivants : disponibilité des données et des systèmes d information (systèmes, réseaux, applications et services), des plans de secours et de continuité de services, les applications Cyber-risques et E-Confiance via des procédures d authentification, autorisation, intégrité, confidentialité et non-répudiation. De la sécurité informatique des années 80 à la sécurité du système d information des années 90 pour atteindre aujourd hui les rivages de la sécurité des informations/applications et des droits des utilisateurs avec les notions de patrimoine informationnel à valoriser via un référentiel de sécurité audité chaque trimestre, les Cyber-risques englobent de nombreux concepts en 2004 à commencer par la cyber-criminalité en forte progression. Plusieurs marchés composent le marché des Cyber-risques : celui de la sécurité applicative et des services Web, celui de la sécurité système et celui de la sécurité des infrastructures. Les Cyber-risques «applicatifs» confirment leur envol entamé en Selon le Gartner Group, 75 % des attaques provenant de l Internet s effectuent au niveau des couches applicatives. Le marché Cyber-risque reste difficile à cerner d autant qu il est crédité de chiffres controversés. Pour 2004, les enjeux liés à la Confiance viennent confirmer les tendances 2003 : les PME/PMI s intègrent de plus en plus aux systèmes d informations des grands comptes et les discours des Risk Managers évoluent de la technologie vers l usage de cette technologie avec les environnements indispensables : juridiques, réglementaires, économiques. Mais qu est ce que la e-confiance? Désormais, la gestion des risques majeurs et des utilisateurs l emporte sur les discours axés sur la «peur» et les solutions «totalement technologiques». Certains fournisseurs, éditeurs, intégrateurs dont le discours reste uniquement axé sur les technologies, vont devoir revoir leur copie en Deux mondes grandes entreprises et PME/PMI sont appelés à se rencontrer sur le terrain des Cyber-risques. En effet, le concept d entreprise étendue va obliger les PME/PMI sous-traitants à respecter le cahier des charges de leurs clients, souvent des grandes entreprises dont la politique de sécurité s étend désormais aux partenaires. Ce marché de l entreprise étendue sécurisée, peu d analystes semblent l intégrer. Il est pourtant au cœur des préoccupations de la majorité des PME/PMI. Reste que bon nombre de DSI (Direction des Systèmes d Information) et RSSI (Responsable de la Sécurité des Systèmes d Information) cherchent encore une vision optimisée d un «monde du travail connecté». Cependant selon certaines estimations de plusieurs études d éditeurs, les grands comptes dans 20% des cas se montrent prescripteurs auprès de leurs partenaires et sous-traitants le confirme. Non seulement une chaîne de la e-confiance basée sur des échanges dématérialisés se met en place mais les acteurs recherchent une plus grande homogénéité dans les échanges d applications. L interopérabilité technique des années 90 fait place après la distinction entre risques majeurs et risques mineurs des années 2000 à la «transparence» des échanges codifiés par des textes juridiques et le respect de normes pour les années à venir. Cette transparence s accompagne d une notion de gestion des droits liés aux usages des données et documents. 2.3 LES MENACES Auteur : Gérard Péliks (EADS) gerard.peliks@eads.com 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 15/191

16 Dès qu un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs voire même à une perte totale des fichiers systèmes, avec impossibilité de «rebooter» son PC. Quand l utilisateur se connecte sur l Intranet de sa société, ce réseau est automatiquement sujet à des menaces pouvant porter atteinte à l intégrité, et même à l existence des informations et aux applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si l utilisateur connecté à son Intranet, a aussi accès simultanément à l Internet, les menaces sont multipliées tant dans leur nombre que dans leur diversité. Nous ne pouvons rien contre l existence de ces menaces, qui sont liées à la nature humaine et à la nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se concrétiser par des attaques réussies. Contre les vulnérabilités, heureusement pour l utilisateur, pour son poste de travail et pour les réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les explorer. Mais les outils ne sont efficaces qu intégrés dans une politique de sécurité connue et librement acceptée par l entreprise ou la collectivité, car on ne le répétera jamais assez, ce n est pas le réseau qui est dangereux, c est bel et bien l utilisateur, parfois de manière consciente mais aussi souvent sans le vouloir et sans même le savoir. Les menaces sont bien réelles. Pour se protéger contre elles, puisqu on ne peut les éliminer, il faut les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l entreprise cible. Il n est pas possible de se prémunir contre toutes les menaces, donc il n est pas crédible de se croire hors d atteinte de toute attaque. Heureusement les informations et les applications résidant dans votre réseau et dans vos postes de travail n ont pas toute la même valeur stratégique pour l entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l endroit où les 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 16/191

17 informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût qu induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit, pour chaque domaine d information, pour chaque application, il y a un seuil au-delà duquel, il n est pas rentable d investir plus pour protéger une information dont la perte causerait un préjudice inférieur au coût des solutions de sécurité mises en place. Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une information dont la perte serait sans commune mesure avec le coût de la solution de protection de cette information. Les menaces sur les postes nomades Déjà à l intérieur de l entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire de l attacher à un point fixe par un cordon d acier, et d utiliser l économiseur d écran quand vous vous absentez provisoirement de votre bureau. Que dire alors des risques qu il encourt quand vous le sortez de l entreprise! Justement parlons-en. Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, paraît-il, disparaissent. Ce n est pas toujours l œuvre de simples voleurs intéressés par la valeur marchande du PC le plus souvent très inférieure à celle des informations stockées sur son disque dur. J ai connu une situation, lors d un salon, il y a quelques années, où la paroi de la remise d un stand avait été forcée durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient disparu. Au-delà de la gène évidente pour leurs propriétaires, l un des portables contenait le planning et l évolution des fonctionnalités des produits conçus et commercialisés par l entreprise et les carnets d adresses des partenaires et des clients. Que pouvait espérer le propriétaire de mieux qu un miracle fasse qu une météorite tombât sur son PC volé en détruisant son disque dur avant que son contenu ne soit exploité! Mais la probabilité pour que ce miracle se produise n est pas bien grande. Ajouté à cela, durant la journée, des coffres de voitures avaient été forcés sur le parking du salon et un autre PC portable avait été dérobé! Ce n est pas sur l espoir d un miracle que doit reposer la sécurité des données contenues dans les postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état d esprit, une politique de sécurité, et des outils correctement paramétrés. Durant la connexion votre poste nomade peut présenter un danger pour l intégrité du système d information de votre Intranet car il est exposé aux attaques dites «par rebond» qui permettent à un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans l Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre VPN est activé, le poste nomade n accepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l Internet. Quand vous n avez plus besoin d être connecté à l Intranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur. Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences catastrophiques pour notre système d information. Ce n est pas une raison, bien sûr pour relâcher votre vigilance. Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers échappent évidemment au contrôle de l antivirus de l entreprise. Une fois le poste nomade connecté à l Intranet, il peut infecter son système d information. Il est indispensable, avant tout chargement de fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 17/191

18 Remarque : Ne confondons pas poste nomade et utilisateur nomade, en effet l utilisateur nomade n utilise pas forcement un ordinateur de l entreprise pour se connecter. Les bornes Internet dans les cafés, par exemple, permettrent de lire son courrier électronique à distance. Ces systèmes sont cependant beaucoup plus dangereux car des spywares peuvent être installés et enregistrer les mots de passe à l insu de l utilisateur. Il faut donc être encore plus vigilant lors de l attribution des droits d accès aux serveurs pour des utilisateurs nomades. 2.4 LES VULNERABILITES Auteur : Dominique Ciupa (Intranode) dominique.ciupa@intranode.com Une histoire qui remonte à la nuit des temps Toute conception humaine a ses limites. Les logiciels et les réseaux comme les autres activités. A l'instar de la quasi-totalité des personnes qui, quelque que soit leur niveau d'éducation, laissent de temps à autre quelques fautes d'orthographe dans leurs écrits, les développeurs informatique font de leur côté un certain nombre de fautes informatiques. «Errare humanum est» a existé bien avant l'informatique. L'humanité a toujours connu les questions de vulnérabilités. Depuis le talon d'achille jusqu'à la ligne Maginot, l'histoire des vulnérabilités n'est qu'une longue répétition de point de faiblesse et d'erreurs. Certaines fautes informatiques génèrent des «bugs», nom donné à l'époque des premiers calculateurs électroniques lorsqu'un insecte, une punaise ou «bug» en anglais, provoquait un court-circuit entre deux composants électrique. D'autres erreurs peuvent être exploitées pour porter atteinte à la sécurité des réseaux et systèmes d'information. Accès à des données confidentielles, corruption de données, blocage d'un système que l'on appelle «déni de service», prise de contrôle d'une machine pour exécuter ce que l'on veut. On parle alors de failles de sécurité, ou de vulnérabilités informatiques. Rien de nouveau d'un point de vue technique, mais c est aujourd'hui un véritable problème en raison de l'exploitation à grande échelle qui est désormais faite des bugs et failles de sécurité. Ainsi, il y a encore 10 ou 15 ans, des failles ou bugs pouvaient exister sans conséquences graves. Ainsi, dans les systèmes de facturation téléphonique des bugs existaient qui permettaient de ne pas payer les communications. Sur certains commutateurs et pour certains opérateurs télécoms, le système de renvoi d'appel, faisant intervenir la couche dite «de réseau intelligent», permettait de faire disparaître le ticket de taxation lorsqu'un premier poste était renvoyé sur un deuxième poste luimême renvoyé sur un troisième. Les développeurs n'avaient pas prévu un usage aussi curieux et le pointeur des tickets de taxation se trouvait sur la valeur «nihl». En clair, les tickets de taxation disparaissaient. Le poste numéro 3, se faisant appeler après un tel double renvoi, bénéficiait d'une communication gratuite pour l'appelant. Le risque d'un manque à gagner pour l'opérateur télécom utilisant ces équipements était flagrant. Sauf que le «bug» n'était connu que d'un petit groupe d'experts qui considéraient le strict respect de la confidentialité de certaines informations comme étant une règle essentielle de bonne conduite professionnelle. Le tout se commentait donc ainsi en 1992 au sein de la communauté des experts internationaux des réseaux intelligents réunis en congrès en Gironde au cours d'un fastueux dîner payé par France Télécom dans le Château de Wayre, après une dégustation des meilleurs crus offerte par la Mairie de Bordeaux. L'information était même confiée à des journalistes participant à ce congrès, sous le couvert du célèbre «off the record», et tout en restait là! Tout le monde a vécu sans problème avec cette faille, sans la corriger pendant de nombreuses années. Constructeurs et opérateurs s'entendaient pour accepter de vivre avec ce risque, en plaçant l'information sous le sceau du secret professionnel et en considérant que la correction serait trop coûteuse pour une menace aussi faible, puisque la possibilité d'attaque était inconnue du public Un changement de comportement avec les vulnérabilités informatiques Tout est désormais radicalement différent. Une vulnérabilité découverte fait l'objet de communication immédiatement relayée par tous les moyens de la communication moderne de l'internet. Peu de notion de confidentialité subsiste. Une éthique veut toutefois encore que la publication ne soit faite que lorsque la correction de la faille a été réalisée par l'éditeur, ou qu'une solution de contournement de la faille est identifiée. Cette éthique est heureusement souvent respectée. Mais le jeu collectif de certaines communautés de chercheurs ou de développeurs est bel et bien la recherche des failles de certains éditeurs, allant parfois au-delà de ce que la loi autorise en pratiquant la décompilation de 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 18/191

19 logiciels, et menaçant, tels des maîtres chanteurs, de publier la faille si la correction n'est pas développée dans les plus brefs délais par l'éditeur. Le nombre de vulnérabilités découvertes et publiées ne fait qu'augmenter. Il existe toutefois aujourd'hui un débat sur le bien-fondé de la recherche des vulnérabilités. La loi a désormais défini des limites aux possibilités de recherche de vulnérabilités à des fins de hacking. Le délit existe donc avant même l'attaque dès la préparation possible de l'attaque. De nombreuses communautés de chercheurs se sont élevées contre ces interdictions et ont affirmé que la recherche devait être libre et sans contrainte pour faire progresser la qualité des logiciels. C'est pour nombre de chercheurs de bonne foi un objectif réel, louable et légitime. Le débat a suscité de nombreuses passions et parfois provoqué des prises de positions extrêmes. Toute l'ambiguïté du débat porte autour de l'appréciation de qu'est une fin légitime de recherche de vulnérabilité. Suivant sa finalité, la recherche est autorisée ou est qualifiée de criminelle par la loi. Le législateur ne tranche pas et laisse le soin de l'interprétation à l'application de la loi. Le débat est donc loin d'être clos. Les failles concernent tous les systèmes et tous les éditeurs de logiciels. Linux n'est pas nécessairement mieux loti que Microsoft sur ce plan. La communication de chaque communauté d'informaticiens s'apparente parfois à des guerres de clochers inutiles. nombre de vulnérabilités Q-3Q Les «exploits» Nombre de vulnérabilités répertoriées par les CERT Après la publication de la vulnérabilité, la manière avec laquelle on peut exploiter la faille devient une sorte de second challenge pour certaines communautés qui vont chercher à s'illustrer avec de nouvelles publications et revendiquer leurs exploits respectifs. Tout circule à grande échelle et sans délai sur le Web et les forums de discussions. Le monde est devenu très bavard, les «bugs» et failles sont mis à nu devant tout le monde et les programmes d'attaques, dénommés «exploit» affichés aux yeux de tous et signés par leurs auteurs, qui utilisent souvent par prudence des pseudonymes connus seulement par leurs pairs. L'excitation de la recherche, la communication et une certaine vantardise poussent le système. Le débat sur le bien-fondé de la publication des «exploits» est esquissé par les nouveaux textes législatifs. La loi comprend désormais des possibilités de restreindre ces publications. Des chercheurs déclarent par ailleurs utiliser ces exploits à des fins de tests, pour vérifier si une vulnérabilité est présente. Là encore, la notion de fin légitime apparaît. Le législateur n'a pas apporté de définition et les magistrats pourront interpréter Les parades Pour le responsable sécurité, tout le problème réside donc dans la mise à jour des correctifs de sécurité, ou les modifications des configurations pour palier les vulnérabilités. Nous sommes dans une véritable course à la mise en œuvre des correctifs avant que les failles ne soient exploitées Les attaques exploitant les vulnérabilités Plusieurs attaques sont en effet à craindre. Le premier type d'attaque relève du hacker isolé qui va s'en prendre à une machine pour le plaisir, et parfois sans grand géni. Cette personne surveille la publication des failles de sécurité, recherche les «exploits» rédigés et publiés par d'autres en toute impunité sur le Web et mène ensuite son jeu 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 19/191

20 pour bloquer une machine, lire des informations confidentielles, changer des données ou prendre le contrôle d'une machine pour lui faire exécuter ce qu'il veut. Le hacker se comporte parfois en pensant que le coupable est en fait le responsable du système d'information qui n'a pas mis à jour ses logiciels, lui-même ne faisant que jouer. L'inconscience est donc parfois la source de graves préjudices. Il peut toutefois également s'agir d'espionnage industriel ou d'actes mafieux, sans aucun caractère ludique, mais avec des enjeux financiers bien réels. Le second type d'attaque est plus industriel et consiste à utiliser des vers pour mener à grande échelle une attaque sur un nombre non limité de machines en un minimum de temps. Quelques exemples de telles attaques sont les vers «Slammer», «Blaster» ou encore «Sasser». Très connus dans l'univers Microsoft Windows, les attaques de hackers ou des vers peuvent aussi être conçus pour utiliser les vulnérabilités de tout autre machine : Linux, Unix, mais aussi des routeurs, commutateurs, PDA ou téléphones portables. Nous n'oublierons pas également qu'aujourd'hui des équipements téléphoniques sous IP, les IPBX ou PABX IP, sont d'abord et avant tout des équipements data, fonctionnant sous des OS Windows, Linux ou Unix et qu'à ce titre ils sont aussi vulnérables qu'un PC. D'autres équipements peuvent aussi être concernés, bien que l'on y pense moins souvent : les imprimantes, dont les disques et mémoires peuvent contenir des informations confidentielles, et tous les équipements ou solutions sur appliances, tels que les firewalls, solutions de filtrage applicatif, enregistrement de vidéosurveillance numérique, etc La difficulté des corrections La correction des vulnérabilités n'est pas un exercice anodin. Lorsqu'ils existent, les correctifs, ou patches en anglais, proposés par les éditeurs sont parfois incompatibles avec d'autres applications mises en œuvre sur la même machine. En fermant un «trou de sécurité», il est en effet possible que l'on bloque une seconde application, qui utilise, sans penser à mal, les particularités de la première application vulnérable. Les «trous de sécurité» apportent en effet parfois certaines souplesses que les développeurs peuvent utiliser de façon légitime. Il faut alors développer un second correctif à appliquer sur la seconde application pour qu'elle fonctionne avec le patch appliqué sur la première. Une autre solution consiste parfois à développer un second patch qui va corriger le premier patch et permettre un inter-fonctionnement satisfaisant des deux applications. On patch alors le patch. Tout ceci prend naturellement du temps. L'entreprise doit choisir entre rester vulnérable ou bloquer certaines applications. Le sujet n'est pas simple. La gestion des vulnérabilités relève de questions d'organisation, de définition de processus et d'emploi d'outils adaptés que nous présentons, notamment au paragraphe «Scanners de vulnérabilités» de cet ouvrage Les faiblesses du Web Auteur : Sami Jourdain (Deny All) sjourdain@denyall.com Par son étendue, sa richesse de contenu et sa simplicité d utilisation, l Internet est une mine d informations pour les entreprises et un média sans précédent pour faire connaître les informations mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l Internet, l utilisateur peut accéder à des millions de pages Web, et peut, à l aide de portails et de moteurs de recherche, obtenir l information qui lui est nécessaire dans le cadre de son travail, au moment où il en a besoin (caractéristiques d un produit, liste de prix, conditions de vente, contacts, plan d accès ) Les menaces sur les applications Web Les entreprises continuent de déployer de nouvelles applications Web afin d augmenter l efficacité de leurs échanges avec leurs clients, employés, fournisseurs et partenaires, de générer des revenus additionnels et de réduire leurs coûts. Tous les départements de l entreprise bénéficient de l ouverture au Web : sites de e-commerce et de gestion de la relation client, automatisation de la chaîne achats, production, logistique, télétravail, webmail Confirmant cette tendance, les principaux éditeurs livrent maintenant leurs logiciels tels que SAP, Peoplesoft, Notes, Outlook, Siebel, avec interface Web incluse. En multipliant les accès Web via internet, extranet et intranet, les entreprises fournissent à des utilisateurs malveillants de nouveaux points d entrée à leurs applications. Avec l aide d un simple 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 20/191