Nomadisme et mobilité en établissement

Transcription

1 Nomadisme et mobilité en établissement cf. «Guide des réseaux en EPLEFPA Architecture et recommandations» Chapitre 6.5 «Sécuriser les accès nomades au réseau local»

2 1 Qu'est-ce que le nomadisme et la mobilité Définitions Périmètre Les outils Les données Les risques et enjeux Protéger l'établissement Protéger l'utilisateur Applications et mesures concernant les liaisons Wi-Fi Les principales attaques sur un réseau Wi-Fi Attaque de dictionnaire Attaque de relecture Détournement de session La modification des messages Les solutions de base Les VLAN Isoler le réseau sans fil grâce aux VLAN et Firewall Mettre en place un portail captif Mettre en place des VPN Utiliser les protocoles 802.1x et 802.1i Bilan du 802.1x Bluetooth Introduction Présentation de la technologie Bluetooth Sécurité et technologie Bluetooth Risque associé à l'utilisation de la technologie Bluetooth Applications et mesures concernant les outils Les ordinateurs portables Les téléphones mobiles et PDA Gérer les supports amovibles (clef USB, DD externe, ) Annexe 1 : Fiche Truecrypt Annexe 2 : Fiche Syncback Introduction : Télécharger et installer SyncBack : Paramétrer SynBack : Optimiser ses sauvegardes : Sources :... 40

3 1 Qu'est-ce que le nomadisme et la mobilité 1.1 Définitions Nomadisme L'encyclopédie Encarta donne comme définition du nomadisme :"nomadisme, mode de vie des populations non sédentaires, caractérisé par des déplacements cycliques ou périodiques afin d assurer leur subsistance". Il est vrai que la population active est souvent amenée dans le cadre du travail à se déplacer pour toutes sortes de motifs qui seront énumérés plus loin. Dans ce document, le terme nomadisme définit le mode de vie des personnes qui lors de leurs déplacements, doivent impérativement se connecter à un réseau informatique. Il englobe les notions d'itinérance et de mobilité. Mobilité Si en téléphonie, le terme itinérance est plus facilement utilisé, en informatique et réseau c'est le terme mobilité qui est le plus fréquemment employé. On rencontre ce terme dans l'expression "mobilité géographique", qui traduit la capacité de changer de lieu de travail tout en restant dans la même société. Dans ce document "mobilité" est utilisé comme étant la capacité d'un équipement de changer de réseau dans l'espace, dans le temps ou les deux en même temps. Cela signifie qu'un système mobile dispose d'une autonomie complète lui permettant de choisir et de se connecter sur un réseau puis de pouvoir atteindre des services utiles pour son utilisateur. Itinérance (roaming) Traduction du mot anglais "roaming", le terme "itinérance" est dérivé du mot itinérant qui signifie "qui va d'un lieu à un autre pour accomplir sa tâche". Le grand dictionnaire terminologique de l'office Québécois de la langue française définit l'itinérance comme une "fonction reliée à un système de téléphonie cellulaire, qui consiste à permettre à l'abonné d'un réseau d'utiliser son appareil dans une zone autre que celle où il a été enregistré, mais dans laquelle il peut être localisé.". Par conséquent, le terme d'itinérance est employé dans le monde informatique pour des systèmes dont les fonctions permettent à un utilisateur de se connecter à son système d'information à partir d'un autre réseau. 1.2 Périmètre Avant toute chose il nous faut définir le périmètre du Système d'information de l'eplefpa. Il y a toujours un espace dont je suis responsable : le SI de l'eplefpa Un espace dont je ne suis pas responsable : le reste du monde Il existe et existera toujours un périmètre qui délimite les deux, même si le périmètre est poreux. Nomadisme et mobilité en établissement /40

4 J'applique la politique de sécurité de mon EPLEFPA sur ce périmètre même si cette notion a des limites liées à : La maîtrise des canaux de communication L'utilisateur Les équipements nomades et ouverts Il est important de bien définir les périmètres qui peuvent généralement se diviser en deux parties. La première concerne les appareils dont j ai la maîtrise et qui sont sécurisés. Ils peuvent êtres raccordés au réseau de l établissement ou pas, mais ils comportent un certain nombre de dispositifs de sécurité communs aux ordinateurs de l établissement : anti-virus, anti-spyware, accès avec des droit limités, Internet via un dispositif de filtrage, etc. La deuxième inclue les appareils que je ne contrôle pas. Ce sont des ordinateurs personnels (portables pour la plupart) sur lesquels l utilisateur est administrateur. Ici, comme dans le guide «Les réseaux des EPLEFPA Architectures et recommandations», le sens d ordinateur portables est à prendre au sens très large du terme et recouvre toutes les formes de terminaux d accès mobiles. Si les premiers sont de fait reliés au réseau de l établissement et bénéficient des différentes ressources (Internet, imprimantes, scanners, serveurs de fichiers, mises à jours, etc.), une politique d accès particulière doit être définie pour les deuxièmes avec si possible une classification qui distingue les portables des apprenants et des personnels de la communauté éducative et ceux des personnes de passage et extérieures à l établissement. L existence des deux périmètres ne pose pas de problème, tant que les nomades n utilisent pas de ressources de l établissement. Les accès des Smartphones à Internet en accès 3G ne posent effectivement pas de risque de sécurité. L accès avec ce type d appareil au réseau de l établissement en utilisant le Wi-Fi s apparente à un accès par portable. Toute la difficulté consiste à placer le curseur entre l accès aux ressources demandées et un respect des règles de sécurité. Ce juste équilibre doit se trouver en accord avec les différents utilisateurs et le responsable du SI. Il faut effectivement opposer au cas tout sécuritaire qui prône le verrouillage du réseau et qui ne permet pas une évolution des méthodes de travail au cas tout ouvert sans sécurité suffisante et qui se retrouve avec des postes compromis suite à des attaques. Le nomadisme et la mobilité incluent également l accès au système d information via des ordinateurs distants, que cela soit d une manière intermittente (accès aux notes, fichiers, intranets, etc.) ou d une manière plus permanente avec les LGA et les sites distants. Pour cela, la mise en place d un VPN est obligatoire (voir le guide «Les réseaux des EPLEFPA Architectures et recommandations» chapitre 5). 1.3 Les outils Quels sont les différents cas du nomadisme et de la mobilité : Un membre de l'équipe de direction s'achète un Palm ou un Iphone Une classe reçoit une clé mémoire USB Un élève utilise un téléphone portable Une secrétaire écoute de la musique sur son ipod Un professeur utilise son ordinateur portable en salle des professeurs Une connexion VPN de chez soi ou d un point Wi-Fi Les outils sont multiples et variés et ne cessent d'évoluer. De plus leur connectivité s'étend de façon. Nomadisme et mobilité en établissement /40

5 On peut citer les trois grandes familles de solutions VPN : Les offres VPN des opérateurs. Solution stable mais pas forcément à conseiller car la grande majorité des accès Internet des établissements passent par un marché traité par la Région remis en cause tous les trois ans. Les solutions commerciales. Rapides à mettre en œuvre dans le cas de boîtiers dédiés. Solutions efficaces mais onéreuses. On peut citer à titre d exemple les boîtiers Juniper SA series SSL VPN 1. Ces boîtiers embarquent un anti-spyware, un contrôle d autorisations pointu qui s appuie sur les LDAP et autres Active Directory, un contrôle des mises à jour des applications de sécurité (par exemple si l anti-virus n est pas à jour, la connexion n est pas validée), etc. Les solutions logiciels libres. Ces solutions sont détaillées dans les guides des chantiers nationaux DRTIC 2 (Guide PfSense, guide IpCop, guide VPN GtoG IpCop, guide client OpenVPN). 1.4 Les données Les données présents sur ces outils de la mobilité sont, bien souvent, à la fois personnelles et professionnelles. Ces outils sont à la frontière du Système d'information mais il n'est pas possible de les ignorer et il devient nécessaire d'en assumer en partie la responsabilité afin de mieux les contrôler. La responsabilité n'est que partiellement transférable à l'utilisateur Il est donc nécessaire d'établir des procédures réalistes concernant l'intégrité et la protection des données locales et déportées. 2 Les risques et enjeux 2.1 Protéger l'établissement Mesurer les risques revient à évaluer l'impact des incidents possibles, d'en estimer la potentialité pour déterminer nos besoins de sécurité. Pour déterminer les besoins de sécurité, une méthode consiste à attribuer un poids de 0 à 4 sur les critères d'évaluation de la sensibilité d'une information ou d'une ressource que sont : la disponibilité (l'accès à l'information ou à un service); l'intégrité (la modification non légitime); la confidentialité (l'habilitation pour accéder à l'information ou à un service); la traçabilité (preuve, non répudiation). Les besoins de sécurité se traduisent donc par une valeur couramment appelée gravité du risque. On peut ainsi en déduire le dispositif de sécurité le plus adapté au regard de l'opportunité (ou la potentialité) des menaces et en fonction des coûts qu'il va générer Les guides FireWall et VPN Nomadisme et mobilité en établissement /40

6 Exemple de mise en œuvre. Pour un type de données (par exemple les fiches élèves) ou pour une ressource du système (par exemple la messagerie électronique), des mesures de protection plus ou moins lourdes pourront être appliquées en fonction de la valeur des critères de sensibilité. Pour la disponibilité, les mesures possibles peuvent être la duplication des données, les sauvegardes, le doublement des serveurs ou des réseaux,... ; Pour l'intégrité, les mesures peuvent être la mise en place de certification, le contrôle d'accès, un mécanisme de "scellement" des documents,... ; Pour la confidentialité, les mesures principales sont le chiffrement et le contrôle d'accès; Pour la traçabilité, les mesures peuvent être la création de logs et d'archives, l'authentification, l'accusé de réception, la reconstitution de la donnée,... La possibilité d ouvrir dans les meilleures conditions son réseau vers l extérieur doit se faire en regard des moyens que l établissement peut déployer. En effet, la politique de sécurité mise en place doit dicter les choix techniques qui doivent être mis en œuvre en fonction des moyens humains et financiers de l établissement. Pour résumer, une politique ambitieuse d ouverture du SI doit être faite dans le respect des règles éditées dans le guide «Les réseaux des EPLEFPA Architectures et recommandations» au chapitre 6.1. Les moyens matériels et humains nécessaires ne doivent absolument pas être minimisés au risque de mettre en péril les données de l établissement. 2.2 Protéger l'utilisateur Les risques les plus importants pour l'utilisateur sont de deux ordres : La perte de données Celle-ci peut se produire notamment suite à une défaillance matérielle (panne de disque, clefs USB détériorées, Il important qu'une sauvegarde des données utilisateur soit réalisée régulièrement. Celle-ci peut-être automatisée lors de la connexion de l'utilisateur sur le réseau ou réalisée de façon manuelle via des utilitaires tels que Syncback (voir annexe 2). Le vol de données Ces le cas le plus problématique puisque on cumule la perte de données avec le risque d'utilisation malveillantes de celles-ci. Il est nécessaire de se prémunir en utilisant des dispositifs physiques ou logiciels 3 tels que : - le lecteur d'empreintes digitales, c'est un dispositif qui permet sur un portable de verrouiller facilement sa session est éventuellement certaines données. - Mot de passe au démarrage du PC, le PC n'est pas utilisable si on ne connaît pas ce mot de passe. Toutefois cette protection est contournable. - Logiciel du type de Laptop Alarm ( laptop-alarm.html) qui permet de paramétrer des alarmes sur son ordinateur portable. C'est gratuit, facile à mettre en œuvre mais relève plus du gadget. 3 cf. Les réseaux des EPLEFPA Architectures et recommandations chapitre 6.2 Nomadisme et mobilité en établissement /40

7 - Il est possible également de crypter ses données (ceci n'empêche pas le vol) afin qu'une personne malveillante ne puisse pas visualiser le contenu de votre disque dur ou clef USB (voir fiche en annexe 1). 3 Applications et mesures concernant les liaisons Wi-Fi Le nombre de réseaux Wi-Fi dans les établissements est en constante augmentation. Ses qualités sont multiples : possibilité de se dédouaner du câble réseau permettant un placement dans la salle plus aisé et modulable, coût d installation moindre par rapport aux prises réseau. Les collectivités territoriales ont bien compris ces avantages afin par exemple d équiper les Internats, salles de réunion et autres foyers. Ces avantages ne doivent pas faire oublier les inconvénients d une telle technologie : l accès aux bornes dépasse parfois l enceinte de l établissement, des perturbations électromagnétiques ainsi que la configuration des bâtiments peuvent influer sur la disponibilité du réseau, des appareils «exotiques» peuvent matériellement se connecter au réseau, la qualité des liaisons est inférieur aux câbles et les débits moindres sans oublier les phobies liées à l'éventuel impact sanitaire des rayonnements électromagnétiques. La création de réseaux distincts en Wi-Fi devient assez complexe, et il ne faut pas oublier que le nombre de personnes connectées par bornes reste limité. Le choix du réseau Wi-Fi doit être mis en face des besoins des utilisateurs et des impératifs de sécurité. Le Wi-Fi est un outil qui doit être maîtrisé avant d être mis en œuvre dans l établissement. 3.1 Les principales attaques sur un réseau Wi-Fi WarDriving Il consiste à se promener en voiture avec une antenne WiFi et noter la position et les caractéristiques de tous les AP que l on rencontre. On peut donc retrouver les informations de ses AP sur Internet. Nomadisme et mobilité en établissement /40

8 L espionnage Un pirate peut sniffer les échanges Wi-Fi. Il est donc indispensable de crypter les communications avec un algorithme aussi puissant que possible sans qu il ralentisse trop les échanges. On peut utiliser le WPA ou le WPA2. L intrusion Le pirate peut s introduire au sein du réseau pour consulter, modifier les données du système informatique ou encore pour profiter de la connexion Internet. Le pirate se comporte comme un utilisateur normal. Si l association ordi-ap impose un mécanisme d identification avant d autoriser l ouverture d une session sur le réseau, le pirate aura deux options : - ouvrir une nouvelle session en se faisant passer pour un utilisateur légitime - détourner une session existante (hijacking). 3.2 Attaque de dictionnaire Elle consiste à essayer les mots de passe les plus probables en utilisant les mots du dictionnaire et en les modifiant légèrement. Il existe deux variantes : - Attaque en ligne où le pirate essaie successivement chaque mot de passe jusqu à trouver le bon. Le système peut bloquer l authentification au bout d un certain nombre d essais. - Attaque hors ligne où le pirate va récupérer le dialogue d une authentification réussie, il possède alors le défi et la réponse correcte. Il lui reste à tester hors connexion avec le même défi et le même algorithme jusqu à trouver celui qui lui donne la même réponse que l utilisateur. La solution consiste à trouver des mots de passe relativement complexes et de bloquer les attaques de dictionnaire en ligne. 3.3 Attaque de relecture Le pirate peut enregistrer les paquets émis par une station légitime au moment où elle se connecte puis de les émettre à l identique un peu plus tard. La solution consiste à imposer un compteur incrémenté à chaque paquet échangé.le WEP n offre pas de protection contre cette attaque, par contre le WPA et le WPA2 sont immunisés. 3.4 Détournement de session En Wi-Fi, sachant que l identification initiale est souvent un mécanisme coûteux en temps et en ressources, l identification initiale aboutit à la mise en place d une identification secondaire valable pour la durée de la session. Une solution courante consiste à utiliser simplement l adresse MAC du poste utilisateur. Tous les paquets venant de cette adresse sont autorisés. Certains adaptateurs Wi-Fi peuvent changer d adresse MAC. On appelle cela le spoofing de l adresse MAC. La solution consiste à utiliser le WPA ou WPA2 qui négocient lors de l identification primaire l échange sécurisé de clés de cryptage. Nomadisme et mobilité en établissement /40

9 Le déni de service Consiste à empêcher le réseau de fonctionner. Le pirate peut envoyer sans cesse des paquets pour saturer le réseau ou bien émettre des ondes radios pour brouiller vos communications. Rien n est prévu pour se prémunir contre le DoS en WiFi. Il faut trouver la source qui doit se situer non loin du réseau attaqué et éventuellement d appeler les autorités. 3.5 La modification des messages Les attaques MiM 4 La modification des messages suppose que le pirate parvienne à s interposer entre les interlocuteurs, à leur insu. - Si le pirate à accès physique aux équipements du réseau, il intercale son ordinateur entre un AP et le commutateur auquel cet AP est normalement connecté. Tous les paquets émis entre le réseau filaire et le réseau sans fil passeront par le pirate. - Si le pirate se connecte au réseau sans fil, il peut se faire passer pour un AP et servir d intermédiaire entre le réseau et l utilisateur. Modifier un message crypté Certains algorithmes de cryptage ne changent pas l ordre des bits, c'est-à-dire que le nième bit du message crypté correspond au nième bit du message original. C est le cas de l algorithme RC4 sur lequel reposent le WEP et le WPA. Par contre le WPA2 qui repose sur l algorithme AES n a pas ce défaut. Le pirate peut supposer que le trafic repose sur TCP/IP, il sait que le paquet commence par l en-tête du paquet IP, et il sait donc à quel endroit précis il doit modifier le paquet crypté pour changer l adresse IP de destination. 3.6 Les solutions de base Limiter les débordements Il faut s assurer que les ondes radio ne débordent pas de la zone à desservir. Il faut donc que les AP soient correctement placées. Eviter les AP pirates Il suffit que quelqu un connecte une AP non sécurisée au réseau filaire pour que toute la sécurité du système soit anéantie. La supervision radio On peut installer des sondes WiFi, ou utiliser les fonctions de supervision de certains AP pour détecter les AP non sécurisées. Masquer le SSID C est une protection assez faible car il suffit de sniffer les ondes radio au moment où un utilisateur légitime se connecte : le SSID se trouve en clair dans sa requête d association. 4 Man In the Middle Nomadisme et mobilité en établissement /40

10 Filtrage par adresse MAC De nombreux AP disposent de cette fonction, et les adresses autorisées sont souvent stockées dans chaque AP : en cas de modification, il faut modifier toutes les AP. Certaines AP permettent de centraliser la gestion des adresses MAC autorisées, par exemple dans un serveur RADIUS. Inconvénients : - Il est lourd à mettre en œuvre car il faut garder une liste des adresses MAC de tous les équipements. - Il est relativement simple à un pirate de sniffer le réseau et de spoofer 5 une adresse MAC légitime. 3.7 Les VLAN 6 Il est bon de dissocier le trafic sans fil du réseau principal grâce à la mise en place d'un VLAN particulier entre les AP et les éléments actifs du réseau filaire. Ceci facilitera par la suite la maintenance et l administration du réseau car tout le trafic provenant du réseau sans fil sera clairement identifié. Il faut que les AP ou le commutateur auxquels ils sont reliés le permettent. 3.8 Isoler le réseau sans fil grâce aux VLAN et Firewall 7 Il est recommandé de traiter les utilisateurs du réseau sans fil comme s ils venaient d Internet. Il faut alors connecter les AP sur une interface dédiée du Firewall. Par exemple à la zone bleue d'une IpCop ou à une interface dédiée sur une PfSense. Inconvénients : Le réseau sans fil ne sert qu à accéder à Internet ou à se connecter entre eux. Pour accéder au réseau filaire de l'établissement, il faut établir un tunnel VPN (cf. chapitre 3.10) ou utiliser la norme 302.1x (cf. chapitre 3.11) 3.9 Mettre en place un portail captif 8 Un portail captif est un dispositif qui intercepte la totalité des paquets provenant d'un poste client, quel que soient leur destination jusqu'à ce que l'utilisateur ouvre le navigateur Web. Il est alors rediriger de force sur une page Web du portail captif pour s'y authentifier. Le portail peut alors réaliser lui même cette phase d'authentification ou la déporter sur un serveur dont c'est le rôle (AD, LDAP, RADIUS,...). Il autorise alors ou non le poste client à accéder à Internet ou aux ressources d'un réseau local. Il existe aujourd'hui un nombre important de distributions Linux dédiées à cette fonction (IpCop, PfSense). Les principaux fabricants de point d'accès intègrent désormais des offres de portail captif dans leurs routeurs wifi. Cette technique est particulièrement intéressante pour permettre un accès contrôlé à Internet pour des nomades tout en préservant son réseau local 5 Spoofer : usurper l identité (adresse MAC, adresse IP, etc.) 6 VLAN : cf. Les réseaux des EPLEFPA Architectures et recommandations chapitre Les réseaux des EPLEFPA Architectures et recommandations chapitre et Portail captif : cf. Guide réseaux chapitre Nomadisme et mobilité en établissement /40

11 Inconvénients : - Le réseau sans fil ne sert à accéder qu'à Internet et ne permet pas d accéder au réseau filaire à moins d établir un tunnel VPN Mettre en place des VPN 9 Lorsque le réseau WiFi est isolé, pour permettre aux personnes de se connecter au réseau de l établissement, on peut mettre en place des VPN. Une fois connecté au réseau sans fil, la personne exécute un client VPN qui établit une connexion sécurisée (trafic crypté) entre son poste et le serveur VPN après authentification. Son poste est relié au réseau filaire par un tunnel VPN sécurisé. N importe qui venant de la zone Internet, donc de chez soi, peut se connecter au réseau de l établissement. Les guides IpCop, PfSense, Clients OpenVPN sur le portail DRTIC décrivent cette procédure. Si les AP sont compatibles WPA ou WPA2 il vaut mieux choisir cette deuxième solution que mettre en place des VPN. Inconvénients - Les solutions VPN sont parfois lourdes à mettre en œuvre. Il faut être attentif à leur configuration pour éviter des failles de sécurité. - En passant par un tunnel VPN le débit est parfois réduit et le temps de latence augmenté. - Il y a deux connexions à faire pour se connecter au réseau de l établissement (le WiFi et le VPN) Utiliser les protocoles 802.1x et 802.1i 10 Points d'accès au réseau 802.1X La norme IEEE 802.1X est un standard qui définit les mécanismes permettant de contrôler l'accès aux équipements actifs d'un réseau qu'il soit filaire ou radio. Elle permet d'authentifier un utilisateur grâce à un serveur d'authentification avant de lui accorder ou non l'accès au réseau. Lorsque le client se connecte à un port Ethernet ou s'attache à un point d'accès sans fil, l'accès au LAN lui est fermé, seul le trafic avec le serveur d'authentification est autorisé. Le port ne pourra s'ouvrir sur le LAN que si l'authentification réussie. Cette norme repose donc sur trois acteurs qui doivent l'implémenter : Un client appelé «supplicant» (Linux, Mac OSX, Windows depuis XPSP1) L'élément actif appelé «authenticator» (Switch, Borne Wifi) Un serveur d'authentification (Généralement RADIUS) En plus de l'authentification des utilisateurs, le protocole 802.1X est utilisé dans les réseaux sans fil comme support pour l'échange des clefs utilisées par les dispositifs de chiffrement de la communication : WEP : (Wired Equivalent Privacy). Cette méthode est basée sur une solution de clé de chiffrement statique partagée par tous les membres d'un même réseau Wi-Fi, avec un 9 VPN : cf. Guide réseaux IpCop, PfSense, Clients OpenVPN 10 Protocoles 802.1x et 802.1i : cf. recommandations du guide réseaux Chapitre Nomadisme et mobilité en établissement /40

12 algorithme de chiffrement relativement faible. Il suffit de disposer de quelques dizaines de minutes avec quelques petits outils logiciels présent sur le Web pour venir à bout de cette protection en identifiant la clé de chiffrement. C'est la technique utilisée par la presque totalité des «Box» grand public fournies par les opérateurs. Elle n'est pas adaptée aux environnements professionnels. WPA : (Wifi Protected Access). Avec la découverte rapide des failles de WEP, et alors même l'élaboration d'une norme destinée à sécuriser les réseaux sans fils était en cours, il a fallu mettre en place au plus vite un procédé de secours. Le WPA, issu des travaux non encore aboutis de la norme i, est arrivé sur le marché. C'est un ensemble de rustines logicielles, destiné à boucher les plus gros trous de sécurité du WEP, tout en ayant comme contrainte de pouvoir fonctionner sur le matériel existant. Il a donc été conçu pour pouvoir être exploité sur du matériel WEP. Le WPA est un compromis acceptable, surtout si l'on doit intégrer à son réseau du matériel ancien, ne supportant pas les méthodes de chiffrement préconisées par la norme i. WPA2 : C'est l'appellation commerciale de la norme i (cf. chapitre 2). Cette norme a été finalisée en 2004 et se trouve donc implémentée sur des points d'accès conçu à partir de cette date. Elle impose le support d'aes («Advanced Encryption Standard») qui est le un standard de chiffrement basé sur un algorithme de chiffrement symétrique. WPA comme WPA2 peuvent s'utiliser de deux manières : Mode «personnel» : Ce mode est préconisé pour les particuliers disposant d'un petit réseau peu stratégique et fait appel à une clé de chiffrement partagée, la PSK (Pre Shared Key). Cette clé, au contraire de WEP, ne sert pas directement au chiffrement des données. Elle sert de base à la création de clés dérivées, qui sont non seulement différentes pour chaque session (deux utilisateurs d'un même réseau, même s'ils disposent de la même PSK, utiliseront des clés de session différentes), mais encore d'un usage limité dans le temps. Ces clés sont renégociées fréquemment en cours de session, ce qui rend leur découverte nettement plus difficile. Le temps nécessaire pour identifier une clef risque d'être supérieur à sa durée de vie. Le point faible réside dans le fait que tous les utilisateurs du point d'accès connaissent cette phrase qui de fait devient de moins en moins secrète C'est une solution tout à fait acceptable dans le cas d'un réseau sans fils de taille peu importante et ne permettant pas l'accès à des données ou des serveurs stratégiques. Comme pour les mots de passe, il est toutefois important d'utiliser une PSK non évidente. En effet, la clé est une suite numérique, calculée à partir d'une «phrase secrète» en ASCII et du SSID du point d'accès. Il faut donc éviter une phrase trop simple comme votre nom, votre date de naissance, un nom commun Mode «entreprise» : Ce mode s'appuie sur la norme 802.1X abordée précédemment pour l'authentification avancées des utilisateurs et nécessite donc de faire appel à un système d'authentification centralisé ainsi qu'à des points d'accès supportant cette norme. Il n'y a aucun secret partagé, tout le système cryptographique est construit pendant et après le processus d'authentification. Lorsque le client est correctement authentifié par le serveur, ce dernier lui envoie une clef principale uniquement connu d'eux deux et valable que pour la session en cours. Le client et le serveur calculent alors une nouvelle clef appelée PMK qui est transmise au point d'accès et n'est valable que pour cette session avec ce client. Le point d'accès n'a pas connaissance de la clef principale. La Nomadisme et mobilité en établissement /40

13 PMK permet alors au client et au point d'accès de calculer 4 nouvelles clefs temporelles utilisées pour sécuriser différents types de paquets pendant leurs échanges. Ce dispositif complexe assure un niveau de sécurité extrêmement élevé. En résumé : TLS, PEAP EAP Station sans fil 802.1X (a,b,n...) RADIUS UDP/IP Serveur d'authentification Point d'accès La station cliente entre en contact avec le point d'accès en utilisant une des normes de connexion sans fil de la famille Cette dernière s'appuie alors sur les mécanismes 802.1X pour permettre ou non l'accès au réseau local. Serveur d authentification Clients Réseau Contrôleur d accès Nomadisme et mobilité en établissement /40

14 Architecture Si un client cherche à accéder au réseau, un contrôleur d accès lui barrera le chemin jusqu à ce qu il s identifie auprès du serveur d authentification. Le contrôleur d accès sert d intermédiaire pour la communication entre le client et le serveur d authentification. Il attend juste le résultat du serveur d authentification (succès ou échec de l authentification) pour ouvrir les portes du réseau ou les fermer. Lorsque le 802.1x est utilisé, chaque AP est un contrôleur d accès. Ce dispositif repose sur le protocole EAP (Extensible Authentication Protocol) pour le transport des informations nécessaires à l'authentification suivant le mode choisi. Il en existe 5 officiellement retenu par WPA et WPA2 dont les deux principaux sont : TLS (Transport Layer Security) : Ce protocole est en fait la version 3.1 du fameux SSL dont il est le successeur. Il utilise une infrastructure de clefs publiques pour sécuriser l'identification entre le client et le serveur. Dans ce mode, les deux acteurs chacun d'un certificat x509. PEAP (Protected EAP) : Dans ce mode seul le serveur dispose d'un certificat. L'authentification du client est assurée par un challenge de type login/password. Dans la grande majorité des cas, les échanges entre le point d'accès s'appuient sur le protocole RADIUS Le protocole 802.1x utilise le protocole EAPoL 11 dont la base est le protocole EAP 12. Il utilise aussi l utilisation d un serveur d authentification, généralement de type RADIUS. Le logiciel client Le logiciel client est appelé client EAP et peut être fourni avec l adaptateur Wi-Fi. Il peut être intégré au système d exploitation. Logiciel client Système d exploitation Méthodes EAP gérées Xsupplicant (Open Linux MD5, TLS, PEAP, TTLS Source) Le serveur d authentification Il faut un serveur compatible EAP, généralement il s agit d un serveur RADIUS. Serveur Système d exploitation Méthodes EAP gérées Free RADIUS (Open Linux MD5, TLS, PEAP, TTLS Source) Microsoft IAS Windows 2000, 2003 et 2008 (inclus) MD5, TLS, PEAP Le contrôleur d accès Il ne sert que d intermédiaire, et ouvre ou ferme la porte du réseau. Il faut juste s assurer que chaque AP gère le 802.1x et que celui-ci soit activé. 11 EAPoL : EAP over Lan 12 EAP : Extensible Authentification Protocol Nomadisme et mobilité en établissement /40

15 Les méthodes EAP EAP/MD5 Elle repose sur le protocole CHAP avec le hash MD5. EAP/MS-CHAP-v2 Cette méthode d authentification repose sur le protocole MS-CHAP-v2 inclus dans Windows. EAP/TLS 13 La mise en place d un tunnel TLS commence par une première phase appelée «handshake» : le serveur envoie son certificat électronique au client et celui-ci fait de même. A ce moment, le client génère une clé de cryptage symétrique. Il utilise ensuite la clef publique du serveur pour crypter la clef symétrique. Il l envoie au serveur, qui est le seul à pouvoir décrypter le message avec sa clef privée et obtenir la clef symétrique. A la fin de la négociation TLS, le client s est assuré de l identité du serveur, et une clé de cryptage symétrique va servir à crypter les données entre le client et le serveur. Il faut donc que chaque utilisateur et donc le serveur possèdent des certificats électroniques. On peut utiliser des produits permettant de maintenir une Infrastructure à Gestion de Clé (IGC). EAP/PEAP Cette méthode littéralement Protected EAP, consiste à la mise en place d un tunnel TLS entre le client et le serveur, puis une nouvelle négociation EAP (par exemple EAP/MS- CHAP-v2) se déroule au sein de ce tunnel, à l abri des regards indiscrets. Au cours de la négociation EAP/PEAP, le client n est pas obligé de révéler sa véritable identité, il peut répondre «anonyme». Le serveur peut ne pas poser la question. Le client n est donc pas obligé de fournir un certificat, seul le serveur le fait. A la fin de la négociation, un tunnel TLS est établi. Dans ce tunnel, une négociation EAP complète a lieu : c est ici que le client fournit son identité et la preuve de cette identité. La méthode utilisée peut être n importe qu elle méthode EAP. Une fois que l identification «interne» EAP est terminée par un succès ou un échec, le tunnel TLS est fermé et le serveur renvoie un nouveau paquet de succès ou d échec au client, en clair cette fois-ci. EAP/TTLS Comme PEAP, TTLS commence à établir un tunnel TLS, puis met en œuvre une autre authentification dans ce tunnel. TTLS n est pas intégré dans Windows. Les failles d EAP Attaques de la méthode EAP o Attaques de dictionnaires hors-ligne La méthode EAP/MD5 peut être attaquée de cette façon, car si le pirate récupère le défi et le hash correspondant, il peut faire les calculs hors-ligne en essayant de trouver le hash identique. La seule solution consiste à trouver des mots de passe complexes et de les changer régulièrement o Attaques de dictionnaire en ligne La méthode EAP/MS-CHAP-v2 est vulnérable à cette attaque, il faut donc l utiliser au sein d un tunnel. Attaque de la session Une fois l authentification réalisée, l AP accepte dorénavant tous les paquets en provenance de l adresse MAC de cet utilisateur. Une fois le travail EAP étant terminé, le tunnel TLS est fermé, cela signifie que tous les paquets du client sont maintenant échangés en clair. Il faut 13 TLS : Transport Layer Security (nouvelle version de SSL) Nomadisme et mobilité en établissement /40

16 donc (avec le WPA ou le WPA2) mettent en place un procédé de cryptage commun pour mettre en place un tunnel sécurisé. Attaque MiM Le pirate peut simuler une AP entre l utilisateur et le serveur d authentification. Il peut tenter une attaque contre les méthodes PEAP et TTLS en créant un tunnel avec le client et un tunnel avec le serveur. Il faut absolument vérifier le certificat du serveur pour voir si il est valide Bilan du 802.1x Pour bénéficier de la meilleure sécurité possible avec le 802.1x et éviter ses quelques failles, il faut : Utiliser une des méthodes à base de tunnel : EAP/TLS, TTLS ou PEAP S assurer que le certificat du serveur soit toujours vérifié par les clients et qu aucun utilisateur ne se connecte si le certificat est mauvais. Eventuellement mettre en place un certificat pour chaque poste client. S assurer qu un cryptage puissant soit mis en place au cours de l identification : le WPA2 4 Bluetooth Source CERTA 4.1 Introduction La technologie Bluetooth est un système de communication radio à courte portée destinée au réseau personnel (WPAN -- Wireless Personal Area Network). Créée dans le but de remplacer les connexions filaires entre toutes sortes d'équipements, cette technologie est peu coûteuse et peu consommatrice d'énergie. Ces deux atouts lui ont permis d'être rapidement et largement mise en œuvre dans de nombreux équipements (500 millions d'appareils équipés de la technologie Bluetooth en 2005) À ce jour, les dispositifs utilisant la technologie Bluetooth peuvent être des téléphones portables, ordinateurs portables, imprimantes, périphériques de saisies mais également des équipements tels que les récepteurs GPS (Global Positioning System), les appareils photos, les assistants personnels numériques (PDA -- Personal Digital Assistant), certains équipements médicaux et systèmes embarqués (système audio, kit main-libre, etc.) dans les véhicules automobiles. La liste et le nombre de ces appareils continuent de s'accroitre. 4.2 Présentation de la technologie Bluetooth La technologie sans fil Bluetooth fonctionne sur la bande de fréquence des 2,4GHz identique à celle utilisée par certaines normes IEEE Nomadisme et mobilité en établissement /40

17 Réseau personnel sans fil de courte portée Les appareils équipés de la technologie Bluetooth communiquent entre eux en formant des réseaux ad-hoc (maître-esclave) de faible portée nommés picoréseaux. Un périphérique esclave peut avoir plusieurs maîtres, mais ne sera pas en mesure de communiquer directement avec un autre esclave. Bluetooth 1.2 et Bluetooth 2.0 Les équipements Bluetooth connectés à un picoréseau peuvent se transmettre simultanément des informations de type voix et données (comme défini dans la spécification du protocole Bluetooth). En novembre 2003, la version 1.2 de la spécification Bluetooth a été adoptée. Cette version permet des taux de transfert de l'ordre de 1Mbits/s, en pratique cela se traduit par un débit de 720kbits/s. Un an plus tard, c'est la version 2.0 qui est adoptée à son tour. Cette nouvelle version permet des transferts plus rapides, le taux de transfert peut aller jusqu'à 3Mbits/s théorique. Distance et puissance La technologie sans fil Bluetooth est destinée à des réseaux personnels de courte portée. La distance maximum spécifiée entre les équipements peut varier de quelques mètres à une centaine de mètres pour les appareils les plus puissants. La distance est directement liée à la puissance d'émission et à la sensibilité de réception des dispositifs Bluetooth (cf. Section 4.2). La technologie Bluetooth, à l'inverse de la technologie infrarouge, ne requiert pas des appareils communicants qu'ils soient sur ligne directe et dégagée, en effet, cette technologie est omnidirectionnelle et les ondes radio sont capables de traverser des objets massifs tels que des murs. 4.3 Sécurité et technologie Bluetooth Le fait d'intégrer la technologie Bluetooth et toutes les fonctionnalités associées dans de plus en plus d'équipements a contribué à transformer ces mêmes équipements en systèmes d'information communicants. Avec leur capacité de stockage, leurs services et leurs connectivités, il est primordial de prendre en considération la sécurité des équipements Bluetooth. Mode de sécurité La spécification Bluetooth propose 3 modes de sécurité. Il est à noter que ces modes de sécurité sont déployés ou non dans les équipements Bluetooth selon la décision prise par les fabricants. Les modes de sécurité sont les suivants : mode de sécurité 1 : non sécurisé ; mode de sécurité 2 : sécurisé au niveau applicatif ; mode de sécurité 3 : sécurisé au niveau de la liaison. Le mode de sécurité 3 intervient sur la couche de liaison du modèle OSI, il permet d'établir une connexion avec authentification et chiffrement au moyen d'une clé. Le mode de sécurité 2 permet de sécuriser de façon logicielle5 le dispositif Bluetooth en paramétrant les profils Bluetooth. Le mode de sécurité 1 permet à un appareil Bluetooth d'offrir ses services à tous dispositifs Bluetooth à portée. Nomadisme et mobilité en établissement /40

18 Jumelage ou couplage Deux dispositifs Bluetooth destinés à communiquer ensemble fréquement devront être couplé6 au moyen d'une clé symétrique. Cette étape permet aux deux appareils de partager une clé secrète utilisée pour chiffrer et déchiffrer les données. Cette clé secrète est conçue au moyen d'un algorithme mettant en œuvre l'adresse physique des dispositifs jumelés, de nombres aléatoires mais surtout d'un sésame fournit par l'utilisateur (code PIN7, mot de passe, etc...). Le sésame symétrique requis lors de l'opération de jumelage est directement subordonné au périphérique utilisé : Mode découverte Un dispositif Bluetooth peut activer ou non le mode découverte. Ce mode de fonctionnement permet à un appareil Bluetooth de manifester sa présence en répondant aux requêtes destinées à découvrir les équipements Bluetooth à portée. La désactivation de ce mode peut s'avérer très utile lorsque l'on souhaite établir une communication entre deux appareils Bluetooth sans pour autant révéler leur présence aux autres équipements Bluetooth à portée. Le mode découverte est de plus en plus souvent désactivé par défaut sur les équipements Bluetooth tels que les oreillettes Bluetooth. 4.4 Risque associé à l'utilisation de la technologie Bluetooth L'utilisation de cette technologie, avec tous les services qu'elle propose, est assortie à des risques bien réels de voir des informations dérobées par des individus qu'il sera très difficile d'identifier, car les équipements en question sont conçus pour être petits, légers et mobiles. Rares sont les équipements qui journalisent les connexions et les activités Bluetooth. Attaques et vulnérabilités De nombreuses vulnérabilités liées aux dispositifs Bluetooth ont été découvertes depuis la création et l'utilisation des équipements Bluetooth. Ces vulnérabilités ont d'ailleurs été suivies par l'apparition d'attaques à l'intitulé accrocheur. Les principales attaques sont détaillées ci-dessous : Bluejacking : Cette première attaque, qui s'apparente à du pourriel, consiste à détourner l'utilisation principale liée au profil OBEX Object Push Service (cf. Section 2.4). Ce profil Bluetooth permet d'envoyer des éléments (contacts, carte de visite, rendez-vous...) entre périphériques compatibles. Un utilisateur malintentionné peut remplir arbitrairement les champs de sa carte de visite et faire afficher ce texte sur un appareil Bluetooth choisi. Bluesmack : Cette attaque consiste en l'exploitation d'une vulnérabilité présente dans des piles réseau Bluetooth. Un utilisateur malintentionné peut fabriquer des paquets spécialement conçus pour réaliser un déni de service de la pile réseau Bluetooth ou sur l'équipement vulnérable. Nomadisme et mobilité en établissement /40

19 Bluebug : Cette attaque affecte principalement les téléphones portables équipés d'une interface Bluetooth. Un utilisateur ayant accès au profil Bluetooth vulnérable d'un téléphone portable peut exécuter arbitrairement toutes sortes de commandes lui donnant ainsi un contrôle total sur l'équipement ciblé. Les actions auxquelles l'individu pourrait avoir accès sont : l'accès en lecture et en écriture au répertoire téléphonique ; appel vers n'importe quel numéro (surtaxé ou malveillant) ; modification de la configuration de l'appareil (volume sonore, renvoi d'appel,...) ; lecture et envoi de message SMS ; etc. Bluesnarfing : Cette attaque permet à un utilisateur malintentionné de télécharger arbitrairement depuis l'équipement Bluetooth vulnérable un ou plusieurs fichiers. Ces attaques ont beaucoup perdu en furtivité depuis que les fabricants d'équipements Bluetooth implémentent par défaut le mode sécurité 2. Pour arriver à ses fins un utilisateur malintentionné devra associer à ces attaques de l'ingénierie sociale. Distance de réception d'un signal Bluetooth Le savoir-faire permettant de modifier physiquement un dispositif Bluetooth de type clé USB de manière à augmenter considérablement sa portée de réception est disponible sur l'internet. Ces expériences mettent en évidence que les ondes radio émises par un équipement Bluetooth peuvent être captées largement au-delà de la portée théorique, l'élément important lors de ces expérimentations est la sensibilité du récepteur Bluetooth. Protection du sésame Le savoir-faire, ainsi que les moyens matériels nécessaires pour casser un sésame utilisé par deux périphériques Bluetooth jumelés peuvent être réunis. Avec ces ressources, un utilisateur distant malintentionné peut compromettre la confidentialité d'un sésame. Par ce procédé, un sésame de type code PIN de 4 caractères peut être cassé en moins d'une seconde. Le temps de calcul maximum nécessaire pour casser un code PIN est exponentiel en fonction du nombre de caractères. (In)sécurité liée au mode découverte Un équipement Bluetooth ayant désactivé le mode «découverte» reste tout de même détectable par un utilisateur malintentionné. Pour un utilisateur non averti, le fait de désactiver le mode découverte donne une fausse impression de sécurité car un périphérique Bluetooth sous tension reste joignable. Une attaque consiste à envoyer une requête spécifique qui ne peut être ignorée par les périphériques Bluetooth à portée, même avec le mode découverte désactivé. Ainsi, une personne malveillante va tenter de balayer une ou plusieurs plages d'adresses physiques prédéfinies associées aux dispositifs Bluetooth afin de détecter leur présence. Cette attaque de type force brute est coûteuse en temps pour l'attaquant mais reste efficace. Nomadisme et mobilité en établissement /40

20 5 Applications et mesures concernant les outils 5.1 Les ordinateurs portables La difficulté principale consiste à gérer des moyens de connexions hétérogènes. En effet, le même PC portable est tantôt connecté au réseau d'entreprise : Dans son bureau sur le réseau filaire Dans la salle de réunion sur le réseau sans fil Via l'accès Internet ADSL de la maison Via une carte GPRS ou UMTS dans le train Via un Hotspot dans un aéroport De plus ces outils peuvent subir des dommages tels que des chutes, la perte ou le vol. Il est donc important de gérer finement les MAJ de sécurité ainsi que celles de l'anti-virus. De plus les sauvegardes des données doit être automatisée avec des moyens tels que Syncback (voir en annexes) ou des outils professionnels. Les données doivent également être cryptées afin d'éviter qu'elles puissent utilisées par des personnes malveillantes (voir annexe consacrée à Truecrypt). 5.2 Les téléphones mobiles et PDA Les nouveaux smartphone professionnels (iphone d Apple, Windows mobile,ou RIM de Blackberry) offrent de puissantes fonctionnalités permettant de rester connectés à ses s, calendriers, intranet et autres outils du quotidien. Mais ils peuvent présenter des risques en matière de sécurité et devenir des cibles de malveillance. Aussi est-il souhaitable de prendre en considération quelques conseils de sécurité : Mettre en place une politique de mots de passe renforcée Les smartphone professionnels doivent être configurés de manière à ce que l écran se verrouille après une courte période d'inactivité. Les mots de passe doivent être complexes et doivent être changés régulièrement. Protéger l accès VPN des smartphone Les pirates peuvent exploiter les vulnérabilités des smartphone, les infecter à l aide de logiciels malveillants, puis passer par les connexions VPN pour accéder aux ressources sensibles de l intranet de la société. Les serveurs dédiés aux smartphone et les sorties VPN doivent être placés sur un réseau avec pare-feu et séparés du reste de l intranet. Les connexions venant des téléphones doivent être régulées par des systèmes de prévention des intrusions. L accès VPN des smartphones doit être restreint aux serveurs réellement nécessaires aux utilisateurs de portables. Nomadisme et mobilité en établissement /40

21 Etablir des procédures à suivre en cas de perte ou de vol En cas de perte ou de vol, les données sensibles dans les smartphone peuvent être partiellement nettoyées par le serveur de l entreprise. Il est recommandé d établir un point de contact pour les employés ayant perdu leur téléphone, afin que les données soient effacées au plus. Contrôler l installation des applications tierces Les utilisateurs de smartphone peuvent télécharger sur leur smartphone de nouvelles applications (ne comportant pas de signature numérique), porteuses de logiciel malveillant. Les entreprises doivent mettre en place des restrictions concernant l installation de ces applications. Evaluer les solutions anti-virus pour smartphone Aujourd hui, il y a peu de menaces de logiciels malveillants sur les smartphone bien qu il existe déjà des solutions anti-virus dédiées. La popularité de ces téléphones grandissant, les logiciels malveillants peuvent aussi les cibler. Désormais de grands éditeurs tels que Symantec ou F-Secure proposent des suites de sécurité dédiées aux smartphone. Les risques autour de la généralisation de la 3G De plus en plus d'établissements équipent leurs flottes mobiles de terminaux capables de navigation, mais aussi de consulter la messagerie, en plus d'autres applicatifs divers. Avec ces fonctionnalités se généralisant, des accès professionnels 3G sont souvent demandés dans les forfaits de façon assez logique pour ces mobiles (matériels et forfaits téléphonie d'entreprise donc). Avec ce type de mobile et les logiciels de synchronisation idoines (Nokia PC suite, MS Active Sync, ) la configuration réseau est paramétrée automatiquement lors de l'installation et à l'initialisation de la connexion. Ceci crée un réel problème de sécurité au sein des établissements : le contournement complet des architectures de filtrage (navigation, messagerie). Dès lors que la personne est administrateur local elle pourra naviguer librement, en déjouant les systèmes de filtrage et de traçabilité Internet. Les risques induits sont alors relativement évidents : viral en premier, puisque la seule barrière sera l'antivirus local du poste. Au delà du risque viral, c'est aussi le problème de la perte d'information, que ce soit parce qu'un logiciel malveillant non bloqué envoie des documents sur Internet à l'insu de l'utilisateur, ou parce qu'un problème de type viral amène à une perte pure et simple de données. Le fond du problème est certainement la soif de liberté de tout internaute. Au sein d'une entreprise ayant mis en place des contrôles d'accès à Internet (dans le cadre du décret d'application par exemple), en sus de certaines restrictions (contenus pornographiques, piratage, etc.), la tentation sera grande de contourner toutes ces barrières. Dans un tel contexte d'effervescence technologique, les cellules de veille sécurité se doivent donc se maintenir au goût du jour des tentations utilisateur, afin d'informer et d'alerter les MOA sécurité, ainsi que les DSI / RSSI en conséquence, en incluant les Télécom dans la boucle. Nomadisme et mobilité en établissement /40