Mémoire de fin d études : Sécurité des échanges de données Clients - Serveurs

Transcription

1 Mémoire de fin d études : Sécurité des échanges de données Clients - Serveurs Julien Bourianes Cyril Leclerc 5PPA AL Maître de Mémoire : M. DERRIDJ 5PPA AL 1

2 THÈME : Sécurité des échanges de données clients-serveurs Introduction : De nos jours, de nombreux sites Internet ou applications sont victimes de piratage. Des insuffisances de sécurité sont alors mises en évidence. L information se propage et les usagers se méfient par exemple de l utilisation des paiements en ligne. Les sociétés ont du mal à faire confiance aux SSII qui doivent user de méthodologie et d efficacité pour pouvoir convaincre leurs clients de leur développer leurs applications. Ces dernières doivent pouvoir assurer aux usagers une sécurité sans failles. Pour cela, les entreprises qui développent des applications ou des sites Internet ont chacune leur façon de procéder. Certaines pratiques sont communes ou innovantes, ce qui leur permet de pouvoir se démarquer des autres. Ainsi, il convient de se demander : Comment garantir la sécurité des échanges de données clients-serveurs, en particulier pour les échanges confidentiels (données sensibles, payement bancaire)? En effet, un internaute peut être amené à tout moment à utiliser un service sécurisé en ligne (pour payer des factures, faire des achats, effectuer des réservations, par exemples). Il est alors essentiel que ces services soient sécurisés. Cette étude portera sur la façon de détecter les failles d un site Internet ou d une application et comment les prévenir. Quelles sont les diverses technologies utilisées pour détecter ces failles? Quelles sont les diverses failles existantes? Quels sont les risques et les conséquences pour un site qui présente ces problèmes? Dans un premier temps, nous verrons les définitions de la sécurité informatique, du risque ainsi que d un échange client serveur. Dans un deuxième temps, les différentes façons d empêcher le piratage ainsi que la sécurisation de l existant. Dans un troisième temps, nous aborderons la procédure à suivre en cas de piratage, Nous survolerons également les droits en informatiques ainsi qu un cas concret d intrusion. 5PPA AL 2

3 1 La Sécurité informatique 1.1 Qu est-ce que la sécurité? : Définitions Sécurité (général) : Rendre une zone ou un dispositif plus sûr. Sécurité informatique : La sécurité informatique est l'ensemble des techniques qui assurent que les ressources du système d'information (matérielles ou logicielles) d'une organisation sont utilisées uniquement dans le cadre où il est prévu qu'elles le soient. Sécurisation : La sécurisation informatique est un processus, elle commence au moment de définir l architecture et se termine à la déconnexion du serveur du réseau. Elle se met en place avec des méthodes et procédures communes puis d autres spécifiques à chaque entreprise et à chaque application installée. Trois choses importantes pour la mise en place d une sécurisation : Analyse des risques. Politique de sécurité. Techniques de sécurisation. Ces trois parties seront étudiées pendant l analyse des risques. Cryptographie : Technique ayant pour but de chiffrer un message, c'est-à-dire de le rendre inintelligible aux yeux de ceux à qui il n'est pas destiné Objectifs de la sécurité informatique Le système d'information est défini par l'ensemble des données et ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il faut protéger. La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. 5PPA AL 3

4 La sécurité informatique est composée de cinq principaux objectifs : 1 L'intégrité Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle). 2 La confidentialité La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction. 3 La disponibilité L'objectif de la disponibilité est de garantir l'accès à un service ou à des ressources. 4 La non-répudiation La non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction. 5 L'authentification L'authentification consiste à assurer l'identité d'un utilisateur, garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées Nécessité d'une approche globale La sécurité d'un système informatique fait souvent l'objet d images. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants : La sensibilisation des utilisateurs aux problèmes de sécurité La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation. La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc. La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc. 5PPA AL 4

5 1.2 Qu est-ce que le risque? Comme cité précédemment «la sécurisation informatique est un processus, elle commence au moment de définir l architecture et se termine à la déconnexion du serveur du réseau.» Nous allons ainsi voir les 3 choses importantes pour la mise en place d une sécurisation : Définitions Risque : Le risque en termes de sécurité est généralement caractérisé par l'équation suivante : Menace : La menace représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (appelée parfois faille ou brèche) représente le niveau d'exposition face à la menace dans un contexte particulier. Contre-mesure : La contre-mesure est l'ensemble des actions mises en œuvre en prévention de la menace. Les contre-mesures à mettre en œuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions Analyse des risques : Plus aucune entreprise ne peut se passer d informatique, d'où la nécessité d'en assurer la sécurité, et de la protéger contre les risques liés à l'informatique. Or, comme on ne se protège efficacement que contre les risques qu'on connaît, il importe de mesurer ces risques, en fonction de la probabilité ou de la fréquence de leur apparition et de leurs effets possibles. Toutes les entreprises ont intérêt à évaluer, même grossièrement, les risques qu'elle encourt et les protections raisonnables à mettre en œuvre. Les risques et les techniques de sécurisation seront évalués en fonction de leurs coûts respectifs Politique de sécurité : Suite aux résultats de l'analyse de risques, la politique de sécurité : 5PPA AL 5

6 Définit le cadre d'utilisation des ressources du système d'information Identifie les techniques de sécurisation à mettre en œuvre dans les différents services de l'organisation Sensibilise les utilisateurs à la sécurité informatique. Il existe de nombreuses méthodes permettant de mettre au point une politique de sécurité. Voici une liste non exhaustive des principales méthodes : MARION (Méthodologie d'analyse de Risques Informatiques Orientée par Niveaux) MEHARI (MEthode Harmonisée d'analyse de RIsques) EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité La norme ISO Techniques de sécurisation : Elles assurent la disponibilité (les services et les informations doivent être accessibles aux personnes autorisées quand elles en ont besoin et dans les délais requis), l'intégrité (les services et les informations ne peuvent être modifiés que par les personnes autorisées), et la confidentialité (l'information est accessible uniquement à ceux qui y ont droit). 1.3 Qu est-ce que la sécurité des échanges de données clients-serveurs? 5PPA AL 6

7 1.3.1 Les risques serveurs La sécurité du serveur est aussi importante que la sécurité de réseaux vu que les serveurs contiennent souvent une grande partie des informations vitales d'une société. Si un serveur est compromis, tout son contenu peut devenir disponible et un pirate peut facilement le voler ou le manipuler. Les inclusions PHP Une spécificité de PHP est la possibilité d'inclure dynamiquement un script. Lorsque cette inclusion est basée sur une variable que l'utilisateur fourni, il faut veiller à ce qu'il ne puisse pas modifier le chemin de l'inclusion. Dans le cas contraire, un individu malintentionné pourrait inclure un script se trouvant sur un serveur distant et ainsi exécuter du code malveillant. Les injections SQL Imaginons la lecture d'un article dans une table. Pour le sélectionner, on utilisera : «SELECT * FROM article WHERE id='(variable id)'» Maintenant, imaginons que (variable id) soit égal à 4'; «DELETE FROM article WHERE id!='0» et qu'il ne soit pas du tout filtré. Voici ce qu'il pourrait arriver : «SELECT * FROM article WHERE id='4'; DELETE FROM article WHERE id!='0'» On voit que cette méthode est très puissante puisqu'en utilisant des noms génériques, on pourrait supprimer de nombreuses tables. On peut aussi prendre l'exemple d'une authentification : «SELECT * FROM membre WHERE login='(variable login)' AND password='(variable pass)'» Pour un identifiant existant, on pourrait passer ce test grâce à une simple injection : «SELECT * FROM membre WHERE login='mon_identifiant' AND password='x' OR login='mon_identifiant'» Pour résoudre ces problèmes, il faut être particulièrement attentif à ce que les données de l'utilisateur ne contiennent pas d'apostrophe ou de guillemets. Mais pas seulement! Il faut aussi vous assurer de toujours encapsuler les données susceptibles d'émaner de l'utilisateur avec des apostrophes ou des guillemets dans les clauses SQL. 5PPA AL 7

8 Les injections HTML/JavaScript Cette pratique plus connue sous le nom de Cross Site Scripting (XSS) consiste à afficher sur votre site du code HTML/JavaScript. Cela peut être une redirection JavaScript dans un message au sein d'un forum ou pire, la récupération de la variable de session. Les attaques XSRF Encore plus vicieuses, ces attaques exploitent la connexion d'un administrateur connecté au site pour lui faire faire des actions sur ce dernier (suppression de contenu, la plupart du temps). Le principe est simple, la personne connectée au site est invitée à se rendre sur une page web dans laquelle une image contient le lien direct permettant de supprimer du contenu sur le site. Comme cette dernière envoi son identifiant de session à cause du cookie placé à la connexion, le contenu est supprimé sans souci. S il s'agit d'un forum open-source, vous n'aurez aucune difficulté pour connaître cette fameuse URL. C'est pourquoi, il faut demander confirmation grâce à une seconde requête HTTP (bien-sûr, la page précédente aura délivré un "ticket" attestant de son passage sur cette dernière). De plus, il faut privilégier la méthode POST pour les modifications car l'affichage d'une image dans une page HTML ne peut pas la simuler. Les attaques WebShell Une attaque WebShell est une porte dérobée au sein d'un(e) application/serveur web: Accessible via une URL particulière à connaître Exécutant des actions sous l'identité du serveur Ouvrant une porte sur le réseau interne via HTTP(S) Permettant l'attaque par rebond d'un site tierce Quelques exemples de fonctionnalités: Exécution de commandes systèmes sur le serveur web Interrogation de bases de données Spam Relay Encapsulation de TCP dans http Les attaques ssh En 2005, les attaques en force Bute sur le ssh (Secure Shell) service est devenu assez populaire. Ces attaques sont basées sur une simple idée assez: l'utilisation d'un programme automatisé pour essayer, les uns après les autres, de nombreuses combinaisons de type ou fréquemment utilisés noms de compte et De même mot de passe fréquemment utilisés (par exemple: guest / guest). 5PPA AL 8

9 Les attaques ftp Il existe plusieurs attaques de types ftp. Dans ce mémoire, nous nous pencherons sur le «Bounce». Le FTP Bounce signifie Rebond FTP. C'est un cas de Spoofing d'adresse IP. Cette technique est ancienne et ne devrait plus être d'actualité. Cette technique est en accord avec les RFC, ce qui fait une cible potentielle de tous les serveurs FTP. Elle est basée sur une utilisation de la commande PORT du protocole FTP lorsque le serveur FTP est en mode actif. En effet, cette commande permet de se connecter à n'importe quel autre serveur distant, et à un port donné. Dans ce cas, il est possible que la sécurité du serveur cible soit compromis, dans le cas ou il effectue une vérification des adresses IP d'origine. En effet, l'adresse IP que le serveur cible verra sera l'adresse IP du serveur FTP, et non de l'adresse IP de l'attaquant. Les attaques dos Les attaques par ' Denial of Service ' (Déni de Service) ont pour but de perturber ou de stopper complètement le fonctionnement d'un site web, d'un réseau, d'un serveur, ou d'autres ressources. Les hackers et auteurs de virus utilisent différentes méthodes d'attaque de DoS. Les attaques de DoS ont pour but de charger les serveurs de requêtes continues jusqu'à ce que le serveur réponde de plus en plus lentement au point que les utilisateurs abandonnent ou bien que les serveurs tombent totalement Les risques clients Le navigateur, qui est à la base un outil grand public, et qui a été inventé pour consulter des sites sur Internet est en train de devenir un client d accès pour les applications métiers. Malheureusement, ce client n a jamais été étudié pour être sécurisé pour être utilisé dans un cadre d une entreprise. Cet outil va donc être utilisé par un collaborateur de l entreprise à la fois pour accéder à des informations stratégiques et sensibles, mais également la même personne va s en servir pour consulter sa page «Facebook» et ses applications, ou utiliser des composants faillibles (généralement des composants tiers, type lecteur PDF ou Flash) en consultant une page tierce. Le site web va contaminer le navigateur et rebondir ainsi dans l application métier. Honey pots Le but de ce leurre est de faire croire à l'intrus qu'il peut prendre le contrôle d'une véritable machine de production, ce qui va permettre d'observer les moyens de compromission des pirates, de se prémunir contre de nouvelles attaques et de laisser ainsi un temps supplémentaire de réaction à l administrateur. Une utilisation correcte d un honeypot repose essentiellement sur la résolution et la mise en parallèle de trois problématiques : la surveillance ; la collecte d'information ; l'analyse d'information. 5PPA AL 9

10 Trojans Un cheval de Troie n est pas un virus informatique, en ce sens qu'il ne se reproduit pas par lui-même, fonction essentielle pour qu un logiciel puisse être considéré comme un virus. Un cheval de Troie est conçu pour être reproduit lors de téléchargements ou de copies par des utilisateurs, attirés par les fonctionnalités du programme. Les chevaux de Troie servent très fréquemment à introduire une porte dérobée sur un ordinateur. L action nuisible à l utilisateur est alors le fait qu un pirate informatique peut à tout moment prendre à distance (par Internet) le contrôle de l ordinateur. Un cheval de Troie se compose de deux parties distinctes : la partie "client" et la partie "serveur". La partie client est le composant envoyé à la victime tandis que la partie serveur reste sur l'ordinateur du pirate. La partie client est envoyée par courriel et se présente sous la forme d'une amélioration d'un logiciel (ex : MSN, Adobe Photoshop, Safari...). Il peut aussi se présenter sous la forme d'un test de QI ou d'un jeu à but lucratif. Bref, les formes sont multiples. Attention, dites-vous bien que jamais une entreprise de micro-informatique ne proposera des améliorations par courriel. Le cheval de Troie se glisse donc dans l'ordinateur et s'installe dans l'éditeur de registre (pour aller le voir tapez "Regedit" dans Exécuter du menu Démarrer, vous comprendrez mieux pourquoi). Le fichier peut également s'infiltrer et s'installer dans l'autoexec de démarrage, afin d'être opérationnel dès le lancement de la machine. Là, il ouvre une porte dérobée (backdoor en anglais), sur le port choisi par le pirate de l ordinateur et établi une connexion avec l'ordinateur pirate. La partie serveur, elle, s'occupe d'envoyer les instructions à la partie client logée dans l'ordinateur de la victime. Le pirate peut alors contrôler la totalité du PC (il peut contrôler la souris, le clavier mais aussi imprimer, initialiser le disque dur, activer une webcam, etc.). Il existe 2 types de chevaux de Troie : Spyware ceux en connexion directe, de moins en moins utilisés, où c'est le pirate qui se connecte à la victime, mais où il faut que le pirate dispose de l'adresse IP de sa victime. ceux en "remote connection" où c'est l'ordinateur victime qui se connecte au pirate. Le pirate, lui, possède une liste où chacune de ses victimes connectées est affichée. Il peut ainsi diffuser son cheval de Troie à grande échelle. Un logiciel espion est un logiciel malveillant qui s'installe dans un ordinateur dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé, très souvent sans que l'utilisateur en ait connaissance. L'essor de ce type de logiciel est associé à celui d'internet qui lui sert de moyen de transmission de données. 5PPA AL 10

11 Bombe logique Une bombe logique est un morceau de code volontairement inséré dans un logiciel système qui sera mis hors service les fonctions malveillantes lorsque les conditions précisées sont remplies. Par exemple, un programmeur peut en cacher un morceau de code qui commence la suppression de fichiers (comme un salaire de base de données de déclenchement), devraient-ils jamais être résilié par la compagnie. Le logiciel qui est intrinsèquement malveillants, tels que les virus et les vers, contiennent souvent des bombes logiques qui exécutent un certain charge utile à une prédéfini le temps ou quand une autre condition est remplie. Cette technique peut être utilisée par un virus ou un ver à prendre de l'ampleur et la propagation avant d'être remarqué. De nombreux virus d'attaquer leurs systèmes d'accueil à des dates précises, telles que le vendredi 13 ou pour pâques. Les Chevaux de Troie qui activent certaines dates sont souvent appelés «bombes à retardement». Virus Un virus informatique est un logiciel malveillant conçu pour se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes appelés «hôtes». Il peut perturber plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, etc. Bootstrap Un Bootstrap est un petit programme d'amorçage qui permet d'en lancer un plus gros Phishing L'hameçonnage (ou Phishing, et parfois filoutage), est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance banque, administration, etc. afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale (sécurité de l'information). L'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques Les risques réseaux De mauvaises habitudes lors de la configuration des aspects suivants d'un réseau peuvent augmenter le risque d'attaques. Architectures fragiles : Un réseau mal configuré est un point d'entrée principal pour les utilisateurs non autorisés. Laisser un réseau local ouvert, basé sur la confiance, vulnérable à l'internet très peu sécurisé serait comme laisser sa porte entrouverte dans un 5PPA AL 11

12 quartier au taux de crime élevé pendant un certain temps, rien ne peut arriver, mais éventuellement quelqu'un profitera de la situation. Réseaux de diffusion : Les administrateurs système oublient souvent l'importance du matériel réseau dans leurs plans de sécurité. Du matériel simple, comme les hubs et les routeurs, dépend du principe de diffusion ou non commuté; en effet, lorsque un nœud transmet des données sur le réseau vers un nœud destination, le hub ou le routeur envoie une diffusion des paquets de données jusqu'a ce que le nœud destination reçoive et traite les données. Cette méthode est la plus vulnérable à l'usurpation d'adresses de protocole de résolution d'adresses (arp) ou de contrôle d'accès au média (MAC) par des intrus externes ainsi que par des utilisateurs non autorisés sur les nœuds locaux. Serveurs centralisés : Un autre piège possible dans les réseaux vient de l'utilisation de l'informatique centralisée. Une mesure courante et économique pour de nombreuses sociétés réside en la consolidation de tous les services en une seule machine puissante. Cela peut être pratique vu la facilité de gestion et la réduction de coûts comparé à des configurations à multiples serveurs. Cependant, un serveur centralisé introduit un seul point d'échec sur le réseau. Si le serveur central est compromis, il peut alors rendre le réseau complètement inutile ou pire, sujet à la manipulation ou au vol de données. Dans ces situations, un serveur central devient une porte ouverte, permettant l'accès sur le réseau entier. 5PPA AL 12

13 2 Mise en place de la sécurité : La mise en place de la sécurité s effectue en plusieurs étapes, certaines obligatoires, d autres qui dépendent du niveau de criticité des données impliquées. 2.1 Configuration de base La configuration de base est un élément important de la sécurisation d une application, en effet c est cette étape qui déterminera la fiabilité du système Sécurisation d un serveur Cette étape est cruciale et obligatoire pour tout type d application ou de site internet même comportant des données non-sensibles, il doit pouvoir garantir l intégrité du serveur et de ses différents accès. Plusieurs types de sécurisation seront expliqués et mis en évidence. Nous parlerons des plus importants en essayant de couvrir toutes les techniques possibles, car il existe une multitude d outils, payants ou non, réputés ou non. Définition : Protocole : méthodologie de communication avec un système informatique. Ce dernier peut-être comparé aux règles de communication pour les humains. En effet plusieurs langues sont disponibles pour communiquer, ensuite pour chaque langue des coutumes ou règles sont alors utilisées. Les anglais par exemple disent leur nom en décrochant le combiné téléphonique, les français diront «allo». Les anglais diront alors ensuite bonjour, alors que les français demanderont s ils parlent bien à la personne souhaitée. Les gens peuvent aussi communiquer par voie orale ou par courrier. Donc le protocole FTP ou bien SSH ou encor http sont donc des manières et méthodologies différentes pour communiquer. 1 Le choix du système d exploitation La sécurisation du serveur commence dès le choix du système d exploitation. Tout le monde sait que les systèmes Windows sont ceux qui sont le plus touchés par les différents type de virus (cf les risques serveurs) par rapport à un autre système, Linux par exemple. Il conviendra alors de choisir ce type de système d exploitation si la configuration de l application le permet (pas de programmation en.net ou liés à Microsoft). Une bonne analyse est alors nécessaire avant toute installation et certaines règles de bon sens sont à appliquer. 2 Le choix des logiciels ou packages installés La sécurisation du serveur passe aussi par l installation des logiciels (Windows) ou des packages (Linux). Il faut que ce soit les versions les plus récentes (proposent des plateformes de support et de fixation de bugs), ainsi ils présentent le moins de 5PPA AL 13

14 risque et de failles que les anciennes versions (il faut bien sur vérifier les compatibilités entre les différentes versions (cf. mise à jour). 3 Du bon usage de son serveur 90 % des problèmes informatiques relèvent de l utilisateur. C est pourquoi, avant même de penser à sécuriser un serveur, il faut garder en mémoire quelques règles assez logiques : Interdire les utilisateurs sans mot de passe par exemple. Toujours choisir de bons mots de passe : 8 caractères minimum, pas un mot qui se trouve dans le dictionnaire, si possible des chiffres, des majuscules, des symboles... au besoin, un outil comme pwgen vous en génèrera automatiquement des bons (apt-get install pwgen) ; 4 Mise à jour du système Maintenir son système à jour (apt-get update et apt-get upgrade). Il est impératif de garder à jour le système pour la même raison expliquées dans l installation des packages. 5 Connexion sécurisée pour administrer le serveur Toujours utiliser SSH pour l accès à distance (et non TELNET ou des services graphiques, sauf s ils sont en tunnel à travers SSH). 6 Filtrer le trafic via le firewall Le firewall (pare-feu) est l élément indispensable pour sécuriser son serveur. Il va en effet filtrer tout le trafic en n autorisant que les échanges permis par l administrateur (personne qui s occupe de mettre en place la sécurité). Sans firewall correctement réglé, tous les trafics sont plus ou moins permis (c est-à-dire qu un attaquant puisse faire ce qu il veut chez vous) et ce genre de faille est détectable par un simple scan de ports. On peut comparer l utilisation du firewall avec la vie de tous les jours. Une maison avec toutes les portes ouvertes est l égale d un ordinateur dont tous les ports seraient ouverts. En fermant les portes on évite tous les curieux qui se demanderaient «qui a-t-il dans cette maison?et voudraient rentrer pour voir». Le noyau Linux (système d exploitation libre et open source) offre déjà un pare-feu à l utilisateur, qu il est possible de configurer via le logiciel (ou ligne de commande). On pourra donc aisément utiliser ce dernier pour être le système d exploitation du serveur. Technique : Nous allons maintenant détailler le fonctionnement d un firewall qui est relativement simple. Un firewall analyse tout le trafic et vérifie si chaque paquet (information) échangé respecte bien ses règles (critères de filtrage). Donc, il suffit de spécifier de bonnes règles pour interdire tout trafic superflu. 5PPA AL 14

15 Les critères peuvent être divers (filtrer les ports, les protocoles, les adresses IP, etc.). De base, il faut spécifier des règles sur les ports. Bien entendu, il faut être le plus strict possible quant au choix des règles ; c est pourquoi, par défaut, tout firewall se règle en premier lieu en bloquant tout, absolument tout. Ensuite, nous allons «ouvrir» (autoriser le trafic) certains ports que nous voulons utiliser (par exemple pour un serveur web, nous allons ouvrir le port 80 afin que le site web soit accessible). Par défaut un site web est accessible sur les ports 80 ou 8080 (ce sont ces ports qu utilisent les services web qui permettent la mise en ligne de l application). Pour plus de souplesse, nous allons écrire nos règles sous forme de script BASH. Petite mesure de prudence si vous êtes logué sur votre machine à distance (SSH), soyez bien sûr de ne pas vous bloquer l accès ou - le cas échéant - de pouvoir rebooter la machine. Sinon, récupérer le serveur sera compliqué. 7 Détection d intrusions Le firewall va bloquer toutes tentatives de connexions sur les ports fermés. Mais il reste à sécuriser les ports ouverts (en plus des règles de filtrage). Pour les contrôler, il est conseiller utiliser d autres outils, appelés IDS (Intrusion Détection System) et IPS (Intrusion Prévention System). Ces deux catégories de logiciels vont - comme leur nom l indique - surveiller toute tentative d intrusion sur le serveur. Portsentry (scan de ports) Cet utilitaire permet de bloquer en temps réel la plupart des scans de port connus (même très discrets et échappant aux règles de filtrage du firewall basiques). Je rappelle au passage que scanner les ports signifie tester tous les ports d une machine afin de déterminer ceux qui sont ouverts (les portes d entrées en gros). Cependant, il ne faut pas paniquer si votre serveur est la cible d un simple scan de port, cela sera monnaie courante, et si vous êtes bien protégé, le pirate passera sa route. Fail2ban Les ports ouverts sur la machine sont à priori sans grande protection, et sujet à des attaques simples telles que la tentative de connexion par brute-force ou par dictionnaire (par exemple, tester toutes les combinaisons de mots de passe pour se loguer en ssh), le déni de services (surcharger le serveur de requêtes) ou - plus bêtement - la recherche d utilisateurs sans mots de passe... Si votre machine est infiltrée aussi facilement, l attaquant sera vraiment content. Fail2ban est un petit utilitaire qui se base sur les logs de la machine pour chercher des actions suspectes répétées (par exemple, des erreurs de mots de passe) dans un laps de temps donné. S il en trouve, il bannira l IP de l attaquant via iptables. Ce type de logiciel est indispensable, car, bien que léger, il offre une bonne protection contre les attaques basiques indiquées ci-dessus. Snort (détection d intrusions) 5PPA AL 15

16 Le problème quand on commence à sécuriser est de savoir s arrêter à un moment donné. Snort est un outil très puissant, pouvant en fait détecter la plupart des attaques qui échapperaient à un utilitaire comme fail2ban. Bien entendu, il ne servira pas dans 90 % des cas et comme ce n est qu un outil de détection, ce sera à vous de rendre les mesures nécessaires s il détecte une intrusion. Enfin, comme il analyse le trafic en temps réel, cela ralentit forcément un peu les flux. L installer n est donc pas indispensable, cela dépend du degré de sécurité recherché! Rkhunter (rootkit et backdoors) Dernier volet de cette section intrusion, les backdoors. Si par malheur un attaquant arrive à prendre possession de votre machine, il y a fort à parier qu il y laisse une backdoor (porte dérobée) qui lui permettrait d en reprendre le contrôle plus tard, ainsi qu un rootkit pour la dissimuler : l attaquant maintient ainsi un accès frauduleux à votre machine. Rkhunter est un utilitaire qui est chargé de détecter d éventuels rootkits sur votre serveur. Il est relativement léger (s exécute une fois par jour par défaut) donc on aurait tort de ne pas l utiliser. 8 Configurer les logiciels Il peut aussi être bon d améliorer un peu la sécurité des logiciels (services/packages) installés sur la machine, car ils seront en première ligne pour traiter les paquets autorisés. En premier lieu, il faut regarder du côté de SSH (protocole SSH), c est un accès direct au serveur. Il faut autoriser seulement les accès à des utilisateurs sans droits spécifiques, une fois connecter, changer la session pour la session administrateur (PermitRootLogin). On pourra aussi changer le port de connexion. Le port par défaut est Tous les pirates le savent. Changer le port force à effectuer un scan (ou équivalent) avant de pouvoir attaquer (attention de bien changer le port dans le firewall). Faire de même avec la connexion ftp (port 21). La connexion ftp sert à télécharger ou déposer des fichiers sur le serveur en utilisant le protocole FTP. Configuration serveur Web La configuration de l environnement web est une des étapes les plus cruciales, l accès http est ouvert à tous, et il n y a donc pas de restriction d accès. Il faut donc être rigoureux dans l installation et le paramétrage de celui-ci Serveur Apache (le plus couramment utilisé) Server token : Permet de ne pas renvoyer l environnement du serveur lors d un envoie de page inaccessible ou autre de type 404 ou 500. En effet il suffit de taper une url inexistante dans un domaine prédéfini pour avoir une réponse du serveur pour nous informer que la page est inexistante lors du renvoi de cette page si le serveur est mal configuré on pourra voir la distribution et la version du serveur web utilisé. Les pirates peuvent se servir de ces informations pour attaquer ledit serveur. 5PPA AL 16

17 FOLLOWLINKS : cette option permet de déterminer si on peut remonter dans une arborescence. HTACCESS: restriction d accès au fichiers ou répertoire sur le serveur Pour la plupart des logiciels de base, il existe quelques recommandations de prudence : MySQL FTP Mail interdire les accès sans mot de passe (on peut exécuter l utilitaire /usr/bin/mysql_secure_installation fourni avec mysql-server) ne surtout pas créer de FTP anonymes utiliser un anti-spam (spamassassin par exemple) et - si possible - utiliser les connexions sécurisées (SSL ou TLS) offertes par tout serveur de mail qui se respecte Paramétrage de PHP (php.ini) Ce fichier est le fichier de configuration de la version de PHP installée sur le serveur utilisée par apache il faut donc aussi sécuriser ce fichier qui peut être une extension de httpd.conf Mettre la variable register_globals en off Quand register_globals est à on, les variables EGPCS (Environnement, GET, POST, Cookie, Server) sont enregistrées comme des variables globales. Ainsi, une URL contenant une variable, par exemple crée une variable $var sans besoin d'autre code. De manière général, il faut éviter au maximum les variables globales et utiliser des flots de données explicites. Limiter l'accès aux répertoires Le safe mode est le mode de sécurité de PHP. Une fois activé, il empêche un script d'accéder à des fichiers situés en dehors du dossier où se trouve le site. La vérification est faite en vérifiant le nom du propriétaire du fichier et celui du script. Souvent trop restrictive, une vérification sur le nom du groupe peut suffire, en utilisant safe_mod_gid. La variable Open_basedir limite les manipulations aux fichiers situés dans les dossiers spécifiés. Il est également possible de désactiver individuellement des fonctions avec disable_functions. Disable_classes fonctionne de la même manière et permet de désactiver individuellement des classes. display_error=off et log_errors=on Désactiver l'affichage des erreurs pour éviter d'afficher des informations aux utilisateurs en mettant la variable display_error en off. Il vaut mieux les inscrire dans un journal d'erreurs avec log_errors=on. magic_quotes_gpc=on Ce paramètre, lorsqu'il est mis sur on, ajoute le caractère "\" devant les apostrophes, les guillemets et le caractère nul. Il empêche ainsi le système d'interpréter une requête qu'un utilisateur malintentionné aurait saisi dans un formulaire HTML. 5PPA AL 17

18 Cette variable tend aujourd'hui à ne plus être utilisée, au profit de la fonction addslashes() pour les requêtes SQL. Changer le répertoire temporaire des identifiants de session Les identifiants de session sont enregistrés dans un répertoire temporaire. Par défaut, le paramètre session.save_path vaut /tmp est accessible en lecture à tous. Il est donc plus sécurisé d'indiquer le chemin d'un répertoire situé ailleurs sur le système, et dont les droits auront été limités. De plus, il existe une fonction en PHP pour crypter les mots de passe enregistrés. Cette modification peut aussi se faire à partir du fichier de configuration d'apache, à l'aide de la variable php_value session.save_path. Activer session.use_only_cookies Cette variable indique si les identifiants de session doivent être utilisés seulement avec des cookies. Par défaut, cette variable est à 0, elle est désactivée et autorise d'autres modes de lecture, par exemple avec les éléments GET ou POST des requêtes HTTP. En mettant session.use_only_cookies à 1, le système lit les informations d'identifiant uniquement à partir des cookies Sécurisation du client Les utilisateurs lambda doivent aussi être sécurisés, car ils sont susceptibles de se connecter sur des serveurs qui eux-mêmes sont la proie des piratages, et avec une réaction en chaîne, ils peuvent être infectés! 1 L antivirus La seule méthode pour détecter et éliminer les virus est l'utilisation d'un anti-virus. Dans la grosse majorité, c'est un logiciel installé sur chaque PC (station et serveur) qui scanne (analyse) les fichiers transférés à fait. Le logiciel lit les codes et tente de reconnaître la signature des virus qu'il connaît. Définitions : La signature est le code (la programmation) du virus. Comme le nombre de virus devient de plus en plus important et qu'éliminer de la liste les "anciens virus" serait dangereux, le travail de comparaison entre sa liste de virus et le fichier analysé devient de plus en plus lourd. C'est néanmoins la seule solution. 5PPA AL 18

19 Les virus deviennent "mutants". Pour évitez cette détection, les virus changent de signature en modifiant leur code de programmation en même temps que l'infection. Certains virus actuels se coupent en plusieurs morceaux pour se reconstruire à la moindre occasion. Encore une difficulté de plus pour les anti-virus. La base de données. Pour détecter les nouveau virus, les logiciels anti-virus mettent à jour leur base de données régulièrement. Sans cette mise à jour, l'utilisation de ces programmes est pratiquement inutile. Actuellement, la majorité des mises à jour se font automatiquement lorsque vous connectez votre PC sur INTERNET. Un programme détecte la connexion et se branche automatiquement sur le serveur pour rechercher la dernière mise à jour possible. Trois conditions doivent être rempliées pour cela. Problème : le temps de connexion doit être suffisamment long pour la détection de connexion et le chargement. les délais entre les disponibilités des mises à jour est de 1 semaine environ. l'abonnement doit être à jour. L'abonnement à la mise à jour dure généralement 1 an. Passé ce délai, vous devez soit renouveler votre abonnement via INTERNET (avec payement par carte de crédit), soit acheter la nouvelle version de l'anti-virus qui reconduit votre abonnement d'un an. Le gros problème de cette méthode de protection est qu elle ne peut pas détecter un virus en train de fonctionner, ce qui rend plus difficile la détection de ce dernier. 2 Navigateurs Les navigateurs sont l interface utilisée pour se connecter de façon graphique aux sites internet, ils utilisent donc un protocole (http cf définition) comme tout autre mode en ligne de commande (ssh avec putty).ils ont aussi des failles sécuritaires et doivent être maintenus a jour également. De nos jours des internautes utilisant internet explorer 5 sont plus susceptibles d avoir des problèmes que des internautes à jour avec leurs versions de navigateurs 3 Mise à jours Avoir les bonnes versions des navigateurs ou logicielles n est pas suffisant, il faut les maintenir à jour périodiquement et télécharger les fixations de bug dès quelles sont disponibles. Il en va de même pour les mises à jour sécurité du système d exploitation. 4 Firewall Défini plus haut (cf. mise en place sécurité serveur) il existe 2 types de firewall : Matériel Software 5PPA AL 19

20 Pour des postes clients types internautes le firewall matériel peut-être votre modem (ou routeur, configuration de règles de filtrage) ou/et un élément supplémentaire entre votre poste et votre modem. Un firewall software va inspecter tous les programmes démarrés qui tentent de se connecter sur INTERNET, et dans le cas général par un port (une sorte de porte spécifique à chaque programme) sur tous réseaux INTERNET. Dans la majorité des cas, ces firewalls vont se configurer automatiquement pour la majorité des programmes. Première erreur. Par exemple, Norton Personnal Firewall va accepter toute les connexions sur le site de Symantec. Jusque là, rien de grave pour les mises à jours automatiques, mais rien ne garantit que des renseignements plus personnels ne sont pas communiqués. De même, le firewall va accepter toutes les connexions vers les mises à jour de Microsoft. Et là, les programmes de Microsoft font également de l'espionnage manifeste. Un exemple de ce type d application est fournit avec les versions de Windows : parefeu en français. Il se configure aisément et est intuitif. On peut y avoir accès depuis le panneau de configuration dans la barre de menu «démarrer» : On peut activer/désactiver le firewall et gérer des exceptions. Par défaut à chaque connexion entrante ou sortante, le firewall demande l autorisation à l utilisateur. C est une bonne façon de filtrer les connexions et apprendre un peu plus sur les interactions de notre ordinateur avec le monde du web. 5 Utilitaires de nettoyage. Des applications existent pour nettoyer l ordinateur. Ainsi des applications du type CCleaner permettent de supprimer tous les fichiers temporaires, les cookies, les historiques internet et de mot de passe les liens vers applications ou fichiers inexistants. Il existe aussi de logiciels (ex :RegCure) pour nettoyer la base des registre (base de donnée Windows contenant toutes les configurations du pc). 5PPA AL 20

21 6 Divers En suppléments tous une série d applications sont apparues permettant de faire des scanner des pc et de faire un rapport de toutes intrusions et de les supprimés. Ces applications sont souvent spécialisées dans seul type d infection : Anti addaware Anti Malware Anti SpyBot Anti-hoax Anti-phishing Anti-cheval de Troie Toutes ces définitions sont définies dans les risqué clients. Pour ce type d intrusions, le blocage passe par un firewall Sécurisation de l application Un environnement sécurisé est une bonne chose, mais si l application qui est disponible sur le serveur comporte des failles énormes, cette étape est alors inutile. Ainsi il est inutile d avoir un coffre fort hyper sophistiqué si on le laisse ouvert, ou qu on laisse le code écrit non loin de là. Il existe plusieurs méthode et outils différents qui permettent de réaliser ce que l on souhaite. Une bonne formation des programmateurs est essentielle ils doivent être formé sur les différentes manières de procéder et les différentes attaques possibles d éviter en exécutant quelques vérifications (cf les risques serveurs). Renforcer son code avec la programmation défensive La programmation défensive est un état d'esprit qui consiste à écrire son code de façon à s'attendre au pire. Le fait est que le programmeur peut insérer des fautes non détectées ou des inconsistances. Pour s'en prémunir, il faut prévoir un traitement pour les fautes : soit en ajoutant du code vérifiant l'état du système, soit par un traitement d'erreur classique. 1) L'injection de données Pour éviter que des données non voulues soient injectées dans le code (requêtes SQL, commandes Shell, cross site Scripting), il faut vérifier chaque donnée avant de les passer en paramètres à des fonctions du système. Il s'agit de tester si les variables sont bien du type attendu. Il est aussi conseillé d'initialiser chaque variable. De plus pour que l on ne puisse modifier les requêtes SQL, faire des requêtes préparées, avec paramètres obligatoires. 2) Journaliser toutes les erreurs 5PPA AL 21

22 Le journal d'erreur est un bon indicateur pour repérer les attaques. Pour enregistrer toutes les erreurs d'exécution, ajouter la ligne <?php error_reporting(e_all);?> au début de chaque page de code. Prendre garde à l'environnement réseau et d'hébergement Sur le plan de la plate-forme d'hébergement, il est utile de réaliser certaines actions pour se prémunir des attaques. Pratique : Tester sa configuration serveur avec PHPSecInfo Pratique : PHP 5 : créer une connexion sécurisée vers MySQL Des outils comme les reverse proxy permettent d'écarter certaines requêtes faites sur le site (par exemple une requête demandant un chemin qui n'existe pas). Utiliser un pare-feu pour bloquer les connexions sortantes depuis le serveur Web, afin d'éviter l'inclusion de fichiers PHP distants (PHP include). Attention aux paramètres de sécurité des serveurs mutualisés. Pour une application manipulant des données sensibles nécessitant un haut niveau de sécurité, un serveur dédié sera plus adapté car la configuration sera totalement personnalisable Sécurisé les échanges (certificats, serveur radius.) 1 DMZ : DeMitilarized Zone" Est une sorte de zone tampon d'un intranet sécurisé de manière intermédiaire entre l'intérieur et l'extérieur. Ainsi des serveurs d entreprise seront protégés par un mur avec internet et par un autre mur avec les postes clients. Ces «murs» filtreront les paquets et autoriseront ou non les connexions vers les serveurs dans un sens de circulation comme dans l autre. La dmz est comparable à la douane dans la vie de tous les jours. 5PPA AL 22

23 Autre exemple de configuration(le plus courant) : Niveau des échanges : TLS, VPN, SSL, CERTIFICATS, RADIUSer 5PPA AL 23

24 2 Certificats SSL (Secure Sockets Layer) Procédé de sécurisation des transactions effectuées via Internet. Le standard SSL a été mis au point par Netscape en collaboration avec d autres sociétés. Il repose sur un procédé de cryptographie par clef publique afin de garantir la sécurité de la transmission de données sur internet. Son principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines (un client et un serveur) après une étape d authentification. Le système SSL est indépendant du protocole utilisé, ce qui signifie qu'il peut aussi bien sécuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, ou encor protocole de messagerie. En effet, SSL agit telle une couche supplémentaire, permettant d'assurer la sécurité des données, située entre la couche application et la couche transport (protocole TCP par exemple). De cette manière, SSL est transparent pour l utilisateur. Par exemple un utilisateur utilisant un navigateur internet pour se connecter à un site de commerce électronique sécurisé par SSL enverra des données chiffrées sans aucune manipulation nécessaire de sa part. La quasi intégralité des navigateurs supporte désormais le protocole SSL. Netscape Navigator affiche par exemple un cadenas verrouillé pour indiquer la connexion à un site sécurisé par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion à un site sécurisé par SSL. sous Internet Explorer sous Mozilla Un serveur web sécurisé par SSL possède une URL commençant par où le "s" signifie bien évidemment secured (sécurisé). Au milieu de l'année 2001, le brevet de SSL appartenant jusqu'alors à Netscape a été racheté par l'ietf (Internet Engineering Task Force) et a été rebaptisé pour l'occasion TLS (Transport Layer Security). Fonctionnement de SSL 2.0 et 3.0 : La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le modèle suivant : Dans un premier temps, le client se connecte au site commercial sécurisé par SSL et lui demande de s'authentifier. Le serveur a la réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du cryptosystème le plus haut dans la liste avec lequel il est compatible 5PPA AL 24

25 Le client vérifie la validité du certificat (donc l'authenticité du marchand), puis crée une clé secrète aléatoire (plus exactement un bloc aléatoire), chiffre cette clé à l'aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session). Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d'une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l'aide de clé de session, garantissant l'intégrité et la confidentialité des données échangées. 3 Serveur Radius : Le protocole RADIUS (Remote Authentication Dial-In User Service), qui a été mis au point par Livingston, est un protocole d'authentification standard, défini par un certain nombre de RFC (request for comment). Le processus de fonctionnement du protocole RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau. Il s'agit du protocole le plus utilisé par les fournisseurs d'accès à internet car il propose des fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients. Ce protocole repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant l'intermédiaire entre le client final et le serveur. L'ensemble des échanges entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé. Le serveur radius est beaucoup utilisé pour la distribution de certificat par les hotspots. Exemple d utilisation radius : 5PPA AL 25

26 4 VPN : Virtual private network Est une interconnexion de tunnels entre 2 réseaux ou 2 ordinateurs. Il existe 2 types d infrastructure VPN. Type public : internet Type privé : Mis en place par des opérateurs en vue d offrir des services VPN aux entreprises. Ils sont apparus avec les X25 (protocole de communication normalisé par commutation de paquets qui offre de nombreux services), maintenant MPLS. Le VPN permet d avoir une liaison sécurisée peu chère, à part la mise en place des équipements terminaux. En contrepartie, il ne permet pas d'assurer complètement une qualité de service comparable à une ligne louée car le réseau physique est public, il n est donc pas garanti. Exemple de connexion sans accès VPN : 5PPA AL 26

27 Avec accès VPN : 5 Crypto-Tunnel Client-serveur Permet d utiliser de manière sécurisée toutes les applications courantes : Mail, Internet, Communication audio, Vidéo conférence ou n importe qu elle application métier spécifique. Le système sécurise vos échanges d informations sensibles quelqu un soit le type. Avec un protocole d échange de clés basé sur la technologie des courbes elliptiques, Crypto-Tunnel Clients-Serveur renforce encore plus le processus d authentification. Le système de chiffrement utilisé est quant à lui laissé au choix du client : l utilisation de l algorithme standard AES avec une sécurité de 128 ou 256 bits ou l utilisation de l algorithme de chiffrement propriétaire de CryptoWALL. 6 Lignes spécialisées (LS) Ce sont des lignes louées qui permettent la transaction à haut ou petit débit, point à point ou multi (ligne transfix) 5PPA AL 27

28 Plusieurs débit sont disponible ainsi que des abonnements au temps ou au débit ou même continuel, beaucoup utilisé par les banques ou les entreprises qui ont besoin de faire des transferts sécurisés via internet. Schéma représentant plusieurs type de sécurisations simultanées : Cette architecture reprend la technique de la DMZ (usant de firewall), du certificat ssl pour les internautes et un tunnel VPN pour l administrateur des serveurs 2.2 Administration Maintenance 1 Tester la sureté de son serveur Pour tester la sécurité de son serveur, le plus simple est de se mettre dans la peau d un pirate lambda. Sans aller jusque-là, il existe néanmoins quelques outils intéressants pour rapidement déterminer s il existe une faille conséquente ou non. Pour parler de tous les cas nous allons exécuter une procédure qui permettra de détecter le niveau de sécurité ainsi que les potentiels trous de sécurité existants. 5PPA AL 28

29 Test de sécurité intrusion Le test de sécurité intrusion est une procédure très réaliste car les outils qui sont utilisés et les méthodologies de test sont identiques à celles qu'un pirate pourrait mettre en œuvre sur le terrain. Les résultats du test effectué souligneront les points faibles qu un pirate mettrait à profit pour s introduire sur le serveur. Ce test permettra de remarquer des trous passés inaperçu. Test d'intrusion Externe Procédure visant à mettre en évidence les failles de sécurité exploitables pour s'infiltrer dans le réseau. Test d'intrusion Interne Procédure visant à mettre en évidence les failles de sécurité exploitables par 'un employé ou un concurrent mal intentionné. Test de sécurité intrusion définition Mettre à l'épreuve, dans des conditions presque réelles, un environnement. Son objectif est de mesurer la résistance de ce dernier. Plusieurs formules existent (méthodologies). Test d'intrusion d'application Procédure visant à mettre en évidence les failles de sécurité exploitables d un extranet, une application online ou un site internet. TSE - Méthodologie Tester la sécurité des éléments actifs suivants : Routeurs / Modem Serveurs DMZ (Web, DNS, mail...) Pare Feu / Proxy... Méthodes existantes pour ces tests : Attaques par Overflows Usurpation d'identité et/ou de droits Injection d'un cheval de Troie dans le LAN Recherche d'authentifiants faibles Attaque par dictionnaire/rainbow tables (structure de données créée en 2003 par Philippe Oechslin pour trouver un mot de passe à partir de son empreinte) Anti DNS pinning & DNS Poisonning (rediriger vers des sites comportants des virus) 5PPA AL 29

30 Objectifs : Spoofing / Sniffing / MTM (man in the middle, Modification des flux à la volée, injection DLL) Ingénierie sociale 1. Cartographier le réseau & outrepasser ses sécurités 2. Prendre position dans le LAN 3. Atteindre et filtrer des données sensibles 4. Prendre les droits administrateur dans le SI Si des services Web sont trouvés, des tests d'intrusion complémentaires seront aussi menés Test de forge d'url/uri Test de forge d'url/uri Cross Site Scripting / XSS / XSRF Spoofing HTTP / vol de cookies HTTP Smuggling TSE - Schéma : 5PPA AL 30

31 Test d'intrusion Interne (TSI) Le test d'intrusion interne a pour va vérifier si un employé mal intentionné ou une taupe placée dans le réseau pourrait espionner ou filtrer des informations sensibles depuis le réseau. Il peut aussi mettre en évidence l'exposition du réseau aux attaques automatisé comme par exemple les Virus, Vers et autres Malwares. TSI : Test d'intrusion Interne Vérifier si son Système d information résisterait à une attaque interne et combien de temps. Savoir si une personne mal intentionnée verrait ses actions tracées, permettant ainsi un recours juridique. Définir les correctifs à apporter à la sécurité du SI TSI - Méthodes de travail La sécurité des composants suivants peuvent être testés: Serveurs du réseau (intranet, AS400, CITRIX, Mail...) Serveurs DMZ (Web, DNS, mail...) Stations de travail & portables employés Avec les procédures qui suivent : Objectifs Attaques réseau (sniffing / ARP spoofing) Usurpation d'identité et/ou de droits Recherche d'authentifiant faibles Recherche de flux non cryptés Anti DNS pinning & DNS Poisonning Spoofing / Sniffing / MTM (man in the middle) Test de forge d'url/uri Attaque SNMP Cross Site Scripting / XSS / XSRF / injection SQL Spoofing HTTP / vol de cookies HTTP Response Splitting ( attaques consistent à injecter des données malicieuses dans les en-têtes des réponses http) HTTP Smuggling (requêtes dissecquées, non les réponses) Les objectifs sont les même que pour le TSE 5PPA AL 31

32 Test d'intrusion Applicatif (TSA) Le test d'intrusion applicatif sert à détecter les failles dans des applications lourdes ou légères. Les sites marchands, mais aussi les intranets ou ERP. Il se déroule : en «Whitebox», avec les sources en «Blackbox» c'est-à-dire sans aucun accès au programme originel mais seulement à l'application. TSA : Test d'intrusion Applicatif Vérifier les vulnérabilités des applications «homebrew» ou «maison» Savoir s'il est possible de détourner la logique applicative, les authentifications ou les paiements Vérifier la possibilité de fuite d'informations ou de rebonds vers le LAN TSA - Méthodes de travail Les éléments suivants seront testés: DNS / Proxy / RProxy Serveurs Web et/ou applicatifs Serveurs de bases de données Serveur Business Intelligence Firewall / dispositifs de sécurité 5PPA AL 32

33 Avec les procédures qui suivent : Test de forge d'url/uri, XSS, XSRF, CSRF Injection SQL Session Hijacking Spoofing & Smuggling Overflows Attaques d'identifiants (login/pass) Attaque par rejeu & anniversaire Anti DNS pinning et DNS Poisoning Vulnérabilité Ajax Vulnérabilité de logique et de contrôle Objectifs : Outrepasser les droits ou la logique Trouver les failles de l'application Obtenir des transactions normalement impossibles Atteindre des données sensibles Rebondir vers d'autres serveurs ou zones (LAN/DMZ/...) Méthodologie indépendante Un Système d exploitation Linux nommé «Blacktrack 3» permet de tester la sécurité du réseau ou des serveurs : 5PPA AL 33

34 Ce système intègre plusieurs plus de 300 outils orientés sécurité et boot très facilement depuis une clef USB, un CD ou même une image VMware (virtualisation de pc ou serveurs). La visite d e site internet d actualité sur la sécurité ( par exemple) permet de s informer en quelques clicks des derniers news en France ou dans le monde. 2.3 Rapports Surveillance 1 Surveillance des échanges Scanner de port Il va tenter d ouvrir des connexions sur un grand nombre de ports de votre machine afin de déterminer s ils sont ouverts ou non. Sniffer de trame Intercepte les paquets navigants sur le réseau et les décrypte (on peut ainsi voir les mots de passe par exemple). Un exemple est Ethereal 2 Surveillance des accès Surveiller les logs est important, car ils reflètent la «vie» de votre serveur. Les logs les plus intéressants sont notamment sous linux (nous donnerons le chemin complet): /var/log/auth.log : contient toutes les tentatives d accès au serveur. 5PPA AL 34

35 /var/log/apache2 (access.log, error.log) : logs d accès au site internet /var/log/ssh : logs d accès SSH (accès ligne de commande sécurisée du serveur). /var/log/mysql : logs d accès à la base de données. /var/log/message et /var/log/syslog : contient un peu de tout (erreurs systèmes, bugs, informations, etc.) ; /var/log/fail2ban : log d alerte de fail2ban.. /var/log/snort/alert : logs d alertes de Snort ; /var/log/rkhunter : rapports quotidiens de Rkhunter. 3 Utilitaires de surveillance Logwatch Il est aussi possible d utiliser des utilitaires qui vous simplifient un peu ce travail de lecture des logs. Logwatch notamment permet de résumer plusieurs logs afin de ne vous retourner que des anomalies si possibles. Cela évite un long et fastidieux travail de recherche. Il peut aussi être intéressant de suivre l état du réseau et du système (monitoring) afin de détecter par exemple une brusque montée en charge, synonyme de problèmes. Applications de monitoring (Nagios, zabbix ) : Ces logiciels permettent de surveiller et d alerter pour tout type d actions (état des services comme apache, ssh ). Un mail, sms ou autre moyen de communication est utilisé pour révenir l administrateur qu un problème plus ou moins critique est survenu. Scanner de vulnérabilité Là, le but est de chercher en général les failles de votre machine. Et il convient de les régler toutes si possible, car l attaquant peut les trouver aussi bien que vous. 4 Cout de la surveillance La surveillance du réseau ou du serveur à un certain coût que certaines entreprises ne peuvent se permettre de dépenser. Ainsi, il conviendra de faire une bonne analyse des besoins et de la criticité des données qui seront sur le serveur. Utilisation par les entreprise de la surveillance (entreprise de sécurité surveille votre réseau, le crack et vous joint après pour proposer ces services. 5PPA AL 35

36 5 Outils de surveillance Ethereal nmap Loghunter Zabbix, nagios Surveiller un site est très important, il peut garantir l intégrité du serveur, la réactivité de l administrateur et un gage de bon fonctionnement Veille La veille pour ceux qui peuvent se le permettre est une bonne initiative pour parer les plus de nouvelles failles possibles. En effet on peut découvrir de nouveaux outils, être au courant avant les autres des vulnérabilités, et donc des méthodes pour les fixer. La veille est un travail de recherche intense et de tests (son coût ne peut être imputé à un projet, et donc à une tâche interne, l employé ne peut donc être rentable avec une telle tâche) 5PPA AL 36

37 3 Procédure en cas de piratage La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés. Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des utilisateurs et les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend. Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en œuvre se fait selon les quatre étapes suivantes : Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ; Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ; Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ; La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au sens large) en termes de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système. A cet égard, il ne revient pas aux seuls administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique est donc de s'assurer que les ressources informatiques et les droits d'accès à celles-ci sont en cohérence avec la politique de sécurité définie par l'organisation. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de conseiller les décideurs sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication à destination des utilisateurs sur les problèmes et recommandations en terme de sécurité. La sécurité informatique de l'entreprise repose sur une bonne connaissance des règles par les employés, grâce à des actions de formation et de sensibilisation auprès des utilisateurs, mais elle doit aller au-delà et notamment couvrir les champs suivants : 5PPA AL 37

38 Un dispositif de sécurité physique et logique, adapté aux besoins de l'entreprise et aux usages des utilisateurs. Une procédure de management des mises à jour. Une stratégie de sauvegarde correctement planifiée. Un plan de reprise après incident. Un système documenté à jour. 3.1 Quels sont les bons réflexes en cas d intrusion sur une machine Déconnecter la machine du réseau Déconnecter du réseau la machine compromise (ou les machines) permet de stopper l'attaque si elle est toujours en cours. S'il était toujours connecté à la machine, l'intrus n'a plus de contrôle sur celle-ci et ne pourra donc pas surveiller ce que vous faites et/ou modifier des fichiers. En revanche, maintenez la machine sous tension et ne la redémarrez pas, car il serait alors impossible de connaître les processus qui étaient actifs au moment de l'intrusion. Vous risqueriez de provoquer une modification sur le système de fichiers et de perdre de l'information utile pour l'analyse de l'attaque Prévenir le responsable sécurité Prévenez immédiatement le responsable sécurité et votre hiérarchie qu'une intrusion a été détectée. Prévenez-les de préférence par téléphone ou de vive voix, car l'intrus est peut-être capable de lire les courriers électroniques échangés, depuis une autre machine du réseau. Le responsable sécurité doit être clairement identifié par tous les administrateurs système/réseau avant que l'incident de sécurité ne soit déclaré. C'est la base de toute procédure de réaction sur incident de sécurité Prévenir le CERT dont vous dépendez En France, le CERT dont dépendent les administrations est le CERTA. Il peut être contacté : Par courrier électronique : [email protected] ; Par téléphone : ; Par fax : Pour en savoir plus sur les CERTs (Computer Emergency Response Team), vous pouvez consulter la page de présentation : Faire une copie physique du disque Attention la copie physique d'un disque dur est une opération très délicate. 5PPA AL 38

39 6 Pourquoi faire une copie du disque? D'une part, en l'absence de copie, l'altération des données provoquée par l'analyse rendrait inefficace toute procédure judiciaire, si vous souhaitiez mener cette démarche. D'autre part, même si aucune action judiciaire n'est envisagée, vous pourrez tout de même avoir besoin dans le futur d'une copie exacte du système tel qu'il était au moment de la découverte de l'intrusion. 7 Pourquoi faire une copie physique du disque? Une simple sauvegarde de fichiers ne fournit pas l'intégralité des informations contenues sur le disque, il est donc important de procéder à une copie de bas niveau du disque, y compris des secteurs non occupés. 8 Comment faire un copie physique du disque? Sur un système Unix, vous pouvez utiliser la commande dd 1 pour procéder à la copie exacte du disque. Sur un système Windows, il n'existe pas de telle commande sur le système d'exploitation, mais de nombreuses applications sont disponibles pour effectuer la même opération. Si vous n'avez jamais utilisé ce type de commandes ou d'outils, ne le faites pas dans l'urgence car vous risqueriez de détruire toutes les traces. Faites appel à votre CERT pour plus de détails sur la façon de procéder. Attention : l'image produite ne doit en aucun cas être stockée, même temporairement, sur le disque à étudier Rechercher les traces disponibles Un équipement n'est jamais isolé dans un système d'information. S'il a été compromis, il doit exister des traces dans d'autres équipements sur le réseau (gardes-barrière, routeurs, outils de détection d'intrusion, etc...). C'est pourquoi il est utile de rechercher des traces liées à la compromission dans tout l'environnement, les copier, les dater et les signer numériquement. 9 Remarque importante Si vous avez pu déterminer l'origine probable de l'intrusion, n'essayez pas d'entrer en contact directement avec l'administrateur de la machine dont semble provenir l'attaque. Vous risqueriez en effet de communiquer avec le pirate et de lui fournir des informations importantes sur ce que vous savez de lui. De toute façon, le taux de réussite pour contacter l'administrateur de la machine source sera beaucoup plus élevé si c'est un CERT qui s'en charge. Il y a plusieurs raisons à cela : Les CERTs disposent de nombreux outils, de contacts et de correspondants, ce qui leur permet de contacter plus rapidement la personne adéquate ; 5PPA AL 39

40 Les messages à entête d'un CERT sont en général pris plus au sérieux que les messages de particuliers ; Les CERTs représentent une autorité neutre qui permet d'entamer si nécessaire un dialogue constructif, sans accusation abusive d'un côté ou de l'autre. 3.2 Quels sont les aspects légaux d'une intrusion? Dépôt de plainte Gardez à l'esprit que seule la direction de votre organisme, qui en porte l'autorité morale, est habilitée à déposer une plainte Dégâts à des tiers Votre organisme pourrait, dans certains cas, être considéré comme pénalement et civilement responsable des dégâts qui seraient causés par un intrus, à partir de vos systèmes d'information Services centraux spécialisés Voici les services spécialisés auprès desquels la direction de votre organisme peut déposer une plainte si elle le désire : - OCLCTIC Office Central de Lutte contre la Criminalité liée aux Technologies de l'information et de la Communication. Dépend de la Direction Centrale de la Police Judiciaire. Compétence nationale, point de contact international Tel : BEFTI Brigade d'enquêtes sur les Fraudes aux Technologies de l'information. Dépend de la Direction Régionale de la Police Judiciaire de la Préfecture de Police de Paris Compétence sur Paris et la petite couronne Tel : DST 5PPA AL 40

41 Direction de la Surveillance du Territoire. Compétence nationale. Enquête sur les crimes et délits pouvant porter atteinte à la sûreté de l'etat. Tel : Dans le cas des services déconcentrés et des collectivités locales, le CERTA pourra vous orienter utilement vers le service régional comportant des enquêteurs spécialisés. 3.3 Comment analyser l'intrusion a posteriori? L'analyse de l'incident ne devra être faite que sur une copie physique du disque dur, dans le cas où un dépôt de plainte est envisagé. L'altération des données provoquée par l'analyse rendrait inefficace toute procédure judiciaire. Les techniques d'analyse de l'incident ne seront pas détaillées dans ce document. Si vous souhaitez de l'aide, il est très fortement conseillé d'en demander au CERT dont vous dépendez. En vous adressant au CERTA, celui-ci pourra soit vous aider directement, soit vous indiquer le CERT qui pourra vous aider dans l'analyse. Les grandes étapes de l'analyse de l'intrusion sont : La recherche des modifications dans le système et les fichiers de configuration ; La rechercher des modifications de données ; La recherche des outils et des données laissés par l'intrus ; L examen des fichiers de journalisation ; La recherche d'un sniffer sur le réseau ; La vérification des autres machines connectées sur le réseau. 3.4 Comment repartir sur de saines bases après une intrusion Réinstaller le système d'exploitation N'oubliez pas que sur une machine compromise, n'importe quelle partie du système d'information peut avoir été modifiée : noyau, binaires, fichiers de données, processus et mémoire. D'une manière générale, la seule manière de s'assurer qu'une machine ne possède plus de porte dérobée ou autre modification laissée par l'intrus est de réinstaller entièrement le système d'exploitation à partir d'une distribution saine et de compléter cette installation en appliquant tous les correctifs de sécurité avant de reconnecter la machine à un réseau. Il est conseillé de tester la machine avec un scanner de vulnérabilités à jour et de corriger les vulnérabilités identifiées, avant de la rebrancher au réseau. Se contenter de supprimer la vulnérabilité qu'a utilisée l'intrus pour pénétrer le système d'information est très largement insuffisant. 5PPA AL 41

42 3.4.2 Supprimer tous les services inutiles La configuration normale d'un système est de n'ouvrir que les services que celui-ci doit offrir et aucun autre. Vérifiez : Qu il n'y a pas de vulnérabilités dans ces services ; Que ces services ne sont offerts qu'aux systèmes extérieurs réellement autorisés par la politique de sécurité. Une bonne manière de procéder est de désactiver tous les services au départ, et de les activer au fur et à mesure qu'ils sont nécessaires Appliquer les correctifs de sécurité Assurez-vous que vous disposez de tous les correctifs de sécurité nécessaires. Vous pouvez vérifiez ces informations sur le site du CERTA ( et sur les sites des éditeurs des systèmes d'exploitation et des logiciels utilisés Restaurer les données Lorsque vous restaurez les données d'après une copie de sauvegarde, assurez-vous que ces données ne proviennent pas d'une machine compromise. Vous pourriez dans ce cas réintroduire une vulnérabilité qui permettrait à un intrus un accès non autorisé. De plus, si vous restaurez des données sur des comptes utilisateur, gardez à l'esprit que n'importe lequel des fichiers peut contenir un cheval de Troie. En particulier, il peut être conseillé de vérifier, avec l'accord des utilisateurs concernés, les fichiers.rhosts dans leur répertoire personnel Changer les mots de passe du système d'information Une fois que toutes les vulnérabilités connues du système d'information ont été supprimées, il est très fortement recommandé de modifier les mots de passe de tous les comptes de ce système. En effet, lors de la compromission, il est possible que ces mots de passe aient été récupérés par l'intrus, grâce à un renifleur de mots de passe, la récupération du fichier /etc/passwd ou tout autre moyen. 5PPA AL 42

43 IV La Sécurité et le droit Informatique L insécurité informatique n entraîne pas uniquement des risques techniques et économiques, elle est également une source de responsabilité civile et pénale pour les auteurs d infractions informatiques. La responsabilité de l auteur d une attaque informatique est d abord d ordre pénal. La loi réprime en effet certains actes commis à l aide d un ordinateur, et notamment : L accès illégal à un système L accès illégal à un système vise le fait de s introduire et de se maintenir intentionnellement et frauduleusement dans un système de traitement ou de transmission automatisé de données (STAD) en utilisant directement un ordinateur où à distance, en entrant dans un réseau fermé ou prenant le contrôle d une machine située dans un tel réseau. Cette incrimination vise notamment le fait pour un employé d utiliser un ordinateur mis à disposition par son employeur pour accéder à des données confidentielles sans relation avec ses fonctions, ou encore pour commettre un délit (par exemple, utiliser les ressources de l entreprise pour diriger une attaque contre des tiers). «Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d un système de traitement ou de transmission automatisé de données sera puni d un emprisonnement de deux mois à deux ans et d une amende de 500 euros à euros ou de l une de ces deux peines» (article du Code pénal). La modification ou suppression de données La modification ou suppression de données est le fait de modifier ou de supprimer des données lors d un accès illégal est une circonstance aggravante. Les peines minimales encourues sont donc encore plus importantes. Le vandalisme informatique, c est à dire l accès à un système en vue d en détruire les données ou encore l étudiant qui accède illégalement au serveur de son école ou université et change ses notes ou celles de ses camarades. Le fait d introduire, de modifier les données d un système ou son mode de traitement ou de transmission sans qu il y ait eu accès illégal au système est également passible de sanctions pénales. Pour la modification ou suppression de données lors d un accès illégal à un système : «Lorsqu il [ ] sera résulté [de l accès illégal au système] soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, l emprisonnement sera de quatre mois à deux ans et l amende de euros à euros» (article 509 1, alinéa 2 du Code pénal). 5PPA AL 43

44 Pour la modification ou suppression de données sans accès illégal à un système : «Quiconque aura, intentionnellement et au mépris des droits d autrui, directement ou indirectement, introduit des données dans un système de traitement ou de transmission automatisé ou supprimé ou modifié les données qu il contient ou leurs modes de traitement ou de transmission, sera puni d un emprisonnement de trois mois à trois ans et d une amende de euros à euros ou de l une de ces deux peines» (article du Code pénal). L entrave au fonctionnement d un système L entrave au fonctionnement d un système est également passible de sanctions pénales. Le fait de bloquer un système en s arrogeant des droits d administrateur et en utilisant ces privilèges pour empêcher l utilisateur légitime d utiliser le système dans des conditions normales ; Le fait de modifier ou d altérer le fonctionnement du système et de provoquer ainsi une baisse des performances, une altération des résultats, etc. (par exemple par l introduction volontaire et consciente d un virus dans le système) ou encore le fait de détériorer ou détruire un système (au niveau matériel et/ou logiciel). «Quiconque aura, intentionnellement et au mépris des droits d autrui, entravé ou faussé le fonctionnement d un système de traitement ou de transmission automatisé de données sera puni d un emprisonnement de trois mois à trois ans et d une amende de euros à euros ou de l une de ces deux peines» (article du Code pénal). La tentative Il n y a pas que lorsque l attaque réussit que des sanctions pénales sont encourues. Le simple fait de tenter de commettre les infractions ci dessus, même sans y parvenir, est répréhensible. Les «scriptkiddies» et autres hackers débutants encourent donc les mêmes peines que les hackers professionnels. «La tentative des délits prévus par les articles à est punie des mêmes peines que le délit lui même» (article du Code pénal). L association de malfaiteurs informatiques le fait pour des personnes de s associer ou de s entendre en vue de commettre une des infractions ci dessus est également puni, indépendamment du fait qu une attaque ait finalement eu lieu ou pas. C est le cas par exemple de ceux qui s échangent des moyens de commettre une attaque (un ordinateur, un accès à un réseau ou même des logiciels, scripts ou informations permettant de commettre une attaque informatique) et planifient une attaque concertée sur un tiers. «Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d une ou de 5PPA AL 44

45 plusieurs infractions prévue par les articles à sera punie des peines prévues pour l infraction elle même ou pour l infraction la plus sévèrement réprimée» (article du Code pénal). La responsabilité de l auteur d une attaque informatique est ensuite d ordre civil. En effet, lancer une attaque informatique contre quelqu un ou contre une entreprise constitue une faute et ouvre le droit pour la victime à la réparation du préjudice qu elle a subi en relation avec cette faute. La réparation de ce préjudice se fait selon les règles de la responsabilité civile (articles 1382 et suivants du Code civil). 5PPA AL 45

46 V Cas concret Attaque SSH Environnement : CAS CONCRET N 1 : Tous les serveurs de l entreprise X sont sous surveillance continue avec Zabbix. C est un logiciel de monitoring qui permet de déclarer des alertes et recevoir des mails ou «sms» si des éléments ou services des serveurs venaient à dysfonctionner (service Ssh, ftp, ou encore la connexion). En général toutes les connexions vers les serveurs (Ftp, Ssh) sont restreintes seulement aux IP des agences de l entreprise X. Il arrive que en temps de rush de connexion (journées ou il y a le plus de connexion dans l année) des astreintes soient mises en place. Une astreinte est une surveillance accrue de serveur avec réactivité en temps réel, c'est-à-dire qu une personne est désignée cette journée pour s occuper à 100 pour cent du serveur et en cas de panne, doit garantir l intégrité du serveur dans les plus brefs délais!! Souvent ces journées d astreintes sont le weekend et le consultant désigné peut effectuer cette surveillance de chez lui. Pour ce faire l administrateur de l entreprise X ouvre les ports du serveur Ssh vers l extérieur. 2 jours après cette action, une alerte est survenue sur ce serveur, coupure du service SSH de quelques minutes (cette coupure à été préréglée sur zabbix pour prévenir et envoyer une alerte de haut niveau). Détection de la faille : Ne sachant pas pourquoi ce service est tombé (en effet plusieurs personnes peuvent travailler sur le même serveur sans le savoir, (on pourra noter que cette entreprise manque de communication, du coup on ne sait pas qu il y a eu une astreinte). On 5PPA AL 46

47 désigne alors une personne pour enquêter et trouver d où vient le problème, pour réagir et pour régler le problème ainsi que pour rassurer les clients. 1 ère chose que l employé fait est de regarder les logs du serveur SSH, et en lisant ces logs, il pu remarquer que le serveur avait en fait été victime d attaque SSH. Le log est rempli de millier de lignes ou on peut voir que le pirate utilise une technique de recherche dichotomique, c'est-à-dire qu il recherche les login et mot de passe administrateur qui existent dans le dictionnaire. Il utilise de login tels que «ROOT», «John» ou tout mot existant. L employé voit aussi que le pirate n a pas réussi à craquer le login et mot de passe, mais qu à force d essayer il a réussi à faire planter le service. Un simple contact de l administrateur réseau lui permettra de restreindre à nouveau l accès SSH seulement avec l adresse IP de l entreprise. Attaque vaine : raison Cette attaque n a pu fonctionner et n aurait pu fonctionner pour plusieurs raisons : 1 Login et mot de passe utilisés sont complexes et n appartiennent pas à la langue française ou autre ex : Login : Act34Les MDP : 23kU;#Ze 2 Avec ce genre d exemple une recherche dichotomique devient obsolète. De plus le port SSH de ce serveur n était plus 22 mais 20XX (le pirate a donc du utiliser en plus un scanner de ports). 3 Malgré cela, si le pirate aurait réussi à entrer, il n aurait pu exécuter aucune action, car l administrateur de l entreprise X a paramétré ce service pour que seulement un utilisateur sans droit puisse se connecter pour ensuite changer l environnement en administrateur (c'est-à-dire qu il faut se connecter une première fois avec un utilisateur lambda, et seulement une fois connecté, passé en utilisateur ROOT. Cette sécurité permet de sécurisé le serveur même si quelqu un arrive à duper l authentification. Conclusion : Pour cette fois les configurations de l administrateur, couplés avec le logiciel de surveillance et la personne désignée pour voir le problème ont permis de protégé le serveur efficacement et de remettre les configurations d origine une fois l astreinte terminée. On voit par cet exemple qu il est important de choisir un mot de passe et login complexe, de filtrer les accès et les connexions et de changer les ports d accès au protocole désiré, qu une surveillance efficace peut permettre de contrer ou réagir rapidement à n importe qu elle menace. 5PPA AL 47

48 Injection SQL Environnement : CAS CONCRET N 2 Une SSII Y implantée dans le Benelux à pour compétence le développement d applications et l hébergement de serveurs. Un service gouvernemental a fait appel à cette entreprise pour développer son site internet et extranet. Les deux sites seront hébergés sur le même serveur. Le développement des applications se déroulent bien ainsi que la mise en production. Pendant plusieurs années tout se passe pour le mieux et les 2 entités continuent de travailler en collaboration. Détection de la faille : Cependant un jour un mail survient du directeur de la DSI du service gouvernemental ou plutôt un transfert de mail issu d une société W spécialisée dans la sécurité. Ce mail avait pour but de démontrer une faille de sécurité dans l application internet avec des exemples d injections SQL concluantes. Le but de cette dernière était de prouvé l inefficacité du système existant pour ensuite proposer ses services. Cette dernière n obtint pas ce qu elle voulait par contre la société Y avait dans l obligation de rectifier ce problème. Une personne de l équipe de développement (équipe qui n était pas formé sur la sécurité) a été désignée pour effectuer des recherches ainsi qu un plan de sécurisation des échanges. Après quelques recherches ce dernier trouva un outil gratuit, module de Firefox qui permettait de détecter si une page internet était ouverte aux injections. Grâce à cet outil, il passa en revue une à une les pages du site internet en notant toutes celles qui comportaient des failles (pages avec champs de saisies). 5PPA AL 48

49 Une fois toutes les pages notées, il se chargea dans l application de sécurisé le code. Par la vérification des identifiants (si ce sont bien des chiffres numériques et non des opérations ni des chaines de caractères), protéger le code avant d être utiliser pour les recherches ou les enregistrements ou tout autre traitement qui utilise la base de données. Attaque vaine : cause : La société W n a pas trouvé de clients dans cette histoire mais a permis de détecter une faille importante dans le code et à y remédier avant toute tentative d injections. Conclusion : On peut être amené à tout moment à être confronté avec des failles plus ou moins évidentes, il suffit d être réactif et efficace et utilisée les outils disponibles. On voit par cet exemple qu il est important de bien former ses développeurs, et effectuer les bons tests avant les mises en production des applications. Une bonne réactivité permet de justifier une efficacité et une adaptation rapides aux différents problèmes. EXEMPLE DETECTION D UNE FAILLE D INJECTION SQL Un exemple simple pour tester une application est la suivante : si à l affichage d un produit, à la suppression, ou toute autre action on peut voir dans l url?id=12 ou?product=23 ou toute autre chose qui nécéssitent un paramètre pour être actionné, faire ce test : URL de base : va afficher un produit en détail Si l on fait http// et que le même produit s affiche c est que le code n est pas sécurisé. 5PPA AL 49

50 Conclusion : Au final on se rend vite compte que la sécurité n est pas si simple à aborder et à certifier : Des vulnérabilités existent et continueront de voir le jour au fur et à mesure des recherches. Se prémunir et suivre la méthodologie citée plus haut permettront aux SSII ou DSI d être professionnelles, et au courant de toutes nouvelles failles ou technologie permettant de les contrer. On en a la preuve avec les cas concrets, une bonne analyse, une bonne préparation, et une bonne formation peuvent éviter bien des désastres, et de se forger une réputation valable auprès des futurs éventuels clients. Tout éléments actifs (élément joignable par un réseau, quel qu il soit) peut être victime de piratage, et il suffit d une faille malgré que le système, serveur et application soient sécurisés à 100 % pour que ces dernières soient obsolètes. La sécurité des échanges clients serveur est en fait un ensemble de procédures et de bon sens qui doivent être mis en place avant toute installation, non après. En effet dès qu un élément actif est joignable par n importe quel moyen, il comporte un fort risque. Donc pour garantir la sécurité des échanges clients-serveurs il faut : Un bon esprit d analyse Du bon sens Une connaissance des risques Un peu d expérience Savoir dans quelle situation on est (criticité des données) Une bonne formation Une procédure de sécurisation serveur Une procédure de sécurisation des échanges Une procédure de sécurisation des clients Une garantie de réactivité. Un peu de surveillance Un peu de veille Une bonne communication 5PPA AL 50

51 Bibliographie : CNIL PPA AL 51

52 Annexe : ANNEXE 1 : Nombres d attaques SSH par pays (en milliers) 5PPA AL 52

53 Niveau de criticité ANNEXE 2 : Niveau de criticité des données Type de sensibilité exemples Niveau d intégrité à respecter 1 Données non sensibles Sites de publicités -Accès serveur (intégrité serveur) 2 Données peu sensibles forums -Accès serveur -Compte utilisateurs 3 Données confidentielles, sensible 4 Données confidentielles très sensibles +infos payement Applications entreprises, SAP, Siege social+filière toute en France Applications bancaires Site commerciaux -Accès serveur -Compte utilisateurs -Données entreprise -Echanges données entreprise -Accès serveur -Compte utilisateurs -Données entreprises -Echanges données -Echanges bancaires 5 Données Top secrètes Réseau de l armée -Tout est à sécurisé. ANNEXE 3 : Niveau de sécurisation des données Nivea u de critic ité Sécurisation niveau client (antivirus, mise à jour ) Environnement serveur (Apache, htacces, ssh, ftp ) 1 X X Applicatif Code Login Domaine certifi cats Sécurisation échanges Lignes spécial isées (VPN, transfi x..) Sécurisation réseau 2 X X X 3 X X X X X X X 4 X X X X X X 5 X X X X X X X X 5PPA AL 53

54 ANNEXE 4 : Tableau des outils existants sécurisation serveur et échanges (et surveillance) : Open source Payants A la charge des personnes Sécurisation apache X VPN X Certificats X Zabbix (monitoring) X Ethereal (surveillance X échanges) Tets injection sql ou X XSS Sécurisation du code X Firewall matériel X Firewal logiciel X X ANNEXE 5 : Tableau des outils existants sécurisation clients Gratuit Payant A la charge des personnes Norton antivirus X (antivirus) Avast (antivirus) X Zone alarm (firewall) X X Firewall intégré de windows X (livré avec windows) Anti-spybot X CCcleaner X 5PPA AL 54

55 Introduction : La Sécurité informatique Qu est-ce que la sécurité? : Définitions Objectifs de la sécurité informatique Nécessité d'une approche globale Qu est-ce que le risque? Définitions Analyse des risques : Politique de sécurité : Techniques de sécurisation : Qu est-ce que la sécurité des échanges de données clients-serveurs? Les risques serveurs Les risques clients Les risques réseaux Mise en place de la sécurité : Configuration de base Sécurisation d un serveur Sécurisation du client Sécurisation de l application Sécurisé les échanges (certificats, serveur radius.) Administration Maintenance Rapports Surveillance Veille Procédure en cas de piratage Quels sont les bons réflexes en cas d intrusion sur une machine Déconnecter la machine du réseau Prévenir le responsable sécurité Prévenir le CERT dont vous dépendez Faire une copie physique du disque Rechercher les traces disponibles Quels sont les aspects légaux d'une intrusion? Dépôt de plainte Dégâts à des tiers Services centraux spécialisés Comment analyser l'intrusion a posteriori? Comment repartir sur de saines bases après une intrusion Réinstaller le système d'exploitation Supprimer tous les services inutiles Appliquer les correctifs de sécurité Restaurer les données Changer les mots de passe du système d'information IV La Sécurité et le droit Informatique V Cas concret Conclusion : Bibliographie : Annexe : PPA AL 55