Les outils Internet grand public de communication et les risques pour (le SI de) l entreprise Jean-Luc Archimbaud CNRS/UREC http://www.urec.cnrs.fr EUROSEC 3 avril 2006 Intervention technique qui n est pas un message officiel du CNRS
Plan Pourquoi cette préoccupation? Quelle attitude démarche? Eléments à étudier / outil Que faire?
Pourquoi cette préoccupation? Les outils de communication Internet très conviviaux se multiplient. Exemples : Forums (anciens) : listes de diffusion, News Webs collaboratifs : Wiki Webs personnels : Blog Messagerie instantanée (chat) : IRC, MSN messenger Téléphonie (VoIP): Skype Partage de fichiers (téléchargements) : Kazaa Ainsi que l hébergement externe de données personnelles Boites aux lettres, adresses, espace disque Exemples : Blackberry, Gmail (et services avancés Google) Cette présentation traite de ces logiciels et des services rendus -> outils
Pourquoi cette préoccupation? Nombreux avantages : Beaucoup sont gratuit : logiciels ou hébergement de service L installation d un client sur un poste personnel est à la portée de tous Ils peuvent avoir une utilité pour les activités professionnelles Ou entrer dans la limite admise d utilisation de l Internet sur les lieux de travail pour un usage personnel Utilisés par le «grand public» Avant les professionnels de l informatique Leur utilisation est intensive dans la jeunesse : futurs recrutés par les entreprises Ces outils sont (seront) utilisés par des salariés sur leur ordinateur professionnel ou pour leurs données professionnelles Ce sont de nouvelles vulnérabilités pour les systèmes d information d entreprise
Quelle attitude - démarche? Interdire tous ces outils dans l environnement professionnel (et les ignorer) Mais ce peut être : Impossible : manque de moyens Administration des machines personnelles, surveillance réseau, ou/et d autorité effective Plus dangereux que d en accepter certains Contournement délibéré des règles, création de réseaux parallèles, Proposition : évaluer méthodiquement les risques Critères classiques de sécurité mais aussi de nouveaux critères Prendre les mesures en conséquence Avantage : travail ré-utilisable (d autres outils similaires vont arriver) Limitations de la présentation Ne pas émettre de recommandation d interdire ou d autoriser tel ou tel produit La démarche n est pas une méthodologie Simplement prendre du recul Proposer une liste (à la Prévert) d angles d étude (ne pas se focaliser sur un aspect)
Eléments à étudier / outil L usage (du logiciel, du service) Les coûts La confiance dans le logiciel (client, serveur) Les spécificités du service La localisation du service La maîtrise et le contrôle de l utilisation du service Les perturbations possibles La confidentialité des données Les responsabilités
L usage Objectif : est-ce un outil utile? Pour une activité professionnelle Quel est l intérêt pour l organisme, l entreprise? Efficacité rentabilité Ex : Messagerie instantanée - blog -> travail collaboratif Lien social Ex : forum de discussion interne Promotion marketing Ex : forum, blog
L usage Dans la tolérance pour usage personnel de l Internet Avec quelles personnes (extérieures)? Quelle proportion du temps? Quels utilisateurs? VIP de l entreprise? ( données sensibles) Uniquement internes L analyse devrait permettre de classer l outil comme : Obligatoire - utile - tolérable - intolérable Eventuellement décider d une étude sur l intérêt de rendre le service officiellement, géré par l équipe informatique
Les coûts Objectif : évaluer tous les coûts Economies réalisées Outil utile gain de productivité Logiciel - service gratuit / au même payant Baisse factures : téléphone (VoIP) Formation : apprentissage à domicile Coûts cachés Temps passé à l utilisation Temps passé à l installation, au suivi (si personnel non informaticien) Ressources consommées (réseau )
La confiance dans le logiciel Objectif : évaluation des risques engendrés par l installation du logiciel sur un poste Bugs (involontaires) ou chevaux de Troie (volontaires) dans les logiciels peuvent créer un point d entrée pour accéder au réseau interne de l entreprise Origine du développement? Société ou entité (logiciel libre) de confiance? Le code source, les protocoles, les algorithmes sont ils publics? Ex : Skype, dernières versions de MSN : code non public Si produit gratuit Quels sont les objectif des créateurs, quelle rentabilité pour eux? Ex : Skype, MSN, gmail Service au départ gratuit (fidélisation) qui devient progressivement payant La publicité finance-elle le service? Objectif non avouable? Points positifs pour la confiance dans le logiciel La disponibilité du code source La description des protocoles et des algorithmes (si possible standards) La clarté des mobiles des concepteurs (commerciaux ou autres)
La localisation du service Objectif : évaluation des risques liés à la confidentialité et l intégrité des données échangées ou stockées Interne : tout est maîtrisé Ex : gestionnaire de listes de diffusion interne Externalisé avec contrat commercial Quelles garanties de confidentialité, d intégrité des données mais aussi quel contrôle d accès et de mise à jour (correctifs sécurité) des serveurs hébergeurs dans le contrat commercial? Ex : Site Web WIKI hébergé Grand public centralisé Dans quel pays? Quelle société? Quelles garanties? Ex : MSN, gmail Grand public décentralisé (infrastructure spontanée) Quels sont les mécanismes? Quels sont les «nœuds principaux»? Quelles données contiennent ils? Ex : skype L analyse devrait permettre d évaluer le risque d espionnage (défense ou industriel), de graduer grossièrement le niveau de confidentialité et d intégrité (affiné dans un paragraphe suivant)
La maîtrise et le contrôle de l utilisation Objectif : évaluer les possibilités de contrôle de l installation des logiciels, de l utilisation du service ainsi que la détection de ces éléments Maîtrise de l installation des logiciels Est-ce l équipe informatique qui installe le produit? (ou les utilisateurs peuvent ils le faire euxmêmes?) Est-ce que la configuration du produit peut être maîtrisée par l équipe informatique? Surveillance Peut-on savoir rapidement sur quels postes est installé le produit? Qui l utilise (en interne mais aussi identité des correspondants)? Quand (traces)? Est-ce que le trafic peut être filtré par les routeurs, gardes-barrière? Les ports utilisés sont ils figés (et connus) / dynamiques? Les flux sont ils détectés par des outils de surveillance réseau? Une application dont on peut détecter, surveiller et tracer l utilisation est une garantie pour pouvoir contrôler son utilisation (l interdire éventuellement) But des nouvelles applications P2P : passer les gardes-barrière et ne pas être détecté
Les perturbations possibles Objectif : prévoir les perturbations qu est susceptible d engendrer l utilisation du logiciel, du service Sur le poste utilisateur : exemples : Le poste peut devenir serveur sans le savoir : stocker des données illégales, servir de point d entrée sur le réseau La configuration du poste peut être modifiée (changement de pilotes ) Certaines applications professionnelles peuvent ne plus fonctionner du tout (manque de ressources) Sur le réseau Exemple : la bande passante utilisée importante perturbation des autres applications Sur l ensemble des équipements Exemple : le logiciel peut perturber les autres postes ou services sur le même réseau local, essayer de se déployer «automatiquement» L analyse devrait permettre de faire des recommandations sur : Architecture : mettre les stations utilisatrices dans un VLAN particulier Postes clients : interdire l utilisation de logiciel sur certains postes (sensibles) Installation de postes dédiés Ex : skype
La confidentialité des données Objectif : étudier les types de données véhiculées, leur besoin de confidentialité, la vulnérabilité du service dans ce sens Quelles sont les informations (au sens large) manipulées? Conversations téléphoniques, courriels, fichiers, annuaires, mots de passe, Sont elles confidentielles? importantes? Où sont elles stockées? Sur un poste externe (hébergement boites aux lettres), annuaire central externe Comment circulent elles dans le réseau? En clair? Suivant quel chemin? Comment est géré le contrôle d accès à ces données? Qui peut y avoir accès? Quelles sont les informations privées divulguées? Organigramme, identités, numéros de téléphone, adresses électroniques, numéros IP, L analyse doit rapidement se conclure par l interdiction ferme de certains services à certains groupes (VIP?), pour certains usages ou types d informations
Les responsabilités Objectif : étudier quelle est la responsabilité juridique de l organisationentreprise Lors de l utilisation «normale» de ce type de service? D une utilisation délictueuse? Tout l arsenal juridique sur l informatique, les informations, les communications, l édition, les œuvres, peut s appliquer selon les outils : lois sur les délits informatiques, la presse, la protection de la vie privée, les droits d auteur, L analyse devrait conduire à Essayer d anticiper les problèmes Informer précisément les utilisateurs : droits, risques, devoirs Modifier la charte informatique?
Que faire? Présentation : pas de réponse sur Quels comportements adopter? Quelles règles fixer? Que faut-il interdire? Quels services faut-il offrir en interne ou sous-traiter? Rappel de l introduction Limitations de la présentation Ne pas émettre de recommandation d interdire ou d autoriser tel ou tel produit Objectif : proposer un début de grille pour répondre aux questions cidessus La réponse est très dépendante de l environnement : suivre la grille avec l exemple skype
Que faire? Néanmoins, recommandations Ne pas faire l autruche Proposer des solutions aux besoins (les anticiper?) Avec les services : informatique, achat, juridique Internes ou externes : un contrat commercial amène toujours plus de garantie que «rien» Maîtriser, ne pas «laisser faire» Attention aux conséquences d un sentiment tel que : chez moi j ai des outils géniaux, au travail je ne peux rien faire informaticiens incompétents, responsables sécurité bornés, Mais ne pas oublier les effets de mode Etudier chaque outil qui se déploie spontanément avec les critères énoncés avant En déduire ce que l entreprise, l organisation doit faire