CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE APERÇU DES FONCTIONS DE SÉCURITÉ DES DISPOSITIFS MULTIFONCTIONS

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE APERÇU DES FONCTIONS DE SÉCURITÉ DES DISPOSITIFS MULTIFONCTIONS CSPC-11\S Août 2009 2009

Page intentionnellement laissée en blanc. 2009

Avant-propos Le document Sommaire Aperçu des fonctions de sécurité des dispositifs multifonctions (CSPC-11\S) est NON CLASSIFIÉ et il est publié avec l autorisation du chef du Centre de la sécurité des télécommunications Canada (CSTC). Les propositions de modification devraient être envoyées par les voies de communication sécurisées du ministère concerné au représentant des Services à la clientèle du CSTC. Pour de plus amples renseignements, prière de communiquer avec les Services à la clientèle de la Sécurité des TI du CSTC, par courriel à l adresse itsclientservices@csecst.gc.ca, ou par téléphone au 613-991-7654. Date d entrée en vigueur La présente publication entre en vigueur le 28 août 2009. Carey Frey Directeur, Programme avec l industrie de la Sécurité des TI Gouvernement du Canada, Centre de la sécurité des télécommunications Canada 2009 Il est interdit de faire des copies de cette publication ou d extraits de cette publication sans la permission écrite du CSTC. 2009 i

Page intentionnellement laissée en blanc. ii 2009

Table des matières Avant-propos... i Date d entrée en vigueur... i Table des matières... iii Liste des abréviations et acronymes... v Annexe A Sommaire des recommandations... 1 Annexe B Listes de contrôle des fonctions de sécurité pour les dispositifs multifonctions... 3 Annexe C Sommaire des problèmes liés à la sécurité... 7 2009 iii

Page intentionnellement laissée en blanc. iv 2009

Liste des abréviations et acronymes 3DES AES CSPC DMF FBI FLASH FTP GC HDD HR HTTP HTTPS I et A ID IP IPP sur SSL IPPS IPSEC LPR MAC NIC NIP PC RAM ROC SANS SMB Triple-Data Encryption Standard (Triple-DES) Norme AES (Advanced Encryption Standard) Conseils en matière de sécurité pour les produits commerciaux du CSTC Dispositif multifonctions Federal Bureau of Investigation Mémoire FLASH File Transfer Protocol Gouvernement du Canada Lecteur de disque dur Ressources humaines Hypertext Transfer Protocol Protocole HTTP sur SSL (Secure Socket Layer) Identification et authentification Identificateur Internet Protocol Internet Printing Protocol sur Security Socket Layer IPP sur SSL Internet Protocol Security Line Printer Remote Protocol Contrôle d accès au support Carte d interface réseau Numéro d identification personnel Ordinateur personnel Mémoire vive Reconnaissance optique des caractères SysAdmin, Audit, Network, Security Server Message Block 2009 v

SNMP SSL TCP Telnet TI TWAIN UNIX UPS USB Simple Network Management Protocol Secure Sockets Layer Transmission Control Protocol Telecommunication Network Protocol Technologie de l information Technology, ou Toolkit, Without an Interesting Name - Norme de liaison entre les applications et les dispositifs d acquisition d image UNIX Alimentation sans coupure Bus série universel 2009 vi

Annexe A Sommaire des recommandations Les listes ci-dessous montrent un sommaire des principales politiques et stratégies d atténuation des menaces pour un environnement habituel du GC. L ordre reflète le risque et la priorité connexes. Atténuation Politique Protéger les imprimantes et les DMF comme des dispositifs réseau Appliquer les mises à jour de logiciel et les rustines de sécurité les plus récentes Restreindre le trafic de réseau Changer les mots de passe par défaut Protéger physiquement les dispositifs Exiger l identification et l authentification de ceux qui accèdent au dispositif Établir une gestion du changement et des programmes de vérification complets Désactiver toutes les fonctions inutiles Recourir à l impression confidentielle Écraser les fichiers en attente, les images et autres données temporaires Chiffrer les images de document avant leur stockage temporaire Journaliser en détail toutes les activités Empêcher la falsification des journaux de vérification Accorder des privilèges minimaux aux utilisateurs Utiliser le protocole SNMPv3 pour la gestion centralisée Chiffrer les données des communications Utiliser une I et A d utilisateur forte (p. ex., à deux facteurs) Élevée Moyenne Faible Interdire l accès non autorisé Exiger une certification de sécurité avant d accepter des dispositifs dans le réseau Exiger que la technologie possède des fonctions de sécurité appropriées Inclure les copies papier dans la politique de sécurité concernant la protection de l information sensible Interdire l accès externe non autorisé Exiger des vérifications de sécurité périodiques Intégrer les dispositifs dans le programme de sécurité des TI et la planification d urgence Confier au service des TI la responsabilité de la protection et de la maintenance Exiger l authentification pour toutes les activités Définir une politique sur l utilisation acceptable et sensibiliser les utilisateurs par la formation Exiger une journalisation complète de toutes les activités Exiger la tenue à jour des antivirus et du logiciel pour tous les dispositifs réseau Définir des politiques ministérielles pour les codes, NIP et mots de passe acceptables et leur protection Appliquer une politique de privilège minimum 2009 1

Annexe B Listes de contrôle des fonctions de sécurité pour les dispositifs multifonctions La présente section comprend les listes des exigences liées aux fonctions de la technologie de sécurité des TI. Chaque fonction est accompagnée de ses propres sousen-têtes et présente les fonctions ou paramètres qui assureront la configuration la plus sécurisée possible, sans sacrifier le rendement. Authentification de l utilisateur et du dispositif Authentification de l administrateur (dispositif) Changement des mots de passe ou codes NIP par défaut Utilisation l identification et l authentification (I et A) o Au niveau local pour chaque dispositif o Au niveau du réseau Authentification robuste o Mots de passe complexes o Cartes GRID o Cartes à puce o Cartes de sécurité d accès (p. ex., HID) o Données biométriques Chiffrement des données Chiffrement des communications (p. ex., IPP sur SSL, IPSec) Chiffrement des données, images et documents latents Traitement des fichiers PDF chiffrés et protégés par mot de passe Algorithmes de chiffrement 2009 3

o Advanced Encryption Standard o Triple-Data Encryption Standard (3DES) Effacement et nettoyage de la mémoire Réécriture (mémoire vive, mémoire FLASH, lecteur de disques durs) o Données temporaires entre les travaux o Données d image à la fin des travaux Réécriture aléatoire (valeurs binaires 0 et 1) multiple o 3 fois o 7 fois Contrôle d accès, autorisation des utilisateurs et restrictions Activités de contrôle des utilisateurs o Limites de nombres de pages par travail o Couleur o Heures permises (p. ex., heures normales de travail) Désactivation ou contrôle des fonctions «scan-to» o Identification unique de l utilisateur comme auteur dans les fonctions «scan-to» Contrôle d accès discrétionnaire Protection par mot de passe Impression privée ou confidentielle 2009 4

Accès physique contrôlé Résistance aux attaques Certification en vertu de Critères communs 1 Isolation du télécopieur du réseau Verrouillage du panneau de contrôle o Exigence d un accès authentifié Disque dur interne verrouillable Protocole SNMPv3 Système d exploitation o Propriétaire o Largement soutenu Protection par antivirus Mises à jour de logiciel et rustines de sécurité Applications et services minimaux Vérification de la conformité Journalisation Stockage sécurisé des journaux Sauvegarde de journal distincte Listes de contrôle de sécurité Responsabilisation Détection des incidents de sécurité et intervention 1 Voir le Glossaire et le site http://www.cse-cst.gc.ca/its-sti/services/cc/index-fra.html. 2009 5

Outils automatisés de détection des changements de configuration Interdiction d accès par défaut Prévention de l accès public Désactivation du partage de Windows Limites liées aux adresses de confiance Privilège minimum Coupe-feu Accès bloqué à tous les protocoles et ports inutiles Filtrage d adresse IP ou MAC Installation et exploitation UPS (alimentation sans coupure) Calendrier de maintenance ou de service Suivi des biens Gestion Gestion des dispositifs o Autonome o Centralisée Contrôle de la configuration o État de production Nombre limité d administrateurs Aucune sortie de télécopieur par défaut 2009 6

Annexe C Sommaire des problèmes liés à la sécurité Problème Risque Atténuation Politique D outils élémentaires à dispositifs intelligents Les imprimantes et les DMF sont des ordinateurs en réseau qui peuvent être compromis et utilisés dans un but malveillant. Protéger les imprimantes et DMF comme les serveurs ou les postes de travail. Les inclure dans les activités de gestion de configuration et du changement de l organisation, et dans les normes de sécurité et la planification d urgence des TI. Incapacité de déterminer l approche de l organisation en matière de sécurité Toute lacune non corrigée ou rustine non appliquée concernant des dispositifs réseau adressables IP représentent une exposition au risque. Comprendre la stratégie du fournisseur en matière de sécurité et s assurer qu il offrira en temps opportun les services de maintenance et des rustines de sécurité. Sélectionner des produits qui tiennent compte de la stratégie organisationnelle et de la tolérance aux risques. Partage des imprimantes Les imprimantes partagées réduisent le contrôle dans une certaine mesure et peuvent donner lieu à une mauvaise utilisation des ressources. Appliquer les règles d I et A d utilisateur. Viser l identification unique pour l ensemble de l organisation. Utiliser une authentification forte et favoriser l impression confidentielle. Exiger l application des règles d I et A pour l accès à tous les types de dispositifs en réseau. Partage des Le remplacement de Protéger les dispositifs avec Le service des TI est 2009 7

Problème Risque Atténuation Politique dispositifs dispositifs individuels par quelques DMF partagés peut entraîner une perte de productivité en cas de panne des DMF. une unité UPS (alimentation sans coupure) et établir des plans de service de maintenance appropriés. responsable de la disponibilité et de la maintenance des dispositifs de TI. Utilisation inacceptable des dispositifs Le remplacement de dispositifs individuels par quelques DMF partagés peut entraîner une utilisation excessive à des fins autres qu opérationnelles. Établir et maintenir des autorisations ou des privilèges d activité d utilisation appropriée. Se doter d une politique sur l utilisation acceptable qui comprend l utilisation de tous les biens organisationnels. Manque de normes Il n existe aucune norme de sécurité largement reconnue pour les imprimantes réseau et les DMF. Établir des normes de vérification et des listes de contrôle de sécurité pour les dispositifs. Inclure les imprimantes et les DMF dans les vérifications de sécurité organisationnelles périodiques. Manque de préparation pour l installation Les dispositifs réseau intelligents, mal configurés avant d être accessibles sur le réseau, exposent l organisation à des risques excessifs. Utiliser un système de gestion des biens pour identifier les dispositifs et assurer le suivi. Protéger les nouvelles installations jusqu à ce que le système d exploitation soit installé et renforcé. Désactiver ou supprimer les fonctions, options, protocoles Exiger que les dispositifs intelligents respectent les critères ministériels en matière de sécurité des configurations avant leur connexion à un réseau. 2009 8

Problème Risque Atténuation Politique ou applications inutiles. Appliquer les règles de gestion du changement et de la configuration. Tester tous les contrôles de continuité. Sécurité matérielle déficiente Les imprimantes partagées et les DMF sont situés dans des emplacements faciles d accès où il y a beaucoup de va-etvient et dont le contrôle d accès est déficient. Appliquer les règles d I et A et intercepter les visiteurs ou les étrangers avant qu ils arrivent à proximité des dispositifs. Prévoir des escortes formées pour les techniciens de service et recourir uniquement à des techniciens certifiés. Nettoyer les dispositifs de stockage interne ou réinitialiser les paramètres de configuration avant toute activité de service non contrôlée. Placer les dispositifs intelligents à l intérieur d une zone sécurisée appropriée afin de réduire l accès non autorisé aux locaux ou au réseau. Protéger tout contenu sensible ou la configuration avant d effectuer des activités de service. Service de diagnostic et de gestion assuré par le fournisseur L accès par une organisation externe signifie d étendre le lien de confiance à tous ceux qui travaillent dans cette organisation, ou à tous ceux avec lesquels l organisation entretient des liens de Interdire tout accès externe, sauf dans le cas des accès nécessaires aux opérations. Exercer un contrôle strict des accès externes autorisés. Interdire l accès externe non autorisé. Établir des ententes juridiques qui identifient explicitement les obligations des organisations externes en matière de sécurité. Appliquer une politique de 2009 9

Problème Risque Atténuation Politique confiance (par ses propres connexions de réseau étendu). privilège minimum aux relations externes. Incapacité à journaliser les activités des dispositifs Les dispositifs non sécurisés sont des cibles de choix pour les attaquants. Exiger la certification de tous les dispositifs de TI avant toute connexion à un réseau. Journaliser en détail et protéger les journaux. Exiger une journalisation détaillée et protéger les journaux. Établir des politiques de conservation des journaux et effectuer des vérifications périodiques. Manque de protection contre le logiciel malveillant Il y a danger de compromission à grande échelle lorsque tous les dispositifs possèdent la même configuration. S assurer que les unités de stockage de tous les dispositifs réseau font l objet d un dépistage antivirus. Appliquer les mises à jour de logiciel et les rustines de sécurité testées et approuvées les plus récentes. Utiliser des outils automatisés de contrôle des modifications de la configuration pour détecter les manipulations non autorisées des paramètres. Exiger une protection antivirus pour tous les dispositifs réseau. Exiger que l on utilise du logiciel et des rustines à jour pour autant qu ils soient jugés fiables. Aucune Les activités inappropriées Définir le niveau de Établir la responsabilité des 2009 10

Problème Risque Atténuation Politique vérification des dispositifs clandestines peuvent représenter une exposition de sécurité grave et continue. vérification à effectuer, la personne responsable et la fréquence. Inclure l examen des journaux dans la vérification. Faire appel au plan d intervention dans les cas où l on soupçonne qu un dispositif a pu être compromis. vérifications de sécurité des TI, leur niveau de détails, leur portée et leur fréquence. Établir une politique pour traiter les incidents de sécurité, incluant les enquêtes et les sanctions. Configuration de production Les dispositifs peuvent perdre leurs paramètres après un réamorçage ou une panne de courant. S assurer qu un processus permet de reconfigurer le DMF ou l imprimante à son état de production sécurisé. Voir la section sur la préparation pour l installation. Répertoire des comptes d utilisateur désuet Au fil du temps, le répertoire des comptes d accès d utilisateur devient désuet Des individus malveillants peuvent s emparer des comptes et les utiliser pour effectuer des opérations de façon anonyme. Retirer l accès aux utilisateurs et désactiver leurs codes lorsque ceux-ci n ont plus besoin d accéder aux dispositifs; effectuer une vérification périodique de l accès des utilisateurs. La politique concernant l accès et les privilèges d utilisateur devrait comprendre la suppression du droit d accès et la désactivation des codes des utilisateurs qui n ont plus besoin d accéder aux dispositifs. L organisation peut effectuer des vérifications périodiques des comptes d utilisateur pour 2009 11

Problème Risque Atténuation Politique détecter les omissions. Soutien du protocole FTP Le protocole FTP peut servir à télécharger des fichiers, incluant du logiciel malveillant, directement dans l imprimante sans exiger d authentification par mot de passe. Désactiver le soutien du protocole FTP, sauf si un besoin opérationnel dicte le recours à l impression en direct. Exploiter tous les dispositifs réseau en appliquant les règles de privilège minimum. Reniflage de réseau Quelqu un qui effectue une écoute clandestine peut intercepter une partie ou la totalité du contenu du document, ou les codes de gestion ou les mots de passe. Le chiffrement permet de rendre le contenu des paquets inintelligible. Étudier la possibilité d utiliser les protocoles SNMPv3, IPP sur SSL (également appelé IPPS) ou IPSEC. Interdire le reniflage de réseau non autorisée. Autoriser uniquement quelques employés du soutien des TI autorisés à recourir au reniflage contrôlé, et surveiller leur utilisation des outils de reniflage. Exiger le recours au chiffrement, le cas échéant. Partage des imprimantes Windows Les premiers systèmes d exploitation Windows autorisaient par défaut le partage intégral des imprimantes pour toutes les interfaces réseau, les exposant ainsi à une Établir une installation Windows standard qui désactive par défaut le partage d imprimantes. La politique de privilège minimum de l organisation doit tenir compte du partage des imprimantes. 2009 12

Problème Risque Atténuation Politique exploitation par Internet. Configuration réfractaire au risque Les imprimantes et les DMF sont installés comme dispositifs entièrement accessibles dans le réseau et, ainsi, sont exposés aux attaques par déni de service. Restreindre le nombre de moyens permis pour l envoi de travaux d impression. Configurer les programmes d impression désynchronisée de manière à en réserver l accès uniquement aux utilisateurs autorisés et leur permettre de gérer uniquement leurs propres travaux. Si l organisation est réfractaire au risque et consent à consacrer les ressources requises, verrouiller les dispositifs de réseau. Cette approche est conforme à l évaluation préliminaire du niveau de risque que l organisation est prête à accepter et à l imposition des règles de privilège minimum. Menaces liées aux données d image et aux documents latents Le stockage des travaux d impression en différé, des images numérisées, des fichiers temporaires et autres données dans le disque dur interne fait en sorte que quiconque peut accéder physiquement ou par le réseau au disque dur est en Centraliser la gestion des paramètres et le partage des imprimantes et des DMF. Configurer le dispositif de manière qu il écrase les données temporaires entre les travaux et les fichiers d impression après les travaux. Chiffrer les images Exiger que les dispositifs et le logiciel de TI possèdent suffisamment de fonctions de sécurité pour protéger l information de l organisation. 2009 13

Problème Risque Atténuation Politique mesure de consulter l information qu il contient. de document avant leur stockage temporaire. Menaces liées aux copies imprimées Quiconque passe devant une imprimante ouverte peut lire ce qui se trouve dans le plateau de sortie. Sécuriser les emplacements physiques où se trouvent les dispositifs. Exiger de l utilisateur qu il s authentifie sur la console avant de ramasser la copie pendant qu elle s imprime. Inclure les copies papier dans la politique relative à la protection de l information sensible. Mots de passe par défaut Les mots de passe par défaut du fournisseur sont facilement accessibles sur Internet. Remplacer les mots de passe d administrateur par défaut par des mots de passe complexes. Prendre en note les mots de passe et les conserver dans un endroit sûr. Dans la mesure du possible, exiger des mécanismes d authentification à deux facteurs. Élaborer des politiques qui définissent les valeurs acceptables des codes d opérateur clés, des mots de passe d administrateur et des codes d utilisateur; désigner la personne responsable de changer ces valeurs ainsi que la fréquence des changements; définir le format acceptable des codes et la manière de les enregistrer et de les sécuriser. Procédure de rétablissement Certains dispositifs prévoient une séquence spéciale bien Contrôler l accès physique. Dans la mesure du possible, Exiger une authentification forte pour mettre le dispositif 2009 14

Problème Risque Atténuation Politique des paramètres du fabricant documentée d entrées au clavier qui permet de restaurer la configuration du dispositif et de revenir aux paramètres par défaut du fabricant. désactiver la séquence de réinitialisation ou verrouiller le panneau de contrôle de manière que l utilisateur doive s authentifier avant d utiliser le clavier du dispositif. en mode service ou pour contourner les contrôles de sécurité de la console. Menaces liées aux documents sensibles Plusieurs personnes qui ont accès à un dispositif en utilisant un code d identification partagé peuvent accéder aux documents, aux carnets d adresses, aux courriels, aux privilèges de modification, etc. qui y sont stockés. Appliquer une identification et une authentification plus robustes que celles qu offrent de simples codes NIP. Inclure de l information sur l utilisation appropriée des contrôles d accès dans les cours de sensibilisation des utilisateurs. Menaces liées aux fonctions «Scan-to» On peut utiliser la fonction «scan-to» pour stocker des fichiers d images dans le serveur de fichiers interne du dispositif, dans un serveur FTP ou SMB, ou encore, directement dans une unité de stockage portable telle une clé USB, un lecteur MP3 ou un téléphone cellulaire. Interdire l utilisation de la fonction «scan-to» ou contrôler strictement ceux qui sont autorisés à l utiliser et journaliser en détail son utilisation. Restreindre et contrôler le plus possible l utilisation des différentes variantes de la fonction. Renforcer les politiques d utilisation acceptable et de protection de l information de l organisation par un programme de sensibilisation. Interdire l utilisation de dispositifs de stockage personnels, le cas échéant. 2009 15

Problème Risque Atténuation Politique Revendications du fournisseur Le fournisseur revendique que ses produits ont réussi à passer les contrôles stricts de sécurité interne et peuvent résister aux attaques. Le moyen le plus sûr est de sélectionner des dispositifs certifiés en vertu du schéma des Critères communs. S assurer que le dispositif effectue séparément le soutien du télécopieur et du réseau et présente des capacités sécurisées d effacement de fichier et de stockage. Dans la mesure du possible, exiger que la sécurité des produits de TI soit certifiée en vertu des Critères communs ou de tout autre service expert en test de certification. Les exceptions à cette politique doivent faire l objet d un examen et d une dispense de la haute direction. Acheminement automatique Les paramètres des DMF peuvent être manipulés et permettre l acheminement automatique de toutes les télécopies à un autre numéro. La journalisation et l examen périodique des journaux devraient permettre de détecter ce type d activité et de reconfigurer les paramètres. Aucune nouvelle politique requise. Sortie du télécopieur Par défaut, certains dispositifs impriment la première page de toutes les télécopies acheminées. Cette caractéristique peut exposer la documentation sensible produite par l imprimante. Dans la mesure du possible, désactiver cette fonction. Au minimum, contrôler l accès physique et empêcher les individus non autorisés d accéder à la sortie de l imprimante. Aucune nouvelle politique requise. 2009 16

Problème Risque Atténuation Politique Incapacité de limiter l attribution de droits administratifs Permettre à des individus au sein de l organisation de remplir des fonctions de soutien ponctuel peut entraîner de sérieuses expositions de sécurité. L organisation doit appliquer des paramètres et des contrôles standard à tous les dispositifs réseau. Seul un nombre très restreint d individus autorisés doit posséder des droits administratifs et ces employés doivent avoir une formation appropriée en matière de soutien des dispositifs. Le service des TI est responsable de tous les aspects du soutien des dispositifs. Interface Web de gestion à distance Les imprimantes et les DMF offrent souvent une interface d application Web pour les tâches d administration et de gestion à distance. Les chercheurs en sécurité ont démontré que les interfaces Web sont vulnérables aux attaques. Appliquer les plus récentes rustines de sécurité. Restreindre l accès des entités externes aux imprimantes et DMF internes. Aucune nouvelle politique requise. Soutien du protocole Telnet Certaines imprimantes et certains DMF acceptent des commandes élémentaires de gestion de Telnet. Désactiver le soutien du protocole Telnet, sauf si un besoin opérationnel dicte le recours à l impression en direct. Utiliser un système de Exploiter tous les dispositifs réseau en appliquant les règles de privilège minimum. 2009 17

Problème Risque Atténuation Politique gestion plus robuste tel que le SNMPv3. 2009 18