CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) ENVIRONNEMENTS DE TRAVAIL DE LA ZONE PUBLIQUE

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) ENVIRONNEMENTS DE TRAVAIL DE LA ZONE PUBLIQUE CSG-15\G Août 2009 2009

Page intentionnellement laissée en blanc. VERSION FINALE 2009

Avant-propos Le document est NON CLASSIFIÉ et publié avec l autorisation du chef du Centre de la sécurité des télécommunications Canada (CSTC). Les propositions de modification devraient être envoyées par les voies de communication sécurisées du ministère concerné au représentant des Services à la clientèle du CSTC. Pour de plus amples renseignements, prière de communiquer avec les Services à la clientèle de la Sécurité des TI du CSTC, par courriel à l adresse itsclientservices@csecst.gc.ca, ou par téléphone au 613-991-7654. Date d entrée en vigueur La présente publication entre en vigueur le 28 août 2009. Carey Frey Directeur, Programme avec l industrie de la Sécurité des TI Gouvernement du Canada, Centre de la sécurité des télécommunications Canada 2009 Il est interdit de faire des copies de cette publication ou d extraits de cette publication sans la permission écrite du CSTC. 2009 i

Table des matières Avant-propos... i Date d entrée en vigueur... i Table des matières... iii Liste des figures... vii Liste des abréviations et acronymes... ix 1 Introduction... 1 1.1 Contexte... 1 1.2 Objectif... 1 1.3 Portée... 1 1.4 Public cible... 2 1.5 Structure du document... 2 2 Aperçu des zones de sécurité de réseau... 3 2.1 Zone publique... 4 2.2 Zone d accès public... 4 2.3 Zone de travail... 7 2.4 Problèmes de sécurité communs à toutes les zones... 9 2.4.1 Zone publique et zone d accès public... 10 2.4.1.1 Maliciel... 10 2.4.1.2 Disponibilité des systèmes d extrémité... 10 2.4.1.3 Accès non autorisé... 11 2.4.1.4 Erreurs d exploitation et de configuration... 11 2.4.2 Employés dans la zone de travail... 11 2.4.2.1 Dispositifs infectés... 12 2.4.2.2 Ingénierie sociale... 12 2.4.2.3 Employés mécontents... 12 2.4.3 Attaques depuis la zone d accès public... 13 3 Environnements de travail... 13 3.1 Point d accès sans fil... 13 3.1.1 Définition... 13 3.1.2 Préoccupations au plan de la sécurité... 14 3.1.2.1 Liaisons sans fil non sécurisées... 14 3.1.2.2 Réseaux ad hoc... 15 3.1.2.3 Points d accès indésirables... 16 3.1.2.4 Connexions automatiques aux points d accès... 16 3.1.2.5 Attaque par déni de service sur un point d accès sans fil... 16 3.1.2.6 Voyages à l étranger... 16 3.1.3 Atténuation des risques... 16 2009 iii

3.1.3.1 Renforcement des dispositifs... 17 3.1.3.2 Coupe-feu personnel... 17 3.1.3.3 Connexions Wi-Fi manuelles... 17 3.1.3.4 Données chiffrées... 17 3.2 Internet câblé et sites d accès public à Internet... 18 3.2.1 Définition... 18 3.2.2 Problèmes de sécurité communs... 18 3.2.2.1 Plateformes informatiques non normalisées... 19 3.2.2.2 Risques associés aux sites Internet publics... 19 3.2.2.3 Fuite de données... 20 3.2.2.4 Intégrité des systèmes hôtes... 20 3.2.2.5 Vulnérabilités des réseaux... 21 3.2.2.6 Voyages à l étranger... 21 3.2.3 Atténuation des risques... 22 3.2.3.1 Protection de l information... 22 3.2.3.2 Mesures de protection des sites Internet publics... 23 3.2.3.3 Sensibilisation à la sécurité... 24 3.3 Bureaux à domicile... 25 3.3.1 Définition... 25 3.3.2 Préoccupations communes liées à la sécurité... 27 3.3.2.1 Télétravail à domicile... 27 3.3.2.2 Risques liés aux déplacements... 28 3.3.2.3 Sécurité liée à la technologie Wi-Fi... 28 3.3.2.4 Piratage à l aide d un dispositif de protection de port... 28 3.3.2.5 Bureaux à domicile à l étranger... 29 3.3.3 Atténuation des risques... 29 3.3.3.1 Coupe-feu et passerelles sécurisées... 31 3.3.3.2 Sécurité liée à la technologie Wi-Fi... 32 3.3.3.3 Dispositifs de protection de port... 33 4 Problèmes de sécurité communs aux environnements... 34 4.1 Vulnérabilités des logiciels... 34 4.2 Courrier électronique... 35 4.3 Configuration inadéquate de la sécurité... 35 4.4 Ingénierie sociale... 35 4.5 Pirates... 36 4.6 Transfert de données... 36 4.7 Accès physique non autorisé... 36 4.8 Employés mécontents... 37 4.9 Dispositifs de stockage de masse... 37 4.10 Dispositifs Bluetooth... 38 5 Atténuation commune des risques dans les environnements de travail... 38 5.1 Gestion des rustines... 38 2009 iv

5.2 Protection du courrier électronique... 39 5.3 Coupe-feu personnels... 39 5.4 Antivirus... 40 5.5 Justificatifs d identité d utilisateur... 41 5.6 Authentification robuste... 41 5.7 Gestion des mots de passe... 42 5.8 Transfert de données... 43 5.9 Dispositifs de stockage amovibles ou portatifs... 44 5.10 Sensibilisation des employés... 44 5.11 Accès lors de voyages ou depuis une résidence à l étranger... 44 5.12 Sécurité de la technologie Bluetooth... 46 6 Résumé... 48 7 Bibliographie... 49 2009 v

Liste des figures Figure 1 : Modèle de configuration des zones de sécurité de réseau... 4 Figure 2 : Topologie logique d une zone d accès public... 6 Figure 3 : Topologie de la zone de travail... 9 Figure 4 : Point d accès sans fil... 14 Figure 5 : Réseau ad hoc... 15 Figure 6 : Environnement autonome Utilisateurs de bureaux à domicile... 26 Figure 7 : Environnements de travail de la zone publique... 34 2009 vii

Liste des abréviations et acronymes ARP ATM CAR CSTC DDoS DMZ DNS DoS DPP FSI FTP GC GSTI HTTP ICMP IPSEC LAN NAT NetBios NIP NTP OS PA PC PIZ RAE RAI RP Address Resolution Protocol Mode de transfert asynchrone Contrôle d accès au réseau Centre de la sécurité des télécommunications Canada Déni de service distribué Zone démilitarisée Service de noms de domaine Déni de service Dispositif de protection de port Fournisseur de services Internet File Transfer Protocol Gouvernement du Canada Gestion de la sécurité des technologies de l information Hypertext Transfer Protocol Internet Control Message Protocol Internet Protocol Security Réseau local Traduction d adresses de réseau Network Basic Input/Output System Numéro d identification personnel Network Time Protocol Système d exploitation Point d accès Ordinateur personnel Point d interface de zone Réseau d accès externe Réseau d accès interne Renseignements personnels 2009 ix

RPV RPVS RSA RTPC SCT SNMP SSID SSL SSP TCP TI TLS UDP USB VLAN WAN WPA WWW ZAP ZAR ZAS ZATR ZEAR ZP ZT Réseau privé virtuel Réseau privé virtuel sécurisé Rivest Shamir Adleman Réseau téléphonique public commuté Secrétariat du Conseil du Trésor Simple Network Management Protocol Nom de réseau sans fil Secure Sockets Layer Simple Security Pairing Transmission Control Protocol Technologie de l information Transport Layer Security User Datagram Protocol Bus série universel Réseau local virtuel Réseau étendu Wi-Fi Protected Access World Wide Web Zone d accès public Zone d accès restreint Zone d accès spécial Zone d accès très restreint Zone extranet d accès restreint Zone publique Zone de travail 2009 x

1 Introduction Le présent document décrit les exigences de base en matière de sécurité des zones de sécurité de réseau (ZSR), principalement celles qui concernent la zone publique (ZP), la zone d accès public (ZAP) et la zone de travail (ZT). Il donne également un aperçu des problèmes de sécurité associés à chacune de ces zones et comprend des conseils sur la façon de travailler dans un environnement de travail de la zone publique. Le terme «réseaux d entreprise» utilisé dans le document désigne à la fois les réseaux du gouvernement du Canada (GC) et les réseaux d entreprise. Dans ce document, on présume que lecteur a pris connaissance du document Exigences de base en matière de sécurité pour les zones de sécurité de réseau au sein du gouvernement du Canada (ITSG-22), publié par le Centre de la sécurité des télécommunications Canada en juin 2007. On peut consulter la publication sur Internet à l adresse suivante : http://www.csecst.gc.ca/documents/publications/itsg-csti/itsg22-fra.pdf 1.1 Contexte Le Centre de la sécurité des télécommunications Canada (CSTC) fournit des conseils et de l orientation aux ministères fédéraux concernant l application de la sécurité aux technologies de l information (TI). Ces conseils et cette orientation peuvent prendre la forme de documents que les gestionnaires et les utilisateurs peuvent consulter lors de la planification de nouveaux systèmes, de l acquisition de nouveaux dispositifs, de la modification de l infrastructure ou de l équipement en place, et de l établissement de programmes de sensibilisation à la sécurité. Le document contient de l information sur les zones de sécurité de réseau et les mesures de protection nécessaires pour l exploitation sûre de ces zones afin d assurer la protection de l information. 1.2 Objectif L objectif du présent document est d offrir aux gestionnaires et aux utilisateurs des conseils et de l orientation afin d assurer une exploitation sûre des zones de sécurité de réseau. Il cerne les risques de sécurité associés aux activités d exploitation dans une zone publique et à la connexion à une zone de travail par une zone d accès public. 1.3 Portée Le présent document comprend des lignes directrices sur la sécurité pour les employés qui œuvrent dans les environnements de travail de la zone publique et formule des recommandations et des pratiques exemplaires en matière de contrôle de la sécurité pour contrer les menaces associées à cette zone. Il contient également des lignes directrices qui permettent de déterminer si la connexion entre les zones est faisable ou souhaitable. 2009 1

1.4 Public cible Les gestionnaires, les utilisateurs et le personnel de TI d un environnement non classifié type du GC et d une entreprise devraient utiliser ce document. 1.5 Structure du document Le document contient l information suivante : Section 2 : Aperçu des zones de sécurité de réseau, y compris la zone publique, la zone d accès public et la zone de travail, description des problèmes de sécurité de TI qui existent entre les zones et des menaces liées à l exploitation de la zone publique, et recommandations visant la prévention des exploits de système. Section 3 : Description des différents environnements de travail, y compris les environnements de travail à domicile, les points d accès sans fil et l Internet câblé, pratiques acceptées en matière de sécurité des environnements de travail, et recommandations relatives à l atténuation des risques dans ces environnements. Section 4 : Description des préoccupations communes en matière de sécurité pour l ensemble des environnements de travail. Section 5 : Description des mesures communes d atténuation des risque de sécurité dans l ensemble des environnements de travail. Section 6 : Résumé de l information présentée dans le document. Section 7 : Bibliographie 2009 2

2 Aperçu des zones de sécurité de réseau La spécification de zone de sécurité de réseau, telle que la définit dans le document ITSG-22, devrait être utilisée comme ligne directrice pour l application uniforme des mesures de sécurité dans les différents environnements de réseaux interconnectés. Pour simplifier les choix de services de TI et assurer la prestation efficace des services de réseau tout en répondant à la majorité des besoins, les zones suivantes ont été définies : zone publique (ZP); zone d accès public (ZAP); zone de travail (ZT); zone d accès restreint (ZAR); zone d accès très restreint (ZATR); zone extranet d accès restreint (ZEAR); zone d accès spécial (ZAS). La présente section donne un aperçu de la zone publique, de la zone d accès public et de la zone de travail, expliquées en détail dans les sous-sections qui suivent. Les différentes zones sont interconnectées par un point d interface de zone (PIZ) qui fournit une interface réseau et sert de tampon pour l application des mesures de sécurité de périmètre, tel qu illustré à la Figure 1 : Modèle de configuration des zones de sécurité de réseau. Ces zones délimitent clairement les différentes frontières du réseau et mettent en évidence le périmètre de sécurité nécessaire à l établissement d une posture de défense robuste. Elles permettent : de définir les entités qui se trouvent dans les zones de sécurité de réseau; d identifier les points d entrée discrets; de filtrer le trafic réseau aux points d entrée; de surveiller l état du réseau; d authentifier l identité des entités de réseau; de surveiller le trafic réseau aux points d entrée. 1 1 Le document ITSG-22 définit en détail les différentes zones et le périmètre de sécurité requis. 2009 3

Figure 1 : Modèle de configuration des zones de sécurité de réseau 2.1 Zone publique La zone publique est un réseau public ouvert fonctionnant à l extérieur d un réseau d entreprise. Les employés et les utilisateurs qui y œuvrent doivent la traiter comme un environnement extrêmement hostile. L Internet public, fourni par les entreprises de télécommunications et des fournisseurs de services Internet (FSI), assure la maintenance et le fonctionnement de ce réseau, qui échappe au contrôle de gestion des services de TI des entreprises. En dépit des niveaux de risque que pose la zone publique, les organisations devraient utiliser les services de cet environnement pour simplifier les processus opérationnels et permettre un meilleur accès et une plus grande souplesse aux utilisateurs et aux télétravailleurs. La zone publique permet d améliorer les services de l entreprise et les possibilités de connexion du client. Compte tenu de tous ces éléments, les employés doivent adhérer strictement aux exigences de base en matière de sécurité afin de minimiser le risque des menaces dangereuses que la zone publique peut faire peser sur les systèmes d extrémité des autres zones ou les environnements de travail susceptibles d être compromis. 2.2 Zone d accès public La zone d accès public peut être considérée comme un intermédiaire qui gère l accès à l information qui circule entre la zone publique et les serveurs d application d entreprise 2009 4

hébergés dans la zone de travail. Toutes les interfaces publiques des services d entreprise en ligne doivent être développées et mises en œuvre dans la zone d accès public. Les clients n ont alors qu à accéder à ces interfaces qui acheminent ou régissent le trafic vers les systèmes d extrémité qui offrent le service demandé. La zone d accès public joue le rôle de barrière de sécurité de réseau d entreprise et met les serveurs internes connectés à la zone de travail hors de la portée des clients qui accèdent aux réseaux d entreprise par Internet. Cela permet de limiter l exposition des serveurs ou des ressources internes aux activités ou aux maliciels malveillants. En outre, les serveurs mandataires, que les employés doivent utiliser pour accéder aux applications Internet ou au service de courrier externe, devraient être installés dans la zone d accès public. Les applications ne devraient pas stocker d information sensible dans les bases de données des serveurs situés dans la zone d accès public. Cette information peut traverser la zone d accès public, mais la zone de travail doit la stocker dans ses systèmes d extrémité. La zone d accès public comprend plusieurs composants différents. La Figure 2 : Topologie logique d une zone d accès public, illustre les principaux composants d une zone d accès public type. Tel que décrit à la section 2, les zones s interconnectent par un PIZ. Le PIZ de zone publique dissimule les détails des services offerts par la zone de travail et permet de filtrer le trafic non désiré. Il se connecte à un réseau d accès externe (RAE), qui l aide à filtrer et à bloquer tous les types de trafic en provenance de la zone publique, sauf si le trafic en question concerne un service requis par l entreprise. Le PIZ et le RAE peuvent être perçus comme le premier niveau de défense contre une zone publique hostile. Ce premier niveau de défense ne filtre pas le trafic destiné à la passerelle externe ou d accès à distance puisqu il est chiffré. Le RAE est renforcé contre les attaques provenant des zones publiques. Plusieurs instances de la zone publique peuvent se connecter au RAE qui, à son tour, peut se connecter à plusieurs instances de la zone démilitarisée (DMZ). Les entreprises peuvent être propriétaires du RAE ou elles peuvent louer le RAE d un fournisseur commercial public. Dans les deux cas, l entreprise contrôle le réseau d accès externe. Toutefois, dans le cas du RAE d un fournisseur commercial, l entreprise n a aucun contrôle sur la possibilité que ce réseau loué soit partagé. Le premier niveau de défense s enclenche lorsque le trafic pénètre dans la DMZ, qui joue le rôle de tampon entre le RAE et le réseau d accès interne (RAI). Dans la DMZ, les systèmes d extrémité traitent le trafic de services avant de l acheminer vers le deuxième niveau de défense, le RAI. Comme c est le cas pour le réseau d accès externe (RAE), un RAI peut se connecter à plusieurs instances d une DMZ et d une zone de travail par un PIZ interne. Le RAI protège la DMZ des attaques de réseau provenant d un réseau interne telle la zone de travail. En remplissant ainsi une double fonction, le deuxième niveau de défense protège également la zone de travail contre les systèmes d extrémité mal configurés ou compromis. 2009 5

Zone publique ZAP PIZ de zone publique RA Système d'extrémité Système d'extrémité DMZ Système de frontière RAE-DMZ Système d'extrémité Système de frontière RAI-DMZ RA PIZ de zone publique Légende : Interface de bordure Interface de frontière Zone de travail ou d'accès restreint Figure 2 : Topologie logique d une zone d accès public 2009 6

Enfin, les systèmes d extrémité de la DMZ servent d interfaces publiques pour les utilisateurs qui tentent d accéder aux services de l entreprise par la zone publique. Ces systèmes hébergent des services d application, notamment les suivants : accès Web pour les employés du réseau d entreprise; accès des employés au courrier électronique; accès à distance des employés à domicile ou qui utilisent des dispositifs mobiles; services extranet assurant la connectivité aux sites partenaires; applications de prestation de services; services de soutien communs tels que le service de noms de domaine (DNS) ou le protocole de synchronisation réseau (NTP pour Network Time Protocol). 2.3 Zone de travail La zone de travail est l environnement où s effectuent les opérations quotidiennes régulières de l entreprise; elle contient la plupart des stations d extrémité et des serveurs d applications nécessaires à la prestation de services aux clients et aux employés de l entreprise. Les systèmes d extrémité peuvent traiter l information sensible dans cet environnement pour autant que des contrôles de sécurité appropriés soient en place. Il faut être prudent lorsque l on doit stocker de grands dépôts d information sensible ou exécuter des applications critiques dans cette zone. De manière générale, le trafic dans la zone de travail ne fait l objet d aucune restriction et peut provenir d employés internes ou de sources externes autorisées. Quant au trafic malveillant, il peut provenir de la zone publique, d employés de l entreprise ou même de systèmes d extrémité compromis ou de serveurs connectés à la zone de travail. Tel qu illustré à la Figure 3 : Topologie de la zone de travail, la zone de travail utilise une interface directe avec un PIZ de zone d accès public qui fournit le service demandé à l utilisateur. Les systèmes dans la zone de travail ne sont pas visibles par les utilisateurs qui se connectent par une zone publique. Le PIZ d accès public est connecté à un interréseau (toute combinaison de réseaux locaux, métropolitains ou étendus), tel qu illustré à la Figure 1 : Modèle de configuration des zones de sécurité de réseau. L espace d adresse dans cette zone est inaccessible et ne peut faire l objet d aucun routage tant en provenance de la zone publique qu à destination de celle-ci. Les systèmes d extrémité de la zone de travail répondent indirectement aux demandes de services de l utilisateur par l entremise des systèmes d extrémité de la zone d accès public, qui jouent le rôle de mandataires. Ces systèmes peuvent également offrir des applications Web que seuls les employés peuvent voir et utiliser. La zone de travail peut offrir les services suivants : 2009 7

applications ministérielles internes; services de fichiers et d impression pour les employés; soutien d accès des employés au Web; accès au courrier électronique; applications interministérielles; accès à distance pour les employés à domicile ou en voyage, y compris les accès à distance sans fil et les réseaux privés virtuels sécurisés (RPVS); services extranet; applications de prestation de services; services de soutien communs tels DNS ou NTP. 2009 8

Zone publique ZAP PIZ ZAP Système d'extrémité Système d'extrémité Interréseau PIZ ZT Zone de travail Système d'extrémité PIZ ZAR Zone de travail Légende : Système d'extrémité partagé Zone d'accès restreint Interface de bordure Interface de frontière Figure 3 : Topologie de la zone de travail Dans la zone de travail, un système d extrémité partagé est défini et connecté à deux zones réseau différentes afin d assurer le partage des ressources et des services. Le trafic ne peut être acheminé ni faire l objet d un routage par ce serveur partagé. Une zone de travail peut également s interconnecter à d autres zones de travail ou à d autres types de zones réseau. Une zone de travail ne devrait pas contenir d applications essentielles nécessitant une forte disponibilité. Toutefois, elle peut servir de voie de communications vers ces applications qui résident dans des zones plus restrictives et sécurisées. 2.4 Problèmes de sécurité communs à toutes les zones Les zones définies à la section 2 présentent toutes des problèmes de sécurité. Différentes menaces sont associées à chaque zone et exigent des contrôles de sécurité propres à chacune. 2009 9

2.4.1 Zone publique et zone d accès public Les menaces de réseau les plus graves sont associées au trafic émanant de la zone publique, environnement le plus hostile. Les ingénieurs de réseau doivent déployer des contrôles de sécurité stricts pour prévenir les exploits de système. 2.4.1.1 Maliciel Le terme maliciel désigne tout logiciel malveillant créé dans le but d infecter, de compromettre ou d endommager un réseau ou un système informatique à l insu de son propriétaire ou sans son consentement. Les attaquants ont initialement utilisé les maliciels pour acquérir de la notoriété. Aujourd hui, toutefois, ils les utilisent pour infecter les systèmes et frauder les utilisateurs et les institutions financières vue de tirer des avantages financiers. Les infections par maliciel utilisent principalement Internet, qui réside dans la zone publique, pour propager des virus et infecter les systèmes d extrémité. Depuis la zone publique, un attaquant peut tenter de repérer des systèmes d extrémité actifs dans la zone d accès public. En théorie, toute tentative de connexion directe de la zone publique à la zone de travail est impossible. Après avoir cerné un système d extrémité actif, l attaquant vérifie les services et le système d exploitation hébergés dans l hôte ou le serveur. Il analyse et sonde clandestinement les services disponibles puis lance des exploits contre les dispositifs vulnérables qui n ont pas été mis à jour ou auxquels aucune rustine n a été appliquée. Les fournisseurs de systèmes d exploitation et d applications diffusent continuellement des correctifs pour les vulnérabilités relevées par les chercheurs ou au moyen de leurs propres tests. Ces correctifs sont diffusés dans des mises à jour ou des rustines. La gestion des rustines est essentielle si l on veut contrer plusieurs des menaces. La mise hors de portée des ressources par encapsulation, p. ex., la traduction d adresses de réseau (NAT), permet de réduire le point d attaque et les possibilités d infection par maliciel. 2.4.1.2 Disponibilité des systèmes d extrémité Une autre menace, le déni de service, influe sur la disponibilité des services en diminuant le rendement ou en désactivant le système d extrémité qui héberge le service. Les attaques par déni de service (DoS) ou par déni de service distribué (DDoS) exploitent la disponibilité des systèmes d extrémité par un envoi massif de données ou une réorientation du trafic vers le système d extrémité, opérations qui nuisent au rendement du système qui tente de traiter la surcharge de trafic. Ce type d attaque contre les systèmes d extrémité de la zone d accès public est confiné à cette zone. Toutefois, les utilisateurs qui se connectent à partir du Web n ont plus accès aux services ou doivent composer avec de sérieux délais. 2009 10

2.4.1.3 Accès non autorisé Il existe une possibilité que les comptes d utilisateur ou les systèmes d extrémité de la zone d accès public soient menacés par un accès non autorisé. Un attaquant qui réussit un tel accès aux systèmes d extrémité peut compromettre de nombreux comptes d utilisateur. Il est donc extrêmement important de pouvoir compter sur des contrôles de sécurité appropriés pour prévenir ce type d accès. L utilisation de mots de passe robustes 2 ou d autres justificatifs d identité de connexion (p. ex., des certificats) permet de réduire cette menace. Les utilisateurs et les administrateurs continuent d utiliser des mots de passe faibles que l on peut deviner ou craquer par la force brute. Les utilisateurs qui se connectent au Web ont besoin d interfaces sécurisées pour tous les services où il y a transmission de mots de passe ou de renseignements personnels. Une voie de communication non sécurisée permet aux écouteurs clandestins de voir et d analyser l information sensible. L intégrité, l authenticité et la confidentialité des renseignements personnels devraient être protégées en utilisant des protocoles de sécurité aux couches supérieures. 2.4.1.4 Erreurs d exploitation et de configuration Une mauvaise configuration du réseau ou des contrôles de sécurité peut fournir à un attaquant un chemin direct dans la zone de travail ou un accès non autorisé aux systèmes d extrémité de la zone de travail ou de la zone d accès public. Il est essentiel de déterminer si de telles erreurs d exploitation existent. Les ingénieurs de réseau devraient limiter le nombre de systèmes d extrémité et de PIZ afin de réduire le nombre d erreurs d exploitation et de configuration. Un processus approprié de gestion des changements de configuration doit réduire les modifications effectuées par inadvertance et susceptibles d influer sur la posture de sécurité du réseau. 2.4.2 Employés dans la zone de travail Les employés représentent la menace la plus sérieuse dans la zone de travail. Parce qu ils sont susceptibles de tomber dans les pièges de l ingénierie sociale décrits à la section 2.4.2.2, les employés peuvent compromettre les systèmes d extrémité par mégarde. Normalement, il est impossible d accéder directement à la zone de travail à partir de la zone publique puisque les ressources sont encapsulées et empêchent de voir les systèmes d extrémité. Toutefois, un cheval de Troie de type porte dérobée peut créer une connexion entre un système d extrémité infecté et le Web, ouvrant ainsi un canal d accès à un attaquant qui se trouve dans la zone publique. 2 La gestion des mots de passe devrait respecter la politique ou les lignes directrices du ministère ou de l organisme en matière de sécurité. 2009 11

2.4.2.1 Dispositifs infectés La multitude de méthodes d accès aux réseaux ou aux renseignements personnels accroît la forte possibilité de menaces dans les zones de travail. Les portables peuvent être infectés lorsqu un employé en voyage accède directement à une zone publique. À son retour au travail, l employé connecte le portable infecté à la zone de travail et celui-ci devient le point de départ d attaques contre les services de réseau. L infection virale peut alors se répandre et se propager aux systèmes d extrémité de la zone actuelle et de la zone d accès public. Le maliciel peut ainsi ouvrir des chemins de communication aux attaquants qui résident dans la zone publique. Cette possibilité s applique également aux maliciels des téléphones intelligents qui se connectent à la zone de travail par un point d accès Wi-Fi ou une clé USB infectée branchée dans un système d extrémité. Les contrôles de sécurité devraient limiter la propagation du trafic malveillant. Le branchement d un dispositif non autorisé à une interface existante peut poser un risque important lorsque le dispositif est déjà infecté; et s il n a pas été mis à jour (rustines), il y a de fortes probabilités qu il devienne infecté. 2.4.2.2 Ingénierie sociale Des activités d ingénierie sociale peuvent être lancées de la zone publique et, ainsi, affecter à la fois la zone d accès public et la zone de travail. Les activités exécutées par les utilisateurs d un réseau interne peuvent menacer par inadvertance la zone de travail et ses systèmes d extrémité. Un service Web offert dans la zone d accès public peut faire l objet d un hameçonnage, forme particulière d ingénierie sociale. L hameçonnage fait en sorte qu un employé, qui accède à un site dangereux et qui l utilise, peut compromettre ses renseignements personnels. L authentification mutuelle, de l utilisateur au service et du service à l utilisateur, permet d éliminer l hameçonnage. Voir la section 4.4 pour plus de détails à ce sujet. 2.4.2.3 Employés mécontents L existence dans la zone de travail de contrôles stricts contre les intrusions à partir de la zone publique ne peut éliminer une source interne importante de menaces : l employé. Voir la section 4.8 pour plus de détails à ce sujet. Le confinement des menaces dans la zone de travail est essentiel puisqu elles ne devraient pas se propager à la zone d accès public ou aux autres zones. 2009 12

2.4.3 Attaques depuis la zone d accès public Les systèmes d extrémité infectés de la zone d accès public doivent être filtrés ou bloqués afin d éviter les attaques lancées depuis la DMZ et susceptibles de se propager par le RAI à la zone de travail. Ce confinement permet de limiter les activités malveillantes à la DMZ. La zone d accès public doit utiliser les contrôles de sécurité les plus stricts puisqu elle offre des services et des systèmes d extrémité au public et qu elle est la première ligne d attaque de la zone publique. Tout le trafic doit être intercepté dans la zone d accès public pour être ensuite acheminé, directement ou par mandataire, vers la zone de travail afin de réduire le risque d infection des systèmes d extrémité de la zone de travail. 3 Environnements de travail 3.1 Point d accès sans fil 3.1.1 Définition Actuellement, la norme est d offrir aux employés et aux utilisateurs mobiles la souplesse nécessaire pour leur permettre de demeurer hyperconnectés au Web en tout temps et en tout lieu. L adoption rapide des téléphones intelligents et des dispositifs sans fil permet aux employés et aux utilisateurs d accéder très facilement au courrier électronique et à leurs renseignements personnels. Un point d accès sans fil est un réseau sans fil exploité et géré par un fournisseur de services dans une zone publique commerciale et qui permet d obtenir une connectivité Internet. Certains des points d accès sans fil les plus populaires se trouvent dans les aéroports, les hôtels et les cafés-restaurants. La majorité des points d accès utilisent un lien Wi-Fi dont la portée est limitée à environ 30 mètres. Voir la Figure 4 : Point d accès sans fil. La technologie sans fil pose davantage de risques que la technologie câblée puisqu elle permet plusieurs points d accès différents à un réseau. Il est plus difficile de valider l authentification mutuelle entre un dispositif sans fil d utilisateur et le point d accès. 2009 13

Portable Routeur, coupe-feu, UTM Linux/FreeBSD Point d accès sans fil Point d accès sans fil Commutateur Ethernet Administrateur Figure 4 : Point d accès sans fil 3.1.2 Préoccupations au plan de la sécurité Une liaison sans fil transmet les données par ondes radioélectriques. Des utilisateurs malveillants peuvent sans problème écouter clandestinement et intercepter le trafic sans fil pour l analyser, opération très facile comparativement à l écoute des réseaux câblés. Lors des connexions à un point d accès sans fil, il doit exister une confiance mutuelle entre l utilisateur et le fournisseur du point d accès sans fil. La technologie Wi-Fi intègre une suite de fonctions de sécurité appelées normes WPA/WPA2. Toutefois, la majorité des fournisseurs n activent pas ces fonctions lors d une liaison sans fil puisque la gestion des utilisateurs s avère très difficile. En effet, la diffusion de mots de passe ou de clés aux nouveaux utilisateurs est compliquée. C est pourquoi les fournisseurs désactivent de manière générale les normes WPA/WPA2. Puisque les fonctions de sécurité des liaisons sans fil sont désactivées, les utilisateurs doivent assurer leur propre protection (contrôles de sécurité au niveau application, RPV et pratiques exemplaires en matière de communications sans fil). 3.1.2.1 Liaisons sans fil non sécurisées La plupart des fournisseurs de points d accès sans fil désactivent les fonctions de sécurité, telle la norme WPA2, exposant ainsi l hôte de connexion aux attaques des utilisateurs d autres dispositifs sans fil. Qu un RPV soit utilisé ou non pour tunneliser les données d application chiffrées par la liaison Wi-Fi et la zone publique, il existe des risques de sécurité inhérents. Dans le cas d une connexion Wi-Fi non sécurisée, le dispositif de l utilisateur diffuse les noms de 2009 14

groupe de travail, de domaine et de partage. En utilisant cette information, un attaquant peut vérifier s il y a des ports ouverts dans le portable pour tenter d infecter le dispositif avec un maliciel ou pour extraire des fichiers des dossiers navigables. Dans le cas où l on n utilise pas de RPV ni d applications sécurisées, les données qui transitent par la liaison sans fil peuvent être interceptées par écoute clandestine puis analysées aux fins de repérage d information sensible (mots de passe, sites visités et information sur les comptes). 3.1.2.2 Réseaux ad hoc Dans un point d accès sans fil public (par exemple, un aéroport), les attaquants peuvent créer des réseaux ad hoc auxquels ils donnent un nom de réseau sans fil (SSID pour Service Set Identifier) semblable à celui d un fournisseur de points d accès sans fil légitime pour amener l utilisateur à se connecter à leur réseau. Un réseau ad hoc est créé lorsqu un dispositif tel un portable sert de point d accès pour les connexions d autres dispositifs sans fil. Tel qu illustré à la Figure 5 : Réseau, ce type de réseau est clairement indiqué par une icône représentant deux portables interconnectés plutôt qu une antenne radio, symbole normalement utilisé pour les vrais réseaux Wi-Fi. Figure 5 : Réseau ad hoc Quiconque se connecte à un réseau ad hoc malveillant permet à l attaquant d écouter clandestinement le trafic pour intercepter éventuellement de l information sensible telle que des mots de passe ou des comptes. Un autre problème que pose ce genre de réseau est qu il permet à l ordinateur qui l héberge d utiliser le dispositif pour accéder à Internet et, dans la pire des éventualités, aux fichiers qu il contient. 2009 15

Un réseau ad hoc permet des attaques par interception; dans ce type d attaque, un attaquant malveillant prétend être le portail Web de connexion du point d accès sans fil ou un autre service Internet, tel Amazon, pour voler de l information précieuse (p. ex., des mots de passe, des numéros de carte de crédit, etc.). 3.1.2.3 Points d accès indésirables Des attaquants peuvent facilement créer un point d accès indésirable dans des aéroports ou des hôtels et se faire passer pour un fournisseur autorisé de points d accès sans fil en utilisant le même nom de réseau (SSID). Les utilisateurs qui captent le signal plus puissant de ce point d accès indésirable s y connecte en croyant qu il s agit d un service légitime. Une fois la connexion établie, elle est sujette aux mêmes menaces que celles mentionnées à la section 3.1.2.1. 3.1.2.4 Connexions automatiques aux points d accès La majorité des clients Wi-Fi se reconnectent automatiquement au point d accès utilisé antérieurement. Un attaquant configure le nom de réseau (SSID) d un aéroport populaire dans un réseau ad hoc ou un point d accès indésirable et utilise ce dispositif malveillant dans un point d accès sans fil différent. Les utilisateurs, sans qu ils ne s en apperçoivent, sont connectés automatiquement à ce dispositif dès que la fonction Wi-Fi est activée. Pour ce type d attaque, on présume que le SSID de l aéroport populaire figure plus haut dans la liste des sites préférés que celui du point d accès sans fil actuel. Les mêmes menaces que celles mentionnées à la section 3.1.2.1 s appliquent. 3.1.2.5 Attaque par déni de service sur un point d accès sans fil Une attaque par déni de service (DoS) sur un point d accès sans fil peut empêcher l utilisateur mobile d effectuer des travaux essentielles pour sa mission et être à l origine de pertes financières potentielles. L inondation de canal, qui a pour effet de rompre l association entre l utilisateur et le point d accès, est une façon de lancer ce genre d attaque. 3.1.2.6 Voyages à l étranger Que l utilisateur soit connecté à un point d accès sans fil au Canada ou qu il accède à un point d accès de l étranger, les mêmes préoccupations au plan de la sécurité, mentionnées précédemment dans la présente section, s appliquent. 3.1.3 Atténuation des risques Même si les points d accès sans fil représentent des environnements très hostiles, les travailleurs mobiles peuvent les utiliser en toute sécurité en respectant les stratégies d atténuation du risque abordées dans la présente section. 2009 16

3.1.3.1 Renforcement des dispositifs On devrait traiter chaque point d accès sans fil comme un environnement hostile même si les services qu il offre ont déjà été utilisés. Il faut désactiver les services inutiles du dispositif Wi-Fi client, tel le partage de fichier et d imprimante, ainsi que les services du système d exploitation tel le protocole Universal Plug and Play, le partage et l aide à distance des postes de travail, la maintenance à distance du registre, et le routage et l accès à distance. Le protocole SSDP (Simple Service Exploration Protocol) permet de détecter les dispositifs qui utilisent le protocole UPnP (Universal Plug and Play) dans le réseau de base et devrait être désactivé puisqu il n établit pas de distinction entre les différents signaux et peut éventuellement permettre à un agent de menace d accéder au système. Il faut s assurer que le système d exploitation du dispositif à été mis à jour (rustines) et que toutes les vulnérabilités d application ont été corrigées, de préférence automatiquement, par des mises à jour de sécurité. Il faut empêcher et décourager les accès non autorisés aux dispositifs en protégeant l information sensible par des mots de passe robustes. 3.1.3.2 Coupe-feu personnel Il faut établir un coupe-feu personnel à la jonction du point d accès sans fil et utiliser le dispositif au niveau de sécurité le plus élevé, sans exceptions. Le dispositif doit être utilisé en «mode furtif» dans le réseau afin de prévenir les attaques entrantes. Le mode furtif désigne l état d un système qui ne répond pas aux demandes de connexion non sollicitées; il est activé lorsque le coupe-feu personnel est configuré de manière à refuser toute demande de connexion entrante. 3.1.3.3 Connexions Wi-Fi manuelles La configuration de réseau de client sans fil que privilégie le client doit prévoir une connexion manuelle et non automatique. Cela permet d éviter la connexion à un point d accès malveillant ou à un réseau ad hoc dont le nom de réseau a été trafiqué. Par contre, la connexion manuelle à un point d accès sans fil non sécurisé ne garantit pas qu il s agit vraiment du point d accès du fournisseur prévu, sauf si la norme WPA est utilisée aux fins de sécurité et d authentification mutuelle. Dans ce dernier cas, il faut s assurer que la configuration du client sans fil permette de «valider les certificats». La politique de sécurité locale devrait également interdire à l utilisateur de se connecter aux réseaux ad hoc. Certains systèmes d exploitation peuvent être configurés de manière à interdire les connexions à ces réseaux. 3.1.3.4 Données chiffrées Les travailleurs mobiles devraient choisir des points d accès sans fil sécurisés par défaut avec les normes WPA/WPA2. Tous les paquets qui transitent par ces liaisons sont chiffrés. Les paquets sont déchiffrés au point d accès et transmis tel quel par la zone publique Internet. Si les données 2009 17

sont sensibles, on doit utiliser d autres outils de chiffrement pour assurer la confidentialité de bout en bout de l information. S il est impossible de trouver un point d accès sans fil sécurisé et que l utilisateur accepte le risque, il faut s assurer de ne transmettre aucune information sensible, sauf si un RPV sécurisé est utilisé ou si l application ou le site client est protégé par le protocole SSL. Dans le cas des travailleurs mobiles qui ne peuvent compter sur un RPV approuvé par l entreprise, toute connexion dans la zone de travail peut poser une menace au réseau d entreprise et n est donc pas recommandée. 3.2 Internet câblé et sites d accès public à Internet 3.2.1 Définition L Internet câblé désigne l ensemble des dispositifs physiques et des protocoles de communication utilisés pour naviguer dans les sites Web 3 sur Internet (WWW). Cette zone, entièrement ouverte, regroupe des réseaux publics tel Internet, le réseau téléphonique public commuté (RTPC), et autres services et réseaux dorsaux d entreprises de télécommunications publiques. Un environnement de travail Internet câblé comprend tous les emplacements physiques à l extérieur de l entreprise à partir desquels un employé peut utiliser un ordinateur de l entreprise ou un ordinateur public commercial relié à Internet par un câble Ethernet. Les postes de travail utilisés dans les cybercafés, les kiosques, les chambres d hôtel et les salles de conférence sont des exemples de ce type d environnement. Internet fait en sorte que des millions de dispositifs informatiques permettent aux internautes de consulter les services et la gamme de produits d une entreprise dans le but de comprendre ses objectifs commerciaux et de connaître les services qu elle offre. De plus, Internet offre aux employés une solution souple, et relativement peu coûteuse, d accès et d utilisation des applications de l entreprise (courrier électronique, traitement de texte, etc.) et de transmission de ses données. 3.2.2 Problèmes de sécurité communs La conception même d Internet pose des risques au plan de la sécurité et permet, à ceux qui sont intéressés à tirer avantage de ces lacunes, d explorer le réseau d une entreprise ou d exposer la topologie et les applications de ce réseau. Dans un site public, l accès à l Internet câblé est source de menaces importantes que des intrus peuvent exploiter pour compromettre les faiblesses du réseau et porter préjudice à la 3 Ces sites chapeautent Internet; il s agit essentiellement d une collection de serveurs HTTP (Hypertext Transfer Protocol) qui hébergent et gèrent les sites Web selon un format accessible sur un moniteur. 2009 18

confidentialité, l intégrité et la disponibilité des ressources d information. Il est virtuellement impossible d appliquer des mesures de sécurité à l Internet câblé puisque le contrôle de cet environnement de travail échappe aux propriétaires de réseaux. Par conséquent, l Internet câblé est extrêmement hostile et pose des risques supplémentaires aux systèmes qui s y relient, particulièrement lors des accès à partir de sites d accès public telles les chambre d hôtel, les cybercafés, etc. 3.2.2.1 Plateformes informatiques non normalisées Dans la plupart des cas, les dispositifs réseau des sites d accès public connectés à l Internet câblé ne sont ni normalisés, ni mis à jour (rustines les plus récentes du système d exploitation, protection contre le code malveillant, etc.) et peuvent donc être infectés par des bogues logiciels ou exposés à des pannes matérielles ou mécaniques. De plus, il peut arriver que les commutateurs de réseau et les coupe-feu ne soient pas renforcés en conformité avec des normes suffisamment strictes. Quiconque utilise ces réseaux doit en assumer les risques inhérents. 3.2.2.2 Risques associés aux sites Internet publics Les compagnies qui offrent un accès public à l Internet câblé ne garantissent pas l intégrité du système durant son utilisation. Compte tenu du taux élevé d utilisation et de l environnement hostile de ces sites, l utilisateur ne connaît pas toujours les risques associés à l utilisation des postes de travail publics. Souvent, dans ces établissements, la page d accueil affiche (au moment de l ouverture de session) un «Contrat d utilisation» dont les utilisateurs acceptent les modalités avant qu on leur accorde l accès à Internet. Les responsabilités énoncées ne sont pas toujours claires et concernent habituellement davantage les risques associés à la navigation plutôt que ceux liés à l intégrité des systèmes hôtes. Des messages d avertissement publics peuvent souligner au visiteur qu il utilise le réseau à ses propres risques, mais le genre de risque auquel il s expose n est pas clairement défini. En plus, il peut arriver que les mesures de sécurité, tels les coupe-feu ou la protection contre le code malveillant, n aient pas été installées correctement dans ces sites, et que leur configuration ne reflètent pas les pratiques exemplaires à cet égard. La navigation Web sur un ordinateur commercial public dans un environnement de travail Internet câblé pose plusieurs risques de sécurité; par exemple : une session de navigation laisse des traces dans des fichiers de mémoire cache dans le disque local. En utilisant cette mémoire cache, des attaquants peuvent extraire de l information sensible tels les comptes de connexion de l entreprise; certains sites Web utilisent des témoins dans lesquels ils conservent l information de connexion, tels des numéros de compte ou des mots de passe, afin de s en servir ultérieurement pour accélérer et faciliter l accès de l utilisateur au site. Le navigateur transmet cette information chaque fois que l utilisateur accède au site. Certaines 2009 19

applications ne chiffrent pas les données de témoin, exposant ainsi les données sensibles qui se trouvent sur le disque à des attaquants potentiels. Les témoins peuvent contenir de l information sur l entreprise ou activer des services dans le réseau d entreprise; la navigation occasionnelle peut donner lieu à des téléchargements automatiques au cours desquels un maliciel se télécharge de manière transparente et indirecte, à l insu de l utilisateur et sans son consentement. Ce type de téléchargement peut se produire lorsque le site principal visité crée des renvois ou des index vers le site attaquant ou compromis. Les navigateurs et les clients de courrier électronique peuvent déclencher ces téléchargements automatiques. Dans le cas des clients de courrier électronique, le maliciel demande à l utilisateur d intervenir pour lancer le processus de téléchargement, alors que les navigateurs peuvent enclencher automatiquement le téléchargement lorsque Javascript, les applets Java, ActiveX, ou les fenêtres en incrustation sont activés; les plugiciels du navigateur sont également une source d attaque pour les utilisateurs malveillants. Ils peuvent télécharger des plugiciels qui contiennent un maliciel ou ne pas mettre à jour (rustines) les plugiciels autorisés, exposant ainsi leurs vulnérabilités. 3.2.2.3 Fuite de données Les fuites de données prennent plusieurs formes et peuvent être accidentelles, c est-à-dire, découler d une erreur humaine. Toutefois, elles sont le plus souvent le résultat d opérations ciblées spécifiques, parfois même de la part d employés à qui l on accorde une grande confiance. Un site public présente un risque élevé de fuite de données puisque l intégrité de la sécurité des postes de travail qui s y trouvent est inconnue. Des fuites de données peuvent se produire lorsque : l utilisation de clés USB est permise sans que les restrictions de sécurité de point terminal ne soient appliquées; des fichiers sensibles d entreprise sont téléchargés dans des postes de travail public; de l information sensible est transmise dans des réseaux non approuvés; une «porte dérobée» d un réseau demeure ouverte par inadvertance, par exemple, un système sans surveillance connecté à un système de l entreprise, ou le maliciel d un système public qui maintient la connexion après que l utilisateur croit l avoir rompue. 3.2.2.4 Intégrité des systèmes hôtes Il est fort probable que les postes de travail dans les sites publics soient configurés de manière à offrir un compte «visiteur» commun doté de privilèges restreints. Cela peut empêcher l utilisateur d apporter des changements administratifs à l image de base; toutefois, cela 2009 20

l empêche également de valider la posture de sécurité du poste de travail ou d effacer l historique de navigation. L utilisateur devrait alors présumer que les fonctions de protection contre le code malveillant de ces postes sont désuètes ou inexistantes et que les coupe-feu personnels sont mal configurés. Un employé ne peut vérifier l intégrité d un système d extrémité commercial public, ce qui signifie que des maliciels s y trouvent peut-être. À titre d exemple, un système d extrémité peut cacher un enregistreur de frappe qui saisit toutes les activités exécutées au clavier et permettre à un attaquant de découvrir de l information sensible telle que des numéros de compte et des mots de passe. 3.2.2.5 Vulnérabilités des réseaux L exploitation des faiblesses de l interface réseau du périmètre d une infrastructure commune peut également faciliter la compromission de la confidentialité, de l intégrité et de la disponibilité des ressources dans les sites d accès public Internet. La non-application des pratiques exemplaires de l industrie peut avoir les effets suivants : faiblesse des attributs d architecture de réseau en raison de la non-utilisation de routeurs, de coupe-feu ou de commutateurs dans des réseaux locaux virtuels (VLAN pour Virtual Local Area Network) distincts pour surveiller et restreindre l accès; réseaux publics et d entreprise non séparés soit physiquement, soit par des contrôles logiciels stricts; filtres de sécurité qui peuvent être restrictifs et empêcher l utilisation de ports et de protocoles de RPV dans le réseau nécessaire à l établissement d une session RPV 4 ; accroissement des tentatives réussies de contournement des mécanismes de sécurité de l Internet câblé. 3.2.2.6 Voyages à l étranger Les conférences et les congrès attirent beaucoup de visiteurs intéressés dans les autres pays. Les voyageurs qui utilisent un réseau dans un hôtel ou un site d accès public à Internet pour effectuer leurs opérations risquent de voir leur information sensible compromise. Par exemple, l espionnage industriel est une activité majeure; un pirate peut cibler un congrès international pour accéder à la propriété intellectuelle ou aux secrets commerciaux d une entreprise. Habituellement, pour cibler et exécuter ces menaces, le pirate a besoin de l aide d une taupe (pirate interne). 4 Nota : Les ports RPV sont couramment utilisés et constituent virtuellement la seule façon vraiment sûre pour un utilisateur de se connecter à un emplacement éloigné. 2009 21