La sécurité informatique du côté utilisateur Xavier Montagutelli Service Commun Informatique RSSI Université de Limoges Henri Massias XLIM - CNRS UMR 6090 Université de Limoges
Licence Copyright (c) 2005 Henri Massias Copyright (c) 2006 Jean-Pierre Laîné, Xavier Montagutelli Copyright (c) 2007 Xavier Montagutelli Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". http://www.gnu.org/licenses/fdl.txt
Plan Introduction Quelques principes de fonctionnement des réseaux Les menaces Chartes, lois et règles de bon usage pour se protéger
Objectifs En terme de sécurité informatique, le maillon faible est souvent la personne car elle n est pas formée ni sensibilisée Cette session est une sensibilisation, généraliste, pour pouvoir utiliser l'outil informatique de façon plus fiable Avoir une idée du fonctionnement et connaître les faiblesses Quelle sont les «menaces»? Connaître les «bonnes» règles de bases Apprendre les codes de bonne conduite
L'informatique à l'université / dans une entreprise Utilisateurs Ordinateur portable Réseau Internet : Web Mail (P2P) Donneés Pirates? Serveurs, applications
Domaines de la sécurité Fonctionnement des réseaux Dangers d'internet : Les courriels Les virus Les sites webs Environnement légal, règles d'utilisation Réseau Wi-Fi
Investissement de l'utilisateur Comprendre Réfléchir Se sentir concerné!
Plan Introduction Quelques principes de fonctionnement des réseaux Les menaces Chartes, lois et règles de bon usage pour se protéger
Fonctionnement Réseaux IP, Internet (1) Internet : le réseau de tous les réseaux IP 35 ans, projet de recherche du département de la Défense des Etats-Unis Est devenu populaire dans les années 90, surtout après l'invention du web (au CERN) Environ 1 milliard d internautes De l ordre de 300 millions de machines connectées Plusieurs dizaines de millions de serveurs web Plus de 4 milliards de pages web indexées dans Google
Fonctionnement Réseaux IP, Internet (2) Les machines sont identifiées par une adresse IP, de la forme 164.81.1.45 On peut leur donner un petit nom, plus facile à retenir (Domain Name System, DNS), par exemple www.unilim.fr Les serveurs de nom du DNS font la traduction nom / adresse Les passerelles ou routeurs (gateway) relient des réseaux (dits locaux) entre eux Les informations circulent sous forme de paquets, d'une machine source à une destination, à travers les éléments du réseau (signal électrique dans des câbles ou ondes radio, commutateurs, passerelles,...)
Fonctionnement Réseau Renater (1) Réseau National de Télécommunications pour la Technologie, l'enseignement et la Recherche http://www.renater.fr 800 sites reliés en France, dont l'université de Limoges Nous relie au reste d'internet Règles d utilisations reprises dans la charte de bons usages de l université (disponible site du SCI) Equipe sécurité, le CERT-Renater (Computer Emergency Response Team), en relation avec les autres CERT mondiaux
Fonctionnement Réseau Renater (2)
Fonctionnement Réseau Renater (3)
Fonctionnement Consulter le web Je veux la page web Voilà la page 103.89.78.145 Qui est www.marchand.com? Serveur web Serveur DNS
Fonctionnement Anonymat du web? Obligation de journalisation pour les FAI (Décret n 2006-358). Les Universités sont soumises à ce régime Traces de la navigation sur Internet utilisables par les sites visités : Adresse IP, donc connaissance de l'organisme (whois), localisation géographique (geoip) Dernier site visité (referrer) Système d exploitation, navigateur utilisé,
Fonctionnement Certificats, sites webs HTTPS (1) Un certificat est un document électronique, présenté par une entité (utilisateur, serveur web) et signé par une autorité dite de confiance Dans le cadre des connexions HTTPS, son utilité est de : Vérifier l identité du site (le site web est bien celui que vous voulez visiter) Créer un canal «sécurisé» du poste au serveur (on ne peut pas écouter la conversation)
Fonctionnement Certificats, sites webs HTTPS (2) Connexion «HTTPS» : un élément de sécurité, mais ce n'est pas une réponse complète Vérification sur le certificat Le certificat est-il toujours (déjà) valide? Peut-on faire confiance à l autorité de certification? Sa signature est-elle valide? Le nom de domaine du serveur correspond-il au nom de domaine du serveur indiqué dans le certificat? L'utilisateur clique souvent «oui» sans vérifier / comprendre ce que dit le navigateur Rien ne garantit que le site visité est «sain» ou honnête! Certificats utilisés aussi pour les connexions mails sécurisées (smtps, pops, imaps), disponibles à l'université
Plan Introduction Quelques principes de fonctionnement des réseaux Les menaces Chartes, lois et règles de bon usage pour se protéger
Menaces Généralités (1) Elles peuvent être intentionnelles, ou pas Elles peuvent provenir de l'extérieur (Internet), ou de l intérieur (du réseau «de confiance») Elles peuvent être dûes à : des pannes des évènements naturels des erreurs humaines des malveillances (virus, piratage, v ) de l espionnage ciblé...
Menaces Généralités (2) Elles peuvent porter sur : disponibilité des données et des services : déni de service, panne électrique, l intégrité des données : modification de pages web, falsification de documents, la confidentialité des données : divulgation d'informations confidentielles Elles peuvent avoir des conséquences : sur la productivité sur l image financières (détournement d argent, perte de clients) légales (nous sommes responsables)
Menaces Généralités (3) Pourquoi s en faire? «Je n ai pas de données importantes» «Qui pourrait m en vouloir?» «Je n ai rien à cacher» «Je suis tout seul dans ma bulle» Ne pas tomber dans la paranoïa pour autant prendre une «assurance» proportionnelle à la valeur de l'information pour cela il faut connaître et comprendre les risques mais ne pas sous-estimer la valeur de l'information!
Menaces Courriel et spam «pourriel» : publicité, escroquerie, Faire attention où on laisse son adresse mél (moteurs d extractions) Ne pas répondre à un spam ni cliquer sur un lien Afin de respecter la loi, un certain nombre de sites proposent un lien de désabonnement : à utiliser après réflexion Détecter les spams pour éviter d'être noyé : Utiliser un filtre antispam sur votre client Ou utiliser la notation faite par le serveur de l université : les messages sont marqués {Spam?}, et à travers le webmail, activer le tri automatique
Menaces Courriels et canulars «Hoax» «On cherche la petite lili, disparue. Aidez-nous! Voilà sa photo» «Effacez tel fichier, c'est un virus» Effet «boule de neige», aux conséquences pas forcément anodines! http://www.hoaxbuster.com
Menaces Courriels et phishing (1) Hameçonnage : un courriel semble provenir de votre banque (ou d un site qui a votre numéro de carte bleue : e-bay, ) Vous cliquez sur un lien web et vous visitez un site qui n est pas le vrai (mais qui lui ressemble terriblement) Vise aussi les internautes français! A l'université, le serveur de messagerie essaie de vous prévenir : Mailscanner soupçonne le lien suivant d'être une tentative de fraude
Menaces Courriels et phishing (2)
Menaces Courriels et virus Les courriels étaient traditionnellement un vecteur pour les virus sous forme de pièce jointe d'apparence innocente : masquage d'extension (double extension «fichier.doc.exe», espaces «fichier.exe»), avec une extension inconnue du grand public (fichier.pif), etc. Les messageries arrêtent facilement ces menaces. A l'université, le sujet du message sera marqué {Virus?} Avec du «social engineering» plus ou moins évolué, on peut pousser les utilisateurs à installer eux-mêmes le virus : lien pour visiter un site web, programme déguisé, etc.
Menaces Les virus Programme malveillant capable de se reproduire de luimême. Vocabulaire : Ver : virus capable de se propager tout seul à travers un réseau Troyen (cheval de Troie) : programme malveillant caché dans un programme «gentil» Backdoor (porte dérobée) : programme permettant à son concepteur de s'introduire dans le système afin d'en prendre le contrôle Rootkit : programme qui rend le virus invisible Botnet : réseau d'ordinateurs zombies contrôlés par un pirate
Menaces Les pourriciels Une notion plus large que celle de virus, qui ne sont plus le danger principal Les pirates ont des motivations différentes : contrôler des botnets, pour eux ou pour louer leur service, voler de l'argent, Le Monde, 8 octobre 2007 - Cyberdélinquance : des pirates devenus "pros" Exemple des spyware (logiciels espions), inclus dans certains programmes «gentils», et servant ensuite à récupérer vos mots de passe, vos frappes clavier (keylogger) : l'utilisateur l'installe souvent lui-même!
Menaces Sites webs hostiles La menace principale, surtout avec le web 2.0? «Visiter» un site web n'est pas anodin! Vous êtes invité à visiter un site d'un pirate, ou contrôlé, ou modifié, par un pirate Ce que l'on voit n'est pas tout (<iframe> et <div> invisibles, code javascript, etc.)! Le site peut essayer d'infecter votre machine à travers une faille du navigateur Il peut aussi y avoir des tentatives de vol d'information personnelle si vous avez par exemple ouvert une session dans une autre fenêtre vers votre banque
Menaces Fuites de données Faut-il croire ce qu on voit? (surtout avec des formats propriétaires...) Dans Microsoft Word : Auteur (rédacteurs successifs) Activation du suivi des modifications Adresse de la carte réseau Règle (mais pas forcémant suffisante...) : transmettez vos documents au format PDF Pour plus d infos: http://www.chambet.com/publications/fuiteinfos/index.html
Menaces Les pannes matérielles Ne pas sous-estimer le risque de pannes matérielles : Disque dur, clés USB, CDROM / DVD gravés Peut-on se fier au MTBF? Faire deux sauvegardes plutôt qu'une, sur deux supports différents (ex.: disque dur externe + clé USB), en gardant un support à la maison, l'autre au bureau L'université offre un espace de stockage, de taille limitée, mais sécurisé «Mes Documents» de l'ent = \\sci-samba.unilim.fr\<login> A la maison : pensez aussi aux risques électriques
Plan Introduction Quelques principes de fonctionnement des réseaux Les menaces Chartes, lois et règles de bon usage pour se protéger
Charte d'usage Conditions générales d utilisation des systèmes et réseaux informatiques Recueil de règles déontologiques Tout utilisateur est responsable de l utilisation qu il fait des ressources informatiques de l Université Utilisation afin de mener des activités d enseignement ou de recherche
Charte et lois Résumé des obligations (1) Ne pas se livrer à des actions contraires à l ordre public, mettant en péril la sécurité ou le fonctionnement d autres sites ou réseaux Ne pas interrompre le fonctionnement normal du réseau Ne pas intercepter des communications entre tiers Ne pas installer sur les ordinateurs des logiciels serveurs (demander l autorisation) : web, ftp, Ne pas masquer son identité, ne pas donner son mot de passe Ne pas s'approprier l'identité d'un autre, ne pas voler de mots de passe
Charte et lois Résumé des obligations (2) Code de la propriété intellectuelle : respecter les licences des logiciels, les oeuvres, etc. Ne pas s'introduire frauduleusement sur un système informatique (loi Godfrain) Utilisation personnelle de l'outil professionnel : possible Identifier les données personnelles (répertoire «Perso» par exemple) L'usage des ressources ne doit pas entraver l'usage professionnel (ne pas consommer trop de réseau par ex.) Création de fichiers contenant des informations nominatives doit faire l objet de formalités administratives (Loi «Informatique et Liberté» 1978)
Principes universels Rien n est sûr et rien n est fiable à 100% Loi de l emmerdement maximum (loi de Murphy) Toujours sauvegarder ses données importantes Ne jamais faire une confiance aveugle Garder son esprit critique Être attentif
Règles d'administration d'un ordinateur Mettre à jour le système d exploitation (Windows Update automatique, tous les jours) Penser aux logiciels aussi (ex : Firefox)! Ne pas travailler en tant qu Administrateur (principe du moindre privilège) Installer un Firewall Attention aux logiciels que vous installez (n installer que ce dont vous avez besoin) Dangers du P2P : propriété intellectuelle, propagation de pourriciels
Règles d'administration Antivirus, antispyware (1) Logiciels de détection en temps réel (scanner) ou en différé Antivirus (AV) Détection surtout basée sur des signatures (reconnaissance du virus qur quelques octets) : facilement «brouillable» par quelqu'un de malveillant Des AV personnels gratuits (avast! 4 Home Edition, AVG Anti-Virus Free Edition, Avira AntiVir PersonalEdition Classic, ClamWin,...) Mais ne pas utiliser celui de Microsoft (OneCare) Faire une mise à jour quotidienne de la base de signatures Ne pas faire une confiance aveugle! En cas de doute : contacter votre RSSI, soumettre le fichier à http://www.virustotal.com
Règles d'administration Antivirus, antispyware (2) Antimalware Adaware http://www.lavasoftusa.com/software/adaware/ Microsoft Windows Defender Inutiles si on est vigilant?
Règles du surf Ne pas visiter un site suspect! N autoriser l exécution de Java et ActiveX que lorsque vous savez ce que vous faites et où vous êtes. Et Javascript? Ne pas autoriser l exécution automatique après le téléchargement Ne pas exécuter un programme dont vous ne connaissez pas la provenance et l utilité
Règles du courriel En cas de doute Ne pas lire (effacer en fonction du sujet) Ne jamais cliquer sur les liens Ne pas ouvrir les pièces jointes (même un PDF) Ne pas répondre à un message suspect (spam ou autre) Ne pas transmettre un message suspect Ne pas retransmettre les alertes de virus, c est à l administrateur système de le faire
Règles sur les mots de passe Suivant l utilisation, on lui affecte une importance (inscription à un concours, carte bleue, ) On le garde secret S il est compromis (trouvé par quelqu'un), on le change On ne l écrit pas sur un papier Au moins 8 caractères avec des chiffres et des caractères spéciaux (%, *, $, ) mais pas d accents ou Règles de l ENT : pensez à le changer, avec plus de 8 caractères dont 1 majuscule, 1 minuscule, 1 chiffre Exemple : «1BonMdP!»