Institut numerique

2 FAILLES DE SÉCURITÉ SUR INTERNET

En entreprise, c’est le réseau local qui est connecté à Internet. Il est donc indispensable de contrôler les communications entre le réseau interne et l’extérieur. De plus une formation du personnel est indispensable (règles de sécurité, déontologie, attention aux participations aux forums qui sont archivées …).

Les problèmes de sécurité qu’on peut rencontrer sur un réseau d’entreprise ou sur l’Internet relèvent d’abord de la responsabilité des victimes avant d’être imputables aux hackers. Une menace qui a sensiblement augmenté au cours de ces dernières années, nous indique la dernière étude du Computer Security Institute, un institut professionnel de San Francisco qui réalise chaque année un sondage auprès des entreprises en collaboration avec le FBI. Dans cette étude, plus de 40 % des sociétés interrogées ont déclaré que des intrus s’étaient introduits dans leurs systèmes depuis l’Internet, 38 % des sociétés ont détecté des attaques de type “déni de service”, et 94 % ont été infectées par un virus en 2000.

D’autre part, votre sécurité peut dépendre d’autres entreprises dont vous pensez, parfois à tort, qu’elles ont assuré leur propre sécurité. Alors que le gouvernement et les forces de l’ordre cherchent à interpeller les intrus, les sociétés ne se préoccupent trop souvent que de relancer leurs réseaux après une attaque. « Le secteur privé ne cherche pas à savoir qui est responsable, tout ce qui intéresse les entreprises, c’est que l’attaque cesse. ».

2.1 Définitions

2.1.1 IP spoofing

Usurpation d’adresse IP, on fait croire que la requête provient d’une machine autorisée. Une bonne configuration du routeur d’entrée permet d’éviter qu’une machine extérieure puisse se faire passer pour une machine interne.

2.1.2 DNS spoofing

Pousse un serveur de DNS à accepter l’intrus. Solution : séparer le DNS du LAN de celui de l’espace public.

2.1.3 Flooding

Raid massif de connexions non terminées.

2.1.4 smurf

Saturation de la bande passante.

2.1.5 Web bug

Un mail publicitaire est envoyé en HTML (même si l’apparence est normale) avec une image transparente gif d’un pixel par un lien du type : <img src=”http://www.serveur.xx/image.gif ?email=utilisateur@adresse” alt=”” /> Si le courrier est ouvert pendant la connexion, la requête de téléchargement de l’image vient confirmer la lecture du message et la validité de votre adresse.

Conseil : ne pas valider l’ouverture automatique du format HTML ou ne pas ouvrir ses courriers en ligne. Un utilitaire de détection de « web bug » BUGNOSIS est disponible sur www.bugnosis.org .

2.1.6 Hoax (rumeur)

Un « hoax » est une rumeur que l’on transmet par mail. Ces rumeurs colportent souvent des problèmes de sécurité soit disant découverts par des services officiels ou célèbres… Elles peuvent causer un véritable préjudice à certaines sociétés et de toute façon encombrent le réseau. Avant de retransmettre un tel message il est prudent de vérifier son authenticité. www.hoaxbuster.com (site français) recense la plupart des messages bidons.

2.1.7 Hacker et cracker

Il existe une communauté, une culture partagée, de programmeurs expérimentés et de spécialistes des réseaux, dont l’histoire remonte aux premiers mini-ordinateurs multiutilisateurs, il y a quelques dizaines d’années, et aux premières expériences de l’ARPAnet.

Les membres de cette culture ont créé le mot “hacker”. Ces informaticiens sont généralement discrets, anti-autoritaristes et motivés par la curiosité.

Il y a un autre groupe de personnes qui s’autoproclament des “hackers”. Ces gens (principalement des adolescents de sexe masculin) prennent leur pied en s’introduisant à distance dans les systèmes informatiques et en piratant les systèmes téléphoniques, généralement à l’aide d’outils écrit par d’autres et trouvés sur Internet. Ils publient sur alt.2600. Les vrais hackers appellent ces gens des “crackers” et ne veulent rien avoir à faire avec eux. Les vrais hackers pensent que les crackers sont des gens paresseux, irresponsables et pas très brillants.

2.2 Principales attaques

2.2.1 Virus

Les virus est un exécutable qui va exécuter des opérations plus ou moins destructrices sur votre machine. Les virus existent depuis que l’informatique est née et se propageaient initialement par disquettes de jeux ou logiciels divers… Sur Internet, les virus peuvent contaminer une machine de plusieurs manières :

• Téléchargement de logiciel puis exécution de celui-ci sans précautions,
• Ouverture sans précautions de documents contenant des macros,
• Pièce jointe de courrier électronique (exécutable, script type vbs…),
• Ouverture d’un courrier au format HTML contenant du javascript exploitant une faille de sécurité du logiciel de courrier (normalement javascript est sans danger).
• Exploitation d’un bug du logiciel de courrier (effectuer régulièrement les mises à jour).

Les virus peuvent être très virulent mais ils coûtent aussi beaucoup de temps en mise en place d’antivirus et dans la réparation des dégâts causés. On peut malheureusement trouver facilement des logiciels capables de générer des virus et donc permettant à des « amateurs » (aussi appelés crackers) d’étaler leur incompétence.

La meilleure parade est l’utilisation d’un antivirus à jour et d’effectuer les mises à jour des logiciels (pour éviter l’exploitation des bugs).

2.2.2 Déni de service (DoS)

Le but d’une telle attaque n’est pas de dérober des informations sur une machine distante, mais de paralyser un service ou un réseau complet. Les utilisateurs ne peuvent plus alors accéder aux ressources. Les deux exemples principaux, sont le « ping flood » ou meilleure parade est le firewall ou la répartition des serveurs sur un réseau sécurisé.

2.2.3 Écoute du réseau (sniffer)

Il existe des logiciels qui, à l’image des analyseurs de réseau, permettent d’intercepter certaines informations qui transitent sur un réseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing). C’est l’une des raisons qui font que la topologie en étoile autour d’un hub n’est pas la plus sécurisée, puisque les trames qui sont émises en « broadcast » sur le réseau local peuvent être interceptées. De plus, l’utilisateur n’a aucun moyen de savoir qu’un pirate a mis son réseau en écoute.

L’utilisation de switches (commutateurs) réduit les possibilités d’écoute mais en inondant le commutateur, celui-ci peut se mettre en mode « HUB » par « sécurité » !

La meilleure parade est l’utilisation de mot de passe non rejouable, de carte à puce ou de calculette à mot de passe.

2.2.4 Intrusion

L’intrusion dans un système informatique a généralement pour but la réalisation d’une menace et est donc une attaque. Les conséquences peuvent être catastrophiques : vol, fraude, incident diplomatique, chantage…

Le principal moyen pour prévenir les intrusions est le coupe-feu (“firewall”). Il est efficace contre les fréquentes attaques de pirates amateurs, mais d’une efficacité toute relative contre des pirates expérimentés et bien informés. Une politique de gestion efficace des accès, des mots de passe et l’étude des fichiers « log » (traces) est complémentaire.

2.2.5 Cheval de Troie

L’image retenue de la mythologie est parlante; le pirate, après avoir accédé à votre système ou en utilisant votre crédulité, installe un logiciel qui va, à votre insu, lui transmettre par Internet les informations de vos disques durs. Un tel logiciel, aussi appelé troyen ou trojan, peut aussi être utilisé pour générer de nouvelles attaques sur d’autres serveurs en passant par le votre. Certains d’entre eux sont des « key logger » c’est à dire qu’ils enregistrent les frappes faites au clavier.

La première mesure de protection face aux attaques, et de sécuriser au maximum l’accès à votre machine et de mettre en service un antivirus régulièrement mis à jour. Un nettoyeur de troyens peut aussi s’avérer utile.

Attention : sous Windows, un partage de fichiers actif et trop permissif offre les mêmes possibilités sans que le visiteur n’ai besoin d’installer un logiciel !

2.2.6 « social engeneering »

En utilisant les moyens usuels (téléphone, email…) et en usurpant une identité, un pirate cherche à obtenir des renseignements confidentiels auprès du personnel de l’entreprise en vue d’une intrusion future. Seule une formation du personnel permet de se protéger de cette attaque.

2.3 ESPIONNAGE

2.3.1 L’homme du milieu

Lorsqu’un pirate, prenant le contrôle d’un équipement du réseau, se place au milieu d’une communication il peut écouter ou modifier celle-ci. On parle alors de « l’homme du milieu » (man in the middle). Les point sensibles permettant cette technique sont :

• DHCP : ce protocole n’est pas sécurisé et un pirate peut fournir à une victimes des paramètres réseau qu’il contrôle. Solution : IP fixe.
• ARP : si le pirate est dans le même sous réseau que la victime et le serveur (même si commutateur), il peut envoyer régulièrement des paquets ARP signalant
un changement d’adresse MAC aux deux extrémités. Solution : ARP statique.
• ICMP : Un routeur peut émettre un ICMP-redirect pour signaler un raccourci, le pirate peut alors demander de passer par lui. Solution : refuser ICMP-redirect ou seulement vers des routeurs identifiés.
• RIP : Le pirate envoie une table de routage à un routeur indiquant un chemin à moindre coût et passant par un routeur dont il a le contrôle. Solution : nouvelle version de RIP qui intègre une identification des routeurs de confiance.
• DNS : par « ID spoofing » un pirate peut répondre le premier à la requête de la victime et par « cache poisoning » il corrompt le cache d’un serveur DNS.
Solution : proxy dans un réseau différent des clients, désactivation de la récursivité, vidage du cache DNS régulier.
• Proxy HTTP : Par définition un proxy est en situation d’homme du milieu. Une confiance dans son administrateur est nécessaire de même qu’un contrôle du
proxy lors de son départ !
• Virus : un virus, éventuellement spécifique à la victime et donc indétectable, peut écrire dans le fichier « hosts »… Solution : bloquer les .vbs et .exe

2.3.2 Espiogiciels

Ces logiciels espions sont aussi appelés « spyware ». Ils ne posent pas, à priori, de problème de sécurité mais plutôt celui du respect de la vie privée.

Plusieurs logiciels connus se permettent de renvoyer vers l’éditeur des informations concernant l’usage du logiciel mais aussi sur les habitudes ou la configuration de l’utilisateur, et ceci au mépris de la loi « informatique et liberté ». Il s’agit souvent de « freewares » qui trouvent ainsi une source de revenus mais pas toujours !

Exemples : Real Networks (requête vers l’éditeur à chaque insertion de CD-audio avec n° GUID, adresse mail…), CuteFTP…

Une liste des programmes suspects et un outil gratuit (Ad-Aware) est disponible sur www.lavasoft.com .

Logiciel pour supprimer des espions recensés : optout.exe sur //grc.com

2.3.3 Cookies

Un « cookies » est une chaîne de caractère qu’un serveur dépose sur votre disque dur, via votre navigateur, afin normalement d’accélérer ou d’autoriser votre prochaine visite.

On trouvera des infos sur les cookies à www.epic.org/privacy/internet/cookies

Des logiciels permettant le tri des cookies sont disponibles : « cookie crusher » sur www.thelimitsoft.com et « cache & cookiewasher » sur www.webroot.com

Page suivante : 3 PROTECTIONS

Retour au menu : LA SÉCURITÉ INFORMATIQUE