Les bases de la sécurité informatique

 

Cette page a pour but d'informer sur rudiments de la sécurité informatique.

 

 

Le plan de ce document se présente comme suit :

  1. Le besoin de sécurité
  2. Les risques
  3. La politique de sécurité
    - Informations nécessitant une protection
    - Quelques vérités simples
    - Règles générales importantes
  4. Les virus et Antivirus
    - Les virus
       - Les différents types de virus
       - Les 2 grandes catégories de virus
    - Les antivirus
       - Comment reconnaissent-ils un virus ?
       - Les méthodes d'infection
       - Se protèger des virus

 

 

I) - Le besoin de sécurité

L'informatique et les réseaux de télécommunications sont devenus des outils de travail indispensables pour les tâches professionnelles. Le bon fonctionnement doit en être assuré afin de garantir la liberté de communication.

"Bon fonctionnement" signifie comme conditions (entre autres) :


Jusqu'aux début des années 1980, la centralisation des moyens informatiques (quelques gros serveurs par établissement par exemple) et la quasi absence de communications avec l'extérieur permettait de facilement garantir les objectifs ci-dessus grâce à une administration (équipe) centralisée bien identifiée.
Les temps ont changé : le Système d'Information d'un établissement est aujourd'hui réparti, avec des "morceaux d'intelligence" partout et interconnectés entre-eux par le réseau.

Le "bon fonctionnement" de cette informatique distribuée, peut être perturbé.
En effet, si la généralisation de la connexion à l'Internet des entreprises et l'utilisation de plus en plus intense des systèmes et applicatifs "communiquants" offrent des possibilités nouvelles et prometteuses, elles introduisent également un certain nombre de risques dont il faut prendre conscience, en mesurer les conséquences éventuelles, et en connaissance de cause prendre les mesures adéquates (Voir Les risques).

Qui dit mesures dit coûts (humains et financiers) et il y a comme toujours un compromis à trouver entre coût et sécurité.

Bien sur, il y a des coûts supplémentaires induits mais qui seront maitrisés en définissant raisonnablement une politique de sécurité avant même d'entamer la mise en oeuvre technique.
Il n'est pas question de prêcher la mise en oeuvre d'une "forteresse" mais d'un plan raisonnable.
En contre-partie, l'absence de sécurité pourrait bien coûter plus cher à terme, à la vue des conséquences que cela peut entrainer.
Le coût le plus important pour la mise en oeuvre d'une politique de sécurité ne vient pas des matériels et logiciels supplémentaires nécessaires, mais des ressources humaines, car il faut assurer une surveillance régulière sans laquelle il n'y a pas de sécurité, et ceci est une charge importante.

La surveillance signifiant (entre autres activités) :
       - Analyse des "logs" fichiers de traces etc,
       - passage régulier d'outils de vérification d'intégrité des système,
       - vérification régulière de la "solidité" des mots de passe,
       - réflexion régulière sur la politique de sécurité.

 

II) - Les risques

Le réseau d'un établissement peut être raccordé au réseau d'une entreprise dispersée géographiquement, lui-même maillon d'un réseau ouvert à des millions de machines, l'Internet (via, par exemple, des serveurs Web).
La population ayant accès aux services Internet ne fait qu'augmenter et dépasse plusieurs millions de personnes.
Or, d'après certaines études statistiques, il y aurait dans cette population 6 "malveillants" pour 10 000 utilisateurs. Le terme "malveillant" indiquant ici les personnes "décidées" à détruire, corrompre ou voler l'information. Mais il y a une autre catégorie, en plus grand nombre cette fois qui par esprit "ludique", par simple curiosité ou fréquemment par maladresse pourraient mettre en péril l'intégrité et la fiabilité des systèmes ainsi que la confidentialité des informations.

C'est une problèmatique douloureuse, et cependant deux certitudes :


Parmi les risques, notons :

On ne peut pas ignorer la sécurité.
Se protéger soi-même est un devoir.

 

III) - La politique de sécurité

Avant d'aborder la technique, il faut réfléchir et avoir une vision globale en sachant :
       - Que la sécurité à 100% n'existe pas, (pas de paranoia donc)
       - qu'il y a nécessairement compromis entre la valeur du "protégé" et le coût de la protection,
       - qu'il faut savoir quoi protéger (nécessité d'un "audit"),
       - qu'il faut oeuvrer à la mise en place de moyens raisonnables,
       - et que le but est d'être suffisamment "dissuasifs".

Un peu de bon sens...
La sécurité c'est 20% de technique et 80% de bons sens!
La sécurité est très certainement
       --> d'abord une affaire de direction
Son élaboration et sa mise en oeuvre ne doit pas reposer sur une seule personne !
       --> Tout le monde est concerné, (utilisateurs, administrateurs, etc.)

Trop de personnes considèrent que la sécurité informatique n'est pas leur problème !
L'expérience démontre au contraire que nombre important des incidents de sécurité trouvent leur source dans le comportement indélicats et non responsable des utilisateurs de base.

Les hackers sachant exploiter à merveille la moindre brèche laissée béante !
La sécurité c'est comme une chain

--> Un seul maillon faible fragilise l'ensemble !
Cela peut signifier qu'une équipe, ou même un seul individu qui n'applique pas les règles peut aneantir les efforts de toute la communauté.

La sécurité doit être vue et pensée de façon globale si l'on désire une certaine cohérence

--> Pour des raisons d'efficacité, il est souhaitable qu'au niveau d'un établissement, une personne ait une vision globale de l'ensemble afin de :
   - pouvoir détecter des incohérences notoires, et donc de proposer si nécessaire des évolutions,
   - veiller, en relation avec les autres administrateurs (s'il y en a) à l'application des règles,
   - pouvoir coordonner les actions de "riposte" en cas d'incident,

Quand on dit global cela signifie entre autres :


La sécurité ne doit pas être vue comme une contrainte mais un ensemble de règles librement consenties.
Elle doit faire l'objet d'un consensus, et être entérinée par les instances de l'entreprise afin d'avoir toutes les chances d'être ensuite applicable et appliquée.

La politique en matière sécurité doit être connue de tous. Il faut sensibiliser sur les risques et leurs implications. L'ensemble du personnel est concerné.

La politique en matière de sécurité ne doit pas dépendre de la technique. Au contraire, la technique utilisée dépendra de la politique choisie. Il faut pour cela :
       - Bien connaître son environnement dans son intégralité,
       - recenser ce qu'il faut protéger et à quel niveau,
       - savoir d'où peuvent venir les menaces,
       - évaluer/découvrir les risques majeurs encourus,
       - tenir compte du fait que tous les services n'ont pas le même profil,
       - établir un catalogue des actions concrètes à entreprendre et des solutions à utiliser.

L'efficacité d'une politique de sécurité passe obligatoirement par une phase d'établissement des règles pour l'administration et l'utilisation des systèmes et du réseau. Il faut en effet définir des procédures qui permettront :
       - De s'assurer du bon suivi de cette politique de sécurité,
       - de vérifier que les règles en vigeurs sont bien appliquées,
       - d'appliquer des moyens de pression/rétorsion dans le cas contraire,
       - d'organiser la réaction en cas d'incidents.
       - s'assurer que tout ce qui a été décidé est tenable.

 

Informations nécessitant une protection

Il s'agit d'informations pour lesquelles le non-respect de la confidentialité, la disponibilité ou l'intégrité mettrait en cause la responsabilité du propriétaire ou du dépositaire, ou causerait un préjudice à eux-mêmes ou à des tiers.
Quelques exemples de critères permettant de qualifier une information de "sensible" :


Quelques vérités simples

Rien ne sert :

 

Règles générales importantes

Les incidents de sécurité ont souvent pour point de départ l'acquisition par des moyens "frauduleux" de mots de passe. Le cas le plus grave est l'obtention du mot de passe de l'Administrateur.
Les autres incidents sont dus aux failles systèmes non "colmatées", à une administration "frivole" des serveurs et surtout à des comportements indésirables de la part des utilisateurs.


Comment récupérer les mots de passe

Recommandations générales

Recommendations pour le réseau

 

 

IV) - Les virus et Antivirus

Les virus

Virus : Partie de code informatique qui se réplique elle-même ou qui s'attache à des fichiers ou programmes, et pouvant faire exécuter à votre ordinateur des actions non désirées.


Quelques chiffres

Les virus sont classés par catégories d'importance, d'ennuyeux à destructifs.
Certains virus peuvent simplement faire beeper le PC, d'autres peuvent détruire les données (formater, effacer le secteur de démarrage, voir détruire le matériel).


Comment attraper un virus

Dans le principe, il suffit de copier un fichier infecté sur l'ordinateur puis activer le code du virus (en exécutant une application infectée par exemple, mais aussi en ouvrant une pièce jointe à un mail).
Ce fichier infecté peut provenir d'une disquette d'un ami, d'un téléchargement Internet, d'un mail avec pièce jointe…
Une fois le virus activé, son action dépend de son concepteur. Il peut se charger en mémoire et infecter tous les fichiers qui seront ensuite traités, puis arrivé à une date précise, il peut s'activer et tout détruire…
Il peut aussi détruire immédiatement tout un disque dur, ou encore s'auto-dupliquer par le système de messagerie et envoyer un message à tous les éléments du carnet d'adresse avec une copie de lui-même en pièce jointe !


Les différents types de virus


Les 2 grandes catégories de virus

 

Les antivirus

Antivirus : Aussi écrit « Anti-Virus ». Programme faisant la chasse aux virus. C'est un programme (ou une application) qui a pour charge de surveiller la présence de virus et éventuellement de nettoyer, supprimer ou mettre en quarantaine le ou les fichiers infectés.


Que surveille-t'il ?

Tous les espaces dans lesquels un virus peut se loger, c'est à dire la mémoire et les unités de stockage qui peuvent être locales ou réseau.


Comment fonctionne-t'il ?

Il y a 2 types de protection :


Comment reconnaît-il un virus ?

Le programme est composé de 3 parties ayant chacune un rôle essentiel :

A chaque fichier testé, si le programme pense voir un virus, il regarde dans sa base de données si le virus est connu (chaque virus ainsi que ses variantes a une signature particulière, et c'est cette signature qui est comparée avec la base). Si le virus est connu, il y a de fortes chances qu'un antidote soit connu.
Si le virus est connu, il est supprimé et le fichier est donc nettoyé.
Si le virus n'est pas connu, le logiciel emploie une méthode heuristique (technique consistant à apprendre petit à petit, en tenant compte de ce que l'on a fait précédemment pour tendre vers la solution d'un problème. L'heuristique ne garantit pas du tout que l'on arrive à une solution quelconque en un temps fini. Opposé à algorithmique. L'heuristique est essentiellement utilisée dans les antivirus, pour détecter des virus en les reconnaissant selon ce qu'ils sont capables de faire plutôt que selon une signature fixe) qui recherche une activité anormale ressemblant à celle d'un virus (par exemple, un accès à la base de registre inattendu). Si tel est le cas, il met le programme infecté en quarantaine et affiche un message. Le dossier de quarantaine peut alors être envoyé au fabricant de l'antivirus pour créer un antidote (via Internet ou en envoyant une disquette par courrier). Il deviendra par la suite un virus connu…
Si le virus n'apparaît plus jamais (parce qu'il est boggué et qu'il se réplique mal ou qu'il se détériore), les éditeurs d'antivirus le cataloguent comme " dormant ". Mais certains virus sont conçus de la sorte puis se réveillent un jour et viennent alors enrichir la base de données des virus connus.


Les virus et les variantes

Il existe 300 versions du seul virus " Jerusalem ", 350 versions de " VCL ", autant pour " Vienna " et plus de 1000 versions de " PS-MPC " (Phalcon/Skism Mass-Produced Code generator)... C'est pourquoi les concepteurs d'anti-virus ont été beaucoup accusés d'avoir eux-mêmes monté l'affaire en épingle pour vendre leurs logiciels.
En 1992, le NCSA (National Center for Supercomputing Applications) estimait qu'il y aurait 40.000 souches de virus différentes dès 1994...


Les méthodes d'infection

L'accès au Web est un vrai problème face à la sécurité. En effet, il suffit de cliquer sur un lien pour télécharger et exécuter un programme sur un système et ainsi infecter ce système.

L'infection via les liens hypertextes de manière transparente peut s'effectuer de 2 manières différentes : Java et ActiveX. En effet, si les informations de sécurité du navigateur permettent l'exécution sans contrôle de ces type de programmes, leur exécution s'effectue sans demande préalable (pour les fichiers exécutables autres, le navigateur demande toujours si l'on veut télécharger le fichier ou l'exécuter).
Java et ActiveX sont des programmes qui se chargent et s'exécutent sur la machine. Leur but est d'être invisible et transparent.

Java
C'est un langage interprété et peut donc suivre une stratégie. Les programmes Java ou encore Applets Java peuvent donc être forcés à s'exécuter dans un dossier défini.
ActiveX
Ces programmes appelés encore "Contrôles" ne peuvent pas obéir à une stratégie de sécurité car ils s'exécutent comme un programme local à la machine.

Microsoft est le pionnier en matière de sécurisation des contrôles ActiveX via une procédure d'authentification de l'ActiveX attestant que celui-ci provient d'une société enregistrée auprès d'un organisme officiel d'authentification (Verisign par exemple).

L'infection via les mails
Véritable fléau actuel, les virus contenus dans les mails envahissent les boites aux lettres de utilisateurs. Il suffit dans certains cas d'ouvrir son mail pour que le virus s'active et effectue le travail pour lequel il est programmé.
Les mails peuvent contenir tous types d'exécutables. Il suffit de lancer cet exécutable pour activer le virus...
Actuellement, les virus utilisant le langage de programmation Microsoft VBScript (qui est un langage interprété intégré à Windows) sont très répandus.
Pour se prémunir contre ces derniers, plusieurs possibilités :
       - Interdire l'exécution des scripts VBScript
       - Utiliser un logiciel de messagerie non-Microsoft (Netscape, Eudora, Pegasus mail...) insensible au langage VBScript.

L'infection via les documents Office
Les virus macro sont exécutés la plupart du temps lors de l'ouverture d'un document Office.
Pour se prémunir, il suffit :
       - D'interdire l'exécution des macros (ce qui peut parfois poser des problèmes),
       - De forcer la demande d'authorisation d'exécution des macros lorts de l'ouverture d'un document. Ainsi, si un document qui n'est pas censé contenir de macro affiche une fenêtre demandant cette authorisation, il y a de fortes chances qu'il y ait un virus !

L'infection via les médias amovibles
On n'en parle peu, mais ce type d'infection existe.
Les PC actuels peuvent démarrer sur disquette, CD-ROM est disque dur. La plupart du temps, l'ordre de boot est Disquette, CD-ROM puis disque dur.
Une disquette contenant un virus sur son secteur de boot est oubliée dans le lecteur... Et au prochain démarrage de la machine, le virus est chargé en mémoire et peut opérer !

 


Se protèger des virus

Au niveau individuel, les règles de base sont évidentes mais peu ou jamais appliquée :

Au niveau d'une entreprise :

... et surtout, équiper toutes les machines d'un antivirus et maintenir les définitions virales à jour.

 

-----

Parties de ces informations sont extraites de document du Web et en particulier des sites :
www.pcworld.com
www.cru.fr
www.linux-france.org

 

Début de page  |  Sommaire du thème  |  Page d'accueil  |  Me contacter

(C) Laurent - autourdupc.com -

Création le 10 avril 2002.
Mise à jour le 11 avril 2002.