Guide de la sécurité des systèmes
Table des matières
Il y a 3 (+1) éléments fondamentaux :
En anglais, on parle de CIA (Confidentiuality, Integrity, Avalaibility).
La quête de la sécurité dans une installation présente de nombreuses analogies avec la conduite de la guerre et la stratégie. Les curieux pourront lire :
Les techniques mises en œuvre sont de plus en plus sophistiquées et mettent en œuvre des techniques de plus en plus complexes (cryptographie, virus polymorphiques). On assiste à une forte recrudescence des attaques de vers (Blaster, …, des spywares et du phishing. Les attaques sur DNS sont de plus en plus nombreuses car elles peuvent rapporter beaucoup au plan financier.
Il y a peu, on estimait que la durée de vie d’un poste de travail Windows XP SP1 non patché et connecté directement à l’internet était d’une vingtaine de minutes environ, durée supérieure à la durée du téléchargement d’un patch …
Les réseaux de machines zombies ou botnet peuvent comporter plusieurs centaines de milliers de machines à disposition d'une personne pour envoyer du spam ou commettre une attaque en déni de service. Des pirates iraniens ont réussi il y a peu de temps à créer de faux certificats google pour espionner les comptes de messagerie.
Il en existe plusieurs types :
Modes de contrôle d’un système :
Introduction
- La sécurité n’est pas un état, c’est une démarche permanente ⇒ définition d'une politique de sécurité
- La sécurité ne se limite pas à l'utilisation d'un outil (pare-feu, anti-virus, …
- La sécurité à 100 % n’est pas possible : il n’y a pas de solution magique, juste un ensemble de pratiques à perfectionner.
- La sécurité n'est possible sans maîtrise des fondamentaux du réseau et de l'informatique
La sécurite
Il y a 3 (+1) éléments fondamentaux :
- Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes autorisées.
- Intégrité : garantie que les éléments considérés sont exacts et complets.
- Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés.
- Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.
En anglais, on parle de CIA (Confidentiuality, Integrity, Avalaibility).
Les principes de base d'Eric Cole
- connaissez votre système : c'est la base !! (Quid d'une machine avec les ports 80, 443, 22 ouverts ?)
- principe de moindre privilège : fournir le minimum de privilèges pour exécuter une tâche
- défense en profondeur : plusieurs niveaux de défense basés sur des principes différents
- prévention importante mais détection (rapide) aussi importante
Les menaces
- Les utilisateurs du système
- Des personnes malveillantes
- Un programme malveillant
- Un sinistre
La notion de risque
- humains : maladresse, inconscience, malveillance, ingénierie sociale, espionnage
- techniques : liés au matériel, au logiciel, à l'environnement
Pour élargir
La quête de la sécurité dans une installation présente de nombreuses analogies avec la conduite de la guerre et la stratégie. Les curieux pourront lire :
- L'art de la guerre – Sun-Tzu
- De la guerre – Karl von Clausewitz
- Le Prince - Nicholas Machiavel
Des agressions de plus en plus élaborées
Les techniques mises en œuvre sont de plus en plus sophistiquées et mettent en œuvre des techniques de plus en plus complexes (cryptographie, virus polymorphiques). On assiste à une forte recrudescence des attaques de vers (Blaster, …, des spywares et du phishing. Les attaques sur DNS sont de plus en plus nombreuses car elles peuvent rapporter beaucoup au plan financier.
Il y a peu, on estimait que la durée de vie d’un poste de travail Windows XP SP1 non patché et connecté directement à l’internet était d’une vingtaine de minutes environ, durée supérieure à la durée du téléchargement d’un patch …
Les réseaux de machines zombies ou botnet peuvent comporter plusieurs centaines de milliers de machines à disposition d'une personne pour envoyer du spam ou commettre une attaque en déni de service. Des pirates iraniens ont réussi il y a peu de temps à créer de faux certificats google pour espionner les comptes de messagerie.
Les programmes malveillants
- le virus : programme qui se duplique sur d'autres machines
- le ver : programme qui se duplique lui-même par le réseau
- le cheval de Troie (Trojan) : logiciel nuisible déguisé en programme légitime
- la porte dérobée (Backdoor) : accès frauduleux caché
- le logiciel espion (spyware) : collecte illégale d'informations
- l'enregistreur de frappe (keylogger)
- l'exploit : permet d'exploiter une faille de sécurité pour obtenir une élévation des privilèges
- le rootkit : permet de mettre en place une porte dérobée
Les types d'agressions
Il en existe plusieurs types :
- agression opportuniste (scripts-kiddies) : outils standards et technicité limitée
- agression ciblée : discrète et efficace. Recherche d'information ciblée sur des maillons faibles. Elle peut être interne ou externe.
Les techniques d'agressions
- Blocage des entrées (surcharge par des DOS)
- SPAM (utilisation du relais de messagerie)
- Intrusion dans un système (récupération de mots de passe, application ancienne ou mal configurée, …
- Ecoute du réseau avec des renifleurs (Ethereal, Wireshark)
- Attaques par rebond en prenant d’abord la main sur le routeur/pare-feu d’entrée pour ensuite attaquer le réseau intérieur (attaque par rebond)
- podsurfing avec une clé USB (autorun et U3)
- recherches des trous de sécurité
- utilisation de scanners permettant de détecter les adresses IP et les ports utilisés (NMAP) -
- certains permettent de détecter l’OS grâce aux numéros de séquence TCP
- connexion aux serveurs applicatifs pour récupérer le numéro de version et les vulnérabilités connues (sendmail, bind, apache…
- mise en place d'un rootkit
- Et enfin attaque par débordement de buffer avec un “exploit” spécifique pour obtenir des privilèges root
Les intrusions
Modes de contrôle d’un système :
- ingénierie sociale (pratique relationnelle)
- mot de passe récupéré (crackage ou reniflage) ou prêté
- Installation avec paramètres par défaut non adaptés
- application mal installée ou configurée
- application trop ancienne
- agression interne