[PDF](+32👁️) Télécharger [EYROLLES]+Securite+Informatique+-+Principes+et+méthode pdf
[EYROLLES]+Securite+Informatique+-+Principes+et+méthodeTélécharger gratuit [EYROLLES]+Securite+Informatique+-+Principes+et+méthode pdf
urite
informatique
Principes et méthode
Laurent Bloch
Christophe Wolfhugel
Préfaces de Christian Queinnec et Hervé Schc
Avec la contribution de Nat Makarévitch
EDITIONS EYROLLES
61, bld Saint-Germain
75240 Paris Cedex 05
www.editions-eyrolles.com
Chez le même éditeur
T. Limoncelli, adapté par S. Blondeel. - Admin'sys. Gérer son temps... N°l 1957, 2006, 274 pages.
C. Llorens, L. Levier, D. Valois. - Tableaux de bord de la sécurité réseau. N°l 1973, 2006, 560 pages.
J. Steinberg, T. Speed, adapté par B. Sonntag. - SSL VPN. Accès web et extranets sécurisés. N°l 1933, 2006, 220 pages.
I. Hurbain, avec la contribution d'E. Dreyfus. - Mémento UNix/Linux. N°l 1954, 2006, 14 pages.
M. Bàck et al., adapté par P. Tonnerre - Monter son serveur de mails sous Linux. N°l 1931, 2006, 360 pages.
M. Krafft, adapté par R. Hertzog, R. Mas, dir. N. Makarévitch. - Debian. Administration et configuration avancées.
N° 11904, 2006, 674 pages.
R. Hertzog, C. Le Bars, R. Mas. - Cahier de l'admin Debian, 2 e édition. N°l 1639, 2005, 310 pages.
B. Boutherin, B. Delaunay. - Sécuriser un réseau Linux, 3 e édition. N°l 1960, 2007, 250 pages.
C. Blaess. -Programmation système en C sous Linux. N° 11601, 2 e édition 2005, 964 pages.
I Battelle, trad. D. Rueff, avec la contribution de S. Blondeel - La révolution Google. N°l 1903, 2006, 280 pages.
L. Dricot, avec la contribution de R. Mas. - Ubuntu efficace. N°12003, 2 e édition 2006, 360 pages avec CD-Rom.
Préfaces de Christian Queinnec et d'Hervé Schauer.
Avec la contribution de Solveig, Florence Henry et Nat Makarévitch.
DANGER Le code de la propriété intellectuelle du 1 er juillet 1992 interdit en effet expressément la photocopie à usage
collectif sans autorisation des ayants droit. Or, cette pratique s'est généralisée notamment dans les établissements
d'enseignement, provoquant une baisse brutale des achats de livres, au point que la possibilité même pour
les auteurs de créer des œuvres nouvelles et de les faire éditer correctement est aujourd'hui menacée.
En application de la loi du 11 mars 1957, il est interdit de reproduire intégralement ou partiellement le présent ouvrage,
sur quelque support que ce soit, sans l'autorisation de l'Editeur ou du Centre Français d'exploitation du droit de copie, 20, rue des
Grands Augustins, 75006 Paris.
© Groupe Eyrolles, 2007, ISBN : 2-212-12021-4 • ISBN 13 : 978-2-212-12021-9
PHOTOCOPILLAGE
TUE LE LIVRE ,
Préface I
L'internet, on le lit souvent, est une jungle, un lieu plein de dangers sournois, ta-
pis et prêts à frapper fort, péniblement et durablement. On aura intérêt à ne pas
s'attarder sur cette banalité car la jungle est l'endroit où l'on doit obligatoirement
vivre. En revanche, tout comme pour les MST (maladies sexuellement transmis-
sibles), être ignare, ne pas vouloir apprécier les dangers, persister à les ignorer sont
des attitudes blâmables.
Ce qui est moins évident est qu'un ordinateur est un assemblage hétéroclite, histo-
riquement enchevêtré, de matériels et de logiciels dont les innombrables interac-
tions sont au-delà de l'humainement appréhendable. Un ordinateur est tout autant
une jungle et cette jungle s'étend au fil de ses expositions successives à Internet.
Comme dans tant d'autres domaines sociétaux, la « sécurité » est réputée être la
solution à ces problèmes !
Mais au-delà de bonnement nommer cette solution, d'espérer un monde meilleur
où l'on pourrait enfin jouir de cette fameuse sécurité, il faut s'interroger sur son
existence, sa nature, ses constituants, ses conditions d'apparition ou de dispari-
tion, son développement, etc. C'est précisément à ces interrogations que répond
l'ouvrage de Laurent Bloch et Christophe Wolfhugel.
Un tel état de grâce ne s'obtient ni par décret, ni par hasard. C'est le résultat
d'une confluence opiniâtre de comportements et de solutions techniques. Ces der-
nières sont présentes depuis l'article séminal de Diffie et Hellman [40] en 1976
qui a permis de résoudre le problème, ouvert depuis des millénaires : comment
Sécurité Informatique
deux personnes, ne se connaissant au préalable pas, peuvent-elles élaborer un se-
cret commun à elles seules en n'ayant échangé que des messages publics ? Clés
publiques/privées, certificat, signature électronique sont les plus connues des in-
novations qui en découlent. Notariat électronique, respect de l'anonymat (réseau
TOR), crypto-virus blindés en sont d'autres plus confidentielles aujourd'hui.
Si, dès maintenant, des solutions techniques existent pour un monde meilleur,
c'est sur le plan humain que peine le salut à s'instaurer. On ne peut souhaiter un
monde sûr que si l'on prend la mesure de l'actuelle insécurité. On ne peut espérer
un monde plus sûr que si l'on sait qu'il est réalisable, que si l'on est prêt à tolérer
des changements personnels importants de comportement, que si l'entière société
humaine stimule l'adoption de ces nouvelles règles et veille à les adapter au rythme
des inéluctables évolutions.
La sécurité n'est qu'un sentiment dont 1 eclosion est due à la conjonction de fac-
teurs techniques et sociétaux. La mise en place d'un contexte favorable à ce sen-
timent est complexe, tant sont grandes les difficultés de réalisation et les op-
positions entre les différentes inclinations libertaires, dirigistes ou Big Brother-
iennes. L'anonymat est-il autorisé sur Internet ? Puis-je mettre mon ordinateur en
conformité avec mes désirs sécuritaires ? Comment rétribuer une création intellec-
tuelle incarnée numériquement (sic) et dont la duplication est quasiment gratuite ?
Devons-nous laisser l'offre des industriels diriger notre morale et notre liberté ?
L'excellent livre de Laurent Bloch et Christophe Wolfhugel a pour thème la sé-
curité. Loin de s'appesantir sur les seuls aspects techniques ou de broder autour de
banalités comme « la sécurité parfaite n'existe pas » ou encore « avoir listé les me-
naces garantit une éternelle quiétude », ce livre est à lire et à méditer pour tous ceux
qui y croient et tous ceux qui n'y croient pas afin que tous puissent participer intel-
ligemment à l'avènement de l'ère numérique. Cet espace incommensurablement
démocratique (les internautes votent avec leur souris) que réalise l'interconnexion
de toutes les puces calculantes, nous avons une chance de modeler son avenir tout
autant que de le transformer en le plus effroyablement fliqué lieu communautaire.
À nous de choisir à la lueur de ce que nous en dit cet ouvrage.
Christian Queinnec
Professeur à l'Université
Pierre et Marie Curie
Préface II
Alors que la sécurité des systèmes d'information était un produit de luxe, elle tend
aujourd'hui à devenir un moyen d'apporter la confiance au cœur des affaires.
Cet ouvrage en rappelle les bases techniques et présente une perspective nouvelle,
pertinente et utile à tous les acteurs du secteur de la sécurité des systèmes d'infor-
mation, par deux esprits vifs, qui ont prouvé, par leur carrière et leurs réalisations,
leur indépendance et leur compétence.
Hervé Schauer
Consultant en sécurité
des systèmes d'informations
depuis 1989
Table des matières
Avant-propos 1
Première partie
Principes de sécurité du système d'information 5
Chapitre 1
Premières notions de sécurité 7
Menaces, risques, vulnérabilités 7
Aspects techniques de la sécurité 9
Définir risques et objets à protéger 9
Identifier et authentifier 11
Empêcher les intrusions 12
Défense en profondeur 13
Aspects organisationnels de la sécurité 14
Abandonner les utilisateurs inexpérimentés aux requins ? 14
Externalisation radicale ? 15
Sauvegarder données et documents 16
Vérifier les dispositifs de sécurité 17
S'informer auprès des CERT 17
Organisation des CERT 18
Faut-il publier les failles de sécurité ? 18
Sécurité informatique
Le management de la sécurité 20
Les systèmes de management 20
Le système de management de la sécurité de l'information 21
Un modèle de maturité ? 24
Critères communs 24
Faut-il adhérer aux normes de sécurité de l'information ? 24
Législation financière et système d'information 26
Législation financière et SI 27
Brève critique de la sécurité financière 28
La sécurité procédurale n'est pas la solution 29
Richard Feynman à propos de la conduite de projet 32
Chapitre 2
Les différents volets de la protection du SI 35
L'indispensable sécurité physique 35
Protéger le principal : le système d'exploitation 37
Droits d'accès 37
Vérification des droits, imposition des protections 39
Gérer l'authentification 40
Séparation des privilèges 40
Identification et authentification 41
Le bon vieux mot de passe 43
Listes de contrôle d'accès 44
Le chiffrement asymétrique 45
Comprendre les failles et les attaques sur les logiciels 49
L'attaque par interposition (Man in the middle) 50
Vulnérabilité des cryptosystèmes 50
Chapitre 3
Malveillance informatique 53
Types de logiciels malveillants 53
Virus 54
Virus réticulaire (botnet) 55
Table des matières
Ver 56
Cheval de Troie 57
Porte dérobée 57
Bombe logique 57
Logiciel espion 57
Courrier électronique non sollicité (spam) 60
Attaques sur le Web et sur les données 60
Injection SQL 61
Cross-site scripting 62
Palimpsestes électroniques 62
Matériels de rebut 62
Lutte contre les malveillances informatiques 63
Antivirus 63
Les techniques de détection 65
Des virus blindés pour déjouer la détection 66
Quelques statistiques 67
Deuxième partie
Science de la sécurité du système d'information 69
Chapitre 4
La clé de voûte : le chiffrement 71
Chiffrement symétrique à clé secrète 72
Naissance de la cryptographie informatique : Alan Turing 73
Data Encryption Standard (DES) 74
Diffie et Hellman résolvent l'échange de clés 75
Le problème de l'échange de clés 75
Fondements mathématiques de l'algorithme Diffie-Hellman 76
Mise en œuvre de l'algorithme Diffie-Hellman 79
Le chiffrement asymétrique à clé publique 81
Evaluer la robustesse d'un cryptosystème 85
Robustesse du chiffrement symétrique 85
Robustesse du chiffrement asymétrique 86
Sécurité informatique
Robustesse de l'utilisateur de cryptosystème 86
Chapitre 5
Sécurité du système d'exploitation et des programmes 89
Un modèle de protection : Multics 89
Les dispositifs de protection de Multics 91
Protection des systèmes contemporains 91
Débordements de tampon 92
Attaques par débordement sur la pile 93
Débordement de tampon : exposé du cas général 97
Débordement de tampon et langage C 97
Sécurité par analyse du code 98
Analyses statiques et méthodes formelles 98
Méthode B 99
Perl en mode souillé 100
Séparation des privilèges dans le système 101
Architectures tripartites 102
Chapitre 6
Sécurité du réseau 1 05
Modèle en couches pour les réseaux 106
Application du modèle à un système de communication 106
Modèle ISO des réseaux informatiques 108
Une réalisation : TCP/IP 110
Les réseaux privés virtuels (VPN) 114
Principes du réseau privé virtuel 114
IPSec 115
Autres réseaux privés virtuels 117
Comparer les procédés de sécurité 118
Partager des fichiers à distance 119
Sécuriser un site en réseau 121
Segmentation 122
Filtrage 123
Table des matières
Pare-feu 125
Listes de contrôle d'accès pour le réseau 132
Les pare-feu personnels pour ordinateurs sous Windows 133
Le système de noms de domaines (DNS) 138
Fonctionnement du DNS 139
Un espace abstrait de noms de serveurs et de domaines 140
Autres niveaux de domaines 142
Conversations entre serveurs de noms 143
Sécurité du DNS 145
Traduction d'adresses (NAT) 147
Le principe du standard téléphonique d'hôtel 148
Adresses non routables 149
Accéder à l'Internet sans adresse routable 149
Réalisations 150
Une solution, quelques problèmes 152
Promiscuité sur un réseau local 154
Rappel sur les réseaux locaux 154
Réseaux locaux virtuels (VLAN) 156
Sécurité du réseau de campus : VLAN ou VPN ? 157
Réseaux sans fil et sécurité 158
Types de réseaux sans fil 159
Vulnérabilités des réseaux sans fil 802.11 160
Chapitre 7
Identités, annuaires, habilitations 1 67
Qu'est-ce que l'identité dans un monde numérique ? 167
Problématique de l'identification 168
Trois types d'usage des identifiants 168
Vers un système universel d'identifiants 170
La politique des identifiants 171
Distinguer noms et identifiants dans le DNS ? 172
Pretty Good Privacy (PGP) et signature 173
Sécurité informatique
Créer un réseau de confiance 175
Du trousseau de clés à l'IGC 175
Annuaire électronique et gestion de clés 176
Risques liés aux systèmes d'identification 177
Organiser un système d'identité numérique 179
ObjectifSSO 179
Expérience de terrain 179
Troisième partie
Politiques de sécurité du système d'information 1 83
Chapitre 8
Une charte des utilisateurs 185
Préambule de la charte 186
Définitions 186
Accès aux ressources et aux services 187
Règles d'utilisation, de sécurité et de bon usage 187
Confidentialité 188
Respect de la législation 189
Préservation de l'intégrité des systèmes informatiques 189
Usage des services Internet (Web, messagerie, forum...) 190
Règles de bon usage 190
Publication sur l'Internet 191
Responsabilité légale 191
Dispositifs de filtrage de trafic 191
Surveillance et contrôle de l'utilisation des ressources 192
Rappel des principales lois françaises : 192
Application 192
Chapitre 9
Une charte de l'administrateur système et réseau 195
Complexité en expansion et multiplication des risques 196
Règles de conduite 197
Table des matières
Secret professionnel 197
Mots de passe 198
Proposition de charte 199
Définitions 200
Responsabilités du comité de coordination SSI 201
Responsabilités de l'administrateur de système et de réseau 201
Mise en œuvre et litiges 204
Quatrième partie
Avenir de la sécurité du système d'information 205
Chapitre 10
Nouveaux protocoles, nouvelles menaces 207
Le modèle client- serveur 207
Versatilité des protocoles : encapsulation HTTP 209
Tous en HTTP ! 209
Vertus de HTTPS 209
Protocoles poste à poste (peertopeer) 210
Définition et usage du poste à poste 210
Problèmes à résoudre par le poste à poste 211
Le poste à poste et la sécurité 213
Exemples : KaZaA et Skype 214
Franchir les pare-feu : vers une norme ? 218
Téléphonie IP : quelques remarques 219
Une grande variété de protocoles peu sûrs 219
Précautions pour la téléphonie IP 220
Chapitre il
Tendances des pratiques de sécurisation des SI 223
Les six idées les plus stupides en sécurité, selon Ranum 224
Idée stupide n° 1 : par défaut, tout est autorisé 224
Idée stupide n° 2 : prétendre dresser la liste des menaces 225
Idée stupide n° 3 : tester par intrusion, puis corriger 226
Sécurité informatique
Idée stupide n° 4 : les pirates sont sympas 227
Idée stupide n° 5 : compter sur l'éducation des utilisateurs 228
Idée stupide n° 6 : l'action vaut mieux que l'inaction 229
Quelques idioties de seconde classe 229
Les cinquante prochaines années 230
Détection d'intrusion, inspection en profondeur 230
Pare-feu à états 231
Détection et prévention d'intrusion 231
Inspection en profondeur 231
Critique des méthodes de détection 231
À qui obéit votre ordinateur ? 232
Conflit de civilisation pour les échanges de données numériques 233
Dispositifs techniques de prohibition des échanges 234
Informatique de confiance, ou informatique déloyale ? 237
Mesures de rétorsion contre les échanges de données 238
Gestion des droits numériques (DRM) et politique publique 240
Conclusion 243
Bibliographie 247
Index 255
Avant-propos
Ce livre procurera au lecteur les connaissances de base en sécurité informatique
dont aucun utilisateur d'ordinateur ni aucun internaute ne devrait être dépourvu,
qu'il agisse dans le cadre professionnel ou à titre privé. Pour cela nous lui propo-
serons quelques pistes qui devraient l'aider à trouver son chemin dans un domaine
en évolution rapide où l'information de qualité est parfois difficile à distinguer du
vacarme médiatique et des rumeurs sans fondement.
Plutôt que de proposer des recettes à appliquer telles quelles, et qui dans un do-
maine en évolution rapide seraient de toute façon vouées à une prompte péremp-
tion, nous présenterons des axes de réflexion accompagnés d'exemples techniques.
L'Internet est au cœur des questions de sécurité informatique : nous rappellerons
brièvement ses principes de fonctionnement, placés sous un éclairage qui fera ap-
paraître les risques qui en découlent. Pas de sûreté de fonctionnement sans un bon
système d'exploitation : nous passerons en revue les qualités que nous sommes en
droit d'en attendre. Nous examinerons les différentes formes de malfaisance in-
formatique, sans oublier les aspects organisationnels et sociaux de la sécurité. Pour
les entreprises, nous proposerons quelques modèles de documents utiles à l'enca-
drement des activités informatiques de leur personnel.
La protection des systèmes d'information repose aujourd'hui sur la cryptographie :
nous donnerons un exposé aussi simple que possible des principes de cette science,
qui permette au lecteur qui le souhaite d'en comprendre les bases mathématiques,
cependant que celui qui serait rebuté par ces aspects pourra en première lecture
sauter sans (trop) de dommage ces développements.
Sécurité informatique
Nous terminerons par un tour d'horizon des nouvelles possibilités de l'Internet,
qui engendrent autant de nouveaux risques : échange de fichiers peer to peer, télé-
phonie sur IP avec des systèmes tels que Skype.
Les lignes qui suivent sont avant tout le fruit de nos expériences professionnelles
respectives, notamment dans les fonctions de responsable de la sécurité des sys-
tèmes d'information de l'Institut National de la Santé et de la Recherche Médicale
(INSERM) pour l'un, d'expert des protocoles de l'Internet au sein de la division
Orange Business Services de France Télécom pour l'autre.
L'informatique en général, ses domaines techniques plus que les autres, et celui de
la sécurité tout particulièrement, sont envahis de « solutions », que des entreprises
s'efforcent de vendre à des clients qui pourraient être tentés de les acheter avant
d'avoir identifié les problèmes qu'elles sont censées résoudre. Il est vrai que la
démarche inductive est souvent fructueuse dans les domaines techniques, et que
la démonstration d'une solution ingénieuse peut faire prendre conscience d'un
problème, et du coup aider à sa solution. Mais l'induction ne peut trouver son
chemin que dans un esprit déjà fécondé par quelques interrogations : le but des
lignes qui suivent est de contribuer à cet effort de réflexion.
L'axe de ce livre, on l'aura compris, n'est pas dirigé vers les modes d'emploi de
logiciels ou de matériels de sécurité, mais bien plutôt vers la position et l'expli-
cation des problèmes de sécurité, insérés dans un contexte technique dont il faut
comprendre les tenants et les aboutissants si l'on veut adopter des solutions rai-
sonnables. Et donner dans un livre des solutions techniques ou, pire, des recettes
toutes faites, nous semblerait futile à une heure où le contexte technique évolue
si vite que le Web et la presse spécialisée (qui se développe, y compris en langue
française, cf. par exemple la revue MISC [4]) nous semblent bien mieux placés
pour répondre à ce type d'attente. Il nous a paru plus judicieux de proposer au lec-
teur un tour d'horizon des problèmes afin qu'il puisse plus facilement, le moment
venu, choisir entre plusieurs solutions techniques qui pourraient s'offrir à lui face
à un problème concret.
Mode d'emploi du livre
Comment aborder la lecture de ce livre ? Il propose une progression des explica-
tions. Pour le chiffrement, qui est le point le plus difficile parce qu'assez technique
mais à la base de tout le reste, il y a d'abord une évocation informelle et succincte
Avant-propos
(chapitre 1), puis une présentation générale de la fonction de chiffrement, sans
préjuger de ce qu'elle est (chapitre 2), puis l'explication précise avec exposé ma-
thématique (chapitre 4). Il semble difficile de faire autrement, parce que certains
lecteurs ont le droit de ne pas lire les mathématiques du chapitre 4, mais ils ont le
droit de comprendre le reste quand même. Mettre l'explication complète au début
risquerait de décourager le lecteur, supprimer l'explication préalable du chapitre
2 est logiquement impossible parce que ce serait saper les développements qui
suivent. Le prix de cette progression est qu'il y a des flashbacks : nous pensons
qu'il vaut mieux revenir sur un sujet que d'égarer le lecteur par une attaque trop
abrupte.
Conventions typographiques
Les textes encadrés ainsi sont destinés à des explications plus techniques que les autres
passages, à des exemples pratiques ou à des apartés.
Les nombres entre crochets comme ceci [24] renvoient aux entrées de la bibliographie,
en fin de volume.
Le livre comporte quatre parties, qui nous semblent correspondre aux quatre axes
selon lesquels un responsable de sécurité doit déployer ses compétences et son
activité :
• la première partie expose les principes généraux de sécurité, de façon aussi
peu technique que possible ; vous devriez pouvoir la faire lire à votre direc-
teur du système d'information ;
• la seconde partie, consacrée à la science de la sécurité du système d'information,
présente les bases scientifiques sur lesquelles reposent les techniques pra-
tiques ; elle est plus exigeante pour le lecteur en termes de difficulté concep-
tuelle ;
• la troisième partie aborde les aspects politiques, sociaux et psychologiques
de la sécurité ; vous devriez pouvoir la placer sous les yeux de votre directeur
juridique et de votre DRH ;
• la quatrième partie, qui envisage les évolutions récentes des menaces et de la
sécurité, devrait intéresser quiconque navigue régulièrement sur l'Internet.
Sécurité informatique
Remerciements
La liste de tous ceux à qui ce livre doit quelque chose serait trop longue pour que
nous prenions le risque, en la dressant, d'en oublier trop. Nous citerons Domi-
nique Sabrier, pour ses relectures toujours précises et d'une exigence judicieuse.
L'idée de ce livre naquit d'un enseignement de master organisé à l'université Paris
12 par Alexis Bes. Christian Queinnec (outre sa préface), Michel Gaudet, Bernard
Perrot, Patrick Lerouge, Nat Makarévitch et Solveig ont relu, utilement com-
menté, conseillé et encouragé. Nos collègues de l'INSERM et de France Télécom,
sans en avoir forcément eu conscience, ont aussi contribué tant par les échanges
d'expériences et d'avis que par les situations concrètes soumises à notre examen.
Muriel Shan Sei Fan fut une éditrice à l'exigence stimulante. Florence Henry a
mis à la composition la touche finale qui fait l'esthétique de l'ouvrage. Les acti-
vités et réunions organisées par l'Observatoire de la sécurité des systèmes d'infor-
mation et des réseaux (OS SIR), par le Symposium sur la sécurité des technologies
de l'information et de la communication (SSTIC) et par les Journées réseau de
l'enseignement supérieur (JRES) furent des sources d'inspiration permanentes :
parmi les intervenants, nous citerons notamment Eric Filiol, Nicolas Ruff, Hervé
Schauer. Je remercie François Bayen pour ses suggestions qui ont amélioré nota-
blement les exposés cryptographiques du chapitre 4. La responsabilité des erreurs
qui subsistent néanmoins dans ce texte ne peut être imputée qu'aux auteurs.
Ce livre a été écrit, composé et mis en page au moyen de logiciels libres, notam-
ment Linux, GNU/Emacs, TgX, LTjiX, BlBT[?X et xf ig : il convient d'en remer-
cier ici les auteurs et contributeurs, dont le travail désintéressé élargit le champ de
la liberté d'expression.
Première partie
Principes de
sécurité du système
d'information
1
Premières notions
de sécurité
Ce chapitre introduit les notions de base de la sécurité informatique : menace,
risque, vulnérabilité ; il effectue un premier parcours de l'ensemble du domaine, de
ses aspects humains, techniques et organisationnels, sans en donner de description
technique.
Menaces, risques, vulnérabilités
La Sécurité des Systèmes d'Information (SSI) est aujourd'hui un sujet important
parce que le système d'information (SI) est pour beaucoup d'entreprises un élé-
ment absolument vital : le lecteur de ce livre, a priori, devrait être déjà convaincu
de de cette évidence, mais il n'est peut-être pas inutile de lui donner quelques mu-
nitions pour l'aider à en convaincre sa hiérarchie. Il pourra par exemple à cet effet
consulter le livre de Michel Voile e-conomie [114], disponible en ligne, qui explique
comment pour une entreprise comme Air-France le SI, qui comporte notamment
Principes de sécurité du système d'information
Première partie
le système de réservation Amadeus, est un actif plus crucial que les avions. En effet,
toutes les compagnies font voler des avions : mais la différence entre celles qui sur-
vivent et celles qui disparaissent (rappelons l'hécatombe récente : Panam, TWA,
Swissair, Sabena...) réside d'une part dans l'aptitude à optimiser l'emploi du temps
des avions et des équipages, notamment par l'organisation de hubs, c'est-à-dire de
plates-formes où convergent des vols qui amènent des passagers qui repartiront
par d'autres vols de la compagnie, d'autre part dans l'aptitude à remplir les avions
de passagers qui auront payé leur billet le plus cher possible, grâce à la technique
du yield management, qui consiste à calculer pour chaque candidat au voyage le
prix à partir duquel il renoncerait à prendre l'avion, et à lui faire payer juste un peu
moins. Ce qui permet aux compagnies d'atteindre ces objectifs, et ainsi de l'em-
porter sur leurs rivales, c'est bien leur SI, qui devient dès lors un outil précieux,
irremplaçable, en un mot vital.
La même chose est déjà vraie depuis longtemps pour les banques, bien sûr.
Puisque le SI est vital, tout ce qui le menace est potentiellement mortel. Conjurer
les menaces contre le SI est devenu impératif, et les lignes qui suivent sont une
brève description de ce qu'il faut faire pour cela.
Les menaces contre le système d'information entrent dans une des catégories sui-
vantes : atteinte à la disponibilité des systèmes et des données, destruction de
données, corruption ou falsification de données, vol ou espionnage de données,
usage illicite d'un système ou d'un réseau, usage d'un système compromis pour
attaquer d'autres cibles.
Les menaces engendrent des risques et coûts humains et financiers : perte de confi-
dentialité de données sensibles, indisponibilité des infrastructures et des données,
dommages pour le patrimoine intellectuel et la notoriété. Les risques peuvent se
réaliser si les systèmes menacés présentent des vulnérabilités.
Il est possible de préciser la notion de risque en la décrivant comme le produit
d'un préjudice par une probabilité d'occurrence :
risque = préjudice x probabilité d'occurrence
Cette formule exprime qu'un événement dont la probabilité est assez élevée, par
exemple la défaillance d'un disque dur, mais dont il est possible de prévenir le
préjudice qu'il peut causer, par des sauvegardes régulières, représente un risque
acceptable ; il en va de même pour un événement à la gravité imparable, comme
Premières notions de sécurité
Chapitre 1
l'impact d'un météorite de grande taille, mais à la probabilité d'occurrence faible.
Il va de soi que, dans le premier cas, le risque ne devient acceptable que si les
mesures de prévention contre le préjudice sont effectives et efficaces : cela irait
sans dire, si l'oubli de cette condition n'était très fréquent (cf. page 17).
Si la question de la sécurité des systèmes d'information a été radicalement bou-
leversée par l'évolution rapide de l'Internet, elle ne saurait s'y réduire; il s'agit
d'un vaste problème dont les aspects techniques ne sont qu'une partie. Les aspects
juridiques, sociaux, ergonomiques, psychologiques et organisationnels sont aussi
importants, sans oublier les aspects immobiliers, mais nous commencerons par les
aspects techniques liés à l'informatique.
Aspects techniques de la sécurité
Les problèmes techniques actuels de sécurité informatique peuvent, au moins pro-
visoirement, être classés en deux grandes catégories :
• ceux qui concernent la sécurité de l'ordinateur proprement dit, serveur ou
poste de travail, de son système d'exploitation et des données qu'il abrite ;
• ceux qui découlent directement ou indirectement de l'essor des réseaux, qui
multiplie la quantité et la gravité des menaces.
Si les problèmes de la première catégorie citée ici existent depuis la naissance de
l'informatique, il est clair que l'essor des réseaux, puis de l'Internet, en a démul-
tiplié l'impact potentiel en permettant leur combinaison avec ceux de la seconde
catégorie.
La résorption des vulnérabilités repose sur un certain nombre de principes et de
méthodes que nous allons énumérer dans la présente section avant de les décrire
plus en détail.
Définir risques et objets à protéger
Périmètre de sécurité
Inutile de se préoccuper de sécurité sans avoir défini ce qui était à protéger : en
d'autres termes toute organisation désireuse de protéger ses systèmes et ses ré-
seaux doit déterminer son périmètre de sécurité. Le périmètre de sécurité, au sein
Principes de sécurité du système d'information
Première partie
de l'univers physique, délimite l'intérieur et l'extérieur, mais sa définition doit aussi
englober (ou pas) les entités immatérielles qui peuplent les ordinateurs et les ré-
seaux, essentiellement les logiciels et en particulier les systèmes d'exploitation.
Une fois fixé ce périmètre, il faut aussi élaborer une politique de sécurité, c'est-
à-dire décider de ce qui est autorisé et de ce qui est interdit. À cette politique
viennent bien sûr s'ajouter les lois et les règlements en vigueur, qui s'imposent à
tous. Cela fait, il sera possible de mettre en place les solutions techniques appro-
priées à la défense du périmètre selon la politique choisie. Mais déjà il est patent
que les dispositifs techniques ne pourront pas résoudre tous les problèmes de sécu-
rité, et, de surcroît, la notion même de périmètre de sécurité est aujourd'hui battue
en brèche par des phénomènes comme la multiplication des ordinateurs portables
qui, par définition, se déplacent de l'intérieur à l'extérieur et inversement, à quoi
s'ajoute l'extraterritorialité de fait des activités sur l'Internet.
Périmètre et frontière
La notion de périmètre de sécurité, ainsi que le signalait déjà l'alinéa précédent,
devient de plus en plus fragile au fur et à mesure que les frontières entre l'ex-
térieur et l'intérieur de l'entreprise ainsi qu'entre les pays deviennent plus floues
et plus poreuses. Interviennent ici des considérations topographiques : les ordi-
nateurs portables entrent et sortent des locaux et des réseaux internes pour aller
se faire contaminer à l'extérieur ; mais aussi des considérations logiques : quelles
sont les lois et les règles qui peuvent s'appliquer à un serveur hébergé aux Etats-
Unis, qui appartient à une entreprise française et qui sert des clients brésiliens et
canadiens ?
La justice et les fournisseurs français d'accès à l'Internet (FAI) en ont fait l'expé-
rience : un certain nombre d'organisations ont déposé devant les tribunaux fran-
çais des plaintes destinées à faire cesser la propagation de pages Web à contenus
négationnistes, effectivement attaquables en droit français. Mais les sites néga-
tionnistes étaient installés aux Etats-Unis, pays dépourvu d'une législation anti-
négationniste, ce qui interdisait tout recours contre les auteurs et les éditeurs des
pages en question. Les plaignants se sont donc retournés contre les FAI fran-
çais, par l'intermédiaire desquels les internautes pouvaient accéder aux pages dé-
lictueuses, mais ceux-ci n'en pouvaient mais. En effet, ainsi que nous le verrons
à la page 234, le filtrage de contenus sur l'Internet est une entreprise coûteuse,
Premières notions de sécurité
Chapitre 1
aux résultats incertains, et en fin de compte vaine, car les éditeurs des pages en
question disposent de nombreux moyens pour déjouer les mesures de prohibition.
Cette question du filtrage de contenu est traitée par le rapport Kahn-Brugidou
[25] ; le site www . legalis . net [73] assure une veille juridique bien faite sur toutes
les questions liées aux développements de l'informatique et de l'Internet ; les livres
de Solveig Godeluck [59] et de Lawrence Lessig [74] replacent ces questions dans
un contexte plus général.
Ressources publiques, ressources privées
Les systèmes et les réseaux comportent des données et des programmes que nous
considérerons comme des ressources. Certaines ressources sont d'accès public, ainsi
certains serveurs Web, d'autres sont privées pour une personne, comme une boîte
à lettres électronique, d'autres sont privées pour un groupe de personnes, comme
l'annuaire téléphonique interne d'une entreprise. Ce caractère plus ou moins pu-
blic d'une ressource doit être traduit dans le système sous forme de droits d'accès,
comme nous le verrons à la page 37 où cette notion est présentée.
Identifier et authentifier
Les personnes qui accèdent à une ressource non publique doivent être identifiées;
leur identité doit être authentifiée ; leurs droits d'accès doivent être vérifiés au re-
gard des habilitations qui leur ont été attribuées : à ces trois actions correspond
un premier domaine des techniques de sécurité, les méthodes d'authentification,
de signature, de vérification de l'intégrité des données et d'attribution de droits
(une habilitation donnée à un utilisateur et consignée dans une base de données
adéquate est une liste de droits d'accès et de pouvoirs formulés de telle sorte qu'un
système informatique puisse les vérifier automatiquement).
La sécurité des accès par le réseau à une ressource protégée n'est pas suffisamment
garantie par la seule identification de leurs auteurs. Sur un réseau local de type
Ethernet où la circulation des données fonctionne selon le modèle de l'émission
radiophonique que tout le monde peut capter (enfin, pas si facilement que cela,
heureusement), il est possible à un tiers de la détourner. Si la transmission a lieu à
travers l'Internet, les données circulent de façon analogue à une carte postale, c'est-
à-dire qu'au moins le facteur et la concierge y ont accès. Dès lors que les données
Principes de sécurité du système d'information
Première partie
doivent être protégées, il faut faire appel aux techniques d'un autre domaine de la
sécurité informatique : le chiffrement.
Authentification et chiffrement sont indissociables : chiffrer sans authentifier ne
protège pas des usurpations d'identité (comme notamment l'attaque par interpo-
sition, dite en anglais attaque de type man in the middle, et décrite à la page 50),
authentifier sans chiffrer laisse la porte ouverte au vol de données.
Empêcher les intrusions
Mais ces deux méthodes de sécurité ne suffisent pas, il faut en outre se prému-
nir contre les intrusions destinées à détruire ou corrompre les données, ou à en
rendre l'accès impossible. Les techniques classiques contre ce risque sont l'usage
de pare-feu (firewalls) et le filtrage des communications réseaux, qui permettent
de protéger la partie privée d'un réseau dont les stations pourront communiquer
avec l'Internet sans en être « visibles » ; le terme visible est ici une métaphore qui
exprime que nul système connecté à l'Internet ne peut de sa propre initiative accé-
der aux machines du réseau local (seules ces dernières peuvent établir un dialogue)
et que le filtre interdit certains types de dialogues ou de services, ou certains cor-
respondants (reconnus dangereux).
La plupart des entreprises mettent en place des ordinateurs qu'elles souhaitent
rendre accessibles aux visiteurs extérieurs, tels que leur serveur Web et leur relais
de messagerie. Entre le réseau privé et l'Internet, ces machines publiques seront
placées sur un segment du réseau ouvert aux accès en provenance de l'extérieur,
mais relativement isolé du réseau intérieur, afin qu'un visiteur étranger à l'entre-
prise ne puisse pas accéder aux machines à usage strictement privé. Un tel segment
de réseau est appelé zone démilitarisée (DMZ), en souvenir de la zone du même
nom qui a été établie entre les belligérants à la fin de la guerre de Corée. Les
machines en DMZ, exposées donc au feu de l'Internet, seront appelées bastions.
Certains auteurs considèrent que ces techniques de sécurité par remparts, ponts-
levis et échauguettes sont dignes du Moyen- Age de l'informatique ; ils leur pré-
fèrent les systèmes de détection d'intrusion (IDS), plus subtils, qui sont décrits
par la page 230 et ses sous-sections. La surenchère suivante proclame que si l'on a
détecté une intrusion, autant la stopper, et les IDS sont devenus des IPS (systèmes
de prévention d'intrusion). Et l'on verra plus loin que les IPS sont critiqués par
les tenants des mandataires applicatifs, plus subtils encore. Cela dit, dans un pay-
Premières notions de sécurité
Chapitre 1
sage informatique où les micro- ordinateurs prolifèrent sans qu'il soit réaliste de
prétendre vérifier la configuration de chacun, le filtrage et le pare-feu sont encore
irremplaçables.
Pour couper court à toutes ces querelles autour des qualités respectives de telle ou
telle méthode de sécurité, il suffit d'observer l'état actuel des menaces et des vulné-
rabilités. Il y a encore une dizaine d'années, le paramétrage de filtres judicieux sur
le routeur de sortie du réseau d'une entreprise vers l'Internet pouvait être consi-
déré comme une mesure de sécurité bien suffisante à toutes fins pratiques. Puis
il a fallu déployer des antivirus sur les postes de travail. Aujourd'hui, les CERT
[Computer Emergency Response Teams, voir page 17 pour une description de ces
centres de diffusion d'informations de sécurité informatique) publient une dizaine
de vulnérabilités nouvelles par semaine, et l'idée de pouvoir se prémunir en flux
tendu contre toutes est utopique. La conception moderne (en cette année 2006)
de la protection des systèmes et des réseaux s'appuie sur la notion de défense en pro-
fondeur, par opposition à la défense frontale rigide, où l'on mise tout sur l'efficacité
absolue d'un dispositif unique.
Défense en profondeur
La défense en profondeur — au sujet de laquelle on lira avec profit un article du
Général Bailey [12] qui évoque à son propos une véritable « révolution dans les
affaires militaires » — consiste à envisager que l'ennemi puisse franchir une ligne
de défense sans pour cela qu'il devienne impossible de l'arrêter ; cette conception
s'impose dès lors que les moyens de frappe à distance et de déplacement rapide,
ainsi que le combat dans les trois dimensions, amènent à relativiser la notion de
ligne de front et à concevoir l'affrontement armé sur un territoire étendu. Plus
modestement, la multiplication des vulnérabilités, la généralisation des ordina-
teurs portables qui se déplacent hors du réseau de l'entreprise, l'usage de logiciels
novateurs (code mobile, peer to peer, sites interactifs, téléphonie et visioconférence
sur IP) et d'autres innovations ont anéanti la notion de « périmètre de sécurité » de
l'entreprise, et obligent le responsable SSI à considérer que la menace est partout
et peut se manifester n'importe où. Il faut continuer à essayer d'empêcher les in-
trusions dans le SI de l'entreprise, mais le succès de la prévention ne peut plus être
garanti, et il faut donc se préparer à limiter les conséquences d'une attaque réus-
sie, qui se produira forcément un jour. Et ce d'autant plus que le SI contemporain
n'est pas comme par le passé contenu par un « centre de données » monolithique
Principes de sécurité du système d'information
Première partie
hébergé dans un bunker, mais constitué de multiples éléments plus ou moins im-
matériels qui vivent sur des ordinateurs multiples, dispersés dans toute l'entreprise
et au dehors ; et c'est cette nébuleuse qu'il faut protéger.
Nous allons au cours des chapitres suivants examiner un peu plus en détail cer-
taines collections de techniques qui s'offrent au responsable SSI, en commençant
par la cryptographie dont sont dérivées les techniques de l'authentification.
Aspects organisationnels de la sécurité
À côté des mesures techniques destinées à assurer la protection des systèmes et
des réseaux, la sécurité du SI comporte un volet humain et social au moins aussi
important : la sécurité dépend en dernière analyse des comportements humains
et, si les comportements sont inadaptés, toutes les mesures techniques seront par-
faitement vaines parce que contournées.
Abandonner les utilisateurs inexpérimentés aux requins ?
Un article récent de Marcus J. Ranum [88] (voir aussi page 224), qui n'est rien
moins que l'inventeur du pare-feu et une autorité mondiale du domaine SSI, sou-
tient l'idée paradoxale qu'il serait inutile, voire nuisible, d'éduquer les utilisateurs
du SI à la sécurité : son argument est que les utilisateurs incapables de maîtriser
suffisamment leur ordinateur, notamment en termes de mesures de sécurité, sont
condamnés à être expulsés du marché du travail, et qu'il ne faut rien faire pour
les sauver. Cette idée ne peut manquer de séduire les RSSI épuisés non pas tant
par l'inconscience et l'ignorance de leurs utilisateurs, que par le fait que ceux-ci ne
veulent rien savoir. Cela dit, après avoir jubilé quelques instants à l'idée de la dispa-
rition en masse de ses utilisateurs les plus insupportables, le RSSI se retrouve par
la pensée dans la situation du narrateur d'un récit de Roland Topor [111], naufragé
reçu comme dieu vivant d'une île du Pacifique, et qui un jour, exaspéré par une
rage de dents, crie à ses fidèles « Vous pouvez tous crever ! », suggestion à laquelle
ils obéissent incontinent.
Si la suggestion de M. Ranum n'est pas à prendre à la légère, il convient néan-
moins de prendre en considération que les questions de SSI sont fort complexes
et évoluent vite, si bien que même les utilisateurs avertis peuvent être pris de court
Premières notions de sécurité
Chapitre 1
par des menaces dont ils n'étaient pas informés. Nous pouvons même risquer une
assertion plus générale : en informatique, aucune compétence n'est pérenne ni com-
plète. Il convient donc que les RSSI et de façon plus générale tous les informa-
ticiens responsables des infrastructures techniques et des réseaux consacrent une
part de leur activité à informer, sensibiliser et former les utilisateurs à la probléma-
tique SSL Eux-mêmes doivent se tenir en permanence au courant de l'évolution
du sujet, être abonnés aux bulletins d'alerte des CERT et aux revues spécialisées,
fréquenter les forums spécialisés et les conférences et mettre en application les
enseignements qu'ils en auront tirés. Tout cela semblerait aller de soi, si l'on ne
voyait combien peu ces conseils sont entendus.
Idéalement, dans une entreprise, aucun utilisateur ne devrait être laissé « à l'aban-
don », c'est-à-dire avec un accès incontrôlé au réseau de l'entreprise et à ses com-
munications avec l'Internet, il devrait y avoir dans chaque groupe de travail un
correspondant informatique en contact avec les responsables des infrastructures
et du réseau. En l'absence d'une telle structure d'échanges, les phénomènes les
plus dangereux ne manqueront pas de proliférer, et de ce moment surgiront les
incidents les plus graves.
La nature du « contact » entre le correspondant informatique et les responsables du
SI et des infrastructures pourra dépendre du type d'organisation : dans une entre-
prise assez centralisée et hiérarchisée la fonction de correspondant informatique
sera définie en termes opérationnels, il aura des directives précises à appliquer et
devra rendre compte de leur application ainsi que de tout problème informatique
qui pourrait survenir. Dans une entreprise à la structure plus lâche, un organisme
de recherche par exemple, la mise en place d'une telle organisation peut se révéler
difficile, les relations de contact seront moins formelles, mais il sera néanmoins
important qu'elles existent, ne serait-ce que par des conversations régulières au
pied de la machine à café.
Externalisation radicale ?
En septembre 2004 un article de Computer Weekly [97] a signalé une politique d'une
nouveauté bouleversante pour faire face à la dissolution du périmètre de sécurité
(on parle désormais de dépérimétrisation) . British Petroleum (BP), la firme pétro-
lière bien connue, était obligée d'administrer 380 extranets pour communiquer
avec 90 000 correspondants d'entreprises clients, fournisseurs ou partenaires de
Principes de sécurité du système d'information
Première partie
par le monde, et ce au travers des infrastructures infiniment variées en nature et
en qualité des opérateurs locaux. Elle a décidé qu'il serait beaucoup plus simple
et efficace de leur offrir, par l'Internet, un accès analogue à celui que les banques
offrent à leurs clients pour gérer leur compte.
La démarche ne s'est pas arrêtée là : BP s'est rendu compte que cette solution
d'accès pourrait être étendue à une fraction de son propre personnel, estimée à
60% de ses 96 200 employés, qui n'avaient pas besoin d'utiliser de systèmes client-
serveur particuliers, un navigateur suffirait.
Les avantages d'une telle solution semblent considérables : l'entreprise n'a plus
besoin de se soucier de la sécurité sur le poste de travail des correspondants ou des
employés ainsi « externali
Lire la suite
- 2.18 MB
- 15
Vous recherchez le terme ""
32
47
