NSA (Prism) Les moyens de se protéger: TOR (The Onion Router)

TOR (The Onion Router)

Un (relativement) bon moyen de préserver son anonymat en surfant sur la toile est d’utiliser le célèbre logiciel TOR (The Onion Router). Aujourd’hui on va se pencher sur ce que vaut TOR face au programme de surveillance américain. Est-ce qu’il permet toujours de nous protéger du programme de surveillance américain, à la lumière des révélations de Mr Snowden ?
Nous allons tenter d’apporter des éléments de réponse dans cet article.
Qu’est-ce que TOR ?
C’est un réseau informatique composé de routeurs et conçu pour permettre de surfer de manière anonyme sur Internet. Ces routeurs sont organisés sous forme de couches successives, d’où le nom (The Onion Router).
Il a commencé à être développé il y’a 11 ans par l’US Navy, avec pour principal objectif de protéger certaines communications du gouvernement américain.
Comment fonctionne-t-il ?
Tor fonctionne en cryptant de manière continue les données qui transitent dans le réseau de serveurs (la plupart d’entre eux étant fournis par des volontaires). Il fait transiter les données par plusieurs serveurs de manière « aléatoire », de telle sorte qu’au final il soit impossible de savoir le chemin pris, ni l’origine du message. Ces données peuvent être à peu près tout ce qui circule sur le net, des mails, des programmes, des informations pour un site, etc…
Il fournit un moyen de se connecter au net, de surfer, de faire de la publication de sites web en cachant l’identité du serveur qui les héberge, des services de messagerie instantanée… Tout ceci de manière anonyme.
La NSA et TOR
Selon les documents fournis par Snowden, la NSA a bien essayé de casser l’anonymat des utilisateurs de l’outil.
Ainsi on y apprend que l’agence américaine a tenté à de multiples reprises d’identifier des utilisateurs de Tor.
Les documents révélés montrent que l’agence gouvernementale a bien eu des succès contre certains de ces utilisateurs.
L’une des méthodes ayant fonctionné consistait à utiliser des vulnérabilités de Firefox pour accéder aux ordinateurs des utilisateurs du célèbre outil.
Cette technique aurait montré son efficacité durant la période où le navigateur était affecté par une faille dans le composant ECMAScript for XML (E4X).
La méthode se révèle alors efficace quand la faille permet d’exécuter du code JavaScript.
L’inconvénient de cette technique pour la NSA est que sitôt la faille de sécurité comblée, ils sont obligés de trouver de nouvelles failles à exploiter. L’agence disposerait ainsi d’équipes se penchant systématiquement sur les navigateurs pour essayer de trouver des failles exploitables, notamment pour l’attaque des utilisateurs de Tor.
A travers les articles du Washington Post et du Guardian, on apprend aussi que l’agence possède toute une structure pour l’exploitation de failles. Il s’agit en fait de machines sous Windows 2003 Server, placées directement sur les grands axes de télécommunications (backbones) et comportant de très nombreux scripts en Perl pour parer à une multitude de situations. Elles ne sont d’ailleurs pas utilisées que dans le cas de Tor.
Ainsi elle serait capable de surveiller certains paquets transitant par le réseau.
Dans d’autres cas il semblerait possible qu’elle ait réussi, avec son infrastructure présente dans le réseau à sortir les utilisateurs de Tor et à les rediriger vers de faux sites, pour installer des logiciels espions sur les ordinateurs des utilisateurs concernés.
Un autre document fourni par Snowden montre un échange entre deux hackers de l’agence américaine, dans lequel ils indiquent qu’ils sont capables de cibler tout utilisateur ayant visité un site d’Al Qaeda en utilisant TOR.
Dans un autre registre, Silk Road, un marché en ligne où on vend des substances illégales et qui reposait sur TOR s’est aussi vu fermé après qu’ils aient été ciblés par le FBI cette fois.
Les Limites de la NSA face à TOR
Les documents fournis par Snowden semblent indiquer que jusqu’à leur publication, il reste malgré tout très difficile pour la NSA de contourner l’anonymat fournit par le réseau.
On peut voir une présentation de l’agence gouvernementale, disponible à cette adresse :

http://apps.washingtonpost.com/g/page/world/nsa-slideshow-on-the-tor-problem/499/

Cette présentation suggère que TOR reste considéré comme un gros problème, et que seulement pour certains utilisateurs ils ont réussi à savoir leur identité grâce aux failles javascript.
Selon cet autre rapport de la NSA :

http://apps.washingtonpost.com/g/page/world/nsa-research-report-on-the-tor-encryption-program/501/

L’agence aurait travaillé sur différentes façons de pénétrer dans ce réseau, et de pouvoir récupérer des informations sur les utilisateurs de manière massive, sans gros succès jusque-là. Les méthodes utilisées jusque-là ne permettent que d’identifier un petit groupe d’individus, et ce au prix de gros efforts ; rendant impossible l’espionnage massif des utilisateurs.

« Même sous le coup des attaques de la NSA, Tor peut encore aider à protéger l’anonymat », a ainsi commenté Roger Dingledine, le directeur du projet Tor.
Il continue en disant que c’est une bonne nouvelle que pour le projet que la NSA ait essayé d’attaquer le réseau en visant un navigateur Internet, car cela signifie « qu’ils ne sont pas sur le point de casser le protocole de Tor ou de réussir à faire l’analyse du trafic sur le réseau Tor ».

Enfin, « Il est possible de cibler des individus en visant leur navigateur avec des exploits, mais si vous attaquez trop d’utilisateurs, quelqu’un va le remarquer », a-t-il commenté. « Donc, même si la NSA a pour but de surveiller tout le monde, partout, ils doivent être beaucoup plus sélectifs et mieux cibler les utilisateurs de Tor qu’ils veulent espionner ».

Sources :

http://www.lemonde.fr/technologies/article/2013/10/04/la-nsa-a-tente-de-casser-l-anonymat-du-reseau-tor_3490357_651865.html

http://www.theverge.com/2013/10/4/4802512/nsa-failed-to-compromise-tor-network-but-exploited-browser-vulnerabilities

http://www.theguardian.com/world/2013/oct/04/nsa-gchq-attack-tor-network-encryption

http://www.washingtonpost.com/world/national-security/secret-nsa-documents-show-campaign-against-tor-encrypted-network/2013/10/04/610f08b6-2d05-11e3-8ade-a1f23cda135e_story.html

https://www.torproject.org/about/overview.html.en

Prism: Les écoutes téléphoniques

On va maintenant commencer à parler des moyens techniques utilisés par la National Security Agency (NSA), l’agence gouvernementale derrière PRISM. Aujourd’hui nous allons nous pencher sur l’aide apportée par les grosses entreprises à la NSA.

Selon des documents publiés par le célèbre journal « The Guardian », la NSA aurait obtenu un accès direct aux données de plusieurs grosses entreprises  américaines dans le domaine de l’informatique et des télécommunications. Sont concernés entre autres les géants du Net que sont Google, Facebook, Apple, Microsoft ainsi que des opérateurs de téléphonie  AT&T, SPRINT, VERIZON (ce sont des opérateurs de téléphonie américains).

Concernant les opérateurs de téléphonie, l’opérateur Verizon transmettrait quotidiennement à la NSA des informations comme la durée des appels émis par leurs clients, leur position géographique ou la destination de ces appels.
La surveillance des appels téléphoniques ne se limitait pas qu’aux entreprises de télécommunications, elle s’étendrait aussi aux entreprises proposant des services de voix sur IP.

Ainsi selon ces informations le FBI et la CIA auraient bénéficié de la coopération de cette coopération pour pouvoir aussi écouter les communications sur IP.
Un exemple est le cas de Microsoft  via le célèbre logiciel de Voip Skype.

On apprend  que ce programme (Skype) avait été intégré au programme d’écoutes téléphoniques avant même le rachat de Skype par Microsoft en 2011, Microsoft ayant continué un programme déjà existant.
Microsoft aurait aussi amélioré ce programme d’écoute sur Skype en 2012 en permettant en Juillet 2012 à la NSA de tripler les informations collectées via Skype, alors même que le protocole de communication utilisé par Skype est propriétaire.

Pour l’instant la plupart de ces entreprises se sont fendues de communiqués indiquant qu’ils n’ont jamais participé de manière volontaire à ces programmes d’écoutes téléphoniques. Elles nient avoir donné un accès à leurs serveurs, voici quelques communiqués :

Microsoft : « Nous ne fournissons les données des utilisateurs que lorsque nous recevons un ordre légal, et jamais sur une base volontaire. De plus, nous n’acceptons ces ordres que s’ils concernent des comptes ou identifiants spécifiques. Si le gouvernement a un programme de sécurité plus large et sur une base volontaire pour collecter des données, nous n’y participons pas. »

 

 

Google : « Google fait très attention à la sécurité des données de ses utilisateurs. Nous divulguons des données au gouvernement en accord avec la loi, et nous examinons avec attention de telles requêtes. De temps en temps, des personnes prétendent que nous avons créé une porte dérobée pour le gouvernement, mais Google n’a rien de tel pour les données privées des utilisateurs »

 

Ces protestations des entreprises concernées sont cependant à prendre avec des pincettes étant donné que certains documents révèlent que les partenariats avec les entreprises privées doivent être les secrets les plus sensibles du programme.

La surveillance des conversations téléphonique ne concernerait pas que les simples citoyens dans le monde, les derniers éléments révélés laissent entendre que des personnalités de l’union européenne auraient aussi été surveillées.

Ainsi l’hebdomadaire allemand Spiegel révèle que le portable de la chancelière allemande avait été placé sous écoute. Le porte-parole de  la chancelière a ainsi indiqué que « le gouvernement fédéral avait obtenu des informations selon lesquelles le téléphone portable de la chancelière pourrait être écouté par les services américains ».

Selon cet hebdomadaire (Spiegel), en Allemagne il y’aurait  500 millions de conversations écoutées par mois.
La surveillance concerne aussi les données des français, ainsi du 10 décembre 2012 au 8 janvier 2013, 70,3 millions d’enregistrements de données téléphoniques des Français ont été effectués par la NSA.

La technique utilisée consisterait à déclencher l’enregistrement de la conversation lorsque certains numéros de téléphone ciblés sont utilisés. Ce système serait aussi bien utilisé pour les appels vocaux que pour les SMS.
Pour l’instant nous n’avons pas plus de détails sur les techniques d’enregistrement.

 

Sources :

http://www.pcinpact.com/news/80336-prism-filet-geant-etats-unis-pour-surveillance-web.htm

http://www.zdnet.fr/actualites/prism-la-nsa-libre-de-fouiller-dans-les-donnees-de-facebook-microsoft-apple-39791158.htm

http://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data

http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data

http://www.lefigaro.fr/international/2013/06/29/01003-20130629ARTFIG00404-scandale-prism-la-nsa-espionnait-aussi-l-union-europeenne.php

http://www.lemonde.fr/international/article/2013/10/24/angela-merkel-espionnee-par-la-nsa_3502360_3210.html

http://www.silicon.fr/prism-millions-francais-places-ecoute-90246.html

 

Le logiciel EBIOS

Dans le dernier post, nous vous présentions les méthodes EBIOS et MEHARI, nous allons vous présenter aujourd’hui et le mois prochain les deux logiciels associés à ces méthodes.

Rappel : La méthode EBIOS

La méthode EBIOS est une méthode de gestion des risques de sécurité des systèmes d’information (SSI). EBIOS est un véritable outil d’assistance à la maîtrise d’ouvrage (définition d’un périmètre d’étude, expression de besoins, responsabilisation des acteurs…). Elle permet ainsi d’identifier les objectifs et les exigences de sécurité en fonction de risques identifiés et retenus. Elle constitue une main courante dans la perception de l’organisme sur le plan de la sécurité.

EBIOS peut-être appliqué aussi bien sur des systèmes simples (serveur web) que sur des systèmes complexes (système de gestion des concours et du personnel impliquant différentes interconnexions), sur des systèmes à concevoir que sur des systèmes existants, ou encore sur des systèmes d’information entiers que sur des sous-systèmes.

Présentation du logiciel EBIOS et de ses fonctionnalités.

Le logiciel EBIOS est donc un logiciel d’assistance à l’utilisation de la méthode EBIOS. Il respecte la philosophie générale de la méthode.

Il permet de créer des livrables conformes aux plans recommandés par la direction centrale de la sécurité des systèmes d’information (DCSSI), notamment les Fiches d’Expression Rationnelle des Objectifs de Sécurité (FEROS), les profils de protection, les cahiers des charges SSI, les politiques de sécurité.

Il permet d’accéder aux bases de connaissances et de les adapter à des contextes particuliers. Les acteurs de la SSI (Direction, RSSI…) peuvent ainsi diffuser des éléments de politique de sécurité tels que les valeurs de l’organisme, la réglementation applicable, l’échelle de sensibilité à utiliser, les menaces à prendre en compte ou les objectifs de sécurité à couvrir.

C’est un outil puissant pour le conseil lié à la gestion des risques SSI. Il permet notamment de :

-          consigner les résultats d’une analyse des risques SSI
-          gérer un contenu dynamique et interactif
-          capitaliser les savoirs pour créer un référentiel propre à l’organisme
-          communiquer efficacement les résultats.

De plus, ce logiciel suit les évolutions de la méthode EBIOS, notamment la convergence vers les normes internationales telles que l’ISO 15408.

Voici les différentes fonctionnalités du logiciel :

-          Réalisation d’une étude EBIOS : permet de consigner les résultats des études, de produire les divers tableaux et d’effectuer certains calculs automatiquement.

La réalisation d’une étude est composée de 6 parties :

  • L’étude du contexte : étape consistant à définir et délimiter l’étude à partir des entretiens ou questionnaires établis à l’étape préparatoire.
  • Expression des besoins et des évènements redoutés : énumération des besoins de sécurité de chacun des éléments essentiels.
  • L’étude des menaces : étape ayant pour objectif de déterminer les menaces, puis les vulnérabilités associées à ces menaces, devant être couvertes par les objectifs de sécurité du système cible. On confronte ensuite les menaces spécifiques du système cible avec les besoins de sécurité établis précédemment.
  • Identification des risques : détermination des risques, et définition des solutions permettant d’atteindre les objectifs de sécurité
  • Détermination des exigences de sécurité : spécification des fonctionnalités attendues en matière de sécurité. Cela permet de démontrer la couverture des objectifs de sécurité par ces exigences de sécurité fonctionnelles ou mettre en évidence les éventuels risques résiduels. On doit enfin spécifier les exigences de sécurité d’assurance.
  • Compléments : création d’un glossaire, d’une liste des acronymes utilisés dans l’étude et des documents de référence

-          Création de documents de synthèse : EBIOS permet de réaliser différents livrables tels que des politiques de sécurité des systèmes d’information, des fiches d’expressions rationnelles des objectifs de sécurité (FEROS), des profils de protections, des cibles de sécurité… à partir des données issues d’une étude SSI.

-          Etude de cas : Découvrir le logiciel à travers une étude de cas commentée.

-          Administration des bases de connaissances : Le logiciel permet la création, la consultation et la personnalisation de bases de connaissances. Les bases de connaissances d’EBIOS présentent et décrivent des types d’entités, des contraintes, des vulnérabilités, des méthodes d’attaques, des objectifs de sécurité, des exigences de sécurité… Ces bases de connaissances sont ensuite utilisées par les études comme référence.

-       Administration système : Administrer les utilisateurs. Cela correspond à la gestion des rôles et des utilisateurs (Authentification) : pour accéder à chaque fonctionnalité du logiciel, le logiciel peut demander un identifiant et un mot de passe.

Pour conclure, voici les principaux avantages du logiciel EBIOS. Il est :

-       Recommandé par la DCSSI  (diffusion et assistance par la DCSSI)
-       Gratuit
-       Compatible avec différents systèmes (Windows, Linux ou Solaris)
-       Facile de prise en main (avec même un module d’auto-formation, une aide complète)
-       Permet de rejoindre la communauté des utilisateurs EBIOS (experts…)
-       Est sous licence libre (utilisable et adaptable par tous, sources et documents de conception fourni avec le logiciel) (conçu en UML et réalisé en Java et XML)
-       Fidéle à la méthode
-       Capable d’éditer les documents adaptés aux besoins

Source : www.ssi.gouv.fr , logiciel EBIOS

Licence Creative Commons
Plans de sécurité de Jean-Baptiste Clavel et Adrien Thiery est mis à disposition selon les termes de la licence Creative Commons Attribution 3.0 non transposé.

Sécurité : physique ou virtuelle ?

Quand on a des bijoux ou de l’argent, que fait-on pour les mettre à l’abri, en sécurité ? Nos systèmes d’information détiennent des informations qui peuvent valoir de l’or, or les serveurs hébergeant ces informations sont parfois aussi faciles à saboter ou à voler que si on laissait sa chaîne en or sur une table en laissant la porte de la maison ouverte.

En effet, les informations ont beau être dématérialisée, on ne pense souvent qu’à leur vulnérabilité virtuelle et non à leur vulnérabilité physique. Cependant, certaines mesures sont parfois prises en entreprise pour pallier à tous les risques, y compris physiques.

Dans le réel, une salle sécurisée à tous les niveaux

Sécurité humaine

Un centre regroupant un ou plusieurs serveurs hébergeant les informations sensibles d’une entreprise est une cible de choix pour des êtres mal intentionnés. C’est pourquoi la sécurité des accès doit être surveillée au mieux. Pour une sécurité des informations maximale, la présence humaine continue (gardiennage 24/24) peut être renforcée par un système de vidéo surveillance, de régulation d’entrées/sorties par badges et d’alerte anti-intrusion déployé dans l’ensemble de ce bâtiment.

Sécurité physique et matérielle

Pour éviter la destruction des informations en cas de destruction d’un serveur, les équipements déclarés comme sensibles doivent être systématiquement redondés, c’est-à-dire dupliqués en un ou plusieurs endroits. Il existe aujourd’hui des systèmes et des techniques de sauvegarde de données régulières afin d’éviter les pertes de données imprévues (par exemple le fonctionnement de deux disques miroirs via RAID1 (Redundant Array of Independent Disks) ou l’utilisation de scripts de sauvegarde automatique).

Pour résister à une coupure (criminelle ou non) de ressources, un centre de serveurs se doit aussi de bénéficier d’une autonomie électrique régulièrement testée en cas de coupure électrique. Il peut aussi bénéficier d’un système de sécurité incendie ainsi que d’un groupe de refroidissement autonome adapté pour réguler au mieux la température des serveurs et en protéger le matériel, même en cas de coupure d’eau.

Sécurité logicielle

Pour bien protéger son système d’information, il est nécessaire de connaitre les principales attaques que le système est susceptible de subir. Il existe trois types d’attaques :

-       les attaques qui permettent d’obtenir des informations ou des privilèges pour mener un autre type d’attaque. On parle d’attaque par rebond.

-       les attaques simultanées par collusion : technique qui consiste à déclencher de nombreuses attaques  de manière coordonnée. Cette technique est notamment utilisée pour l’analyse de cryptogramme.

-       les attaques simultanées par coordination sur une cible unique : il s’agit de coordonner une attaque utilisant de très nombreux systèmes pour saturer la cible.

Voici les principales attaques connues à ce jour. Cette liste n’est bien sûr pas exhaustive :

-       Sabotage : c’est une destruction physique de matériels ou de supports dans le but de mettre hors service un SI ou une de ses composantes.

-       Brouillage : attaque de haut niveau utilisant les rayonnements électromagnétiques qui rendent le SI inopérant. Très souvent utilisé par les militaires en temps de crise ou de guerre.
D’où la très célèbre citation ! : « Le capitaine nous brouille l’écoute avec sa panne de micro. »

-       Écoute : sauvegarde des informations qui transitent sur un réseau informatique ou de télécommunication.

-       Cryptanalyse : attaque d’un chiffre. Pour assurer cette attaque, d’excellentes connaissances en mathématiques et une forte puissance de calcul sont requises. Couramment utilisé par les services de renseignement.

-       Mystification : simulation de la part de l’attaquant du comportement d’une machine pour tromper un utilisateur.

Exemple : simulation d’un terminal de paiement invitant à entrer ses données bancaires confidentielles

-       Trappe (ou Backdoor) : point d’entrée dans une application placée par un développeur. Ce point d’entrée permet aux programmeurs d’interrompre le déroulement de l’application, d’effectuer des tests, de modifier certains paramètres afin d’en changer le comportement original ceci lorsque l’application est en cours de développement.  Si ces points d’entrée ne sont pas supprimés avant commercialisation, il est possible de les utiliser pour contourner les mesures de sécurité.

Exemple :
Exploitation du mode debug de Sendmail utilisé par Robert T. Morris lors de son attaque par un ver sur Internet. (Source : Donn Seeley, Department of Computer Science, University of Utah, Aout 2008)

-       Asynchronisme : exploitation du fonctionnement asynchrone de certaines parties ou commandes du système d’exploitation. Modification des sauvegardes de contexte contenant des informations propres à l’état du système afin de contourner les mesures de sécurité.

-       Souterrain : type d’attaque qui évite de s’attaquer directement à une protection mais qui tente de s’en prendre à un élément qui la supporte. On peut faire une analogie avec le détenu qui tente de s’évader de prison : il privilégiera la fuite en creusant un souterrain dans la terre plutôt que tenter de percer un mur d’enceinte en béton.

-       Salami : acquisition imperceptible de données parcellaires d’un SI en vue de les rassembler et d’obtenir un tout exploitable.

-       Balayage (scanning) : cette technique consiste à envoyer au SI un ensemble de requêtes de natures diverses afin d’examiner les réponses du système. En automatisant ces sollicitations du SI, le pirate pourra facilement trouver le nom de certains utilisateurs et pourquoi pas leur mot de passe.

-       Exploitation d’un défaut (bug) : De nombreuses failles sont présentes dans les logiciels commerciaux. Ces failles sont exploitées à des fins malveillantes par les pirates.

-       Logiciel espion (spyware) : logiciel malveillant infectant un ordinateur dans le but de collecter et de transmettre, de manière invisible, des informations de l’environnement sur lequel il est installé.

-       Canal caché : Attaque de très haut niveau permettant de récupérer des informations en violant la politique de sécurité. Il existe 4 canaux cachés :

  • les canaux de stockage pour le transfert/la récupération d’informations
  • les canaux temporels pour étudier les temps de réponse du SI
  • les canaux de raisonnement qui permettent à un processus de déduire de l’information à laquelle il n’a pas normalement accès
  • les canaux dits de “fabrication” qui créent de l’information fausse.

-       Réseau de robots logiciels (botnet) : Réseau de robots logiciels (bots) installés sur énormément de machines. Ces robots se connectent sur des serveurs IRC (Internet Relay Chat) à partir desquels ils reçoivent des instructions de type : envoi de spam, vol d’informations, participation à des attaques de saturation…

-       Perturbation : L’agresseur va essayer de fausser le comportement du SI ou de l’empêcher de fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des erreurs. L’agresseur veut désorganiser, affaiblir ou ralentir le système cible.

-       Saturation : technique consistant à remplir une zone de stockage ou un canal de communication jusqu’à ce que l’on ne puisse plus l’utiliser.

-       Pourriel (spam) : courrier électronique indésirable transmis à une multitude de destinataires envoyés sans que l’émetteur ne soit au courant. Le spam contribue à la pollution voir à la saturation des boîtes aux lettres électroniques.

-       Canular (hoax) : rumeur propagée, souvent par courrier électronique, comme quoi un virus catastrophique circule sur la toile, virus imaginaire bien évidement. Ce n’est pas une réelle attaque mais cela contribue à la désinformation générale.

-       Hameçonnage ou filoutage (phishing) : Technique simple qui permet d’obtenir des informations confidentielles telles que les mots de passe en se faisant passer auprès des victimes pour quelqu’un digne de confiance. Par exemple, votre banque qui vous demande vos codes pour mettre à jour vos droits…

-       Les Bombes, Virus, Vers, Chevaux de Troie étant les plus communs et ayant déjà étés traités l’année dernière, nous ne les réexpliquerons pas.

Cet arsenal d’attaques représente une partie des menaces potentielles pour un système. Un système doit donc nécessairement se prémunir contre ces différentes attaques.

Sources :

http://www.ssi.gouv.fr/IMG/pdf/Guide650-2006-09-12.pdf

http://www.clusif.asso.fr/
http://fr.wikipedia.org/wiki/RAID_(informatique)
Licence Creative Commons
Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution 3.0 non transposé.

Les plans de sécurité informatique – le retour

Les systèmes informatiques sont de plus en plus importants dans notre vie quotidienne, d’autant plus qu’avec l’explosion des smartphones, on veut avoir accès à toutes nos informations de n’importe où. De nombreuses entreprises détiennent donc des informations au format informatique et, depuis quelques années, UNIQUEMENT au format informatique. Ces dernières peuvent être vitales au fonctionnement de l’entreprise et il est donc nécessaire d’éviter la perte de ces informations ou de limiter les conséquences d’une crise informatique.

Lors de ce projet de veille technologique, qui prend la suite du groupe de l’année dernière, nous nous intéresserons aux thèmes suivants :
Qu’est-ce que la sécurité informatique ?
Afin de préciser l’article concernant la méthode de l’audit permettant l’évaluation des risques de l’année dernière, nous aimerions préciser que la sécurité informatique doit prendre en compte différents risques :
1) Les risques matériels accidentels pouvant entraîner la destruction partielle ou totale des matériels ou des supports informatiques et de leur environnement.
2) Le vol et le sabotage de matériel, notamment les petits matériels de supports informatiques.
3) Les pannes et dysfonctionnements matériels ou logiciels.
4) Les erreurs de saisie, de transmission ou d’utilisation des informations.
5) Les erreurs d’exploitation : oubli ou écrasement d’un fichier ou d’une sauvegarde, erreur de préparation ou de lancement.
6) Les erreurs de conception et de réalisation.
7) La fraude ou le sabotage immatériel.
Quelles sont les méthodes et les outils de protection de ces informations ?
Par la suite, nous étudierons et comparerons différentes méthodes de conception de plans de sécurité informatique tels que MEHARI (étudié l’année dernière), FEROS, EBIOS, OCTAVE, …
Etude de cas :
Enfin, nous ferons une étude de cas de mise en place d’un plan de sécurité informatique.

Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution – Pas d’Utilisation Commerciale 3.0 non transposé

Sécurité informatique : synthèse

Au cours de ces derniers mois, nous avons essayé de vous présenter différents aspects de la sécurité informatique, et ceci en vue de vous informer des différentes menaces existantes, mais surtout pour vous montrer que diverses solutions sont possibles afin de protéger votre système d’information, votre site web ou votre base de données.

Nous vous avons donc présenté les différentes menaces existantes, comme les virus, les vers, les chevaux de Troie ou encore les rootkits. Pour en savoir plus sur ces menaces, c’est par ici.

Ensuite, après vous avoir montré que votre système d’information est plus vulnérable que ce que vous pouviez le penser, il nous a paru indispensable de vous informer sur les moyens de contrer ces menaces, grâce à des logiciels/applications spécialisés dont vous retrouverez la description et l’utilité ici.

De plus, en lien avec l’actualité, nous vous avons présenté les techniques utilisées par les hackers pour faire tomber un site web, ou le cybersquatter. Si vous êtes curieux de (re)découvrir ces méthodes, c’est par là.

Si toutefois, vous aviez des besoins plus importants en matière de sécurité informatique (pour une entreprise, par exemple, souhaitant protéger entièrement son système d’information), nous vous proposons d’aller plus loin, en appliquant des méthodes plus formelles, permettant d’avoir une vision globale de la sécurité au sein de votre entité.

La première chose à faire, est de connaitre votre système d’information. Pour cela une démarche de cartographie du SI est primordiale, couplée à un audit de sécurité du SI : ces deux process vont vous permettre de connaitre parfaitement votre système, et de pouvoir ensuite agir efficacement dessus. Pour savoir comment les mettre en œuvre, vous pouvez lire notre article sur le sujet.

Enfin, une fois votre système d’information bien déterminé, il faut agir. Il existe différentes normes en matière de sécurité informatique. En cliquant ici, vous trouverez l’article où nous vous présentons l’une d’entre elles : la norme MEHARI.

Elle définit un ordre logique de tâches à réaliser pour sécuriser votre SI (identification, estimation et gestion des risques).

Nous espérons que ces quelques rudiments de sécurité informatique vous seront utiles pour protéger vos données, votre site web, votre base de donnée et/ou votre système d’information, et attendons vos retours avec impatience.

Cependant, nous tenons à vous informer que quel que soit le niveau de sécurité mis en place, ceux qui voudront accéder à vos données seront toujours en avance sur vous, car les correctifs de sécurité sont mis en place une fois les failles découvertes (le plus souvent lors d’attaques par des personnes malveillantes). Il faut donc bien évaluer les risques de votre système d’information, et surtout évaluer les probabilités d’attaques ainsi que la sensibilité des différentes données, car il est très facile de dépenser inutilement des sommes astronomiques pour la sécurité informatique.

(Le plan du rapport final suivra celui de cet article)

Des méthodes de management de risque

Il existe divers types de normes de sécurité informatique qui spécifient les méthodes de management de risque ; Ces normes proviennent principalement d‘organismes de normalisation internationaux et gouvernementaux, d’universités ou de milieux associatifs ou privés.

Chaque norme donne lieu à des outils d’analyse, généralement des logiciels gratuits ou payants, assistant la vérification des normes. Nous allons voir Méhari, une des principales normes, et en donner une description.

Mehari (MEthode Harmonisée d’Analyse de RIsques) est développée depuis 1995 par le CLUSIF, elle dérive des méthodes Melisa et Marion. Elle est utilisée par de nombreuses entreprises publiques et privées dans sa version française et anglaise.
Mehari est basée sur des spécifications s’articulant sur trois grands axes complémentaires :
- L’identification des risques : Qui comprend l’identification des actifs, des menaces, des mesures existantes, des vulnérabilités et des conséquences. Cela se fait suivant un processus défini comme suit :

Le « besoin de l’activité », point de départ du processus repose sur l’identification des besoins de services, de données (nécessaires aux services) ainsi qu’au besoin de conformité des comportements au référentiel. Après l’identification des actifs dits « primaires », on identifie leurs différentes formes et contingence qui donnent les actifs « secondaires » pour lesquels s’applique le reste du processus jusqu’à préciser les risques à évaluer.
- L’estimation des risques : Elle tient compte des facteurs structurels (liés à l’activité de l’organisme), des mesures de sécurité mises en œuvre et de la qualité de ces mesures.
Elle combine l’analyse des causes et des conséquences possibles pour évaluer la gravité d’un scénario suivant sa potentialité et son impact.

- La gestion des risques : Elle s’appuie sur les différentes étapes précédentes et vise à répondre aux objectifs déterminés (Services de sécurité à améliorer, niveaux de qualité cibles, etc.…)

Mehari est basée sur trois types de livrables :
- Le Plan Stratégique de Sécurité (PSS) fixe les objectifs ainsi que les métriques qui permettent de les mesurer. Il définit la politique et les grands axes de sécurité du SI pour ses utilisateurs.
- Les Plans Opérationnels de Sécurité (POS) décrivent les mesures de sécurité spécifiques à mettre en œuvre, en élaborant des scénarios de compromission et via un audit des services du SI. Ceci permet d’évaluer chaque risque (probabilité – impact) et par la suite d’exprimer les besoins de sécurité et les mesures de protections.
- Le Plan Opérationnel d’Entreprise (POE) assure le management de risque par la conception d’indicateurs sur les risques identifiés et des scénarios contre lesquels il faut se protéger.

Mehari repose sur un modèle de risque donnant lieu à des métriques pour estimer les paramètres liés aux risques :

- Niveaux de qualité des services.
- Facteurs de réduction de risques.
- Effets de la combinaison des services.
- Estimation de la gravité du risque.
- …

Cependant, il est à souligner que le CLUSIF spécifie le concept de “confiance raisonnée” pour Méhari : Les mécanismes de calcul peuvent donner une fausse impression de précision, le modèle reposant sur un principe de prudence…

En plus de Mehari, il existe plusieurs normes utilisées dont Ebios (DCSSI – 1995), Octave (Carnegie Mellon University – 1999), Cramm (Siemens – 1986). Ces normes intègrent de plus en plus des normes externes dans leurs plus récentes versions. Ainsi Mehari a intégré la norme ISO 27005 dans sa version 2010.

Bibliographie:
- Projet de sécurité des réseaux, Marc Rozenberg, Université Val D’Essonne.
- http://cyberzoide.developpez.com/securite/methodes-analyse-risques
- Site CLUSIF : http://www.clusif.asso.fr , Mehari téléchargeable gratuitement.

La sécurité informatique dans l’actualité

Avant d’attaquer sérieusement la partie sur les logiciels permettant de détecter les trous de sécurité qu’il peut exister au sein de votre système d’information, nous vous proposons un petit intermède lié à l’actualité :


megaupload logoVous avez sûrement entendu parler de la chute de l’empire MegaUpload, provoquée par un groupe qui lutte tous les jours pour qu’Internet soit entièrement sous son contrôle. Cette faction, plus connue sous le nom de FBI, et largement poussée par les lobbys des médias et du divertissement américains, a fait fermer tous les sites liés à Mégaupload, arrêté les dirigeants, saisit tous les biens et les serveurs des sites, et le tout, situé hors sol américain et sans procès préalable.

sopa pipaUne action coup de poing qui souligne la mainmise américaine sur Internet, et le bafouage des libertés sur Internet, et qui est appuyée par les projets de loi visant à contrôler et censurer le web par les états (SOPA, PIPA).

Tout cela a entrainé de nombreuses contestations sur la toile, et certains ont décidé d’agir pour sauver l’Internet actuel et empêcher son filtrage massif. On peut citer par exemple Wikipédia, ou les forums Linux qui avaient décidé de ne plus afficher le contenu de leur pages en mettant des pages noires à la place. Même le géant Google avait protesté sur sa page d’accueil contre ces mesures.

Wikipedia black out

Un groupe d’anonymes, mais pas inconnus, les Anonymous, s’est érigé en Robin des Bois de l’ère moderne. Et a mis tout en œuvre pour faire pencher la balance et éviter/condamner ce genre d’actions.

anonymous

On peut recenser plusieurs types d’actions qu’ils ont effectué dans cette bataille contre les états.

  • Attaques par déni de service (DoS) :

Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :

  • L’inondation d’un réseau afin d’empêcher son fonctionnement ;
  • La perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;
  • L’obstruction d’accès à un service à une personne en particulier.

L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet.

Pour réaliser ces attaques, les Anonymous utilisent un logiciel spécifique : LOIC, pour Low Orbit Ion Cannon. C’est une application de test de réseau, qui tente d’attaquer par déni de service le site ciblé en inondant le serveur avec des paquets TCP, des paquets UDP, dont des requêtes HTTP avec l’intention de perturber le service d’un hôte particulier.
Cependant, pour faire tomber un site web, et plus particulièrement des sites visités par de nombreux visiteurs (et donc calibrés pour résister à un certain nombre de requêtes/connexion simultanées), il faut effectuer énormément de requêtes, qu’un seul poste ne peut fournir. Bien que les Anonymous soient nombreux (plus de 4000 selon certaines sources) et présents dans le monde entier, il peut arriver qu’ils ne soient pas assez nombreux pour faire planter un site web.

  • Diffusion de liens vérolés :

Pour palier leur nombre de machines insuffisant en cas d’attaques DoS, ils diffusent des liens au travers de leurs canaux de communication (leur profil Twitter étant le plus visité de ceux-ci), mais ses liens sont souvent vérolés, et permettent de prendre à votre insu le contrôle de votre ordinateur (comme on l’a vu dans les précédents articles), et surtout d’y installer, je vous le donne dans le mille,… LOIC ! Ainsi, lorsqu’ils prévoient leur attaques, ils ne font pas “seuls”, mais avec une armée de PC-zombies à leurs ordres, via des salons IRC.

  • Protection de l’adresse IP attaquante :

Au vu du nombre importants de PC infectés, il est quasi-impossible de trouver d’où sont lancées les attaques. Cependant un travail minutieux des autorités pourrait permettre de remonter à certains des attaquants, via les adresses IP des machines qui sont parfaitement connues lors des attaques. Pour parer cela, les Anonymous se cachent derrière des réseaux ou Proxy anonymiseurs. Mais Nul doute que ce cher FBI va essayer de faire tomber ce genre de site, afin d’attraper les Anonymous qui causent tant de dégats sur la toile.

La combinaison de ces trois techniques a entrainé, après le 19 janvier 2012, la chute plus ou moins momentannée des sites gouvernementaux américains (le FBI, la justice américaine, l’U.S. Copyright Office, l’Utah Chiefs Of Police Association, la Broadcast Music Incorporated, de la Warner Music Group et de Sony), des lobbys du divertissement (Universal Music, la Recording Industry Association of America, la Motion Picture Association of America) ou du gouvernement français suite aux propos de soutien de Nicolas Sarkozy aux actions du FBI (Hadopi).

Ce type d’attaque est très difficile à parer, car on ne peut contrôler les flux de requêtes envoyé sur un serveur, et à moins d’avoir une très bonne bande passante, et d’une capacité énorme de traitement des requêtes, les sites attaqués ont peu de chance de résister…

  • Piratage et cybersquattage de sites web :

En plus des attaques par déni de service, les Anonymous ont attaqué des sites web, en vue d’en prendre le contrôle, et d’en modifier/diffuser le contenu au plus grand nombre.

Ainsi on a pu voir le contenu payant de Sony relâché sur les réseaux P2P, ou même l’url du site de l’Élysée modifiée, avec des extraits du slogan des Anonymous (“We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us.“).

elysee.fr URL piratéeCes attaques utilisent des faille de sécurités sur les sites web et serveurs. Parfois même, les attaques DoS permettent de prendre le contrôle des serveurs lors de leur redémarrage. On peut aussi citer les vols/décryptage des logins et mots de passe administrateurs (et ainsi accéder directement à l’administration des sites web en question).


Cet article n’a pas pour but de faire l’apologie des Anonymous, qui utilisent, des méthodes illégales comme le contrôle des ordinateurs à distance en les infectant au préalable, et les attaques par déni de service. On peut d’ailleurs se demander si leurs intentions sont parfaitement louables et dénuées d’intérêts… Ce billet a pour pour simple but celui d’informer sur les méthodes utilisées sur internet pour cracker/faire tomber un site ou un système d’information. Afin de soulever des interrogations sur les moyens de contrer ces attaques.

Nos traces numériques et leur législation

Suite aux mises à jour de la politique de confidentialité de Google, nous avons décidé d’orienté cet article sur les éléments de notre identité numérique que nous diffusons volontairement ou pas. Dans cet article, nous préciserons les différentes traces numériques que nous pouvons rendre disponibles à autrui, en essayant d’éclaircir les aspects juridiques propres à chacune d’elle.

Comme nous l’avons évoqué dans nos articles précédents, les internautes laissent – volontairement ou involontairement – de plus en plus de traces sur la Toile. Parmi celles-ci, on trouve :

  • L’adresse IP 

Typiquement un ordinateur portable se connectant depuis différents points d’accès se verra attribué des adresses IP différentes.Il s’agit d’une adresse internet qui permet d’identifier de manière unique votre ordinateur sur le réseau. Cette adresse IP peut être attribuée de différentes manières selon l’abonnement Internet. Pour un particulier, l’ordinateur se verra le plus souvent attribuer par le fournisseur d’accès une adresse différente à chaque connexion. On parle d’adresse IP dynamique. Pour  une entreprise ou un organisme plus important (université), des adresses IP fixes sont attribuées.

Votre Fournisseur d’accès internet est tenu de conserver pour une durée d’un an l’adresse IP qui vous a été attribuée à chaque instant.

  • Nom d’hôte (hostname) qui lui-même révèle le nom de votre fournisseur d’accès

  • Les « cookies »

Ce sont des outils “espions” qui s’installent sur le disque dur de l’utilisateur, à l’occasion de la consultation de certains sites Web. Ils permettent d’enregistrer la trace des passages de l’utilisateur sur un site Internet ou un forum et, ainsi, de stocker sur le poste de l’internaute des informations sur ses habitudes de navigation.

Le serveur qui a mis en place la collecte de ces informations peut récupérer les données et les réutiliser lors de la prochaine visite du site par l’internaute. Ainsi, ils peuvent par exemple faciliter la navigation en évitant d’entrer de nouveau ses identifiants de connexion ou en stockant les éléments d’un panier d’achats, mesurer l’audience en comptabilisant le nombre de visites sur le site ou encore faire de la publicité comportementale. Certaines de ces finalités peuvent être particulièrement intrusives dans la vie privée des internautes et sont, à ce titre, souvent dénoncées.

L’article 2.5. de la directive “Service universel et droit des utilisateurs” (2009/136/CE) dispose que les Etats membres de l’Union européenne ont l’obligation de garantir que le stockage de cookies, ou l’obtention de l’accès à des cookies déjà stockés dans l’ordinateur d’un internaute, ne soit permis qu’à condition que cet internaute ait reçu préalablement une information claire et complète sur les conditions de ce stockage et de cet accès, et qu’il y ait consenti (principe d’opt-in).
Seuls les cookies utilisés par les régies publicitaires pour tracer les internautes sont concernés par ces obligations.

  • Les recherches effectuées sur les moteurs de recherche.

Les moteurs de recherche sont un passage quasi obligé dans notre utilisation d’Internet. Ils collectent et traitent un grand nombre de données de connexion : intitulé de la recherche, date et l’heure de la requête, adresse IP, type et langue du navigateur utilisé… Ce sont des données potentiellement sensibles puisque associer des adresses IP à l’historique des recherches effectuées par un internaute est susceptible de révéler des informations portant sur sa santé ou ses opinions politiques. C’est pourquoi, le G29 – le groupe des CNIL  européennes – a recommandé dans son avis du 4 avril 2008 aux moteurs de recherches de réduire la durée de conservation des données personnelles à 6 mois maximum.
En France, l’article 6-5° de la loi Informatique et Libertés modifiée dispose que « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Si le Code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende, la loi reste néanmoins imprécise sur les critères permettant d’apprécier qu’une durée de conservation est proportionnée. En conséquence, le pouvoir de sanction de la CNILreste limité.
Il en résulte que les moteurs de recherche demeurent libres de fixer la durée de conservation des données personnelles, dès lors que cette durée est justifiée au regard des finalités pour lesquelles les données ont été collectées et traitées.

  • Géolocalisation

Les points d’accès WiFi, qui se trouvent dans la plupart des “box Internet”, émettent en permanence des signaux permettant à des ordinateurs ou à des téléphones mobiles de les reconnaître et de s’y connecter. Ces signaux contiennent notamment un numéro d’identification unique propre à chaque point d’accès (appelé “BSSID”)Ce numéro est, utilisé par les smartphones pour géolocaliser une personne.
Lorsqu’une personne lance une application de géolocalisation sur son smartphone, celui-ci peut lister les points d’accès WiFi à sa portée et interroger une base de données qui permet d’associer un point d’accès WiFi à une position géographique. Le smartphone va donc être capable de géolocaliser précisément le propriétaire du smartphone.
Plusieurs sociétés telles que Google, Skyhook Wireless, Microsoft et Apple ont donc constitué des bases cartographiques recensant ces points d’accès WiFi pour fournir leurs services de géolocalisation.
Conformément aux demandes de la CNIL, Google a mis en place une procédure d’opposition pour permettre à ceux qui le souhaitent de supprimer leurs points d’accès de la base de géolocalisation de Google.
La solution consiste à ajouter au nom du point d’accès le suffixe “_nomap”. Par exemple, si le nom de mon point d’accès est “mon_wifi”, il faudra le renommer en “mon_wifi_nomap” pour qu’il ne soit plus utilisé par les services de géolocalisation de Google.
Cette solution est réversible : si le propriétaire du point d’accès supprime le suffixe “_nomap”, lors du passage d’un appareil Androïd à proximité du point d’accès, celui-ci sera de nouveau inscrit dans la base de géolocalisation.

  • Les journaux de connexion

Quand vous naviguez sur un site, chaque clic sur un lien correspond à un ordre adressé au serveur du site. Ces requêtes sont transmises et conservées dans un journal de connexion appelé aussi “fichier de log”.

Les serveurs internet conservent un historique des pages auxquelles chaque adresse IP a accédé.
Les fournisseurs d’accès à internet (FAI) conservent quant à eux un historique des sites auxquels chaque adresse IP sous leur responsabilité a accédé. Par obligation légale, ils les conservent pendant une durée d’un an.

  • Les données bancaires (via les sites marchands)

Avec le développement du commerce en ligne, les internautes doivent communiquer des informations concernant leur carte bancaire (numéro de la carte, cryptogramme, etc).
D’un point de vue juridique, les données bancaires doivent être supprimées une fois la transaction effectuée. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse des numéros de cartes bancaires.
Néanmoins, les sites marchands peuvent conserver ces données à condition qu’ils aient recueilli votre accord exprès et qu’ils vous informent de l’objectif poursuivi. Cet accord nécessite une démarche active de votre part (principe d’opt-in).
La conservation du numéro de carte bancaire ne doit pas constituer une condition d’utilisation du service. Le fait pour un client de refuser qu’un site marchand conserve ses coordonnées bancaires ne doit pas l’empêcher d’accéder aux services proposés par le site
La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit “fort”. Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l’éditeur du site internet. L’accès au fichier contenant ces données doit également être restreint au sein du personnel du site internet. Les accès et les liaisons au site marchand doivent être également sécurisés. Cela signifie que l’adresse des pages des formulaires de paiement doit être en https par exemple, ce que vous pouvez vérifier en regardant l’adresse du site.

 

  • Vers un droit à l’oubli ?


Deux sénateurs, Yves Détraigne et Anne-Marie Escoffier ont déposé le 10 novembre une proposition de loi qui, pour la première fois, énonce le « droit à l’oubli numérique », c’est-à-dire la possibilité pour chaque internaute de faire disparaître de la Toile, facilement et à tout moment, des informations le concernant. « Un principe essentiel » pour Alex Türk, le président de la Commission informatique et libertés (Cnil), qui rappelle néanmoins les limites d’une législation nationale : « Les grandes sociétés du Net étant américaines, les règles du jeu ne marcheront que lorsqu’elles seront adoptées à l’échelle de la planète. » « Attention au risque de censure», alerte de son côté Peter Fleischer, responsable de la protection des données pour Google Europe.

  • Le problème de l’harmonisation des textes de loi ….

En effet, la mondialisation a provoqué un développement sans précédent des échanges de données à l’intérieur de l’Europe et hors de l’Union. Les réglementations concernant le traitement des données personnelles sont très disparates hors de l’Europe et, même au sein de l’Union, les différences résiduelles ne permettent pas de traiter ces flux avec une sécurité juridique maximale.

Voici quelques pistes de réflexion sur l’évolution possible du droit des données personnelles face à cette mondialisation, notamment :

  • La nécessité d’une graduation d’application des règles, entre petites, moyennes et grandes entreprises.
  •  La possibilité de permettre au CIL (correspondant Informatique et Libertés) d’avoir un vrai pouvoir s’agissant des flux de données avec la mise en œuvre d’un régime adapté.
  •  L’établissement de règles plus claires et plus accessibles à toutes les entreprises y compris les PME et un allégement des procédures
Nous aborderons dans l’article suivant les moyens pratiques pour modifier voire supprimer notre identité numérique. En attendant voici une petite vidéo en introduction du prochain article : Supprimer son identité numérique.
Sources

Les logiciels de sécurité informatique

Dans le précédent article, nous avons exposé les différentes menaces que rencontre un système d’information. Ainsi, n’importe quel ordinateur peut être infecté par des logiciels malveillants. Une fois l’ordinateur infecté, des personnes malveillantes peuvent capturer toutes les frappes au clavier, voler des documents, ou encore utiliser l’ordinateur pour attaquer d’autres ordinateurs. Il existe suivant les types de menace une panoplie d’outils de lutte et de neutralisation. Nous allons développer dans cet article les moyens existants.

En effet, il existe plusieurs types de logiciels qu’on peut répertorier comme suit:

Les logiciels antivirus

Un logiciel anti-virus est conçu pour protéger l’ordinateur contre les malwares. Il est disponible comme produit autonome et est inclus dans la plupart des logiciels de sécurité.

L’Anti-virus détecte et bloque les tentatives visant à infecter l’ordinateur.
Nous allons regarder comment marchent la plupart des anti-virus.

  • Détection de signature :

La plupart des programmes anti-virus fonctionne comme le système immunitaire humain en scannant l’ordinateur pour détecter les signatures (modèles) de pathogènes numériques et d’infections. Ils se réfèrent à un catalogue de codes malveillants connus, et si le contenu d’un fichier correspond à un modèle dans le catalogue, le logiciel anti-virus tente de le neutraliser.

Comme le système immunitaire humain, l’approche nécessite un catalogue mis à jour, comme le vaccin contre la grippe, pour fournir une protection contre de nouvelles souches de malwares.
Les anti-virus ne peuvent se protéger que contre ce qu’ils reconnaissent comme nuisibles. L’ordinateur est donc nécessairement vulnérable durant le délai entre le moment de l’identification des logiciels malveillants et le moment où une mise à jour du catalogue est publiée par les éditeurs d’antivirus. C’est pourquoi il est important de garder le logiciel sous la dernière mise à jour.

  • Détection des comportements

Dans cette approche, au lieu de tenter d’identifier les logiciels malveillants connus, l’anti-virus surveille le comportement des logiciels installés l’ordinateur. Il essaie de détecter et de prévenir dans le cas où un programme agit étrangement, comme pour essayer d’accéder à un fichier protégé, pour modifier un autre programme anti-virus, ou a des activités suspectes. Cette approche fournit une protection contre les nouveaux types de logiciels malveillants qui n’existent pas encore dans le catalogue. Le problème avec cette approche est qu’elle peut générer un grand nombre de fausses alertes.
L’utilisateur d’un ordinateur, peut être incertain sur ce qu’il faut autoriser ou non jusqu’à devenir insensible à ces avertissements en cliquant “accepter” systématiquement.

Lutte anti-spam

La détection de spam basée sur le contenu de l’email, soit par la détection de mots clés comme “viagra” ou par des moyens statistiques, est très populaire. Ces méthodes peuvent être très précis lorsqu’il est correctement réglé sur le type de courrier légitime qu’une personne reçoit. Le contenu détermine également si le spam était destiné à une adresse donnée ou la distribution de masse.
Mais il peut aussi faire des erreurs : si un ami envoie une blague qui mentionne «viagra», les filtres de contenu peuvent le marquer comme spam.

Les pratiques relevant pour la plupart de bon sens, sont d’excellents outils pour l’utilisateur pour lutter contre les spams : “discrétion”, éviter de répondre aux spams, désactiver le HTML dans l’e-mail, reporter les spams…

Pour les serveurs et les gestionnaires d’adresses, il existe des méthodes automatisées :
filtrage selon le pays, liste noires basées sur le DNS, Spamtrapping, trapits,  filtrage sur statistiques du contenu,  respect des normes RFC…

Pare-feu

Un pare-feu personnel est une application qui contrôle le trafic réseau vers et à partir d’un ordinateur, autorisant ou refusant la communication en se basant sur une politique de sécurité.

Un pare-feu est généralement destiné à protéger uniquement l’ordinateur sur lequel il est installé. Beaucoup de pare-feu sont capables de contrôler le trafic réseau en invitant l’utilisateur à chaque fois qu’une connexion est tentée et en adaptant la politique de sécurité en conséquence. Les pare-feu peuvent également fournir un certain niveau de détection d’intrusion ou des logiciels tentant de bloquer la connectivité. Leurs rôles sont en général de:

  • Permettre à l’utilisateur de contrôler les programmes qui peuvent et ne peuvent pas accéder au réseau local et / ou Internet
  • Protéger l’utilisateur des tentatives indésirables et surveiller les applications qui sont en attente de connexions entrantes et sortantes
  • Cacher l’ordinateur à partir du scan des ports et en ne répondant pas aux trafic réseau non sollicité
  • Fournir des informations sur le serveur de destination avec laquelle une application tente de communiquer

Anti – sniff

Packet sniffing est une technique de surveillance de tous les paquets qui traversent le réseau. Un sniffer de paquets est un logiciel ou un matériel qui surveille tout le trafic réseau.

Il existe une sérieuse menace de sécurité présentée par les sniffers, car ils peuvent capturer tout le trafic entrant et sortant, y compris les mots de passe en texte clair et de noms d’utilisateurs ou d’autres matériaux sensibles. En plus, il est difficile de les détecter parce qu’ils sont de nature passive, ce qui signifie qu’ils ne  font que recueillir des données.

Le logiciel anti – sniff effectue différents types de tests pour déterminer si un hôte est en mode “promiscuous”. Les tests sont répartis en trois catégories: les DNS tests, les tests de système d’exploitation spécifique, et des tests de latence du réseau et de la machine.

  • DNS Test

De nombreux sniffers effectuent des recherches de DNS au lieu des adresses IP. Pour ce teste, l’anti-sniff place la carte de réseau en mode “promiscuous” et envoie des paquets sur le réseau visant les hôtes malveillants. Si une recherche malveillante est détectée, le sniffer en action est dévoilé.

  • Tests sur système d’exploitation spécifique

Cette classe de tests vise certains systèmes d’exploitation. Il y a le test ARP qui est conçu pour Microsoft Windows.Un second test existe et est parfois connu comme test de “ether ping” conçu pour les noyaux Linux et NetBSD.

  • Réseau et des tests de latence machines

Les hôtes en mode “promiscuous”  voient  le trafic réseau menant au noyau augmenter considérablement (pour effectuer le filtrage). Le filtrage accru fait par le noyau engendre davantage de latence. Il existe plusieurs types de tests, par exemple : ICMP Time Delta, l’écho, et le ping drop.

Bibliographie :