Introduction à la sécurité informatique.

Ce qu'il faut protéger.

• Disponibilité : s'assurer que les différentes ressources (données, logiciels et ordinateurs, réseaux internes et externes) restent disponibles pour pouvoir travailler avec.
• Intégrité : s'assurer que les informations ne subissent aucune altération (malveillante ou accidentelle), pendant leur stockage et pendant leur transmission.
• Confidentialité : s'assurer que les tiers non autorisées ne puissent pas consulter les informations qui ne les concernent pas.
• La sécurité informatique a également pour but d'assurer la non-répudiation (permet d'empêcher à une personne de nier le fait qu'elle a effectué une opération telle que l'envoi d'un message, la passation d'une commande, etc.).

Les différents types de moyens à mettre en oeuvre pour assurer la sécurité.

• Moyens logiciels :
  • logiciels anti-virus,
  • firewalls logiciels,
  • RAID logiciel (c'est à dire géré par le système d'exploitation)
  • etc.
    
    
• Moyens matériels :
  • périphériques de sauvegardes,
  • RAID matériel (c'est à dire géré par un contrôleur)
  • redondance (détail ci-dessous),
  • onduleurs ,
  • firewalls matériels,
  • etc.
    
    
• Moyens logiques :
  • authentification,
  • cryptage,
  • procédures de rappel automatique,
  • etc.

Les risques (classification d'après CLUSIF).

• Accidents : pannes, catastrophes naturelles, incendies, etc.
• Malveillances : piratage, vol, etc.
• Erreurs humaines : erreurs d'utilisation des logiciels, erreurs de conception des logiciels (bogues).

• Cf. document La sécurité commence par un bon mot de passe
  
  
• Les mots de passe forts sont une condition préalable à une bonne sécurité.
  
  
• Malheureusement, il est fréquent de trouver des mots de passe : faibles, par défaut, écrits sous le clavier ou sur l'écran, etc.
  
  
• Un mot de passe fort est long, et constitué de caractères variés : lettres en minuscule, en majuscule, chiffres, caractères spéciaux (par exemple : þ que j'obtiens avec Alt-231).
  
  
• Il est important d'avoir une bonne politique de sécurité :
  • sensibiliser le personnel à l'importance du mot de passe : sa complexité et sa confidentialité.
  • paramétrer le serveur pour qu'il n'accepte pas les mots de passe faibles
  • utiliser des outils de crackage de mots de passe (par exemple : John the ripper pour Unix, LCP5 ou SAMInside pour Windows, etc.) pour déceler, dans son réseau, les mots de passe faibles.
  • certains recommandent de changer de mot de passe régulièrement.
  • certains recommandent d'utiliser des mots de passe différents pour chaque authentification.

• Le terme malware (en français : maliciel) désigne l'ensemble des logiciels malveillants, créés pour nuire aux systèmes informatiques ou aux utilisateurs. On les classe en différentes catégories selon :
  • leur mode de propagation,
  • leur mode de déclenchement,
  • les dégât occasionnés, ou autres conséquences (la "charge utile").,
    
    
• Les différentes catégories de logiciels malveillants sont :
  
  
  • les vers (worm) et les virus : ils sont capables de s'auto-répliquer. Ils peuvent se modifier pendant la réplication, pour essayer de contourner les protections anti-virus (on parle alors de virus polymorphe). Le vers est indépendant et se propage par les réseaux, alors que le virus dépend d'un hôte (exécutable, document, etc).
    
    
  • les chevaux de Troie (ou Trojan Horse) : c'est un logiciel malveillant caché dans un logiciel d'apparence innofensive (jeu ou utilitaire). Ils sont différents des virus dans la mesure où ils n'ont pas de fonction d'auto-réplication.
    
    
  • Les portes dérobées (ou backdoors) : un cas particulier de cheval de Troie. Le logiciel malveillant permet au pirate de prendre le contrôle de l'ordinateur à distance.
    
    
  • Les logiciels espions (ou spyware) : un cas particulier de cheval de Troie. Le logiciel malveillant va envoyer au pirate des informations confidentielles trouvée sur l'ordinateur infecté (mots de passe, historique de navigation, etc.)
    
    
  • Les composeurs (ou dialers) : c'est un logiciel malveillant qui, si l'ordinateur est connecté au réseau téléphonique grâce à un modem RTC, va composer automatiquement des numéros de téléphone surtaxés.
    
    
  • Les publiciels (ou adware) : c'est un logiciel malveillant qui va régulièrement ouvrir des fenêtres de publicité sur l'ordinateur infecté.
    
    
  • Les canulars (ou hoax) : se sont des courriers électroniques sans conséquences techniques, répandant des informations erronées. Leur seul conséquence est de saturer les serveurs de messages inutiles.

• Avec la généralisation des connexion à Internet et de son utilisation, on voit apparaître de nouveaux problèmes :
  • Les spams (exemple) :
    • Qu'est-ce que c'est ? Des courriers publicitaires non sollicités, ne respectant pas les lois sur la protection de la vie privée (loi Informatique et Liberté).
    • Comment s'en protéger : en installant un logiciel anti-spam, en activant le filtrage spam chez son fournisseur d'adresse électronique, en activant le filtre antispam sur son logiciel de messagerie, etc.
      
      
  • Les virus envoyés par mail :
    • Qu'est-ce que c'est ? Des courriers contenant une pièce jointe, qu'on vous incite à ouvrir. La pièce jointe contient un virus, ou un keylogger, etc.
    • Comment s'en protéger ? En installant un logiciel antivirus, ou en activant le filtre antivirus du logiciel de messagerie.
      
      
  • Le pishing (exemple, exemple 2) :
    • Qu'est-ce que c'est ? Des courriers se faisant passer pour une banque, ou pour PayPal. Ils vous redirigent vers un site frauduleux, semblable à celui de la banque. Le but est de vous extorquer vos identifiants bancaires, pour détourner votre argent.
    • Comment s'en protéger ? En activant le filtre antiphishing de Internet Explorer 7, en étant vigilant (vérifier que le site de destination ait la bonne URL, soit crypté par SSL et ait un certificat valide).
      
      
  • Le DOS (Deny Of Service) et DDOS (Distributed Deny Of Service)
    
    
  • Les attaques sur les ports ouverts :
    • Qu'est-ce que c'est ? Comme vous partagez certains services dans votre réseau local (imprimante, partage de fichiers), vous les partagez également sur Internet.
    • Comment s'en protéger ? En se mettant derrière un routeur, ou en installant un firewall.
    • (montrer le firewall de Windows).

• Un mode d'attaque original car non technique, mais toutefois très efficace : il consiste à sous-tirer des informations ou à altérer le fonctionnement d'un système informatique, directement auprès d'une personne, en essayant de gagner la confiance de cette personne, ou en abusant de sa crédulité.
  
  
• Le phishing est considéré comme faisant parti du Social Engeenering.

Airbus A380 : "Tous les calculs qui entrent en oeuvre dans le fonctionnement de l'appareil possèdent un niveau de redondance qui dépend de leur importance et de la tolérance de défaillance admise. L'Agence Européenne de la Sécurité Aérienne a défini un niveau de sûreté des équipements draconniens. Le risque que la panne d'un seul instrument de l'avion puisse conduire à une catastrophe majeure doit être inférieure à 10-9 ! Les systèmes sont dits "redondants et dissimilaires", ce qui signifie qu'ils fonctionnent de la même manière, mais sont conçus différemments. Ceci pour éviter que le système redondant soit affecté par le même dysfonctionnement que celui qu'il doit remplacer (d'après l'Ordinateur Individuel, décembre 2009).

• Redondance des alimentations .
• Redondance des disques (RAID, Redundant Array of Inexpensive Disks) .
• Redondance des serveurs d'authentification.
• Redondance des serveurs d'application :
  • clustering de serveurs .
  • serveurs en mirroring .
  • serveur spare (de secours) .
• Redondance des connexions LAN et WAN  .
• Redondance des salles de travail. Exemple : incendie dans la salle des marchés du Crédit Lyonnais, en 1997.

Comment sécuriser un serveur ? RAID. Onduleur . Alimentation redondante . Et, pour aller plus loin : garantie et contrats de maintenance, mises à jour régulières, redondance des serveurs.

Comment sécuriser les accès aux comptes ? politique de mots de passe : sensibilisation des utilisateurs ; paramétrage de Active Directory. procédures de rappels automatiques ; audit des tentatives d'intrusion.

Comment se protéger contre les incendies ? équipement matériels : alarmes incendies, exctincteurs, armoires ignifuges, portes coupe-feu ; installation électrique aux normes ; serveurs ignifuges (photo ci-contre).

Comment se protéger contre le vol physique ? Protéger les accès aux locaux de l'entreprise : alarmes, télésurveillance, salles verrouillées. mot de passe au BIOS, ordinateurs cadenassés.

Comment assurer la confidentialité des échanges ? ne pas utiliser Internet (dit "réseau public") mais des réseaux privés, utiliser des réseaux privés virtuels (VPN, Virtual Private Network), qui sont cryptés grâce au protocole SSL.

Comment développer une application exempte de bugs ? utiliser des méthodes de développement (Merise, RAD, etc.), écrire un code lisible et facilement maintenable, découper l'application en modules autonomes.

• cours sur le RAID.
• cours sur la sauvegarde.
• Page d'accueil de la sécurité, du CRU.