Sécurité
Avertissement
Ces pages se veulent avant tout didactiques, un point de départ, peut-être,
de réflexion sur le sujet. Elles ne prétendent pas (et ne recherchent
pas) l'exhaustivité, ni dans les typologies et sujets abordés,
ni au sein d'un sujet donné. Certains sujet seront juste mentionnés
d'autres beaucoup plus développés selon mon expérience
et mes centres d'intérêts personnels. J'espère, néanmoins,
que vous prendrez plaisir à les parcourir et que vous en retirerez une
information utile. Bien entendu toutes suggestions, remarques constructives,
informations sur le sujet (URL, références, etc...) sont les bienvenues.
Angles d'approche du sujet
- Les types d'attaques
- Les agents d'attaques
- Position en tant que cible ou relais
Moyens de lutte
- Protection des données
- Comportements sanitaires
- Détection/éradication des agents (anti-virus, entre autres)
- Protection/détection dans le cas des attaques directes
- Maintenance des systèmes et applicatifs
Angles d'approche du sujet
Les types d'attaques
- Le vol de données, de mots de passe
- L'altération, la destruction de données
- Les ralentissements et pertes de productivité (voir aussi les canulars,
dans cette catégorie) , les DoS (Denial of Service) et DDoS (??? oublié
signification)
- L'arrêt ou la chute des services ou des serveurs (aboutissent au final à
un DoS, du point de vue de l'utilisateur)
- Le détournement de pages (redirections de serveur ou de pages, attaques
DNS)
Les agents et voies d'attaques
- Les virus
- Les chevaux de Troie
- Les vers
- Les exploits de failles de sécurités
- OS
- protocoles
- applications serveurs
- applications clientes
- Les attaques directes, masquées ou non (ping flooding, spam)
Position en tant que cible ou relais
- Cible : inutile de discuter les inconvénients de la situation !
- Relais : pourquoi éviter de servir de relais d'attaque ?
- discrédit
- blacklistes
- mise en cause pénale
Moyens de lutte
Les moyens de lutte à mettre en oeuvre doivent être considérés
selon plusieurs axes :
Chacun de ces points de vue a une incidence financière qui doit être
prise en compte par chaque entreprise, institution ou particulier.
Protection des données
Comportements sanitaires
Détection/éradication des agents (anti-virus, entre autres)
Protection/détection dans le cas des attaques directes
C'est sans doute la détection des attaques directes en temps réel
qui constitue la pierre de touche d'une politique de protection.
En réseau, c'est sans doute ce qu'il y a de plus difficile à mettre
en oeuvre aujourd'hui. Le type de produits mettant en oeuvre ce genre de protection
est souvent coûteux (dans le monde Windows du moins) et délicat de réalisation et de mise en oeuvre.
Comme pour les protections contre les agents implantés, la mise à
jour du logiciel est un élément fondamental impliquant une budgétisation
rigoureuse.
Au niveau poste client, par contre, il existe divers outils de sécurisation
et l'un d'entre eux entre tout-à-fait dans la catégorie détection
en temps réel ; il s'agit de ZoneAlarm, dont la version "light"
(et néanmoins performante) est gratuite. Ce produit permet de bloquer
certains type d'accès extérieurs (selon le niveau de protection choisi) et
contrôle les accès du poste vers l'extérieur. Ceci permet de détecter et
bloquer certains chevaux de Troie lorsqu'ils tentent de divulguer des
informations de votre système vers l'extérieur ou de donner le contrôle de
votre machine à un intrus (les fameuses backdoors).
En réseau
- Eliminer à la source les paquets IP non autorisés ou incorrects (Firewall)
- Accès à un port protocole et/ou un port non autorisé (cf. Port
Blocker d'AnalogX et ZoneAlarm,
par exemple)
- Adresse source incorrecte
- Caractéristiques IP du paquet incorrectes
- Caractéristiques de contenu correspondant à une blackliste des type
d'attaques connus (exploits de failles sur les URL par exemple)
- Surveiller les pics anormaux du trafic sur ses segments LAN et WAN ou sur
une route particulière (cf. attaques DoS ou spam)
- Le plus difficile : surveiller le contenu des paquets afin d'y détecter
des signatures d'attaques (un peu comme les antivirus).
Au niveau du poste
Maintenance des systèmes et applicatifs
- Se tenir au courant des failles de ses systèmes et applicatifs. Quelques
adresses parmi les centaines disponibles :
- Appliquer les correctifs de sécurité quand ils paraissent
- Bien protéger ses serveurs pour ne pas en faire un point de départ d'attaques
Notes diverses
Le FBI distribue un logiciel capable de détecter les serveurs à l'origine des
principales attaques
|
Dernière mise
à jour : 17.02.2001
|