Sécurité

Avertissement

Ces pages se veulent avant tout didactiques, un point de départ, peut-être, de réflexion sur le sujet. Elles ne prétendent pas (et ne recherchent pas) l'exhaustivité, ni dans les typologies et sujets abordés, ni au sein d'un sujet donné. Certains sujet seront juste mentionnés d'autres beaucoup plus développés selon mon expérience et mes centres d'intérêts personnels. J'espère, néanmoins, que vous prendrez plaisir à les parcourir et que vous en retirerez une information utile. Bien entendu toutes suggestions, remarques constructives, informations sur le sujet (URL, références, etc...) sont les bienvenues.

Angles d'approche du sujet

• Les types d'attaques
• Les agents d'attaques
• Position en tant que cible ou relais

Moyens de lutte

• Protection des données
• Comportements sanitaires
• Détection/éradication des agents (anti-virus, entre autres)
• Protection/détection dans le cas des attaques directes
• Maintenance des systèmes et applicatifs

Angles d'approche du sujet

Les types d'attaques

• Le vol de données, de mots de passe
  • in situ
  • en transit
• L'altération, la destruction de données
• Les ralentissements et pertes de productivité (voir aussi les canulars, dans cette catégorie) , les DoS (Denial of Service) et DDoS (??? oublié signification)
• L'arrêt ou la chute des services ou des serveurs (aboutissent au final à un DoS, du point de vue de l'utilisateur)
• Le détournement de pages (redirections de serveur ou de pages, attaques DNS)

Les agents et voies d'attaques

• Les virus
• Les chevaux de Troie
• Les vers
• Les exploits de failles de sécurités
  • OS
  • protocoles
  • applications serveurs
  • applications clientes
• Les attaques directes, masquées ou non (ping flooding, spam)

Position en tant que cible ou relais

• Cible : inutile de discuter les inconvénients de la situation !
• Relais : pourquoi éviter de servir de relais d'attaque ?
  • discrédit
  • blacklistes
  • mise en cause pénale

   

Moyens de lutte

Les moyens de lutte à mettre en oeuvre doivent être considérés selon plusieurs axes :

• Matériel
• Logiciel
• Humain

Chacun de ces points de vue a une incidence financière qui doit être prise en compte par chaque entreprise, institution ou particulier.

Protection des données

Comportements sanitaires

Détection/éradication des agents (anti-virus, entre autres)

Protection/détection dans le cas des attaques directes

C'est sans doute la détection des attaques directes en temps réel qui constitue la pierre de touche d'une politique de protection.
En réseau, c'est sans doute ce qu'il y a de plus difficile à mettre en oeuvre aujourd'hui. Le type de produits mettant en oeuvre ce genre de protection est souvent coûteux (dans le monde Windows du moins) et délicat de réalisation et de mise en oeuvre. Comme pour les protections contre les agents implantés, la mise à jour du logiciel est un élément fondamental impliquant une budgétisation rigoureuse.
Au niveau poste client, par contre, il existe divers outils de sécurisation et l'un d'entre eux entre tout-à-fait dans la catégorie détection en temps réel ; il s'agit de ZoneAlarm, dont la version "light" (et néanmoins performante) est gratuite. Ce produit permet de bloquer certains type d'accès extérieurs (selon le niveau de protection choisi) et contrôle les accès du poste vers l'extérieur. Ceci permet de détecter et bloquer certains chevaux de Troie lorsqu'ils tentent de divulguer des informations de votre système vers l'extérieur ou de donner le contrôle de votre machine à un intrus (les fameuses backdoors).

En réseau

• Eliminer à la source les paquets IP non autorisés ou incorrects (Firewall)
  • Accès à un port protocole et/ou un port non autorisé (cf. Port Blocker d'AnalogX et ZoneAlarm, par exemple)
  • Adresse source incorrecte
  • Caractéristiques IP du paquet incorrectes
  • Caractéristiques de contenu correspondant à une blackliste des type d'attaques connus (exploits de failles sur les URL par exemple)
• Surveiller les pics anormaux du trafic sur ses segments LAN et WAN ou sur une route particulière (cf. attaques DoS ou spam)
• Le plus difficile : surveiller le contenu des paquets afin d'y détecter des signatures d'attaques (un peu comme les antivirus).

Au niveau du poste

• ZoneAlarm

Maintenance des systèmes et applicatifs

• Se tenir au courant des failles de ses systèmes et applicatifs. Quelques adresses parmi les centaines disponibles :
  •  SecuriTeam.com ™ (Main Page)
  • SecurityFocus
  • Site de la DCSSI
  • Site du CERT
  • Site du CIAC
  • Site de Symantec
• Appliquer les correctifs de sécurité quand ils paraissent
  • Pour Windows NT, le site de Microsoft mais aussi : http://www.ntbugtraq.com/
  •  
• Bien protéger ses serveurs pour ne pas en faire un point de départ d'attaques

Notes diverses

Le FBI distribue un logiciel capable de détecter les serveurs à l'origine des principales attaques

	Dernière mise à jour : 17.02.2001