Les menaces de lInternet

1 La scurit des systmes dinformation Tout dabord, quentendons-nous par scurit des systmes dinformation ? Systmes dinformation Linformation se prsente sous trois formes : les donnes, les connaissances et les messages. On a lhabitude de dsigner par systme dinformation lensemble des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre linformation. De fait, on confond souvent, mme si ce nest pas trs exact, la notion de systmes et rseaux informatiques et celle de systmes dinformation (SI) . On dira donc quun systme dinformation est tout moyen dont le fonctionnement fait appel dune faon ou dune autre llectricit et qui est destin laborer, traiter, stocker, acheminer, prsenter ou dtruire linformation . Scurit Le concept de scurit des systmes dinformation recouvre un ensemble de mthodes, techniques et outils chargs de protger les ressources dun systme dinformation afin dassurer : - la disponibilit des services : les services (ordinateurs, rseaux, priphriques, applications) et les informations (donnes, fichiers) doivent tre accessibles aux personnes autorises quand elles en ont besoin ; - la confidentialit des informations : les informations nappartiennent pas tout le monde ; seuls peuvent y accder ceux qui en ont le droit ; - lintgrit des systmes : les services et les informations (fichiers, messages) ne peuvent tre modifis que par les personnes autorises (administrateurs, propritaires). La politique de scurit est lexpression de ces objectifs. Elle indique lensemble des mesures prendre, des structures dfinir et lorganisation mettre en place afin : - dempcher (ou tout au moins freiner) la dtrioration, lutilisation anormale ou la pntration des systmes et rseaux ; - de dtecter toute atteinte, malveillante ou non, lintgrit, la disponibilit et la confidentialit des informations ; - dintervenir afin den limiter les consquences et, le cas chant, poursuivre lauteur du dlit. Valeur et proprits dune information On ne protge bien que ce quoi on tient, cest--dire ce quoi on associe une valeur . La trilogie confidentialit, intgrit, disponibilit dtermine la valeur dune information. La scurit des systmes dinformation (SSI) a pour but de garantir la valeur des informations quon utilise. Si cette garantie nest plus assure, on dira que le systme dinformation a t altr (corrupted). Une altration nest pas uniquement le fait de malveillances. Il est plus souvent encore, la consquence de pannes, de maladresses, daccidents ou derreurs humaines dont les plus frquentes sont les erreurs de conception. Ces phnomnes relvent de la sret de fonctionnement qui est une autre manire dapprhender la scurit globale. Les sauvegardes, le fonctionnement en mode de repli, la redondance, etc. font aussi partie de la trousse outils traditionnelle de la scurit prise dans son sens gnral. Avec le dveloppement de linformatisation des changes (courriers officiels, transactions financires, commerciales), la simple affirmation de la valeur de linformation nest plus suffisante. Il est ncessaire dy adjoindre des proprits nouvelles comme lauthentification (garantie de lorigine dun message, de lauteur

dun document), la paternit (linformation ne peut pas tre rpudie par son auteur), la traabilit (on connat le circuit qua suivi une information), etc. La prservation et la garantie de ces proprits ressortent encore de la fonction scurit. 2 Lagression par lInternet Les sources de dysfonctionnement des systmes dinformation sont diverses et varies. Elles ont le plus souvent des causes dorigine humaines : - les sauvegardes sont mal faites ou mal gres et rendent le systme sensible aux pannes, aux maladresses et aux sinistres ; - labsence dune vision globale de la scurit, traite par petits morceaux, au cas par cas dbouche immanquablement sur un manque dorganisation (qui fait quoi dans quelle structure ?) et plus spcialement sur de mauvaises architectures rseaux ; - le manque de consignes claires qui permettraient chacun de savoir ce quil a faire, ce quil peut faire et ce quil na pas le droit de faire. Mais le nouvel environnement cr par lInternet agit galement sur la scurit. Les rseaux mettent en relation entre eux des millions dindividus aux motivations trs diffrentes. Il convient den connatre les dangers pour se protger. Internet est le rseau des rseaux. Il est mondial et ouvert. Il est bti sur un protocole de communication normalis (TCP/IP) et offre un ensemble de services distribus, dont les plus connus sont WWW alias HTTP pour la consultation des serveurs web, SMTP pour la messagerie, FTP pour le transfert de fichiers, TELNET pour laccs interactif. Il en existe encore de nombreux autres, plusieurs dizaines Les agressions par le rseau utilisent la plupart du temps une faille de scurit dans lun de ces services. Lagression peut tre opportuniste . Lagresseur a repr (par un programme de balayage dInternet) une possibilit de rentrer dans le systme, il en profite. Dans ce cas, cest loccasion qui fait le larron. Cest ce profil dagression quon dbusque le plus frquemment dans les systmes. Une autre forme dagression est lagression cible, elle est luvre de professionnels. Un professionnel du piratage est guid par son avidit (intellectuelle, politique, religieuse, financire). Son souci, cest la discrtion, la rapidit et lefficacit. Il a lavantage de linitiative : il sait quand, o et comment porter son attaque. Il dispose souvent dinformation sous forme lectronique (donnes). Il ne connat pas les frontires (sauf pour sinstaller sous la protection dune lgislation laxiste). Il sait ne pas laisser de traces ou les effacer. Cette forme dagression suit des principes prcis : - Lagresseur connat son cible ou commencera par effectuer une recherche de renseignements (caractristiques du systme dinformation, quipements informatiques, centres de comptence, horaire de travail, effectifs). - Il a ses propres procdures et nutilise pas forcment lune des nombreuses mthodes dattaque qui sont disponibles sur Internet. - Lattaque porte surtout sur les maillons les plus faibles de la chane de traitement de linformation (personnel, tltraitement, maintenance). Contre ces attaques, lingnieur systme est dans la situation dun gardien de but qui on aurait band les yeux. Exception faite de quelques virtuoses qui ont affich de belles prises leur tableau de chasse, ce type dagression reste la plupart du temps indtectable. 3 Comment se manifeste une agression

Du temps o linformatique tait centralise, les menaces physiques (pntration dans des locaux informatiques sans autorisation, vol, vandalisme) reprsentaient les menaces majeures. En ces temps, la protection pouvait se rsumer en quelques mesures de contrle daccs : grosses serrures, sas et gardiens taient la panoplie usuelle. La situation est aujourdhui diffrente. Certes, il y a toujours les vols de matriel, lutilisation de la console matresse pour pntrer un systme ou le pigeage dun rseau Ethernet ou public pour le mettre sur coute ; mais globalement, le danger de ce type de menaces, dont les remdes sont connus et prouvs, est sans commune mesure avec les agressions menes par le rseau, qui se ralisent sans la prsence physique de lagresseur. Ces agressions par le rseau ont maintenant trs largement atteint un seuil critique et on ne sait pas toujours quelle parade leur opposer. Dans le palmars de cette nouvelle dlinquance, on retrouve ple-mle : Tout ce qui porte atteinte lintgrit du systme - Le pigeage de systmes (bombes logiques, cheval de Troie, sniffeurs) afin de nuire ou de se donner les moyens de revenir plus tard. - La modification des informations afin de porter atteinte limage du cible (exemple : modification des pages web du cible). - Lutilisation des ressources du site vis. - Une intrusion en vue dattaques par rebond, cest--dire quune autre cible est vise, le systme servant seulement de point de passage . Le systme est alors complice involontaire du piratage. Tout ce qui porte atteinte la confidentialit des informations - La rcupration dinformations sensibles (mot de passe, articles avant publications, donnes personnelles, etc.). - La fouille des messages, des donnes, des rpertoires, des ressources rseaux - Lusurpation didentit. Tout ce qui porte atteinte la disponibilit des services - La paralysie du systme (considr ensuite comme un exploit par les pirates qui lont ralise). - La saturation dune ressource (serveur, imprimante). - Les virus et vers informatiques. 4 Les techniques dagression utilises Les pirates commencent la plupart du temps par une recherche systmatique des sites mal administrs. La recherche de trous de scurit sur les serveurs Tout logiciel comporte des bogues dont certains sont des trous de scurit, des anomalies qui permettent de violer le systme sur lequel tourne le programme. Si cest un programme dapplication rseau, ces trous peuvent tre exploits distance via Internet. Les pirates recherchent systmatiquement les sites mal administrs en procdant un balayage de lInternet avec des programmes appels scan . Ces programmes dcouvrent distance toutes les stations du rseau local et testent la prsence de vieilles versions des logiciels rseau sur ces stations avec des trous de scurit connus. Les vieilles versions de sendmail , le serveur de courriers lectroniques, sont les plus testes. Cest pourquoi, il faut veiller avoir toujours la dernire version dun logiciel (surtout pour le sendmail) et filtrer les applications sur le routeur dentre et sur les serveurs. Une fois le site mal administr repr, lexploitation des vulnrabilits est la porte de nimporte qui : on trouve sur Internet des sites proposant des programmes tout

prts accompagns de toutes les explications dtailles pour pntrer les systmes en utilisant les trous de scurit connus. Blocage des systmes ou de la liaison dentre Des mthodes (concrtement des programmes) sont trs connues pour perturber fortement les systmes et les rseaux et ont t trs souvent utilises ces derniers mois pour : - Bloquer un systme (par exemple en ouvrant distance un grand nombre de connexions ou en mettant certains messages, pings longs). Les constructeurs ont corrig ces erreurs dans les nouvelles versions de leurs systmes. Une version rcente installe sur chaque systme constitue le remde. - Surcharger la liaison daccs lInternet dun site (jusqu la bloquer) en envoyant des messages (echo broadcast) auxquels toutes les stations locales rpondent engendrant ainsi un surcrot trs volumineux de trafic. Un filtre adapt sur le routeur dentre est une bonne solution. SPAM Relais de messagerie Un autre type de dlit consiste utiliser le serveur de messagerie dun site pour envoyer des messages souvent publicitaires un grand nombre de destinataires, en cachant son identit. Ce site sert alors de relais sans avoir donn son accord et son nom apparat dans lorigine des messages. Cette attaque bloque la messagerie du site utilis son insu (surcharge des files dattente dans le serveur), nuit limage du site (cela engendre des centaines de messages de protestation des victimes de ces publicits) et peut engager la responsabilit du site. Cette utilisation dtourne est en trs forte hausse ces derniers temps. Peut-tre ce succs est-il d sa facilit de mise en oeuvre et lanonymat quelle assure (cf.http://www.isoc.asso.fr/AUTRANS98/at-abus.htm). Pour se protger contre ce type de malveillance, il faut avoir un seul serveur de messagerie bien administr, avec une version du logiciel serveur (sendmail) rcente o la fonction relay est invalide. Intrusion dans un systme Pour prendre le contrle dun systme, les agresseurs doivent commencer par sy introduire. Il faut donc que quelquun (ou quelque chose) leur ouvre une porte : - un identificateur (login/passwd) a t prt ou rcupr (vol de mot de passe) ; - un compte a t laiss labandon (sans mot de passe par exemple) ; - une application rseaux installe a t mal matrise (configuration mauvaise ou trop ouverte) ; - une ancienne version dun logiciel dont les failles de scurit ont t publies est encore en service sur une machine ; - un logiciel install en mode debug , dont on oublie trop quil ouvre bant un trou de scurit ; - un utilisateur interne a aid volontairement lagresseur. Un systme qui a t pntr on dira que le systme est compromis ou viol nest plus fiable : il faut le rinstaller ainsi que tous les systmes du mme partitionnement rseau. Lintrusion dans un sous-rseau complet ou dans un systme, est mre de toutes les malveillances . Elle constitue la menace principale. Le milieu de la recherche y est extrmement vulnrable. Il nest pas question, dans le cadre de ce guide, de rentrer dans les dtails des diverses techniques dintrusion, mais penchons-nous quelques instants sur celle qui

reste, dans le palmars des diverses techniques tabli par Renater, lincident le plus recens : le vol de mot de passe. La plupart des pirates informatiques ont des mthodes classiques. La plus utilise commence par la rcupration dun couple login-password leur permettant de se connecter au systme comme simple utilisateur. Ce premier pas franchi, le reste est facile. Il y a sur lInternet tout ce quil faut, programmes, modes demploi dtaills, description des mthodes, etc., pour lui permettre, une fois un compte utilisateur vol, dacqurir les droits de ladministrateur (root, super utilisateur) en quelques minutes. Quelles sont les mthodes utilises pour dcouvrir un couple nom mot de passe ? La premire et la plus banale est la recherche des comptes sans mots de passe (guests, visitors) qui sont installs par dfaut sur certaines machines. Des programmes de balayage automatique de sites (les scans) permettent de trouver ces comptes. Des mthodes opportunistes dans lesquelles lagresseur cherche tirer profit dune circonstance favorable : - Le mot de passe a t prt. - Le mot de passe a t trouv par hasard ou non. - Le mot de passe a pu tre devin grce aux informations recueillies sur un utilisateur. Des mthodes systmatiques dans lesquelles lagresseur commence par la rcupration du fichier des mots de passe chiffrs qui par dfaut est accessible tous sur les machines Unix. Une fois ce vol accompli, le pirate a tout son temps pour rechercher sur son PC, tranquillement, les mots de passe faibles du fichier. Avec CRACK, le programme bien connu des initis, un mot de passe tir dun dictionnaire (il y en a de toutes sortes quon peut tlcharger partir de lInternet en diffrentes langues et sur diffrents thmes), ou dune composition proche dun mot du dictionnaire, ne rsiste pas trs longtemps. La scurit commence donc par des mesures de prcautions lmentaires pour limiter toute usurpation didentit dun utilisateur connu du systme : - Il faut avoir une procdure de rception des machines qui inclut la suppression des comptes sans mot de passe. - Il faut sensibiliser les utilisateurs pour quils adoptent des bons mots de passe et quils les gardent secrets (cf. http://www.urec.cnrs.fr/securite/docs/92.07.mot.de.passe.txt). - Ladministrateur doit mettre en oeuvre des fonctionnalits du systme pour cacher le fichier des mots de passe chiffrs (shadow password) et pour limiter la validit dun mot de passe. Il doit tester la robustesse des mots de passe avec le logiciel CRACK (celui-l mme quutilisent les pirates). coute du rseau Ethernet Un rseau Ethernet est fondamentalement un rseau diffusion ; toute information qui circule sur ce rseau peut tre capte par toutes les stations du rseau (mme celles qui ne sont pas destinataires des messages). On peut donc espionner un rseau Ethernet. Un sniffeur est un programme install sur une machine pour couter le rseau et collecter tous les couples login/password qui transitent en clair sur lEthernet local. Ce programme peut tre install distance, et on le retrouve dans presque tous les cas dintrusion. Quelques recommandations pour limiter ce problme dcoute :

Quand vous tes en dplacement , vous ne pouvez jamais tre sr quun sniffeur nest pas install sur le rseau sur lequel vous travaillez. Cest pourquoi, si vous devez vous connecter, lors dune invitation ltranger, utilisez plutt un mot de passe provisoire ou un compte particulier. - Quand vous tes prvenu dune intrusion, demandez que soit vrifi rapidement si un sniffeur na pas t install. Si cest le cas, il est indispensable de changer tous les mots de passe, sur toutes les stations. Sans cette prcaution, vous pouvez tre certain que le pirate y est toujours, et quaprs stre fait oublier pendant quelques semaines, il rapparatra ! - On peut limiter la diffusion dun rseau Ethernet (et ainsi rduire lcoute possible) en utilisant des commutateurs, des routeurs, des concentrateurs (hubs) scuriss. Cela fait partie dune bonne architecture de rseau. - La charte utilisateur est loccasion de sensibiliser les personnels du laboratoire sur le caractre dlictueux de ce comportement et de diminuer ainsi la menace interne . Attaques des services rseau Les serveurs web ou FTP anonyme ou de messagerie peuvent tre facilement attaqus sils sont mal configurs ou mal administrs. Cette vulnrabilit, mais aussi la ncessit de contrler la diffusion dinformations faite par le laboratoire, rendent imprative la matrise de tous les serveurs rseau. Il ne faut pas tolrer que des utilisateurs installent des serveurs sauvages . Ils sont toujours mal administrs, donc vulnrables et mettent la scurit de lensemble du rseau en pril. La charte et un rseau structur sont les bons moyens darriver faire comprendre et appliquer cette rgle. Comportements dlictueux de certains utilisateurs Certains utilisateurs ont des comportements inadmissibles qui doivent tre corrigs ou sanctionns : - changes de mots de passe (fichiers de mots de passe) ou dinformations sur les failles ventuelles dun site (exemple entre tudiants de diffrents tablissements). - Envoi de message caractre injurieux, raciste, pdophile, etc. ou mise disposition (par des liens vers des URL indsirables) de ceux-ci sur des serveurs ftp ou web. - Rcupration (stockage et [re]diffusion) de logiciels connus pour tre pirats (sur sites warez*), de contenus protgs par un droit dauteur et dupliqus, ou de tous autres contenus rprhensibles au vu de la loi. Ces comportements dlictueux doivent tre sanctionns avec la plus grande dtermination. -