Notions de base de la scurit informatique

Pourquoi la scurit ?

Linformation est une ressource stratgique. Une grande partie du budget dune organisation est dpense dans la gestion de linformation. Plusieurs types dinformations et plusieurs objectifs de scurit pour chaque information.

Inscurit dans les technologies de communications:

LEthernet est promiscuous. TCP/IP envoi des donnes en clair (les donnes peuvent tre visualises) et les applications doivent scuriser les donnes, etc. Ladresse IP de la source peut tre spoofe.

Pourquoi la scurit ? (2)

Un systme dinformation reprsente un patrimoine essentiel de lentreprise

Ncessit de protection du SI (Scurit du SI).

Menaces aux systmes dinformations : erreurs humaines, employs malhonntes, accs externe, etc. Une intrusion un SI peut causer des dgts divers (vol des donnes confidentielles, pertes financires suite des transactions errones, perte de confiance des clients) et peut mme menacer son existence sur le march.

Que couvre la scurit en gnral ?

Prvention

Prendre des mesures afin dempcher les biens et les actifs dtre attaqus. Prendre des mesures afin de dtecter quand, comment, par qui un actif ou un bien a t endommag. Prendre des mesures aprs un incident de scurit afin de pouvoir restaurer les biens et les actifs, ou rduire limpact de lincident.

Dtection

Raction

Intrus (Intruder) : Dfinition

Lentit responsable dune attaque de scurit, capable de:

Accder des ressources internes propres la cible de lattaque de scurit (appele victime) de faon non autorise.

Manipuler des donnes propres la victime.

(Tenter de) contourner les mcanismes de scurit mis en place.

Manipuler/agir sur le fonctionnement interne des machines.

Deviner/Dcrypter les mots de passe utiliss pour protger laccs des comptes utilisateurs ou des services (type spcifique dintrus : cracker).

Menace : Dfinition

Une menace est un signe qui laisse prvoir un danger La menace peut tre une personne, un objet, ou un vnement qui peut crer un danger pour un bien (en terme de confidentialit, intgrit ou disponibilit). Une menace peut provenir de l'environnement naturel, physique ou peut tre le rsultat d'actions humaines. Exemple:

Un virus circule sur le rseau local. Un programme install sur la machine semble tre en train dpuiser les ressources disponibles (mmoire, CPU).

Une attaque de scurit est la ralisation dune menace.

Exemples de menaces/attaques

Accs non autoris. Perte de lintgrit du systme. Dni de service. Les virus. Coupure dlectricit. Panne du matriel. Divulgation des donnes confidentielles. Vol des donnes. Destruction des donnes.

Vulnrabilit : dfinition

Faille ou bug pouvant tre utilis pour obtenir un niveau daccs illicite une ressource dinformations ou des privilges suprieurs ceux considrs comme normaux pour cette ressource. La vulnrabilit caractrise les composants du systme (matriel, logiciel, les rgles, les procdures, personnel) susceptibles dtre attaques avec succs. Une vulnrabilit est exploite par une menace pour engendrer une attaque. Exemples de vulnrabilits :

Utilisation des mots de passe non robustes. Prsence de comptes non protgs par mot de passe.

Autres dfinitions

La protection : Processus danticipation qui vise crer un environnement aussi scuris que possible. La dtection : Processus qui vise dterminer les activits inappropries. La raction : Processus de rponse un incident de scurit. Identification : Moyen utilis pour identifier un utilisateur. Authentification : Processus de validation de lidentit dun utilisateur. La disponibilit : Une ressource est disponible sil est possible dutiliser une ressource lorsque cest ncessaire.

Risque :

La probabilit qu'une menace exploitera une vulnrabilit du systme. C'est une fonction de deux arguments : menace et vulnrabilit, et donne comme valeur une probabilit.

Services, mcanismes et attaques.

Attaques de scurit: Actions qui entranent la compromission de la scurit de linformation possde par une organisation.

Mcanismes de scurit: Mcanismes dsigns dtecter ou empcher ou rcuprer suite une attaque de scurit. Services de scurit: Services amliorant la scurit du traitement de donnes et du transfert dinformations. Ces services sopposent aux attaques de scurit et font utiliser des mcanismes de scurit.

Services de scurit

Objectif:

Empcher et dtecter les attaques de scurit. Amliorer et renforcer la scurit.

Rpliquer les fonctions usuelles utilises sur les documents physiques:

Signature, date. Protection contre la divulgation, la falsification, et la destruction. Certification. Enregistrement.

Services de scurit (2)

(X.800, Security architecture for OSI) regroupe les services de scurit en cinq catgories:

Identification Authentification Contrle daccs Confidentialit Intgrit Disponibilit

Non rpudiation
Non rejeu

Services de scurit: Authentification

Sassurer que lorigine du message soit correctement identifie:

Assurer le receveur que le message mane de la source qui prtend avoir envoy ce message. Assurer lauthenticit des entits participantes: chacune des entits est celle qui prtende ltre. Empcher la perturbation de la connexion par une tierce partie qui se fait passer pour une entit lgitime (mission ou rception non autorise).

Techniques utilises: Cryptage, signature numrique, secret (mots de passes, PIN).

Services de scurit: Contrle daccs

Empcher lutilisation non autorise dune ressource (serveur, application, etc.) Le service de contrle daccs :

Dfinir qui a le droit daccder aux ressources ?

Dterminer sous quelles conditions ceci peut avoir lieu ? Dfini ce quune entit est autorise de faire lors de laccs une ressource.

Services de scurit: Confidentialit

Protection des donnes transmises contre les attaques passives, et protection des flux de donnes contre lanalyse.

Prservation du secret des donnes transmises. Seulement les entits communicantes sont capable dobserver les donnes.

Plusieurs niveaux de confidentialit :

Protection de tous les donnes changes tout au long dune connexion. Protection des donnes contenues au niveau dun seul bloc de donne.

Protection de quelques champs des donnes changes (pour une connexion ou un seul bloc de donne).
Protection de linformation (source, destination, etc.) qui peut tre dduite partir de lobservation des flux de donnes changs.

Services de scurit: Intgrit

Dtecter si les donnes ont t modifies depuis la source vers la destination

Service orient connexion: Protection contre la duplication, la destruction, linsertion, la modification, le rejeu, le reclassement, etc. Service non orient connexion: Protection contre la modification uniquement.

Techniques utilises: cryptage, signature numrique, contrle daccs, contrle dintgrit

Services de scurit: Non rpudiation

Empche lmetteur ou le receveur de nier avoir transmis ou reu un message.

Non rpudiation denvoi: Le destinataire prouve que la source prtendue vient dmettre le message en question. Non rpudiation de rception: Lmetteur prouve que son message a t reu effectivement par la destination prtendue.

Techniques utilises: signature lectronique (asymtrique), notarisation. Non rpudiation

Authentification Intgrit

La disponibilit : Proprit ou service ?

X.800 et RFC 2828 dfinissent la disponibilit comme tant la proprit dun systme ou dune ressource du systme accessible et utilisable suite la demande dune entit autorise. X.800 considre la disponibilit comme tant une proprit associe aux services de scurit. La disponibilit considre comme un service:

Un service qui protge un systme pour assurer sa disponibilit. Un service qui dpend du service de contrle daccs et des autres services de scurit.

Les attaques de scurit

X.800 et RFC 2828 classifient les attaques selon deux classes :

Attaques passives : tentent de collecter ou utiliser des informations relatives au systme, mais elles naffectent pas les ressources du systme. Attaques actives : tentent dintroduire des modifications sur les ressources du systme ou affecter leur fonctionnement normal.

Attaques de scurit: Attaques passives

Difficiles dtecter puisquelles nentranent aucune altration de donnes.

Interception: lintrus est capable dinterprter les donnes et dextraire linformation (ex: email contenant des informations confidentielles, communication tlphonique) partir du trafic chang. Analyse de trafic: mme en prsence de mcanismes de cryptage des donnes transmises, lintrus peut extraire des informations utiles sur la communication en observant lidentit des utilisateurs, la frquence et la longueur des messages changs, etc.

Dtection difficile, protection assez simple (ex: cryptage)

Attaques de scurit: Attaques actives

Mascarade: Une entit prtend tre une entit diffrente afin dobtenir des privilges supplmentaires. Gnralement ceci fait appel dautres techniques dattaques actives.

Rejeu (Replay): capture passive des donnes et leurs transmission ultrieure en vue de raliser des actions non autorises.
Fabrication: Cration et injection de messages afin de produire un effet non autoris. Modification: Altration, destruction, ou reclassement dune partie des messages changs en vue de produire un effet non autoris.

Attaques de scurit: Attaques actives

Dni de service: Empcher ou inhiber lutilisation normale des moyens de communications:

Interruption et suppression des messages en direction dune destination particulire (ex: service daudit scurit) Perturbation de lutilisation normale des ressources (rseau ou systme) en les surchargeant de trafic inutile pour dgrader leurs performances.

Difficult dempcher les attaques actives de faon absolue moins de protger physiquement tous les moyens et chemins de communications en mme temps.
Le but est de dtecter et de rcuprer de nimporte quelle perturbation ou retard caus par ces attaques.

Termes ne pas confondre

Interruption

Interception

Modification

Fabrication

Exemples dattaques actives

A transmet un fichier contenant des donnes protger B . C , qui nest pas autoris lire ce fichier est capable de capturer une copie durant sa transmission. Un administrateur rseau D transmet un message un ordinateur E afin de mettre jour un fichier dautorisation (contenant une liste dutilisateurs). F intercepte ce message, le modifie, et le transmet E. Au lieu dintercepter le message, F construit son propre message, et le transmet E comme si ce dernier mane de D . Un message est envoy de A B contenant des instructions pour des transactions. A nie avoir envoy ce message.

Mcanismes de scurit

Cryptage

Utilisation dalgorithmes mathmatiques pour transformer les messages en une forme inintelligible.
La transformation dpend dun algorithme et de zro plusieurs cls. Ajout de donnes, ou transformation cryptographique irrversible, une unit de donnes afin de prouver la source et lintgrit de cette unit de donnes. Mcanisme assurant lidentit dune entit travers un change dinformation.

Signature numrique

change dauthentification

Mcanismes de scurit (2)

Notarization:

Utilisation dune tierce partie afin dassurer certaines proprits lies un change de donnes. Inclusion dune date et dun temps correct dans un message.

Horodatage (Timestamping)

Mcanismes non cryptographiques:

Traffic Padding : Insertion dun certain nombre de bits au

Dtection dintrusions Implmentation de Firewalls

niveau dun flux de donnes pour faire chouer les tentatives danalyse du trafic.

Domaine de scurit

Problme: Impossible de dployer un(des) mcanisme(s)

de scurit pour chaque composante (serveur, systme, applications, ).

Solution: Regrouper les composantes par domaine de

scurit et dployer un(des) mcanismes de scurit pour tout le domaine.

Dfinition: Un domaine de scurit est une partie du

systme dinformation qui regroupe des composantes de niveau de scurit identique et sujets des menaces de mme nature.

Domaine de scurit (2)

Un domaine de scurit peut tre gr et contrl indpendamment des autres domaines de scurit. Les rgles de scurit sont appliques uniformment tout le domaine. Un domaine de scurit ne peut communiquer avec les autres domaines quau travers des points de contrle bien dfinis.

Domaine de confiance

Problme: La protection contre tout type dintrus est

impossible.

Solution: Ncessit didentifier les domaines de confiance

avant de concevoir une solution ou une technique de scurit.

Dfinition: Un domaine de confiance comprend des systmes

(rseaux) ou une partie des systmes (ordinateurs, modules) avec lhypothse: Aucun intrus nest suppos tre dans ce domaine de scurit.

Proprit: Un domaine de confiance est toujours attach

un seul ou un groupe dutilisateurs.

Communication entre domaines de confiance.

Source
Technique de protection

Destination
Technique de protection

Domaine de confiance

Domaine de non confiance

Domaine de confiance

Scurit dans les couches de protocoles

Besoin de la scurit dans plus dune couche (routage, transport, application) Les couches suprieures sont plus dpendantes aux applications et indpendantes aux technologies.

La fonction de scurit ne doit pas dupliquer les fonctionnalits de communication.

La scurit de bout en bout est plus simple fournir dans les couches suprieures, que la scurit de point point dans les couches infrieures. Les mcanismes de scurit dans les couches suprieures sont gnralement implments sur des logiciels. Les mcanismes de scurit dans les couches infrieures sont gnralement implments sur du matriel.

Scurit dans les couches de protocoles

PGP, PEM, Application Transport SSH, SSL, Application Transport

IP
AH, ESP,

IP

PGP: Pretty Good Privacy, PEM: Privacy Enhanced Mail SSH: Secure Shell, SSL: Secure Socket Layer AH: Authentication Header, ESP: Encapsulating Security Payload.

Modle de scurit rseau

Ncessit de :

Slectionner une fonction de filtrage approprie afin didentifier les utilisateurs et de sassurer quuniquement les personnes autorises accdent aux ressources et informations du systme.

Exemple: Mots de passe, certificats numriques, etc.

Implmenter des contrles internes afin de surveiller lactivit des utilisateurs et analyser les informations pour dtecter les actes malveillants.

Gestion de risque
Modle:
Biens Vulnrabilits Menaces

Risque

Contre-mesures

Gestion de risque (2)

Inventaire et estimation des biens

Types de Biens (Asset):

Matriel (CPU, disque, routeurs, ). Logiciel (applications, bases de donnes, ...). Donnes (configuration, archives, ). Personnes (dveloppeurs, administrateurs, ).

Quels sont les ressources vitales lentreprise ?

Difficult dvaluer proprement une ressource de type logiciel et donne:

Un traitement erron dans un logiciel de finance peut aller jusqu des poursuites lgales.

Des donnes errones dans un systme embarqu peuvent causer lendommagement de tout le systme.

Gestion de risque (3)

Evaluation des menaces

Exemple de menaces: Employ malhonnte, programme malveillant, intrus, Dterminer

Qui peut causer des endommagements ? Quels sont les biens qui peuvent subir des attaques ? Quest ce qui peut motiver les intrus attaquer le systme ? Quels sont les formes de perte qui peuvent avoir lieu ? Quels sont les formes de dgts naturels qui peuvent avoir lieu ?

Gestion de risque (4)

Evaluation des vulnrabilits

Quels sont les vulnrabilits du systme ?

Quels sont les ressources les plus vulnrables ?

Un intrus tente toujours dexploiter la vulnrabilit la moins contrle.

Gestion de risque (5)

Analyse de risque

Dterminer les biens protger. Dfinir de quelles menaces seront-t-ils protgs Choisir comment les protger. Implmentation de mcanismes et de politiques de scurit en vues de:

Contre-mesures

Rduire les menaces. Rduire les vulnrabilits.

Rduire limpact.
Dtecter les vnements malveillants. Restaurer partir dun vnement malveillant.

La protection doit tre proportionnelle la valeur des biens protger.

Politique de scurit

Ensemble de rgles spcifiant:

Comment les ressources sont gres afin de satisfaire les exigences de scurit. les actions permises et les actions interdites. Empcher les violations de scurit telles que: accs non autoris, perte de donnes, interruption de services, etc. Organisationnel, ou individuel Partiellement automatise, mais toutes les personnes sont impliques.

Objectif:

Etendu:

Implmentation

Politique de scurit