 |
Compte-rendu |
|
|
Intranet et internet en toute sécurité |
 |
18 mars 1999 |
 |
Château de Colonster |
Face au développement de nouvelles applications électroniques (home banking, e-commerce, e-mail, abonnements en ligne, etc.), la protection des réseaux par la voie d’un simple mot de passe n’est plus suffisante. Les firewalls et autres certificats numériques sont aujourd’hui les compléments indispensables de la sécurité informatique. Quand et pourquoi les utiliser ? C’est à cette double question que nous avons voulu répondre en mettant sur pied le séminaire de mars 1999 du FORUM TELECOM.
Les trois premiers exposés avaient pour but de présenter les différents aspects de la sécurisation des réseaux.
I. Aspects généraux de la sécurisation des réseaux informatiques,
par M. Marc DELFORGE, Services Manager, EUnet Belgium.Le réseau informatique d’une entreprise présente des caractéristiques très hétérogènes (comprenant différents types d’ordinateurs, de technologies et d'équipements de télécommunication). Cette masse de produits interconnectés peut être victime, à différents niveaux, d’attaques provenant tant de l’intérieur de l’organisation que de son environnement externe. Nombre d’organisations qui utilisaient des lignes louées ont aujourd’hui recours à Internet (cfr. réseau externe, type intranet, extranet). Si cette dernière solution se révèle avantageuse en terme de coût, elle pose par contre d’importants problèmes de sécurité : le passage des informations sur le réseau public nécessite des mécanismes de protection accrus.
Comment dès lors réaliser la meilleure équation entre un dispositif de sécurité efficace et les impératifs de communication de l’entreprise ? La prise en charge de cette question doit intervenir en respectant quatre phases distinctes :
1. analyse et définition du programme de sécurité (inventoriation du matériel informatique et des données à protéger ; localisation des points vulnérables ; désactivation des services non utilisés -p.ex. serveurs ftp (ce type de service représente autant de points d'attaques externes sur le système interne)- et élaboration du scénario de réponse à une situation catastrophe).2. élaboration d’un planning en dressant les contours du dispositif de sécurité : concevoir les politiques internes, définir un cahier des charges des meilleures solutions techniques, diffuser une information en interne.
3. implémentation du nouveau système de sécurité. Un système peut se présenter de façon très différente : la protection s’opère à tout niveau de l'architecture -hardware, applicatif- ; des zones -externe, publique, privée- sont définies par la segmentation du réseau. Par ailleurs, il convient de masquer l'infrastructure de l'extérieur en utilisant un adressage IP privé.
4. maintenance : adaptation du système, analyse du fonctionnement en ayant un recours régulier à l’audit interne ou à la consultance externe.
Enfin, il faut tenir compte de deux impératifs pour assurer la réussite d’un plan de sécurité informatique : d’une part, s’assurer du soutien indéfectible de la direction et d’autre part veiller à recommencer régulièrement le processus décrit ci-dessus à partir du point 2.
II. Poster des gardes sur le net,
par M. Laurent MELLINGER, Security Consultant, Netvision.L'exposé de M. MELLINGER était concentré sur la problématique des firewalls (en français, on parle aussi de pare-feu ou de coupe-feu. Un firewall est un système basé sur une politique de sécurité permettant de contrôler l'accès aux réseaux). L’on recense à l’heure actuelle deux grands types de dispositif de sécurité (le filtrage applicatif et la sentinelle). Ceux-ci tendent à parer aux intrusions internes ou externes sur des segments localisés du réseau informatique d’une entreprise.
Il existe deux générations de filtrage applicatif :
- la première consiste en une compréhension globale du flux sans fonction de "sécurité" ;
- la seconde en une analyse de contenu avec fonctions de "sécurité" telles que tunnels, authentification, etc.
La sentinelle, disposée en amont ou en aval d'un firewall, permet de détecter les intrusions en faisant appel à sa base de données qui répertorie les attaques connues (cette base de données doit être fréquemment mise à jour).
Des mesures telles que la coupure de connexion, l’envoi d'alertes et le blocage du firewall peuvent être prises en cas d'attaque.
Des solutions conviennent à chaque architecture :
- l’entreprise est présente sur le Net : pour éviter toute contamination, l’hébergement de son site est confié à un ISP ;
- l’entreprise est connectée à Internet : la mise en place d’une infrastructure de sécurité "légère" devient nécessaire (firewall, vérificateur de contenu voire, au besoin, proxy, sentinelle et analyseur de logs -indicateur de tout ce qui se passe. Pour un budget modeste, il peut fournir des services précieux tels que génération automatique de graphiques, d'alertes, etc.-) ;
- l’entreprise développe des applications de commerce électronique : l’implémentation d’un site transactionnel est alors requise (multiplication des firewalls, vérificateur de contenu, procédés d’authentification et de chiffrement, sentinelle et analyseur de logs);
La définition de la politique de sécurité constitue un préalable nécessaire à la configuration du coupe-feu. Pour être efficace, celui-ci doit fonctionner sur une machine spécialement dédiée où seul l'Operating System de base (OS) est présent (cfr. suppression de toutes les fonctionnalités non nécessaires). De même, il est prudent de combiner les protections (firewalls de technologies différentes en cascade possédant chacun une administration séparée).
- l’entreprise crée un réseau virtuel privé qui relie des entités distantes en profitant de l’infrastructure d’Internet : dans ce cas, il conviendra d’utiliser un firewall doté d’une capacité de tunneling (un "tunnel" est créé entre les firewalls distants. Toute information qui transite par ce biais est encryptée) voire de redondance.
- le nom du titulaire ;
- la clé publique de son titulaire ;
- la date d'expiration du certificat ;
- le nom de l'autorité de certification qui émet ce certificat numérique ;
- un numéro de série ;
- et selon les cas, d’autres données.
- La sécurité totale est un leurre
- Risques = Menace x Vulnérabilité
- Mettre en parallèle le niveau d’acceptation du risque et le coût de la solution de sécurité
- Il y a deux façons de procéder selon la façon de concevoir l’organisation : soit tout interdire puis permettre au fur et à mesure soit tout permettre puis interdire.
- La valeur de l’information diminue en fonction du temps qui s’écoule
- Plus l’entreprise est en vue, plus les risques de piratage augmentent
- Numéro spécial tendances Intranet - sécurité, Trends Tendances, 27 novembre 1997.
- http ://www.lmi.fr/lmi/713/713p32.html. Le Monde Informatique n°713, 14 mars 1997, Internet et la sécurité.
- IT Switch, oct/nov98, p17-19
- Business ICT, n°602, La cryptographie moderne, clé du nouvel ordre électronique, décembre 98, p. 54-56.
L’orateur a conclu son exposé par la présentation (la liste des produits cités, insérée dans les slides de l’exposé, peut vous être envoyée sur simple demande) commentée des produits phares de sécurisation des réseaux actuellement disponibles sur le marché (freeware, shareware ou payants).
III. Les certificats numériques
et leurs applications,
par M. Henry MINASSIAN, Director of Business
Development, BelSign.
L’activité d’une autorité de certification (une autorité de certification est aussi responsable de l’accréditation des autorités d'enregistrement, responsables de la vérification de l’identité du demandeur du certificat. Les chambres de commerce et association d'avocats peuvent jouer le rôle d'entités d'enregistrement) consiste en la délivrance de certificats numériques (un certificat numérique est un fichier binaire; sorte de cartes d'identité électronique) contenant les éléments suivants :
Notons encore qu’il existe plusieurs types de certificats qui font l’objet de procédures d'octroi différentes. Leur niveau de complexité va de paire avec leur prix.
Un certificat numérique
peut être installé sur un navigateur Internet ou sur un
logiciel de messagerie électronique. Dans le premier cas,
il identifie le titulaire vis-à-vis des sites visités,
donne accès à des informations protégées ou atteste
les transactions commerciales telles que des achats ou des
abonnements en ligne. Dans le second cas, le certificat
permet de signer numériquement les e-mails et de les
recevoir en toute confidentialité. De même, la signature
digitale, applicable à l’envoi d’e-mails, est fondée
sur le certificat numérique. Elle authentifie le contenu
et l'auteur du message électronique.
Le dernier exposé de l’après-midi était consacré à
l’évocation d’une expérience de terrain.
IV. Quand vos données valent de l’argent !,
par M. Manuel KHRONIS, Responsable Système
Distribué, NRB.
Consciente de l’intérêt que représente la disponibilité de l’information pour la survie de l’entreprise, NRB a entrepris une réflexion sur la sécurisation de son réseau informatique. La société a d’abord analysé son environnement (domaine d’activité ; matériel informatique ; valeur, utilisation et lieu de circulation de l’information). Elle a ensuite procédé à l’évaluation des principaux risques (cfr. vol/destruction/corruption dû à des agents internes ou externes à l’organisation) pouvant peser sur ses données et déterminer leurs causes (cfr. maladresse, sabotage, virus, accident fortuit, etc.). L’examen attentif de l’organisation permet ainsi de choisir parmi les différentes solutions de sécurisation celle qui se révèle la mieux adaptée (cfr. rapport coût/nécessité). De l’ampleur du dispositif de sécurisation et de ses objets dépendra l’investissement de départ et de gestion ultérieure.
Outre les aspects purement techniques, l’orateur a insisté sur l’impact organisationnel de la mise en place d’un système de mots de passe, de procédures de contrôle d’accès ou d’encryption. Un tel dispositif de sécurité pouvant engendrer des contraintes de travail importantes (cfr. lenteur, complexité, etc.), il est nécessaire de convaincre les acteurs de l’entreprise des enjeux de cette protection.
Enfin, la connaissance du
champs d’action des employés de l’entreprise, le
choix adapté des outils et le respect imparable des règles
établies constituent les gages les plus certains d’un réseau
sécurisé.
La sécurité des réseaux
en quelques mots …
Sources d’informations utiles
Site Security
Handbook - rfc2196
This handbook is a guide to developing computer security policies and procedures for sites that have systems on the Internet. The purpose of this handbook is to provide practical guidance to administrators trying to secure their information and services. The subjects covered include policy content and formation, a broad range of technical system and network security topics, and security incident response.
ftp://ftp.eunet.be/pub/documents/rfc/rfc2196.txt
European Commission – DGXIII - Telecommunications, Information Market and Exploitation of Research
Communication from the commission to the european parliament, the council, the economic and social committee and the committee of the regions ensuring security and trust in electronic communication. (adopted by the Commission on 8 October 1997).
Towards A European Framework for Digital Signatures And Encryption
http://www.ispo.cec.be/eif/policy/97503toc.html
http://www.ispo.cec.be/eif/policy/97503fr.zip (version française téléchargeable)
http://www.ispo.cec.be/eif/policy/97503exec.html
(executive summary)
Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions. (13/05/1998).
Proposal for a European Parliament and Council Directive on a common framework for electronic signatures.
http://www.ispo.cec.be/eif/policy/com98297.html
http://www.ispo.cec.be/eif/policy/com98297fr.doc
(version française téléchargeable)
NIST (National Institute of Standards and Technology) Computer Security Special Publications
http://csrc.nist.gov/nistpubs/
Notamment : SP 800-18
Guide for Developing Security Plans for Information
Technology Systems, December 1998
Netcraft Secure Server Survey
http ://www.netcraft.com/security/
Glossaire spécialisé
http://www.netcraft.com/surveys/analysis/https/1997/Mar/glossary.html
Le Monde Informatique n°713 – 14 mars 1997
Dossier " Internet et
la sécurité "
http://www.lmi.fr/lmi/713/713p32.html
CLUSIB – Club de la sécurité informatique belge
http://www.vbo-feb.be/pk/pkd/frkd00.htm
Une enquête a été réalisée en 1998 sur la sécurité informatique dans les entreprises belges. Le rapport de cette enquête est disponible auprès du Clusib.
Personne de contact :
Mr Luc GOLVERS – Président
Tél : 02/569.40.87
Fax : 02/569.28.28
E-mail : lgolvers@ulb.ac.be
ASBL "Droit et Nouvelles Technologies"
Service d’information
fourni par deux avocats belges sur les thèmes de
l’Internet.
http://www.droit-technologie.org
Nous y avons relevé un
dossier sur " Criminalité informatique: analyse de
l'avant-projet de loi belge "
http://www.droit-technologie.org/5_3.asp
ICRI - Interdisciplinary Center for Law and Information Technology
is a research centre within
the Faculty of Law - KUL.
http://www.law.kuleuven.ac.be/icri
Nous y avons relevé Legal
aspects of digital signatures
http://www.law.kuleuven.ac.be/icri/projects/digisig_eng.htm
… Et bien d’autres
liens à découvrir …
Glossaire spécial
" sécurité des réseaux "
Antivirus : les antivirus détectent les virus cachés au sein des exécutables ou des documents. Certains peuvent même analyser les fichiers attachés au courrier électronique.
Authentification : technologie qui permet de s’assurer de l’authenticité d’une transmission informatique par l’utilisation d’une signature électronique.
Certification Agent (CA, agent de confiance) : a pour rôle de certifier un code permettant une signature électronique.
Cryptage : transformation d’un message clair en un message codé. Opération ayant pour but de garantir la sécurité et/ou l’authenticité d’un transfert de données.
Cryptographie : ensemble des techniques qui permettent de transformer de manière complexe un texte en clair en un texte chiffré inintelligible pour un tiers. Pour la conversion inverse, le destinataire du message emploiera un algorithme de transformation paramètré par une clé secrète.
Cryptographie symétrique : la même clé sert à la fois au chiffrement et au déchiffrement.
Cryptographie asymétrique ou à clé publique : deux clés sont utilisées , une secrète et une publique. Les messages sont envoyés et chiffrés à l’aide de la clé publique du correspondant qui, en tant que seule partie à disposer de la clé secrète, est capable de déchiffrer le message. (algorithme utilisé le plus connu -devenu standard de fait- est RSA (Rivest, Shamir et Adleman)).
Décryptage : opération consistant à essayer de retrouver le texte clair d’un message chiffré sans disposer de la clé.
DES (Data Encryption Standard) : mis au point par IBM en collaboration avec l’Agence Nationale de Sécurité américaine dans les années 60.
Firewall (pare-feu, coupe-feu) : passerelle (gateway) sécurisée limitant l’accès à un réseau d’ordinateurs tel qu’un Intranet. Composé d’un programme et de hardware (ordinateur et/ou routeur), il va interdire (ou limiter) certaines actions suivant les paramètres qu’il aura reçus.
Hacker et cracker : le hacker se passionne pour les ordinateurs, est habituellement un programmeur qui, par sa connaissance des systèmes, détecte les trous dans la sécurité, mais ne détruit ni n’utilise de données ou de programmes. Le cracker s’attaque à des sécurités avec l’intention de nuire. Les traces qu’il laisse le rendent plus facilement détectable.
IDS : Intrusion Detection System
Mot de passe : code d’accès alphanumérique à un système verrouillé.
SATAN : logiciel public et gratuit permettant de tester les failles de sécurité de toutes les machines Unix présentes sur un réseau. La crainte du mauvais usage que l’on peut en faire a suscité une polémique à sa sortie.
Scanner : le sens le plus courant de ce mot en informatique est avant tout un système permettant d'obtenir un fichier image à partir d'un document papier.
Dans le domaine de la sécurité informatique : programme favori des hackers. Software qui détecte automatiquement les faiblesses de la sécurité d’un ordinateur situé sur un réseau (en l’occurrence Internet). Cet instrument destiné, à l’origine, à vérifier la sécurité d’une installation, peut donc être exploité dans un sens moins honorable. Le scanner détecte une machine ou un réseau, puis identifie les services qu’elle réalise, et enfin, teste ceux dont les faiblesses sont connues avec l’objectif de passer à travers les " trous " détectés.
Signature électronique (numérique) : assure l’authentification de l’émetteur d’un message par l’utilisation d’un code individuel répondant à un format spécifique, et qui pourra être certifié par un Agent de Confiance (cfr. Certification Agent). NB : le rôle de CA et de TTP peuvent être fusionnés.
Sniffer : programme et hardware qui vont capter les informations passant à travers un réseau. Le sniffer peut servir à lire des informations telles que les mots de passe ou des informations confidentielles passant sur le réseau.
SSL (Secure Sockets Layer) : protocole développé par Netscape pour la transmission privée de documents au travers d’Internet. Il utilise une clé privée pour coder (encrypter) les données transférées. Netscape Navigator et Internet Explorer supportent ce protocole. De nombreux sites Web utilisent le protocole pour les informations confidentiels des utilisateurs telles que les numéros de carte de crédit. Par convention, les pages Web qui requièrent l’utilisation de ce protocole commencent par https (au lieu de http).
TTP (Trusted Third Party ou Tierce Personne de Confiance) : voir certification agent.
Virus : code exécutable de petite taille qui se greffe à un logiciel sain. Pour se reproduire, il doit être exécuté ; généralement il profitera du lancement de ce programme pour s’installer dans la mémoire de l’ordinateur.
Sources :
