|
|
|
|
| ..:: Dossiers » Dossiers archivés » Dossiers 2007 » Mars 2007
::.. |
|
|
Sécurité : les principales menaces sont internes
|
|
|
p.1p.2p.3
Protégez-vous de vos utilisateurs !
Une politique de sécurité doit être appréciée à l’aune de son point le plus faible : l’utilisateur lambda de l’informatique en entreprise. Sans vouloir lui jeter la pierre, il convient cependant d’éviter de lui faire trop confiance concernant le respect des consignes qui lui sont données. Par imprudence ou par malveillance, il peut mettre à mal tout un système informatique. Comment éviter cela ?
Pour les vilains du Net, il est de plus en plus difficile de pénétrer ex abrupto dans les systèmes d’information des entreprises. Celles-ci ont appris, souvent à leurs dépens, qu’il était bon de se protéger. Aujourd’hui, seule une minorité d’entre elles n’ont pas de bouclier contre les nuisances provenant d’Internet avec le célèbre triptyque, antispam, antivirus et firewall. Certaines doublent cette protection sur deux niveaux : les serveurs et les postes clients. Mais si elles sont protégées a minima contre les menaces extérieures, elles restent souvent sans défense contre l’ennemi intérieur ou lorsque l’attaquant a pénétré ce premier périmètre de défense. Ainsi, près de 70 à 80 % des nuisances proviennent de malveillances ou d’erreurs internes à l’entreprise. On peut y ajouter les comportements dangereux ou le glissement des attaques qui ciblent de mieux en mieux les employés des entreprises comme les particuliers.
 Le centre de recherche de Symantec.
Des attaques visant les individus
Pour pénétrer dans le système d’information d’une entreprise, il est plus simple de le faire avec les mots de passe et codes confidentiels que d’essayer de passer en force. Les hackers l’ont bien compris et ne s’escriment plus à passer les différentes barrières mises en place par les services informatiques. Ils disposent pour cela de différentes armes bien plus efficaces, tournant autour de la problématique de récupération de données sensibles visant à usurper l’identité d’un utilisateur.
L’arme aujourd’hui la plus répandue est le spam. Il a augmenté de près de 274 % au cours de l’année écoulée et encombre à hauteur d’environ 90 % nos boîtes électroniques. Le spam devient ainsi la première nuisance visible dans les boîtes mail des utilisateurs. Si la plupart, en anglais, sont peu sujets à intérêt, ils deviennent cependant de plus en plus ciblés. Récemment, des campagnes de spam, parfaitement rédigées en français, sont arrivées dans les boîtes électroniques. Il n’est pas évident alors, pour un utilisateur non averti, de ne pas cliquer sur ce mail. L’action en soi a peu de conséquences si le spam n’est qu’une offre commerciale. Le plus souvent l’ouverture d’une pièce jointe au mail active un cheval de Troie ou l’ouverture d’une faille permettant d’installer des keyloggers, ces logiciels qui peuvent récupérer les frappes sur les claviers ou les éléments du dossier où se stockent les mots de passe sous Windows.
Les conseils de base aux utilisateurs
Dans un livre blanc consacré au vol d’identité, paru courant janvier 2007, McAfee, éditeur de logiciels de sécurité, propose quelques conseils simples pour éviter les gros ennuis :
• se méfier des messages cherchant à vous inciter à donner des informations confidentielles ;
• éviter de cliquer sur un lien intégré dans un e-mail, mais écrire l’adresse soi-même dans la fenêtre du navigateur ;
• installer des outils de sécurité et les maintenir à jour ;
• réfléchir avant d’ouvrir une pièce jointe quelle que soit sa provenance ;
• ne pas divulguer son adresse mail à n’importe qui ;
• effacer soigneusement le disque dur d’un ordinateur dont vous allez vous séparer ;
• assurez-vous qu’un site Web est sûr avant de déposer des informations personnelles ;
• utilisez des mots de passe difficiles à deviner et renouvelez-les à période régulière ;
• être prudent dans l’usage de sa messagerie instantanée.
Rien de bien transcendant ni de surprenant, mais il est souvent nécessaire de rappeler ces conseils de bases auprès des utilisateurs.
Plus inquiétant, une étude menée par un éditeur d’antivirus scandinave démontrait que 40 % des utilisateurs étaient prêts à acheter à partir d’un e-mail non sollicité. Par ce biais, les ordinateurs peuvent être totalement manipulés à distance et deviennent ce que l’on appelle des PC « zombies » ne répondant qu’aux ordres de leur maîtres des ténèbres ! Selon Vinton Cerf, un des pères d’Internet, un quart des PC connectés sur Internet seraient sujets à cette forme de domination maléfique, soit près de 150 millions d’ordinateurs ! Grosso modo, ces PC zombies peuvent envoyer près de 160 millions de spams en deux heures ! Pour contourner les protections actuelles, les spammers utilisent de plus en plus la présence d’images dans leurs messages. Les moteurs actuels, pour des raisons de confort des utilisateurs ne regardent que peu les images et laissent passer ces « spams imagés ». Ils représentent désormais près de 35 % des spams totaux dans le monde.
Les extensions du spam
Ce type d’attaques se répand sur d’autres supports. Ainsi, dans son dernier rapport, le Clusif, organisme de veille sur la sécurité, voit comme tendance 2007 l’extension du spam aux plates-formes de VoIP connue sous l’acronyme de Spit (SPam over Ip Telephony) ! Ces attaques se comportent comme des attaques de spams, mais sur des téléphones VoIP. Un vrai bonheur, lorsqu’on décroche, de se voir infliger un SMS ou un message vocal proposant de petites pilules bleues pour assurer un bon équilibre sexuel…
Cette menace est déjà anticipée par les éditeurs d’anti-virus qui ajoutent à leur gamme des produits spécialisés dans les environnements mobiles. Sophos et Kaspersky viennent de lancer deux produits dans le domaine. Ces produits cherchent aussi à éviter une catastrophe quasi annoncée : un virus répliquant à partir d’une plate-forme mobile. Actuellement, les plates-formes Symbian sont les plus visées par les virus sur les mobiles. La montée en puissance des développements sur Windows Mobile 5.0, et la toute prochaine 6.0, devraient augmenter l’intérêt des hackers pour les environnements mobiles à l’avenir.
L’exploitation des données du spam
Ces méthodes de spam ou de phishing, en routant un utilisateur vers un faux site Web, ont pour but de récupérer des informations confidentielles pour les utiliser. Le but des hackers est aujourd’hui de faire de l’argent. Avec ces codes, ils souhaitent pouvoir extorquer de l’argent directement ou blanchir des sommes frauduleuses déjà récupérées.
Former vos utilisateurs par le jeu
Si les utilisateurs de l’entreprise connaissent les bons usages en termes de sécurité informatique, ils ne les appliquent que très rarement ! Il s’agit donc de développer une culture de la sécurité et de faire en sorte que les utilisateurs ne soient plus le maillon faible de la sécurité du SI mais, au contraire, œuvrent à le renforcer.
Conscio Technologies développe une gamme d’outils qui permet d’évaluer les comportements des collaborateurs et de proposer des solutions de sécurité adaptées par des logiciels de jeux. Ces outils d’apprentissage permettent de sensibiliser les employés aux réflexes à adopter.
Développer en 3D, Scenarisk 3D s’appuie sur un ensemble de saynètes, reprenant des situations d’entreprise, suivies de quiz. Suivant les réponses aux quiz, une explication ou un rappel des règles à respecter sont présentées à l’utilisateur. Les saynètes couvrent des situations comme les mots de passe, les logiciels malveillants, la messagerie. Elles sont destinées à être diffusées sur un intranet ou en mode ASP. Personnalisable, l’outil permet de suivre par des statistiques l’évolution des comportements des utilisateurs.
Pour l’industrie du crime sur le Net, ce point est critique. Les règles de transferts d’argent entre les pays sont drastiques et demandent beaucoup d’imagination aux hackers pour profiter de l’argent qu’ils ont détourné. On a vu au cours de l’année écoulée apparaître des campagnes de recrutement de « mule ». À l’instar des mules des trafiquants de drogue, celles-ci ont pour but de réaliser les transferts d’argent offrant ainsi une couverture à celui qui profite réellement de l’argent.
Un schéma simple permet de clarifier la situation. Un émetteur de spam récupère plusieurs commandes de Viagra et des paiements de clients français. Pour pouvoir transférer l’argent, il recrute une mule. Le portrait de celle-ci est simple. Elle doit avoir un compte bancaire à disposition, regarder ces mails plusieurs fois par jour, être assez disponible. Les sommes détournées arrivent sur le compte de la mule dans le pays où les sommes ont été récupérées. Lorsque les sommes ont été créditées, la mule reçoit un mail lui enjoignant, par exemple, de sortir les sommes du compte et de les transférer par un mandat Western Union vers une personne dans le pays où les sommes finissent leur vie malhonnête.
Parmi ces mules, il n’y a pas que des profils malhonnêtes. Des cadres d’entreprise attirés par des gains d’argent facile se sont lancés dans cette activité. De plus, les hackers font tout pour rendre ce travail le plus officiel possible, avec demandes de renseignements précis, fourniture d’un contrat de travail au nom d’une société bidon. Bref, tout est fait pour faire croire que le tâche de transfert de fonds est un travail réel.
Pour des raisons de discrétion, les mules ne travaillent en fait qu’une ou deux fois et sont ensuite laissées aux conséquences de leurs actes. La plupart du temps, les conséquences sont assez minimes mais gênantes pour la mule. Ainsi, elle se trouve la plupart du temps éjectée de sa banque avec une grosse ligne sur son dossier bancaire. C’est un minimum. Si sa bonne foi est engagée, cela peut aller jusqu’à la complicité d’escroquerie ou la complicité de blanchiment. Nous ne détaillerons pas non plus les conséquences fiscales pour la mule qui devra certainement expliquer au fisc l’origine des revenus (un pourcentage prélevé sur la somme qu’il a fait transiter vers l’étranger) qu’il aura évidemment déclaré à son inspecteur des impôts ! Il est tout de même difficile de croire que ces mules s’engagent sans savoir réellement ce qu’elles font, même si elles profitent de cet état de fait pour prouver qu’elles ont été abusées afin d’échapper aux conséquences de leurs actions.
Il n’y a pas encore eu de cas avéré de personnes réalisant ce type de travail de l’intérieur d’une entreprise, mais le scénario existe où un comptable voulant se faire un peu d’argent pourrait utiliser l’un des comptes de la société auquel il a accès pour faire transiter ces sommes et les faire parvenir aux hackers. La responsabilité de l’entreprise serait totalement engagée. Comme on dit en statistique, le risque est « non nul » que cela se produise !
Le vol d’identité
Autre tendance forte, les données récupérées servent à se substituer à une personne ou à une entreprise pour effectuer différentes opérations financières. Ainsi, on récupère l’identité électronique et les éléments probants de l’identité et des hackers ouvrent des prêts, effectuent des achats d’actions en ligne, vident votre compte en banque…
Le phénomène est quasiment endémique dans certains pays et, régulièrement, les journaux se font l’écho de détournements d’identités à grande échelle. Récemment, la sauvegarde d’un établissement canadien s’est « perdue » entre Montréal et Toronto. Elle comprenait les codes et identifications de nombreux clients. Elles vont certainement alimenter le marché de ceux qui profitent de fausses identités sur le Net. Aux États-Unis, le mal est omniprésent avec près de 10 millions de victimes chaque année. La facture pour l’économie américaine a été estimée à 50 milliards de dollars par la Federal Trade Commission. En Grande-Bretagne, les conséquences de tels vols d’identité sont moindres, avec des dégâts estimés à 3,2 milliards de dollars. Le coût moyen par incident se chiffre à 400 $. Ce niveau peut sembler faible. Il peut parfois passer inaperçu et donc permettre de continuer les petites opérations. D’autre part, ce faible coût relativise souvent la volonté des victimes à engager des poursuites contre le criminel. Des attaques ciblées contre une université américaine ont permis de récupérer des informations confidentielles, comme des données de paiement et des numéros de sécurité sociale des étudiants et des personnels de l’université.
Et la messagerie instantanée ?
Dans une étude récente, réalisée par le Radicati Group pour Symantec, il est indiqué que 80 % des entreprises laissent leurs employés utiliser les messageries instantanées ; moins rassurant, 80 % des entreprises déclarent ne pas avoir de solutions de sécurité pour ces messageries. Inquiétant lorsque l’on sait que les menaces visant ces messageries ont augmentées de 1 693 % en 2005 avec plus de 2 400 incidents recensés. Les principaux vecteurs d’attaques sont des virus de type worms (87 %), devant des chevaux de Troie (12 %) et les vulnérabilités des clients de messageries (1 %).
Certains vols se sont déroulés à la suite de vols ou de pertes d’ordinateurs portables. Une étude de l’université de Leicester constate que les ordinateurs d’occasion sont aussi un gisement intéressant d’informations confidentielles avec des risques de fraude ou d’usurpation d’identité. Alors que près de 25 % des ordinateurs d’occasion retrouvent une seconde vie dans des entreprises, ou chez des particuliers, la moitié recèlerait des informations suffisantes pour permettre des opérations d’usurpation d’identité. Avec un simple logiciel courant de récupération de données, que n’importe qui peut trouver dans le commerce, les auteurs de cette étude ont retrouvé des coordonnées de comptes bancaires, des échanges de correspondance mail, des mots de passe en vrac, des CV, la liste des noms et des placements effectués par un grand établissement financier, l’inscription et les échanges pour un compte en ligne chez un voyagiste, des tableaux détaillant des positions de comptes avec des fournisseurs, découverts bancaires et TVA…
Ces différentes attaques montrent que loin de s’attaquer aux entreprises les hackers s’intéressent aujourd’hui aux utilisateurs en entreprise comme aux particuliers et adaptent leurs tactiques pour obtenir des informations précises et exploitables. Elles démontrent aussi que ces attaques sont efficaces.
 Le cryptage des données sur les postes des utilisateurs est une des réponses possibles contre les intrusions ou la perte de données sensibles. Ici, le panneau d’accueil de l’outil de Steganos.
Comment faire face ?
La sécurité devient un véritable enjeu pour les entreprises devant les sommes qu’elles engagent pour se protéger et sur les répercussions qu’un incident peut avoir sur leur activité. Souvent, il faut reconnaître que la sensibilisation dans les entreprises se résume, au mieux, à la charte de l’utilisation d’Internet que l’employé lit lors de son arrivée dans l’entreprise. Comme le permis de conduire, il oublie vite ce qu’il a appris pour retrouver ses comportements habituels. Une véritable politique de sensibilisation vers les utilisateurs doit donc être mise en place en concertation avec ceux-ci. Montrer les conséquences ou expliquer dans quels cas la responsabilité de l’employé peut être engagée sont souvent suffisants pour modifier certains comportements. Cette sensibilisation doit cependant se faire dans le cadre du code du travail et ne pas ressembler à un « flicage » inconsidéré de l’employé.
Exprimer clairement les buts de cette sensibilisation est un must ! Il est aussi possible d’expliquer que certains périphériques et comportements sont interdits pour des raisons de sécurité. Le fait d’avoir accès à un VPN à partir de son domicile pour se connecter à l’entreprise n’est pas un signe extérieur de position dominante dans l’entreprise mais une nécessité pour les personnes travaillant à l’extérieur du périmètre de l’entreprise. Formation, sensibilisation et automatisation des outils sont les principales pistes à suivre pour rendre la sécurité efficace. L’automatisation permet surtout de rendre cette politique de sécurité transparente par l’utilisateur. Elle a l’avantage de laisser le problème au niveau de l’infrastructure et de reposer sur des réponses matériels ou logicielles où l’humain intervient peu. Elle est donc moins sujette aux erreurs, ou autres malveillances. Rester à ce niveau permet aussi d’éviter qu’un employé de l’entreprise puisse sortir des documents confidentiels auxquels il n’aurait normalement pas accès. Comme nous le verrons par la suite dans ce dossier, les solutions de gestion des identités et des accès peuvent apporter des réponses en permettant à l’entreprise de savoir qui fait quoi chez elle.
|
Sniffing
Quand le pirate espionne le réseau de l’intérieur
De nos jours, les réseaux sont surprotégés en ce qui concerne les attaques susceptibles de venir d’Internet. Hélas, la plus dangereuse des menaces est interne : il s’agit de l’espionnage ciblé des données, c’est-à-dire le sniffing.
Entre les firewalls, sur la passerelle – mais certains en installent même sur les postes de travail, alors que cela n’a pas vraiment d’utilité –, les antivirus sur les serveurs d’e-mails des fournisseurs d’accès, où ils sont le plus efficaces, et les anti-spywares sur les machines des utilisateurs, les logiciels malveillants du Web n’ont plus beaucoup de chance de passer. Seulement voilà, les dernières études en matière de sécurité s’accordent toutes sur un point : dans plus de 80 % des cas, le piratage d’un réseau est effectué de l’intérieur. Outre des actes de vandalisme et autres détournements illégitimes de l’utilisation du système d’information, le pirate situé à l’intérieur du réseau a pour principale activité de partir à la chasse aux informations, sous-entendu celles qui ne le concernent pas.
L’administrateur piégé
par un pot de miel
Pour récupérer le mot de passe de son administrateur, quoi de mieux que de l’inviter à se « logguer » sur un serveur bidon (ça s’appelle « un pot de miel ») que le pirate a activé sur sa machine ? La mise en place d’un tel serveur passe, à partir du Shell de tout système Unix ou de Windows, par la commande « nc -l -p », laquelle ouvre un port, comme le ferait n’importe quel logiciel serveur. Par exemple, s’il dispose d’un Mac ou d’un PC sous Linux, le pirate n’a normalement aucune raison d’avoir le port 3389 d’administration à distance ouvert, mais il peut enregistrer dans un fichier « port3389.log » toutes les requêtes qui tentent de s’y connecter grâce à la commande suivante :
nc -l -p 3389 >port3389.log
Pour faire plus réaliste, on peut même afficher le contenu d’un fichier texte sur la console de la personne en cours de connexion sur le faux serveur. Par exemple, enregistrez dans le fichier « toto.txt » le message « Enter valid login:password : », puis faites croire que vous avez un serveur FTP auquel on ne peut accéder qu’avec un login et un mot de passe valides (ceux de l’administrateur le sont toujours, voyons) grâce à la commande :
nc -l -p 21 port21.log
Le faux serveur s’arrête dès que la personne distante se déconnecte, mais (si l’on dispose de la version GNU de « nc ») on peut le laisser actif en permanence en remplaçant « -l » par « -L ». Un bon administrateur doit parfaitement connaître les services actifs sur son réseau. S’il en découvre un nouveau, il doit physiquement aller enquêter sur la machine qui le fait tourner plutôt que de jouer avec à distance !
Le sniffing, ou comment espionner ce que font les collègues
L’espionnage le plus courant est appelé le sniffing, à savoir écouter tout ce qui passe par les câbles du réseau. De nos jours, les administrateurs relient les bureaux à des switches, c’est-à-dire des boîtiers commutateurs qui ont l’intelligence de n’envoyer que sur le bon câble RJ45 les informations destinées à la machine située à l’autre bout. Cela dit, pour des raisons de commodités, il est fréquent d’installer des multiprises RJ45 d’appoint – ça s’appelle des « hubs » – voire une borne Wi-Fi sans configuration spéciale (on la sort du carton, on la branche, et hop). Ces deux types d’appareils ont le défaut d’envoyer à tout le monde toutes les informations qui transitent par eux, à la charge de chaque machine de ne conserver que celles qui les concernent. Mais le pirate qui a la volonté de regarder un peu « ce qui passe » pourra voir toutes les URL – et les pages Web – que visitent ses collègues, le contenu de tous les e-mails qu’ils récupèrent (avec les mots de passe en prime) et même les conversations MSN qu’ils échangent. Pour se faire, il lui suffit de commencer par installer sur sa machine la bibliothèque Pcap, laquelle déverrouille sur les cartes réseau la fonction de rejet automatique des informations qui ne s’adressent pas à elles (voir l’encadré « Le sniffing en Wi-Fi » pour les réseaux sans fil). Appelée « libpcap », cette bibliothèque est installée par défaut sur tous les systèmes Unix (Linux et Mac OS X y compris), mais on peut en récupérer une version à jour à l’adresse http://www.tcpdump.org/. On y trouve le code source que l’on installe avec les habituels « ./configure ; make ; sudo make install » ; pensez à copier les binaires résultants (placés dans « /usr/local/ ») vers « /usr » pour écraser la version d’origine. Sous Windows, la bibliothèque s’appelle WinPcap et on la récupère à l’adresse http:// www.winpcap.org/install/default.htm. Notre pirate utilisera ensuite à partir d’une console Shell l’utilitaire Tcpdump sous Unix (mêmes recommandations d’installation) ou WinDump (http://www.winpcap.org/windump /install/default.htm) sous Windows, respectivement comme ceci :
sudo tcpdump -A -s 0
windump -X -s 0
Les données capturées s’affichant à l’écran, il est possible de les enregistrer dans un fichier au moyen du paramètre optionnel « -w <nom_du_fichier> ». On peut aussi n’observer que le trafic d’une seule machine en particulier avec « host <adresse_IP> » ou encore, ce qui est utile pour récupérer les mots de passe, ne retenir que les requêtes envoyées à un serveur déterminé avec « port <numéro_de_port_du_service> » (« port 110 », par exemple, permet de récupérer les login et mots de passe des comptes e-mail). Évidemment, les données collectées ont l’apparence globale d’un affreux charabia au sein duquel il faut fouiner âprement pour trouver des informations pertinentes.
Promisec Spectator : l’espionnage au service de l’administration
Le logiciel Spectator de Promisec (http://www.promisec.com) revient à un administrateur automatique pour un réseau de postes Windows. Envoyant régulièrement des requêtes WMI sur le port 135 des machines connectées, il s’y identifie avec le compte administrateur (qui doit être le même sur chacune d’elles) et accède à leur base de ressources pour vérifier que certaines règles définies en amont sont bien respectées. S’il détecte des périphériques interdits (clés USB…), des applications non autorisées (Peer2peer, virus, outil de sniffing…), ou encore des paramètres non conventionnels (démarrage, ports ouverts…), il les bloque, restaure la configuration voulue par l’administrateur et produit un rapport d’alerte. Coûtant dans les 40 euros par poste à observer (il ne s’installe pour sa part que sur un serveur, il n’y a pas d’agent), il est d’une efficacité redoutable et scanne une machine en 0,5 seconde.
Heureusement, il y a mieux que Tcpdump et WinDump : l’outil graphique et gratuit Ethereal (http://www.ethereal. com/download.html) de même, mais avec une option supplémentaire très intéressante. Il suffit de sélectionner au hasard un paquet capturé, puis de choisir dans le menu « Analyze » l’entrée « Follow TCP Stream » pour voir se recomposer automatiquement dans une nouvelle fenêtre l’intégralité de la page HTML, de la conversation ou du mail dont le paquet sélectionné n’était qu’un extrait. La cellule « filter » permet, accessoirement, de n’afficher que les paquets qui contiennent un mot-clé donné. Pour prévenir ce genre d’espionnage, il est impératif que l’administrateur interdise l’installation de tout hub dans les locaux et qu’il n’autorise les bornes Wi-Fi qu’à partir du moment où elles sont configurées pour demander une authentification par clé WPA (ce dispositif crypte toutes les données de sorte que celles-ci ne peuvent être déchiffrées que par la machine à qui elles sont destinées).
 Ettercap ne se contente pas d’espionner les conversations entre deux machines, il peut aussi les modifier ; ni vu ni connu.
Ettercap, le sniffing diabolique
Et pourtant, le pirate dispose encore d’une parade pour écouter les données que ses collaborateurs envoient sur le réseau, même celles qui parcourent des liaisons RJ45 qui ne passent pas par son ordinateur. Ici, il s’agit d’effectuer une attaque appelée « Man in the middle », où le pirate se place entre deux machines (du point de vue logiciel, uniquement, pas physiquement), en faisant croire à chacune d’elle qu’il est l’autre. Il agira comme une passerelle entre les deux sans oublier de garder une copie de toutes les informations qu’il fait transiter entre elles. Techniquement, cela revient pour la machine du pirate à s’attribuer des adresses IP et MAC qui ne sont pas les siennes (l’adresse MAC est le numéro de série unique d’une carte réseau, mais il est possible de la modifier). Ceci se fait, très simplement, au moyen de l’outil Ettercap qu’il faudra compiler soi-même (il marche sur tous les systèmes, de Linux à Windows, en passant par Mac OS X) après avoir récupéré son code source à l’adresse http://ettercap.sourceforge.net/download.php. Ensuite, voici la commande à taper dans un Shell pour lire toutes les informations qui transitent par exemple entre une victime, dont l’adresse IP est 192.168.0.40, et la passerelle vers Internet, dont l’adresse IP est 192.168.0.1 (l’option « -T » lance le mode texte, si vous disposez des bibliothèques GTK sur votre système, vous pouvez lancer l’interface graphique avec l’option « -G ») :
ettercap -T -M arp:remote /<192.168.0.40/ /<192.168.0.1>/
Ettercap est un outil diabolique, dans le sens où il permet de filtrer toutes les informations qui transitent par lui et qu’il peut donc les modifier. On trouve ainsi de multiples filtres d’exemple dans le répertoire « /etc/ettercap/ » : il peut éventuellement s’agir de « /usr/share/ettercap/ », voire d’une autre déclinaison de cette construction, selon les systèmes. Ceux-ci ont la possibilité de remplacer une URL donnée par une autre (pour que la victime poste des informations non pas sur un serveur légitime mais sur un site pirate qui a la même apparence), d’injecter du code malicieux dans les pages HTML téléchargées – en Javascript, par exemple –, ou encore de modifier les réponses d’un serveur pour que l’ordinateur de la victime s’y connecte en SSH 1 (mots de passe facilement déchiffrables) plutôt qu’en SSH 2 (protégé contre Ettercap). Pour utiliser un filtre, il suffit de le modifier à sa convenance (format texte), de le compiler à l’aide de la commande « etterfilter <nom_du_script> -o <nom_du_script>.ef », puis de lancer Ettercap en terminant la commande par l’option « -F <nom_du_script>.ef ». Il existe aussi des extensions pour réaliser une action spécifique, comme des attaques de déni de service, de « spoofing » des DNS… La liste de toutes les extensions est lisible au moyen de la commande « ettercap -P list » et il suffit d’entrer « ettercap -P <nom_de_l’extension> <autres paramètres> » pour en activer une au lancement du logiciel ; on peut aussi appuyer sur P pour en lancer une en cours de route.
 Permettant de surveiller à distance les capteurs Snort que l’on a disposé sur le réseau, BASE est une interface HTML… de base.
Sniffers contre sniffers
Disposer dans son système des switches sur lesquels on fixe des adresses MAC par connexion RJ45 n’arrangerai que peu les choses : le pirate peut toujours se faire passer pour la passerelle aux yeux d’une victime en remplaçant le mot-clé « arp » par « icmp » dans les paramètres de lancement d’Ettercap. Mais pour véritablement protéger son réseau des méfaits d’Ettercap, la meilleure contre-attaque consiste à doter son LAN d’un système de détection d’intrusion, ou IDS. Qu’est-ce qu’un IDS ? Eh bien – et c’est très drôle – il s’agit tout simplement d’un logiciel de sniffing que l’on place à divers endroits du réseau (chaque entité s’appelant un « senseur »), typiquement par l’intermédiaire d’un hub, entre la passerelle et le switch et même idéalement à toutes les sorties d’un switch. Autrement dit, Tcpdump et Ettercap font d’excellents IDS, il s’agit même de leur fonction première (Ettercap dispose d’ailleurs d’une extension « find_ettercap » destinée à détecter l’utilisation d’un autre Ettercap sur le réseau) !
Le sniffing en Wi-Fi
Les cartes Wi-Fi ne fonctionnant pas exactement comme les cartes Ethernet, la bibliothèque Pcap peut ne pas suffire pour débloquer leur mode furtif – passif, en l’occurrence. Si vous disposez d’un PC Centrino ou d’un Mac avec carte AirPort Extreme, laissez tomber ! Personne n’a encore trouvé le moyen de leur faire faire du sniffing. Il existe des solutions qui « semblent » marcher, comme le logiciel gratuit KisMac pour Mac OS X, mais elles aboutissent surtout à l’extinction pure et simple de la carte Wi-Fi, obligeant à redémarrer la machine pour la réactiver. On pourra consulter à l’adresse http://customerproducts.atheros.com/customerproducts/ResultsPageBasic.asp une base de données qui référence les cartes Wi-Fi capables de se mettre en mode passif. Pour activer ce dernier sous Windows, téléchargez et installez l’un des kits de pilotes disponibles à l’adresse http://www.wildpackets.com/support/downloads/drivers/. Puis, si ça ne fonctionne toujours pas, lancez en parallèle de votre outil de sniffing soit le logiciel AirSnort (gratuitement téléchargeable sur http://airsnort.shmoo.com), soit Aircrack-ng (http: //www.aircrack-ng.org). Ces derniers servent normalement à découvrir les clés WEP et WAP des bornes Wi-Fi (activité dite de « war driving »), mais présentent surtout l’avantage de savoir correctement mettre en mode passif une carte Wi-Fi. Ils fonctionnent également sous Linux et donnent d’ailleurs sur leur site les liens vers les pilotes pour ce système.
Snort, le sniffer roi des IDS
Blague à part, le logiciel qui fait autorité en matière d’IDS est Snort. Snort est un aussi bon sniffer que Tcpdump (la commande étant « snort -devC »), mais son principal intérêt réside dans la possibilité d’identifier automatiquement les attaques dans les paquets qu’il voit transiter, cela à l’aide de règles toute faite, que l’on récupère régulièrement sur Internet (http://www.snort.org/rules/) afin que la protection du réseau local reste continuellement à jour. Le site http://www.bleedingsnort.com en publie de nouvelles dès qu’un « exploit » a été découvert ; il propose même de s’abonner à une mailing-list pour recevoir les dernières en temps réel par e-mail. Grâce à celles-ci, le « sniffing » de Snort détecte aussi bien les tentatives d’espionnage, que les virus sur le LAN, que les trojans dans les e-mails ou que n’importe quelle autre menace connue.
L’outil Snort de base (qui s’exécute dans un Shell) se télécharge gratuitement pour Linux (Red Hat…) et Windows à l’adresse http://www.snort.org/dl/binaries – les sources sont disponibles, mais en CVS. Cela dit, Snort ne prend toute son utilité que lorsqu’il fonctionne sur une machine dédiée, avec une base de donnée, et qu’il se laisse piloter – superviser – à distance par l’intermédiaire d’une interface graphique. Sur ce dernier point, il en existe deux libres au format HTML : ACID (http://acidlab.sourceforge.net/), qui tombe en désuétude, et BASE (http://base.secureideas.net/), qui constitue le choix moderne. Pour fonctionner, ces interfaces nécessitent évidemment la présence d’un serveur Web à côté de Snort. Des kits gratuits « tout en un », comprenant Snort, MySQL, Apache et ACID ou BASE, existent. Eagle X (http://www.engagesecurity.com/downloads/) permet ainsi d’installer l’ensemble sur Windows et propose même de piloter Snort localement avec une interface graphique maison qui est directement exécutable (IDScenter). Network Security Toolkit (http://www.network securitytoolkit.org/nst/) est quant à lui un live-CD qui permet de démarrer l’ensemble sur un PC sans rien installer, à part les données. Il est basé sur Fedora, la version communautaire du Linux de Red Hat. En ce qui concerne Mac OS X, signalons l’existence de l’outil gratuit HenWen (http://seiryu.home.comcast.net/henwen.html), une implémentation de Snort qui intègre sa propre interface graphique, ce qui permet de piloter le logiciel à partir du Mac sur lequel il est installé ; cette version reste néanmoins compatible avec les interfaces web BASE et ACID.
 Activeworx commerciale pour Snort une interface graphique complète et native pour Windows.
Snort est un logiciel Open Source dont l’entreprise SourceFire a la tutelle. Cette dernière ne se prive pas de le décliner en produits commerciaux, lesquels vont des solutions logicielles qui complètent l’outil de base aux modules matériels qui l’intègrent dans leur logique (il y a notamment un serveur « Defense Center »). À l’image de SourceFire, d’autres compagnies commercialisent des solutions « packagées » sur mesure : il en va par exemple ainsi de l’éditeur Activeworx, dont la suite Security Center comprend une interface graphique native pour Windows, de l’éditeur Aanval, qui offre une interface HTML bien plus belle et complète que celles de BASE et ACID, ou encore du constructeur Raritan qui intègre Snort au sein de plusieurs « appliances » de sécurité – des boîtiers fonctionnels à brancher sur le réseau. Il existe en vérité des quantités industrielles de déclinaisons ! Demandez à votre prestataire de service, il en a certainement une à son catalogue.
D’autres outils de sniffing
Tous les outils listés ci-dessous fonctionnent sur tous les systèmes. Rappelons que leur utilisation première consiste à analyser le réseau dans le but d’en optimiser le fonctionnement.
• Ngrep : un Tcpdump qui filtre ses résultats.
ngrep.sourceforge.net
• Tcpflow : un Tcpdump qui produit un résultat lisible. www.circlemud.org/~jelson/software/tcpflow/
• Ntop : statistiques graphiques de l’utilisation du réseau.
www.ntop.org
• EtherApe : statistiques graphiques de l’utilisation du réseau.
etherape.sourceforge.net
• Cheops : cartographie (GTK) du réseau. www.marko.net/cheops
|
Gestion des identités
Comment à la fois sécuriser et ouvrir le système d’information
Comment répondre aux impératifs d’ouverture du système d’information et aux exigences des réglementations en termes de sécurité et de traçabilité ? Mieux gérer les identités et les accès constitue aussi le moyen de rendre plus efficace le système d’information.
Les entreprises ont maintenant l’obligation de faire évoluer leur système d’information pour le met-tre en conformité avec les nouveaux cadres réglementaires locaux et internationaux, notamment en ce qui concerne la traçabilité des données utilisées. De plus, elles doivent aussi s’engager dans un processus d’ouverture de ces mêmes systèmes d’information vers les utilisateurs extérieurs. Dès le début de la décennie, la plupart des grands comptes ont lancé des études afin de voir comment répondre à de nouveaux impératifs de sécurité. Ces audits ont parfois mis en évidence des failles, notamment en ce qui concerne la gestion des identités et des accès. Concrètement, on constate une multiplication des comptes génériques ou des comptes fantômes, ainsi qu’un manque chronique de suivi des habilitations en cas d’évolution des fonctions de l’individu dans l’entreprise.
Hassan Maad, directeur général d’Evidian, filiale du groupe Bull spécialisée dans la gestion des identités et des accès, apporte des précisions : « Sur les versions précédentes du système de Microsoft, l’éditeur ne fournissait pas un mot de passe réseau. On était à l’époque de la gestion des utilisateurs et, par extension, on est arrivé à une partie administration que nous connaissons aujourd’hui dans les produits du marché en provenance des États-Unis. Il est venu se greffer ensuite l’effet 11-Septembre et la collision avec des scandales financiers retentissants. On s’est rendu compte que c’était le souk et qu’il fallait mettre en place des règles pour avoir la possibilité d’ouvrir le système à d’autres et de savoir qui accède à quoi ? L’année 2007 sera celle de la transparence avec la LSF, Bâle 2 et les données de santé. Il faut y ajouter la protection des données contre le vol d’identité qui est en constante augmentation».
Dans ce contexte, les entreprises ont constaté que la mise à niveau de leur système d’information passait une organisation nouvelle avec l’utilisation d’outils dédiés à la gestion des accès et des identités. Parallèlement, elles ont observé que l’installation d’un nouveau système d’habilitation ne peut être portée par les seuls responsables de la sécurité, mais qu’il s’agit d’un projet d’entreprise, impliquant l’ensemble des services afin de roder méthodes et nouveaux outils.
La plupart des applications informatiques nécessitent une gestion des utilisateurs à des fins d’allocation des ressources propres à chacune d’elles (comptes applicatifs, espaces disques, etc.), de sécurité et de droits d’accès, ainsi que de personnalisation des services en fonction des profils et des tâches imparties aux individus. Il est donc nécessaire de disposer d’une base d’utilisateurs et d’un service de gestion des comptes applicatifs, que ce soit pour gérer les utilisateurs d’un réseau local d’entreprise, les clients d’un site de commerce électronique, les extranets, les portails d’entreprise, les progiciels de gestion intégrés (PGI), les progiciels de gestion de la relation client (CRM), ou encore les solutions d’authentification à l’aide de PKI.
 Le token SecurID en situation avec un utilisateur mobile.
Qu’est-ce que la gestion des identités ?
Lorsqu’on parle de gestion des identités, on entend par là celle des utilisateurs d’un système d’information. Il s’agit de la gestion des accès aux applications informatiques auxquelles ils accèdent. Ces applications sont diverses et concernent aussi bien l’individu en tant qu’employé d’une entreprise, que client d’une autre. Un même individu pourra donc disposer de plusieurs identités en fonction du travail qu’il effectue.
L’entreprise, pour faire face à son développement doit ouvrir son système d’information vers l’extérieur, qu’il s’agisse des fournisseurs, des sous-traitants ou des clients, tout en étant en conformité avec les nouvelles réglementations, de traçabilité. On évoque et confond souvent la gestion physique des accès (contrôle des entrées de personnel) et le contrôle des identités pour l’accès au système d’information. Elle n’est pas en elle même trop complexe, mais elle doit impérativement s’inscrire dans une démarche plus large.
Authentication Authorization Accounting
Le contrôle d’accès à un système d’information est généralement étudié suivant le protocole AAA (Authentication Authorization Accounting). Cette première phase consiste à vérifier que l’utilisateur correspond bien à l’identité qui cherche à se connecter. Vient ensuite la phase d’autorisation. Elle consiste à vérifier que l’utilisateur maintenant authentifié dispose des droits nécessaires pour accéder au système. Pour lutter contre les usurpations de droits, il est souhaitable de suivre les accès aux ressources informatiques sensibles (heure de connexion, suivi des actions…).
Modes de contrôle d’accès
Le contrôle d’accès à une ressource du système d’information est exercé selon deux modes : le mode a priori qui consiste dans l’audit et la configuration des droits d’accès attribués aux utilisateurs (on parle de « Gestion des identités et des habilitations » ou « Identity & Access Management ») et le mode a posteriori qui consiste dans le contrôle des droits d’accès attribués aux utilisateurs au moment de l’accès au système.
Droits étendus
Il existe d’autres droits spéciaux, rendant possible une gestion plus poussée des permissions. On citera, par exemple le droit SUID, qui s’applique aux fichiers exécutables, il permet d’allouer temporairement à un utilisateur les droits du propriétaire du fichier, durant son exécution. Lorsque ce droit est positionné sur un répertoire, il interdit la suppression des fichiers qu’il contient à tout utilisateur autre que le propriétaire.
Authentification unique
L’authentification unique – Single Sign-On, ou SSO – est un système permettant à un utilisateur de ne procéder qu’à une seule authentification pour accéder à plusieurs applications informatiques – ou sites Web sécurisés. Cela permet de simplifier pour l’utilisateur la gestion de ses mots de passe.
Il existe trois grandes classes pour la mise en œuvre de systèmes d’authentification unique : les approches centralisées, les approches fédératives et les approches coopératives. Le principe de base de l’approche centralisée est de disposer d’une base de données globale de tous les utilisateurs.
Dans l’approche fédérative dont le système Liberty Alliance est un bon exemple, chaque service gère une partie des données d’un utilisateur (l’utilisateur peut donc disposer de plusieurs comptes), mais partage les informations dont il dispose sur l’utilisateur avec les services partenaires. Ce système à été développé pour répondre à un besoin de gestion décentralisée des utilisateurs, où chaque service partenaire désire conserver la maîtrise de sa propre sécurité.
Enfin, La vision coopérative part du principe que chaque utilisateur dépend d’une des entités partenaires. Ainsi, lorsqu’il cherche à accéder à un service du réseau, l’utilisateur est authentifié par le partenaire dont il dépend. Cela répond aux besoins de structures institutionnelles dans lesquelles les utilisateurs sont dépendants d’une entité (universités, laboratoires, administrations).
Normes et outils pour l’authentification unique
Différents protocoles ont été proposés pour échanger des informations liées à la sécurité. On retiendra SAML ; qui a été développé par le consortium OASIS et qui constitue un protocole ouvert ; WS-Fédération proposé par Microsoft, de son côté, constitue une solution concurrente; NuFw, basé sur des logiciels libres, permet la mise en place une solution indépendante du protocole.
D’autres solutions très solides existent comme :
• Kerberos qui est un protocole d’identification réseau créé au MIT. Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce principe renforce la sécurité du système et empêche que des personnes non autorisées interceptent les mots de passe des utilisateurs. L’ensemble repose sur des clés secrètes (chiffrement symétrique). Kerberos limite le nombre d’identifiants. Les identifications sont uniquement nécessaires pour l’obtention de nouveaux tickets d’accès au serveur de tickets.
• OpenID, quant à lui, est basé sur un système d’authentification décentralisé qui assure l’authentification unique. Il permet à un utilisateur de s’identifier auprès de plusieurs sites sans avoir à retenir un mot de passe pour chacun d’eux mais en utilisant à chaque fois le même identifiant OpenID. Chaque utilisateur est identifié par une URL.
Windows Live ID
Windows Live ID (anciennement .NET Passport et Microsoft Passport Network) est un service destiné à faciliter l’identification sur les sites Internet. Il permet, grâce à une unique adresse de messagerie et à un mot de passe, de se connecter sur tous les sites Web autorisés. C’est un système centralisé de gestion des authentifications.
NTLM
NTLM (NT Lan Manager) est un protocole d’identification utilisé dans diverses implémentations des protocoles réseau Microsoft et supporté par le « NTLMSSP » (Fournisseur de support de sécurité NT LM). Le NTLM est utilisé dans les systèmes de Microsoft comme un mécanisme de signature unique (single sign-on). Il utilise un mécanisme de « stimulation/réponse » (« challenge-response ») pour l’authentification, dans laquelle les clients sont capables de prouver leur identité sans envoyer un mot de passe au serveur.
 La biométrie est une méthode en vogue pour sécuriser les accès à des périphériques ou
des postes de travail.
Les annuaires LDAP et les outils spécialisés
Afin d’entreprendre une démarche cohérente, il est nécessaire de constituer un référentiel qui va contenir l’ensemble des informations partagées entre différentes applications. Ces informations vont être associées à un utilisateur. Elles vont contenir un ou plusieurs identifiants qui serviront d’index pour y accéder. La constitution de ce référentiel nécessite habituellement un annuaire, basé sur la technologie LDAP (Lightweight Directory Access Protocol). C’est un protocole permettant l’interrogation et la modification des services d’annuaire. Ce protocole repose sur le TCP/IP. Un annuaire LDAP respecte généralement le modèle X.500 édicté par l’UIT-T : c’est une structure arborescente dont chacun des nœuds est constitué d’attributs associés à leurs valeurs.
Un client entame une session LDAP en se connectant sur le serveur. Le client envoie ensuite des requêtes d’opération au serveur. Le serveur envoie des réponses en retour. Une méthode pour sécuriser les communications LDAP est d’utiliser un tunnel SSL. Cet usage est visible lors de l’utilisation d’URL commençant par « ldaps ».
Structure de l’annuaire
Les annuaires LDAP suivent le modèle X.500 : C’est un arbre d’entrées constitué par un ensemble d’attributs. Un attribut possède un nom, un type et une ou plusieurs valeurs. Les attributs sont définis dans des schémas. Chaque entrée a un identifiant unique, le Distinguished Name (DN). Il est constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de son parent. C’est une définition récursive.
La technologie LDAP constitue l’un des pivots de la normalisation et de l’authentification. Il est relativement aisé de programmer un module d’authentification utilisant la LDAP à partir d’un langage possédant une API LDAP. De plus en plus d’applications Web possèdent un module d’authentification prenant en charge la LDAP.
L’identification et l’authentification électronique
Ce service est l’un des principales utilisations de la gestion des identités. Il constitue le premier niveau de sécurité à mettre en place afin de contrôler l’accès aux ressources de l’entreprise. L’authentification consiste à s’assurer de l’identité de l’utilisateur à l’aide d’un mot de passe, mais aussi à l’aide d’autres moyens plus sécurisés, comme un certificat électronique, une carte à puce ou encore une signature biométrique (empreinte digitale, photo de l’iris, etc.).
Authentification forte
On considère que l’authentification forte est essentielle pour garantir le contrôle d’accès, le chiffrement, l’intégrité, l’audit.
L’authentification forte est une procédure d’authentification qui requiert la concaténation d’au moins deux éléments ou « facteurs » d’authentification qui sont globalement ce que l’utilisateur connaît (un mot de passe, un code NIP, une phrase secrète, etc.) et ce qu’il détient (carte magnétique, clé USB, PDA, carte à puce, etc., soit un « Authentifieur » ou « Token ») ou des informations de biométrie (empreinte digitale, empreinte rétinienne, structure osseuse du visage ou tout autre élément biométrique). À cela peut s’ajouter de la biométrie comportementale, telle que signature manuscrite, la reconnaissance de la voix…
Parmi les technologies d’authentification forte on citera également les « Authentifieurs » ou « Token » de type OTP. Ce type de « Token » est basé sur un secret partagé unique. Le « Token » contient le secret. Le serveur d’authentification contient le même secret. Grâce au partage de ce dénominateur commun, il est alors possible de générer des mots de passe à usage unique, ou One Time Password. Du fait que ce type de Token utilise un secret partagé il n’est pas possible d’assurer la non-répudiation. Certains Token peuvent être basés sur le temps. Ces Token sont définis comme une technologie dite synchrone. Par exemple, à chaque minute, ces Token affichent un nouveau « Token Code », le One Time Password (SecurID de la société RSA).
S’appuyant sur un jeton polyvalent, nCryptone et Inteligensa ont choisi une autre solution de token. L’authentificateur proposé diffère par le mode d’authentification, un mot de passe dynamique affiché sur un écran à l’instar de SecurID ou un mot de passe dynamique acoustique. Le produit propose en option des radiofréquences permettant une identification ou des paiements sans contact.
Outre la mise en conformité avec les législations, la mise en place de systèmes de sécurité élaborés ne doit pas être considérée par l’entreprise comme uniquement un poste de dépenses mais aussi comme un poste de profits. Le premier gain concerne les coûts de la gestion des habilitations. Si l’on travaille à « l’ancienne », c’est-à-dire manuellement, ce travail mobilise dans une grande entreprise plusieurs personnes à plein temps, alors qu’il peut être réduit à un demi poste. Le retour sur investissement est également très concret en ce qui concerne la diminution de la charge de travail pour le support aux utilisateurs.
|
|
|
|
|
|
|
|
|
|
|
|
| DotNetNuke® is copyright 2002-2010 by Perpetual Motion Interactive Systems Inc. |
|