Beruflich Dokumente
Kultur Dokumente
Chapitre 2 : L'INTERNET
2.1 Introduction
2.2 Politique de sécurité Internet
2.3 Les modes de raccordement sur l'Internet
2.4 Les services Internet les plus utilisés et les problèmes de sécurité associés
Chapitre 5 : Conclusion
B.1 L'authentification
B.2 Le filtrage de paquets
B.3 Les traces
B.4 Les techniques cryptographiques
AVANT-PROPOS
Le présent document est destiné à aider les administrations à utiliser l'Internet
dans un contexte sécurisé. À ce titre, il contient des recommandations et des
explications destinées d'une part à clarifier la terminologie, d'autre part à
apporter des connaissances de base sur le fonctionnement de l'Internet et sur
les principes de sécurité.
L'INTERNET
Introduction
L'Internet, souvent appelé réseau des réseaux, résulte en fait de la possibilité
d'interconnecter, à travers les différents réseaux de télécommunication
couvrant la planète, tous les systèmes informatiques - du plus simple
ordinateur personnel à la plus grosse configuration - dès lors qu'ils utilisent un
protocole commun: IPv41. Celui-ci permet d'une part aux machines de se
comprendre, d'autre part aux utilisateurs d'adresser leurs correspondants.
Le problème fondamental vient du fait que l'Internet (IP v4) n'a pas été conçu
pour assurer une bonne sécurité. Les problèmes les plus évidents sont les
suivants :
Il est facile d'écouter le trafic et de se faire passer pour quelqu'un d'autre : les
messages électroniques, les mots de passe, les fichiers peuvent être récupérés
et, s'ils ne sont pas chiffrés, immédiatement exploités.
Par une connexion directe (seul ou par l'intermédiaire d'un hôte sur lequel il
possède un compte utilisateur) ; dans ce cas il a une connexion permanente
(carte Ethernet, liaison France Telecom), une adresse IP fixe et a recours à un
fournisseur d'accès (RENATER, France Telecom...). C'est le type de
connexion utilisé par les entreprises, qui ont besoin d'un débit d'information
élevé.
Les services Internet les plus utilisés et les problèmes de sécurité associés
Si vous ouvrez un serveur, vous devez vous protéger contre les internautes qui
visitent le site Web. Inversement, si vous faites de la navigation, vous êtes
vulnérables à des attaques provenant des serveurs visités.
Cette menace consiste à passer outre le contrôle institué sur votre réseau local
par un firewall : un utilisateur du réseau peut, par exemple, se connecter
directement à l'Internet avec son propre modem relié à une ligne téléphonique
non surveillée. Avec l'avènement des modems numériques et des téléphones
portables munis de cartes PCMCIA, les connexions sauvages à l'Internet
deviennent difficiles à contrôler. Alors qu'il est possible de contrôler une ligne
analogique, le contrôle du flux d'une ligne RNIS sur un autocommutateur est
très difficile à réaliser en pratique. Les parades consistent essentiellement en
des mesures de sensibilisation et des mesures organisationnelles (contrôle des
locaux, des liaisons téléphoniques, des personnes).
Lorsque vous travaillez sur un ordinateur qui a une connexion permanente sur
l'Internet, des paquets IP d'autres utilisateurs peuvent être routés par cet
ordinateur. Il existe des outils permettant d'analyser, de filtrer et de stocker ces
paquets. Les "sniffers", programmes d'écoute espions, les utilisent. Le plus
souvent, un attaquant recherchera certaines informations dans les paquets, en
particulier les noms de comptes utilisateurs et mots de passe d'hôtes du réseau,
de façon à s'y introduire ultérieurement. Il existe des sites présentant un intérêt
particulier et qu'il convient de sécuriser : ainsi sur le réseau RENATER, une
bonne partie du trafic en direction des États-Unis passe par le site de l'INRIA.
L'écoute passive permet de lire toutes les données qui ne sont pas chiffrées ;
elle permet aussi d'intercepter les mots de passe.
Usurpation d'identité
Pour usurper l'identité d'un utilisateur, il suffit de connaître son identité et son
mot de passe, informations que l'on aura peut-être récupérées sur place, par
indiscrétion, ou par écoute du réseau. On peut aussi se connecter sur un site de
façon légale et essayer de trouver des vulnérabilités pour récupérer des mots de
passe, en particulier celui qui donne accès à tous les privilèges. Il faut donc
privilégier les mesures d'authentification fortes et sécuriser individuellement
tous les hôtes du site.
Détournement de site
Cette attaque redoutable est une forme d'usurpation d'identité. Dans ce cas,
c'est votre adresse Internet qui est usurpée au moyen d'une attaque sur le
serveur de noms DNS, soit en s'introduisant sur ce dernier et en modifiant ses
tables (votre nom correspondra désormais à une adresse IP autre que la vôtre),
soit en détournant une session. Le résultat peut être impressionnant : si par
exemple vous avez mis en place un site Web, les utilisateurs qui essaient de se
connecter se retrouvent sans le savoir sur un autre site avec tous les risques de
désinformation ou de perte d'image associés.
Saturation du réseau
PRINCIPES DE SÉCURITÉ
Que voulez-vous protéger ? exprimez vos besoins
Quand vous vous connectez sur l'Internet, vous mettez en jeu vos informations,
vos ressources, votre réputation et votre responsabilité juridique.
Vos informations
Les gens tendent à privilégier la confidentialité, mais il est bien souvent plus
important de s'assurer que personne ne peut modifier vos données, ce qui, en
dehors des cas triviaux, n'est pas toujours évident à déceler.
Vos ressources
Pas plus que vous ne souhaitez qu'on emprunte à votre insu votre véhicule pour
partir en vacances ou commettre un hold up, vous ne souhaitez que des intrus
n'utilisent vos ressources (ordinateurs, logiciels, noms d'hôtes...) pour effectuer
leurs travaux ou pour se livrer à des activités malveillantes, ou bien qu'ils vous
privent de l'accès à celles-ci en les rendant non opérationnelles (attaques par
virus, par saturation...). Il vous faut donc les protéger, ce qui n'est pas toujours
facile dans le cas des attaques par saturation.
Votre réputation
Votre réputation est clairement en jeu si l'on s'introduit sur votre site ou si l'on
modifie vos pages Web à votre insu, au vu et au su des utilisateurs ou de la
presse.
Goulet d'étranglement
C'est le principe utilisé par un firewall : forcer les utilisateurs, donc les
attaquants à passer par un goulet d'étranglement de façon à concentrer vos
défenses. N'oubliez pas cependant de vous assurer qu'il n'y a pas de possibilité
de contournement.
• En premier lieu, avant de choisir une solution toute faite, définissez vos
besoins, précisez les menaces que vous voulez contrer pour en déduire
les objectifs de sécurité. Le SCSSI recommande pour cela d'utiliser la
méthode d'analyse de risques EBIOS6. Ensuite seulement cherchez
comment mettre en oeuvre les fonctions de sécurité.
• Sécurisez votre réseau de façon centralisée au moyen d'un firewall. Ne
négligez pas pour autant la sécurité de chacun des hôtes. L'architecture
d'un firewall doit être soigneusement élaborée en fonction de vos
objectifs établis à la suite d'une analyse de risques : le firewall doit
mettre en oeuvre les contre-mesures nécessaires pour contrer les
menaces retenues, il doit être soigneusement configuré afin d'éviter
l'introduction de vulnérabilités. N'oubliez pas qu'une fois votre
architecture de sécurité installée, il faut la gérer activement : un firewall
doit être configuré, maintenu, amélioré en permanence et les traces qu'il
génère, exploitées.
• Mettez en oeuvre le principe du moindre privilège : supprimez sur votre
firewall et si possible sur vos serveurs, les comptes utilisateurs, enlevez
tous les compilateurs, éditeurs et autres outils, les protocoles
particulièrement vulnérables aux attaques tels que tftp7 ou finger8, et
plus généralement tout logiciel non indispensable.
• Mettez en oeuvre des techniques d'authentification forte, faute de quoi
vous ne pourrez avoir confiance ni dans l'efficacité du contrôle d'accès
aux ressources, ni dans les traces, ni dans le filtrage, puisque vous ne
pourrez pas garantir l'authenticité des adresses et des identités des sites
et utilisateurs. Il convient donc de ne pas utiliser des mots de passe
réutilisables.
• Mettez en oeuvre des techniques de chiffrement appropriées pour
garantir l'intégrité et la confidentialité de vos informations. Assurez-
vous qu'ils correspondent à vos besoins fonctionnels et satisfont aux
spécifications et normes concernant en particulier les algorithmes et les
paramètres utilisés. Il est important de bien adapter les moyens de
chiffrement aux besoins, la génération et la gestion sécurisée des clés
de chiffrement comprenant un moyen de récupérer les clés en cas de
perte. Assurez-vous par ailleurs que les moyens de chiffrement que
vous envisagez de mettre en place sont conformes à la loi française sur
la cryptologie.
• Utilisez des réseaux privés virtuels (VPN) chiffrés pour relier des
réseaux locaux sécurisés (connexion d'un firewall à un autre) par
l'intermédiaire de réseaux publics non sûrs. De préférence, le VPN
utilisera un tunnel chiffrant au moyen de boîtiers de chiffrement.
• Soyez en mesure de détecter les attaques éventuelles le plus rapidement
possible. Vous devez pour cela déceler rapidement des comportements
anormaux ou suspects, si possible automatiquement en exploitant les
traces (un firewall exploitant les traces et correctement configuré
pourra donner l'alarme). Le temps de réaction est en fait essentiel, ne
serait-ce que pour couper l'accès à votre site par discrétion et pour
contrer la menace. La préparation d'un scénario de réponse aux attaques
les plus probables permettra d'éviter la panique et de gagner du temps.
• Ne vous fiez pas aux logiciels récupérés sur des sites Internet, ceux-ci
n'offrant aucune garantie de conformité aux spécifications et pouvant
contenir virus ou chevaux de Troie.
• Sensibilisez et formez régulièrement les utilisateurs d'Internet ; il est
nécessaire que la sensibilisation leur permette de comprendre et
d'accepter des mesures de sécurité préconisées même au détriment de la
convivialité et que la formation leur permette de les mettre en oeuvre
facilement.
• Si vous devez acheter un firewall, ou d'autres produits de sécurité,
choisissez des produits évalués conformes à vos besoins (en premier
lieu les produits certifiés dans le cadre du schéma français d'évaluation
et de certification, puis parmi les produits certifiés reconnus en France,
et à défaut parmi les autres produits évalués). Étant donné la
complexité des firewall, l'évaluation constitue le meilleur moyen
d'avoir l'assurance qu'un produit fait ce qu'il prétend faire de manière
efficace. Pour cela, procurez vous le rapport de certification. Attention,
toutes les évaluations ne sont pas équivalentes : vérifiez dans le rapport
de certification si les fonctionnalités évaluées correspondent à vos
besoins et si le niveau d'évaluation et la résistance des mécanismes sont
adaptés ; n'hésitez pas à contacter le SCSSI.
• Si vous devez faire développer un firewall ou d'autres produits de
sécurité correspondant à des besoins spécifiques, la meilleure solution
est d'exprimer vos exigences sous la forme d'un profil de protection ou
PP (concept développé dans les Critères Communs pour l'évaluation de
la sécurité des TI). Un PP définit un ensemble d'objectifs et d'exigences
de sécurité, indépendant de l'implémentation, pour une catégorie de
produits qui couvrent des besoins de sécurité communs à plusieurs
utilisateurs. Le concept de PP permet le développement de standards
fonctionnels et constitue une aide à la formulation du cahier des
charges.
• Plusieurs PP ont déjà été élaborés et même évalués selon les CC, et en
particulier deux PP pour firewall dont les résumés sont joints en
annexe, un PP pour infrastructure de gestion de clés, un PP pour outils
de sécurisation de messages. Ces PP peuvent être utilisés et affinés
comme base de développement d'un produit de sécurité, qui, s'il
satisfait aux exigences exprimées, se prêtera plus facilement à une
évaluation.
• Consultez les avis diffusés régulièrement par le CERT9 dont la mission
est d'alerter rapidement les usagers sur les problèmes apparus sur
l'Internet.
• Le firewall doit être placé à l'endroit stratégique où le réseau local est connecté à
l'Internet, ce qui permet de concentrer les mesures de sécurité en un seul point.
• Il est difficile de trouver sur le marché une solution clés en main. Un firewall doit être
paramétré et souvent adapté par l'administrateur. De plus, un firewall ne permet pas de
contrer toutes les menaces, en particulier les menaces liées au détournement de
session. Enfin et surtout, il ne dispense pas de mettre en oeuvre une politique de
sécurité sur votre réseau.
• Il est recommandé, après avoir soigneusement établi les contre-mesures à mettre en
oeuvre en fonction des menaces, d'utiliser un ou plusieurs firewall de façon à filtrer les
paquets et à installer les proxy (cf annexe A, page 4) pour les services sélectionnés. Le
firewall devra être configuré de façon à masquer de l'extérieur toutes les adresses
internes du réseau local (traduction d'adresses).
• L'administrateur du firewall et son remplaçant devront être parfaitement qualifiés et
formés, leurs connaissances mises à jour périodiquement. L'accès au firewall sera
réservé aux seuls administrateurs et les opérations d'administration ne pourront pas
être conduites par accès distant.
Les recommandations ci-dessous concernent les serveurs HTTP, destinés à la diffusion des
pages au format HTML10 des sites Web. Ce type de serveur héberge des codes qui viennent
s'exécuter sur la station de l'utilisateur qui se connecte au site (applets JAVA, contrôles
ActiveX, codes JavaScript) ainsi que des codes qui s'exécutent sur le serveur lui-même
(scripts CGI). Pour assurer l'intégrité du serveur, on veillera à ce que seuls les utilisateurs
autorisés y accèdent s'il s'agit d'un serveur privé, à ce que les pages ne soient pas modifiées et
à ce que les programmes ne fassent que ce qu'on leur demande. Pour cela :
• les navigateurs Internet seront utilisés soit sur des postes isolés ne contenant aucune
information sensible, soit n'accéderont à l'Internet que par l'intermédiaire du firewall
sur lequel sera installé le proxy HTTP (cf annexe A),
• contrôlez périodiquement l'intégrité de vos pages (vous pouvez utiliser à cet effet les
techniques cryptographiques qui permettent de créer des signatures caractéristiques
pour une page ou un ensemble de pages),
• si vous utilisez sur les serveurs de votre site, ce qui est probable, des programmes de
scripts CGI, sachez qu'ils constituent une cible de choix pour les attaquants. Pour
réduire leurs vulnérabilités, il convient de suivre certaines règles d'écriture, telles que
par exemple l'interdiction d'utiliser des méta-caractères (tel le caractère | bien connu
des utilisateurs Unix), et de procéder à des tests appropriés.
• Il en est de même pour les codes exécutables écrits en JAVA, VBScript, JavaScript ou
ActiveX, associés aux pages Web des serveurs. Ces codes exécutables mobiles font
courir des risques de sécurité importants à l'hôte qui les télécharge : l'hôte et même le
réseau local sur lequel il est connecté peuvent être compromis et servir de base pour
attaquer d'autres sites. Ces risques sont décrits de façon plus détaillée dans l'annexe D.
De plus, des recommandations sont fournies dans la section consacrée au contrôle des
logiciels importés. Dans tous les cas où l'hôte contient un serveur quelconque ou des
données sensibles, il est recommandé de désactiver ces codes sur le navigateur ou au
minimum, dans le cas des applets Java, de ne les autoriser que pour des connexions à
des sites de confiance et de les désactiver immédiatement après.
• La plupart des sites Web sont ouverts en permanence, y compris en fin de semaine.
Prévoyez d'assurer une télémaintenance, ou un mécanisme automatique de reprise et si
possible d'alarme... il arrive bien souvent que les sites soient attaqués le vendredi soir.
Attention, la télémaintenance doit être sécurisée pour ne pas induire de nouvelles
vulnérabilités.
• Protégez votre serveur avec un système d'exploitation qui met en oeuvre des droits
d'accès aux fichiers (Unix, Windows NT) : il assurera une meilleure protection que des
systèmes qui ne permettent pas de le faire tels que Windows 3.X ou Windows 95 ou
98. Si vous voulez mettre une oeuvre une politique de sécurité multi-niveaux
(coexistence d'informations classifiées secret, confidentiel, diffusion restreinte...
devant être gérées par des utilisateurs habilités à différents niveaux) utilisez un
système d'exploitation sécurisé (par exemple un Unix sécurisé) s'exécutant sur une
station de travail CMW (Compartmented Mode Workstation).
• de vérifier que la version de votre logiciel de messagerie est récente et inclut les
corrections aux failles de sécurité qui ont été identifiées,
• de désactiver l'exécution et l'interprétation automatique des pièces jointes,
• éventuellement d'interdire les extensions MIME au prix d'une perte de quelques
fonctionnalités (utilisation de caractères autres que US-ASCII, utilisation de signatures
numériques...), ou de les exploiter sur une station isolée,
• d'utiliser un autre service messagerie que celui de votre navigateur Internet (en effet ce
dernier permet d'utiliser toutes les fonctionnalités dangereuses liées à l'utilisation de
HTML pouvant être contenues dans les messages : on pourra donc sans le savoir
exécuter une applet Java importée depuis un message), et plus généralement de faire
de la navigation en utilisant un autre disque ou un autre poste que celui où s'effectue la
messagerie.
• Pour rechercher des informations accessibles publiquement sur le réseau Internet à des
fins d'intelligence économique, il vous faudra consulter des serveurs Web, des
serveurs FTP, éventuellement participer à des forums thématiques. Cela implique
d'utiliser un navigateur Web, des moteurs de recherche qui localisent les informations
par mots-clé et un serveur NNTP. Dans un contexte stratégique ou économique, vous
devrez vous prémunir contre le risque que l'on découvre quel type d'information vous
recherchez et contre le risque de désinformation.
• Le SCSSI recommande de sensibiliser et de former les utilisateurs et, si nécessaire, de
rendre vos requêtes anonymes et de les masquer parmi de nombreuses autres requêtes
pour éviter que leur connaissance ne révèle le but de la recherche.
• Il convient de se protéger des données que l'on importe sur son propre site, mais
également de vérifier que les fichiers et outils logiciels que l'on met à disposition des
utilisateurs sur son site Web ne sont pas contaminés. Dans ce cas, vérifiez leur origine,
leur intégrité et essayez de détecter s'ils contiennent des virus.
• Dans le cas des données importées (fichiers, logiciels d'application, jeux, code de
correction ou "patch", images...), il est recommandé de les récupérer sur une station de
travail isolée qui fera office de sas de décontamination. On pourra ainsi remettre les
données dans un format lisible (décompacter, décoder, déchiffrer), les soumettre à un
ou plusieurs anti-virus, les lire, et dans le cas de programmes exécutables, donc
particulièrement dangereux, les exécuter localement de façon à éviter de compromettre
les hôtes sur votre réseau. Les applications qui mettent en oeuvre des commandes
"macros", telles que Word, Excel ou même la fonction d'impression Postscript
constituent la cible favorite pour introduire des macro virus : il suffit alors que
l'application considérée ouvre le fichier Word, Excel ou Postscript pour activer le
macro virus.
• Prenons aussi l'exemple des "patches" que l'on trouve gratuitement sur l'Internet sur le
site de Microsoft, qu'un utilisateur désire télécharger. Si le site a été détourné ou si un
attaquant a introduit à la place du patch un code de sa composition, l'utilisateur aura
téléchargé et appliqué sans le savoir un cheval de Troie. Il est donc recommandé dans
ce cas de se procurer officiellement les mises à jour sur support cédérom (qu'il faudra
payer, mais la sécurité est à ce prix).
• La politique de sécurité à mettre en place pour se prémunir des virus doit comporter
les aspects prévention, détection et correction (suppression du virus et réinstallation de
l'environnement avant infection).
• La politique de prévention comprend l'intervention d'un responsable de sécurité (en
général l'administrateur du site) pour approuver au préalable l'installation de tout
nouveau logiciel, pour vérifier périodiquement les configurations de tous les
ordinateurs du site, pour interdire de télécharger des logiciels à partir d'Internet et pour
interdire l'utilisation de la commande "get" du protocole de transfert de fichiers FTP.
De plus ce responsable centralisera l'achat, l'installation et la mise à jour de
programmes anti-virus, formera les utilisateurs et fera appliquer la politique de
sécurité ; il mettra à disposition des utilisateurs une ou des stations de travail isolées,
pour leur permettre d'ouvrir les fichiers et autres pièces jointes reçues par la
messagerie en sécurité.
• Certains virus peuvent être détectés par un programme anti-virus qui recherche leurs
signatures à partir d'une base de données de signatures des virus connus. Il faudra bien
sûr mettre à jour régulièrement cette base. Cependant cette méthode ne s'applique pas
à tous les virus (par exemple aux virus polymorphes qui se modifient en se
propageant). D'autres méthodes de détection pourront être rajoutées.
• Tout ordinateur infecté par un virus sera immédiatement déconnecté du réseau et ne
sera reconnecté que lorsque le virus aura été enlevé de façon certaine, soit par un
programme anti-virus, soit en réinstallant entièrement la configuration à partir d'une
base sûre.
• Les codes exécutables mobiles tels que les codes Java ou ActiveX, même si les
développeurs respectifs (Sun Microsystems et Microsoft) ont mis en place un modèle
de sécurité sont une source de vulnérabilités importante. Ces codes sont téléchargés
sur l'ordinateur d'un utilisateur qui accède un serveur Web par exemple sous forme
d'applications exécutables (applet). L'interdiction pure et simple de télécharger des
applet par le firewall est possible, mais conduit dans la pratique à l'impossibilité de
naviguer sur la plupart des serveurs. En effet, de nombreux serveurs font effectuer les
traitements par les navigateurs des utilisateurs, au moyen des applet. Enfin, certains
moteurs de recherche utilisent aussi les applet.
• Les applet Java sont exécutées par un logiciel appelé machine Java virtuelle (JVM :
Java Virtual Machine), dans un environnement théoriquement sécurisé, une enceinte
sûre baptisée "sandbox". D'autre part, aussi bien ActiveX que Java offrent la
possibilité à l'utilisateur de vérifier que les applet téléchargées sont bien originaires
d'un développeur "de confiance" (vérification par signature numérique) ; l'utilisateur
peut alors autoriser ou non l'exécution. Le problème est que ces politiques de sécurité
sont encore insuffisantes : des vulnérabilités dans Java et ActiveX sont exploitées par
les pirates pour réaliser des attaques et la confiance dans les développeurs a certaines
limites. Enfin, la puissance de ces langages est telle (ouverture de fichiers, droits
d'écriture...) que les attaques peuvent se révéler très dangereuses.
• Il convient de considérer que les postes sur lesquels sont effectuées les recherches
d'information sont vulnérables. En conséquence, il est donc recommandé d'utiliser des
postes de travail dédiés et de les isoler pour éviter toute prolifération des attaques ; de
plus ils ne doivent pas contenir de données sensibles.
• L'utilisation des ordinateurs portables, qui sont aujourd'hui très performants et d'un
coût abordable, a considérablement augmenté, que ce soit sur le lieu de travail ou en
déplacement. Outre les vulnérabilités inhérentes aux accès distants (connexion du
portable sur la station de travail), à l'importation de données (transfert par
disquettes...), l'utilisation de portables est la source de vulnérabilités supplémentaires.
En effet, les ordinateurs portables sont souvent l'objet de vol et d'intrusion et leur
utilisation dans des lieux publics peut provoquer des compromissions de données et de
mots de passe : si l'ordinateur portable est volé ou bien si un attaquant dispose d'un
minimum de temps, seul le chiffrement des données du disque, à condition que la clé
ne se trouve pas en clair sur celui-ci, offre une certaine protection.
• Par ailleurs, l'utilisation d'un portable pour se connecter sur l'Internet, par une liaison
PPP sur le réseau téléphonique par exemple, l'expose à des vulnérabilités telles qu'il
est en général possible pour un attaquant d'accéder aux données contenues sur le
disque. Il est possible de retrouver l'adresse IP du portable et d'exploiter les
nombreuses vulnérabilités des systèmes d'exploitation utilisés, qu'il s'agisse de
Windows 95 (fonction de partage de fichiers par exemple qui, lorsqu'elle est activée,
offre un accès partagé aux fichiers), Windows NT ou Linux.
• Il est donc recommandé de ne pas emmener de portables contenant des données
sensibles (mots de passe de connexion, clés de chiffrement, données utilisateurs
sensibles) et a fortiori classifiées dans un environnement non sécurisé. Pour cela, la
meilleure solution consiste à utiliser des disques durs amovibles qui permettent de
travailler dans des contextes différents. Il est recommandé de plus de limiter au
maximum son utilisation dans des lieux publics, de ne pas laisser son portable sans
surveillance, de prendre toutes les précautions concernant les virus, de rapporter tout
vol ou tentative d'intrusion à sa hiérarchie afin de prendre les mesures qui s'imposent
en fonction des données compromises.
Conclusion
Dès lors que le besoin ne peut être satisfait par un poste isolé et dédié ne
contenant pas de données sensibles, sécuriser complètement un site Internet est
une tâche pratiquement impossible. Il ne saurait y avoir une liste exhaustive de
solutions, dans la mesure où les problèmes sont divers et où les attaques
changent constamment. Une meilleure connaissance de l'Internet et des
menaces associées facilite l'expression des objectifs de sécurité, et permet de
sélectionner, parmi les recommandations proposées dans ce document, celles
qui sont le plus adaptées à votre cas. Vous pourrez ainsi dialoguer avec les
experts et contrôler l'application des mesures de sécurité. Si vous avez un
problème à résoudre, utilisez la voie fonctionnelle de la SSI mise en place au
sein de chaque ministère. Votre FSSI de tutelle saisira le SCSSI s'il ne peut lui-
même vous apporter une solution.
Quelques définitions
L'authentification
S'authentifier, pour une personne, c'est prouver que l'on est ce que l'on prétend
être. Les mécanismes d'authentification sont basés sur l'un des critères suivants
: quelque chose que l'on sait (un mot de passe), quelque chose que l'on détient
(une carte à puce, une calculette contenant des secrets), quelque chose que l'on
est (une caractéristique biométrique : empreintes...). L'authentification
constitue la base du contrôle d'accès aux ressources (autorisation) et le contrôle
des actions individuelles (audit).
Le filtrage de paquets
Les informations utilisées pour filtrer des paquets IP sont : l'adresse IP source,
l'adresse IP destination, le type de protocole qui s'exécute sur IP (TCP, UDP...
et même IP). On peut également filtrer les informations contenues dans les en-
têtes d'autres protocoles tels que TCP.
Les traces
Enregistrer des traces vous permet trois choses importantes : détecter des
comportements inhabituels et donner des alarmes, étudier le type d'attaque afin
de mieux la contrer et enfin exhiber des preuves des actions des utilisateurs et
des agresseurs. Pour que les traces soient utiles, il faut qu'elles aient été bien
choisies, qu'elles soient exploitées et qu'elles ne puissent être modifiées.
Les algorithmes à clé publique sont utilisés pour résoudre les problèmes
d'authentification. En effet, tout message chiffré avec la clé privée de A permet
de s'assurer que le message a bien été généré par A, donc d'authentifier A
(Utilisation d'algorithme à clé publique pour l'authentification) : il suffit pour
cela d'utiliser la clé publique associée à la clé privée de A et de déchiffrer avec
succès le message) .
Vous pouvez aussi chiffrer au niveau réseau, c'est-à-dire entre les sites source
et destination, mais il faudra alors déterminer quelle partie du paquet IP
chiffrer, à quel endroit chiffrer et déchiffrer (avant ou après le filtrage ?) et
surtout comment résoudre le problème de la distribution des clés. La principale
technique utilisée pour le chiffrement au niveau IP est l'encapsulation des
données : le paquet IP est chiffré en entier et un nouvel en-tête IP est rajouté en
clair pour le routage ; le paquet peut alors être déchiffré chez l'hôte de
destination : on parle dans ce cas de tunnel IP. Le chiffrement au niveau
réseau, entre hôtes, est transparent pour les applications utilisateurs ;
cependant, il traite de la même façon tous les paquets IP envoyés à la même
adresse, quelle que soit leur origine (TCP, UDP...).
Tunnel IP
Vous pouvez chiffrer au niveau des applications, qui doivent alors supporter le
même chiffrement côté client et côté serveur. Cette technique très pratique
permet d'offrir une protection de bout en bout, d'individu à individu. Ainsi S-
HTTP permet des communications sécurisées entre client et serveur http, en
supportant plusieurs mécanismes cryptographiques. Il convient également de
mentionner les protocoles SET et C-SET22 destinés à sécuriser les transactions
électroniques et en particulier assurer l'authentification des consommateurs,
des commerçants et des banques, la sécurité des moyens de paiement et
l'intégrité des transactions.
Les deux PP dont un bref résumé est donné ci-dessous ont été élaborés par le
Centre d'électronique de l'armement, pour les besoins de la DGA. Ils peuvent
être obtenus par simple demande à cet organisme ou bien au SCSSI où ils sont
enregistrés dans le cadre du schéma d'évaluation et de certification. Ces PP
expriment les besoins d'une certaine catégorie d'utilisateurs, en l'occurrence
ceux du ministère de la défense, mais peuvent parfaitement convenir à de
nombreux autres utilisateurs du secteur gouvernemental ou du secteur privé.
Les développeurs de firewall qui ont ou projettent de réaliser des produits
conformément aux exigences exprimées dans un PP pourront faire évaluer
leurs produits plus facilement et ainsi procurer l'assurance qu'ils répondent à
ces exigences.
Exemple d'attaque
Ces codes exécutables ont pu être conçus dans une intention malveillante pour
accéder à la base de données locale de la station de travail et si l'utilisateur est
connecté à un réseau local sur son site, au serveur de fichiers du réseau. Les
données sensibles ainsi récupérées peuvent alors être envoyées à l'extérieur
vers un hôte distant. De tels codes peuvent aussi être utilisés pour mener des
attaques plus sophistiquées de déni de service ou de détournement de site (en
détournant le DNS).
Même si certains problèmes ont été corrigés par les constructeurs, il est
prudent de désactiver les applets Java sur votre navigateur, ou du moins de ne
les activer que pour des connexions sur des sites de confiance.
JavaScript
JavaScript est un langage de commande interprété créé par Netscape. Bien que
ne pouvant pas servir à développer des applications autonomes (à la différence
de Java), il peut être facilement utilisé et intégré dans des documents HTML.
Le code JavaScript est surtout utilisé sous cette forme pour améliorer
l'affichage des pages Web (boutons, boîtes de dialogue, zones de texte...), et
peut réagir en fonction des actions de l'utilisateur (mouvement de la souris ou
frappe sur le clavier par exemple). Bien que, lorsqu'il est intégré dans un
document HTML, il n'ait pas directement accès aux ressources systèmes (ce
qui n'est pas le cas quand il est transmis en pièces-jointes d'un message par
exemple), JavaScript peut être utilisé pour mener des attaques pour voler des
fichiers et des informations telles que la liste des sites visités ou bien pour
court-circuiter la sécurité d'un firewall qui essaierait par exemple de bloquer
des applets Java.