Sécurité informatique...menaces et protections

5 Avril 2010 , Rédigé par Loviso Publié dans #Informatique

«L’internet, on le lit souvent, est une jungle, un lieu plein de dangers sournois, tapis et prêts à frapper fort, péniblement et durablement.On aura intérêt à ne pas s’attarder sur cette banalité car la jungle est l’endroit où l’on doit obligatoirement vivre. En revanche, tout comme pour les MST (maladies sexuellement transmissibles),
être ignare, ne pas vouloir apprécier les dangers, persister à les ignorer sont des attitudes blâmables.
Ce qui est moins évident est qu’un ordinateur est un assemblage hétéroclite, historiquement
enchevêtré, de matériels et de logiciels dont les innombrables interactions sont au-delà de l’humainement appréhendable.Un ordinateur est tout autant une jungle et cette jungle s’étend au fil de ses expositions successives à Internet.
Comme dans tant d’autres domaines sociétaux, la « sécurité » est réputée être la solution à ces problèmes!»[1] p.5

« La sécurité informatique c'est l'ensemble des moyens mis en oeuvre pour minimiser la vulnérabilité d'un système contre des menaces accidentelles ou intentionnelles.»[2] p.3

Différences entre accidents et malveillances

En anglais : deux termes différents
a) Sécurité = " Safety"
Protection de systèmes informatiques contre les accidents dus à l'environnement,les défauts du système.

b) Sécurité = "Security"
Protection des systèmes informatiques contre des actions malveillantes intentionnelles.[3] p.2

Windows, un environnement fertile aux virus (*)

Précisons immédiatement que les virus sont l'apanage de l'environnement Windows qui a toujours été la principale cible des créateurs de virus. En effet, vous ne trouverez pratiquement jamais de virus ou de spyware dans les environnements Unix et apparentés tels que Mac OS X ou Linux. Pourquoi ?

Ce sont les vulnérablités du système d'exploitation gérant l'ordinateur qui attirent les virus, et non pas le hardware, la plate-forme Intel ou Mac PPC par exemple. Ainsi, le fait d'installer un microprocesseur Intel dans un Mac ne va pas le rendre plus vulnérable aux virus et autres actions malveillantes.

Le modèle de sécurité Unix, adopté par Mac OS X, est conçu par défaut afin de protéger le système contre les menaces visant habituellement les autres plates-formes. On peut affirmer que Mac OS X a été, dès l’origine, développé avec la sécurité en tête, tout en sachant bien que le "risque zéro" n'existe pas.

Et de fait, il y a bien quelques virus qui s'attaquent aux Mac, tels que les "proof-of-concept", des virus d'essai comme "OSX.Macarena" mais ils ne sont pas vraiment là pour détruire (leur virulence est limitée à leur répertoire d'installation et ils s'effacent facilement), mais pour apporter la preuve aux concepteurs qu'il est possible de contaminer ces environnements.

(*) Pour tout lire : http://www.astrosurf.com/luxorion/cybercriminalite.htm

EXemples de menaces malveillantes à caractère informatique:

Déguisement

Pour rentrer dans un système on essaye de piéger des usagers et de se faire prendre pour quelqu'un d'autre:
Exemple: simulation d'interface système sur écran,simulation de terminal à carte bancaire...[3] p.17

Répétition ( "replay")

Espionnage d'une interface, d'une voie de communication (téléphonique, réseau local) pour capter des opérations (même cryptées elles peuvent être utilisables) Répétition de l'opération pour obtenir une fraude.
Exemple: Plusieurs fois la même opération de créditement d'un compte bancaire.[3] p.17

Analyse de trafic

On observe le trafic de messages échangés pour en déduire des informations sur les décisions de quelqu'un.
G Florin, S Natkin CNAM- Cedric 18
Exemples: Bourse : augmentation des transactions sur une place financière.
Militaire : le début de concentration entraîne un accroissement de trafic important.[3] p.17+18

Inférence

On obtient des informations confidentielles non divulguables à partir d'un faisceau de questions autorisées (et d'un raisonnement visant à faire ressortir l'information).
Exemple:
- Soit le fichier d'un hôpital la loi informatique et liberté interdit la divulgation d'informations personnelles (sur les maladies).

mais autorise des opérations statistiques (améliorer les connaissances
épidémiologiques)
=> pas de possibilité de sélection sur le nom, le numéro de sec, l'adresse, ..etc. mais questions à caractère statistiques autorisées.[3] p.19

Répudiation ( déni de service)

Un usager d'un service (informatique) affirme n'avoir pas :
*émis un ordre qui le gène a posteriori (commande, virement, ....)

*reçu un ordre (idem) [3] p.19

Modification de messages, de données

Une personne non autorisée, un usager ou même un agent autorisé s'attribuent des avantages illicites en modifiant un fichier, un message .[3] p.19

Infections informatiques à caractère unique

Bombe logique ou cheval de Troie:
- Dans un programme normal on introduit un comportement illicite
- mis en action par une condition de déclenchement ou trappe (la condition, le moment ou l'on bascule d'un comportement normal à anormal)
Exemples: licenciement de l'auteur du programme [3] p.23

Infections auto reproductrices

Il s'agit d'une infection informatique simple qui contient de plus une partie de recopie d'elle même
afin d'en assurer la propagation
Virus : à action brutale
Ver : à action lente (détruisant progressivement les ressources d'un systèmes).[3] p.23

Sécurisation de base

Pour Linux

Evitez d’avoir l’option failsafe au démarrage proposé par Lilo. Cette option peut permettre
d’obtenir les accès root (sans mot de passe) pour la maintenance du système.

Pour Windows

Le système de fichier NTFS permet une sécurisation accrue par rapport aux systèmes de fichier
FAT et FAT 32. Si vos machines Windows fonctionnent avec un système FAT, passez en NTFS. Je
déconseille fortement d’utiliserWindows 95, 98 et Me, le niveau de sécurité offert par ces
systèmes en natif n’étant pas assez élevé.

Les risques [2]p.13-16

Les chevaux de Troie

Le principe du «Cheval de Troie» est facile à comprendre. Un programme ou un code malveillant est intégré à une application par ajout ou par modification de son code. Ainsi lors de l’exécution de ce programme inoffensif, le bout de code malveillant pourra exécuter des commandes spécifiques (récupération de fichiers de mot de passe, altération du système, etc.) à l’insu de l’utilisateur.

Comment s’en protéger ?

La plupart des antivirus peuvent détecter les chevaux de Troie. Néanmoins, comparer la signature numérique accompagnant les fichiers (cela se fait par un calcul reposant sur un algorithme de chiffrement appliqué à l’ensemble du fichier) avec la sienne permet de savoir directement si l’on est infecté.

Les backdoors présentes dans les logiciels

Parfois, certains logiciels (messagerie, utilitaires systèmes) peuvent contenir des backdoors,
c’est-à-dire que, pour certaines commandes suivies d’arguments particuliers ou avec un mot de passe bien défini, le logiciel peut avoir un comportement différent (permettre à l’utilisateur de devenir root, renvoyer un shell système à l’utilisateur, etc.).
Ces "trappes" sont inclues directement dans le code du logiciel. Certains développeurs sont
soucieux de posséder un accès sur tous les systèmes utilisant leurs logiciels. Par exemple, Ken Thompson, l’un des pères d’UNIX, avoue avoir modifié l’application /bin/login en permettant l’accès direct au système par la saisie d’un mot de passe précompilé en dur. Thompson pouvait ainsi visiter tous les systèmes utilisant son application modifiée. Parfois, certains pirates diffusent des applications infestées de backdoors.

Comment s’en protéger ?

Il convient de télécharger ses applications sur le site du distributeur ou du programmeur. Utiliser des serveurs de téléchargement non liés à l’auteur de l’application peut se réléver dangereux.
Il est aussi recommandé de vérifier les checksums s’il sont donnés par le développeur.
Il est aussi bon de consulter des listes de diffusion comme bugtraq pour savoir si la version de
logiciel que vous utilisez ne comporte pas de backdoors.

Les Rootkits

Le rootkit est un programme permettant d’automatiser la dissimulation et l’effacement des traces d’un pirate sur une machine. L’objectif d’un rootkit est de modifier les commandes permettant d’administrer le système, de cacher les ports ouverts par le pirate.
Les premiers rootkits étaient assez basiques, ils modifiaient juste les commandes ls, ps, netstat.
L’administrateur pouvait détecter ces modifications sur les logiciels concernés. Alors une seconde génération de rootkits apparut. Il faut savoir que des commandes comme ps, ls ... font appels à des bibliotheques partagées pour fonctionner. Les nouveaux rootkits modifiaient donc le code de ces bibliothèques pour modifier le comportement de ces commandes à l’avantage du pirate.
Encore une fois, ceci était détectable. Donc une troisième géneration de rootkits est née afin de modifier directement le comportement du noyau, par le biais de modules chargés en mémoire (LKM). C’est à l’heure actuelle la derniere génération.

Comment s’en protéger ?

1. Les checksums. Une base de données de checksums sur les différents fichiers système peut déjà constituer une bonne parade. Je vous conseille d’effectuer des checksums à la fin d’une installation sur les différents fichiers comme ls, ps, stat ifconfig, etc. et sur les différentes bibliothèques partagées.
Cette base de donnée devrait être stockée sur un CDROM ou tout autre support non réinscriptible.
2. Compiler les programmes vitaux en statique. Comme je l’ai dit précédemment, certaines commandes font appels à des librairies partagées et des utilitaires comme "md5sum" (qui sert à faire des checksums) sous Linux font appels à des librairies partagées. D’où son comportement pourrait être modifié indirectement par un rootkit attaquant les librairies partagées. Pour éviter ce genre de désagréement, compilez une partie des programmes
vitaux en statique, ainsi vous disposerez d’une trousse de secours en cas d’infection par rootkits.
Bien sûr, pour compiler les programmes vitaux en statique, faut-il encore disposer d’un OS qui permette d’accéder aux sources de ces programmes vitaux...
3. Chkrootkit. Chkrootkit (pour CHecK ROOTKIT) vous permet de détecter la présence d’un rootkit, il fonctionne sous Linux (FreeBsd...) et est téléchargeable librement sur
www.chkrootkit.org.
4. Compilez votre noyau en statique. Vous éviterez ainsi le chargement de modules externes.

Le virus

Le virus est un programme dont le seul but est de consommer ou de paralyser des ressources système. Le virus s’autoduplique pour mieux infecter le système, il se propage en infectant tour à tour les fichiers. Les effets d’une contamination varient : fichiers effacés, disque dur formaté, saturation des disques, modification du MBR, etc.
La grande majorité d’entre eux existent sur les plates-formes Microsoft, ils infectent en particulier les fichiers COM ou EXE. De plus, de nouvelles formes sont apparues comme les macro-virus qui attaquent les fichiers de données (word ou excel).
Les systèmes UNIX ne sont pas épargnés ! Les administrateurs UNIX doivent faire face à des virus comme Winux. Néanmoins, la gestion des droits sous UNIX se révèle être un facteur limitant pour la propagation de virus.
Les virus sont de plus en plus évolués, ils peuvent s’automodifier pour échapper à une éventuelle détection (virus polymorphes). D’autres types peuvent tenter de leurrer le système en s’installant dans des secteurs défecteux ou non utilisés (virus furtifs) ...

Comment s’en protéger ?

Les anti-virus commerciaux comme Norton Antivirus ou McAfee VirusScan sont de bons outils pour traquer les virus. Toutefois, il convient de les mettre régulièrement à jour pour profiter pleinement de leurs capacités.

Les vers

Les vers sont du même acabit que les virus, sauf qu’ils n’utilisent pas nécessairement un fichier pour se propager. Ils sont aussi capables de se dupliquer et de se déplacer au travers d’un réseau informatique. Les vers utilisent différents supports pour se propager.
Les vers simples utiliseront des failles propres à certains logiciels (exemple du ver de Morris en 1988 qui paralysa une grande partie de l’Internet).
Les macro-vers utiliseront les pièces jointes contenant des documents bureautiques infectés
(exemple du ver Nimda).
Les vers d’email sont contenus dans une pièce jointe comprenant un code malicieux exécuté
automatiquement par le logiciel de courrier électronique ou manuellement par l’utilisateur.

Comment s’en protéger ?

Comme pour les virus, l’antivirus se révèle être une parade efficace.

les outils indispensables pour la protection

Le pare-feu firewall [2]p.9

Les pare-feux (firewalls), les tunnels et les systèmes de détection d’intrusion aux niveaux hôte
et/ou réseau (IDS : Intrusion Detection System/NDIS : Network Intrusion Detection System) sont des
outils indispensables pour détecter, parer ou éviter de nombreuses attaques.

La configuration d’un pare-feu peut s’avérer être un sujet très difficile à traiter. Cette configuration est surtout établie en fonction de vos besoins personnels.

Pour bien configurer son pare-feu, il suffit de bien respecter les conseils suivants :
• Essayez de limiter l’accès à votre réseau à des utilisateurs connus utilisant une adresse IP statique. Vous pourrez ainsi rejeter toutes les autres requêtes venant d’utilisateurs utilisant une adresse IP non autorisée. Vous effectuez de la sorte un filtrage au niveau IP.
• Fermez tous les ports en écoute sur les différents serveurs et ouvrez seulement ceux dont vous avez besoin.
• Filtrez ces ports, c’est à dire rejetez toutes les autres requêtes sur les autres ports que ceux en écoute.
• Empêchez toutes les connexions sortantes sur des services non autorisés. Pour cela, il suffit de définir un nombre limité de services auxquels les serveurs et les clients peuvent accéder (mail, ftp, web...). Ensuite, il faut configurer le firewall pour rejeter les connexions depuis l’intérieur vers l’extérieur sur des services différant de ceux définis.

Les Antivirus

Le choix d'un antivirus reste une décision personnelle, en fonction des goûts de chacun.
Un comparatif entre les quatre principaux antivirus gratuits (AntiVir, Avast, AVG, Microsoft Security Essentials) est disponible ici et ici, il vous aidera à faire votre choix. Mais aucun antivirus (qu'il soit gratuit ou payant) ne protègera votre ordinateur à 100%, loin de là !

Voici une liste d'antivirus gratuits:

Les anti-spyware

Les antispywares gratuits vous permettent de protéger votre pc contre les logiciels espions, et cela sans débourser un copec! Voici une liste de ces antispywares à télécharger.

SpyBot - Search & Destroy

Ad-Aware Free

Spyware Terminator

Super Anti-Spyware Free Edition

Sources

[1] Sécurité informatique Principes et méthode à l’usage des DSI, RSSI et administrateurs 2eme edition L a u r e n t B l o c h C h r i s t o p h e Wo l f h u g e l Préfaces de Christian Queinnec et Hervé Schauer Avec la contribution de Nat Makarévitch