Mon réseau d’entreprise
20.1 Quelques réflexions sur la sécurité
La sécurité en informatique et réseaux reste similaire à ce que les humains font depuis deux millions d’années. La dague coute toujours moins cher qu’une armure. Mais, si la police cherche les coupables, elle peut les trouver. Les petits délits et les très gros restent souvent impunis.
Le monde des transports est très concerné par la sécurité. Pour les avions, il est important de maintenir l’appareil en fonctionnement alors que pour les chemins de fer, la sécurité consiste à arrêter le train.
Pour un individu, il faut souvent plus dissuader les malfrats qu’empecher une agression. Ainsi, les antivols de motos sont conçus pour résister dix minutes. Dans le monde des réseaux, les matériels et logiciels privatifs constituent des cibles plus faciles et ajoutent une protection aux logiciels libres.
| D | système non sécurisé |
| C1 | Les utilisateurs peuvent protéger des données |
| C2 | la protection est plus fine qu’avec C1 |
| B1 | Protection Obligatoire (Mandatory Access Control) |
| Modèle de politique de sécurité informelle; Retrait | |
| des failles connues | |
| B2 | Protection structurée; Modèle de politique de sécurité |
| formel; identification des éléments critiques; | |
| implémentation vérifiée (source disponible) | |
| B3 | domaines de sécurité; spécification orientée sécurité |
| A1 | Validation par méthode formelle |
Tab. 20.1 : Classification des systèmes selon le Livre Orange.
Un crackage réussi repose sur les cinq P :
-
• Prospection (probe) ;
-
• Pénétration ;
-
• Persistance ;
-
• Propagation ;
-
• Paralysie.
Prospection : il s’agit de collecter des informations sur la cible. Pour cela, de nombreuses méthodes peuvent être envisagées.
Si l’accès physique à la cible est possible, alors c’est plus facile. Le personnel de nettoyage ou de gardiennage, particulièrement s’il est employé par une entreprise sous traitante est un vecteur très efficace. L’exemple des ambassade montre que les services d’espionnage infiltrent souvent les travailleurs engagés chez la cible. Le personnel de maintenance est aussi un bon vecteur.
L’exemple actuel du phishing montre bien que souvent les gens répondent aux questions posées fournissant ainsi des renseignemnts aux malfrats.
Pénétration : il faut s’introduire dans le système d’information de la victime.
Persistance : après s’être introduit une fois, il faut pouvoir revenir à la demande. La vulnérabilité précédente pourrait avoir été corrigée.
Propagation : il est plus facile de s’introduire sur un ordinateur depuis un autre ordinateur de la même organisation. Ils sont souvent intégrés dans le même système d’authentification. Il est donc aisé de passer d’une station à une autre et ainsi se constituer une banque de machines disponibles.
Il est souvent moins aisé de pouvoir passer d’une station de travail à un serveur. Néanmoins, les protection des serveurs sont plus souples contre les postes référencés. La corruption du poste autorisé à se connecter à un serveur fournit un accès à celui-ci. Il faudra peut être réaliser ensuite une augmentation de privilèges.
Le BYOD (Bring Your Own Device) fournit un vecteur d’entrée qui n’est pas administré par l’entreprise.
Paralysie : c’est l’action effective. Ce peut être un blocage du système ; l’utilisation massive de toutes les ressources (SPAM, par exemple) ; le chiffrement des données…Cela peut être plus grave, comme l’utilisation de cet machine pour commettre des crimes ou délits. L’utilisateur ou l’administrateur peuvent alors subir une action judiciaire.