Contacter l'auteur / Contact the author

Recherche dans ce site / Search in this site

 

Prévention du piratage informatique

Les menaces venant d'Internet (III)

Parmi les moyens permettant d'accès à un ordinateur à distance, Internet occupe une place à part. A la fois outil et média, ce support convivial, reliant plusieurs milliards de personnes à travers le monde, s'interconnecte aussi facilement avec d'autres supports de communication tels que la radio grâve aux liaisons RF, Bluetooth, Wi-Fi, etc., lui offrant un potentiel d'actions quasiment illimité : travail à domicile, e-commerce, télécommunications, loisir, télécommande, traçabilité en temp réel, mais aussi espionnage, piratage, etc.

Par nature, Internet est vulnérable aux attaques des pirates. En effet, soumis à aucun contrôle, le protocole TCP/IP permet d'interconnecter des réseaux publics et privés hétérogènes.

On peut estimer qu'en permanence - à chaque seconde - des centaines de millions d'ordinateurs communiquent les uns avec les autres par Internet, et autant de personnes s'échangeant des informations à titre privé ou professionnel. La majorité du trafic s'établit à des fins commerciales. 

Avec un nombre si élevé d'utilisateurs reliés à Internet dont un pourcentage agit par malveillance, le risque d'une cyberattaque sous quelque forme que ce soit est potentiellement très élevé. 

L'identification des biens à protéger, l'évaluation des risques, l'analyse de leurs impacts potentiels et la définition des mesures de sécurité ainsi que leur niveau de détail  dépendent des types de menaces et vulnérabilités. 

Il existe 4 principales sources ou causes potentielles de menaces :

- Humaines : s'il s'agit d'un membre du personnel interne, d'un externe, d'un partenaire professionnel, d'un fournisseur de service, d'un sous-traitant, etc. 

- Systèmes : s'il s'agit d'un nouveau matériel, d'un logiciel, d'une évolution logicielle, d'une nouvelle connexion système, d'une base de données, etc

- Processus :  s'il s'agit d'une modification dans le flux d'un traitement, de reengineering, de l'accessibilité, d'un nouvelle fonction, d'une nouvelle activité

- Extérieures : tout évènement extérieur à l'entreprise, y compris les phénomènes naturels.

Pour définir au mieux les stratégies et les moyens de réponses, le personnel de la sécurité informatique travaille en étroite collaboration avec les responables du département informatique, de gestion de risque (risk manager), de la conformité (la compliance), de l'audit (auditeur IT), des ressources humaines et en accord avec la direction (Board).

A titre privé, si vous n'êtes pas membre d'un club ou adepte des forums d'informatique, vous serez donc seul à jouer tous ces rôles. Il est donc utile de vous informer soit sur les forums soit auprès de votre fournisseur d'accès (son aide est toutefois limitée) ou encore auprès d'une société experte en sécurité informatique.

Avant de décrire les moyens de protections, voyons comment va procéder un pirate pour s'attaquer à un ordinateur distant.

En essayant de pénétrer dans un système informatique à distance, le pirate va conduire son attaque de manière soit passive soit active. Les deux types d'attaques nécessitent des protections différentes mais complémentaires.

 A tester : IP2Location - Mon-ip

Whois Lookup - DNSstuff - Who-Hosts

IP address

Vous êtes localisé !

(l'icône est visible si vous avez une connexion à Internet active) 

L'attaque passive

- Le premier type d'attaque passive est l'analyse du réseau. 

Le pirate procède systématiquement et méthodiquement, cherchant à dresser un profil complet de la structure de la sécurité informatique du réseau cible. Grâce à différents outils et techniques, il va rassembler des données sur l'organisation de la société, les alias, les fonctions, les adresses e-mails internes, les éventuels gateways et firewalls.

Le pirate va ensuite s'intéresser aux périphériques et ordinateurs situés à l'entrée du réseau ou en bout de ligne et offrant potentiellement des vulnérabilités, des serveurs qui ne seraient pas sécurisés, etc. 

Quand il aura identifié sa cible, le pirate va scanner les ports du système pour déterminer quels services et système d'exploitation sont installés, relevant au passage les "trap doors" et autres vulnérabilités qu'il essayera ensuite d'exploiter.

- Le second type d'attaque consiste à effectuer des écoutes indiscrètes, qu'il s'agisse d'intercepter des données échangées avec le monde extérieur par Wi-Fi ou serveur RAS/NAS, du contenu des e-mails, des mots de passe non cryptés des stations distantes voire même des touches du clavier relevées en temps réel quand le pirate a pu installer un mouchard (Troyen ou cookies) sur un ordinateur du réseau cible. Dans le pire des cas, le pirate est capable de vider un compte en banque ou de compromettre la confidentialité d'informations sensibles pouvant impacter la réputation d'une société ou d'un individu.

Mais en restant connecté trop longtemps sur un serveur à scanner les ports et les services disponibles ou à tester les différents mots de passe, le pirate sait qu'il risque d'être détecté par le système de détection d'instrusion (IDS). Il va donc faire des pauses régulières pour éviter de dépasser les seuils qui pourraient déclencher une alarme. On peut donc déjà supposer que la tentative d'intrusion sera surnoise et graduelle, voire périodiquement interrompue afin que le pirate ne soit pas identifiable. C'est ici que les experts de la sécurité informatique devront mettre toute leur expérience à profit pour détecter les tentatives ou alarmes suspectes qui méritent plus d'attention.

L'attaque active

Si le pirate ne parvient pas entrer dans le système par la voie classique en utilisant des codes d'accès (userid/mot de passe) valides ou s'il dispose de suffisamment d'information pour lancer une attaque contre une cible, il peut exploiter des méthodes de pénétrations ou d'intrusions qu'on appelle des attaques actives. Parmi les plus connues, citons :

- La "force brutale" : cela consiste à lancer une attaque massive, utilisant par exemple des outils de cracking de mot de passe, cryptés ou non, jusqu'à ce que le système accepte une combinaison, permettant au pirate d'accéder à l'ordinateur ou au compte du client et d'effectuer toutes les opérations malveillantes qu'il souhaite.

Ce type de piratage représente environ 25 % des attaques malveillantes, en particulier sur les routeurs, que ce soit via les tentatives SSH ou MySQL.

A ce propos, soulignons que les systèmes de sécurité informatique exigeants une authentification forte à deux facteurs (un mot de passe et un code TAN ou un identifiant biométrique) comme le font les banques et certains sites de haute sécurité sont bien plus sûrs que la plupart des sites webmarchands ou de services financiers comme PayPal dont les comptes clients ne sont protégés que par un seul mot de passe au choix du client. Heureusement, PayPal dispose d'un second niveau de protection grâce à des systèmes de détection d'intrusion (IDS, voir plus bas) qui surveillent toute activité anormale sur les comptes. Si cela n'empêchera jamais un pirate d'accéder à un compte sécurisé, ils limitent en tous cas leurs activités (et rassurez-vous, PayPal rembourse dans les 24 heures les clients victimes d'un piratage).

A voir : Attaques malicieuses par type, service et pays, Atlas Arbor

Nombre d'attaques malveillantes perpétrées en 24 heures par pays d'origine un jour ordinaire de mars 2015. Plus de 60 % des attaques proviennent de Corée du Sud, de Chine et des Etats-Unis. La majorité des pirates soit 48.5 % exploitent le service TCP/5900 (scanning d'activité sur les réseaux VNC), 17 % le TCP/22 (tentatives SSH par la force brute), 10.3 % le TCP/80 (http), 5 % le TCP/3544 (teredo) et 4.2 % le TCP/3306 (tentatives mysql par la force brute). En cas d'abus, faites une requête WHOIS sur les IP concernées et envoyez les logs au service abuse de l'opérateur ou de l'hébergeur (via Who-Hosts) indiqué en demandant qu'une action soit conduite contre le pirate. S'il réside dans votre pays, contactez la cellule cybercriminalité de la police. Document Atlas Arbor adapté par l'auteur.

- Le "Denial of Service" (DoS) : par "service" on entend ceux visibles sur l'ordinateur, par exemple dans le "Gestionnaire de tâches" sous Windows tels que DHCP, Netman, WebClient, Crypsvc, NetLogon, etc.

Le déni de service est une erreur qui se produit lorsqu'un pirate travaillant par Internet inonde un serveur avec des données ou des requêtes qui nécessitent un traitement par un service. C'est par exemple le cas lorsqu'un pirate effectue par Internet des milliers de "ping" TCP ou de broadcast UDP d'une taille supérieur à 65 KB et sans flag de fragmentation sur un serveur cible ou qui envoie de nombreux packets ICMP fragmentés (le protocole véhiculant les messages de contrôle et d'erreurs) sur ce même serveur. La machine est tellement sollicitée de messages qu'elle rend pour ainsi dire l'âme, incapable d'effectuer sa fonction et affiche une erreur "Denial of Service"; le service est interrompu.

Pour une entreprise, privée ou publique, le risque d'une attaque DoS n'est pas tant de voir un pirate accéder à un serveur ou une base de données que de voir ses fonctions interrompues durant une période prolongée. En effet, il est très frustant et financièrement très pénalisant pour une entreprise de ne pas honorer un service de commandes ou d'ordres boursiers effectués par Internet. Avec un tel serveur indisponible, l'entreprise victime du pirate peut perdre ses clients et sa réputation.

Le "denial of service" est l'attaque la plus simple et très souvent utilisée par les pirates pour simplement "ennuyer" leur victime, comme ce fut le cas en juillet 2009 aux Etats-Unis et en Corée qui furent victimes d'attaques DoS massives durant plusieurs jours.

Notons que Microsoft propose des utilitaires pour tester les ports et le routage réseau au moyen de ping et autres requêtes TCP/UDP.

- Le "ping de la mort" (ping of death) : le pirate envoie des paquets ICMP (Internet Control Message Protocol) de grandes tailles et fragmentés provoquant une accumulation de piles TCP/IP qui finit par crasher le serveur.

A tester : Port scan - The Cable Guy (MS TechNet)

Scanning du port TCP 445 (celui du trafic Server Message Block ou SMB encore appelé CIFS, très utilisé dans les réseaux Windows et donc à risque) du serveur du site Atlas consacré à la sécurité informatique. Sur base d'une référence (baseline), les pics d'activité peuvent révéler une attaque malveillante liée à une vulnérabilité du système, dans ce cas-ci l'exécution de code malveillant à distance sur les sytèmes Windows ainsi que l'annonçait Microsoft en 2008. Dans cet exemple et malgré les apparences pour un oeil non exercé, il n'y avait pas de tentative d'intrusion. Document Atlas Arbor.

- La "goutte d'eau" (tear drop) : à l'image de celle qui fait déborder le vase, le pirate envoie la première et la deuxième partie d'un paquet TCP dans des fragments IP différents et se chevauchant, provoquant un crash du serveur.

- La modification des messages : il s'agit de l'une des attaques actives les plus destructrices. Elle consiste à capturer un message et y effectuer des changements non autorisés, des suppressions, des changements de séquences ou à retarder sa transmission. Effectuée sur des transactions bancaires, cela peut avoir des conséquences financières catastrophiques quand il s'agit par exemple d'ordres de bourses pour des fonds dont la cut-off est à heure fixe. Pour le client, le manque à gagner sur les plus-values éventuelles ou les pertes qu'entraîneraient un ordre de vente plutôt qu'un ordre d'achat peuvent s'élever à des dizaines de millions d'euros par transaction piratée.

- La tromperie ou la mascarade : cela consiste à tromper le destinataire sur son identité. Une méthode consiste à attaquer les attributs d'authentification des messages transitant sur le réseau ou sur Internet.

- Le "war dialing" ou pénétration par les lignes téléphoniques : le pirate exploite par "social engineering" ou écoute indiscrète (grâce à des outils de scanning des modems ou smartphnes) les numéros de téléphones d'accès aux centraux téléphoniques digitaux (PBX alias Private Branch Exchanges) ou aux serveurs RAS (serveurs authentifiant les utilisateurs distants) afin d'accéder au système sous une identité usurpée.

- le "Man in the Middle" ou l'homme au milieu : l'imposteur ou le pirate se connecte au réseau de l'entreprise ou du particulier en exploitant une vulnérabilité ou  en utilisant un système non protégé (routeur Wi-Fi présentant une vulnérabilité, ordinateur avec émetteur Wi-Fi sans mot de passe ou non crypté, serveur acceptant les accès anonymes, etc.). Le pirate injecte du code (une commande SQL dans le champ du mot de passe par exemple si le système comprend ce langage) ou des programmes (JavaScripts, chevaux de Troie) qui interceptent l'identifiant (pseudonyme ou UserID) et le mot de passe de l'utilisateur et tout autre code TAN (Transaction Authentication Number) qu'il utliserait. Muni de ces informations secrètes, le pirate dispose de tous les accès pour accéder aux données confidentielles, y compris pour se connecter via ce relai piraté au système bancaire en ligne du client.

A lire : Des routeurs privés victimes de cyberpirates en Pologne (sur le blog, 2014)

A gauche, deux types de générateurs de code TAN aléatoires utilisés notamment par les services bancaires en ligne (les indictions sont fictives). La compromission des codes d'accès offre une voie royale pour pirater les infrastructures informatiques, même sécurisées. A droite, exemple de piratage d'un système e-banking à partir du routeur Wi-Fi d'un particulier offrant une faille de sécurité (vulnérabilité, accès anonyme autorisé, etc.). Documents T.Lombry et CERT.

- L'"e-mail spoofing" : il prend différentes formes mais le résultat est toujours identiqu. La victime reçoit un e-mail qui semble provenir d'une source sûre avec laquelle elle est parfois en relation alors qu'elle est émise par un usurpateur. Ce pirate vise à forcer l'utilisateur à effectuer une commande dommageable ou à transmettre des informations sensibles comme des codes d'accès. 

L'exemple typique est un message soi-disant émis par votre banque avec son entête, etc, vous demandant de lui envoyer une copie de votre fichier de configuration ou un administrateur vous demandant de changer de mot de passe pour un autre bien déterminé, vous menaçant de suspendre votre compte si vous ne le faites pas...

- Le "phishing" : déjà évoqué dans le "social engineering", le pirate allant tout simplement à la pêche aux informations. Il suffit qu'il tombe sur une personne naïve voire motivée par l'argent et le tour est joué.

La liste des cyberattaques est longue...

A lire : Centre de Sécurité TechNet, Microsoft

Patch, articles et bulletins

MS-ISAC Cyber Security Advisories - ZATAZ

Les concepts de sécurité informatique et d'évaluation des risques et leurs relations.

Parades proactives et passives

Pour lutter contre les cyberpirates qui menacent en permanence nos données informatiques (et par voie de conséquence parfois la réputation d'une société), il existe deux types de parades : la proactive et la passive. Les deux solutions doivent toujours être implémentées pour garantir un maximum de protection.

- Les parades proactives anticipent les attaques et réduisent les risques potentiels.

Il s'agit des systèmes de contrôle d'accès physiques des personnes aux bâtiments, aux salles informatiques et autres serveurs ainsi que les systèmes de contrôle des accès logiques aux ressources informatiques. Cela comprend les listes de contrôle d'accès du personnel (contrôle obligatoire ou discrétionnaire), les cartes d'accès, les clés magnétiques, les sas de sécurité, les protections anti-vols ou anti-effraction, les profils de sécurité sur les serveurs d'authentification, les systèmes biométriques, ainsi que tous les systèmes de protection informatique placés sur le périmètre du réseau ou à l'extrémité des lignes ouvertes sur le monde extérieur (firewall, IDS, honeypot et autre DMZ ou serveur bastion).

- Les parades passives où la victime réagit pendant ou après avoir été attaquée.

Il s'agit de tous les dispositifs et contrôles qui alertent ou déclenchent des actions lorsque les détecteurs signalent un événement dépassant le seuil de tolérance ou une erreur. L'exemple le plus simple est le gardien de sécurité qui arrête l'individu à la réception car il ne présente pas de carte d'accès valable ou le logiciel anti-virus qui bloque une tentative d'intrusion ou supprime un fichier contaminé.

Afin d'optimiser la protection des biens informatiques, ceux-ci peuvent être regroupés en 4 couches par référence au modèle OSI : 

- Réseaux

- Plates-formes (système d'exploitation ou OS)

- Bases de données

- Applications.

Ce concept de couche permet aux administrateurs de la sécurité informatique de mieux cerner les risques, de définir des actions ciblées et d'assurer un meilleur contrôle en fonction du rôle (usage) et de l'importance du bien dans l'infrastucture réseau. Ainsi, les protections placées sur les protocoles ou sur l'OS seront plus insidieuses et plus discrètes que celles placées sur des bases de données et des applications qui sont à la portée de tout utilisateur.

Les protections réseaux et applicatives

En se connectant à Internet, vous devez savoir que sans protection votre ordinateur risque d'être infecté par un virus en l'espace de quelques minutes. Grâce à des virus (worms) et autres scripts contaminés, votre ordinateur peut également se transformer à votre insu en "PC zombie", devenant sans même que vous vous en rendiez compte, membre d'un réseau Botnet underground d'ordinateur pirates qui, le jour venu, réalisera son action malveillante.

Document Gouv.fr

Pour prévenir cette éventualité et réduire toute menace venant du monde extérieur et notamment d'Internet, une protection informatique efficace doit se résumer au minimum aux éléments de sécurité suivants :

L'ordinateur sécurisé

La première mesure à prendre est d'utiliser un ordinateur ou un serveur équipé d'un système d'exploitation sur lequel sont installées toutes les mises à jour et options de sécurité. Avantage, les "patches" et autre "Service pack" tiennent compte des bugs connues ainsi que des dernières vulnérabilités du système d'exploitation. Il faut également installer un contrôle d'accès efficace (voir page précédente).

Il faut ensuite supprimer ou protéger les logiciels rendant l'ordinateur vulnérable et modifier les paramètres système, notamment restreindre les droits des comptes utilisateurs via des polices ainsi que fermer les ports réseaux utilisés par défaut (HTTP sur le port 80, FTP sur le port 21, TCP sur le 135 notamment, etc). Le but est de réduire voire de fermer les accès inutiles pour ne garder que le stricte nécessaire.

Le routeur firewall

Un routeur est un périphérique informatique, un ordinateur gérant le transfert ou routage des données (paquets IS de nos jours) entre deux systèmes, généralement entre deux réseaux ou entre des ordinateurs (réseau domestique) et le monde extérieur (Internet). Il peut également servir de passerelle (bridge) entre deux réseaux d'architectures différentes.

Les routers modernes supportent le protocole sécurisé IP v6, la voix et la téléphonie sur IP (VoIP, ToIP) et les connexions Wi-Fi. Leur table de routage permet de gérer (ouvrir ou bloquer)  les ports réseaux utilisés par les différentes applications du client (HTTP, FTP, etc).

Un routeur firewall (routeur pare-feu) dont les règles sont bien définies permet de filtrer (screening) les paquets de données IP venant ou allant vers Internet, autorisant ou refusant certains accès. Similaire à un système ACL (Access Control List), il autorise les échanges directs de données entre systèmes internes et externes, et n'offre de ce fait pas toutes les garanties de protection contre les menaces extérieures.

La plupart des firewalls sont de ce type et opèrent au niveau de la couche réseau (couche 3 du modèle OSI). Ils sont donc incapables de bloquer des attaques au niveau applicatif (couches 5 à 7 comme par exemple les attaques SQL ou d'éviter les overflow des buffers). Il ne supporte pas non plus le concept d'authentification forte des utilisateurs.

De ce fait, parmi ses désavantages, mal configuré le routeur firewall est vulnérable aux attaques suivantes :

- Les attaques encapsulées (mode tunnel) dans des services autorisés (HTTP, FTP, SMTP, etc.)

- Les attaques  "IP spoofing" : le pirate simule l'adresse IP d'un serveur de confiance

- Le source routing : un pirate peut toujours définir une route d'accès alternative qui évite le firewall

- Les attaques par paquets fragmentés : le firewall examinant l'entête des paquets, le pirate fragmente les paquets IP supposant que si le firewall examine la première séquence et la laisse passer, il laissera passer les suivantes sans les examiner.

Installé au niveau de la couche réseau, si le routeur est compromis, s'il n'existe pas d'autres protections, il y a de fortes chances que le pirate puisse accéder à l'ensemble du système. Il est donc nécessaire de disposer en complément d'autres moyens de protections, d'un moyen sophistiqué d'authentification des utilisateurs et de surveiller les tentatives d'intrusion. A titre privé comme professionnel, cela passe par des moyens fonctionnant cette fois sur la couche applicative.

Le firewall applicatif

Un firewall applicatif filtre les flux d'informations entre les systèmes internes et externes au niveau de la couche applicative du modèle OSI mais n'autorise pas l'échange direct de paquets de données. Il offre donc une meilleure protection que les routeurs firewall. Proposé sous forme de logiciel, le firewall applicatif s'installe sur les systèmes d'exploitation Windows, Mac OS X, Linux, etc.

Il existe deux modèles de firewall :

- le firewall gateway : également appelé gateway applicatif, il dispose d'un proxy par service. Il vérifie les paquets IP (couche 3) et, dans le cas d'Internet, notamment le port 80 (couche 4) ainsi que les commandes http (couches 5 et 7).

- le firewall applicatif (circuit) : plus efficace, il opère au niveau applicatif, de la couche TCP et UDP (couche 4), là où les sessions de l'utilisateur sont validées, généralement à travers un seul proxy ou programme générique, avant l'ouverture de la connexion.

A gauche, l'interface du pare-feu (firewall) applicatif et des autres protections proposées en standard avec Windows Vista (2007). A droite, l'interface équivalent de Windows 7 (2009).

Pour améliorer la sécurité des ordinateurs, on peut également utiliser un firewall applicatif configuré comme "proxy server". Concrètement, dans un réseau, quand un utilisateur interne veut accéder à Internet, le proxy server prend le relai et interroge le serveur Internet et renvoit ensuite l'information à l'utilisateur. Il va ouvrir deux connexions, une allant du serveur externe vers le proxy, l'autre allant du proxy vers le serveur interne.

En servant d'intermédiaire, le proxy server assure la sécurité en vérifiant le contenu du programme lancé par le service concerné (FTP, Telnet, etc), le modifiant et le sécurisant pour éliminer les vulnérabilités connues. Comme tout système, il peut également tracer tout le trafic entre Internet et le réseau interne.

Enfin, pour les webmasters notamment dont les serveurs webs sont directement reliés à Internet, notons que le firewall applicatif exploite le concept de "bastion" qui permet de gérer les requêtes entrantes par FTP ou Internet.

Dans cette configuration, le "bastion" est constitué d'un ordinateur durci, dont les moyens de sécurité sont renforcés contre les attaques. En pratique, si le firewall placé au point d'entrée extérieur du réseau est compromis, le serveur bastion sera toujours en mesure de bloquer l'attaquant, laissant le réseau interne à l'abri du danger. En contrepartie, aucun ordinateur du réseau interne ne pourra recevoir directement des requêtes d'Internet, offrant un niveau de sécurité en couches tout à fait acceptable.

Concernant l'installation, les firewalls peuvent être implémentés selon deux topologies : un routeur firewall en entrée assurant le filtrage suivi par un ordinateur bastion servant de proxy aux services ou utiliser une "zone démilitarisée" (DMZ) qui consiste en deux routeurs firewall et un bastion. Les utilisateurs extérieurs pourront seulement accéder au bastion et aux services proxies qu'il supporte.

Le firewall présente malgré tout certains désavantages :

- Il peut offrir un faux sentiment sécurité, l'administrateur pensant qu'il ne doit pas installer d'autres mesures de sécurité (contre les virus, contre le vol, etc)

- Un pirate peut également éviter le firewall si le réseau ou l'ordinateur cible est accessible par une liaison téléphonique (PBX, serveur RAS). Dans ce cas le pirate utilisera un modem et les services du fournisseur d'accès. Il est donc impératif de contrôler l'usage éventuel des modems dans un réseau équipé de firewalls. 

- Mal configuré, il peut autoriser des services connus pour leur vulnérabilité et offrir une voie d'accès royale aux pirates

- Le rôle du firewall peut-être mal compris par son administrateur qui, croyant disposer d'un firewall applicatif et d'une protection complète, ne dispose en fait que d'un routeur assurant le filtrage du trafic.

- La revue des logs de sécurité comme l'application des policies (stratégies) peuvent ne pas être appliquées ou vérifiées de manière régulière.

A titre professionnel, trois autre systèmes viennent compléter cette protection :

Le Système de Détection d'Intrusion (IDS)

Un autre élément de la sécurité informatique est l'IDS. Ce dispositif, bien que rarement utilisé à titre privé, travaille en conjonction avec un routeur et un firewall.

Moins connu du public, l'IDS est une solution généralement logicielle qui analyse les comportements inhabituels sur le réseau. Il protège autant les ressources internes de l'extérieur que les abus provenant de l'intérieur.

Les IDS fonctionnent sur base de l'un des trois modèles de diagnostics suivants :

- Par signature : l'IDS travaille sur base de modes d'intrusions. Les comportements des intrus identifiés sont stockés sous forme de signatures (à l'image des signatures des virus).

- Statistiques :  l'IDS se base sur une définition préétablie et compréhensible du comportement attendu de l'intrus

- Réseaux neuronaux : l'IDS surveille le comportement général de l'activité et du trafic sur le réseau et en crée une base de données. Semblable au modèle statistique, il s'en différencie par sa faculté d'auto-apprentissage.

L'IDS travaille en arrière-plan et notifie l'administrateur quand il détecte une menace. Il existe deux grandes catégories d'IDS :

- L'IDS réseau : il identifie les attaques sur le réseau interne. Le dispositif se place entre Internet et le firewall afin de détecter toutes les tentatives d'attaques, qu'elles aient ou non pénétrés jusqu'au firewall. Si l'IDS est placé entre le firewall et le réseau interne, il détectera uniquement les intrusions. 

On comprendra qu'un IDS ne se substitue pas au firewall car il ne bloque pas le trafic; il assure un travail complémentaire à celui du firewall.

- L'IDS système (host-based) : c'est un IDS configuré spécialement pour surveiller certaines ressources du système d'exploitation et alerter en cas d'attaque. Il peut par exemple détecter une modification dans un exécutable, la suppression de fichiers ou une tentative d'utilisation d'une commande système.

Tous les IDS disposent d'agents responsables de collecter les données sur les ressources qu'ils surveillent. Elles peuvent être consultées sous forme de datagrammes (paquets réseau), d'historiques (log), de traces, etc. Ils disposent également d'analyseurs dont le rôle est de recevoir les données des agents et de déterminer le type d'activité intrusive.

Désavantage, les IDS peuvent détecter des "faux positifs", l'équivalent de fausses alarmes. Les responsables de la sécurité informatique doivent donc mettre en place des contrôles complémentaires et notamment procéder au "tuning" des IDS et mettre en place des procédures de gestion des incidents (analyse des processus, etc).

Enfin, parmi les limitations des IDS, il ne peuvent pas agir vis-à-vis des faiblesses suivantes :

- Une vulnérabilité au niveau applicatif

- Les manquements dans la définition des policies (stratégies)

- Les backdoors (utilisées à des fin de debugging notamment) dans les applications

- Les faiblesses dans les schémas d'identification et d'authentification

- Les faiblesses du modèle statistique.

Le Système de Prévention d'Intrusion (IPS)

A l'inverse de l'IDS, l'IPS est capable de prédire une attaque avant qu'elle ne survienne. Pour y parvenir, l'IPS examine les zones clés du système informatique (serveur) à la recherche d'objets malveillants comme des worms, Troyens, malware et autres pirates.

Complément logique du firewall et du logiciel anti-virus/antispyware, l'IPS offre une protection complète contre les nouvelles menaces, et notamment contre ce qu'on appelle les "zero-day threats". Il s'agit de menaces qui contournent les mesures de sécurité traditionnelles du fait qu'elles ne sont pas encore répertoriées et leur signature n'est pas encore distribuée.

A lire : Project Zero: Google s'attaque aux vulnérabilités software, (sur le blog, 2014)

Le pot de miel (honeypot)

Comme son nom l'indique, il s'agit d'un dispositif logiciel qui va faire passer l'ordinateur placé au devant d'Internet pour un "pauvre serveur" non protégé. Le but est d'attirer le pirate vers un système factice a priori intéressant afin de le détourner du serveur réel.

Parfois installé sous forme de réseau (honeynet), couplé à un IDS, un firewall applicatif, un enregistreur de frappe (key logger) et d'autres outils de contrôle, il permet aux experts de la sécurité informatique d'en apprendre un peu plus sur la manière d'agir des pirates et de s'en prémunir en conséquence.

Désavantages, le "pot de miel" doit être sécurisé car mal protégé il peut permettre à un pirate de lancer une attaque sur le réseau interne. De plus, ce serveur étant accessible depuis Internet, des services de monitoring extérieurs peuvent le lister parmi les sites vulnérables et à risque sans savoir qu'en réalité il s'agit d'un site factice, d'un piège destiné à leurrer les pirates. Au final, cette stratégie peut même nuire à la réputation d'une entreprise. Ce stratagème doit donc être utilisé avec prudence et en connaissance de cause.

Enfin, tout informaticien qui se respecte doit installer une protection anti-virus, anti-spyware et anti-spam sur son ordinateur. 

Les logiciel anti-virus, anti-spyware et anti-spam

Connu de tous, ils sont parfois négligés. Or le logiciel anti-virus et/ou anti-spyware (anti-espion) représente une solution simple à mettre en place et très efficace pour lutter contre les centaines de milliers de virus et autres worms qui pupulent aujourd'hui sur Internet.

Kaspersky Anti-Virus propose une protection totale de votre ordinateur moyennant un abonnement annuel de quelques dizaines d'euros.

Selon ActiveScan (ex Nanoscan) de Panda Security, il existe près de 8 millions de signatures de virus et autre malwares et Kaspersky a recensé 20 millions de programmes malicieux !

La plupart ne sont pas très dangereux et ont des cibles très spécifiques dont vous ne disposez peut-être pas sur votre ordinateur. Toutefois, quelques dizaines de virus ont une action très virulente et sont dangereux pour votre ordinateur, au point qu'ils sont capables de reformatter votre disque dur !

Sachant qu'il existe des logiciels anti-virus gratuits et performants et que la base de signatures des versions payantes est mise à jour plusieurs fois par jour si nécessaire par le biais de patches téléchargeables automatiquement, nous avons tous intérêt à installer un anti-virus sur notre ordinateur. Pourquoi ? Car si vous ne le faites pas, vous participez activement à la pandémie!

En effet, sans protection votre ordinateur va servir de cible puis de "base de lancement" aux virus qui profiteront de cette liberté pour infecter d'autres ordinateurs non protégés et ainsi de suite.

De plus, tous ceux qui ont infecté votre ordinateur finiront un jour par vous empêcher de travailler; statistiquement, parmi les dizaines ou la centaine de virus et autres Troyens qui infectent peut-être votre ordinateur, l'un d'entre eux pourrait s'attaquer aux exécutables de votre suite Office ou à vos fichiers système. Et foi d'expérience, une fois qu'un virus vous veut du mal, il faut parfois ruser des heures ou faire appel à des techniques d'experts pour l'exterminer.

Aussi, en installant un anti-virus sur votre machine vous préservez d'une part votre ordinateur d'une contamination potentielle et d'autre part vous neutraliser l'action malveillante du virus.

En complément, il est judicieux d'installer un logiciel anti-spam sur votre ordinateur afin de bloquer les e-mails indésirables arrivant dans votre boîte-à-lettres (mailbox). Si cette surveillance surcharge quelque peu le processeur de votre ordinateur, vous pouvez demander que ce contrôle soit effectué en amont, sur le serveur de messagerie de votre opérateur, un service qu'il vous facturera moins d'un euro par mois. L'avantage est de ne pratiquement plus recevoir d'e-mail indésirable dans votre boîte-à-lettres.

Dernier chapitre

Le cryptage des messages

Page 1 - 2 - 3 - 4 -


Back to:

HOME

Copyright & FAQ