IV. Recommandations
Mes recommandations vont se diviser en deux parties, une partie pour les services gouvernementaux et une partie pour les PME et les particuliers.
Les solutions retenues doivent tenir compte des remarques formulées dans le paragraphe
« Importance et localisation du besoin ».
La sécurité informatique c’est 20% de matériel et 80% d’humain, mais le matériel est indispensable.
Les solutions proposées devront être en adéquation avec le niveau de confidentialité des données à protéger.
Les multinationales et les Etats nations sont sensibilisés à la sécurité informatique, et protégés.
Le traitement des problèmes doit tenir compte de l’impact métier.
La majorité des problèmes provient d’erreurs de manipulation ou de défaillances SI.
Le pourcentage d’attaques en provenance d’Internet reste très faible (parmi les attaques 85% exploitent des failles applicatives).
Les utilisateurs du SI posent plus de problèmes que les hackers. Les virus sont la première source d’attaque du SI.
Seulement 20% des attaques sont connues des victimes.
Les données doivent répondre aux critères de : disponibilité, intégrité et confidentialité.
A. Les services gouvernementaux
Les services gouvernementaux ont surtout une action au niveau de la prévention (dissuasion, information, canalisation et orientation). Ils ont un rôle principalement au niveau de la dissuasion avec les lois. Malheureusement, l’information, la canalisation et l’orientation sont peut développés.
Information
L’Etat possède une infrastructure importante au niveau de la sécurité informatique. Ces services sont bien structurés, mais malheureusement, quand on est débutant dans la sécurité, il est difficile de savoir ou trouver les informations et à qui s’adresser.
L’information et la formation aux entreprises
L’Etat devrait faire un effort dans Ce sens, en proposant ses services et en allant au devant des entreprises. La sécurité est l’affaire de tous et il serait bon que tout le monde puisse bénéficier des compétences des services publics.
Les normes et méthodes d’analyse de risques et de gestion de risques.
A ce niveau, l’Etat s’est déjà impliqué, notamment avec la méthode EBIOS, en la mettant à disposition sur le site de la DCSSI. Je ne peux que préconiser de continuer.
Dissuasion
La régulation par le haut
« Une liberté qui n’est pas encadrée par la loi cesse d’être une liberté »
©Dominique SCHNAPPER membre du conseil constitutionnel. Le monde informatique 947 S 12 juillet 2002.
« Faut-il accepter l’idée d’un espace Internet à part, avec ses propres lois ?
Joël de ROSNAY : Je m’y refuse. Cet espace peut et doit rentrer dans les nomes de la société, sur le plan social, économique ou démocratique. S’il n’y parvient pas, les lois doivent évoluer. »
© Joël de ROSNAY docteur ès sciences, directeur de la prospective et de l’évaluation à la cité des sciences et de l’industrie à Paris. Le monde informatique 947 S 12 juillet 2002.
Les lois existantes couvrent tous les domaines de la sécurité informatique. Il manque surtout, qu’elles soient appliquées. Les projets de loi qui sont apparus depuis le 11 septembre 2001, ont apporté quelques compléments indispensables, mais surtout ont fait diminuer le respect des droits de l’homme, de la vie privée et des libertés individuelles. Je tiens à mettre en garde l’Etat contre cette orientation. En effet, de nos jours le nombre de personnes se reconnaissant dans la politique du gouvernement, jouant leur rôle de citoyen dans la société, est en grave diminution. Il suffit de regarder le nombre de participants aux élections et la montée des actes d’incivilités pour s’en rendre compte. Il serait judicieux d’inverser cette tendance, en respectant les droits de l’homme et des citoyens en matière de respect de la vie privée ou Privacy et de leur donner un rôle à jouer dans l’amélioration de la sécurité.
Indentification
« Cela rejoint le débat autour de l’administration électronique. On peut imaginer qu’un identifiant unique extrêmement simple (numéro de sécurité sociale…) pourrait permettre de faire converger mes différentes activités sociales, administratives, commerciales, politiques…note Patrice FLICHY. Avec un aspect inquiétant : celui de dérive vers un Etat policier où l’on sait tout sur vous »
© Patrice FLICHY professeur de sociologie à l’université de Marne-La-Vallée. Coauteur, avec le magistrat Pierre TRUCHE et le Préfet Jean-Paul FAUGERE, du rapport « Administration électronique et protection des données personnelles ». Le monde informatique 947 S 12 juillet 2002.
Je recommande de poursuivre la création du fichier d’empreintes génétiques et les mesures visant à l’indentification des personnes se connectant sur le net. Toutefois, je recommande d’arrêter le basculement de la loi d’une politique de recherche dans le cadre d’une enquête sous le contrôle de magistrat, à une politique de fichage et de surveillance systématique de tout le monde. Les fichiers de police et de gendarmerie peuvent être mis en commun, mais leur accès ne doit pouvoir se faire que dans un cadre bien précis et bien identifié. Le nombre de personnes y ayant accès doit être faible, et les motifs d’accès doivent être conservés. Les fichiers doivent bénéficier d’une protection exemplaire.
Il serait bon que dans le cadre de l’élaboration des lois, l’Etat face participer ses propres services compétents en matière de protection et de protection de la vie privée, telle que la CNIL et CNCDH.
La régulation par le bas
« Procéder systématiquement à une consultation par l’Internet d’un mois sur tout ou partie des actes réglementaires »
« L’ère de la fabrication d’une décision publique imposée est d’ores et déjà révolue »
« La co -régulation associe des entreprises des associations et des individus à la prise de décisions par les autorités publiques. Elle permet de poser les termes du débat et d’établir un pacte social selon une construction consensuelle. »
©Isabelle FALQUE-PIERROTIN présidente du forum des droits sur l’Internet FDI
Il serait également bénéfique de faire participer les citoyens, à travers des associations tel que IRIS, Fédération Informatique et Liberté, AFUL et bien d’autres…ou des forums tels que FDI.
En effet, si déjà la voix des citoyens pouvait être entendue lorsqu’elle s’exprime, peut être d’autres personnes auraient envies de participer au débat, au lieu de baisser les bras.
« Joël de ROSNAY : Il va falloir d’autre lois. Mais pas en passant par le haut, c’est-à-dire en imposant des contraintes refusées par les internautes. Ni part le bas, en espérant une autorégulation que le manque de solidarité rend illusoire. Il faudra les deux : des faiseurs de loi d’une part, une co -régulation citoyenne de l’autre. Alors la société avancera. »
© Joël de ROSNAY docteur ès sciences, directeur de la prospective et de l’évaluation à la cité des sciences et de l’industrie à Paris. Le monde informatique 947 S 12 juillet 2002.
La sécurité des réseaux ne pourra exister, que si la régulation se fait à la fois, par le haut et par le bas, et l’Etat devrait travailler dans ce sens.
Protection de la vie privée
La protection de la vie privée devrait être un des points de mire de l’Etat. Ce n’est qu’à ce prix que les citoyens pourront se reconnaître dans l’Etat. Il est difficile de faire confiance en un Etat qui ne vous respecte pas.
Pour y parvenir une CNIL plus forte et plus décentralisée, plus proche des citoyens serait une bonne mesure à prendre.
La cryptographie et secret des correspondances.
« La raison d’état n’est pas raisonnable »
©Alain Weber Ligue des Droits de l’homme. Le monde informatique 947 S 12 juillet 2002.
« si un homme est prêt à sacrifier un peu de liberté pour un peu de sécurité, alors il ne mérite ni l’une ni l’autre. »
©T. Jefferson.
La cryptographie est un des points délicats au niveau de la réglementation. La création de Tiers de confiances étant presque des filiales de l’Etat, ne permettront pas de lever les soupons pesant sur le non respect des correspondances. Il est vrai que la libération totale de la cryptographie est dangereuse pour la souveraineté de l’Etat. Toutefois, comment faire autrement pour protéger nos entreprises et nos citoyens. Je préconiserai quand même la libéralisation de la cryptographie. Il faut également favoriser des initiatives telles que gnupg et openpgp, qui permettent de lever le doute sur d’éventuelles backdoors. La régulation doit se faire, dans l’optique déjà entamée, de fourniture des clés si le besoin s’en fait sentir dans le cadre d’une enquête.
Rétention de données
Une fois n’est pas coutume, pour la rétention de données je préconiserai l’exemple américain. Prevention Order : un policier américain peut demander à un magistrat, lorsqu’il constate une infraction, de lui délivrer un Prevention order à destination du FAI. Celui–ci est tenu alors de sauvegarder les données demandées et de les fournir plus tard lors de la présentation rogatoire. Cette possibilité serait moins contraignante pour les FAI car les investissements sont beaucoup moins lourds. De plus, elle garantit que le policier accède uniquement aux informations nécessaires à l’enquête, et les informations fournies parviennent en de bonnes mains.
Canalisation
Tout d’abord, je pense que si l’on occupe les Cyber-criminels, le temps pendant lequel ils seront pris, ils ne l’emploieront pas à commettre des actes illicites. Même si cette remarque peut semblée évidente, il faut se souvenir que les solutions les plus simples sont souvent les meilleures.
Ensuite, le fait de donner à ces personnes ce qu’elles demandent, permet également de créer un vivier de futur spécialistes dans la sécurité informatique, et en plus passionnés. Les américains, en sont là à cause de leur premier amendement.
Je préconise donc la mise en place de cette canalisation sous deux formes :
L’autorisation des Meeting de hacking
J’irai même plus loin, une participation financière et une représention discrète, de l’Etat ou des forces de police, seraient des plus bénéfique. Cela deviendrait un lieu d’échange, ou les lois pourront être rappelées, des contacts noués et un premier repérage de personnes compétentes réalisé.
Les deux grands meetings internationaux sont, le defcom (http:www.defcom.com) et la blackhat partie (http:www.blackhat.com).
La création de SiteWeb de hacking
Là aussi de manière similaire, l’Etat peut mettre en place des sites comprenant des chalenges de hacking, à relever. Cela permettrait de tester si des solutions de sécurité sont viables et de repérer les personnes de talent et leur donnant la possibilité de participer à l’évolution de la sécurité des réseaux. Voici quelques exemples de sites existants :
http://www.try2hack.nl/
….
4. Orientation
Dans cette rubrique, je ne peux que recommander de faire connaître les écoles existantes sitées plus haut et d’en créer de nouvelles, afin de répondre à la forte demande actuelle de spécialistes en sécurité.
Je tiens également à préciser, que des campagnes d’informations devraient être mises en place pour informer les citoyens. En effet, il a fallu que je réalise ce mémoire, pour découvrir l’existance d’écoles spécialisées dans la formation de futures RSSI.
B. Les PME et les particuliers
Je vais commencer par définir un niveau de besoin en sécurité en fonction de la valeur des données à protéger, de la dépendance du site vis-à-vis de l’informatique et de la probabilité d’apparition d’un problème. Cela permettra de simplifier le croisement de ces différents paramètres et de pouvoir fournir une réponse, tenant compte de tout à la fois.
Remarques : le niveau choisi n’engage que moi. L’échelle choisie va de 1 à 6, afin d’éviter des choix moyens, et être obliger de choisir. Les niveaux correspondant à la gêne que peut engendrer une perte d’intégrité, une répudiation ou une divulgation des données.
: sans importance.
: légèrement gênant.
: dérangeant.
: très dérangeant.
: critique.
: inadmissible.
Les bases d’un niveau de criticité étant posées, maintenant pour chaque type de mesures, je peux faire une préconisation correspondante, en tenant compte des moyens financiers disponibles. Dans un but de simplification, je ne discernerai que deux catégories, les gros et les petits budgets.
1. Dissimulation
Pour les gros et les petits budgets :
Utilisation de la sténographie et le masquage de disque.
Et éventuellement dans des cas extrêmes : le formatage non standard.
2. Information
Pour les gros et les petits budgets :
Mise en place de l’information aux employés.
Pour les gros budgets :
Définition de la politique de sécurité avec EBIOS ou Mehari. Le choix doit être fait en fonction de la taille de l’entreprise et du temps disponible pour sa réalisation.
Dissuasion
Pour les gros et les petits budgets :
Définition de mots de passe solides.
Utilisation de cartes à puces, les dongles ou clés comme support de ces derniers.
Pour les gros budgets :
Indentification des employés par la biométrie. Mise en place d’annuaire LDAP ou OpenLDAP Cyber Surveillance des salariés.
Palliation
Pour les gros et les petits budgets :
Mise à jour régulière du système, et application des correctif de sécurité. L’utilisation de logiciels libres.
Pour les gros budgets :
Mise en place d’une politique de gestion du risque et création d’une cellule de veille. L’audit sécurité en interne ou en externe par société de confiance.
2. Surveillance
Pour les gros et les petits budgets
Installation d’Antivirus, de Firewall, d’IDS et de moyens de contrôle d’intégrité.
Pour les gros budgets :
Mise en place de Monitoring, de surveillance réseau, d’analyse de Logs. Utilisation de Sand-Boxing et d’Honey pot.
3. Protection
Pour les gros et les petits budgets :
Utilisation de GnuPG et OpenSSL.
Pour les gros budgets :
Mise en place de VPN pour les itinérants.
Sauvegarde
Pour les gros et les petits budgets :
Installation d’un système de Sauvegarde/ Restauration de données
Récupération
Pour les gros budgets :
Mise en place de Système à haute disponibilité et de duplication de données ou de services.
Compensation
Pour les gros et les petits budgets :
Souscrire des Assurances et entamer des procédures judiciaires en cas de gros dégât.
Ce tableau de synthèse permet d’y voir un peut plus clair.
Petits budgets (< 1500€) Gros budgets (> 1500€)
Remarques : l’orientation et la canalisation ne sont pas dans le tableau ci-dessus car elles ne sont plus du fait de l’Etat.
De ce tableau constater et tirer quelques conclusions :
A partir du niveau 3, les gros budgets peuvent déjà déployer presque tout l’arsenal disponible. Le chiffrage de solutions applicables dans ces cas, étant donné le coût de mise en place, ne peut se faire que sur mesure. Il convient de prendre contact avec des sociétés ou personnes expertes en sécurité informatique.
Dans le cas d’utilisation de logiciels libres, des solutions répondant au besoin des niveaux 1 et 2 existent, et sont gratuites. Toutefois si vous utilisez, un système d’exploitation propriétaire, il vous en coûtera environ 45€ pour un ensemble antivirus, firewall et ids tel que la suite « Norton Personal Firewall ». Toutefois là encore, vous pouvez utiliser un firewall tel que « zone alarm » et un ids tel que « snort », qui sont également gratuit pour les particuliers.
Marc FERRIGNO Sécuriser les réseaux informatiques français Marc FERRIGNO Sécuriser les réseaux informatiques français
V. Conclusion
Vous avez pu vous rendre compte, à travers la lecture de ce mémoire, que l’amélioration des réseaux informatiques français, dans le respect de la souveraineté de l’Etat et du droit à la vie privée, est une chose complexe. Les acteurs sont nombreux et les intérêts des uns et des autres divergent. Toutefois, ce n’est qu’à travers un compromis convenant à tout le monde, qu’un niveau de sécurité satisfaisant pourra être atteint. Ce consensus établi, la sécurité des réseaux devra impliquer, l’ensemble des personnes connectées entre elles, dans sa régulation.
Nous sommes tous concernés par l’insécurité qui règne sur les réseaux informatiques français. La sécurisation ne pourra se faire que si tout le monde y participe .La régulation doit s’effectuer, par le haut et par le bas, à la fois. Les citoyens doivent s’impliquer, et se reconnaîtrent dans les actions entreprises par l’Etat.
Au sein de l’entreprise, la mise en place d’une politique globale de gestion de la sécurité est essentielle. Cette politique doit être en harmonie, avec les activités de l’entreprise et la stratégie choisie par la direction. L’adhésion de cette dernière est primordiale. En dehors des aspects matériels obligatoires, la mise en place de la sécurité passe par un gros travail de communication et d’information des employés.
La politique de sécurité doit tenir compte des aspects techniques, organisationnels, humains et économiques. Les compétences nécessaires à sa réalisation sont nombreuses et une vision globale de l’entreprise est impérative. C’est pour cette raison, qu’il est conseillé de confier la mise œuvre et le déploiement de systèmes de sécurité importants à un professionnel ou un spécialiste, sinon vous risquez de perdre beaucoup de temps et d’argent.
Il est difficile de remonter des chiffres et des indicateurs sur les problèmes de sécurité. Le problème réside dans le fait, que les attaques externes demeurent majoritairement inconnues des victimes et les victimes n’aiment pas s’étendre sur ce type de problème.
Les particuliers doivent eux aussi se protéger, afin que leurs ordinateurs ne servent pas de base pour l’attaque d’autre SI.
J’encouragerai fortement les citoyens à s’intéresser aux projets de loi, même si les décrets d’application ne sont pas encore parus. L’absence de réaction des citoyens, équivaut à une adhésion de leur part aux projets de loi. Une fois la loi approuvée et les décrets d’applications publiés, il est trop tard pour une quelconque protestation.
Pour finir, je lancerai volontiers le débat sur le brevet logiciel. Ce phénomène est parti des Etats-Unis et a touché l’Europe. Il réduit encore les libertés individuelles, met en danger le monde du logiciel libre, enrichit et assoit un peu plus les monopoles informatiques actuels. Mais, cela est un nouveau sujet de mémoire à lui seul.
Table des illustrations
Figure 1 :Un modèle du risque informatique4
Figure 2 :Arbre des causes des actes cupides.10
Figure 3 :Arbre des causes des actes de malveillance.10
Figure 4 :Arbre des causes des actes idéologiques.11
Figure 5 :Arbre des causes des actes stratégiques.11
Figure 6 :Pertes liée à une indisponibilité.12
Figure 7 :Le marché français de la sécurité des systèmes d’information de 1998 à 200113
Figure 8 :Types de problèmes en fonction de la taille de l’entreprise.17
Figure 9 :Proportion des services Web dans les entreprises.18
Figure 10 :Dépendance des entreprises vis-à-vis de leur SI.19
Figure 11 :Importance des attaques.20
Figure 12 :Origines des attaques.21
Figure 13 :Type d’attaque en fonction son origine.21
Figure 14 :Un modèle de gestion du risque informatique23
Figure 15 :Services de sécurité informatique de l’Etat25
Figure 16 :Les méthodes par origine.26
Figure 17 :Matrice des risques.28
Figure 18 :Gestion du risque.36
Figure 19 :Systèmes de cryptage à clé secrète42
Figure 20 :Systèmes de cryptage à clé publique42
Figure 21 :Protocole de cryptage avec non répudiation des données43
Figure 22 :Synthèse du cadre législatif des moyens et prestations de cryptologie43
Annexes
Bibliographie
Halte aux hackers troisième édition , de Suart McClure, Joel Scambray et George Hurtz. Publié aux éditions EOM ISBN 2-7464-0407-9
Stratégie anti-hackers , de Ryan Russell.
Publié aux éditions Eyrolles ISBN 1-928994-15-6
Droit et sécurité des télécommunications, de Claudine Guerrier et de Marie- Christine Monget. Publié aux éditions Springer ISBN 2-287-59679-8
Sécurité des systèmes d’information , publié par le Club informatique des grandes entreprises françaises (Cigref) en septembre 2002.
Études et statistiques sur la sinistralité informatique en France , publié par le Club de la sécurité des systèmes d’information français (Clusif) en mai 2001.
Computer Crime and Security Survey réalisé conjointement avec le Computer Security Institute (CSI) et le Federal Bureau of Investigation (FBI).
Rapport : Administration électronique et protection des données personnelles.
De Patrice FLICHY professeur de sociologie à l’université de Marne-La-Vallée, Le magistrat Pierre TRUCHE et le Préfet Jean-Paul FAUGERE.
Dictionnaires
Signification des abréviations
AES : Advanced Encryption Standard.
CERT : Computer Emergency Response Team.
CERTA : Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques.
CESI : Centre d’Etudes Supérieures Industrielles.
CESTI : Centre d’Evaluation de la Sécurité des Technologies de l’Information.
CFSSI : Centre de Formation à la Sécurité des Systèmes d’Information.
CIGREF : Club informatique des grandes entreprises françaises.
CLUSIF : Club de la sécurité des systèmes d’information français.
CNCIS : Commission Nationale de Contrôle des Interceptions de Sécurité.
COBIT : Control Objectives for information and related technologies. COCOM : Coordination Committee for Multilateral Export Controls. CRAMM : CCTA Risk Analysis and Management Method.
CSI : Computer Security Institute.
DCSSI : Direction Centrale de la Sécurité des Systèmes d’Information.
DES : Data Encryption Standard.
DSIS : Développement de Systèmes d’Information Sécurisés.
DTI : Department of Trade and Industry.
EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité.
FAI : Fournisseurs d’Accès Internet.
FBI : Federal Bureau of Investigation
FEROS : Fiche d’Expression Rationnelle des Objectifs de Sécurité.
GMITS : Guidelines for the Management of IT Security.
GnuPG : Gnu Privacy Guard.
HTTP : Hype-Text Transfert Protocol. IAM : INFOSEC Assessment Methodology. IP : Internet Protocol.
IPAK : Information Protection Assessment Kit.
IPSec : IP Security Protocol.
IRIS : Imaginons un Réseau Internet Solidaire.
ISSEA : International Systems Security Engineering Association.
LDAP : Lightweight Directory Access Protocol.
LSQ : Loi relative à la Sécurité Quotidienne.
MARION : Méthodologie d’Analyse des Risques Informatiques et d’Optimisation par Niveau.
MEHARI : Méthode Harmonisée d’Analyse de Risques Informatiques.
MPLS : Multi-Protocol Label Switching.
NIST : National Institute of Standards and Technology.
OCTAVE : Operationally Critical Treat and Vulnerability Evaluation.
PGP : Pretty Good Privacy.
PLSI : Projet de loi sur la société de l’information.
PSI : Politique de Sécurité Interne.
PSSI : Politique de Sécurité des Systèmes d’Information.
RFC : Requests for Comments.
RPV : Réseaux Privées virtuels.
R.S.A : Rivest-Shamir-Adleman.
RSSI : Responsable de la Sécurité des Systèmes d’Information.
SCSSI : Service de Contrôle de la Sécurité du Système d’Information.
SI : Système(s) d’Information.
SSE – CMM : System Security Engineering Capability Maturity Model.
SSH : Secure Shell.
SSI : Sécurité des Systèmes d’Information.
SSL3 : Socket Secure Layer 3.
STIC : Système de Traitement des Infractions Constatées.
VPN : Virtual Private Networks.
Glossaire
Bluetooth : technologie de réseaux sans fil développée par Ericsson, lancée en 1994. La portée est supérieure à 10 mètres, la bande de fréquence est 2,4 Ghz avec un débit de 1 Mbits/s.
Buffer Overflow ou Dépassement de tampon : l’attaquant dépasse la capacité d’un tampon, en y injectant plus de données que prévu. Le programme plante. Ainsi l’attaquant peut avoir accès au système et y insérer un code malicieux.
Backdoor ou Entrée imprévue, trappe : c’est une entrée dérobée, que l’on trouve dans un programme ou un système. Elle a été aménagée volontairement, par erreur de conception ou d’implémentation. Le résultat est le plus souvent le contournement d’une sécurité ou un accès illicite au système.
Cracking ou craquer : l’acte de modifier un programme ou un système, dans le but d’obtenir ce que l’on en attend de lui.
Cryptanalyse : opérations faites dans le but de transformer un message crypté en message lisible. Ces opérations ont lieu sans avoir connaissance de l’algorithme de cryptographie, ou des clés ayant servies au cryptage du message.
Denial of Service ( DoS ) ou Déni de service : l’attaquant rend le fonctionnement, d’un Automated Information System (AIS) ou système automatique de traitement d’information, impossible ou défaillant.
HOME RF : crée par le Home Frequency Working Group qui rassemble Compaq, IBM, Intel et Microsoft. C’est un protocole réseau, dérivé de Wi-Fi, de bien meilleure qualité à usage domestique.
Hoax : ce sont de fausses alertes. Elles peuvent prendre par exemple la forme de messages envoyés aux utilisateurs du SI, leur demandant de supprimer un fichier vital pour le fonctionnement du système.
Hyperlan 1 & 2 : c’est un standard Européen de réseaux sans fil. La bande de fréquences est dans les 5 Ghz avec un débit théorique de 10 Mbits/s dans sa version 1. La version 2 atteint les 54 Mbits/s.
Man in the middle ou le passeur de sceaux : l’attaquant se place au milieu de la conversation, entre la victime et par exemple sa banque. Il ne fait que retransmettre les informations circulantes. Il peut ainsi les lire, les modifier à volonté ou les copier.
Phreaking : l’art et la science de hacker le réseau téléphonique.
Spoofing ou Vol d’identité : l’attaquant se fait passer pour une autre personne, afin de réaliser ses méfaits.
Sniffing ou snifer : ici l’utilisateur de cette technique, se sert d’un mode de fonctionnement particulier de la carte réseau. Ce dernier lui permet de capturer tous les paquets d’information circulant sur le réseau.
Trojan Horse ou Chevaux de Troie : programme utile apparemment innocent, mais possédant des fonctionnalités cachées.
Virus : les virus sont de petits programmes, très bien conçus, qui simulent une sorte de vie artificielle. Leur but principal est de se répandre et de se reproduire le plus vite possible. Leur reproduction se fait au détriment d’autres fichiers du système, qui peuvent être endommagés. Leur prolifération à tendance à ralentir les systèmes parasités, par consommation des ressources. Le plus grave est quand ces virus possèdent du code malicieux, visant à détruire ou à endommager les documents, le système ou même l’ordinateur.
WEP : système de sécurité propre à Wi-Fi basé sur une méthode de cryptographie 40bit (peut être étendue à 128bit). Hacking : utilisation non autorisée, ou contournement d’une sécurité d’un système d’information ou d’un réseaux.
Wi- Fi : 802.11b Wireless Fidelity est un standard de l’I.E.E.E. normalisé en 1997. C’est une norme de réseau sans fil. La bande de fréquence utilisée par ce standard est de 2,4 Ghz et un débit de 11 Mbits/s. Une autre norme connue 802.11a qui utilise une bande de fréquence de 5 Ghz et un débit de 54 Mbits/s, est elle interdite en Europe.
Worm ou vers : programme indépendant se répliquant à travers les réseaux. C’est sa vitesse de réplication et de propagation qui crée la gêne par occupation des ressources.
Wardriving : des hackers sillonnent les rues des grandes villes en voiture. Ils scrutent les ondes radio à la recherche des points d’accès de réseaux sans fil, qu’ils répertorient. Ils testent le niveau de sécurité et publient le résultat sur internet.
L’accès spécial à des fichiers ou des bases de données : ici il y a pénétration du système et accès illégitime. Le système est une base de données ou un système d’exploitation.
L’extension de privilège : l’attaquant arrive, la plupart du temps par des failles systèmes, à étendre les privilèges auxquels il aurait normalement droit. Par exemple, en passant de simple utilisateur à administrateur du système.
Le social engineering : l’attaquant se fait passer pour un autre, afin d’avoir des informations auxquelles il n’aurait jamais du avoir accès. Ces attaques sont redoutablement efficaces..
Les attaques de trolls : les trolls sont des gens qui vont sur les forums de discussions et les chats, avec pour seul but de semer le désordre. Comment ? En discutant de sujets qui fâchent, en ridiculisant un de ses membres ou en posant des questions ridicules. Bien que peu dangereux, la gêne est certaine et la perte de temps aussi.
Les malwares : sont l’ensemble des systèmes tels que les virus, les vers ou autres espèces du genre, visant à faire le mal.
Devant l’abondance des termes employés dans ce document je vous renvoie à ce document de la NSA en anglais :
Adresses
Sites traitant de la sécurité informatique
International Information Systems Security Certification Consortium
http://www.isc2.org/
On trouve sur ce site deux certifications de niveaux de compétences en matière de sécurité informatique. Le Certified Information Systems Security Professional (CISSP) et le Systems Security Certified Practitioner (SSCP).
Network Associates
http://www.nai.com/
International Systems Security Engineering Association
http://www.issea.org/
secuser.com
http://www.secuser.com
Propose deux mailings listes, une d’information sur la sécurité et un d’alerte.
Sans institute (en)
http://www.sans.org
The ISO 17799 Service & Software Directory
http://www.iso17799software.com/
The BS7799 Security Standard
http://www.riskserver.co.uk/bs7799/
Mailing liste de bug securityfocus :
http://online.securityfocus.com/archive
securite.org :
http://www.securite.org/db/securite/information/listes
Une liste et une description d’outils de sécurité peuvent être trouvées à cette adresse : http://www.highsecu.net/dossiers/outils_de_securite.php.
Cahners In-Stat Group
http://www.instat.com/index.htm
Gartner Group
http://www4.gartner.com/Init
Liste des trous de sécurité de Microsoft Internet Explorer qui n’ont pas été corrigés . http://www.pivx.com/larholm/unpatched
SSI Vigisafe
Ibm logiciels Tivoli
http://www.tivoli.com
Sites défendant les libertés
Association Iris
http://www.iris.sgdg.org/actions/loi-sec/
Libertés immuables
http://www.enduring-freedoms.org/rubrique.php3?id_rubrique=4
Fédération Informatique et Liberté
http://www.vie-privee.org/
Site de défense des libertés
http://www.lsijolie.net/lsq/
forum des droits sur l’Internet FDI
http://www.foruminternet.org/
Reporters sans frontières RSF
http://www.rsf.org/
Ce site contient un rapport sur les ennemis d’Internet.
Sites gouvernementaux
Legifrance : site de diffusion officielle des textes de lois
Ministère de la justice
Quelques principes de sécurité de sécurité
©stratégie anti-hacker de Ryan Russell chez Eyrolles.
La sécurité côté client est inefficace.
On entend par client, le poste client par opposition au serveur.
Il est impossible d’échanger des clés de cryptage sans partage d’informations.
Il est impossible de se protéger à 100% des virus et des chevaux de Troie.
Les pare-feu ne protègent pas à 100% des attaques.
Les algorithmes cryptographiques secrets ne sont pas fiables.
Si aucune clé n’est requise, vous n’êtes pas en présence d’un cryptage mais d’un encodage.
Le stockage de mots de passe sur un client n’est jamais fiable, sauf si chaque mot de passe est protégé par un second mot de passe.
Pour qu’un système puisse être considéré comme fiable, il doit subir un audit de sécurité indépendant.
Le principe de security through obscurity n’est pas valable.
On fait allusion ici au principe de non divulgation du principe de sécurité, dans l’espoir d’empêcher la découverte de failles.
Les gens croient souvent que les nouveautés sont plus fiables que l’existant.
En effet, les logiciels nouveaux, même s’ils corrigent d’anciens bugs, apportent souvent leur lot de problèmes nouveaux.
Ce qui est susceptible de poser des problèmes causera des problèmes.
