Page 1 sur 34 Sécurité de base 8.1 Menaces sur les réseaux 8.1.1 Risques d’intrusion sur les réseaux Qu’ils soient filaires ou sans fil, les réseaux d’ordinateurs deviennent rapidement indispensables pour les activités quotidiennes. Les particuliers, tout comme les organisations, dépendent de leurs ordinateurs et des réseaux pour des fonctions telles que la messagerie électronique, la comptabilité, la gestion des fichiers et la gestion en général. Une intrusion par une personne non autorisée peut causer des pannes de réseau et des pertes de productivité coûteuses. Les attaques sur un réseau peuvent être dévastatrices et résulter en une perte de temps et d’argent, parce que des informations ou des ressources importantes sont endommagées ou volées. Les intrus peuvent accéder à un réseau en profitant de vulnérabilités logicielles, au moyen d’attaques matérielles ou même par des méthodes plus rudimentaires, comme deviner le nom et le mot de passe d’un utilisateur. Les intrus qui modifient le logiciel ou tirent profit de vulnérabilités logicielles pour accéder au réseau sont souvent appelés des pirates informatiques. Une fois que le pirate a accédé au réseau, quatre types de menaces sont possibles : Vol d’informations Usurpation d’identité Perte / manipulation de données Interruption de service Application Page 2 sur 34 Solution 8.1.2 Sources d’intrusion sur un réseau Les menaces de sécurité causées par des intrus du réseau peuvent provenir aussi bien de sources internes que de sources externes. Menaces externes Les menaces externes proviennent de personnes travaillant à l’extérieur d’une organisation. Elles ne disposent pas d’un accès autorisé aux systèmes informatiques ou au réseau. Les pirates externes réussissent à pénétrer dans un réseau à partir d’Internet, de liaisons sans fil ou de serveurs d’accès commuté. Menaces internes Les menaces internes proviennent d’une personne disposant d’un accès autorisé au réseau (au moyen d’un compte utilisateur) ou d’un accès physique à l’équipement réseau. Le pirate interne connaît les stratégies internes et les membres de l’organisation. Il sait si des informations sont précieuses et vulnérables et comment y accéder. Toutefois, toutes les attaques internes ne sont pas délibérées. Dans certains cas, une menace interne provient d’un employé loyal qui, infecté par un virus ou une menace de sécurité en dehors de l’entreprise, introduit cette menace dans le réseau interne sans le savoir. La plupart des entreprises consacre des ressources considérables à la lutte contre les attaques externes, alors que la plupart des menaces provient de sources internes. Selon le FBI, les accès internes et l’utilisation abusive des systèmes informatiques constituent environ 70 % des incidents signalés d’intrusions. Page 3 sur 34 8.1.3 Piratage psychologique et hameçonnage Pour un intrus, qu’il soit interne ou externe, l’un des moyens les plus faciles d’obtenir un accès consiste à exploiter le comportement humain. L’une des méthodes les plus répandues pour tirer profit des faiblesses humaines est appelée le piratage psychologique. Piratage psychologique Le piratage psychologique est un terme désignant la possibilité d’influencer le comportement d’un groupe de personnes par le biais de quelque chose ou de quelqu’un. En matière de sécurité informatique et de réseaux, le piratage psychologique fait référence à un ensemble de techniques utilisées pour tromper des utilisateurs internes et leur faire effectuer des actions spécifiques ou révéler des informations confidentielles. Par ces techniques, le pirate profite d’utilisateurs légitimes confiants pour accéder à des ressources internes et à des informations privées, telles que des numéros de comptes bancaires ou des mots de passe. Les utilisateurs sont généralement considérés comme l’un des maillons les plus faibles d’une chaîne de sécurité. Une attaque psychologique tire profit de cette situation. Les pirates psychologiques peuvent être internes ou externes à une organisation mais, la plupart du temps, ils ne font jamais face à leurs victimes. Les trois techniques de piratage psychologique les plus courantes sont les suivantes : l’usurpation, l’hameçonnage et l’hameçonnage vocal. Page 4 sur 34 Usurpation L’usurpation est une forme de piratage psychologique où un scénario inventé (le prétexte) est utilisé sur une victime afin d’obliger celle-ci à fournir des informations ou à effectuer une action. En général, la cible est contactée par téléphone. Pour que l’usurpation soit efficace, le pirate doit pouvoir établir sa légitimité auprès de la cible prévue, ou victime. Cela nécessite souvent une connaissance ou une recherche préalable de la part du pirate. Par exemple, si un pirate connaît le numéro de sécurité sociale de la cible, il peut utiliser cette information pour gagner sa confiance. La victime fournit alors des informations supplémentaires plus facilement. Hameçonnage L’hameçonnage est une forme de piratage psychologique où le pirate prétend représenter une organisation extérieure légitime. En général, il contacte la personne ciblée par courriel. Le pirate demande des informations de vérification, telles que des noms d’utilisateur ou des mots de passe, afin d’empêcher de prétendues conséquences terribles. Hameçonnage vocal / téléphonique Une nouvelle forme de piratage psychologique, appelée le piratage vocal, exploite la voix sur IP. Un message vocal est envoyé à un utilisateur sans méfiance, lui demandant d’appeler un numéro qui semble accéder à un service bancaire téléphonique légitime. L’appel est ensuite intercepté par un voleur. Les numéros de comptes bancaires ou les mots de passe saisis par téléphone pour vérification sont alors volés. Page 5 sur 34 8.2 Méthodes d’attaque 8.2.1 Virus, vers et chevaux de Troie Le piratage psychologique est une menace de sécurité répandue qui exploite la faiblesse humaine pour obtenir les résultats souhaités. En outre, d’autres types d’attaques exploitent les vulnérabilités des logiciels informatiques. Ces techniques d’attaques comprennent les virus, les vers et les chevaux de Troie. Toutes ces techniques introduisent du logiciel malveillant dans un hôte. Ce logiciel peut endommager un système, détruire des données et interdire l’accès à des réseaux, des systèmes ou des services. Il peut également transférer à des pirates les données et les informations personnelles d’utilisateurs de PC confiants. Dans de nombreux cas, ce logiciel peut se dupliquer et se répandre sur d’autres hôtes connectés au réseau. Ces techniques sont parfois associées à des méthodes de piratage psychologique pour amener par la ruse un utilisateur peu averti à exécuter l’attaque. Virus Un virus est un programme qui s’exécute et se répand en modifiant d’autres programmes ou d’autres fichiers. Un virus ne peut pas démarrer de lui-même. Il doit être activé. Une fois activé, un virus peut limiter son activité à se dupliquer et se répandre. Bien que très simple, ce type de virus est tout de même dangereux car il peut rapidement utiliser toute la mémoire disponible et arrêter le système. Un virus plus grave peut être programmé pour supprimer ou altérer des fichiers spécifiques avant de se répandre. Les virus peuvent être transmis par des pièces jointes aux courriels, des fichiers téléchargés, des messages instantanés ou bien par des disquettes, des CD ou des périphériques USB. Vers Un vers est similaire à un virus, mais il n’a pas besoin de se lier à un programme existant. Un vers utilise le réseau pour envoyer ses propres répliques à tout hôte connecté. Les vers peuvent s’exécuter de façon autonome et se répandre rapidement. Ils ne nécessitent pas toujours une activation ou une intervention humaine. Les vers de réseau qui s’autopropagent peuvent avoir un impact beaucoup plus important qu’un virus unique et infecter rapidement de grandes parties d’Internet. Chevaux de Troie Un cheval de Troie est un programme qui ne se duplique pas automatiquement et qui est codé pour présenter l’apparence d’un programme légitime, alors qu’il s’agit en fait d’un outil d’attaque. Un cheval de Troie compte sur son apparence légitime pour tromper la victime afin qu’elle démarre ce programme. Il peut être relativement inoffensif ou contenir du code capable d’endommager le contenu du disque dur de l’ordinateur. Les chevaux de Troie peuvent également ouvrir une porte dérobée dans un système pour donner accès à des pirates informatiques. Page 6 sur 34 Application Page 7 sur 34 Solution 8.2.2 Attaques par déni de service et attaques en force Un pirate a parfois pour objectif d’arrêter le fonctionnement normal d’un réseau. Il souhaite, par une telle attaque, perturber les fonctions d’une organisation. Déni de service (DoS) Les attaques par déni de service (DoS) sont des attaques agressives sur un ordinateur individuel ou sur des groupes d’ordinateurs visant à refuser des services aux utilisateurs prévus. Les attaques DoS peuvent cibler les systèmes d’utilisateurs finaux, les serveurs, les routeurs et les liaisons réseau. En général, elles tentent : d’inonder de trafic un système ou un réseau pour bloquer le trafic réseau légitime ; de perturber les connexions entre un client et un serveur pour interdire l’accès à un service. Il existe plusieurs types d’attaques DoS. Les administrateurs de sécurité doivent connaître les différents types d’attaques DoS qui peuvent survenir et s’assurer que leurs réseaux en sont protégés. Citons deux attaques DoS courantes : Inondation SYN : un très grand nombre de paquets, demandant une connexion client, sont envoyés à un serveur. Les paquets contiennent des adresses IP sources non valides. Le serveur tentant de répondre à ces fausses requêtes devient trop occupé pour répondre aux requêtes légitimes. Ping fatal : un paquet d’une taille supérieure à la taille maximale autorisée par IP (65 535 octets) est envoyé à un périphérique. Le système qui le reçoit peut alors être bloqué. Page 8 sur 34 Attaque par déni de service distribué (DDoS) Une attaque par déni de service distribué (DDoS) est une forme d’attaque DoS plus sophistiquée et potentiellement plus dangereuse. Elle est conçue pour submerger et saturer les liaisons réseaux de données inutiles. Les attaques DDoS fonctionnent à beaucoup plus grande échelle que les attaques DoS. En général, des centaines ou des milliers de points d’attaque tentent de submerger une cible simultanément. Un ordinateur qui a été infecté au préalable par du code DDoS peut devenir un point d’attaque à son insu. Les systèmes infectés par du code DDoS attaquent le site cible lorsque ce code est appelé. Force brute Les attaques pouvant causer des pannes de réseau ne sont pas toujours des attaques DoS. Une attaque en force constitue un autre type d’attaque qui peut entraîner un déni de service. Page 9 sur 34 Dans une attaque en force, un ordinateur rapide est utilisé pour tenter de deviner des mots de passe ou découvrir un code de chiffrement. Le pirate essaie un grand nombre de possibilités en succession rapide pour obtenir un accès ou casser un code. Les attaques en force peuvent causer un déni de service en raison du trafic excessif vers une ressource donnée ou par blocage des comptes utilisateurs. 8.2.3 Logiciel espion, cookies traceurs, logiciel de publicité et fenêtres intempestives Page 1: Toutes les attaques n’endommagent pas les ressources ou n’interdisent pas aux utilisateurs légitimes d’y accéder. De nombreuses menaces ont pour objectif de recueillir des informations sur les utilisateurs, qui peuvent ensuite être utilisées à des fins de publicité, de marketing ou de recherche. Elles comprennent les logiciels espions, les cookies traceurs, les logiciels de publicité et les fenêtres publicitaires intempestives. Bien que ces menaces n’endommagent pas toujours un ordinateur, elles en violent la confidentialité et peuvent être agaçantes. Logiciel espion Un logiciel espion est un programme qui recueille des informations personnelles sur votre ordinateur sans votre autorisation et sans vous en informer. Ces informations, potentiellement des mots de passe et des numéros de comptes, sont envoyées à des publicitaires ou à d’autres organismes sur Internet. En général, un logiciel espion est installé à l’insu de l’utilisateur, lorsque celui-ci télécharge un fichier, installe un autre programme ou clique sur une fenêtre publicitaire intempestive. Un tel logiciel peut ralentir un ordinateur et modifier des paramètres internes, rendant l’ordinateur encore plus vulnérable à d’autres menaces. En outre, les logiciels espions peuvent se révéler très difficiles à éliminer. Cookies traceurs Les cookies sont une forme de logiciel espion, mais ils ne sont pas toujours malveillants. Ils sont utilisés pour enregistrer des informations sur un utilisateur d’Internet lorsqu’il visite des sites Web. Les cookies peuvent être utiles ou souhaitables lorsqu’ils permettent la Page 10 sur 34 personnalisation et d’autres techniques qui font gagner du temps. De nombreux sites Web exigent que les cookies soient activés avant d’autoriser un utilisateur à se connecter. Logiciels de publicité Un logiciel de publicité est une forme de logiciel espion utilisée pour recueillir des informations sur un utilisateur d’après ses visites sur des sites Web. Ces informations sont ensuite utilisées pour cibler la publicité. Un logiciel de publicité est généralement installé par un utilisateur en échange d’un produit « gratuit ». Lorsqu’un utilisateur ouvre une fenêtre de navigateur, le logiciel de publicité peut démarrer de nouvelles instances du navigateur, qui tentent alors de faire de la publicité pour des produits ou des services correspondant aux habitudes de navigation de l’utilisateur. Les fenêtres de navigateur indésirables risquent de s’ouvrir de façon répétée et de rendre la navigation sur Internet très difficile, en particulier avec des connexions Internet lentes. Les logiciels de publicité peuvent se révéler très difficiles à désinstaller. Les fenêtres publicitaires intempestives Les fenêtres publicitaires intempestives sont des fenêtres de publicité supplémentaires qui s’affichent pendant la visite d’un site Web. Contrairement aux logiciels de publicité, les fenêtres publicitaires intempestives n’ont pas pour objectif de recueillir des informations sur l’utilisateur, et elles sont généralement associées uniquement au site Web visité. Fenêtres publicitaires intempestives : s’ouvrent devant la fenêtre de navigation en cours. Fenêtres publicitaires : s’ouvrent derrière la fenêtre de navigateur en cours. Page 11 sur 34 Souvent agaçantes, elles font généralement de la publicité pour des produits ou des services indésirables. 8.2.4 Courrier indésirable Les envois de courriels indésirables en nombre constituent un autre effet secondaire agaçant de notre dépendance accrue vis-à-vis des communications électroniques. Les commerçants sur le Web ne souhaitent pas toujours s’embêter avec un marketing ciblé. Ils préfèrent envoyer leurs courriels publicitaires à un maximum d’utilisateurs finaux, dans l’espoir que quelqu’un sera intéressé par leur produit ou service. Cette approche très répandue du marketing sur Internet porte le nom de courrier indésirable. Le courrier indésirable (ou spam) est une réelle menace réseau qui peut surcharger les fournisseurs de services Internet, les serveurs de messagerie et les systèmes des utilisateurs finaux. Une personne ou une organisation responsable de l’envoi de courrier indésirable est appelée un spammeur. Les spammeurs utilisent souvent des serveurs de messagerie non sécurisés pour transférer des courriels. Les spammeurs peuvent utiliser des techniques de piratage, telles que les virus, les vers et les chevaux de Troie, pour contrôler les ordinateurs domestiques. Ces ordinateurs sont ensuite utilisés pour envoyer du courrier indésirable à l’insu de leur propriétaire. Le courrier indésirable peut être envoyé par courriel ou, plus récemment, au moyen de logiciels de messagerie instantanée. On estime que chaque utilisateur sur Internet reçoit plus de 3 000 courriers indésirables par an. Ces courriers indésirables encombrent la bande passante d’Internet et représentent un problème suffisamment grave pour que de nombreux pays se soient désormais dotés d’une législation qui en régit l’utilisation. 8.3 Stratégie de sécurité 8.3.1 Mesures de sécurité courantes Les risques de sécurité ne peuvent pas être complètement éliminés ou évités. Toutefois, une gestion et une évaluation efficaces des risques peuvent réduire considérablement les risques de sécurité existants. Pour ce faire, il faut comprendre qu’un seul produit est incapable de sécuriser complètement une organisation. Pour être réellement efficace, la sécurité d’un réseau doit combiner plusieurs produits et services, accompagnés d’une stratégie de sécurité complète et d’une volonté de respecter cette stratégie. Page 12 sur 34 Une stratégie de sécurité est une déclaration formelle des règles que les utilisateurs doivent suivre lorsqu’ils accèdent à des ressources informationnelles et technologiques. Elle peut se restreindre à une simple stratégie d’utilisation acceptable ou comporter plusieurs centaines de pages et détailler chaque aspect des procédures de connectivité et d’utilisation du réseau par les utilisateurs. Une stratégie de sécurité doit être placée au centre des décisions pour sécuriser, surveiller, tester et améliorer le réseau. La plupart des utilisateurs particuliers ne rédigent pas de stratégie de sécurité formelle ; toutefois, à mesure qu’un réseau grandit (en taille et en nombre d’utilisateurs), l’importance d’une telle stratégie bien définie pour tous les utilisateurs augmente considérablement. Les éléments à inclure dans une stratégie de sécurité comprennent : les stratégies d’identification et d’authentification, de mots de passe, d’utilisation acceptable, d’accès distant ainsi que les procédures de traitement des incidents. Lorsqu’une stratégie de sécurité est développée, il est nécessaire que tous les utilisateurs du réseau l’acceptent et la respectent pour qu’elle soit efficace. Page 13 sur 34 Une stratégie de sécurité doit être placée au centre des décisions pour sécuriser, surveiller, tester et améliorer le réseau. Les procédures de sécurité mettent en oeuvre les stratégies de sécurité. Ces procédures définissent la configuration, l’ouverture de sessions, l’audit et la maintenance des hôtes et des périphériques réseau. Elles englobent l’utilisation conjointe de mesures de prévention pour réduire les risques et de mesures actives pour traiter les menaces de sécurité connues. Les stratégies de sécurité peuvent se limiter à des tâches simples et peu coûteuses, telles que la mise à jour des versions logicielles, ou devenir de plus en plus complexes, jusqu’à comporter l’implémentation de pare-feu et de systèmes de détection d’intrusions. Les applications et outils de sécurité utilisés pour sécuriser un réseau comprennent : les correctifs logiciels et les mises à jour ; la protection antivirus ; la protection contre les logiciels espions ; les bloqueurs de courrier indésirable ; les bloqueurs de fenêtre publicitaire intempestive ; les pare-feu. Page 14 sur 34 8.3.2 Mises à jour et correctifs Correctifs et mises à jour L’une des méthodes les plus utilisées par un pirate informatique consiste à obtenir un accès aux hôtes et/ou aux réseaux en tirant profit de vulnérabilités logicielles. Il est donc important de maintenir les applications logicielles à jour avec les derniers correctifs de sécurité et mises à jour, ce qui contribue à prévenir les menaces. Un correctif est une petite quantité de code qui corrige un problème précis. Une mise à jour peut contenir, en plus des correctifs pour certains problèmes, des fonctionnalités à ajouter au logiciel. Les vendeurs de systèmes d’exploitation (tels que Linux, Windows, etc.) et d’applications fournissent régulièrement des mises à jour et des correctifs de sécurité qui corrigent les vulnérabilités connues du logiciel. En outre, les vendeurs fournissent des ensembles de correctifs et de mises à jour appelés des « service packs ». Heureusement, de nombreux systèmes d’exploitation proposent une fonction de mise à jour automatique qui permet de télécharger et d’installer automatiquement sur un hôte les mises à jour de SE et d’applications. Page 15 sur 34 8.3.3 Logiciel antivirus Logiciel antivirus (détection d’un virus) Même lorsque le système d’exploitation et les applications disposent de tous les correctifs et de toutes les mises à jour, ils restent vulnérables aux attaques. Tout périphérique connecté à un réseau constitue une cible pour les virus, les vers et les chevaux de Troie. Ceux-ci peuvent être utilisés pour corrompre le code du système d’exploitation, amoindrir les performances de l’ordinateur, modifier des applications et détruire des données. Voici quelques signes indicateurs de la présence éventuelle d’un virus, vers ou cheval de Troie : l’ordinateur commence à se comporter de façon anormale ; le programme ne répond pas aux actions sur la souris et sur le clavier ; des programmes démarrent ou s’arrêtent de leur propre initiative ; le programme de messagerie commence à envoyer de grandes quantités de courriels ; l’UC est très sollicitée ; des processus inconnus, ou en très grand nombre, s’exécutent ; l’ordinateur est considérablement ralenti ou tombe en panne. Page 16 sur 34 Logiciel antivirus Un logiciel antivirus peut être utilisé à la fois comme outil préventif et outil curatif. Il empêche l’infection, et il détecte et supprime les virus, vers et chevaux de Troie. Un logiciel antivirus doit être installé sur tous les ordinateurs connectés au réseau. Plusieurs logiciels antivirus sont disponibles. Un logiciel antivirus peut inclure les fonctionnalités suivantes : Vérification des courriels - Analyse les courriels entrants et sortants et identifie les pièces jointes suspectes. Analyse dynamique résidente - Vérifie les fichiers exécutables et les documents lorsqu’on y accède. Analyses planifiées - Les analyses de virus peuvent être planifiées pour être exécutées à intervalles réguliers et pour vérifier des lecteurs spécifiques ou l’intégralité de l’ordinateur. Mises à jour automatiques - Vérifient et téléchargent des caractéristiques et définitions de virus connus. Elles peuvent être planifiées pour vérifier régulièrement la nécessité de mise à jour. Un logiciel antivirus doit avoir connaissance d’un virus avant de pouvoir le supprimer. Ainsi, dès qu’un virus est identifié ou qu’un comportement proche de celui d’un virus est constaté, il est important de le signaler à l’administrateur réseau. En général, il convient de lui soumettre un rapport d’incident, conformément à la stratégie de sécurité réseau de l’entreprise. Les administrateurs réseau peuvent également signaler de nouvelles instances de menaces à l’organisme public local qui traite des problèmes de sécurité. Un exemple d’agence aux ÉtatsUnis est : https://forms.us-cert.gov/report/. Il incombe à cette agence de mettre au point des parades aux nouvelles menaces virales et de veiller à les mettre à la disposition des divers développeurs de logiciels antivirus. Page 17 sur 34 8.3.4 Bloqueur de courrier indésirable Les courriers indésirables ne sont pas seulement agaçants. Ils peuvent surcharger les serveurs de messagerie et contenir, le cas échéant, des virus et d’autres menaces. En outre, les spammeurs peuvent prendre le contrôle d’un hôte en y implantant du code sous la forme d’un virus ou d’un cheval de Troie. L’hôte est ensuite utilisé pour envoyer des courriers indésirables à l’insu de son utilisateur. Un ordinateur ainsi infecté est appelé une « usine à spam ». Un bloqueur de courrier indésirable protège les hôtes en identifiant les courriers indésirables et en les traitant, notamment en les plaçant dans un dossier spécial ou en les supprimant. Il peut être chargé localement sur un ordinateur mais aussi sur des serveurs de messagerie. En outre, de nombreux fournisseurs de services Internet proposent des filtres de courriers indésirables. Un bloqueur de courrier indésirable ne reconnaît pas tous ces courriers. Il est donc important que les utilisateurs ouvrent toujours leurs propres courriels avec précaution. Le bloqueur peut également identifier accidentellement des courriels légitimes comme des courriers indésirables et les traiter en conséquence. Outre l’utilisation de bloqueurs de courriers indésirables, vous pouvez effectuer d’autres actions préventives pour empêcher la diffusion de tels courriels, par exemple : Appliquez les mises à jour de SE et d’applications lorsqu’elles sont disponibles. Exécutez un logiciel antivirus régulièrement, et maintenez-le à jour. Ne transférez pas de courriels suspects. N’ouvrez pas les pièces jointes de courriels, en particulier celles provenant de personnes que vous ne connaissez pas. Configurez des règles dans votre messagerie pour supprimer les courriers indésirables qui ont contourné le bloqueur. Page 18 sur 34 Identifiez les sources de courriers indésirables, puis signalez-les à un administrateur réseau afin qu’elles puissent être bloquées. Signalez les incidents à l’organisme public chargé des abus par courriers indésirables. Les courriers indésirables les plus répandus prennent la forme d’un avertissement de virus. Alors que certains courriels avertissant d’un virus sont authentiques, la plupart d’entre eux sont des canulars qui ne correspondent à aucun virus existant. Ce type de courrier indésirable peut créer des problèmes parce que les destinataires en avertissent d’autres et inondent ainsi le système de messagerie. En outre, les administrateurs réseau risquent de réagir de façon excessive et de perdre du temps à étudier un problème imaginaire. Enfin, de nombreux courriers indésirables peuvent contribuer réellement à la diffusion de virus, vers et chevaux de Troie. Avant de transférer des messages d’avertissement de virus, vérifiez qu’il ne s’agit pas d’un canular auprès d’une source de confiance comme : http://vil.mcafee.com/hoax.asp ou http://www.virusbtn.com/resources/hoaxes/index 8.3.5 Bloqueur de logiciel espion Bloqueur de logiciel espion et de logiciel de publicité Les logiciels espions et les logiciels de publicité peuvent, eux aussi, provoquer des symptômes similaires à ceux des virus. Non seulement ils recueillent des informations sans y être autorisés, mais ils peuvent également utiliser une grande quantité de ressources de l’ordinateur et affecter les performances. Un bloqueur de logiciel espion détecte et supprime les applications espionnes et empêche leur installation ultérieure. De nombreux bloqueurs de logiciel espion détectent et suppriment également les cookies et les logiciels de publicité. Certains logiciels antivirus comportent également une fonction anti-logiciel espion. Bloqueurs de fenêtres publicitaires intempestives Les bloqueurs de fenêtres publicitaires intempestives peuvent être installés pour empêcher l’affichage des fenêtres publicitaires intempestives et des fenêtres publicitaires en général. De nombreux navigateurs Web comportent, par défaut, un bloqueur de fenêtre publicitaire intempestive. Notez que certains programmes et pages Web peuvent créer des fenêtres intempestives nécessaires et souhaitées. De ce fait, la plupart des bloqueurs proposent une fonction de commande manuelle. Page 19 sur 34 Application Page 20 sur 34 Solution 8.4 Utilisation de pare-feu 8.4.1 Qu’est-ce qu’un pare-feu ? Il est important de protéger les ordinateurs individuels et les serveurs reliés au réseau, mais il convient également de contrôler le trafic en direction et en provenance du réseau. Un pare-feu est l’un des outils de sécurité les plus efficaces disponibles pour protéger les utilisateurs internes du réseau contre les menaces externes. Un pare-feu se trouve entre deux réseaux, ou plus, et contrôle le trafic entre eux tout en contribuant à interdire les accès non autorisés. Les pare-feu emploient diverses techniques pour déterminer les accès autorisés à un réseau ou les accès à interdire. Filtrage des paquets - Interdit ou autorise l’accès selon les adresses IP ou MAC. Filtrage des applications - Interdit ou autorise l’accès à des types d’applications spécifiques en fonction des numéros de ports. Filtrage d’URL - Interdit ou autorise l’accès à des sites Web en fonction d’URL ou de mots clés spécifiques. Inspection dynamique de paquets (SPI) - Les paquets entrants doivent constituer des réponses légitimes aux requêtes d’hôtes internes. Les paquets non sollicités sont bloqués, sauf s’ils sont expressément autorisés. L’inspection SPI peut éventuellement reconnaître et filtrer des types d’attaques spécifiques telles que le déni de service. Les pare-feu peuvent prendre en charge une ou plusieurs possibilités de filtrage, parmi celles décrites. En outre, les pare-feu effectuent souvent une traduction d’adresses de réseau (NAT). La NAT traduit une adresse ou un groupe d’adresses internes en une adresse publique externe envoyée sur le réseau. Cela permet de dissimuler les adresses IP internes aux utilisateurs externes. Page 21 sur 34 Les pare-feu sont proposés sous diverses formes : Pare-feu matériel - Un pare-feu matériel est intégré à un périphérique matériel dédié appelé appareil de sécurité. Pare-feu basé sur un serveur - Un pare-feu basé sur un serveur est constitué d’une application pare-feu qui s’exécute sur un système d’exploitation de réseau, tel qu'UNIX, Windows ou Novell. Pare-feu intégré - Un pare-feu intégré est mis en oeuvre par ajout d’une fonction de pare-feu à un périphérique existant, comme un routeur. Pare-feu personnel - Un pare-feu personnel se trouve sur un ordinateur hôte et n’est pas conçu pour une mise en oeuvre sur un réseau local. Il peut être disponible par défaut dans le système d’exploitation ou obtenu auprès d’un vendeur externe puis installé. Page 22 sur 34 Page 23 sur 34 8.4.2 Utilisation d’un pare-feu En plaçant le pare-feu entre le réseau interne (intranet) et Internet, en tant qu’équipement frontière, tout le trafic en provenance et à destination d’Internet peut être surveillé et contrôlé. Cela crée une ligne de défense claire entre le réseau interne et le réseau externe. Toutefois, certains clients externes peuvent avoir besoin d’accéder aux ressources internes. Pour cela, on peut utiliser une zone démilitarisée (DMZ). Le terme « démilitarisé » est emprunté au domaine militaire, où une DMZ est une zone désignée entre deux puissances où toute activité militaire est interdite. Dans le cadre des réseaux informatiques, une DMZ fait référence à une zone du réseau accessible aux utilisateurs internes comme aux utilisateurs externes. Cette zone est davantage sécurisée que le réseau externe, mais pas autant que le réseau interne. Elle est créée au moyen d’un ou de plusieurs pare-feu qui séparent les réseaux internes, externes et de DMZ. Les serveurs Web pour accès au public sont fréquemment placés dans une DMZ. Page 24 sur 34 Configuration à pare-feu unique Un pare-feu unique comporte trois zones, à savoir une pour le réseau externe, une pour le réseau interne et une pour la DMZ. Tout le trafic provenant du réseau externe est envoyé au pare-feu. Le pare-feu doit ensuite surveiller le trafic et déterminer s’il peut le passer à la DMZ ou au réseau interne ou bien l’interdire complètement. Configuration à deux pare-feu Dans une configuration à deux pare-feu, un pare-feu interne et un pare-feu externe encadrent la DMZ. Le pare-feu externe est moins restrictif et autorise un utilisateur d’Internet à accéder Page 25 sur 34 aux services situés dans la DMZ, tout en autorisant le trafic provenant de tout utilisateur interne. Le pare-feu interne est plus restrictif et protège le réseau interne contre les accès non autorisés. Une configuration à pare-feu unique convient aux réseaux plus petits et moins encombrés. Toutefois, une telle configuration comporte un point de défaillance unique et risque d’être surchargée. Une configuration à deux pare-feu est davantage adaptée aux réseaux plus complexes, aux dimensions plus importantes, qui traitent un trafic beaucoup plus dense. De nombreux périphériques réseau domestiques, tels que les routeurs intégrés, comportent un pare-feu multifonction. En général, ce pare-feu fournit la traduction d’adresses de réseau (NAT), l’inspection dynamique de paquets (SPI) et des filtrages de sites Web et d’applications. Il prend également en charge les DMZ. Au moyen d’un routeur intégré, il est possible de configurer une DMZ simple qui permet à un serveur interne d’être accessible aux hôtes externes. Pour cela, le serveur requiert une adresse IP statique qui doit être spécifiée dans la configuration de la DMZ. Le routeur intégré isole le trafic destiné à l’adresse IP indiquée. Ce trafic est ensuite transféré uniquement au port de commutateur auquel le serveur est connecté. Tous les autres hôtes restent protégés par le parefeu. Lorsque la DMZ est activée, sous sa forme la plus simple, les hôtes externes peuvent accéder à tous les ports du serveur, tels que les ports 80 (HTTP), 21 (FTP), 110 (Email POP3), etc. Page 26 sur 34 Une DMZ plus restrictive peut être configurée à l’aide du transfert de port. Pour la transmission de port, les ports qui doivent être accessibles sur le serveur sont spécifiés. Dans ce cas, seul le trafic destiné à ce ou ces ports est autorisé ; tout autre trafic est exclu. Le point d’accès sans fil dans le routeur intégré est considéré comme faisant partie du réseau interne. Il est important de comprendre que si le point d’accès sans fil n’est pas sécurisé, toute connexion à ce point atteint la partie protégée du réseau interne, au-delà du pare-feu. Les pirates informatiques peuvent utiliser ce point pour accéder au réseau interne et contourner entièrement toute la sécurité. Faire labo 1 Configurez les paramètres du pare-feu en utilisant l’interface graphique utilisateur Linksys, puis créez une DMZ. 8.4.3 Analyse de vulnérabilité Il existe de nombreux outils d’analyse de vulnérabilité pour contrôler la sécurité des hôtes et du réseau. Ces outils, appelés des scanneurs de sécurité, aident à identifier les zones où des attaques peuvent survenir et proposent des mesures à prendre. Les possibilités des outils d’analyse de vulnérabilité varient d’un fabricant à l’autre, mais ils permettent en général de déterminer les points suivants : le nombre d’hôtes disponibles sur un réseau ; les services proposés par les hôtes ; Page 27 sur 34 le système d’exploitation et les versions sur les hôtes ; les filtres de paquets et pare-feu utilisés. Faire Labo 2 Recherchez, téléchargez et installez un outil d’analyse de vulnérabilité, puis utilisez-le pour déterminer les faiblesses d’un hôte et du réseau. 8.4.4 Méthodes recommandées Plusieurs méthodes sont recommandées pour contribuer à réduire les risques encourus, notamment : définir des stratégies de sécurité ; sécuriser physiquement les serveurs et les équipements réseau ; définir des autorisations d’ouverture de session et d’accès aux fichiers ; mettre à jour le système d’exploitation et les applications ; modifier les paramètres par défaut permissifs ; exécuter un antivirus et un bloqueur de logiciel espion ; mettre à jour les fichiers logiciels antivirus ; activer les outils du navigateur (bloqueurs de fenêtres publicitaires intempestives, antihameçonnage, moniteurs de plug-in) ; utiliser un pare-feu. Page 28 sur 34 La première étape de sécurisation d’un réseau consiste à comprendre les mouvements du trafic qui utilise ce réseau et les différentes menaces et vulnérabilités existantes. Une fois que les mesures de sécurité sont mises en oeuvre, un réseau vraiment sécurisé doit être constamment surveillé. Les procédures et les outils de sécurité doivent être revus afin d’anticiper l’évolution des menaces. Page 29 sur 34 8.5 Résumé du chapitre Pour être efficace, la sécurité d’un réseau doit combiner plusieurs produits et services, accompagnés d’une stratégie de sécurité complète et d’une volonté de respecter cette stratégie. Page 30 sur 34 Une stratégie de sécurité doit comprendre des stratégies d’identification et d’authentification, des stratégies de mot de passe, des règles de bon usage, des stratégies d’accès à distance et des procédures de gestion des incidents. Tous les utilisateurs du réseau doivent accepter et respecter la stratégie de sécurité pour que celle-ci soit efficace. Les outils et les applications permettant d’assurer la sécurité d’un réseau comprennent notamment : les correctifs logiciels et les mises à jour ; la protection contre les virus ; la protection contre les logiciels espions ; les bloqueurs de courrier indésirable ; les bloqueurs de fenêtre publicitaire intempestive ; les pare-feu. Assurez-vous que les applications logicielles sont toujours à jour avec les derniers correctifs de sécurité et les dernières mises à jour afin de vous aider à prévenir les menaces. Un logiciel antivirus installé sur un ordinateur permet de détecter et de supprimer les virus, les vers et les chevaux de Troie connus. Un logiciel antispam a pour fonction d’identifier le courrier indésirable et de le placer dans un dossier Courrier indésirable ou de le supprimer. Page 31 sur 34 8.6 Questionnaire du chapitre Page 32 sur 34 Page 33 sur 34 Page 34 sur 34 Solution 1 2 2 3 4 1,2 et 3 4,5