Notions de sécurités en informatique
Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique :
Vaste sujet, car en matière de sécurité informatique on peut lire tout et son contraire. Je vais essayer de vous décrire ce qu’il faut entendre par sécurité informatique. Je ne citerais ni de marques, ni de modèles, le but étant de comprendre les risques et d’appliquer au mieux quelques critères de protections. Vous m’entendrez souvent dire que maillon faible dans la chaine de sécurité est l’interface Chaise/Clavier. Cette interface, autrement dit nous, est la faille de sécurité absolue, celle qu’aucun anti-virus, firewall, sondes etc… ne protégeras. Aucun moyen technique, ne permettras d’empêcher une main d’appuyer sur la touche entrée alors qu’il ne le fallait pas. Donc il faut rester vigilant en matière de navigation, et de messagerie. Il y aura plus de risque en allant sur cracks.ru quand allant sur bisounours.fr. Il ya un autre point sur lequel l’attention de l’utilisateur devrait se porter httpS. Ce petit S peut vous sauvez la vie, notamment lors de campagne de fishing (Wiki est mon ami http://fr.wikipedia.org/wiki/Hame%C3%A7onnage). Ce petit s signifie qu’une connexion sécurisée est établie entre votre ordinateur et le site que vous visitez. Il apparaitre sous forme de cadenas sur certains navigateur. thepirateisland.net en fait partie Sans SSL
Avec SSL
Tous les protocoles de communications se terminant par un S sont sécurisés. HTTPS, FTPS, POPS, SMTPS et bien d’autres. Passons maintenant aux différents moyens de protections. L’anti-virus : Deux types d’anti-virus existe, l’anti-virus machine et l’anti-virus de flux. Le premier, analyse en temps réels tous les accès aux fichiers/dossiers. Selon son degré de performance, il sera capable de détecter une menace potentielle. Attention au choix de cet anti-virus, certains ne sont pas capables d’analyser un fichier compressé plusieurs fois. Vous pouvez tester la performance de votre anti-virus ici : http://securite-informatique.info/virus/eicar/ (Aucun risques de virus, c’est juste une signature) Le deuxième type d’anti-virus (Maintenant beaucoup plus répandu), l' anti-virus de fluxs, analyse en temps réel votre navigation sur l’Internet. La différence est simple, votre navigation étant contrôlée, l’anti-virus bloque le virus avant qu’il n’arrive sur votre disque dur. L’avantage est évident, mais les inconvénients aussi (Demande de plus de puissance de calcul et ralentissement de la navigation). En outre, les configurations par défaut, laisse souvent passer une page d’on l’analyse à échouée. Bilan, lors de votre choix, regardez bien ce que propose l’éditeur, quels sont ses prérequis, sont mode de fonctionnement etc. Les méthodologies utilisées par les anti-virus sont : >> Base de signature >> Analyse Heuristique (Ou comportemental) >> Contrôle d’intégrité >> Analyse Multi-niveau pour les virus de type polymorphe (Changement de signature) Il faut savoir qu’une machine parfaitement à jour va bloquer 75% des attaques (Source Sophos). Les virus les plus « méchants » sont très rare car ils utilisent ce qu’on appelle des failles « Zéro Day ». Failles
qui ne sont pas répertoriées actuellement. Un des meilleurs exemples est le virus DUQU, qui a utilisé par moins de quatre failles « zéro Day » pour s’implanter et se propager. Contre ces derniers, seule la vigilance compte. Les moyens de propagation les plus connus sont les clefs USB, les mails et l’exécution arbitraire dans du code JAVA.
Actuellement, une nouvelle gamme de virus fait son apparition, ils sont de type « boîte à outils ». On trouve dans le code, toute sorte d’outils de type KeyLogger (Enregistrement des frappes clavier), capture d’écrans et pour les plus développés, capture du son et de l’image. Les plus connus sont Stuxnet, Duqu et maintenant la relève Flame. Soit disant développé pour des attaques ciblées, il y a fort à parier que c’est une nouvelle ère qui apparait. Celle visant au contrôle de l’information(Des états peu scrupuleux ?? Possible) Vous allez entendre, « fallait » pas prendre Microsoft, vous auriez dû utiliser une base Linux ou Mac. Ces discours sont faux et totalement injustifiés. Pour preuve, en 2010, un distributeur de téléphone mobile situé en Espagne a commercialisé un smartphone (Sous Android) infecté par le Virus Mariposa. Drôle, non pas tant que ça, les premiers Botnet Android (Attaques en réseau) ont vu le jour avant la première version finale d’Android. Pour les Mac, c’est pareil, le troyen (Cheval de Troie) Flashback a infecté plus de 600 000 machines dans le monde. Mais comme ils sont moins rependus, l’impact médiatique est moindre. Pour terminer, je dirais que quel que soit le type de machine, le risque existe, et à l’heure des achats sur Internet, de la gestion de ses comptes bancaires en ligne, etc l’anti-virus est indispensable. Le pare-feu (Firewall) : A l’instar de l’anti-virus il existe plusieurs types de pare-feu : Inspection d’état : Le principe est de contrôler que tout ce qui sort et ce qui rentre sur votre ordinateur est conforme à des règles prédéfinies ou pas (RFC pour les puristes : http://www.ietf.org/rfc.html ). Ci-dessous, les deux types de pare-feu à inspection d’état. Stateless :
Ancienne génération ou il fallait créer à la main toutes les règles d’analyses des paquets. Autant vous dire que pour un néophyte ce n’est pas simple. Statefull : Les règles sont prédéfinies et on les active ou pas Inspection d’état et comportemental (IDS/IDPS): Les IDS sont chargés de distinguer les activités normales des activités parasites et/ou malveillantes. Il existe deux catégories d'événements que les IDS doivent analyser: •Anomaly intrusion détection. Il s'agit de la détection des comportements inhabituels de certains utilisateurs. Ce type de détection peut toutefois engendrer des fausses alertes, un comportement inhabituel n'étant pas forcément malveillant ou dangereux; •Misuse intrusion detection. C'est la détection du mauvais fonctionnement d'un système informatique. La détection est basée sur des modèles prédéfinis d'attaques (signatures) qui exploitent les failles d'un système. Cette détection protège très bien contre les attaques connues, analysées et définies dans les modèles implémentés, mais ne réagit pas aux nouvelles attaques puisque leur signature n'est pas encore connue. Il faudra donc prévoir d'apprendre à l'IDS ces nouvelles signatures. En fonction de leur réactivité aux attaques, les IDS se classent en: >> IDS passifs: ils génèrent simplement des alarmes en cas d'attaques (enregistrées dans un fichier de logs, envoyées par mail, par SMS, etc.); >> IDS actifs: ils génèrent les alarmes, mais en plus déclenchent un processus de défense contre l'attaque. Les IDS actifs ont ainsi évolué vers les produits IDP/IPS (Intrusion Detection and Prévention/Intrusion Prévention System). Toutefois, ils ne sont pas aisés à utiliser car ils peuvent générer beaucoup de fausses alertes. La valeur des produits IDP/IPS réside dans leur capacité à bloquer immédiatement les attaques détectées! Un bon produit IDP/IPS, même s'il ne sera jamais parfait, devra:
>> ne pas bloquer ou perturber le fonctionnement normal d'une entreprise ou d'une administration, >> réagir immédiatement et bloquer l'attaque constatée, >> agir complémentairement au firewall, >> utiliser plusieurs algorithmes de lutte contre les attaques, >> faire la différence entre un événement normal et un évènement provoqué pour éviter les fausses alertes. Une bonne architecture réseau et sécurité devrait impliquer une combinaison: >> d'analyses de signatures >> d'anomalies de protocoles >> d'analyse de trafic Elle pourra ainsi minimiser les fausses alertes, mais surtout arriver à ce que toute violation des bonnes règles de Security Policy soit bloquée. Le schéma ci-dessous illustre un exemple d'architecture qui utilise des firewalls et des IDP/IPS.
Là encore, vous allez entendre oui mais si….. Je dirais que dans ce domaine bien particulier, le noyau Linux, à une longueur d’avance. D’ailleurs, beaucoup de pare-feu professionnel s’appuient sur un noyau Linux sécurisé. Mais pour quelle raison un certain Bill n’a pas fait pareil… Je n’ai aucune réponse à apporter. C’est comme ça et il faut faire avec, mais encore une fois, la meilleure des protections, c’est l’interface chaise/clavier.
Voilà, c'est article ne demande qu'à être complété . Li0n44 . PS: Mes sources sont diverses comme www.awt.be, et est surtout basé sur mon expérience personnelle. J'ai écrit cet article il y a déjà quelque temps et aujourd'hui