50
Sécurité informatique Pour les DSI, RSSI et administrateurs Laurent Bloch, Christophe Wolfhugel, Ary Kokos, Gérôme Billois, Arnaud Soullié, Alexandre Anzala-Yamajako, Thomas Debize Préfaces de Christian Queinnec et Hervé Schauer Avec la contribution de Nat Makarevitch 5 e édition

e Sécurité informatique - Librairie Eyrolles · Sécurité informatique Pour les DSI, RSSI et administrateurs Laurent Bloch, Christophe Wolfhugel, Ary Kokos, Gérôme Billois, Arnaud

  • Upload
    dominh

  • View
    228

  • Download
    0

Embed Size (px)

Citation preview

SécuritéinformatiquePour les DSI, RSSI et administrateurs

Laurent Bloch, Christophe Wolfhugel,Ary Kokos, Gérôme Billois, Arnaud Soullié,Alexandre Anzala-Yamajako, Thomas DebizePréfaces de Christian Queinnec et Hervé SchauerAvec la contribution de Nat Makarevitch

Sécu

rité i

nform

atiqu

eL.

Blo

ch, C

. Wol

fhug

el,

A. K

okos

, et a

l.

Sécuritéinformatique

39,90 €

Conception de couverture : © Jérémie Barlog© Éditions Eyrolles

Cod

e éd

iteur

: G

1184

9IS

BN

: 97

8-2-

212-

1184

9-0

Laurent Bloch a dirigé les services d’informatique scientifique de l’INED, du Cnam et de l’Institut Pasteur, puis il a été responsable de la sécurité des SI de l’INSERM, Lead Auditor certifié IS 27001, DSI de l’université Paris-Dauphine. Christophe Wolfhugel, spécialiste des réseaux IP et des services associés, co-fondateur d’Oléane, a rejoint le groupe France Télécom, puis Sendmail, Inc. à Londres. Il est aujourd’hui Senior Systems Engineer & Consultant de Proofpoint. Gérôme Billois est senior manager au sein du cabinet de conseil Solucom. Ary Kokos, Arnaud Soullié et Thomas Debize sont consultants en sécurité des SI au sein du cabinet Solucom. Alexandre Anzala-Yamajako est ingénieur de recherche et développement en cryptographie au sein de Thalès.

Une bible pratique pour le responsable informatiqueÉcrit par un responsable de la sécurité des systèmes d’information devenu DSI et par des experts des réseaux, des systèmes, de l’audit de sécurité et de la cryptologie, ce livre limpide expose les risques inhérents à tout système informatique –  et les moyens de s’en protéger. S’adressant aux administrateurs et responsables informatiques comme à leurs interlocuteurs, il o�re au professionnel consciencieux un exposé clair des modes opératoires des programmes nocifs et des outils censés les contrer ainsi qu’une méthode rigoureuse pour concevoir une véritable politique de sécurité.

Une édition mise à jour avec les dernières avancées de la techniqueOutre un modèle de politique de sécurité et de charte d’utilisation que le lecteur pourra adapter à son environnement, cette cinquième édition, mise à jour avec les dernières évolutions en matière de menaces et de sécurité, fait le point sur les aspects spéci�ques du cloud computing et d’IPv6, et propose un éclairage sur la dimension géostratégique de la sécurité liée à Internet (WikiLeaks, Stuxnet, révélations d’Edward Snowden, etc.). Les dernières avancées de la cryptographie post-quantique et du chi�rement homomorphe sont exposées de façon accessible au non-spécialiste.

À qui s’adresse cet ouvrage ?• Aux administrateurs de systèmes et de réseaux, mais aussi aux DSI et aux responsables de projets.

• À tous ceux qui doivent concevoir ou simplement comprendre une politique de sécurité informatique.

Sur le site www.editions-eyrolles.com• Téléchargez le code source des exemples.

• Consultez les mises à jour et compléments.

Sommaire 

Principes de sécurité du système d’information. Premières notions de sécurité • Les di�érents volets de la protection du SI • Malveillance informatique •Science de la sécurité du système d’information. La clé de voûte : la cryptographie • Sécurité du système d’exploitation et des programmes • Sécurité du réseau •Sécurité du microprocesseur • Identité et authenti�cation dans un monde numérique ouvert • Politiques de sécurité du système d’information. Une chartedes utilisateurs • Une charte de l’administrateur système et réseau • Une politique de sécurité des systèmes d’information • Avenir de la sécurité du système d’information. Nouveaux protocoles, nou-velles menaces • Tendances des pratiques de sécurisation des SI • Attaques cyber et gestion de crise • Sécurité des systèmes Windows • Sécurité des systèmes mobiles • Cybersécurité : dimension géostratégique

5e éditio

n

5e édition

5e édition

Que recouvre le terme de sécurité informatique pour l’entreprise  ? Existe-t-il des normes et bonnes pratiques universelles  ? Comment mettre en œuvre une politique de sécurité et mettre au point des chartes de conduite pour minimiser le risque humain ?

G14207_SecuriteInformatique.indd 1 04/07/2016 14:33

SécuritéinformatiquePour les DSI, RSSI et administrateurs

Laurent Bloch, Christophe Wolfhugel,Ary Kokos, Gérôme Billois, Arnaud Soullié,Alexandre Anzala-Yamajako, Thomas DebizePréfaces de Christian Queinnec et Hervé SchauerAvec la contribution de Nat Makarevitch

Sécu

rité i

nform

atiqu

eL.

Blo

ch, C

. Wol

fhug

el, A

. Kok

os, e

t al.

Sécuritéinformatique

Laurent Bloch a dirigé les services d’informatique scientifique de l’INED, du Cnam et de l’Institut Pasteur, puis il a été responsable de la sécurité des SI de l’INSERM, Lead Auditor certifié IS 27001, DSI de l’université Paris-Dauphine. Christophe Wolfhugel, spécialiste des réseaux IP et des services associés, co-fondateur d’Oléane, a rejoint le groupe France Télécom, puis Sendmail, Inc. à Londres. Il est aujourd’hui Senior Systems Engineer & Consultant de Proofpoint. Gérôme Billois est senior manager au sein du cabinet de conseil Solucom. Ary Kokos, Arnaud Soullié et Thomas Debize sont consultants en sécurité des SI au sein du cabinet Solucom. Alexandre Anzala-Yamajako est ingénieur de recherche et développement en cryptographie au sein de Thalès.

Une bible pratique pour le responsable informatiqueÉcrit par un responsable de la sécurité des systèmes d’information devenu DSI et par des experts des réseaux, des systèmes, de l’audit de sécurité et de la cryptologie, ce livre limpide expose les risques inhérents à tout système informatique –  et les moyens de s’en protéger. S’adressant aux administrateurs et responsables informatiques comme à leurs interlocuteurs, il o�re au professionnel consciencieux un exposé clair des modes opératoires des programmes nocifs et des outils censés les contrer ainsi qu’une méthode rigoureuse pour concevoir une véritable politique de sécurité.

Une édition mise à jour avec les dernières avancées de la techniqueOutre un modèle de politique de sécurité et de charte d’utilisation que le lecteur pourra adapter à son environnement, cette cinquième édition, mise à jour avec les dernières évolutions en matière de menaces et de sécurité, fait le point sur les aspects spéci�ques du cloud computing et d’IPv6, et propose un éclairage sur la dimension géostratégique de la sécurité liée à Internet (WikiLeaks, Stuxnet, révélations d’Edward Snowden, etc.). Les dernières avancées de la cryptographie post-quantique et du chi�rement homomorphe sont exposées de façon accessible au non-spécialiste.

À qui s’adresse cet ouvrage ?• Aux administrateurs de systèmes et de réseaux, mais aussi aux DSI et aux responsables de projets.

• À tous ceux qui doivent concevoir ou simplement comprendre une politique de sécurité informatique.

Sur le site www.editions-eyrolles.com• Téléchargez le code source des exemples.

• Consultez les mises à jour et compléments.

Sommaire 

Principes de sécurité du système d’information. Premières notions de sécurité • Les di�érents volets de la protection du SI • Malveillance informatique •Science de la sécurité du système d’information. La clé de voûte : la cryptographie • Sécurité du système d’exploitation et des programmes • Sécurité du réseau •Sécurité du microprocesseur • Identité et authenti�cation dans un monde numérique ouvert • Politiques de sécurité du système d’information. Une chartedes utilisateurs • Une charte de l’administrateur système et réseau • Une politique de sécurité des systèmes d’information • Avenir de la sécurité du système d’information. Nouveaux protocoles, nou-velles menaces • Tendances des pratiques de sécurisation des SI • Attaques cyber et gestion de crise • Sécurité des systèmes Windows • Sécurité des systèmes mobiles • Cybersécurité : dimension géostratégique

5e éditio

n

5e édition

5e édition

Que recouvre le terme de sécurité informatique pour l’entreprise  ? Existe-t-il des normes et bonnes pratiques universelles  ? Comment mettre en œuvre une politique de sécurité et mettre au point des chartes de conduite pour minimiser le risque humain ?

G14207_SecuriteInformatique.indd 1 04/07/2016 14:33

SécuritéinformatiquePour les DSI, RSSI et administrateurs

G14363_CSS3Flexbox_PDT.indd 1 28/06/2016 12:06

DANS LA MÊME COLLECTION

R. Hertzog, R. Mas. – Debian 8 Jessie.N°14203, 2016, 538 pages.R. Goetter. – CSS 3 Flexbox.N°14363, 2016, 134 pages.C. Blaess. – Solutions temps réel sous Linux.N°14208, 2015, 300 pages.W. McKinney. – Analyse de données en Python.N°14109, 2015, 488 pages.E. Biernat, M. Lutz. – Data science : fondamentaux et études de cas.N°14243, 2015, 312 pages.B. Philibert. – Bootstrap 3 : le framework 100 % web design.N°14132, 2015, 318 pages.C. Camin. – Développer avec Symfony2.N°14131, 2015, 474 pages.S. Pittion, B. Siebman. – Applications mobiles avec Cordova et PhoneGap.N°14052, 2015, 184 pages.H. Giraudel, R. Goetter. – CSS 3 : pratique du design web.N°14023, 2015, 372 pages.C. Delannoy. – Le guide complet du langage C.N°14012, 2014, 844 pages.K. Ayari. – Scripting avancé avec Windows PowerShell. N°13788, 2013, 358 pages.

SUR LE MÊME THÈME

A. Fernandez-Toro. – Sécurité opérationnelle.N°13963, 2015, 352 pages.C. Pernet. – Sécurité et espionnage informatique.N°13965, 2014, 222 pages.D. Mouton. – Sécurité de la dématérialisation.N°13418, 2012, 310 pages.

Retrouvez nos bundles (livres papier + e-book) et livres numériques surhttp://izibook.eyrolles.com

SécuritéinformatiquePour les DSI, RSSI et administrateurs

Laurent Bloch, Christophe Wolfhugel,Ary Kokos, Gérôme Billois, Arnaud Soullié,Alexandre Anzala-Yamajako, Thomas DebizePréfaces de Christian Queinnec et Hervé SchauerAvec la contribution de Nat Makarevitch

5e édition

G14363_CSS3Flexbox_PDT.indd 3 28/06/2016 12:06

ÉDITIONS EYROLLES61, bd Saint-Germain75240 Paris Cedex 05

www.editions-eyrolles.com

En application de la loi du 11 mars 1957, il est interdit de reproduire intégralement ou partiellement le présent ouvrage, sur quelque support que ce soit, sans l’autorisation de l’Éditeur ou du Centre français d’exploitation du droit de copie, 20, rue des Grands-Augustins, 75006 Paris.

© Groupe Eyrolles, 2006, 2009, 2011, 2013, 2016, ISBN : 978-2-212-11849-0

livre2-Eyrolles 27 juin 2016 17:18 Page V ��

�� ��

��

Préface

L’Internet, on le lit souvent, est une jungle, un lieu plein de dangers sournois, ta-pis et prêts à frapper fort, péniblement et durablement. On aura intérêt à ne pass’attarder sur cette banalité car la jungle est en l’occurrence l’endroit où l’on doitobligatoirement vivre. En revanche, tout comme pour certaines maladies trans-missibles, être ignare, ne pas vouloir apprécier les dangers, persister à les ignorersont des attitudes blâmables.

Par contre, un ordinateur est un assemblage hétéroclite, historiquement enchevê-tré, de matériels et de logiciels dont les innombrables interactions sont au-delàde l’humainement appréhendable. Un ordinateur est tout autant une jungle, quimême s’étend au fil de ses expositions successives à Internet.

Comme dans tant d’autres domaines sociétaux, la « sécurité » est réputée être lasolution à ces problèmes !

Mais plus que de bonnement nommer cette solution, d’espérer un monde meilleuroù l’on pourrait enfin jouir de cette fameuse sécurité, il faut s’interroger sur sonexistence, sa nature, ses constituants, ses conditions d’apparition ou de dispari-tion, son développement, etc. C’est précisément à ces interrogations que répondl’ouvrage de Laurent Bloch, Christophe Wolfhugel, Ary Kokos, Gérôme Billois,Thomas Debize, Alexandre Anzala-Yamajako et Arnaud Soullié.

Un tel état de grâce ne s’obtient ni par décret, ni par hasard. C’est le résultat d’uneconfluence opiniâtre de comportements et de solutions techniques. Ces dernièresexistent depuis l’article séminal de Diffie et Hellman [84] publié en 1976, qui apermis de résoudre le problème, ouvert depuis des millénaires : comment deuxpersonnes, ne se connaissant au préalable pas, peuvent-elles élaborer un secret

livre2-Eyrolles 27 juin 2016 17:18 Page VI ��

�� ��

��

VISécurité informatique

commun à elles seules en n’ayant échangé que desmessages publics ? Clés publiqueset privées, certificat, signature électronique sont les plus connues des innovationsdérivées de cet article. Notariat électronique, respect de l’anonymat (réseau TOR),crypto-virus blindés en sont d’autres plus confidentielles.

Si, dès maintenant, des solutions techniques existent pour un monde meilleur, surle plan humain le salut peine à s’instaurer. On ne peut souhaiter un monde sûrque si l’on prend la mesure de l’actuelle insécurité. On ne peut espérer un mondeplus sûr que si l’on sait qu’il est réalisable, que si l’on est prêt à tolérer des chan-gements personnels importants de comportement, si l’entière société humaine sti-mule l’adoption de ces nouvelles règles et veille à les adapter au rythme des inéluc-tables évolutions.

La sécurité n’est qu’un sentiment dont l’éclosion est due à la conjonction de facteurstechniques et sociétaux. La mise en place d’un contexte favorable à ce sentiment estcomplexe, tant sont grandes les difficultés de réalisation et les oppositions entre lesdifférentes inclinations libertaires, dirigistes ou Big Brother-iennes. L’anonymatest-il autorisé sur Internet ? Puis-je mettre mon ordinateur en conformité avecmes désirs sécuritaires ? Comment rétribuer une création intellectuelle incarnéenumériquement (sic) et dont la duplication est quasiment gratuite ? Devons-nouslaisser l’offre des industriels diriger notre morale et notre liberté ?

L’excellent livre de Laurent Bloch, Christophe Wolfhugel, Ary Kokos, GérômeBillois, Thomas Debize, Alexandre Anzala-Yamajako et Arnaud Soullié a pourthème la sécurité. Loin de s’appesantir sur les seuls aspects techniques ou de bro-der autour de banalités comme « la sécurité parfaite n’existe pas » ou encore « avoirlisté les menaces garantit une éternelle quiétude », ce livre est à lire et à méditerpar tous ceux qui y croient et tous ceux qui n’y croient pas afin que tous puissentparticiper intelligemment à l’avènement de l’ère numérique. Cet espace incommen-surablement démocratique (les internautes votent avec leur souris) que réalise l’in-terconnexion de toutes les puces calculantes, nous avons une chance de modelerson avenir tout autant que de le transformer en le plus effroyablement fliqué lieucommunautaire. À nous de choisir, à la lueur de ce que nous en dit cet ouvrage.

Christian QueinnecProfesseur émérite à l’universitéPierre et Marie Curie

livre2-Eyrolles 27 juin 2016 17:18 Page VII ��

�� ��

��

Préface II

Les experts sécurité répètent régulièrement que la sécurité est un échec, que notremétier de consultant en sécurité ne sert à rien. Est-ce réellement le cas ?

Il est toujours plus facile d’attaquer que de défendre, et les gendarmes courent tou-jours après les voleurs. Il en est de même dans la cybersécurité, les éditeurs commeles consultants courent toujours derrière les problèmes, qu’ils soient d’origine in-tentionnelle ou pas.

Les nouvelles technologies induisent perpétuellement de nouveaux risques, avecdes conséquences potentielles plus graves comme, à présent, la « mort d’homme ».Mais elles permettent cependant une amélioration du quotidien et de beaucoup demétiers, et des gains de productivité qui sont inhérents au progrès.

Nous oublions parfois un peu trop vite avec les nouvelles habitudes le confort ap-porté par le progrès. Le risque est inhérent à l’évolution, le refuser c’est stagner.

À ces nouveaux risques, des solutions, du bon sens, de l’organisation, de la volontéet de la persévérance, parfois aussi quelques produits pour aider, du personnel com-pétent, expérimenté, motivé, faisant preuve d’abnégation et de persévérance, et aufinal, y a-t-il réellement plus de risques qu’avant ? Je n’en suis pas si sûr, en toutcas pas dans les proportions et le catastrophisme perpétuel des papiers de certainséditeurs.

J’étais un des premiers dans les années 1990 à faire peur, je suis passé par là, maisle bilan des accidents sur 20 ans montre plus de constance que de croissance.

Entre les bienfaits des avancées technologiques, les nouveaux comportements quien découlent et les risques induits, la balance n’est pas forcément en défaveur des

livre2-Eyrolles 27 juin 2016 17:18 Page VIII ��

�� ��

��

VIIISécurité informatique

risques. Bien sûr ceux-ci doivent être évalués, réduits ou acceptés. Mais nous de-vons surtout faire preuve de persévérance, d’endurance, de méthode et de rigueur,et pour convaincre rester factuels, en évitant de tomber dans le FUD ¹ qui décré-dibilise la cybersécurité.

Ainsi la sécurité n’est ni une utopie ni un échec, sans être un succès non plus, elleest un sujet continu qui joue son rôle dans la société en progressant et s’adaptant.Le consultant en sécurité ne doit pas être celui qui crie au loup, mais celui quipermette de protéger les troupeaux.

La nouvelle édition revue et augmentée de ce livre, dont les auteurs ont été re-joints pour l’occasion par cinq nouveaux experts réputés, présente un panoramaélargi des risques encourus par les systèmes d’information et des réseaux, et descontre-mesures qui permettent d’y faire face, avec notamment de nouveaux cha-pitres consacrés à la sécurité des systèmes Windows, Android et iOS. Si le jaillisse-ment quotidien de nouvelles attaques sans cesse plus ingénieuses interdit de croireà une protection prédictive complète, nul doute que ce parcours des différentesfamilles de problèmes évoqués dans ce livre contribue à approfondir la culture dela sécurité, qui sera en définitive la meilleure arme de l’ingénieur pour faire face àdes menaces imprévues.

Hervé SchauerConsultant en sécuritédes systèmes d’informationdepuis 1989

1. ”Fear Uncertainty and Doubt”, https://fr.wikipedia.org/wiki/Fear,_uncertainty_and_doubt.

livre2-Eyrolles 27 juin 2016 17:18 Page IX ��

�� ��

��

Table des matières

Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Première partiePrincipes de sécurité du système d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Chapitre Premières notions de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Menaces, risques et vulnérabilités . . . . . . . . . . . . . . . . . . . 9Aspects techniques de la sécurité informatique . . . . . . . . . . . . . 11

Définir risques et objets à protéger . . . . . . . . . . . . . . . . . . . 12Identifier et authentifier . . . . . . . . . . . . . . . . . . . . . . . . 14Empêcher les intrusions . . . . . . . . . . . . . . . . . . . . . . . . 15Défense en profondeur et réaction aux incidents . . . . . . . . . . . . . 16

Aspects organisationnels de la sécurité . . . . . . . . . . . . . . . . . 17Abandonner les utilisateurs inexpérimentés aux requins ? . . . . . . . . . 17Externalisation radicale et accès web . . . . . . . . . . . . . . . . . . 19Informatique en nuage, première approche . . . . . . . . . . . . . . . 19Sauvegarder données et documents . . . . . . . . . . . . . . . . . . . 22Vérifier les dispositifs de sécurité . . . . . . . . . . . . . . . . . . . . 23

La nécessaire veille auprès des CERT . . . . . . . . . . . . . . . . . 23Organisation des CERT . . . . . . . . . . . . . . . . . . . . . . . . 24Faut-il publier les failles de sécurité ? . . . . . . . . . . . . . . . . . . 25

Le management de la sécurité . . . . . . . . . . . . . . . . . . . . . 27Les systèmes de management . . . . . . . . . . . . . . . . . . . . . . 27

livre2-Eyrolles 27 juin 2016 17:18 Page X ��

�� ��

��

XSécurité informatique

Le système de management de la sécurité de l’information . . . . . . . . 29Un modèle de maturité ? . . . . . . . . . . . . . . . . . . . . . . . . 32Critères communs . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Faut-il adhérer aux normes de sécurité de l’information ? . . . . . . . . . 33Un projet de certification de sécurité Open Source : OSSTMM . . . . . 35

Législation financière et système d’information . . . . . . . . . . . . 36Prolifération des systèmes de contrôle et d’audit . . . . . . . . . . . . . 36Sauvés par la régulation ? . . . . . . . . . . . . . . . . . . . . . . . . 37

La sécurité procédurale n’est pas la solution . . . . . . . . . . . . . . 38Richard Feynman à propos de la conduite de projet . . . . . . . . . . . 41

Chapitre Les différents volets de la protection du SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

L’indispensable sécurité physique . . . . . . . . . . . . . . . . . . . . 45Protéger le principal : le système d’exploitation . . . . . . . . . . . . . 47

Droits d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Vérification des droits, imposition des protections . . . . . . . . . . . . 49

Gérer l’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 50Séparation des privilèges . . . . . . . . . . . . . . . . . . . . . . . . 50Identification et authentification . . . . . . . . . . . . . . . . . . . . 51Le bon vieux mot de passe . . . . . . . . . . . . . . . . . . . . . . . 53Listes de contrôle d’accès . . . . . . . . . . . . . . . . . . . . . . . . 55L’apport de la cryptographie à la problématique de l’authentification . . . 56

Comprendre les failles et les attaques . . . . . . . . . . . . . . . . . . 60L’attaque par interposition (Man in the middle) . . . . . . . . . . . . . 60Vulnérabilité des cryptosystèmes . . . . . . . . . . . . . . . . . . . . 61

Chapitre Malveillance informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Types de logiciels malfaisants . . . . . . . . . . . . . . . . . . . . . . 65Virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Virus réticulaire (botnet) . . . . . . . . . . . . . . . . . . . . . . . . 67Ver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Cheval de Troie . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Bombe logique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Logiciel espion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Portes dérobées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Un niveau de complexité variable . . . . . . . . . . . . . . . . . . . . 74

livre2-Eyrolles 27 juin 2016 17:18 Page XI ��

�� ��

��

XITable des matières

Portes dérobées symétriques et asymétriques . . . . . . . . . . . . . . 75Comment implanter une porte dérobée . . . . . . . . . . . . . . . . . 75Prise en compte pour les modèles de menace . . . . . . . . . . . . . . 77Mesures de protection . . . . . . . . . . . . . . . . . . . . . . . . . 78Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Courrier électronique non sollicité (spam) . . . . . . . . . . . . . . . 79Attaques sur le Web . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Injection SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Cross-site scripting . . . . . . . . . . . . . . . . . . . . . . . . . . 81Sécurité du navigateur . . . . . . . . . . . . . . . . . . . . . . . . . 82

Attaques sur les données . . . . . . . . . . . . . . . . . . . . . . . . 87Palimpsestes électroniques . . . . . . . . . . . . . . . . . . . . . . . 87Matériels de rebut . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Lutte contre les malveillances informatiques . . . . . . . . . . . . . . 88Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Les techniques de détection . . . . . . . . . . . . . . . . . . . . . . 91Des virus blindés pour déjouer la détection . . . . . . . . . . . . . . . 92

Que faire en cas d’effraction informatique ? . . . . . . . . . . . . . . 93Risques encourus . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Conserver les pièces à conviction . . . . . . . . . . . . . . . . . . . . 94Porter plainte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Autopsie de logiciel malfaisant . . . . . . . . . . . . . . . . . . . . . 95Tendances récentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Deuxième partieScience de la sécurité du système d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Chapitre La clé de voûte : la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Signification du concept de sécurité en cryptographie . . . . . . . . . 103Fonction de condensation . . . . . . . . . . . . . . . . . . . . . . . 105

Sécurité des fonctions de condensation . . . . . . . . . . . . . . . . . 106Applications des fonctions de condensation cryptographiques . . . . . . 108

Confidentialité et intégrité symétrique . . . . . . . . . . . . . . . . . 113Chiffrement symétrique . . . . . . . . . . . . . . . . . . . . . . . . 114Motifs d’intégrité cryptographique . . . . . . . . . . . . . . . . . . . 117

Confidentialité et intégrité asymétrique . . . . . . . . . . . . . . . . 118Chiffrement asymétrique . . . . . . . . . . . . . . . . . . . . . . . . 121

livre2-Eyrolles 27 juin 2016 17:18 Page XII ��

�� ��

��

XIISécurité informatique

Arithmétique modulaire . . . . . . . . . . . . . . . . . . . . . . . . 122L’algorithme RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Signature électronique . . . . . . . . . . . . . . . . . . . . . . . . . 128Canal de distribution des clés publiques . . . . . . . . . . . . . . . . . 130

Échange de clés et chiffrement hybride . . . . . . . . . . . . . . . . . 131Transport de clé . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Mise en accord de clé . . . . . . . . . . . . . . . . . . . . . . . . . 132

Évaluer la robustesse d’un cryptosystème . . . . . . . . . . . . . . . . 135Robustesse du chiffrement symétrique . . . . . . . . . . . . . . . . . 135Robustesse du chiffrement asymétrique . . . . . . . . . . . . . . . . . 136Responsabilité de l’utilisateur de cryptosystème . . . . . . . . . . . . . 136

L’avenir de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . 137Cryptographie post-quantique . . . . . . . . . . . . . . . . . . . . . 138Cryptographie complètement homomorphe . . . . . . . . . . . . . . . 140

Chapitre Sécurité du système d’exploitation et des programmes . . . . . . . . . . . . . . . . . . . . . . . 143

Rôle d’un système d’exploitation . . . . . . . . . . . . . . . . . . . . 143Un modèle de protection : Multics . . . . . . . . . . . . . . . . . . . 144

Les dispositifs de protection de Multics . . . . . . . . . . . . . . . . . 146Protection des systèmes contemporains . . . . . . . . . . . . . . . . 146Débordements de zone mémoire . . . . . . . . . . . . . . . . . . . . 147

Attaques par débordement sur la pile . . . . . . . . . . . . . . . . . . 148Débordement de zone mémoire : exposé du cas général . . . . . . . . . 152Débordement de zone mémoire et langage C . . . . . . . . . . . . . . 153

Sécurité par analyse du code . . . . . . . . . . . . . . . . . . . . . . 154Analyses statiques et méthodes formelles . . . . . . . . . . . . . . . . 154Méthode B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Perl en mode souillé . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Séparation des privilèges dans le système . . . . . . . . . . . . . . . . 157Architectures tripartites . . . . . . . . . . . . . . . . . . . . . . . . . 158Machines virtuelles et informatique en nuage . . . . . . . . . . . . . 159

Ce qu’est la virtualisation . . . . . . . . . . . . . . . . . . . . . . . . 159Introduction à l’informatique en nuage . . . . . . . . . . . . . . . . . 160Machines virtuelles ; leur administration . . . . . . . . . . . . . . . . 162

Questions de sécurité pour les services en nuage . . . . . . . . . . . . 169Apports des services en nuage à la sécurité . . . . . . . . . . . . . . . 169Risques de l’informatique en nuage . . . . . . . . . . . . . . . . . . . 170Rétrospective de la virtualisation . . . . . . . . . . . . . . . . . . . . 173

livre2-Eyrolles 27 juin 2016 17:18 Page XIII ��

�� ��

��

XIIITable des matières

Une machine virtuelle pour chaque application ? . . . . . . . . . . . . . 174Garantir l’effacement des données, mythes et mise en œuvre . . . . . 175

De l’importance de l’effacement des données . . . . . . . . . . . . . . 175Rappel des principes . . . . . . . . . . . . . . . . . . . . . . . . . . 177Mythes de l’effacement sécurisé . . . . . . . . . . . . . . . . . . . . . 178Approche globale . . . . . . . . . . . . . . . . . . . . . . . . . . . 182Principes de l’effacement sécurisé . . . . . . . . . . . . . . . . . . . . 183Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190

Chapitre Sécurité du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

Modèle en couches pour les réseaux . . . . . . . . . . . . . . . . . . 191Application du modèle à un système de communication . . . . . . . . . 192Modèle ISO des réseaux informatiques . . . . . . . . . . . . . . . . . 194

Un modèle de réseau : TCP/IP . . . . . . . . . . . . . . . . . . . . . 196Protocoles IP et TCP . . . . . . . . . . . . . . . . . . . . . . . . . 196Principes du routage IP . . . . . . . . . . . . . . . . . . . . . . . . 199

Les réseaux privés virtuels (VPN) . . . . . . . . . . . . . . . . . . . 202Principes du réseau privé virtuel . . . . . . . . . . . . . . . . . . . . 203IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204Autres réseaux privés virtuels . . . . . . . . . . . . . . . . . . . . . . 206

Le protocole SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . 207Objectifs de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . 208Architecture de confiance . . . . . . . . . . . . . . . . . . . . . . . 209Structure de TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . 209Les sous-protocoles de TLS en détail . . . . . . . . . . . . . . . . . . 210Panorama des attaques sur SSL/TLS . . . . . . . . . . . . . . . . . . 216

Comparer les procédés de sécurité . . . . . . . . . . . . . . . . . . . 218Partager des fichiers à distance . . . . . . . . . . . . . . . . . . . . . 219

Protocoles d’accès à un serveur . . . . . . . . . . . . . . . . . . . . . 219Protocoles de distribution de copies . . . . . . . . . . . . . . . . . . . 222

Sécuriser un site en réseau . . . . . . . . . . . . . . . . . . . . . . . 224Segmentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Listes de contrôle d’accès pour le réseau . . . . . . . . . . . . . . . . . 235

Le système de noms de domaines (DNS) . . . . . . . . . . . . . . . . 235Fonctionnement du DNS . . . . . . . . . . . . . . . . . . . . . . . 236Un espace abstrait de noms de serveurs et de domaines . . . . . . . . . 237

livre2-Eyrolles 27 juin 2016 17:18 Page XIV ��

�� ��

��

XIVSécurité informatique

Autres niveaux de domaines . . . . . . . . . . . . . . . . . . . . . . 239Conversations entre serveurs de noms . . . . . . . . . . . . . . . . . . 240Sécurité du DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

Traduction d’adresses (NAT) . . . . . . . . . . . . . . . . . . . . . . 244Le principe du standard téléphonique d’hôtel . . . . . . . . . . . . . . 244Adresses non routables . . . . . . . . . . . . . . . . . . . . . . . . . 245Accéder à l’Internet sans adresse routable . . . . . . . . . . . . . . . . 245Réalisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Une solution, quelques problèmes . . . . . . . . . . . . . . . . . . . 248Attribution dynamique et automatique d’adresses : DHCP . . . . . . . 250

Promiscuité sur un réseau local . . . . . . . . . . . . . . . . . . . . . 250Rappel sur les réseaux locaux . . . . . . . . . . . . . . . . . . . . . . 251Réseaux locaux virtuels (VLAN) . . . . . . . . . . . . . . . . . . . . 252Sécurité du réseau de campus : VLAN ou VPN ? . . . . . . . . . . . . 253

Réseaux sans fil et sécurité . . . . . . . . . . . . . . . . . . . . . . . 254Types de réseaux sans fil . . . . . . . . . . . . . . . . . . . . . . . . 255Vulnérabilités des réseaux sans fil 802.11 . . . . . . . . . . . . . . . . 256

Chapitre Sécurité du microprocesseur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

Rétroconception de composants électroniques . . . . . . . . . . . . . 263Pour le logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263Est-ce possible pour le matériel ? . . . . . . . . . . . . . . . . . . . . 264Comment analyser un composant électronique ? . . . . . . . . . . . . . 265

Sabotage furtif de microprocesseurs . . . . . . . . . . . . . . . . . . 266Attaquer le maillon faible . . . . . . . . . . . . . . . . . . . . . . . 266Étapes de conception d’un microprocesseur . . . . . . . . . . . . . . . 267Le processus de fabrication . . . . . . . . . . . . . . . . . . . . . . . 268Falsification sur la chaîne de fabrication du microprocesseur . . . . . . . 269

L’architecture x86 est-elle sûre ? . . . . . . . . . . . . . . . . . . . . 276Au début était le BIOS . . . . . . . . . . . . . . . . . . . . . . . . . 277Confiance et sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . 278Le BIOS à la source de toute confiance . . . . . . . . . . . . . . . . . 278Système d’exploitation souterrain . . . . . . . . . . . . . . . . . . . . 279Idées pour un système plus sûr . . . . . . . . . . . . . . . . . . . . . 281

Chapitre Identité et authentification dans un monde numérique ouvert . . . . . . . . . . . . . . . . 283

Qu’est-ce que l’identité dans un monde numérique ? . . . . . . . . . . 284

livre2-Eyrolles 27 juin 2016 17:18 Page XV ��

�� ��

��

XVTable des matières

Problématique de l’identification . . . . . . . . . . . . . . . . . . . . 284Trois types d’usage des identifiants . . . . . . . . . . . . . . . . . . . 285Vers un système universel d’identifiants . . . . . . . . . . . . . . . . . 286Distinguer adresses de localisation et d’identification ? . . . . . . . . . . 288La politique des identifiants . . . . . . . . . . . . . . . . . . . . . . 289Distinguer noms et identifiants dans le DNS ? . . . . . . . . . . . . . . 291Organiser un système d’identité numérique en pratique . . . . . . . . . 292Risques liés aux systèmes d’identification . . . . . . . . . . . . . . . . 294

De l’identification au canal de confiance . . . . . . . . . . . . . . . . 295« Trust on First Use » (TOFU) et « Secure Shell » (SSH) . . . . . . . . 296« Web of Trust » et « Pretty Good Privacy » (PGP) . . . . . . . . . . . 297

Infrastructure de gestion de clés (IGC) . . . . . . . . . . . . . . . . . 301Les entités constitutives de l’IGC . . . . . . . . . . . . . . . . . . . . 301Cycle de vie d’un certificat utilisateur . . . . . . . . . . . . . . . . . . 302Provisionnement des certificats d’autorité de certification racine . . . . . 304La « politique de certification » . . . . . . . . . . . . . . . . . . . . . 305La norme X.509 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306Risques et limites associés à l’IGC . . . . . . . . . . . . . . . . . . . 312

L’avenir de la création de canaux de confiance . . . . . . . . . . . . . 319Let’s Encrypt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Certificate Transparency . . . . . . . . . . . . . . . . . . . . . . . . 322FIDO Alliance : un espoir pour l’authentification ? . . . . . . . . . . . 325

Troisième partiePolitiques de sécurité du système d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

Chapitre Une charte des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Préambule de la charte . . . . . . . . . . . . . . . . . . . . . . . . . 330Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Accès aux ressources et aux services . . . . . . . . . . . . . . . . . . . 331Règles d’utilisation, de sécurité et de bon usage . . . . . . . . . . . . 331Confidentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332Respect de la législation . . . . . . . . . . . . . . . . . . . . . . . . . 333Préservation de l’intégrité des systèmes informatiques . . . . . . . . . 333Usage des services Internet (Web, messagerie, forum...) . . . . . . . . 334

Règles de bon usage . . . . . . . . . . . . . . . . . . . . . . . . . . 334Publication sur l’Internet . . . . . . . . . . . . . . . . . . . . . . . . 335

livre2-Eyrolles 27 juin 2016 17:18 Page XVI ��

�� ��

��

XVISécurité informatique

Responsabilité légale . . . . . . . . . . . . . . . . . . . . . . . . . . 335Dispositifs de filtrage de trafic . . . . . . . . . . . . . . . . . . . . . 335

Surveillance et contrôle de l’utilisation des ressources . . . . . . . . . 336Rappel des principales lois françaises . . . . . . . . . . . . . . . . . . 336Application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336

Chapitre Une charte de l’administrateur système et réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339

Complexité en expansion et multiplication des risques . . . . . . . . . 340Règles de conduite . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

Secret professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . 341Mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342

Proposition de charte . . . . . . . . . . . . . . . . . . . . . . . . . . 343Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344Responsabilités du Comité de coordination SSI . . . . . . . . . . . . . 345Responsabilités de l’administrateur de système et de réseau . . . . . . . 345Mise en œuvre et litiges . . . . . . . . . . . . . . . . . . . . . . . . 347

Chapitre Une politique de sécurité des systèmes d’information . . . . . . . . . . . . . . . . . . . . . . . . 349

Préambule : les enjeux de la PSSI . . . . . . . . . . . . . . . . . . . . 349Contexte et objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . 350

Le contexte de l’INSIGU . . . . . . . . . . . . . . . . . . . . . . . 350Périmètres de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . 351Lignes directrices pour la sécurité . . . . . . . . . . . . . . . . . . . . 352Menaces, risques, vulnérabilités . . . . . . . . . . . . . . . . . . . . . 355

Organisation et mise en œuvre . . . . . . . . . . . . . . . . . . . . . 356Organisation de la sécurité des systèmes d’information (SSI) . . . . . . . 356Coordination avec les autres organismes . . . . . . . . . . . . . . . . 359Principes de mise en œuvre de la PSSI . . . . . . . . . . . . . . . . . 360Protection des données . . . . . . . . . . . . . . . . . . . . . . . . . 363Sécurité du système d’information . . . . . . . . . . . . . . . . . . . 365Mesure du niveau effectif de sécurité . . . . . . . . . . . . . . . . . . 370

livre2-Eyrolles 27 juin 2016 17:18 Page XVII ��

�� ��

��

XVIITable des matières

Quatrième partieAvenir de la sécurité du système d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .375

Chapitre Nouveaux protocoles, nouvelles menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

Le modèle client-serveur . . . . . . . . . . . . . . . . . . . . . . . . 377Versatilité des protocoles : encapsulation HTTP . . . . . . . . . . . . 379

Tous en HTTP ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379Vertus de HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

Protocoles pair à pair (peer to peer) . . . . . . . . . . . . . . . . . . . 380Définition et usage du pair à pair . . . . . . . . . . . . . . . . . . . . 380Problèmes à résoudre par le pair à pair . . . . . . . . . . . . . . . . . 381Le pair à pair et la sécurité . . . . . . . . . . . . . . . . . . . . . . . 384Exemples : Skype . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Franchir les pare-feu : vers une norme ? . . . . . . . . . . . . . . . . . 388

Téléphonie IP : quelques remarques . . . . . . . . . . . . . . . . . . 389Une grande variété de protocoles peu sûrs . . . . . . . . . . . . . . . . 390Précautions pour la téléphonie IP . . . . . . . . . . . . . . . . . . . . 390

Sécurité réseau avec IPv6 . . . . . . . . . . . . . . . . . . . . . . . . 392IPv6 améliore-t-il la sécurité du réseau ? . . . . . . . . . . . . . . . . 392Principales différences entre les deux protocoles . . . . . . . . . . . . . 393Mythes de la sécurité IPv6 . . . . . . . . . . . . . . . . . . . . . . . 393Nouvelles failles, travaux en cours . . . . . . . . . . . . . . . . . . . . 395Fragmentation, découverte de voisins . . . . . . . . . . . . . . . . . . 397Scénarios de transition et sécurité . . . . . . . . . . . . . . . . . . . . 397Tâches pour les années à venir . . . . . . . . . . . . . . . . . . . . . 398

Chapitre Tendances des pratiques de sécurisation des SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

Les six idées les plus stupides en sécurité, selon Ranum . . . . . . . . 400Idée stupide no 1 : par défaut, tout est autorisé . . . . . . . . . . . . . 401Idée stupide no 2 : prétendre dresser la liste des menaces . . . . . . . . . 401Idée stupide no 3 : tester par intrusion, puis corriger . . . . . . . . . . . 403Idée stupide no 4 : les pirates sont sympas . . . . . . . . . . . . . . . . 403Idée stupide no 5 : compter sur l’éducation des utilisateurs . . . . . . . . 404Idée stupide no 6 : l’action vaut mieux que l’inaction . . . . . . . . . . . 405Quelques idioties de seconde classe . . . . . . . . . . . . . . . . . . . 405

Les cinquante prochaines années . . . . . . . . . . . . . . . . . . . . 406Détection d’intrusion, inspection en profondeur . . . . . . . . . . . . 407

livre2-Eyrolles 27 juin 2016 17:18 Page XVIII ��

�� ��

��

XVIIISécurité informatique

Pare-feu à états . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407Détection et prévention d’intrusion . . . . . . . . . . . . . . . . . . . 407Inspection en profondeur . . . . . . . . . . . . . . . . . . . . . . . . 408Critique des méthodes de détection . . . . . . . . . . . . . . . . . . . 408Répartition de charge et mandataire applicatif . . . . . . . . . . . . . . 409

Menaces et confidentialité persistantes . . . . . . . . . . . . . . . . . 411Programmes malfaisants furtifs et persistants (APT) . . . . . . . . . . 411Confidentialité persistante (forward secrecy) . . . . . . . . . . . . . . . 411

À qui obéit votre ordinateur ? . . . . . . . . . . . . . . . . . . . . . . 412Conflit de civilisation pour les échanges de données numériques . . . . . 412Dispositifs techniques de prohibition des échanges . . . . . . . . . . . 414Informatique de confiance ou informatique déloyale ? . . . . . . . . . . 418Mesures de rétorsion contre les échanges de données . . . . . . . . . . 419Signature électronique et sécurité des échanges . . . . . . . . . . . . . 426Gestion des droits numériques et politique publique . . . . . . . . . . . 427L’Internet instaure-t-il une société de surveillance ? . . . . . . . . . . . 428

Chapitre Attaques cyber et gestion de crise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

Bruce Schneier et la réaction aux incidents . . . . . . . . . . . . . . . 432Protection, détection, réaction . . . . . . . . . . . . . . . . . . . . . 432Amplification du facteur humain . . . . . . . . . . . . . . . . . . . . 433Observer, orienter, décider, agir . . . . . . . . . . . . . . . . . . . . . 434Tests de pénétration . . . . . . . . . . . . . . . . . . . . . . . . . . 435

Menaces et attaques cyber . . . . . . . . . . . . . . . . . . . . . . . 436Diffuses, opportunistes, ciblées : savoir distinguer les attaques . . . . . . 436Identifier les motivations des attaquants . . . . . . . . . . . . . . . . . 438Organisation des attaquants . . . . . . . . . . . . . . . . . . . . . . 441

Principes de gestion de crise cyber . . . . . . . . . . . . . . . . . . . 443Dispositif de gestion de crise global . . . . . . . . . . . . . . . . . . . 443Les étapes d’une gestion de crise cyber . . . . . . . . . . . . . . . . . 447

Chapitre Sécurité des systèmes Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451Ligne Maginot et Blitzkrieg . . . . . . . . . . . . . . . . . . . . . . 452Une situation historique en voie d’amélioration . . . . . . . . . . . . . 452Approche et organisation du chapitre . . . . . . . . . . . . . . . . . . 453

Composition d’un environnement Windows classique . . . . . . . . 454

livre2-Eyrolles 27 juin 2016 17:18 Page XIX ��

�� ��

��

XIXTable des matières

Protocoles d’authentification, stockage des mots de passe . . . . . . . 455Mode d’authentification . . . . . . . . . . . . . . . . . . . . . . . . 455NTLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456Stockage de mots de passe . . . . . . . . . . . . . . . . . . . . . . . 460Utilisateurs, groupes, unités organisationnelles, domaines et forêts . . . . 462Stratégies de groupe (GPO) . . . . . . . . . . . . . . . . . . . . . . 464Permissions sur les fichiers . . . . . . . . . . . . . . . . . . . . . . . 465Partages réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Savoir attaquer pour savoir défendre . . . . . . . . . . . . . . . . . . 467Du besoin de savoir attaquer pour savoir défendre . . . . . . . . . . . . 467Attaque avec accès physique . . . . . . . . . . . . . . . . . . . . . . 468Attaque sur les flux réseau . . . . . . . . . . . . . . . . . . . . . . . 471Déplacement latéral et élévation . . . . . . . . . . . . . . . . . . . . 472Post exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475

Sécurisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477Durcissement d’un système Windows . . . . . . . . . . . . . . . . . . 477Chiffrement disque . . . . . . . . . . . . . . . . . . . . . . . . . . 478Contrôle d’accès réseau . . . . . . . . . . . . . . . . . . . . . . . . . 481Contrôle d’accès système . . . . . . . . . . . . . . . . . . . . . . . . 482Durcissement du domaine . . . . . . . . . . . . . . . . . . . . . . . 490Durcissement de l’écosystème . . . . . . . . . . . . . . . . . . . . . . 502

Évolutions de la sécurité sur les versions plus récentes . . . . . . . . . 503Améliorations apportées par Windows 8.1 et Windows Server 2012 . . . 503Nouveauté de Windows 10 et Windows Server 2016 . . . . . . . . . . 505

Chapitre Sécurité des systèmes mobiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507

Sécurité et sûreté pour Android . . . . . . . . . . . . . . . . . . . . . 507Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . 509Android est-il véritablement open-source ? . . . . . . . . . . . . . . . 512Modèle de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 514La sécurité pour l’utilisateur . . . . . . . . . . . . . . . . . . . . . . 517Historique et écosystème . . . . . . . . . . . . . . . . . . . . . . . . 519Besoins de sécurisation de cette plate-forme . . . . . . . . . . . . . . . 524Conclusion sur Android . . . . . . . . . . . . . . . . . . . . . . . . 527

Sécurité et sûreté pour iOS . . . . . . . . . . . . . . . . . . . . . . . 528Hypothèses pour la sûreté des mobiles . . . . . . . . . . . . . . . . . 528

livre2-Eyrolles 27 juin 2016 17:18 Page XX ��

�� ��

��

XXSécurité informatique

Sécurité hors-ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . 529Capacités et profils . . . . . . . . . . . . . . . . . . . . . . . . . . . 531Sécurité en réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Focus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536

Chapitre Cybersécurité : dimension géostratégique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539

Les acteurs et leur terrain . . . . . . . . . . . . . . . . . . . . . . . . 540Organisation de l’Internet . . . . . . . . . . . . . . . . . . . . . . . 542Le contexte économique . . . . . . . . . . . . . . . . . . . . . . . . 543

Du monopole au pluralisme . . . . . . . . . . . . . . . . . . . . . . 543Internet et téléphonie classique : deux conceptions . . . . . . . . . . . 544Neutralité du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . 545

L’hégémonie américaine en question . . . . . . . . . . . . . . . . . . 547Un point stratégique : les noms de domaines (DNS) . . . . . . . . . . . 547L’opposition stérile des Européens . . . . . . . . . . . . . . . . . . . 549La réaction de la Chine . . . . . . . . . . . . . . . . . . . . . . . . 550Un système de noms de domaines à deux étages . . . . . . . . . . . . . 550

Quelles armes pour la guerre sur Internet ? . . . . . . . . . . . . . . . 552Premières tentatives . . . . . . . . . . . . . . . . . . . . . . . . . . 552Stuxnet, Flame . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553Hacking Team : la main dans le sac . . . . . . . . . . . . . . . . . . . 555

Épisodes conflictuels . . . . . . . . . . . . . . . . . . . . . . . . . . 555Estonie et Géorgie . . . . . . . . . . . . . . . . . . . . . . . . . . . 555WikiLeaks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557Tunisie, Égypte : Internet pour la liberté ? . . . . . . . . . . . . . . . . 560

Peut-on éteindre l’Internet ? . . . . . . . . . . . . . . . . . . . . . . 560Par attaque à la racine du DNS ? . . . . . . . . . . . . . . . . . . . . 561Par attaque sur le routage ? . . . . . . . . . . . . . . . . . . . . . . . 561Vulnérabilité à l’extinction, capacité d’éteindre . . . . . . . . . . . . . . 562

La cybersécurité en 2016 . . . . . . . . . . . . . . . . . . . . . . . . 563Recommandations au législateur . . . . . . . . . . . . . . . . . . . . 563Cyberoffensive, cyberdissuasion . . . . . . . . . . . . . . . . . . . . . 565Arrangement de Wassenaar . . . . . . . . . . . . . . . . . . . . . . 566

Gouvernance de l’Internet . . . . . . . . . . . . . . . . . . . . . . . 567L’ICANN peut-elle devenir indépendante ? . . . . . . . . . . . . . . . 567La gouvernance de l’Internet est question de stratégie . . . . . . . . . . 568

Les révélations d’Edward Snowden . . . . . . . . . . . . . . . . . . . 569Vers une société de surveillance ? . . . . . . . . . . . . . . . . . . . . 569

livre2-Eyrolles 27 juin 2016 17:18 Page XXI ��

�� ��

��

XXITable des matières

Les faits révélés excèdent les hypothèses antérieures . . . . . . . . . . . 570Évaporation de la confiance . . . . . . . . . . . . . . . . . . . . . . 571La défense s’organise . . . . . . . . . . . . . . . . . . . . . . . . . . 573Espionnage économique . . . . . . . . . . . . . . . . . . . . . . . . 573Politique française . . . . . . . . . . . . . . . . . . . . . . . . . . . 574

Protection des opérateurs d’importance vitale . . . . . . . . . . . . . 576Le pilotage par l’ANSSI en France . . . . . . . . . . . . . . . . . . . 576Loi de programmation militaire . . . . . . . . . . . . . . . . . . . . 577Le programme américain EINSTEIN . . . . . . . . . . . . . . . . . 578

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613

livre2-Eyrolles 27 juin 2016 17:18 Page XXII ��

�� ��

��

livre2-Eyrolles 27 juin 2016 17:18 Page 1 ��

�� ��

��

Avant-propos

Ce livre procurera au lecteur les connaissances de base en sécurité informatiquedont aucun utilisateur d’ordinateur ni aucun internaute ne devrait être dépourvu,qu’il agisse dans le cadre professionnel ou à titre privé. Nous proposons ainsi despistes pour aider chacun à voir clair dans un domaine en évolution rapide, où l’in-formation de qualité est parfois difficile à distinguer au sein du vacarmemédiatiqueet des rumeurs sans fondement.

Plutôt que de proposer des recettes à appliquer telles quelles et qui dans un do-maine en évolution rapide seraient de toute façon vouées à une prompte péremp-tion, nous présenterons des axes de réflexion accompagnés d’exemples techniques.

L’Internet est au cœur des questions de sécurité informatique : nous rappelleronsbrièvement ses principes de fonctionnement, placés sous un éclairage qui fera ap-paraître les risques qui en découlent. Pas de sûreté de fonctionnement sans un bonsystème d’exploitation : nous passerons en revue les qualités que nous sommes endroit d’en attendre. Nous examinerons les différentes formes de malfaisance infor-matique, sans oublier les aspects organisationnels et sociaux de la sécurité. Pour lesentreprises, nous proposerons quelques modèles de documents utiles à l’encadre-ment des activités informatiques de leur personnel.

La protection des systèmes d’information repose aujourd’hui sur la cryptographie :nous donnerons un exposé aussi simple que possible des principes de cette science,qui permettra au lecteur qui le souhaite d’en comprendre les bases mathématiques.Celui qui serait rebuté par ces aspects pourra en première lecture sauter sans tropde dommages ces développements.

livre2-Eyrolles 27 juin 2016 17:18 Page 2 ��

�� ��

��

2Sécurité informatique

Nous poursuivrons par un tour d’horizon des possibilités récentes de l’Internet, quiengendrent de nouveaux risques : échanges de fichiers pair à pair, informatiqueen nuage (Cloud Computing), téléphonie sur IP (Internet Protocol), publication dedonnées personnelles sur les réseaux sociaux...

Enfin l’Internet joue dans la politique et l’économie mondiales un rôle comparableà celui des océans entre 1800 et 1930 et les États-Unis y occupent une position do-minante analogue à celle de la Grande-Bretagne sur les mers à l’époque victorienne,cependant que les points d’échanges de l’Internet (IXP) sont aussi importants stra-tégiquement que lesDardanelles et le canal de Suez l’étaient à cette époque. Il seraitdonc étonnant qu’un espace public d’une telle importance stratégique ne soit pasl’objet de rivalités et de conflits, et effectivement rivalités et conflits y éclatent. Lacyberdéfense et la cyberstratégie deviennent des préocupations centrales pour tousles gouvernements, plus de trente pays ont créé des unités de cyberdéfense. Nousavons consacré notre chapitre no 17 p. 539 aux questions de sécurité, de défense etde stratégie dans le cyberespace.

CyberespaceNous pouvons définir le cyberespace comme l’ensemble des données numérisées (logiciels etdocuments textuels, sonores, graphiques ou visuels) disponibles sur l’Internet et des infrastruc-tures matérielles et logicielles qui leur confèrent l’ubiquité.Nous proposons pour décrire et analyser ce nouvel espace un modèle en quatre couches (cf.Révolution cyberindustrielle en France [41]) :

1. couche physique : les infrastructures, fibres optiques transocéaniques, faisceaux hert-ziens, points d’échanges de l’Internet (IXP) où se trouvent les routeurs qui sont lespostes d’aiguillage de l’Internet ;

2. couche commande et contrôle (C&C) : le système de noms de domaines (DNS), lestables et les protocoles de routage, les logiciels qui les implémentent dans les routeurs ;

3. couche logique : les données publiées, les logiciels qui permettent d’y accéder et deles transformer ; serveurs web, moteurs de recherche, navigateurs, Contents DeliveryNetworks (CDN), systèmes de chiffrement...

4. couche cognitive : l’esprit et l’intellection des internautes, organisés par la sémantiqueet la syntaxe des interfaces d’accès à la couche logique.

Michel Volle ²nous suggère que « plusieurs dialectiques se nouent [dans le cyberespace] : cellede la centralisation des ressources informatiques, avec le “cloud computing” [l’informatique ennuage], et de la décentralisation des accès et interfaces avec l’Internet des objets ; celle du cy-berespace, négation de la distance géographique, et de l’espace physique à trois dimensionsdans lequel sont plongés nos corps et nos biens ; celle aussi, nous le verrons, du droit et de laviolence. »

2. http://www.strato-analyse.org/fr/spip.php?article222

livre2-Eyrolles 27 juin 2016 17:18 Page 3 ��

�� ��

��

3Avant-propos

Les lignes qui suivent sont avant tout le fruit de nos expériences professionnellesrespectives, notamment dans les fonctions de responsable de la sécurité des sys-tèmes d’information de l’Institut national de la santé et de la recherche médicale(INSERM), d’expert des protocoles de l’Internet au sein de la division OrangeBusiness Services de France Télécom, d’ingénieur de recherche et développementen cryptographie au sein de Thalès, et de consultant en sécurité, auditeur et pene-tration tester au sein du cabinet Solucom.

L’informatique en général, ses domaines techniques plus que les autres et celui dela sécurité tout particulièrement, sont envahis de « solutions » que des entreprisess’efforcent de vendre à des clients qui pourraient être tentés de les acheter avantd’avoir identifié les problèmes qu’elles sont censées résoudre. Il est vrai que la dé-marche inductive est souvent fructueuse dans les domaines techniques et que ladémonstration d’une solution ingénieuse peut faire prendre conscience d’un pro-blème, et du coup aider à sa solution. Mais l’induction ne peut trouver son cheminque dans un esprit déjà fécondé par quelques interrogations : le but des lignes quisuivent est de contribuer à cet effort de réflexion.

L’axe de ce livre, on l’aura compris, n’est pas dirigé vers les modes d’emploi delogiciels ou de matériels de sécurité, mais plutôt vers la position et l’explication desproblèmes de sécurité, insérés dans un contexte technique dont il faut comprendreles tenants et les aboutissants si l’on veut adopter des solutions raisonnables. Etdonner dans un livre des solutions techniques ou, pire, des recettes toutes faites,nous semblerait futile à une heure où le contexte technique évolue si vite que leWeb et la presse spécialisée (qui se développe, y compris en langue française, cf. parexemple la revue MISC) nous semblent bien mieux placés pour répondre à ce typed’attente. Il nous a paru plus judicieux de proposer au lecteur un tour d’horizon desproblèmes afin qu’il puisse plus facilement, le moment venu, choisir entre plusieurssolutions techniques qui pourraient s’offrir à lui face à un problème concret.

Mode d’emploi du livre

Comment aborder la lecture de ce livre ? Il propose une progression des explica-tions. La cryptographie – point le plus difficile parce qu’assez technique mais à labase de tout le reste – fait d’abord l’objet d’une évocation informelle et succincte(chapitre 1), ensuite d’une présentation générale de la fonction de chiffrement,sans préjuger de ce qu’elle est (chapitre 2), puis d’une explication précise avec ex-posé mathématique (chapitre 4). Il semble difficile de faire autrement, car certainslecteurs ont le droit de ne pas lire les mathématiques du chapitre 4, mais ils ont

livre2-Eyrolles 27 juin 2016 17:18 Page 4 ��

�� ��

��

4Sécurité informatique

aussi le droit de comprendre le reste quand même. Une explication complète, dèsle début, risquerait de décourager le lecteur ; supprimer l’explication préalable duchapitre 2 saperait les développements qui suivent. Cette progression a un prix,des flashbacks : nous pensons qu’il vaut mieux revenir sur un sujet que d’égarer lelecteur par une attaque trop abrupte.

Conventions typographiquesLes textes encadrés ainsi sont destinés à des explications plus techniques que les autres passages,à des exemples pratiques ou à des apartés.Les nombres entre crochets comme ceci [24] renvoient aux entrées de la bibliographie, en finde volume.

Le livre comporte quatre parties, qui nous semblent correspondre aux quatre axesselon lesquels un responsable de sécurité doit déployer ses compétences et son ac-tivité :

• la première partie expose les principes généraux de sécurité, de façon aussipeu technique que possible ; tout directeur du système d’information, toutchef de projet doit posséder ces principes ;

• la seconde partie, consacrée à la science de la sécurité informatique, présenteles bases scientifiques sur lesquelles reposent les techniques pratiques ; elleest plus exigeante pour le lecteur en termes de difficulté conceptuelle ;

• la troisième partie aborde les aspects politiques, sociaux et psychologiquesde la sécurité ; vous devriez pouvoir la placer sous les yeux de votre directeurjuridique et de votre DRH ;

• la quatrième partie, qui envisage les évolutions récentes des menaces et de lasécurité, devrait intéresser quiconque navigue régulièrement sur l’Internet.

Remerciements

La liste de tous ceux à qui ce livre doit quelque chose est trop longue pour quenous prétendions la dresser sans oublier de noms.

Nous citerons Dominique Sabrier et Marie-Capucine Berthier, pour leurs relec-tures toujours précises et d’une exigence judicieuse. L’idée de ce livre naquit d’unenseignement de master organisé à l’université Paris 12 par Alexis Bès. ChristianQueinnec (outre sa préface),MichelGaudet, Bernard Perrot, Patrick Lerouge, Nat

livre2-Eyrolles 27 juin 2016 17:18 Page 5 ��

�� ��

��

5Avant-propos

Makarevitch et Solveig ont relu, utilement commenté, conseillé et encouragé. Noscollègues de l’Inserm, d’Orange, de l’université Paris-Dauphine, de Thalès et deSolucom, sans en avoir forcément eu conscience, ont aussi contribué tant par leséchanges d’expériences et d’avis que par les situations concrètes soumises à notreexamen. Muriel Shan Sei Fan fut une éditrice à l’exigence stimulante. FlorenceHenry et Sébastien Mengin ont mis à la composition la touche finale qui fait l’es-thétique de l’ouvrage. Pour la cinquième édition, chez l’éditeur, Alexandre Habian,Sophie Hincelin et leur équipe ont pris la relève.

Les activités et réunions organisées par l’Observatoire de la sécurité des systèmesd’information et des réseaux (OSSIR), par le Symposium sur la sécurité des tech-nologies de l’information et de la communication (SSTIC) et par les Journéesréseau de l’enseignement supérieur ( JRES) ainsi que les conférences Hackito ErgoSum Sum et NoSuchCon furent des sources d’inspiration permanentes : parmi lesintervenants, nous citerons notamment Éric Filiol, Nicolas Ruff, Hervé Schauer,Ary Kokos. Je remercie le regretté François Bayen pour ses suggestions qui ontamélioré notablement les exposés cryptographiques du chapitre 4. La responsabi-lité des erreurs qui subsistent néanmoins dans ce texte ne peut être imputée qu’auxauteurs.

Ce livre a été écrit, composé etmis en page aumoyen de logiciels libres, notammentGNU/Linux, GNU/Emacs, TEX, (Xe)LATEX, Bib(La)TEX et xfig : il convientd’en remercier ici les auteurs et contributeurs, dont le travail désintéressé élargit lechamp de la liberté d’expression.

Note pour la cinquième édition

Lorsque le temps est venu de préparer la cinquième édition de ce livre, dix anss’étaient écoulés et une mise à jour plus profonde que pour les rééditions précé-dentes s’imposait. Si les grands principes sont restés les mêmes, de nouveaux su-jets ont été introduits, et pour ce faire de nouveaux co-auteurs sont venus nous re-joindre : Ary Kokos, Gérôme Billois, Arnaud Soullié, Alexandre Anzala-Yamajakoet Thomas Debize, grâce à qui nous avons un chapitre très substantiel sur la sécu-rité des systèmesWindows récents, un chapitre sur la sécurité des systèmesmobilesAndroid et iOS, un chapitre nouveau sur la gestion de crise et la réaction aux in-cidents, et une refonte complète du chapitre sur la cryptographie, qui traite désor-mais les sujets d’actualité du domaine que sont la cryptographie post-quantique etle chiffrement homomorphique. Cet apport d’idées nouvelles donnera au lecteur,nous l’espérons, un intérêt accru pour cet ouvrage.

livre2-Eyrolles 27 juin 2016 17:18 Page 6 ��

�� ��

��

livre2-Eyrolles 27 juin 2016 17:18 Page 7 ��

�� ��

��

Première partie

Principes de sécuritédu système d’information

livre2-Eyrolles 27 juin 2016 17:18 Page 8 ��

�� ��

��

livre2-Eyrolles 27 juin 2016 17:18 Page 9 ��

�� ��

��

1Premières notions

de sécurité

Ce chapitre introduit les notions de base de la sécurité informatique : menace,risque, vulnérabilité ; il effectue un premier parcours de l’ensemble du domaine, deses aspects humains, techniques et organisationnels, sans en donner de descriptiontechnique.

Menaces, risques et vulnérabilitésLa sécurité des systèmes d’information (SSI) est une discipline de première im-portance car le système d’information (SI) est pour toute entreprise un élémentabsolument vital : le lecteur de ce livre, a priori, devrait être déjà convaincu decette évidence, mais il n’est peut-être pas inutile de lui procurer quelques argu-ments pour l’aider à en convaincre ses collègues et les dirigeants de son entreprise.Il pourra à cet effet consulter le livre de Michel Volle e-conomie [285], disponibleen ligne, qui explique comment le SI d’une entreprise comme Air France, qui com-porte notamment le système de réservation Amadeus, est un actif plus crucial queles avions. En effet, toutes les compagnies font voler des avions : mais la différence

livre2-Eyrolles 27 juin 2016 17:18 Page 10 ��

�� ��

��

10Principes de sécurité du système d’informationPremière partie

entre celles qui survivent et celles qui disparaissent (rappelons les disparitions suc-cessives des compagnies Panam, TWA, Swissair, Sabena au tournant des années2000) réside d’une part dans l’aptitude à optimiser l’emploi du temps des équipageset des avions, notamment par l’organisation de hubs, c’est-à-dire de plates-formesoù convergent des vols qui amènent des passagers qui repartiront par d’autres volsde la compagnie, d’autre part dans l’aptitude à remplir les avions de passagers quiauront payé leur billet le plus cher possible, grâce à la technique du yield manage-ment qui consiste à calculer pour chaque candidat au voyage le prix à partir duquelil renoncerait à prendre l’avion et à lui faire payer juste un peu moins. Ce qui per-met aux compagnies d’atteindre ces objectifs et ainsi de l’emporter sur leurs rivales,c’est bien leur SI, qui devient dès lors un outil précieux, irremplaçable, en un motvital. Il est probable que la valeur de la compagnie Air France réside plus dansle système de réservation Amadeus que dans ses avions, qui sont les mêmes pourtoutes les compagnies et souvent en location ou crédit-bail.

Vocabulaire : sécurité et sûretéLe plus gros de la littérature relative à l’informatique est écrit en anglais et les questions detraduction sont importantes pour qui veut avoir les idées claires. Pierre-Luc Réfalo a attiré notreattention sur un couple particulièrement pernicieux de faux-amis : l’anglais security désigne,dans notre domaine, tout ce qui a trait aux actes de malveillance, et doit être traduit par lefrançais sûreté, cependant que l’anglais safety concerne ce qui a trait aux dommages accidentels,et doit être traduit en français par sécurité.

La même chose est déjà vraie depuis longtemps pour les banques, bien sûr, et lesévénements financiers de la fin de l’année 2008 ont bien montré que le SI, selonqu’il était utilisé à bon ou mauvais escient, pouvait avoir des effets puissants enbien ou en mal. Jean-François Gayraud a décrit dans son livre Le nouveau capita-lisme criminel. Crises financières, narcobanques, trading de haute fréquence [115] lesextrémités auxquelles pouvaient conduire de tels usages.

Puisque le SI est vital, tout ce qui le menace est potentiellement mortel : celasemble couler de source, et pourtant les auteurs de ce livre peuvent témoigner desdifficultés qu’ils ont pu éprouver en essayant de convaincre leurs employeurs deconsacrer quelques efforts à la sécurité de leur SI. Conjurer les menaces contre leSI est devenu impératif, et les lignes qui suivent sont une brève description de cequ’il faut faire pour cela.

Les menaces contre le système d’information entrent dans l’une des catégories sui-vantes : atteinte à la disponibilité des systèmes et des données, destruction de don-

livre2-Eyrolles 27 juin 2016 17:18 Page 11 ��

�� ��

��

11Premières notions de sécurité

Chapitre 1

nées, corruption ou falsification de données, vol ou espionnage de données, usageillicite ou sabotage d’un système ou d’un réseau, usage d’un système compromispour attaquer d’autres cibles. La falsification de sites web à fin de détournementde fonds est aujourd’hui la forme d’attaque qui connaît l’expansion la plus rapide.

Les menaces engendrent des risques et des coûts humains et financiers : pertede confidentialité de données sensibles, indisponibilité des infrastructures et desdonnées, dommages pour le patrimoine intellectuel et la notoriété. Les risquespeuvent se réaliser si les systèmes menacés présentent des vulnérabilités.

Il est possible de préciser la notion de risque en la décrivant comme le produit d’unpréjudice par une probabilité d’occurrence :

risque = préjudice× probabilité d’occurrence

Cette formule exprime qu’un événement dont la probabilité à survenir est assezélevée, par exemple la défaillance d’un disque dur, mais dont il est possible deprévenir le préjudice qu’il peut causer par des sauvegardes régulières, représenteun risque acceptable ; il en va de même pour un événement à la gravité imparable,comme l’impact d’une météorite de grande taille, mais à la probabilité d’occurrencefaible. Il va de soi que, dans le premier cas, le risque ne devient acceptable que siles mesures de prévention contre le préjudice sont effectives et efficaces : cela iraitsans dire, si l’oubli de cette condition n’était très fréquent (cf. page 23).

Si la question de la sécurité des systèmes d’information a été radicalement boule-versée par l’évolution rapide de l’Internet, elle ne saurait s’y réduire ; il s’agit d’unvaste problème dont les aspects techniques ne sont qu’une partie. Les aspects juri-diques, sociaux, ergonomiques, psychologiques et organisationnels sont aussi im-portants, sans oublier les aspects immobiliers, mais nous commencerons par lesaspects techniques liés à l’informatique.

Aspects techniques de la sécurité informatiqueLes problèmes techniques actuels de sécurité informatique peuvent, au moins pro-visoirement, être classés en deux grandes catégories :

• ceux qui concernent la sécurité de l’ordinateur proprement dit, serveur, postede travail, smartphone ou tablette, de son système d’exploitation et des don-nées qu’il abrite ;

livre2-Eyrolles 27 juin 2016 17:18 Page 12 ��

�� ��

��

12Principes de sécurité du système d’informationPremière partie

• ceux qui découlent directement ou indirectement de l’essor des réseaux et duWeb, qui multiplie la quantité et la gravité des menaces.

Si les problèmes de la première catégorie citée ici existent depuis la naissance del’informatique, il est clair que l’essor des réseaux, puis de l’Internet, en a démul-tiplié l’impact potentiel en permettant leur combinaison avec ceux de la secondecatégorie.

La résorption des vulnérabilités repose sur un certain nombre de principes et deméthodes que nous allons énumérer dans la présente section avant de les décrireplus en détail.

Définir risques et objets à protéger

Fixer un périmètre de sécurité et élaborer une politique de sécurité

Inutile de se préoccuper de sécurité sans avoir défini ce qui était à protéger : end’autres termes, toute organisation désireuse de protéger ses systèmes et ses ré-seaux doit déterminer son périmètre de sécurité. Le périmètre de sécurité, au sein del’univers physique, délimite l’intérieur et l’extérieur, mais sa définition doit aussi en-glober (ou pas) les entités immatérielles qui peuplent les ordinateurs et les réseaux :essentiellement les logiciels et en particulier les systèmes d’exploitation. Avec ledéveloppement de l’informatique en nuage et des pratiques AVPA (Amenez votrepropre appareil , expression imaginée par les Canadiens pour traduire Buy Your OwnDevice, BYOD) cette définition du périmètre de sécurité devient de plus en plusdifficile et incertaine, mais elle n’en est que plus nécessaire : l’entreprise doit pou-voir distinguer ce qui lui appartient, que ce soit matériel ou immatériel, de ce quine lui appartient pas.

Il est également important de définir contre qui et quoi l’entreprise doit se prémunir.En effet les mesures à appliquer pour se prémunir d’un même risque, par exemplede fuite d’informations, ne seront pas les mêmes si l’attaquant est un pirate peuexpérimenté ou une agence de renseignement. Cette définition du périmètre et duniveau souhaités est parfois appelée cible de sécurité.

Une fois ce périmètre fixé, il faut aussi élaborer une politique de sécurité, c’est-à-dire décider de ce qui est autorisé et de ce qui est interdit. À cette politiqueviennent en principe s’ajouter les lois et les règlements en vigueur, qui s’imposent àtous. Nous disons « en principe », parce que l’identification des lois en vigueur n’estrien moins qu’évidente : en vigueur où ? La législation française interdit la mise en

livre2-Eyrolles 27 juin 2016 17:18 Page 13 ��

�� ��

��

13Premières notions de sécurité

Chapitre 1

ligne de certaines œuvres à qui n’en possède pas les droits et réprime certains proposdiscriminatoires, mais d’autres pays ont des législations plus laxistes ; or qui peutm’empêcher d’installer un site xénophobe et de téléchargement illégal dans un telpays, et d’y attirer les internautes français ?

Si avec l’aide du service juridique de votre entreprise vous avez réussi à surmonterces difficultés et à mettre sur pied une politique de sécurité des systèmes d’informa-tion, il vous sera possible de mettre en place les solutions techniques appropriéesà la défense du périmètre selon la politique choisie. Mais déjà, il est patent queles dispositifs techniques ne pourront pas résoudre tous les problèmes de sécurité.De surcroît, la notion même de périmètre de sécurité est aujourd’hui battue enbrèche par des phénomènes comme la multiplication des ordinateurs portables etautres objets mobiles informatiques en réseau (smartphones et tablettes...) qui, pardéfinition, se déplacent de l’intérieur à l’extérieur et inversement – à quoi s’ajouteencore l’extraterritorialité de fait des activités sur l’Internet et l’informatique ennuage (Cloud Computing) qui empêche même de savoir où sont les données, oùont lieu les traitements et quelles législations s’y appliquent.

Périmètres et frontières

La notion de périmètre de sécurité, ainsi que le signalait déjà la section précé-dente, devient de plus en plus fragile au fur et à mesure que les frontières entrel’extérieur et l’intérieur de l’entreprise ainsi qu’entre les pays deviennent plus floueset plus poreuses. Interviennent ici des considérations topographiques : les ordina-teurs portables entrent et sortent des locaux et des réseaux internes pour aller sefaire contaminer à l’extérieur ; mais aussi des considérations logiques : quelles sontles lois et les règles qui peuvent s’appliquer à un serveur hébergé aux États-Unis,qui appartient à une entreprise française et qui sert des clients brésiliens et cana-diens ?

La justice et les fournisseurs français d’accès à l’Internet (FAI) en ont fait l’expé-rience : un certain nombre d’organisations ont déposé devant les tribunaux fran-çais des plaintes destinées à faire cesser la propagation de pages web à contenusnégationnistes, effectivement attaquables en droit français. Mais ces sites étaientinstallés aux États-Unis, pays dépourvu d’une législation anti-négationniste, ce quiempêchait tout recours contre les auteurs et les éditeurs des pages en question. Lesplaignants se sont donc retournés contre les FAI français, par l’intermédiaire des-quels les internautes pouvaient accéder aux pages délictueuses, mais sans succès.En effet, ainsi que nous le verrons à la page 414, le filtrage de contenus sur l’Inter-net est une entreprise coûteuse, aux résultats incertains, et en fin de compte vaine,

livre2-Eyrolles 27 juin 2016 17:18 Page 14 ��

�� ��

��

14Principes de sécurité du système d’informationPremière partie

car les éditeurs des pages en question disposent de nombreux moyens pour déjouerles mesures de prohibition.

Sur le filtrage de contenus, on peut lire le rapport Kahn-Brugidou [53] ; le sitewww.legalis.net [172] assure une veille juridique bien faite sur toutes les ques-tions liées aux développements de l’informatique et de l’Internet ; les livres deSolveig Godeluck [118] et de Lawrence Lessig [173] replacent ces questions dansun contexte plus général.

Ressources publiques, ressources privées

Les systèmes et les réseaux comportent des données et des programmes que nousconsidérerons comme des ressources. Certaines ressources sont d’accès public, ainsicertains serveurs web, d’autres sont privées pour une personne, comme une boîteà lettres électronique, d’autres enfin sont privées pour un groupe de personnes,comme l’annuaire téléphonique interne d’une entreprise. Ce caractère plus oumoins public d’une ressource doit être traduit dans le système sous forme de droitsd’accès, comme nous le verrons à la page 48 où cette notion est présentée.

Identifier et authentifier

Les personnes qui accèdent à une ressource non publique doivent être identifiées ;leur identité doit être authentifiée ; leurs droits d’accès doivent être vérifiés au regarddes habilitations qui leur ont été attribuées. À ces trois actions correspond un pre-mier domaine des techniques de sécurité : les méthodes d’authentification, de si-gnature, de vérification de l’intégrité des données et d’attribution de droits.

Concepts : habilitationUne habilitation donnée à un utilisateur et consignée dans une base de données adéquate estune liste de droits d’accès et de pouvoirs formulés de telle sorte qu’un système informatiquepuisse les vérifier automatiquement.

La sécurité des accès par le réseau à une ressource protégée n’est pas suffisammentgarantie par la seule identification de leurs auteurs. Sur un réseau local de typeEthernet ou Wi-Fi où la circulation des données fonctionne selon le modèle del’émission radiophonique que tout le monde est censé pouvoir capter, il est pos-sible à un tiers de détourner cette circulation. Si la transmission a lieu à travers

livre2-Eyrolles 27 juin 2016 17:18 Page 15 ��

�� ��

��

15Premières notions de sécurité

Chapitre 1

l’Internet, les données circulent de façon analogue à une carte postale, c’est-à-direqu’au moins le facteur et la concierge y ont accès. Dès lors que les données doiventêtre protégées, il faut faire appel aux techniques d’un autre domaine de la sécuritéinformatique : le chiffrement.

Authentification et chiffrement sont indissociables : chiffrer sans authentifier neprotège pas des usurpations d’identité (comme notamment l’attaque par interpo-sition, dite en anglais attaque de type Man in the middle et décrite à la page 60),authentifier sans chiffrer laisse la porte ouverte au vol de données.

Empêcher les intrusions

Ces deux méthodes de sécurité ne suffisent pas, il faut en outre se prémunir contreles intrusions destinées à détruire ou corrompre les données, ou à en rendre l’accèsimpossible. Les techniques classiques contre ce risque sont l’usage de pare-feu (fire-walls) et le filtrage des communications réseau, qui permettent de protéger la partieprivée d’un réseau dont les stations pourront communiquer avec l’Internet sans enêtre « visibles » ; le terme visible est ici une métaphore qui exprime que nul systèmeconnecté à l’Internet ne peut accéder aux machines du réseau local de sa propreinitiative (seules ces dernières peuvent établir un dialogue) et que le filtre interditcertains types de dialogues ou de services, ou certains correspondants (reconnusdangereux).

La plupart des entreprises mettent en place des ordinateurs qu’elles souhaitentrendre accessibles aux visiteurs extérieurs, tels que leur serveur web et leur relais demessagerie. Entre le réseau privé et l’Internet, ces machines publiques seront pla-cées sur un segment du réseau ouvert aux accès en provenance de l’extérieur, maisrelativement isolé du réseau intérieur, afin qu’un visiteur étranger à l’entreprise nepuisse pas accéder aux machines à usage strictement privé. Un tel segment de ré-seau est appelé zone démilitarisée (DMZ), en souvenir de la zone du même nomqui a été établie entre les belligérants à la fin de la guerre de Corée. Les machinesen DMZ, exposées donc au feu de l’Internet, seront appelées bastions.

Certains auteurs considèrent que ces techniques de sécurité par remparts, ponts-levis et échauguettes sont dignes du Moyen Âge de l’informatique ; ils leur pré-fèrent les systèmes de détection d’intrusion (IDS), plus subtils, qui sont décrits àpartir de la page 407. Cette innovation a suscité une surenchère, qui proclame quesi l’on a détecté une intrusion, autant la stopper, et les IDS sont ainsi devenus desIPS (systèmes de prévention d’intrusion). Et l’on verra plus loin que les IPS sont

livre2-Eyrolles 27 juin 2016 17:18 Page 16 ��

�� ��

��

16Principes de sécurité du système d’informationPremière partie

critiqués par les tenants des mandataires applicatifs, plus subtils encore. Cela dit,dans un paysage informatique où les micro-ordinateurs et autres objets commu-nicants prolifèrent sans qu’il soit réaliste de prétendre vérifier la configuration dechacun, le filtrage et le pare-feu sont encore irremplaçables. Ainsi si la détectiond’intrusion est une mesure importante à mettre en place, son implémentation ef-ficace reste difficile. À titre d’exemple, Mandiant indique dans son rapport 2014 ¹que le temps moyen passé à l’intérieur d’un système d’information lors d’une at-taque ciblée (l’exemple citée étant une cyberattaque originaire de Chine) est de243 jours.

Pour couper court à toutes ces querelles autour des qualités respectives de telle outelle méthode de sécurité, il suffit d’observer l’état actuel des menaces et des vulné-rabilités. Il y a encore une quinzaine d’années, le paramétrage de filtres judicieuxsur le routeur de sortie du réseau d’une entreprise vers l’Internet pouvait être consi-déré comme une mesure de sécurité bien suffisante à toutes fins pratiques. Puis il afallu déployer des antivirus sur les postes de travail. Aujourd’hui, les CERT (Com-puter Emergency Response Teams, voir p. 23 pour une description de ces centres dediffusion d’informations de sécurité informatique) publient une dizaine de vulnéra-bilités nouvelles par semaine, et l’idée de pouvoir se prémunir en flux tendu contretoutes est utopique. La conception moderne (en cette année 2016) de la protectiondes systèmes et des réseaux s’appuie sur les notions de défense en profondeur et deréaction aux incidents, par opposition à la défense frontale rigide, où l’on mise toutsur l’efficacité absolue d’un dispositif unique.

Défense en profondeur et réaction aux incidents

La défense en profondeur – au sujet de laquelle on lira avec profit un article duGénéral Bailey [116] qui évoque à son propos une véritable « révolution dans lesaffaires militaires » – consiste à envisager que l’ennemi puisse franchir une lignede défense sans pour cela qu’il devienne impossible de l’arrêter ; cette conceptions’impose dès lors que les moyens de frappe à distance et de déplacement rapide,ainsi que le combat dans les trois dimensions, amènent à relativiser la notion deligne de front et à concevoir l’affrontement armé sur un territoire étendu. Plus mo-destement, la multiplication des vulnérabilités, la généralisation des ordinateursportables qui se déplacent hors du réseau de l’entreprise, la transformation des té-léphones en ordinateurs complets, de nouveaux usages (code mobile, pair à pair

1. https://dl.mandiant.com/EE/library/WP_M-Trends2014_140409.pdf

livre2-Eyrolles 27 juin 2016 17:18 Page 17 ��

�� ��

��

17Premières notions de sécurité

Chapitre 1

(peer to peer), sites interactifs, téléphonie et visioconférence sur IP, informatiqueen nuage) et d’autres innovations ont anéanti la notion de « périmètre de sécurité »de l’entreprise, et obligent le responsable SSI à considérer que la menace est partoutet peut se manifester n’importe où. Il faut continuer à essayer d’empêcher les in-trusions dans le SI de l’entreprise, mais le succès de la prévention ne peut plus êtregaranti, et il faut donc se préparer à limiter les conséquences d’une attaque réussie,qui se produira forcément un jour. Et ce d’autant plus que le SI contemporain n’estpas comme par le passé contenu par un « centre de données » monolithique hébergédans un bunker, mais constitué de multiples éléments plus ou moins immatérielsqui vivent sur des ordinateurs (tablettes, smartphones...) multiples, dispersés danstoute l’entreprise et au dehors ; et c’est cette nébuleuse qu’il faut protéger.

Ces questions seront approfondies au chapitre 14 p. 431 qui leur est entièrementconsacré.

Nous allons au cours des chapitres suivants examiner un peu plus en détail cer-taines sciences et techniques qui s’offrent au responsable SSI, en commençant parla cryptographie dont sont dérivées les techniques de l’authentification.

Aspects organisationnels de la sécuritéÀ côté des mesures techniques destinées à assurer la protection des systèmes etdes réseaux, la sécurité du SI comporte un volet humain et social au moins aussiimportant : la sécurité dépend en dernière analyse des comportements humainset si ces derniers sont inadaptés toutes les mesures techniques seront parfaitementvaines parce que contournées.

Abandonner les utilisateurs inexpérimentés aux requins ?

Un article de Marcus J. Ranum [221] (cf. p. 400), qui n’est rien moins que l’inven-teur du pare-feu et une autorité mondiale du domaine de la SSI, soutient l’idéeparadoxale qu’il serait inutile, voire nuisible, d’éduquer les utilisateurs du SI à la sé-curité : son argument est que les utilisateurs incapables de maîtriser suffisammentleur ordinateur, notamment en termes de mesures de sécurité, sont condamnés àêtre expulsés du marché du travail, et qu’il ne faut rien faire pour les sauver. Cetteidée ne peut manquer de séduire les RSSI (responsables de sécurité des systèmesd’information) épuisés non pas tant par l’inconscience et l’ignorance de leurs utili-

livre2-Eyrolles 27 juin 2016 17:18 Page 18 ��

�� ��

��

18Principes de sécurité du système d’informationPremière partie

sateurs, que par le fait que ceux-ci ne veulent rien savoir. Cela dit, après avoir jubiléquelques instants à l’idée de la disparition en masse de ses utilisateurs les plus in-supportables, le RSSI se retrouve par la pensée dans la situation du narrateur d’unrécit de Roland Topor [278], naufragé reçu comme un dieu vivant sur une île duPacifique, et qui un jour, exaspéré par une rage de dents, crie à ses fidèles « Vouspouvez tous crever ! », suggestion à laquelle ils obéissent incontinent.

Si la suggestion de M. Ranum n’est pas à adopter à la légère, il convient néan-moins de considérer que les questions de SSI sont fort complexes et évoluent vite,si bien que même les utilisateurs avertis peuvent être pris de court par des me-naces dont ils n’étaient pas informés. L’expérience nous apprend une chose : toutetentative d’hameçonnage (phishing, envoi d’un message fallacieux qui incite sonlecteur à cliquer sur un lien qui mène vers un site toxique) réussira un jour, mêmeavec un utilisateur formé, s’il est dans un moment d’effervescence professionnelle.Nous pouvons même risquer une assertion plus générale : en informatique, aucunecompétence n’est pérenne ni complète. Il convient donc que les RSSI et de façon plusgénérale tous les informaticiens responsables des infrastructures techniques et desréseaux consacrent une part de leur activité à informer, sensibiliser et former lesutilisateurs à la problématique SSI. Eux-mêmes doivent se tenir en permanenceau courant de l’évolution du sujet, être abonnés aux bulletins d’alerte des CERTet aux revues spécialisées, fréquenter les forums et les conférences, et mettre enapplication les enseignements qu’ils en auront tirés. Tout cela semblerait aller desoi, si l’on ne voyait combien peu de ces conseils sont entendus.

Idéalement, dans une entreprise, aucun utilisateur ne devrait être laissé « à l’aban-don », c’est-à-dire avec un accès incontrôlé au réseau de l’entreprise et à ses com-munications avec l’Internet. Il devrait y avoir dans chaque groupe de travail uncorrespondant informatique en contact avec les responsables des infrastructures etdu réseau. En l’absence d’une telle structure d’échanges ne manqueront pas d’êtreadoptés des comportements dangereux, bientôt suivis des incidents graves qui ensont la conséquence inéluctable.

La nature du « contact » entre le correspondant informatique et les responsables duSI et des infrastructures pourra dépendre du type d’organisation : dans une entre-prise assez centralisée et hiérarchisée, la fonction de correspondant informatiquesera définie en termes opérationnels, il aura des directives précises à appliquer etdevra rendre compte de leur application ainsi que de tout problème informatiquequi pourrait survenir. Dans une entreprise à la structure plus lâche, un organismede recherche par exemple, la mise en place d’une telle organisation peut se révélerdifficile, les relations de contact seront moins formelles, mais il sera néanmoins

livre2-Eyrolles 27 juin 2016 17:18 Page 19 ��

�� ��

��

19Premières notions de sécurité

Chapitre 1

important qu’elles existent – ne serait-ce que par des conversations régulières aupied de la machine à café.

Externalisation radicale et accès web

En septembre 2004 un article de Computer Weekly [240] a signalé une politiqued’une nouveauté bouleversante pour faire face à la dissolution du périmètre de sé-curité (on parle désormais de dépérimétrisation). British Petroleum (BP), la firmepétrolière bien connue, était obligée d’administrer 380 extranets pour communi-quer avec 90 000 correspondants d’entreprises clientes, fournisseurs ou partenairesde par le monde, et ce au travers des infrastructures infiniment variées en natureet en qualité des opérateurs locaux. Elle a décidé qu’il serait beaucoup plus simpleet efficace de leur offrir, par l’Internet, un accès analogue à celui que les banquesoffrent à leurs clients pour gérer leur compte.

La démarche ne s’est pas arrêtée là : BP s’est rendu compte que cette solution d’accèspourrait être étendue à une fraction de son propre personnel, estimée à 60 % deses 96 200 employés, qui n’avaient pas besoin d’utiliser de systèmes client-serveurparticuliers, un navigateur suffirait.

Les avantages d’une telle solution semblent considérables : l’entreprise n’a plusbesoin de se soucier de la sécurité sur le poste de travail des correspondants ou desemployés ainsi « externalisés », pas plus que la banque ne s’occupe de l’ordinateur deson client. C’est leur problème. Il y a bien sûr un revers de la médaille : l’entreprise,qui n’avait déjà qu’un contrôle relatif de la sécurité de ses postes de travail, n’en aplus du tout.

Nous verrons au chapitre 5 p. 174 une application moins radicale et sans douteplus satisfaisante de ce principe.

Informatique en nuage, première approche

Depuis une dizaine d’années (lancement par Amazon de son offre Amazon WebServices [AWS] en 2006) quiconque est concerné de près ou de loin par les systèmesd’information entend parler journellement d’informatique en nuage (en anglaisCloud Computing, traduit infonuagique par les Canadiens francophones).

L’informatique en nuage permet de confier ses données à un opérateur extérieur quine se contentera pas de les stocker chez lui à l’instar des hébergeurs traditionnels,

livre2-Eyrolles 27 juin 2016 17:18 Page 20 ��

�� ��

��

20Principes de sécurité du système d’informationPremière partie

mais qui sera également en mesure de fournir pour ces données des moyens de cal-cul ajustables et facturables en volume et à la demande de façon quasi-instantanée.

Cela semble magique, et surtout les tarifs sont extrêmement attrayants, ce qui in-cite les organisations à adopter cette solution. D’ailleurs quantité d’entreprises etde particuliers font de l’informatique en nuage sans le savoir, dès lors qu’ils utilisentDropbox, Gmail, Microsoft Office 365 ou Google Docs.

Nous examinerons plus en détail les tenants et les aboutissants de l’informatiqueen nuage au chapitre 5, p. 160, mais il convient d’en dire quelques mots dès main-tenant parce que bien sûr cette externalisation des données de l’entreprise ne va passans poser de sérieuses questions de sécurité, et qu’en outre la présentation qui enest faite dans la presse et dans la publicité est généralement inintelligible.

Avec l’informatique en nuage vos données sont quelque part dans le vaste monde,si le fuseau horaire est favorable peut-être aux antipodes parce que là-bas c’est lanuit et que les ordinateurs des centres de données n’ont pas grand-chose à faire. Sitout d’un coup vous avez une pointe de charge, par exemple parce que c’est samedien début de soirée et que votre casino en ligne ² reçoit la visite de tous les noceurs enmal de financement pour leur soirée dévergondée, qu’à cela ne tienne, en quelquesclics de souris vous pouvez multiplier par dix ou vingt la puissance de calcul quivous est attribuée, et vous ne paierez ces serveurs que jusqu’à cinq heures du matin,quand vous les restituerez à votre opérateur de nuage.

Comment est-ce possible ? Quel est le modèle économique qui permet cela sansque l’opérateur aille à la faillite ?

C’est possible parce que les serveurs qui stockent vos données et abritent les logi-ciels qui les traitent ne sont pas des machines physiques, mais des machines vir-tuelles.

Qu’est-ce qu’une machine virtuelle ?

En bref, une machine virtuelle est un logiciel qui se comporte comme un ordina-teur. Un ordinateur est un automate programmable au comportement prévisible,il est donc possible d’écrire un logiciel qui simule parfaitement son comportement,on l’appellera un émulateur. Comme ce logiciel émulateur se comporte commeun ordinateur, il est capable de recevoir et de faire fonctionner d’autres logiciels,à commencer par un système d’exploitation, puis des programmes tels que trai-

2. Attention quand même, en France c’est interdit, mais en Grande-Bretagne pas de problème.

livre2-Eyrolles 27 juin 2016 17:18 Page 21 ��

�� ��

��

21Premières notions de sécurité

Chapitre 1

tement de texte (Office 365 ou Google Docs) ou système de paie du personneld’une entreprise, exactement comme votre ordinateur physique. Donc si je réunisdans le même ensemble de fichiers l’émulateur, les logiciels dont j’ai besoin et lesdonnées à traiter, j’ai une machine virtuelle, que je peux recopier à l’envi (sur lamême machine ou sur d’autres ordinateurs physiques pour multiplier la puissancede calcul), transférer par le réseau à l’autre bout du monde, éteindre, redémarrer,bref avec laquelle je peux faire tout ce qui est possible avec une vraie machine, maissans avoir à attendre le camion de livraison des nouveaux serveurs ni à brancher etdébrancher prises électriques ou câbles réseau.

Les fournisseurs d’informatique en nuage offrent plusieurs niveaux de virtualisa-tion :

• machine virtuelle « nue », le client fait son affaire du système d’exploitation,des logiciels et de leur exploitation (Infrastructure as a Service, IaaS) ;

• machine virtuelle avec un système d’exploitation et certains logiciels, le clientvient avec ses données et ses logiciels spécifiques, le fournisseur assure lefonctionnement régulier de la plate-forme (Platform as a Service, PaaS) ;

• machine virtuelle avec une application précise (suite bureautique commeOffice 365, ou service de fichiers comme Dropbox, ou messagerie commeGmail), le client peut tout ignorer du système sous-jacent (Software as aService, SaaS).

Avantages économiques, mais pas de miracle

Évidemment tout cela est très séduisant, d’autant plus que les tarifs sont imbat-tables. Le nuage donne aux organisations l’espoir de se débarrasser enfin de leursinformaticiens, cette engeance désagéable qui s’entête à ne pas faire dans l’instantce que l’on voudrait. Il convient donc ici d’attirer l’attention du lecteur sur quelquesdétails de nature à tempérer son enthousiasme :

• pour accéder au nuage encore faut-il avoir du réseau, ce qui suppose desingénieurs système et réseau (oui, des ingénieurs) ;

• ce n’est pas parce que l’on s’abonne à un système de gestion de ressourceshumaines que l’on a ipso facto un Système d’information de ressources hu-maines : il faudra y introduire les données, le paramétrer en fonction de lanature de l’entreprise et de sa politique de ressources humaines, former lepersonnel à son usage, bref, créer un vrai système d’information, et ce n’estpas le plus facile ;

livre2-Eyrolles 27 juin 2016 17:18 Page 22 ��

�� ��

��

22Principes de sécurité du système d’informationPremière partie

• le fait de ne pas savoir où sont les données, éventuellement confidentiellesou protégées par la législation en vigueur (données personnelles du ressortde la loi Informatique et Libertés par exemple), ne va pas sans poser le pro-blème du régime juridique qui s’y applique : imaginons que les services in-formatiques de la Défense nationale soient hébergés dans un nuage sousle contrôle d’une puissance hostile, pour prendre un cas extrême (et fictif ) ;sans aller aussi loin, l’informatique en nuage ouvre de nouvelles perspectivesà l’espionnage politique ou économique et au piratage de données commeles révélations d’Edward Snowden l’ont montré.

Certains augures prédisent la fin du Système d’information parce que désormaisles données qui intéressent l’entreprise sont dispersées dans divers nuages, dans lesappareils personnels des salariés et des clients, etc. Mais cela ne dispense en au-cun cas l’entreprise de connaître ces données et de les organiser en fonction de sesobjectifs. La nature technique du système d’information va sans doute changer, ilfaudra fédérer ces données d’origines variées pour en faire quelque chose de cohé-rent pour contribuer aux objectifs de l’entreprise. Ce sera plus difficile, technique-ment et conceptuellement. Les entreprises qui se créent d’emblée dans ce contexte(Uber, leboncoin.fr) ont un avantage déterminant par rapport aux entreprises destyle ancien qui devront se réorganiser ou disparaître.

Sauvegarder données et documents

La sauvegarde régulière des données et de la documentation qui permet de lesutiliser est bien sûr un élément indispensable de la sécurité du système d’informa-tion, elle constitue un sujet d’étude à elle seule, qui justifierait un livre entier. Aussine ferons-nous, dans le cadre du présent ouvrage, que l’évoquer brièvement, sansaborder les aspects techniques. Mentionnons ici quelques règles de bon sens :

• pour chaque ensemble de données, il convient de déterminer la périodicitédes opérations de sauvegarde en fonction des nécessités liées au fonctionne-ment de l’entreprise ;

• les supports de sauvegarde doivent être stockés de façon à être disponiblesaprès un sinistre tel qu’incendie ou inondation : armoires ignifugées étanchesou site externe ;

• les techniques modernes de stockage des données, telles que Storage AreaNetwork (SAN) ou Network Attached Storage (NAS), conjuguées à la dis-ponibilité de réseaux à haut débit, permettent la duplication de données àdistance de plusieurs kilomètres (voire plus si l’obstacle financier n’est pas à

livre2-Eyrolles 27 juin 2016 17:18 Page 23 ��

�� ��

��

23Premières notions de sécurité

Chapitre 1

considérer), et ce éventuellement en temps réel ou à intervalles très rappro-chés : ce type de solution est idéal pour un site de secours ;

• de l’alinéa précédent, on déduit que, dans un système d’information mo-derne, toutes les données doivent être stockées sur des SAN ou des NAS,rien ne justifie l’usage des disques attachés directement aux serveurs, qui se-ront réservés aux systèmes d’exploitation et aux données de petit volume ;

• les dispositifs et les procédures de sauvegarde et, surtout, de restauration etde reprise doivent être vérifiés régulièrement (cf. la section suivante).

Vérifier les dispositifs de sécurité

Le dispositif de sécurité le mieux conçu ne remplit son rôle que s’il est opérationnel,et surtout si ceux qui doivent le mettre en œuvre, en cas de sinistre par exemple,sont eux aussi opérationnels. Il convient donc de vérifier régulièrement les capacitésdes dispositifs matériels et organisationnels.

Les incidents graves de sécurité ne surviennent heureusement pas tous les jours :de ce fait, si l’on attend qu’un tel événement survienne pour tester les procédurespalliatives, elles risquent fort de se révéler défaillantes. Elles devront donc êtreexécutées « à blanc » périodiquement, par exemple en effectuant la restauration d’unensemble de données à partir des sauvegardes tous les six mois, ou le redémarraged’une application à partir du site de sauvegarde.

Outre ces vérifications régulières, l’organisation d’exercices qui simulent un événe-ment de sécurité impromptu peut être très profitable. De tels exercices, inspirés desmanœuvres militaires, révéleront des failles organisationnelles telles que rupturede la chaîne de commandement ou du circuit d’information. Un rythme bisannuelsemble raisonnable pour ces opérations.

La nécessaire veille auprès des CERTLes CERT (Computer Emergency Response Teams) centralisent, vérifient et publientles alertes relatives à la sécurité des ordinateurs, et notamment les annonces devulnérabilités récemment découvertes. Les alertes peuvent émaner des auteurs dulogiciel, ou d’utilisateurs qui ont détecté le problème. Détecter une vulnérabiliténe veut pas dire qu’elle soit exploitée, ni même exploitable, mais le risque existe.

livre2-Eyrolles 27 juin 2016 17:18 Page 24 ��

�� ��

��

24Principes de sécurité du système d’informationPremière partie

Organisation des CERT

Les vulnérabilités publiées par les CERT sont relatives à toutes sortes de systèmes ;leur publication constitue une incitation forte pour que les industriels concernés(les producteurs du système ou du logiciel le plus souvent) les corrigent. Certainstentent aussi de ralentir le travail des CERT, dont ils aimeraient bien qu’ils nedévoilent pas leurs faiblesses.

Le premier CERT a vu le jour à l’université Carnegie Mellon de Pittsburgh(Pennsylvanie) en novembre 1988, sur une initiative de la DARPA (Defense Ad-vanced Research Projects Agency) consécutive à la propagation du ver de Morris, lapremière attaque, involontaire ³ mais de grande envergure, contre l’Internet.

La France dispose aujourd’hui de trois CERT plus ou moins officiels : le CERTA ⁴pour les besoins des administrations et services publics, le CERT Renater ⁵ quis’adresse aux universités et centres de recherche, et le CERT-IST ⁶ qui s’adresse aumonde industriel. Mais il en existe beaucoup d’autres, animés par des entreprisesou des collectifs variés, qui publient aussi des informations utiles et intéressantes.En fait, la coopération au sein de la communauté mondiale des CERT est assezétroite, surtout en période de crise. Cette communauté est concrétisée par l’exis-tence d’un Centre de coordination des CERT ⁷, hébergé par l’université CarnegieMellon.

Pour ce qui concerne la France, il convient de signaler le rôle de l’Agence nationalede la sécurité des systèmes d’information (ANSSI) ; cet organisme placé auprès duPremier ministre, dirigé naguère par Patrick Pailloux, aujourd’hui par GuillaumePoupard et rattaché au Secrétariat général de la Défense et de la Sécurité nationale(SGDSN), est chargé d’élaborer la politique nationale de sécurité des systèmesd’information et de coordonner sa mise en œuvre. L’ANSSI supervise le CERTA ⁸.

La publication des avis des CERT est une contribution majeure et vitale à la sé-curité des systèmes d’information. Leur volume est tel que le dépouillement, quine peut être confié qu’à des ingénieurs réseau de haut niveau, représente un travailconsidérable.

3. Du moins à en croire son auteur Robert Tappan Morris.4. http://www.certa.ssi.gouv.fr/

5. http://www.renater.fr/spip.php?rubrique=19

6. http://www.cert-ist.com/

7. http://www.cert.org/

8. http://www.ssi.gouv.fr/index.html

livre2-Eyrolles 27 juin 2016 17:18 Page 25 ��

�� ��

��

25Premières notions de sécurité

Chapitre 1

Faut-il publier les failles de sécurité ?

Un débat s’est engagé sur le bien-fondé de certains avis, et sur la relation qu’il pour-rait y avoir entre le nombre d’avis concernant un logiciel ou un système donné etsa qualité intrinsèque. Les détracteurs des logiciels libres ont mis en exergue le vo-lume très important d’avis des CERT qui concernaient ces logiciels (par exempleLinux, le serveur web Apache, Sendmail, etc.) pour en inférer leur fragilité. Leursdéfenseurs ont riposté en expliquant que les avis des CERT concernaient par défi-nition des failles de sécurité découvertes et donc virtuellement corrigées, alors quel’absence d’avis relatifs à tel ou tel système commercial pouvait simplement signi-fier que l’on passait sous silence ses défauts de sécurité en profitant de son opacité.Or l’expérience montre que tout dispositif de sécurité a des failles ; les attaquantsne perdent pas leur temps à faire de la recherche fondamentale sur la factorisationdes grands nombres entiers, ils essaient de repérer les failles d’implémentation etils les exploitent.

Faille de conception ou d’implémentation ?Pour attaquer un système logiciel dont on veut prendre le contrôle, il est possible de rechercherd’éventuelles erreurs de conception dans les méthodes employées par ses auteurs : algorithmeinapproprié ou faux, mauvais choix de représentation des données, formule de calcul fausse...Par exemple, la plupart des méthodes cryptographiques d’usage quotidien en 2016 (notammentRSA, cf p. 125) reposent sur des résultats et des hypothèses de théorie des nombres qui disentnotamment que la factorisation de grands nombres entiers (plus de 2 000 chiffres binaires) etle calcul du logarithme discret sont des problèmes pratiquement insolubles.Toutes ces hypothèses s’effondreront le jour où les progrès (hypothétiques) de l’informatiquequantique mettront à la disposition des pirates l’algorithme de Shor décrit à la section 4 p. 138du présent ouvrage.Plutôt que d’ouvrir un laboratoire de recherche en algorithmique quantique (et un autre pourréaliser un calculateur quantique opérationnel), les attaquants espèrent que les programmeurssoient paresseux et insouciants, et qu’il y ait des erreurs de programmation dans leurs logiciels,par exemple un débordement de zone mémoire (cf. p. 147), de nature à faciliter l’attaque, ainsique nous le verrons dans les prochains chapitres : c’est ce que l’on nomme une faille d’implémen-tation. Cet espoir est souvent exaucé.

Failles « zero-day »Dans les publications relatives à la sécurité informatique, il est une notion qui apparaît de façonrécurrente, la faille zero-day. Il s’agit d’une faille de sécurité inconnue ou non corrigée. Dès lors,un attaquant qui la découvre ou qui l’achète (il existe un lucratif marché des zero-day) peut

livre2-Eyrolles 27 juin 2016 17:18 Page 26 ��

�� ��

��

26Principes de sécurité du système d’informationPremière partie

l’exploiter avec grand profit. En effet, une faille connue, c’est-à-dire dont la description a étédûment publiée par un CERT, après concertation avec l’éditeur du logiciel concerné qui aurapublié une correction ou un contournement, sera corrigée sur beaucoup de systèmes, tandisqu’une faille zero-day, non corrigée par définition, est exploitable a priori sur tous les systèmes,ce qui procure à l’attaquant un avantage considérable.Le ver Stuxnet (cf. chapitre 17 p. 553) a suscité l’étonnement, voire l’admiration de la commu-nauté de la sécurité informatique lors de sa découverte, entre autres par le fait qu’il exploitaitquatre zero-day, luxe inouï : en effet, le zero-day est une ressource rare, et en griller quatre d’uncoup est une dépense somptuaire.

Face au risque induit par les failles des logiciels, la meilleure protection est unecapacité de riposte rapide, qui consiste le plus souvent à commencer par désactiverle composant pris en défaut en attendant la correction. La communauté du logiciellibre excelle dans cet exercice, mais avec les logiciels commerciaux les utilisateursn’ont souvent aucun moyen d’agir : ils ne peuvent qu’attendre le bon vouloir de leurfournisseur.Dans ce contexte, la publication d’avis desCERT relatifs à des logicielscommerciaux est très bénéfique parce qu’elle incite les fournisseurs à corriger plusrapidement un défaut dont la notoriété risque de nuire à leur réputation. Maiscertains fournisseurs cherchent à obtenir le silence des CERT en arguant le faitque leurs avis risquent de donner aux pirates des indications précieuses... ce qui estfallacieux car les sites web des pirates sont de toute façon très bien informés et mis àjour, eux, selon les principes du logiciel libre, ce qui indique bien où est l’efficacitémaximale. L’expérience tend à prouver qu’une faille de sécurité est d’autant plusvite comblée qu’elle est publiée tôt et largement. L’accès au code source du logicielen défaut constitue bien sûr un atout.

La réponse à la question posée par le titre de cette section est donc : oui, il fautpublier les failles de sécurité, mais de façon organisée et responsable, c’est-à-dire de fa-çon certifiée, sur le site d’un organisme accrédité, typiquement un CERT, et aprèsavoir prévenu l’auteur ou l’éditeur du logiciel en défaut et lui avoir laissé un délairaisonnable pour au moins trouver un palliatif d’urgence. Il faut savoir qu’il existeaujourd’hui un marché de la faille, qui parfois n’est pas loin de s’apparenter à duchantage.