FASCICULE INFORMATIQUE GENERALE · explique comment faire en sorte de les déceler et de les corriger. 2.1. Le but de l'agresseur Un agresseur ("hacker") ayant l'intention de s'introduire

FASCICULE INFORMATIQUE GENERALE

La sécurité informatique

page 2 Toute reproduction même partielle interdite IGPDE

AVERTISSEMENT

CET OUVRAGE CONTIENT DES REPRODUCTIONS EFFECTUEES PAR L'IGPDE AVEC L'AUTORISATION DU CENTRE FRANÇAIS D'EXPLOITATION DU DROIT DE COPIE (CFC).

TOUTE NOUVELLE REPRODUCTION EST SOUMISE A L'AUTORISATION PREALABLE DU CFC .

Sommaire

Toute reproduction même partielle interdite IGPDE page 3

SOMMAIRE

LES RISQUES ................................................................................................................................... 6 1. Les risques relatifs au poste de travail ................................................................................. 6

1.1. Le ralentissement du poste de travail ............................................................................... 7 1.2. La prise de contrôle du poste de travail............................................................................ 7 1.3. Le détournement d'informations personnelles.................................................................. 7 1.4. La destruction des fichiers ................................................................................................ 7 1.5. La violation de la confidentialité........................................................................................ 7

2. Les risques relatifs à un systeme informatique................................................................... 8 2.1. Le but de l'agresseur ........................................................................................................ 8 2.2. La récupération d'informations sur le système ................................................................. 8 2.3. Le repérage des failles.................................................................................................... 10 2.4. L'intrusion........................................................................................................................ 10 2.5. L'extension de privilèges................................................................................................. 10 2.6. La compromission........................................................................................................... 11 2.7. Porte dérobée ................................................................................................................. 11 2.8. Nettoyage des traces...................................................................................................... 11

3. La typologies des pirates ..................................................................................................... 12 3.1. Qu'est-ce qu'un hacker ? ................................................................................................ 12 3.2. Les différents types de pirates........................................................................................ 12

CADRE LEGISLATIF RELATIF A LA SECURITE INFORMATIQUE ............................................ 14

LES VIRUS INFORMATIQUES ....................................................................................................... 15 1. Définition ................................................................................................................................ 15 2. Les différents types de virus................................................................................................ 15

2.1. Le Cheval de Troie.......................................................................................................... 15 2.2. Les Vers.......................................................................................................................... 15 2.3. Les virus de Zone d’amorce ........................................................................................... 16 2.4. Les virus DOS................................................................................................................. 16 2.5. Les virus Windows.......................................................................................................... 16 2.6. Les virus Windows NT .................................................................................................... 16 2.7. Les virus Windows Macintosh ........................................................................................ 16 2.8. Les virus Macro............................................................................................................... 17 2.9. Les virus Macro............................................................................................................... 17 2.10. Les virus Furtif ................................................................................................................ 17 2.11. Les virus Multi cibles....................................................................................................... 17 2.12. Les virus Hoax ou “Faux virus” ....................................................................................... 18

3. Une nouvelle menace : le "SPYWARE"............................................................................... 18 3.1. Définition ......................................................................................................................... 18 3.2. Règles générales de protection ...................................................................................... 18 3.3. Le moyen de se débarrasser des espions...................................................................... 19

4. Les phases de la vie d’un virus............................................................................................ 19 4.1. L’infection........................................................................................................................ 19 4.2. L’incubation..................................................................................................................... 19 4.3. L’éruption ........................................................................................................................ 19

Sommaire


LES TECHNIQUES DE SECURISATION........................................................................................ 22 1. La détection et la protection des virus ................................................................................ 22

1.1. La détection..................................................................................................................... 22 1.2. La protection.................................................................................................................... 22

2. Les "pare-feu" ou "coupe-feu" (Firewall) ............................................................................ 23 2.1. Contexte et besoins......................................................................................................... 23 2.2. Qu'est-ce qu'un "pare-feu" ? ........................................................................................... 23 2.3. Les "pare-feu" a usage personnel................................................................................... 23

3. Les annuaires LDAP .............................................................................................................. 24 3.1. Utilisation d'un annuaire LDAP........................................................................................ 24 3.2. Principe de fonctionnement : une structure arborescente .............................................. 25 3.3. Le marché des produits LDAP ........................................................................................ 25 3.4. LDAP est toujours en cours d'élaboration....................................................................... 26 3.5. Multiannuaires et métaannuaires .................................................................................... 26 3.6. Les dates clés .................................................................................................................26

4. La biométrie............................................................................................................................ 27 4.1. Usage .............................................................................................................................. 28 4.2. Caractéristiques physiques ............................................................................................. 28 4.3. Résumé et nouvelles techniques .................................................................................... 31 4.4. Inconvénient de la biométrie ........................................................................................... 32 4.5. Limites de cette technologie............................................................................................ 33 4.6. Conclusion....................................................................................................................... 34

5. La cryptographie.................................................................................................................... 34 5.1. Historique ........................................................................................................................ 35 5.2. Cryptographie conventionnelle........................................................................................ 36 5.3. Cryptographie à clef publique ......................................................................................... 36 5.4. L'infrastructure PKI.......................................................................................................... 37 5.5. Conclusion....................................................................................................................... 38

6. Le paiement sécurisé ............................................................................................................ 39 6.1. Modalités d'utilisation ...................................................................................................... 39 6.2. Technique de sécurisation du télépaiement ................................................................... 39

LA CONSERVATION DES DONNEES............................................................................................ 42 1. Les différents supports de sauvegarde............................................................................... 42 2. Choix du logiciel .................................................................................................................... 43 3. Stratégie de sauvegarde ....................................................................................................... 43 4. Conclusion.............................................................................................................................. 44

MISE EN PLACE D'UNE POLITIQUE DE SECURITE.................................................................... 45 1. La nécessité d'une approche globale .................................................................................. 45 2. Mise en place d'une politique de sécurité ........................................................................... 46

2.1. La présentation des résultats de la pré-étude................................................................. 47 2.2. Initiation de la politique de sécurité et constitution d’un groupe de travail...................... 47 2.3. Le recensement des risques ........................................................................................... 48 2.4. La quantification des risques........................................................................................... 51 2.5. Le rapprochement du coût prévisionnel des risques et des coûts de la prévention ....... 51 2.6. Vers un schéma directeur de la sécurité informatique.................................................... 58 2.7. Présentation du scénario catastrophe............................................................................. 59 2.8. Mise en place d’un cahier des charges........................................................................... 59 2.9. Mise en place des moyens adaptés au cahier des charges ........................................... 59 2.10. Application du plan .......................................................................................................... 60

Sommaire


2.11. Évolution et suivi ............................................................................................................. 60

Les risques


LES RISQUES Avec le développement d'Internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs.

Ce réseau libre, mondial et ne bénéficiant d'aucun contrôle, présente de nombreux atouts : diffusion de l'information, souvent gratuite, en temps réel, communication instantanée par e-mail, commerce en ligne, etc.

Malgré ses nombreux avantages, le "Réseau des Réseaux" présente néanmoins des risques avérés en matière de sécurité informatique. Ainsi, certaines personnes malveillantes n'hésitent pas à en utiliser les failles logicielles et matérielles, soit pour "détourner" des informations personnelles, soit pour diffuser des virus à grande échelle.

Un PC connecté à Internet sans précautions élémentaires équivaut à un panneau "Entrée libre" invitant les visiteurs malintentionnés.

Piratage, virus, vers, chevaux de Troie, etc., ces termes signifient "attaques informatiques".

La sécurité informatique constitue le moyen de se protéger de ces méfaits et permet ainsi de profiter des nombreuses ressources disponibles sur Internet et des capacités offertes par un ordinateur multimédia moderne.

La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

La sécurité informatique consiste généralement en quatre principaux objectifs : ♦ L'intégrité, c'est-à-dire garantir que les données sont bien celles qu'on croit être ; ♦ La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux

ressources ; ♦ La disponibilité, permettant de maintenir le bon fonctionnement du système informatique ; ♦ La non répudiation, permettant de garantir qu'une transaction ne peut être niée.

Le risque en terme de sécurité est généralement caractérisé par l'équation suivante : MENACE x VULNERABILITE RISQUE =

CONTRE-MESURE

1. LES RISQUES RELATIFS AU POSTE DE TRAVAIL

Il s'agit ici de la protection du poste de travail (station PC) ou plus précisément des données enregistrées sur le disque dur. En effet, jamais un virus n'a détruit un micro-processeur ou endommagé physiquement une unité centrale. Il ne s'attaque qu'aux fichiers qui y sont présents : documents, applications, images, vidéos, éléments du système, etc.

Une connexion à Internet constitue une porte d'entrée sur un ordinateur et la multiplication des accès illimités à haut-débit (câble, ADSL) transforme ce dernier en un véritable moulin, laissant le champ libre à toute personne malveillante.

Toujours le fait de personnes malveillantes, les risques relatifs au poste de travail peuvent être regrouper selon cinq types.

Les risques


1.1. Le ralentissement du poste de travail

Ce risque est le plus bénin, mais le plus courant. Le pirate envoie un petit programme et ce dernier s'approprie les ressources de votre ordinateur ou engendre des dysfonctionnements gênants. Les conséquences ne sont pas importantes, mais relativement incommodantes : fenêtres s'ouvrant intempestivement, souris incontrôlable, applications plus lentes, etc.

1.2. La prise de contrôle du poste de travail

Bien souvent, un pirate prend le contrôle de votre PC (sans qu'aucun signe ne vous alerte) et l'utilise pour lancer une attaque beaucoup plus sévère contre une autre machine. Son identité restera secrète puisque son méfait aura été lancé à partir de votre machine.

1.3. Le détournement d'informations personnelles

Dans ce cas, le pirate est capable de lire l'ensemble des fichiers enregistrés sur le disque dur : ♦ courrier, ♦ documents personnels, ♦ liste d'adresses postales ou e-mails, ♦ etc.

Outre la violation de votre vie privée, l'intrus peut récupérer des données beaucoup plus sensibles telles que des numéros de compte en banque, de cartes bancaires ou, dans le cas des entreprises, des informations confidentielles.

1.4. La destruction des fichiers

Probablement l'attaque la plus grave, souvent le fait des virus. Elle vise à effacer l'ensemble des éléments présents sur votre ordinateur : documents, applications, éléments du système d'exploitation, etc.

1.5. La violation de la confidentialité

L'autre aspect de la sécurité informatique concerne la confidentialité des données personnelles. En effet, la tentation est souvent grande de laisser ses coordonnées sur des sites Web dans le but de recevoir offres commerciales ou newsletters, mais également à l'occasion d'achats en ligne. Néanmoins, la peur de voir ces données détournées modère souvent les frénésies d'achat les plus irrépressibles.

Les risques


2. LES RISQUES RELATIFS A UN SYSTEME INFORMATIQUE

Ce paragraphe a pour but d'expliquer la méthodologie généralement retenue par les pirates pour s'introduire dans un système informatique. Il ne vise pas à expliquer comment compromettre un système mais à comprendre la façon dont il peut l'être afin de mieux pouvoir s'en prémunir. En effet, la meilleure façon de protéger son système est de procéder de la même manière que les pirates afin de cartographier les vulnérabilités du système.

Ce paragraphe ne donne aucune précision sur la manière dont les failles sont exploitées, mais explique comment faire en sorte de les déceler et de les corriger.

2.1. Le but de l'agresseur

Un agresseur ("hacker") ayant l'intention de s'introduire dans les systèmes informatiques recherche dans un premier temps des failles, c'est-à-dire des vulnérabilités nuisibles à la sécurité du système, dans : ♦ les protocoles ; ♦ les systèmes d'exploitations ; ♦ les applications ; ♦ ou même le personnel d'une organisation.

Les termes de vulnérabilité, de brèche ou en langage plus familier de "trou de sécurité" ("security hole") sont également utilisés pour désigner les failles de sécurité.

Pour pouvoir exploiter une vulnérabilité (le terme technique est "mettre en oeuvre un exploit"), la première étape du hacker consiste à récupérer le maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations et applications fonctionnant sur celui-ci. La plupart des attaques sont l'œuvre de script "kiddies" essayant tout simplement des "exploits" trouvés sur Internet, sans aucune connaissance du système, ni des risques liés à leur acte.

Une fois que le hacker a établi une cartographie du système, il est en mesure de mettre en application des "exploits" relatifs aux versions des applications qu'il a recensées. Un premier accès à une machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la machine.

Lorsqu'un accès administrateur (le terme anglais "root" est généralement utilisé) est obtenu (on parle alors de compromission de la machine, "root compromise"), les fichiers systèmes sont susceptibles d'avoir été modifiés. Le hacker possède alors le plus haut niveau de droit sur la machine.

La dernière étape du hacker consiste à effacer ses traces, afin d'éviter tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises.

2.2. La récupération d'informations sur le système

L'obtention d'informations sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable à toute attaque. Elle consiste à rassembler le maximum d'informations concernant les infrastructures de communication du réseau cible : ♦ Adressage IP ; ♦ Noms de domaine ;

Les risques


♦ Protocoles de réseau ; ♦ Services activés ; ♦ Architecture des serveurs ; ♦ ...

En connaissant l'adresse IP publique d'une des machines de votre réseau ou bien tout simplement le nom de domaine de votre organisation, un hacker est potentiellement capable de connaître l'adressage du réseau tout entier, c'est-à-dire la plage d'adresses IP appartenant à l'organisation visée et son découpage en sous-réseaux. Pour cela il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine : ♦ http://www.iana.net ; ♦ http://www.ripe.net pour l'Europe ; ♦ http://www.arin.net pour les Etats-Unis.

Lorsque la topologie du réseau est connue par le hacker, il peut le scanner (le terme balayer est également utilisé), c'est-à-dire déterminer à l'aide d'un outil logiciel (appelé scanner ou scanneur en français) quelles sont les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d'exploitation utilisé par ces serveurs. L'outil le plus connu pour scanner un réseau est Nmap, reconnu par de nombreux administrateurs réseaux comme un outil indispensable à la sécurisation d'un réseau. Cet outil agit en envoyant des paquets TCP à un ensemble de machines sur un réseau (déterminé par une adresse réseau et un masque), puis il analyse les réponses. Selon l'allure des paquets TCP reçus, il lui est possible de déterminer le système d'exploitation distant pour chaque machine scannée.

Il existe un autre type de scanneur, appelé mappeur passif (le plus connu étant Siphon), permettant de connaître la topologie réseau du brin physique sur lequel le mappeur analyse les paquets. Contrairement aux scanners précédents, cet outil n'envoie pas de paquets sur le réseau et est donc totalement indétectable par les systèmes de détection d'intrusion.

Enfin certains outils permettent de capturer les connexions X (un serveur X est un serveur gérant l'affichage des machines de type UNIX). Ce système a pour caractéristique de pouvoir utiliser l'affichage des stations présentes sur le réseau, afin d'étudier ce qui est affiché sur les écrans et éventuellement d'intercepter les saisies sur les claviers des machines vulnérables.

Lorsque le "scan" du réseau est terminé, il suffit au hacker d'examiner le fichier journal (log) des outils utilisés pour connaître les adresses IP des machines connectées au réseau et les ports ouverts sur celles-ci. Les numéros de port ouverts sur les machines peuvent lui donner des informations sur le type de service ouvert et donc l'inviter à interroger le service afin d'obtenir des informations supplémentaires sur la version du serveur.

Le système d'exploitation, le serveur et sa version sont alors connus.

L'ingénierie sociale (que l'on traduit par "Social Engineering") consiste à exploiter l'erreur humaine, c'est-à-dire d'utiliser la naïveté et la gentillesse exagérée des utilisateurs du réseau, pour obtenir des informations sur ce dernier. Ce procédé consiste à entrer en contact avec un utilisateur du réseau, en se faisant passer en général pour quelqu'un d'autre, afin d'obtenir des renseignements sur le système d'information ou éventuellement pour obtenir directement un mot de passe. De la même façon une faille de sécurité peut être créée dans le système distant en envoyant un cheval de Troie à certains utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute la pièce jointe pour qu'un accès au réseau interne soit donné à l'agresseur extérieur.

C'est la raison pour laquelle la politique de sécurité doit être globale et intégrer les facteurs humains (par exemple la sensibilisation des utilisateurs aux problèmes de sécurité) car le niveau de sécurité d'un système est caractérisé par le niveau de son maillon le plus faible.

Les risques


2.3. Le repérage des failles

Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au hacker à déterminer si des failles existent.

Il existe ainsi des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de sécurité. Les deux principaux scanneurs de failles sont : ♦ Nessus ; ♦ Saint.

Les administrateurs de réseaux peuvent consulter régulièrement les sites tenant à jour une base de données des vulnérabilités ("SecurityFocus / Vulnerabilities").

Ainsi, certains organismes (notamment les CERT – Computer Emergency Readiness Team) sont chargés de capitaliser les vulnérabilités et de fédérer les informations concernant les problèmes de sécurité.

2.4. L'intrusion

Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le réseau, il est en mesure de préparer son intrusion.

Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées. Pour ce faire, plusieurs méthodes sont utilisées par les pirates : ♦ Le "social engineering", c'est-à-dire en contactant directement certains utilisateurs du réseau

(par mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe. Ceci est généralement fait en se faisant passer pour l'administrateur réseau ;

♦ La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides ;

♦ L'exploitation des vulnérabilités des "commandes R*" de Berkeley ; ♦ le "brute force cracking", consistant à essayer de façon automatique différents mots de passe

sur une liste de compte (par exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de passe (password, ou passwd, ... ).

2.5. L'extension de privilèges

Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root (en français superutilisateur ou superadministrateur), on parle ainsi d'extension de privilèges.

Dès qu'un accès "root" a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires.

Il lui est ainsi possible d'installer un "sniffeur" (en anglais sniffer), c'est-à-dire un logiciel capable d'écouter (le terme renifler, ou en anglais "sniffing", est également employé) le trafic réseau en provenance ou à destination des machines situées sur le même brin. Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines du réseau (par exemple l'accès au compte d'un administrateur) afin d'être à même de contrôler une plus grande partie du réseau.

Les risques


Les serveurs NIS (*) présents sur un réseau sont également des cibles de choix pour les pirates car ils regorgent d'informations sur le réseau et ses utilisateurs.

(*) Lorsqu'un réseau partage des informations entre différentes machines, il est intéressant de centraliser la gestion des mots de passe pour permettre aux utilisateurs de se connecter de n'importe où. Pour cela, il faut installer un serveur NIS (Network Information System) sur le réseau.

2.6. La compromission

Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès "root" sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines.

Cette technique d'usurpation d'identité, appelée "spoofing", permet au hacker (dans le sens pirate du terme) de pénétrer des réseaux privilégiés auxquels la machine compromise a accès.

2.7. Porte dérobée

Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir. Pour ce faire celui-ci va installer une application afin de créer artificiellement une faille de sécurité, on parle alors de porte dérobée (en anglais "backdoor").

2.8. Nettoyage des traces

Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de "logs" des machines dans lesquelles il s'est introduit, c'est-à-dire en supprimant les lignes d'activité concernant ses actions.

Les risques


3. LA TYPOLOGIES DES PIRATES

Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de "l'ennemi". Pour ce faire il convient de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions.

3.1. Qu'est-ce qu'un hacker ?

Le terme de "hacker" est souvent utilisé pour désigner un pirate informatique. Les victimes de piratage sur des réseaux informatiques aiment à penser qu'ils ont été attaqués par des pirates chevronnés ayant soigneusement étudié leur système et ayant développé des outils spécifiquement pour créer une faille dans leur système.

Le terme "hacker" a eu plus d'une signification depuis son apparition à la fin des années 50. A l'origine ce nom désignait d'une façon méliorative les programmeurs émérites, puis il servit au cours des années 70 à décrire les révolutionnaires de l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes entreprises informatiques.

C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les personnes impliquées dans le piratage de jeux vidéos, en désamorçant les protections de ces derniers, puis en en revendant des copies.

Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes s'introduisant dans les systèmes informatiques

3.2. Les différents types de pirates

En réalité il existe de nombreux types "d'attaquants" catégorisés selon leur expérience et selon leurs motivations : ♦ Les "white hat hackers", hacker au sens noble du terme, dont le but est d'aider à l'amélioration

des systèmes et technologies informatiques, sont généralement à l'origine des principaux protocoles et outils informatiques que nous utilisons aujourd'hui. Le courrier électronique en est un exemple

♦ Les "black hat hackers", plus couramment appelés pirates (ou appelés également crackers par extension du terme), c'est-à-dire des personnes s'introduisant dans les systèmes informatiques dans un but nuisible • Les "Script Kiddies" (traduisez gamins du script, parfois également surnommés crashers,

lamers ou encore packet monkeys, soit les singes des paquets réseau) sont de jeunes utilisateurs du réseau utilisant des programmes trouvés sur Internet, généralement de façon maladroite, pour vandaliser des systèmes informatiques afin de s'amuser.

• Les "phreakers" sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin de les utiliser gratuitement grâce à des circuits éléctroniques (qualifiées de box, comme la blue box, la violet box, ...) connectés à la ligne téléphonique dans le but d'en falsifier le fonctionnement.

• Les "carders" s'attaquent principalement aux systèmes de cartes bancaires pour en comprendre le fonctionnement et en exploiter les failles

Les risques


• Les "crackers" sont des personnes dont le but est de créer des outils logiciels permettant d'attaquer des systèmes informatiques ou de casser les protections contre la copie des logiciels payants.

♦ Les "hacktivistes" (contraction de hackers et activistes que l'on peut traduire en cybermilitant ou cyberrésistant), sont des hackers dont la motivation est principalement idéologique. Ce terme a été largement porté par la presse, aimant à véhiculer l'idée d'une communauté parallèle (qualifiée généralement de underground, par analogie aux populations souterraines des films de science-fiction.

Dans la réalité ce type de distinction n'est bien évidemment pas aussi nette, dans la mesure où certains hackers ("white hat") ont parfois été crackers ("black hat hackers") auparavant et parfois inversement.

Cadre législatif


CADRE LEGISLATIF RELATIF A LA SECURITE INFORMATIQUE

Lois et règlements Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, dite loi Godfrain et Décrets n° 98-206 et n° 98-207 . Législation (nouveaux textes printemps 1998) relative à l' usage de la cryptologie en France.

Rapports Délibération de la CNIL n° 81-94 du 21 juillet 1981 portant adoption d'une recommandation relative aux mesures générales de sécurité des systèmes informatiques. Quinzième rapport d'activité de la CNIL (1994) : Conférence de presse du 12 Juillet 1995.

Les virus informatiques


LES VIRUS INFORMATIQUES

1. DEFINITION

Un virus est un programme informatique malveillant, qui à l’insu de l’utilisateur, a pour objectif de perturber, de modifier ou de détruire tout ou partie d’un élément indispensable au bon fonctionnement de l’ordinateur ou à permettre à une autre personne d'accéder à distance à votre ordinateur.

Ce logiciel peut se présenter sous la forme d'un programme autonome ou s'insérer dans un fichier existant déjà sur votre disque dur (ce fichier peut être un document texte, une page HTML, un fichier DLL (Dynamic Link Library) ou autre.

Un virus n'est pas forcément destructeur. Certains n'ont aucune action particulière et d'autres corrompent ou détruisent certains fichiers. Indépendamment de cet aspect, les virus ont souvent une grande capacité à se reproduire et à se propager sur d'autres ordinateurs en utilisant notamment le carnet d'adresse du logiciel de messagerie utilisé sur l'ordinateur infecté.

2. LES DIFFERENTS TYPES DE VIRUS

2.1. Le Cheval de Troie

Un Cheval de Troie est un programme simulant de faire quelque chose, mais faisant tout autre chose à la place. Leur nom vient du fameux Cheval de Troie de la Grêce antique, offert en cadeau, mais qui en fait avait pour but de causer la ruine et la destruction de la ville ayant reçu ce cheval en bois.

Un Cheval de Troie sur un ordinateur est un programme exécutable indépendant, qui est présenté comme ayant une action précise. Néanmoins lorsque ce programme est lancé, il va par exemple formater le disque dur, voler les mots de passe ou envoyer des informations confidentielles au créateur via Internet.

2.2. Les Vers

Un Ver est un programme indépendant, qui se copie d’ordinateur en ordinateur. La différence entre un ver et un virus est que le ver ne peut pas se greffer à un autre programme et donc l’infecter, il va simplement se copier via un réseau ou Internet, d’ordinateur en ordinateur. Ce type de réplication peut donc non seulement affecter un ordinateur, mais aussi dégrader les performances du réseau dans une entreprise. Comme un virus ce ver peut contenir une action nuisible du type destruction de données ou envoi d’informations confidentielles.



2.3. Les virus de Zone d’amorce

Un virus de zone d’amorce utilise la méthode la plus simple existante pour se propager. Il infecte la zone d’amorce des disques durs et des disquettes, la zone d’amorce est la première partie du disque lu par l’ordinateur lors de son démarrage, elle contient les informations expliquant à l’ordinateur comment démarrer.

Cette zone contient aussi des informations expliquant à l’ordinateur comment le disque est formaté, si il y a des partitions etc.

Pour être infecté, il faut avoir démarré sur une disquette, ou un disque amovible contenant le virus. Une fois la zone d’amorce de l’ordinateur infectée, ce virus se transmettra sur toute disquette ou support amovible inséré dans l’ordinateur. La plupart des virus de zone d’amorce ne fonctionnent plus sous les nouveaux systèmes d’exploitation tels que Windows NT.

2.4. Les virus DOS

La plupart des virus programmes écrits fonctionnent sous le système d’exploitation DOS. Le DOS est le système d’exploitation le plus simple sur machine PC, néanmoins Windows exécute les programmes DOS sans aucuns problèmes même si beaucoup de virus DOS n’arrivent pas à se reproduire lorsqu’ils sont exécutés par Windows. Il est beaucoup plus simple d’écrire un virus pour DOS, car DOS existe depuis beaucoup plus longtemps que Windows et il y a donc beaucoup plus de gens ayant l’expertise nécessaire à ce genre de pratiques. De plus un virus écrit sous DOS sera beaucoup plus petit en taille que son équivalent écrit sous Windows. Néanmoins ce type de virus est doucement en train de disparaître au fur et à mesure.

2.5. Les virus Windows

Les virus Windows fonctionnent sous Windows et vont pouvoir infecter les programmes Windows. Le nombre de virus Windows est beaucoup plus réduit que le nombre de virus DOS, néanmoins ils sont considérés comme une plus grande menace que les virus DOS puisque la plupart des ordinateurs fonctionnent maintenant sous Windows.

2.6. Les virus Windows NT

Windows NT est le système Windows souffrant le moins des virus, car c’est le système Windows ayant la plus faible compatibilité avec le DOS, donc beaucoup de virus écrits pour le DOS à l’origine ne fonctionnent pas sous Windows NT. L’architecture de sécurité de Windows NT est aussi très complexe. Les créateurs de virus ont réussi à créer des virus qui utilisent des fonctions non documentées de cette architecture.

2.7. Les virus Windows Macintosh

La plupart des virus Macintosh connus à ce jour sont bénins et ne détruisent rien, ils se contentent d’afficher des images ou des messages. Les virus Macintosh sont spécifiques au mac et ne peuvent infecter des programmes Windows. Le nombre de virus Macintosh est assez réduit due à la complexité du système d’exploitation MacOS.



2.8. Les virus Macro

Les virus Macros sont la plus grande menace à ce jour, ils se propagent lorsqu’un document Microsoft Word, Excel ou PowerPoint contaminé est exécuté. Un virus Macro est une série de commandes permettant d’effectuer un certain nombre de tâches automatiquement au sein des applications ci dessus. Le but non nuisible du langage de macro dans ces applications est à l’origine de pouvoir créer des raccourcis pour effectuer des tâches courantes, par exemple en une touche imprimer un document, le sauvegarder et fermer l’application.

Les Virus Macros non supprimés se répandent très rapidement. L’ouverture d’un document infecté va contaminer le document par défaut de l’application, et ensuite tous les documents qui seront ouverts au sein de l’application. Les documents Word, Excel et PowerPoint étant les documents les plus souvent partagés, envoyés par Internet, ceci explique la diffusion rapide de ces virus. De plus le langage de programmation des Macros est beaucoup plus facile à apprendre et moins compliqué qu’un langage de programmation classique.

2.9. Les virus Macro

Ceci est une sous catégorie, dans le sens ou n’importe lequel des types de virus ci dessus peut en plus être polymorphe. Les virus polymorphes incluent un code spécial permettant de rendre chaque infection différente de la précédente. Ce changement constant rend la détection de ce type de virus compliqué. Souvent le code change, mais l’action pour lequel il a été créé est toujours la même. Par exemple, le virus peut intervertir l’ordre des instructions de son action en son sein, ou rajouter de fausses instructions afin de tromper la vigilance de l’antivirus, qui lui, recherche une signature précise.

Beaucoup de virus polymorphes sont aussi encryptés. Le virus encryptera son code et ne le décryptera que lorsqu’il doit infecter un nouveau fichier, le rendant encore plus difficile à détecter.

2.10. Les virus Furtif

Un virus furtif, comme son nom l’indique, va se cacher lorsque l’ordinateur ou l’utilisateur accède au fichier infecté. Si l’utilisateur ou l’antivirus tente de voir si le fichier est infecté, le virus le saura et va se cacher offrant à l’antivirus et à l’utilisateur une version non infectée du fichier.

Par exemple un virus macro non furtif, serait visible dans le menu Outils, Macros de Word, révélant sa présence d’un simple coup d’œil, alors qu’un virus macro furtif, ne montrera pas sa présence de la sorte.

2.11. Les virus Multi cibles

Les virus multi cibles utilisent à la fois les techniques d’infection des virus programmes et ceux de zone d’amorce. Ils infecteront donc à la fois les zones d’amorces et les programmes. Ces virus ont tendance à avoir une taille un peu plus élevée que les autres types puisqu’ils doivent contenir les instructions pour effectuer deux types d’infections. En doublant l’infection, le virus double sa chance d’être transmis à un autre ordinateur et de se répandre. Ceci explique qu’ils sont responsables d’un grand nombre d’infections, sans être très nombreux.

Par exemple si vous lancez un programme infecté par le virus Tequila, ce virus infectera dans un premier temps la zone d’amorce de l’ordinateur. La prochaine fois que vous allumerez votre ordinateur, ce virus Tequila infectera donc tous les programmes que vous utilisez ou qui sont



lancés au démarrage de votre machine et ainsi de suite, tout programme exécuté sera donc infecté.

2.12. Les virus Hoax ou “Faux virus”

Ces fausses alertes sont aussi sérieuses que les vrais virus. En effet elles font perdre du temps et peuvent générer une certaine anxiété quant à la véracité ou non du message. Une des raisons pour lesquels ces "Hoax" sont si répandus, est qu’il suffit d’avoir une certaine créativité et un talent rédactionnel, pour envoyer un e_mail contenant de fausses informations.

Le premier de ces "Hoax" connu a été envoyé par deux abonnés à AOL en 1992, il s’appellait "Good Times". Depuis les messages du type “si vous recevez un email avec comme sujet bonjour, effacez le, ne l’ouvrez pas, il détruira votre ordinateur”, sont presque aussi répandus que les vrais virus. Nous pouvons facilement développer des armes pour lutter contre les vrais virus, il est plus difficile de concevoir quelque chose pour lutter contre la désinformation. Le seul moyen c’est l’éducation des utilisateurs de micro ordinateurs.

3. UNE NOUVELLE MENACE : LE "SPYWARE"

3.1. Définition

Un spyware (logiciel espion) est un programme capable de collecter des données sur ses utilisateurs et de les transmettre via internet à son concepteur ou à un tiers (ex. : régie publicitaire), à l'insu et sans accord de ses utilisateurs.

Le spyware peut être un programme à l'intérieur d'un autre logiciel ou bien un logiciel autonome. Il peut se télécharger et s'installer sur un micro-ordinateur de façon plus ou moins transparente. D'ailleurs après son installation, cet espion sera en général très discret : pas de raccourci sur le bureau ou dans le menu "Démarrer" par exemple. Par contre ce logiciel espion est actif. Certains sont même actifs alors qu'il n'y a pas de connexion établie à Internet. Le micro-ordinateur sera alors plus ou moins ralentit selon la consommation de ressources faite par le logiciel espion. Autre conséquence, des fenêtres publicitaires apparaîtront en fonction des données collectées sur le système puis envoyées à la société partenaire ou auteur du Spyware.

Dans la plupart des cas un spyware a avant tout un objectif marketing et commercial. Il ne causera pas de dégâts à l'ordinateur sur lequel il s'est installé. Notons que les logiciel anti-virus, même à jour, n'empêchent rien et sont donc pour l'instant inefficaces contre cette nouvelle menace.

3.2. Règles générales de protection ♦ lire attentivement les conditions d'utilisation d'un logiciel avant de l'installer. L'existence d'un

spyware et de ses fonctionnalités annexes y sont normalement signalées, même s'il faut bien souvent lire entre les lignes car le spyware y est présenté en des termes édulcorés voire trompeurs, voire parce que tout est fait pour que l'utilisateur évite de lire lesdites conditions d'utilisation.

♦ ne pas accepter sans réfléchir les programmes supplémentaires éventuellement proposés lors de l'installation d'un logiciel, mais décider en connaissance de cause ;



♦ surveiller les demandes d'autorisation de connexion à internet provenant du firewall, afin de détecter toute application suspecte. C'est une autre bonne raison d'installer un firewall personnel.

3.3. Le moyen de se débarrasser des espions

Des antispywares ont été conçus sur le modèle des antivirus. Ces logiciels détectent les spywares à partir d'une base de signatures (qui devra donc être mise à jour).

Certains programmes permettent de scanner la mémoire de l'ordinateur, la base de registres et les fichiers des différents disques à la recherche des composants indiquant la présence d'un logiciel espion.

4. LES PHASES DE LA VIE D’UN VIRUS

La vie d’un virus se décompose selon les trois phases suivantes.

4.1. L’infection

Les points d’entrée d’un virus sur un micro-ordinateur sont le lecteur de disquettes et le réseau (éventuellemnt le lecteur de CDROM). En ce qui concerne le lecteur de disquettes, il est important de noter qu’il n’y aura infection par disquette que dans les deux cas suivants : tentative de boot ou lancement d’un programme contaminé (les fichiers contenant des macros commandes sont à considérer comme des programmes) à partir d’une disquette.

Par contre une disquette protégée en écriture ne pourra jamais être infectée, sauf si la mécanique qui contrôle la languette de protection est défectueuse.

Lorsque le micro-ordinateur est connecté à un réseau (Internet plus particulièrement), l’utilisateur devra être sensibilisé sur le risque de télécharger des logiciels dont il est difficile d’identifier précisément l’origine.

4.2. L’incubation

Pendant cette phase, l’objectif du virus est d’infecter un maximum de fihciers tout en essayany de passer inaperçu. Il doiit notamment disposer d’un système de reconnaissance des fichiers déjà infectés pour éviter de les infecter de nouveau.

4.3. L’éruption

Lors de cette phase, le virus réalise enfin sa mission le plus souvent destructrice. Les facteurs de déclenchement sont variés : ♦ date (vendredi 13, date d’anniversaire,…) ; ♦ heure ; ♦ nombre d’infections déjà réalisées ;



♦ combinaison de touches ; …

L’effet qui suit le déclenchement de l’action du virus est rarement inoffensive, on peut citer : ♦ animation d’écran ; ♦ animation sonore ; ♦ destruction de fichiers ; ♦ formatage du disque dur ; ♦ dégradation des performances du micro-ordinateur ; ♦ blocage du clavier ; …

Les techniques de sécurisation


LES TECHNIQUES DE SECURISATION

1. LA DETECTION ET LA PROTECTION DES VIRUS

1.1. La détection

Pour savoir si un ordinateur est infecté par un ou plusieurs virus, l'utilisation d'un logiciel anti-virus est indispensable. Ces logiciels sont souvent composés de plusieurs modules dont justement un module de détection qui permet d'examiner minutieusement tous les fichiers présents sur votre disque dur (ou un support amovible) ainsi qu'un module de surveillance qui permet, pendant que vous naviguer sur Internet par exemple, de détecter un virus avant (pas toujours) que celui-ci n'ai pu infecté votre ordinateur.

Le module de détection utilise deux techniques : ♦ La recherche de signatures virales qui consiste à rechercher dans les fichiers des séquences

d'octets qui correspondent à des virus connus. Ce module utilise une base de « signatures » de tous les virus existants. Cette base doit donc être régulièrement actualisée. Les logiciels anti-virus permettent une mise à jour de cette base en se connectant au site de l'éditeur.

♦ L'autre est qualifiée de "générique" et regroupe l'ensemble des méthodes de détection qui ne recourent pas à un fichier de signature (l'analyse heuristique ou comportemental). La méthode générique donne l'alerte quand le comportement du système semble résulter d'une infection virale. Cette méthode, surtout utilisée par le module de surveillance du logiciel anti-virus, est très utile car elle peut permettre de détecter un virus récent qui n'est pas encore dans la base de signature. C'est à ce niveau que les logiciels anti-virus vont se distinguer les uns des autres. En effet, certains sont peu efficaces, d'autres sont trop alarmistes et vont déclencher de fausses alertes.

Dans la plupart des cas, lorsqu'un virus est détecté, le logiciel anti-virus propose de supprimer le fichier infecté ou de réparer ce fichier. La réparation est souvent préférable mais il faut savoir que le logiciel anti-virus ne réussit pas toujours à nettoyer correctement et qu'il arrive même dans certains cas (heureusement rares) que la tentative de réparation avortée entraîne un dysfonctionnement généralisé de votre système !

1.2. La protection

Pour se protéger des virus, il est indispensable de posséder un logiciel anti-virus et de le mettre régulièrement à jour. Mais il est important de faire baisser le risque d'infection en adoptant quelques mesures de prudence ou de sécurité.

Avant d'enregistrer un fichier sur son ordinateur, quelque soit sa provenance, il est prudent de le soumettre à l'examen de votre logiciel anti-virus.

Concernant en particulier le courrier électronique, les pièces jointes doivent être enregistrées dans un répertoire temporaire, puis examinées par votre logiciel anti-virus avant d'être ouvertes (avec le logiciel adéquat) pour obtenir son contenu.

Toujours concernant le courrier électronique, il faut savoir que les dernières version de logiciels de messagerie comme Outlook Express ou Netscape Messenger permettent l'exécution de scripts à la simple lecture d'un message au format texte. Il convient donc d'une part de supprimer les messages dont vous ne connaissez pas l'expéditeur et d'autre part de correctement paramétrer les options concernant la sécurité dans votre logiciel de messagerie.



Au sujet d'Internet en général, configurer correctement les paramètres de sécurité de votre navigateur, notamment en refusant la création automatique des "cookies", ces fichiers textes enregistrés sur votre disque et qui permettent à un site Internet de vous identifier. Vous pourrez alors accepter les cookies uniquement au cas par cas pour les sites auxquels vous avez confiance.

Ne gardez pas votre connexion (à Internet ou à un réseau) active si vous n'en avez pas besoin.

Diffusez votre adresse électronique à un nombre restreint de personnes et de sites.

2. LES "PARE-FEU" OU "COUPE-FEU" (FIREWALL)

2.1. Contexte et besoins

Les logiciels anti-virus ne sont pas infaillibles et ne protègent pas suffisamment un ordinateur connecté à Internet et/ou à un réseau local (réseau d'entreprise notamment). Dans le même temps, les entreprises et les administrations utilisent de plus en plus Internet, en tant que clients et en tant que prestataires. Il y a donc un besoin de sécurité important.

2.2. Qu'est-ce qu'un "pare-feu" ?

Le protocole TCP/IP est le protocole de base d'internet, puisqu'il assure la transmission des données. Ces données (découpées en paquets), lorsqu'elles ne sont pas cryptées, peuvent ainsi être espionnées. Ce risque reste toutefois mineur dans le cas d'une connexion à internet, car les paquets sont susceptibles d'emprunter des chemins très différents. Par ailleurs, d'autres protocoles viennent compléter TCP/IP lorsqu'il s'agit par exemple d'assurer la sécurisation des paiements en ligne, et il est également possible de crypter le contenu des transmissions avant de les envoyer.

Un "firewall" est un logiciel qui surveille chaque paquet de données entrant ou sortant. Comme la surveillance s'exerce au niveau TCP/IP, les paquets hostiles ou simplement indésirables sont bloqués avant même que l'information originelle ne soit reconstituée. La surveillance s'effectue en fonction de règles de filtrage définies dans le paramétrage du logiciel "pare-feu".

2.3. Les "pare-feu" a usage personnel

Certain "pare-feu" (même gratuit) peuvent être utilisés dans le cadre d'un usage personnel.

Il contrôle tout ce qui entre et sort de l'ordinateur sur lequel il est installé, par modem ou carte réseau. Les programmes qui veulent envoyer des données sont signalés et il est donc possible de donner un accord au cas par cas, pour qu'un programme puisse transférer des données.

Il intercepte les virus de type "chevaux de Troie" ou les scripts qui tentent de modifier le système, rendre l'ordinateur totalement invisible sur le réseau ou encore neutraliser toutes les communications instantanément. L'inconvénient de ce logiciel, ou plutôt de l'utilisation de ce logiciel, est qu'il interrompt fréquemment la navigation sur Internet. D'autre part, selon le paramétrage adopté, il faudra se passer de certains services personnalisés qui sont offerts par certains sites. La sécurité a un prix…



Remarque :

Un "firewall" personnel n'offre pas une protection totale, car certains virus ou personnes mal intentionnées peuvent le contourner. Il doit donc être considéré comme un complément à un logiciel anti-virus.

3. LES ANNUAIRES LDAP

Le protocole LDAP (LigHTweight Directory Access protocol) est un protocole standard permettant la gestion d'annuaires, autrement dit, l'accès à des bases d'informations sur les utilisateurs et les ressources d'un réseau d'entreprise.

Ce protocole permet d'organiser et de faire communiquer des bases d'informations contenant des données parfois très hétérogènes, mais essentielles au fonctionnement du réseau.

Les annuaires gèrent toutes sortes de données, celles concernant : ♦ les collaborateurs de l'entreprise, ♦ les badges et droits d'accès aux locaux, ♦ les ressources informatiques, ♦ les composants logiciels, ♦ etc.

Un exemple connu d'annuaire est le DNS, serveur de noms de domaine, qui associe des noms en clair à des adresses IP de ressources Internet.

Sans protocole LDAP, la gestion des ressources de l'entreprise peut devenir un véritable cauchemar.

Pour les entreprises, le coût résultant de la multiplicité et de l'hétérogénéité des annuaires, qui dépend principalement du taux de renouvellement des ressources administrées, devient vite très important.

Simplification pragmatique de X.500 (norme ISO), le protocole standard LDAP a été défini par l'organisme de standardisation IETF (Internet Engineering Task Force) pour pallier ce problème et contribuer à la réduction des dépenses : protocole léger d'accès aux annuaires.

3.1. Utilisation d'un annuaire LDAP

Un annuaire LDAP peut être distribué physiquement vers plusieurs serveurs. Chacun d'eux peut maintenir une version complète des données, régulièrement répliquées dans le but d'accroître les performances par une gestion efficace de la répartition des charges.

La réplication permet aussi d'anticiper les éventuelles pannes système afin de préserver un bon niveau de disponibilité globale du service d'annuaire. Si de nombreux produits LDAP gèrent la réplication, une norme définitive se fait toujours attendre.

L'administration d'un annuaire distribué peut vite devenir complexe et requiert des outils adaptés, dotés d'interfaces utilisateurs idoines : ♦ navigation au sein des arborescences ;



♦ manipulation des données (sous réserve de disposer des droits nécessaires) ; ♦ contrôle des droits d'accès ; ♦ et définition des règles de réplication et de partitionnement des données.

Ces outils doivent offrir plusieurs interfaces et modes d'accès selon le niveau d'expertise de leurs utilisateurs.

3.2. Principe de fonctionnement : une structure arborescente

LDAP définit l'ensemble des composants à fournir par le service d'annuaire et un protocole de communication entre clients et annuaires (client-serveur sur TCP/IP).

La norme s'articule autour de quatre modèles. ♦ Le premier, le modèle de désignation, s'intéresse à l'organisation des informations et à la

manière d'y faire référence dans un annuaire. À l'instar de X.500, les données sont organisées de manière arborescente au sein d'un arbre.

♦ Le modèle de données, pour sa part, décrit les notions de classes, d'attributs et les règles de comparaison entre valeurs d'attributs. Les entrées de l'annuaire sont définies comme des instances de classes associées à des listes d'attributs.

♦ Le troisième modèle s'applique aux services et décrit comment accéder aux données. LDAP offre de puissantes fonctions de recherche et de mise à jour des données associées à des critères de portée variable.

♦ Enfin, le modèle de sécurité décrit les stratégies de protection des données et les droits d'accès.

Les données pour l'authentification des utilisateurs sont stockées dans l'annuaire.

3.3. Le marché des produits LDAP

Selon les estimations d'IDC (société de conseil et d'étude sur les marchés des technologies de l'information), environ 4 millions d'annuaires sont en activité dans le monde en 2004 contre 2 millions en 2000 et le marché des produits LDAP est estimé à 1 milliard d'euros en 2004.

Il existe déjà une offre importante et mature de solutions d'annuaires compatibles LDAP. Tous proposent un bon niveau d'intégration de la norme LDAPv3. Pour choisir, il faut d'étudier les fonctions complémentaires fournies : administration du service, environnement de production associé, compatibilité avec les métaannuaires ...

On distingue plusieurs catégories de fournisseurs d'annuaires LDAP. Les premiers, associés aux systèmes d'exploitation réseau, permettent de localiser et d'administrer de manière centralisée des ressources techniques gérées par diverses machines. Les principaux produits de ce type sont eDirectory de Novell, Directory Services intégré à Solaris de Sun et Active Directory de Microsoft. Ces annuaires spécialisés peuvent être utilisés pour gérer d'autres types de ressources, sans rapport avec les OS.

Des logiciels pour groupes de travail comportent leur propre service d'annuaire, adapté à un contexte fonctionnel déterminé. C'est le cas de Microsoft Exchange et de Lotus Domino d'IBM, dont les carnets d'adresses sont accessibles par requêtes LDAP.

Des éditeurs de SGBD proposent un annuaire LDAP pour faciliter l'administration centralisée des ressources nécessaires au fonctionnement des bases de données. Ces logiciels peuvent être



utilisés pour gérer des ressources dépassant le cadre restreint de l'administration des serveurs de données.

Des annuaires généralistes sont aussi disponibles. Conçus de manière autonome et indépendante des OS et des SGBD, ils sont pour la plupart compatibles avec LDAPv3. C'est le cas de DirX de Siemens, Global Directory Server de Critical Path et de Global Directory de Syntegra, qui gèrent tous X.500 et LDAP.

Puis viennent les produits exclusivement LDAP tels iPlanet Directory Server (Sun/Netscape) et OpenLDAP, un annuaire LDAP pour Unix gratuit, livré en open source.

3.4. LDAP est toujours en cours d'élaboration

Sans réels concurrents, LDAP est toujours en cours d'élaboration à l'IETF, les stratégies de partitionnement des annuaires n'étant pas encore figées.

De même, la spécification relative à la gestion de l'intégrité des données n'est pas arrêtée, ni celle clarifiant la logique des droits d'accès et des privilèges.

Les logiciels LDAP du marché s'appuient alors sur des technologies propriétaires ou autres standards pour combler ces lacunes.

Les fournisseurs s'engagent à suivre les évolutions de la norme à mesure de ses développements. Pour les utilisateurs, le risque concerne la compatibilité entre les divers systèmes et l'intégration globale d'un annuaire hétérogène.

La gestion de l'intégrité des données d'annuaire n'est pas encore spécifiée et les produits du marché proposent des implémentations propriétaires ou s'appuient sur une infrastructure à clé publique (PKI).

3.5. Multiannuaires et métaannuaires

Pour gérer de manière homogène et centralisée des annuaires (LDAP ou non) au sein d'une même organisation, deux méthodes sont envisageables.

La première consiste à construire un méta-annuaire au-dessus des annuaires opérationnels. Celui-ci, qui contient des copies de toutes les informations gérées par les autres, présente une consolidation physique de données dupliquées. Il est manipulé à travers une interface LDAP. Des processus de réplication symétrique des données doivent être établis pour garantir la cohérence des informations.

L'alternative consiste à utiliser une application multiannuaire, associée à un domaine fonctionnel particulier, capable d'interroger les annuaires de l'entreprise de manière transparente. Cette application sera dotée d'une interface utilisateur adaptée à son domaine métier afin d'être utilisable par des personnes ignorant tout de LDAP. Aucune duplication de données n'est nécessaire mais, le développement et la maintenance de l'application multi-annuaire peuvent être complexes.

3.6. Les dates clés

1986 : étude d'une norme



Pour les annuaires électroniques, l'organisme de standardisation l'IETF (Internet Engineering Task Force) propose de mettre au point une norme en matière de spécifications des annuaires électroniques. L'objectif : organiser le marché.

1998 : norme X.500 Ces travaux aboutirent à la naissance de X.500

(ISO). Elle définit le moteur de base de données de l'annuaire et le module d'interrogation des données. Cette norme définit des règles de nommage pour les éléments qu'il contient, des protocoles d'accès à l'annuaire (dont DAP) et des moyens d'authentification de l'utilisateur.

1993 : protocole LDAPv1 LDAPv1 répond aux critiques essuyées par X.500, jugé trop complexe. Mis au point par l'université du Michigan, il fournit une interface d'accès simplifiée aux annuaires X.500. Version allégée de DAP, il fonctionne avec TCP/IP.

1995 : LDAPv2 Devenu LDAPv2, un annuaire natif servant uniquement à accéder aux annuaires X.500, il peut gérer sa propre base de données.

1996 : lancement Premiers logiciels commerciaux LDAP.

1997 : LDAPv3 Lancé en décembre, il s'enrichit de mécanismes de chiffrement, de partitionnement, de réplication, etc.

4. LA BIOMETRIE

Dans le domaine de la sécurité, la biométrie ne cesse de se développer.

Pour sécuriser leurs postes de travail ou leurs locaux, les entreprises commencent à s'intéresser aux systèmes d'identification.

Cette technologie, qui s'appuie sur l'analyse des caractéristiques physiques des individus comme l'empreinte digitale, la forme du visage, l'iris de l'œil... pour sécuriser des postes de travail ou des locaux sensibles, est aujourd'hui en pleine croissance. Selon l'International Biometric Group (IBG), les ventes mondiales de produits biométriques pourraient doubler d'ici à 2005 pour avoisiner les 2 milliards de dollars en valeur.

En France, le marché est tout juste émergent, avec un volume de ventes voisin des 30 Millions euros en 2003, soit à peine 8 % du marché européen. La croissance de ce secteur serait aujourd'hui supérieure à 30 % par an du marché français.

Il est vrai que depuis deux ans, l'État français et l'administration investissent beaucoup dans la biométrie avec la mise en place d'un fichier judiciaire national (avec empreintes digitales) et la sécurisation des actes administratifs en ligne. Le ministère de l'Intérieur incite même au développement d'une carte électronique du citoyen qui intégrerait des données biométriques.

Mais les produits sortent également de plus en plus de l'univers confiné des laboratoires et des secteurs sensibles comme l'armée ou la police pour se diffuser massivement dans les entreprises, qu'elles soient publiques ou privées.



Les entrepreneurs savent aujourd'hui que la biométrie est un moyen fiable pour identifier des utilisateurs et limiter, par exemple, l'accès à une salle informatique ou à un poste de travail. Beaucoup l'adoptent aussi pour son aspect ergonomique et un retour sur investissement rapide. Avec la biométrie, c'en est fini des cartes ou des mots de passe perdus, oubliés ou volés et dont la réédition occupe près d'un tiers du temps des services d'assistance technique.

La baisse du coût des matériels, évaluée à près de 30 % en deux ans, dope également les commandes et les PME commencent, elles aussi, à vouloir s'équiper.

4.1. Usage

La biométrie est une technique globale visant à établir l'identité d'une personne en mesurant une de ses caractéristiques physiques.

Il peut y avoir plusieurs types de caractéristiques physiques, les unes plus fiables que d'autres, mais toutes doivent être infalsifiables et uniques pour pouvoir être représentatives d'un et un seul individu.

D'autre part, comme nous allons le voir, les caractéristiques physiques sont loin d'être si parfaites et si précises, et l'on atteint très vite des limites pour ces techniques. Car le problème est bien de savoir quelles techniques existent réellement, et quelles sont leurs limites. Cet article ne se veut pas exhaustif sur un sujet aussi vaste que la biométrie, mais il a tout de même pour vocation de sensibiliser au maximum les lecteurs et de leur donner quelques bases indispensables.

4.2. Caractéristiques physiques

Il existe plusieurs caractéristiques physiques qui se révèlent être uniques pour un individu, et il existe également pour chacune d'entre elles plusieurs façons de les mesurer.

4.2.1. LES EMPREINTES DIGITALES (FINGER-SCAN)

La donnée de base dans le cas des empreintes digitales est le dessin représenté par les crêtes et sillons de l'épiderme. Ce dessin est unique et différent pour chaque individu. En pratique, il est quasiment impossible d'utiliser toutes les informations fournies par ce dessin (car trop nombreuses pour chaque individu), on préférera donc en extraire les caractéristiques principales telles que les bifurcations de crêtes, les "îles", les lignes qui disparaissent, etc... Une empreinte complète contient en moyenne une centaine de ces points caractéristiques (les "minuties"). Si l'on considère la zone réellement scannée, on peut extraire environ 40 de ces points. Pourtant, là encore, les produits proposés sur le marché ne se basent que sur une quinzaine de ces points (12 au minimum vis-à-vis de la loi), voire moins pour beaucoup d'entre eux (jusqu'à 8 minimum). Pour l'histoire, le nombre 12 provient de la règle des 12 points selon laquelle il est statistiquement impossible de trouver 2 individus présentant les mêmes 12 points caractéristiques, même en considérant une population de plusieurs dizaines de millions de personnes.



Les techniques utilisées pour la mesure sont diverses : capteurs optiques (caméras CCD/CMOS), capteurs ultrasoniques, capteurs de champ électrique, de capacité, de température...

Ces capteurs sont souvent doublés d'une mesure visant à établir la validité de l'échantillon soumis (autrement dit, qu'il s'agit bien d'un doigt) : mesure de la constante diélectrique relative du l'échantillon, sa conductivité, les battements de cœur, la pression sanguine, voire une mesure de l'empreinte sous l'épiderme...

4.2.2. LA GEOMETRIE DE LA MAIN / DU DOIGT (HAND-SCAN)

Ce type de mesure biométrique est l'un des plus répandus, notamment aux Etats Unis. Cela consiste à mesurer plusieurs caractéristiques de la main (jusqu'à 90) tel que la forme de la main, longueur et largeur des doigts, formes des articulations, longueurs inter-articulations, etc... La technologie associée à cela est principalement de l'imagerie infrarouge; d'une façon générale, le système présente des FAR (False Acceptation Rate, voir plus bas) assez élevés, surtout entre personnes de la même famille ou bien encore des jumeaux.

4.2.3. L'IRIS (IRIS-SCAN)

Cette techniques porte, soit sur la partie de l'œil l'iris, soit sur la rétine.

Source : American Academy of Ophthalmology

4.2.3.1. L'ETUDE DE L'IRIS

L'individu se place en face du capteur (caméra CCD/CMOS) qui scanne son iris.

Celui-ci représente quelque chose de très intéressant pour la biométrie car il est à la fois toujours différent (même entre jumeaux, entre l'œil gauche et le droit, etc...), indépendant du code génétique de l'individu, et très difficilement falsifiable. En effet, l'iris présente une quasi-infinité de points caractéristiques (que certains comparent en nombre à ceux de l'ADN), qui ne varient pratiquement pas pendant la vie d'une personne contrairement à la couleur de l'iris qui, elle, peut changer. Mais cela n'a aucune influence car les images d'iris obtenues par les capteurs sont en noir et blanc. Le seul problème de cette technique est liée à la mesure en elle-même, qui peut être source d'erreurs ou de problèmes. Ainsi, on peut quasiment dire que le nombre de problèmes rencontrés lors de cette mesure augmente proportionnellement avec la distance entre l'œil et la caméra.

D'autres problèmes se posent à cause des reflets (nécessité d'avoir un éclairage restreint et maîtrisé), et lors de la détection de faux yeux (photos) et autres fraudes. Pour ces dernières, on



peut faire appel à certaines caractéristiques dynamiques de l'œil qui prouveront son authenticité : réactivité de la pupille (dilatation/rétraction) par rapport à la quantité de lumière, étude de l'iris dans l'infrarouge et l'ultraviolet, etc...

4.2.3.2. L'ETUDE DE LA RETINE

Cette mesure biométrique est plus ancienne que celle utilisant l'iris, mais elle a été moins bien acceptée par le public et les utilisateurs, sans doute à cause de son caractère trop contraignant : la mesure doit s'effectuer à très faible distance du capteur (quelques centimètres), qui effectue ensuite un balayage de la rétine. Il est physiquement impossible d'effectuer une mesure rétinienne à une distance de 30cm ou plus sur un sujet mobile comme on peut le voir dans certains films. Cette méthode requiert des sujets coopératifs et entraînés.

Pourtant cette technique semble être tout aussi fiable que celle de l'iris; elle se base sur le fait que le schéma et le dessin formé par les vaisseaux sanguins de la rétine (la paroi interne et opposée de l'œil) est unique pour chaque individu, différent entre jumeaux et assez stable durant la vie de la personne. La mesure peut ainsi fournir jusqu'à 400 points caractéristique du sujet, que l'on peut comparer aux 30 à 40 points fournis par une empreinte digitale.

La mesure rétinienne est la plus difficile à utiliser mais également la plus dure à contrefaire.

4.2.4. LE VISAGE (FACIAL-SCAN)

Il s'agit ici de faire un photographie plus ou moins évoluée pour en extraire un ensemble de facteurs qui se veulent propres à chaque individu. Ces facteurs sont choisis pour leur forte invariabilité et concernent des zones du visage tel que le haut des joues, les coins de la bouche, etc... on évitera d'autre part les types de coiffures, les zones occupées par des cheveux en général ou toute zone sujette à modification durant la vie de la personne.

Il existe plusieurs variantes de la technologie de reconnaissance du visage. La première est développée et supportée par le MIT et se nomme "Eigenface". Elle consiste à décomposer le visage en plusieurs images faites de nuances de gris, chacune mettant en évidence une caractéristique particulière :

Source : MIT Face Recognition Demo Page

Une autre technique appelée "feature analysis" se base sur la précédente en y rajoutant des informations sur les distances inter-éléments, leurs positions, etc... Elle se dit plus souple quant aux éventuelles modifications pouvant survenir : angle de prise de vue, inclinaison de la tête, etc... Viennent ensuite des techniques moins utilisées à l'heure actuelle, basée sur des réseaux neuronaux, sur des méthodes plus techniques et moins souples.



4.2.5. SYSTEME ET CONFIGURATION DES VEINES (VEIN PATTERN-SCAN)

Cette technique est habituellement combinée à une autre, comme l'étude de la géométrie de la main. Il s'agit ici d'analyser le dessin formé par le réseau des veines sur une partie du corps d'un individu (la main) pour en garder quelques points caractéristiques.

4.2.6. CARACTERISTIQUES COMPORTEMENTALES Outre les caractéristiques physiques, un individu possède également plusieurs éléments liés à son comportement qui lui sont propres.

4.2.6.1. DYNAMIQUE DES FRAPPES AU CLAVIER (KEYSTROKE-SCAN)

Les frappes au clavier sont influencées par plusieurs choses. Tout d'abord, selon le texte que l'on tape et, de manière plus générale selon sa nature, on aura tendance à modifier sa façon de taper au clavier. C'est d'ailleurs un des moyens utilisés par certaines attaques (timing attacks) pour essayer d'inférer le contenu ou la nature du texte tapé de façon à remonter jusqu'à un mot de passe par exemple. Ces techniques sont assez satisfaisantes mais restent néanmoins statistiques.

Ensuite, le facteur comportemental entre en jeu, et ce facteur va être -lui- différent pour chaque individu. Les facteurs sont à peu de chose près identiques à ceux évoqués précédemment : ce sont les durées entre frappes, la fréquence des erreurs, durée de la frappe elle-même... La différence se situe plus au niveau de l'analyse, qui peut être soit statique et basée sur des réseaux neuronaux, soit dynamique et statistique (comparaison continuelle entre l'échantillon et la référence).

4.2.6.2. RECONNAISSANCE VOCALE (VOICE-SCAN)

Les données utilisées par la reconnaissance vocale proviennent à la fois de facteurs physiologiques et comportementaux. Ils ne sont en général pas imitables.

4.2.6.3. DYNAMIQUE DES SIGNATURES (SIGNATURE-SCAN)

Ce type de biométrie est à l'heure actuelle peu utilisé mais ses défenseurs espèrent l'imposer assez rapidement pour des applications spécifiques (documents électroniques, rapports, contrats...).

Le procédé est habituellement combiné à une palette graphique (ou équivalent) munie d'un stylo. Ce dispositif va mesurer plusieurs caractéristiques lors de la signature, tel que la vitesse, l'ordre des frappes, la pression et les accélérations, le temps total, etc... En fait, tout ce qui peut permettre d'identifier une personne de la façon la plus sure possible quand on utilise une donnée aussi changeante que la signature.

4.3. Résumé et nouvelles techniques

Voici à titre indicatif le résultat d'une étude effectuée par une compagnie américaine, l'International Biometric Group, présentant les différents critères pour chaque type de technique biométrique.



Légende : ♦ Effort : effort requis pour l'utilisateur lors de la mesure ; ♦ Intrusiveness : décrit dans quelle mesure l'utilisateur perçoit le test comme intrusif ; ♦ Cost : coût de la technologie (lecteurs, capteurs, etc...) ; ♦ Accuracy : efficacité de la méthode (capacité à identifier quelqu'un).

Il existe plusieurs techniques en cours de développement à l'heure actuelle; parmi celles-ci, citons la biométrie basée sur la géométrie de l'oreille, les odeurs, les pores de la peau et les tests ADN.

Sur ce dernier point, il est intéressant de souligner que le procédé peut se révéler menaçant tant au niveau de la vie privée des personnes, de leur liberté que des dérives informatiques éventuelles (et autres Big Brothers). En effet, même si cela dépend de la technique mise en oeuvre, le test ADN est quelque chose qui peut se révéler comme exact et sûr à 100%, autorisant des FRR et FAR nuls (cf. plus bas).

Ce test est également reconnu de façon universelle et permettrait très facilement d'effectuer des recoupements entre bases de données. Autrement dit, ce serait le moyen idéal pour "cataloguer" les personnes et détruire ainsi la vie privée que nous avons respectée jusqu'à présent.

4.4. Inconvénient de la biométrie

La biométrie présente malheureusement un inconvénient majeur.

En effet aucune des mesures utilisées ne se révèle être totalement exacte car il s'agit bien là d'une des caractéristique majeure de tout organisme vivant : on s'adapte à l'environnement, on vieillit, on subit des traumatismes plus ou moins importants, bref on évolue et les mesures changent.

Prenons le cas le plus simple, celui des empreintes digitales (mais on notera que la même chose s'applique à toute donnée physique). Suivant les cas, nous présentons plus ou moins de transpiration; la température des doigts est tout sauf régulière (en moyenne, de 8 à 10° Celsius au-dessus de la température ambiante). Il suffit de se couper pour présenter une anomalie dans le dessin de ses empreintes. Bref, dans la majorité des cas, la mesure retournera un résultat différent de la mesure initiale de référence. Or il faut pourtant bien réussir à se faire reconnaître, et en



réalité cela marchera dans la plupart des cas car le système autorise une marge d'erreur entre la mesure et la référence.

Le but de ce dispositif est simple : les fabricants ne recherchent nullement la sécurité absolue, ils veulent quelque chose qui fonctionne dans la pratique. Ils cherchent donc à diminuer le taux de faux rejets (False Rejection Rate, FRR), tout en maintenant un taux relativement bas de fausses acceptations (False Acceptation Rate, FAR). Une FR est le fait de rejeter une personne autorisée en temps normal car sa mesure biométrique présente trop d'écart par rapport à la mesure de référence pour cette même personne. Un système fonctionnel aura un FRR le plus bas possible.

D'autre part, une FA est le fait d'accepter une personne non-autorisée. Cela peut arriver si la personne a falsifié la donnée biométrique ou si la mesure la confond avec un autre personne. Un système sûr aura un FAR le plus bas possible.

Dans la vie courante, les industriels cherchent principalement à avoir un compromis entre ces 2 taux, FRR et FAR, qui sont eux liés suivant une relation illustrée ici :

Toute la biométrie peut se résumer, pour les plus pessimistes, à ce seul compromis entre les 2 taux FRR et FAR, qui fausse toute la confiance que l'on pourrait porter à cette technologie.

4.5. Limites de cette technologie

Les empreintes digitales représentent sans aucun doute les données biométriques les plus couramment utilisées. De fait, on trouve un grand nombre de produits disponibles sur le marché mais également beaucoup de travaux sur le sujet et de contrefaçons dans ce domaine.

De manière générale, les faiblesses (et vulnérabilités) de ces systèmes ne se situent pas au niveau de la particularité physique sur laquelle ils reposent, mais bien sur la façon avec laquelle ils la mesurent, et la marge d'erreur qu'ils autorisent. Là encore, il convient de ne pas se laisser impressionner par une image illusoire de haute technologie - produit miracle.

les données biométriques ne devraient pas être utilisées seules pour de l'authentification forte car elles ne sont pas modifiables puisque par nature propres à chaque individu. On ne peut donc pas se permettre de se baser uniquement dessus, d'autant plus que nous avons vu qu'elles ne sont pas fiables à 100% (FAR/FRR). En règle générale, on préfèrera utiliser la biométrie dans le cadre d'un schéma d'identification plutôt que pour faire de l'authentification.

les données biométriques sont comparables à tout autre système de contrôle d'accès comme des mots de passe, etc..., car du point de vue du système informatique, ce ne sont rien d'autres que des séries de bits comme toute donnée. Autrement dit, la difficulté réside dans la contrefaçon de la caractéristique physique et biologique que l'on mesure, mais en aucun cas dans sa valeur numérisée (digitale).

Prenons l'exemple de notre vieil ami, le login/mot de passe. Ce système est souvent décrit comme peu sûr car une des principales attaques consiste à épier les transactions durant un processus de login pour récupérer les données utiles et les rejouer. On voit que même dans le cas des



techniques basées sur la biométrie, cela reste possible ! A quoi bon se compliquer la tâche en essayant de reproduire une empreinte alors que l'on peut récupérer les données numérisées directement ? Ou si l'on peut attaquer les bases de données contenant toutes les données biométriques de référence ?

4.6. Conclusion

La reconnaissance des empreintes digitales est aujourd'hui l'une des techniques biométriques les plus généralisées. La reconnaissance faciale, vocale, de l'iris, de la rétine, de la main ou même l'analyse comportementale (manière de marcher, de taper au clavier, de signer...) n'arrivant que loin derrière.

Selon l'International Biometric Group, les seules techniques de scan d'empreintes et celles d'identification automatique d'empreintes totalisent à elles seules presque 75 % du marché mondial de la biométrie (respectivement 263,1 et 421,9 millions de dollars). Suivent ensuite la reconnaissance faciale (57,5 millions), la reconnaissance de la main (50,7 millions), celle de l'iris (37,1) et celle de la voix (20,8). Pour finir, analyse des signatures et de la façon de taper au clavier atteignent respectivement 12,2 et 1,7 millions de dollars.

On le voit, les conjectures dignes parfois de certains romans de science fiction peinent à s'imposer face à l'analyse des empreintes digitales même si un système de détection biométrique fonctionne au mieux quand au moins deux techniques sont conjuguées.

On retiendra plusieurs fait marquants concernant la biométrie : ♦ il ne suffit pas de remplacer un login/mot de passe par une mesure de biométrie; il faut

également repenser tout le système et sécuriser l'architecture complète ; ♦ il ne faut pas utiliser une mesure biométrique seule pour procéder à une authentification; on

préféra la coupler avec une carte à puce, un token sécurisé (petit élément de stockage présentant une grande résistance aux attaques, même physiques), un mot de passe voire un OTP ;

♦ on utilisera la biométrie de préférence pour les opérations d'identification plutôt que d'authentification.

Enfin, perdons une fois pour toute cette image de technologie ultra sûre faussement propagée par les médias. La biométrie n'est nullement une "solution miracle et universelle".

5. LA CRYPTOGRAPHIE

L'arrivée d'Internet dans tous les foyers a grandement facilité les échanges d'informations. Reste que dans ce flux permanent seule la cryptographie peut apporter une certaine confidentialité et une solution à la sécurisation des informations personnelles ou sensibles ...

La cryptographie est la science qui utilise les mathématiques pour chiffrer et déchiffrer les données. Elle permet de transmettre des données à travers des réseaux peu sûrs de telle sorte qu'elles ne puissent êtres lues que par le destinataire convenu.



5.1. Historique

La cryptographie remonte à l'Antiquité, le premier "document" crypté connu est une tablette d'argile découverte en Irak qui date du 16ème siècle avant JC. Un potier y avait gravé sa recette secrète en supprimant des consonnes et en modifiant l'orthographe des mots. Le premier vrai crypto-système verra le jour en Grèce 200 ans avant notre ère : le carré de Polybe qui consiste à remplacer une lettre par sa coordonnée dans un carré de 5x5 cases où le I et le J se partagent une même case.

De tous temps, les politiques aussi bien que les scientifiques se sont essayés à la cryptographie pour protéger les informations sensibles. Quand Jules César envoyait des messages à ses généraux, il ne faisait pas confiance à ses messagers aussi son idée consistait tout simplement à décaler de trois rangs dans l'alphabet les lettres d'un message et ainsi seul les généraux en possession de la clef (système de déchiffrement) étaient en mesure de retrouver le message d'origine. Dans le même style que le chiffrement de César on trouve le système ROT 13 (ROT pour ROTation) dont la clé est la suivante :

Alphabet original : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Alphabet codé : N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

Une double application du système ROT 13 permet d'obtenir le message original puisque à une double rotation correspond une rotation de 26 soit un tour complet et donc un retour au point de départ, au message clair.

Blaise de Vigénère (1523 - 1596) est un des premiers à inventer un système à faire intervenir un mot de passe pour chiffrer le message. La méthode de Blaise de Vigénère est basée sur un carré de 26x26 dont chaque case comprend une des lettres de l'alphabet. Le texte codé s'obtient en prenant l'intersection de la ligne qui commence par la lettre à coder avec la colonne qui commence par la première lettre du mot de passe. Pour la deuxième lettre à coder, on utilise la deuxième lettre du mot de passe et ainsi de suite. Dès que l'on atteint la fin du mot de passe, on recommence à la première lettre (cf. ci dessous).

Sur l'image ci-contre, avec comme mot de passe "kayak", la lettre "M" devient "W" après avoir été codée.



5.2. Cryptographie conventionnelle

Il existe deux types de cryptographies à l'heure actuelle : le chiffrement dit conventionnel et la cryptographie à clef publique.

Dans la cryptographie conventionnelle dite à clef secrète ou à clef symétrique, une seule et même clef est utilisée à la fois pour le chiffrement et le déchiffrement. Le Data Encryption Standard (DES) est un exemple de crypto-système conventionnel qui est largement utilisé par le Gouvernement fédéral des Etats-Unis.

Cryptographie conventionnelle

Ce chiffrement a l'avantage d'être très rapide et est particulièrement utile quand les données ne sont pas destinées à emprunter un quelconque réseau mais dans le cas où le transfert de données doit se faire par un réseau, il peut se révéler être très onéreux simplement en raison de la difficulté de la distribution sécurisée de la clef. Dans le DES un problème continuel se pose : comment communiquer la clef au destinataire ?

5.3. Cryptographie à clef publique

Avec la cryptographie à clef publique les problèmes liés à la distribution de la clef est résolu. Ce concept fut inventé en 1975 par Whitfield Diffie et Martin Hellman, il repose sur un schéma asymétrique qui utilise une paire de clefs dont l'une est publique et permet de chiffrer les données et l'autre privée permettant le déchiffrement. Vous publiez largement votre clef publique tout en gardant votre clef privée. De la sorte, toute personne en possession d'une copie de votre clef publique peut ensuite chiffrer des informations que vous seul serez en mesure de lire, même si vous n'avez jamais rencontré cette personne.

Il est mathématiquement impossible de déduire la clef privée de la clef publique. Quiconque qui a votre clef publique peut chiffrer des données qui vous sont destinées mais en aucun cas les déchiffrer.

Cryptographie à clef publique



Le principal avantage de la cryptographie à clef publique est qu'elle permet à des gens, qui n'ont pas d'accord de sécurité préalable, d'échanger des données de manière sûre.

Des exemples de crypto-systèmes à clef publique : ♦ Elgamal (du nom de son inventeur : Taher Elgamal) ; ♦ RSA (du nom de ses trois inventeurs : Rivest, Shamir, Aldeman) ; ♦ Diffie-Hellman (du nom, vous l'avez deviné de ses inventeurs, Diffie et Hellman) ; ♦ DSA (Algorythme de Signature Digitale, inventée par Kravitz).

5.4. L'infrastructure PKI

Les infrastructures à clé publique, ou PKI en Anglais (Public Key Infrastructure) peuvent être définies comme un système de certificats numériques utilisé pour vérifier et authentifier la validité des parties impliquées dans une transaction électronique.

Une infrastructure à clé publique peut offrir notamment des services de protection de la vie privée, de contrôle d'accès à l'information, d'intégrité, d'authentification et de non-répudiation pour les applications informatiques et les transactions de commerce électronique.

Sans faire encore l’objet d’une standardisation, les PKI sont généralement prises en charge par des organismes tiers.

Une PKI repose sur l'utilisation de la cryptographie à clé publique. Cette dernière est une clé de chiffrement (séquence de symboles) stockée dans un annuaire accessible à tous les membres d'un réseau ou d'une organisation, permettant de transmettre en toute confidentialité des messages à son unique propriétaire, ou d'authentifier à l'arrivée des messages émis par ce dernier.

Une telle infrastructure est composée de plusieurs éléments.

Et en premier lieu, d'une autorité de certification. C'est elle qui est chargée de générer les certificats, en associant l'identité d'une personne ou d'un système à une signature numérique. Cette phase peut être réalisée en interne, ou confiée à un prestataire externe. C'est aussi l'autorité de certification qui veillera à révoquer les certificats à une date définie.

Le second élément est l'autorité d'enregistrement. Celle-ci capture et identifie l'identité des utilisateurs et soumet les demandes de certificats à l'autorité de certification ; la qualité de l'authentification réalisée à ce niveau conditionne le degré de confiance pouvant être accordé aux certificats.

La méthode la plus sûre, est bien sur d'enregistrer un utilisateur en sa présence physique, avec des preuves formelles de son identité.

Le troisième composant d'une PKI est le système de distribution des clés.

Celles-ci peuvent être distribuées par l'intermédiaire d'un annuaire LDAP. Elles peuvent aussi être enregistrées dans des dispositifs physiques, par exemple dans des cartes à puce.

Enfin, au sein de cette infrastructure, doivent prendre place des applications compatibles avec le système : applications de communication entre navigateur et serveur Web, échanges de données informatisées (EDI), courrier électronique, transactions, ou encore réseau privé virtuel.

Vers la définition d'un standard de PKI ?



La technologie Public Key Infrastructure (PKI ou infrastructure de clé publique) se généralise. Mot de passe, authentification, chiffrement, firewall, réseau privé virtuel (etc.) : les solutions de sécurité réseau ne cessent de se multiplier... mais aucune ne serait capable de faire une synthèse des réponses aux problématiques fondamentales de ce domaine.

La technologie PKI est l'une des seules technologies qui répond à l'ensemble des besoins critiques de sécurité des réseaux : depuis l'authentification, en passant par la confidentialité, ainsi que l'intégrité et la non-répudiation des données… Sans compter de bonnes qualités de flexibilité et d'adaptation.

OASIS (Organization for the Advancement of Structured Information Standards) a notamment pour objectif : ♦ d'approfondir les conditions métier nécessaires au déploiement de ces infrastructures ; ♦ de réfléchir aux éléments techniques de tels projets.

afin d'aboutir à des règles d'implémentation certifiées.

Baptisé OASIS PKI Member Section, ce groupe (comptant aussi bien des intégrateurs que des éditeurs, des opérateurs de services et des sociétés de conseil) a été créé dans la foulée de l'intégration par l'OASIS du PKI Forum, une organisation lancée en 1999 par différents acteurs de la sécurité en vue de promouvoir l'adoption des PKI et l'interopérabilité entre solutions - par le biais de la définition de standards principalement.

Les travaux demeurent concentrés sur les enjeux d'intégration des PKI et la promotion d'une meilleure connexion entre outils.

En termes de méthodologie, ils se conformeront désormais aux règles définies par le consortium.

Remis ainsi en perspective, le dessin de la OASIS PKI Member Section paraît plus clair. Basés vraisemblablement sur certains langages définis par le W3C (XML Encryption et XML Signature notamment), les chantiers mis en oeuvre devraient venir compléter l'édifice échafaudé par l'organisme autour de la sécurité des échanges BtoB. Une série de propositions qui couvraient d'ores et déjà les champs de l'identification, de l'autorisation et de la gestion des politiques d'accès (par le biais des langages WS-Security, SAML, XACML, SPML et XCBF).

5.5. Conclusion

Parce que la cryptographie conventionnelle était le seul moyen disponible pour transmettre des informations cryptées, le coût des canaux sûrs et de la distribution sécurisée de la clef réservaient cette technologie aux institutions gouvernementales et aux grandes banques. Le chiffrement à clef publique est la révolution technologique qui a permis aux masses d'accéder à la cryptographie.

A l'heure du e-commerce, c'est l'algorithme RSA 512 bits qui est le plus utilisé aujourd'hui à chaque fois qu'une transaction sécurisée s'effectue entre votre ordinateur et une banque lors d'un paiement en ligne (l'adresse qui apparaît dans le navigateur commence par https://). Il faut environ 107 millions d'années à un Athlon 1Ghz pour retrouver par la force brute une clé codée sur cette longueur.

On peut considérer qu'une clé RSA 512 bits peut aujourd'hui être cassée en utilisant des moyens de calculs distribués : plusieurs centaines d'ordinateurs recherchent en parallèle la même clé, mais ces moyens sont hors de portée d'un particulier. Par contre, une clé sur 1024 bits, qui n'est pas deux fois plus difficile à casser mais 1,3x10154 fois plus compliquée à casser (chaque bit supplémentaire multipliant par deux le nombre de clé possibles) peut être considérée à l'heure de cet article comme complètement indéchiffrable et même une armée d'un milliard d'ordinateurs opérant un milliard de calculs à la seconde n'en viendraient à bout avant la fin de l'univers.



Cependant il paraît probable que dans les années à venir, les progrès des mathématiques et de l'informatique combinés permettrons d'arriver à bout d'un telle clé.

On peut donc considérer que le RSA 1024 bits est sûr à 100% ... à l'heure actuelle.

La cryptographie est un outil très puissant basé le plus souvent sur des systèmes extrêmement performants d'où des procédures de cryptage et décryptage relativement longues. Ceci rend l'utilisation de la cryptographie surtout utile pour les données très sensibles.

6. LE PAIEMENT SECURISE

Le paiement par carte bancaire sur Internet a fort mauvaise presse. Pourtant, grâce aux technologies mises en oeuvre au niveau du logiciel de navigation et des sites de commerce électronique, il s'avère être le plus sûr des moyens de télépaiement.

Étant donné qu'un logiciel de navigation (navigateur) prend en charge l'ensemble des protocoles de sécurité utilisés par les sites sécurisés, les informations relatives au paiement peuvent être transmises à un site sécurisé en toute confiance.

6.1. Modalités d'utilisation

Le principal risque que soulève le paiement par carte sur Internet est la divulgation du numéro de carte bancaire. Rien n'empêche une personne mal intentionnée ayant connaissance desdites informations de procéder à un achat sur votre compte...

En effet, contrairement à une transaction physique au cours de laquelle vous vous authentifiez (par la saisie de votre code secret ou l'apposition de votre signature sur le ticket), vous vous contentez ici de communiquer les informations de votre carte (numéro et date d'expiration).

Lorsque vous accédez à un site Web sécurisé, le logiciel de navigation affiche une icône représentant un verrou sur la barre d'état. La saisie du numéro de carte se fait le plus souvent sur une page Web hébergée sur le serveur de la banque qui reçoit le paiement. Le commerçant n'en a donc pas connaissance.

En outre, si vous vous apprêtez à envoyer votre numéro de carte de crédit vers un site non sécurisé, le logiciel de navigation vous informe du danger potentiel que vous courez (vous pouvez par la suite désactiver l'apparition de ce message).

Enfin, si un site prétend être sécurisé mais que le logiciel de navigation détecte que ses références sont suspectes, il vous avertit que le site a été modifié ou qu'il n'est pas ce qu'il prétend être.

6.2. Technique de sécurisation du télépaiement

La sécurité de la solution de paiement en ligne repose sur l'utilisation du protocole de cryptage SSL (Secure Socket Layer), c'est à dire la transmission cryptée des informations relatives à la transaction entre le poste de l'internaute acheteur et le serveur de paiement. Cette technologie utilise une clé de cryptage à 128 bits.



Dans le cas d'une opération de paiement, SSL sert à crypter le numéro et la date d'expiration d'une carte, saisis sur le clavier de l'internaute, avant son envoi vers le serveur de paiement.

Protocole le plus utilisé dans le monde (plus de 80% des sites marchands utilisent SSL), il est disponible sur la quasi-totalité des navigateurs.

La sécurisation du protocole SSL est basée pour l'essentiel sur : ♦ le scellement des informations relatives à la transaction entre le serveur commerçant et le

client, sans que l'acheteur n'ait à télécharger ou même activer un programme, logiciel supplémentaire ; ainsi l'intégrité des données est garantie contre toute tentative de falsification du montant de la transaction ;

♦ le transport crypté du numéro de carte du client vers le serveur de paiement, une protection contre les tentatives d'interception du numéro de la carte lors de son transport sur le réseau ouvert Internet ;

♦ le stockage protégé des informations relatives à la transaction et au paiement sur le serveur de paiement, protection contre les attaques vers un site commerçant ;

♦ une demande d'autorisation systématique avec blocage immédiat de la transaction émanant de toute carte inexistante, perdue, volée, ... signalée par le porteur à sa banque.

Les moyens de cryptographie utilisés doivent faire l'objet d'une déclaration auprès des Services Administratifs du Gouvernement français : SSI (Sécurité des Systèmes d'Information).

La mise en oeuvre technique nécessite l'installation d'une interface applicative - dite API (Application Programme Interface) -, qui réalise les différentes fonctions de paiement ou d'interrogation au serveur. L'API est un ensemble de fichiers informatiques comprenant les fonctions de paiement, les fichiers de paramètres, des exemples de scripts de paiement (appelés CGI - Common Gate Interface) et les différents logos de cartes bancaires que le commerçant accepte sur son site marchand.

Cette interface, fournie sous forme de fichiers "exécutables", comporte des éléments cryptographiques qui la rendent dépendantes du système d'exploitation. Elle est disponible aujourd'hui sur divers systèmes. D'autres interfaces spécifiques existent également pour l'intégration dans des progiciels marchands.

L'API doit être intégrée par le commerçant lui-même (ou son technicien) sur le site marchand devant proposer les fonctions de paiement. Ceci suppose donc la maîtrise de serveurs http et l'écriture de scripts CGI.

La conservation des données


LA CONSERVATION DES DONNEES Un système d'information même fiable et récent n'est jamais à l'abri d'une défaillance matérielle ou logicielle, d'une erreur humaine, d'un acte de malveillance, d'une infection virale, d'une panne de courant, d'un vol, d'un sinistre (incendie, dégât des eaux, foudre, …), etc.

Le destin du système est de tomber en panne. Ce n'est qu'une question de temps.

Le problème de la restauration des données se pose toujours après réparation du système. Ceci montre l'importance qui doit être accordée à la sauvegarde des données.

Afin de limiter les risques, tout doit être mis en œuvre pour éviter la perte des données et garantir leur disponibilité et leur intégrité, en établissant une procédure systématique de sauvegarde.

1. LES DIFFERENTS SUPPORTS DE SAUVEGARDE

La sauvegarde consiste à enregistrer les données vitales sur un support généralement autre que le(s) disque(s) de l'ordinateur. Elle se fait principalement sur des unités amovibles.

De la simple disquette au disque optique ou aux bibliothèques de sauvegarde, le choix ne manque pas. On s'y perd allègrement d'autant que les technologies évoluent sans cesse... Tout dépend du type d'ordinateur (micro, serveur ou mainframe) et du budget accordé au système de sauvegarde …

Malgré tout, la fiabilité et la capacité des supports restent un choix des plus objectifs. Voici un tableau non exhaustif qui vous présente les types de supports les plus connus ainsi que leurs caractéristiques principales : Nom Capacité Débit Technologie Fiabilité

Disquette de 1,44Mo à 2,88Mo jusqu'à 0,5Mo/s Magnétique La plus faible

ZIP 2 formats disponibles : 100Mo ou 250 Mo

de 0,6Mo/s (port parallèle) à 2,4 Mo/s (en ATAPI interne pour le modèle 250)

Magnétique Peu fiable

JAZZ 2 formats disponibles : 1Go ou 2Go

de 5,5Mo/s à 8Mo/s Magnétique Peu fiable

Disque Dur Plusieurs Go selon interface (IDE ou SCSI et technologie associée)

Magnétique Assez fiable

QIC : Quarter Inch Cartridge

de 250Mo à 8Go (compressé) jusquà 0,8Mo/s Magnétique Assez Fiable

DAT : Digital Audio Tape

de 2 à 24 Go (selon lecteur)

1,5Mo/s taux de compression de 2 pour 1.

Magnétique

Assez bonne fiabilité usure assez rapide : 2000h pour les têtes et 20000 passages pour les bandes

DDS : Digital Data Storage (évolution du DAT)

jusqu'à 40 Go jusqu'à 4,7Mo/s MagnétiqueBonne fiabilité (bandes garantie sans erreur au contraire du DAT)

DLT : Data Linear Tape 10 Go en natif

3Mo/s taux de compression de 2 pour 1

Magnétique

Bonne fiabilité usure moins rapide : 10000h pour les têtes et 500000 passages pour les bandes



SDLT : Super Data Linear Tape nouvelle technologie

de 110Go à 1,2To (non compressés)

de 11Mo/s à plus de 100 Mo/s

Magnéto-optique (guidage des têtes)

Bonne fiabilité

CD-ROM

de 600 à 700Mo nb: une nouvelle technologie permettrait de plus grandes capacités)

multiple de 153,6Ko/s (1x). Optique Très bonne

fiabilité

Disque Magnéto-Optiques de 128Mo à 1,3Go jusqu'à 5,9Mo/s Optique Excellente fiabilité

DVD : Digital Versatile Disk à partir de 3,2 Go Multiple de

1,35Mo/s (1x) Optique Excellente Fiabilité

Ce tableau ne mentionne pas les bibliothèques de sauvegarde pouvant contenir plusieurs centaines de bandes et pilotées par le logiciel de sauvegarde.

2. CHOIX DU LOGICIEL

Pour réaliser les sauvegardes il est conseillé d'utiliser des programmes conçus pour faciliter cette opération. Ces programmes permettent de gérer : la fréquence de sauvegarde, l'heure d'exécution, les données à sauvegarder, etc.

On trouve de nombreux logiciels plus ou moins conçus pour réaliser ces tâches. Les plus connus sont : ♦ Backup Exec de Veritas, ♦ ARC ServeIT de Computer Associates.

3. STRATEGIE DE SAUVEGARDE

L'intervalle maximal qui s'écoule entre deux sauvegardes successives dépend de plusieurs facteurs: ♦ la vitesse d'évolution du travail, ♦ la quantité d'information que l'on accepte de perdre entre deux copies.

Selon le service, ça peut être le mois, la semaine ou la journée. Dans le cas de données sensibles, les sauvegardes peuvent être planifiées de la manière suivante :

- une sauvegarde totale par jour (du lundi au jeudi), conservée 1 semaine, - une sauvegarde totale le vendredi, conservée 2 semaines, - une sauvegarde totale à la fin du mois, conservée 1 an, - une sauvegarde totale annuelle à mettre à l'abri pour archivage.

Les bandes journalières sont réutilisées la semaine suivante et celle du vendredi est réutilisée deux semaines après. Les bandes mensuelles sont réutilisées d'année en année.



Les sauvegardes doivent être réalisées régulièrement en fonction de règles pré-établies : ♦ s'assurer de la validité des procédures de sauvegarde ; ♦ vérifier que les procédures de restauration ont été testées ; ♦ contrôler périodiquement la validité des opérations par des restitutions de fichiers en "vraie

grandeur" ; ♦ ne jamais stocker dans la même pièce les serveurs et les copies de sauvegardes ; ♦ les copies de sauvegarde doivent être rangées dans un coffre, sinon loin de tout objet de

convoitise et nécessairement dans un lieu loin de la pièce où se trouvent les serveurs ; ♦ disposer au moins des deux dernières sauvegardes ; ♦ étiqueter soigneusement les médias avant de les introduire dans le lecteur enregistreur, puis

glisser la languette de protection contre l'écriture immédiatement à la sortie du média ; ♦ préférer les sauvegardes automatiques à date fixe aux opérations manuelles.

4. CONCLUSION

Les sauvegardes font partie de manière plus globale de la politique de sécurité des données. Que ce soit suite à un crash système, un crash matériel ou une infiltration malveillante, une sauvegarde, en restaurant les données et les programmes permet de préserver l'intégrité et la pérennité d'un système d'information.

Il est primordial de ne pas sous-estimer l'importance des données des utilisateurs et de garder à l'esprit les conséquences liées à leur disparition. Les règles élémentaires de sécurité informatique imposent l'élaboration d'une stratégie de sauvegarde. Celle-ci nécessite une planification allant de la sélection du matériel de sauvegarde à la détermination du schéma de sauvegarde.

Les procédures de sauvegarde constituent un aspect de la sécurité à ne pas négliger.

Mise en place d'une politique de sécurité


MISE EN PLACE D'UNE POLITIQUE DE SECURITE La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.

La sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de mettre à l'étude les points suivants : ♦ Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de

l'organisation ; ♦ Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une

intrusion ; ♦ Sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations.

La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au sens large) en terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en oeuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en terme de sécurité.

1. LA NECESSITE D'UNE APPROCHE GLOBALE

La sécurité ne résulte pas d’un empilement anarchique de moyens spécifiques mais, au contraire, d’une véritable organisation à long terme assurant la cohérence des moyens de sécurité et leur adéquation, en nature et en niveau, aux risques.

La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.

Cela signifie que la sécurité doit être abordée dans un contexte global : ♦ la sensibilisation des utilisateurs aux problèmes de sécurité ; ♦ la sécurité logique, c'est-à-dire la sécurité au niveau des données ; ♦ la sécurité des télécommunications ; ♦ la sécurité des applications ; ♦ la sécurité physique, soit la sécurité au niveau des infrastructures matérielles.



2. MISE EN PLACE D'UNE POLITIQUE DE SECURITE

Un cadre méthodologique (à l'exemple de la méthode MARION) peut être adopté pour concevoir et mettre en place une politique de sécurité. Cette démarche peut s'appuyer sur un SDSSI (Schéma Directeur de la Sécurité du Système d’Information) stratégique pour en arriver à un (ou plusieurs) SDSSI opérationnel(s).

Une pré-étude est généralement nécessaire. Elle est le fait d’un individu (ou de plusieurs individus) isolés et particulièrement sensibilisés aux problèmes de sécurité ; soit qu’ils aient eu l’occasion de se rendre compte des risques encourus par leur entreprise ou administration ; soit qu’ils aient été témoins de la réalisation de certains risques qu’ils soupçonnaient ou non.

Cette pré-étude peut être aussi le résultat de l’application d’une des lignes du schéma directeur de l’informatique.

Les buts de la pré-étude sont de déterminer si une étude approfondie est nécessaire en matière de sécurité informatique et de présenter des résultats dans le but de convaincre la hiérarchie de la nécessité d’aller plus avant dans le domaine.

Les résultats seront donc préparés et communiqués à la hiérarchie avec un double souci de sincérité et de conviction.

Remarque :

MARION est un ensemble méthodologique conçu et développé par le CLUSIF (Club de la Sécurité des Systèmes d'Information Français) qui réunit la plupart des spécialistes français des systèmes d'information. Elle a été adaptée à divers contextes (grands, moyens et petits systèmes) et traduite dans la plupart des pays à économie développée. La méthode repose sur six principes de base : 1. La sécurité ne peut être assurée que s'il y a une forte implication de l'entreprise ou de l'organisme, de la direction générale à l'utilisateur final, après une phase de sensibilisation. La mise en oeuvre de moyens et de procédures de sécurité réalistes et cohérents ne peut dépendre d'un responsable de sécurité isolé, mais d'un comité de sécurité comprenant des personnes de disciplines diverses : informaticiens, utilisateurs, vérificateurs, etc. Puisque l'essentiel des préjudices et une large partie des ripostes résident chez les utilisateurs, ceux-ci doivent être largement impliqués. 2. La méthode vise à réduire les vulnérabilités en accidents, erreurs et malveillances afin d'assurer la sécurité en matière de disponibilité, d'intégrité et de confidentialité. Les règles de base sont : la cohérence des moyens de sécurité et leur adéquation aux enjeux. 3. Il n'existe pas de recette ni de solution générale : dans chaque entreprise ou organisme, le scénario de risque est particulier et complexe. Il n'y a pas de relation simple et générale du type risque-solution. Les moyens de sécurité doivent être adaptés aux scénarios spécifiques à l'organisme, puis validés. 4. Il convient de distinguer les risques maximaux (supérieurs à la capacité de l'organisme d'y résister) et les risques moyens et courants. Dans le premier cas, on ne peut parler de probabilité. Chaque cas est particulier en termes de scénarios, d'enjeux et de ripostes. Il faut donc simuler les scénarios correspondants avec les acteurs concernés. Dans le second cas, au contraire, on doit raisonner statistiquement sur la base des sinistres observés en pratiquant un audit quantitatif et pondéré. 5. Le choix des moyens de sécurité est fondé sur la priorité des moyens de protection (blocage des grands risques) par rapport aux moyens de prévention (réduction de la fréquence des sinistres), sur l'équilibrage des moyens de prévention et de protection, sur la réduction des incohérences (suppression des failles) et l'optimisation du rapport qualité-coûts des moyens de sécurité. 6. Le schéma directeur de sécurité des systèmes d'information est une base de décision pour la direction générale : toutes les informations doivent y être objectivement quantifiées pour justifier le budget de sécurité par rapport aux objectifs du plan d'entreprise. La méthode propose un bilan coûts-réduction des risques.



2.1. La présentation des résultats de la pré-étude

Après avoir relevé quelques points marquants du déficit de sécurité de l’environnement informatique, il est bon de les rapprocher d’entreprises ou administrations similaires ayant connu des déboires dans des circonstances proches de celles que l’on risque de vivre.

Cette présentation sera l’occasion de faire apparaître les coûts résultants des sinistres réalisés.

Il est absolument indispensable que les membres de la hiérarchie disposant du pouvoir de décision soient présents à cette présentation car son but n’est que d’emporter la décision de créer les structures nécessaires à une véritable étude de fond sur le problème.

Remarquons à ce niveau qu’il convient de trouver un juste milieu entre ce qui est probable de se réaliser, compte tenu du système de sécurité en place, et ce qui n’a que peu de chances statistiques de se concrétiser. La présentation des résultats de l’étude préliminaire n’est pas le moment de monter un scénario catastrophe qui risquerait d’aboutir à l’effet contraire de celui recherché.

Pour résumer, retenons qu’il s’agit, avant tout, de sensibiliser la direction en illustrant son propos d’exemples concrets de sinistres s’étant produits dans un environnement comparable et de statistiques et commentaires récents sur le plan national et aussi international.

Cette phase consiste en : ♦ la pré-sensibilisation des décideurs, ♦ la définition du champ et des domaines, ♦ la pré-analyse des domaines, ♦ la détermination des frontières RM/RS (risques majeurs et risques secondaires) ♦ la définition de la méthode pratique de pré-évaluation, ♦ la pré-évaluation des menaces, ♦ la pré-évaluation des vulnérabilités, ♦ la pré-évaluation et pré-classification des risques.

2.2. Initiation de la politique de sécurité et constitution d’un groupe de travail

Si les conclusions de cette étude conduisent à la nécessité d'une politique de sécurité, la constitution d’un groupe de travail sera nécessaire à la mise en place d'une véritable politique d’ensemble de la sécurité, englobant tout l’environnement informatique de l’entreprise ou de l’administration en cause.

Selon la nature de la structure (entreprise ou administration), il convient de composer le groupe de travail en y incluant : ♦ la direction informatique (en fait, il s’agira des principaux décideurs dont on attendra des

moyens), ♦ l’ensemble des fonctions informatiques existant dans la maison (l’exploitation, les équipes

systèmes, les spécialistes réseau, les administrateurs de données, et ceci, pour chacun des systèmes d’exploitation présents dans la structure),

♦ les représentants des bureaux d’étude et d’organisation (chefs de projet, analystes, programmeurs…),

♦ des représentants de la sécurité générale (gestionnaires de bâtiments, équipes de sécurité, équipes de gardiennage, responsables de l’entretien),

♦ les représentants du groupe d’audit externe (s’il existe),



♦ pour les entreprises privées (ou les collectivités territoriales) le responsable des assurances ; ceci est inutile dans une administration de l’État car l’État est son propre assureur,

♦ des représentants de la direction financière (s’ils sont différents des décideurs informatiques), ♦ des utilisateurs réels des systèmes informatiques en prenant soin d’arriver à une

représentativité efficace (tous les systèmes doivent être représentés, tous les niveaux d’expertise utilisateur aussi),

♦ éventuellement un conseil extérieur si des compétences indispensables manquent en interne.

L’ensemble de ces personnes formera le noyau permanent du groupe sécurité. Le groupe évoluera au gré des besoins en invitant des spécialistes le moment venu.

La séance de travail ayant permis la constitution du groupe de la sécurité doit être l’occasion de mettre en place une équipe de projet devant faire face aux études détaillées qui ont été décidées pendant la réunion. Périodiquement l’équipe de "développement" spécifique rendra compte de ses travaux au groupe de la sécurité, notamment pour susciter la décision de déblocage des moyens nécessaires à la satisfaction des objectifs fixés.

Enfin cette réunion permettra de définir : ♦ des orientations générales en liaison avec les objectifs ministériels, le schéma directeur de

l’informatique et celui des réseaux et télécommunications, ♦ des grands objectifs de sécurité en tenant compte des contraintes, ♦ des échéanciers, ♦ des priorités, ♦ des préalables (structures, organisations, ressources…), ♦ une organisation tactique pour la poursuite de l’étude, ♦ des structures stratégiques dont le Comité de Pilotage sera le moteur.

2.3. Le recensement des risques

Le recensement réel des risques incombera à l’équipe mise en place dans l’étape précédente.

Avant d’étudier plus en détail certains de ces risques il est nécessaire de marquer la distinction entre ce qu’il est coutume d’appeler les RM (Risques Majeurs) et les RS (Risques Secondaires). On peut admettre que les risques majeurs soient traités au cas par cas en donnant la priorité à l’impact par rapport à la potentialité du risque. Les solutions devront être exactement adaptées au contexte et l’on devra en vérifier l’efficacité à l’avance. À chaque risque majeur identifié correspondront des services de sécurité bien définis qui seront essentiellement tournés vers la protection.

Les risques secondaires devront être traités au plan global et seront souvent les résultats d’études statistiques pour apprécier la potentialité plutôt que l’impact. Les facteurs secondaires seront plus précisément tournés vers la prévention. La difficulté essentielle résidera donc sur la frontière entre risque majeur et risque secondaire.

Par ailleurs, il sera nécessaire de classer les différents risques selon leur potentialité. Celle-ci est évaluée par rapport au caractère plus ou moins plausible de la réalisation d’une menace.

Au-delà de toute méthode, et sur un plan tout à fait général, il convient de distinguer les risques matériels, les risques logiques et les risques encourus par l’homme.



2.3.1. LES RISQUES MATERIELS

Les risques matériels peuvent être regroupés dans trois catégories : les risques matériels accidentels, les vols et sabotages de matériel, les pannes ou dysfonctionnements de matériel.

2.3.2. LES ACCIDENTS

Les accidents peuvent entraîner la destruction totale ou partielle des matériels ou des supports informatiques et de leur environnement à la suite soit : ♦ d’incendie, d’implosion, d’explosion ; ♦ d’introduction de corps étrangers solides, liquides, gazeux ou mixtes, ayant des actions

physiques ou chimiques sur les machines (pluie, fuites, poussières…) ; ♦ de bris de matériel ou d’accidents de type mécanique, électrique, électronique ou

électromagnétique ; ♦ de détériorations dues aux conditions géographiques particulières. C’est ainsi que la proximité

d’une autoroute, d’un chantier ou d’un aéroport peut avoir des conséquences importantes sur le matériel. Ces conséquences trouveraient, dans ce cas, leur origine dans des tremblements de terrains ou des vibrations d’air ;

♦ de conséquences d’événements naturels tels qu’inondation, tempête, foudre, grêle, avalanche, glissement de terrain, séisme…

Ces causes d’accidents sur le matériel informatique ont été à l’origine de près d’un sinistre sur quatre de plus de 100 millions de francs en 1988 (15,2 millions €).

2.3.3. LES VOLS OU SABOTAGES

Les vols ou sabotages de matériel sont des phénomènes particulièrement courants. Il s’agit essentiellement pour le vol : ♦ de petits matériels du type de micros portables, écrans, claviers, imprimantes, modems, prises

et câbles spécialisés, mais aussi les supports informatiques tels que disquettes, disques, bandes, disques optiques numériques ou éléments de remplacement ou d’extension tels que cartes graphiques, cartes mémoires, cartes de télécommunication…

♦ de matériels plus gros tels que micro-ordinateurs de bureau, modems, boîtiers de partage d’imprimantes, lecteurs de CD-ROM ainsi que des éléments qui les accompagnent tels que les souris, tapis de souris, tables à digitaliser, scanners…

Il convient de noter, qu’en matière de vols, la tendance naturelle est de se protéger contre le risque externe (accueil du public dans les locaux de l’administration, méfiance au regard des intervenants extérieurs) alors qu’il est statistiquement probable et humainement avéré que le risque est aussi présent au sein même du personnel. Il est donc nécessaire de tenir compte de ce paramètre dans les études sur les parades à adopter.

En matière de sabotage, il convient de distinguer entre les méthodes dites "douces" et les méthodes réputées violentes.

Les premières concerneront principalement des actions du type "crayon dans un ventilateur", "non-respect volontaire de consignes d’utilisation" (par exemple exposition d’un matériel trop près d’un radiateur malgré les mises en garde des constructeurs). Ces dégradations ont souvent pour origine un mécontentement du personnel ou sont le reflet d’une vengeance (à l’occasion d’un licenciement par exemple).

Concernant la méthode "violente", il s’agira plutôt d’actes proches du terrorisme ou nettement déclarés comme tels. Il y aura utilisation d’explosifs ou d’engins de guerre afin de détruire le système informatique de façon irrémédiable. Ce risque, trouvant souvent sa source dans un



contexte idéologique ou politique, est particulièrement élevé au sein de notre ministère et il convient donc d’en tenir compte avec une grande rigueur.

Il convient d’ajouter à notre liste déjà trop longue de risques matériels ceux qui sont dus à des conflits. Il ne s’agit pas là de sabotage intentionnel mais les résultats sont cependant identiques. Par conflits, il ne suffit pas de comprendre guerre ; un simple mouvement de foule pouvant avoir des conséquences matérielles inestimables. L’on est conscient, par exemple, des risques énormes de débordements qui peuvent se produire à l’occasion de manifestations, à l’origine anodines.

2.3.4. LES PANNES OU DYSFONCTIONNEMENTS

Les pannes ou dysfonctionnements de matériel sont de plus en plus rares car les matériels sont plus fiables avec l’évolution de la technique. Cependant, il convient de ne pas les négliger. Les causes essentielles de pannes dans les mondes des micro et mini informatiques par rapport aux gros systèmes reposent principalement sur leur environnement. En effet, si les gros ordinateurs sont implantés dans des lieux spécifiques, ventilés, climatisés et encadrés par du personnel spécialisé compétent, il n’en est pas toujours de même pour les plus petits ordinateurs.

Parfois posés sur un coin de bureau, non protégés de la poussière, des cendres de cigarette (grands ennemis des lecteurs de disquettes), ils sont soumis à des conditions de travail qui peuvent dépasser leurs capacités de résistance. Au-delà, ils sont susceptibles de faire l’objet de manipulations hasardeuses. Citons ici, pour mémoire le cas du déplacement d’un micro-ordinateur. Les habitués savent parfaitement que, même arrêté, le disque dur est sensible aux chocs et vibrations. En conséquence, avant de déplacer un micro un habitué prendra la précaution de "parquer" les têtes de lecture/écriture (positionnement au-dessus d’une zone inutilisée du disque) afin d’éviter tout frottement intempestif (remarque : les disques durs récents se parquent automatiquement à la mise hors tension de l’ordinateur). Le néophyte, pensant de bonne foi qu’il suffit d’arrêter et de débrancher l’appareil, le déplacera sans autre précaution. Le risque réel sera de perdre des données mais aussi de fausser les têtes ou de neutraliser les pistes essentielles du disque, empêchant ainsi toute procédure de démarrage de l’ordinateur.

La fin de travail peut être aussi la cause de pannes ou réactions incompréhensibles. Tout utilisateur averti sait parfaitement qu’il est nécessaire de fermer proprement ses applications avant d’éteindre son micro pour des questions d’intégrité de données, parfois systèmes. Le risque est, là aussi, très important de se trouver face à une situation de blocage due à une extinction vive de la machine. Le problème réside dans l’absence d’une réelle procédure de fin de travail sur ce type de machine.

Il convient donc de ne pas oublier ces risques qui peuvent paraître futiles à certains.

2.3.5. LES RISQUES LOGIQUES

Les risques logiques concernent les données mais aussi, dans une certaine mesure, les programmes.

Les risques concernant les données peuvent être regroupés en trois catégories : ♦ les vols d’informations, ♦ les destructions d’informations, ♦ les modifications d’informations.

Ces deux dernières catégories (destructions et modifications) seront étudiées en mettant de côté l’aspect virus du problème, présenté séparément.



2.3.6. LES VOLS D’INFORMATIONS

Les vols d’informations sont caractérisés comme étant moins graves que les destructions ou modifications. En effet, il s’agit le plus souvent d’une interception ou d’une copie d’informations qui n’en altère pas l’intégrité. C’est pourquoi, selon la loi spécifique de 1988 dite loi "GODFRAIN", ces malveillances sont punies plus légèrement que les deux autres catégories.

De toute façon, qu’il s’agisse d’appropriation illégitime, de destruction ou de modification de l’information, les risques intrinsèques sont identiques. Ils peuvent résulter : ♦ d’un parasitage de transmission de données, ♦ d’une simple lecture d’écran, ♦ d’une intrusion sur le système, ♦ du vol concomitant du support physique.

Par parasitage d’une transmission de données il convient d’entendre tout moyen permettant de s’approprier ou de modifier des données qui font l’objet d’une transmission par réseau. Cette catégorie de risque est à prendre en considération de manière de plus en plus sérieuse étant donnée l’évolution des mœurs informatiques. En effet, aujourd’hui seuls quelques traitements batch ne font pas appel au réseau. La transmission étant devenue la norme.

2.4. La quantification des risques

Cette étape consiste à étudier l’impact à la fois financier, humain et productif de la concrétisation de chaque risque ayant une probabilité de se produire. À ce niveau, il est essentiel de ne pas se contenter de chiffrer les conséquences directes des pertes telles que le coût de remplacement du matériel mais de se pencher sur les coûts indirects qui représentent souvent une part non négligeable.

Il est bien évident que cette étude doit être personnalisée à l’entreprise ou l’Administration objet de la démarche. Cette personnalisation pourra être effectuée à partir des résultats du ou des questionnaires d’audit qui auront été diffusés.

2.5. Le rapprochement du coût prévisionnel des risques et des coûts de la prévention

Avant d’étudier les moyens physiques et logiques de lutte contre les risques informatiques, nous allons nous pencher sur un aspect qui est parfois trop laissé dans l’oubli : l’information.

En effet de nombreux accidents plus ou moins graves pourraient être facilement évités si l’on se pliait aux plus élémentaires règles d’information du personnel.

Mais ici le terme information ne veut pas seulement signifier la pose de panneaux indicateurs dans les salles informatiques. Il convient de mener une véritable politique de prévention des accidents en : ♦ tenant des réunions d’information, ♦ faisant fabriquer des autocollants destinés à être apposés sur les différents appareils

dangereux, ♦ en demandant une information précise de la part des constructeurs (qui sont légalement tenus

de mettre en garde leurs clients contre les risques inhérents à l’emploi de leurs matériels), ♦ en effectuant des démonstrations d’utilisation mettant en évidence les dangers de

manipulation.



De nombreux organismes se sont sérieusement préoccupés du problème de l’information des personnels, notamment les utilisateurs et certains d’entre eux sont parvenus à mettre en place un moyen d’information bien accepté, ergonomique et surtout non contraignant. Le résultat de leurs recherches s’appuie sur la nécessité de disposer d’une information permanente, sans qu’il soit utile de mener à chaque instant une campagne pour y parvenir.

2.5.1. DEMARCHE A ADOPTER

Tout d’abord, il convient de chiffrer les risques éventuels en terme de coûts de remplacement mais aussi de durée d’indisponibilité. De cette manière, il sera possible de classer les risques par ordre d’importance afin de traiter les plus graves en priorité. Mais cette quantification ayant déjà été effectuée, il suffira d’en reprendre les éléments.

Ensuite, il sera nécessaire d’établir un bilan de la sécurité existante en comparant les risques potentiels avec les mesures déjà prises. De cette façon, la différence entre les deux bilans représentera le risque réel couru par le matériel et les données. Cette méthode permettra de mettre en évidence les incohérences du système de sécurité en place et de commencer à en envisager des modifications.

Nous allons maintenant nous attacher à étudier les moyens à mettre en œuvre afin de protéger au mieux un site informatique contre les destructions matérielles. À propos de destructions matérielles, il est rappelé que celles-ci sont sévèrement sanctionnées par la loi "GODFRAIN" de 1988 prise pour pénaliser la fraude informatique.

2.5.2. MESURES A PRENDRE

Le contrôle physique des accès : on observe souvent que le niveau de sécurité des sites, notamment en sécurité physique, est faible d’une manière générale et catastrophique pour les sites équipés de petits et moyens systèmes informatiques.

Malheureusement, cet état de fait est rarement perçu dans toute son ampleur par les directions des entreprises ou administrations concernées, insuffisamment ou mal sensibilisées aux risques informatiques.

La sécurité des accès physiques n’est qu’un moyen parmi d’autres et il conviendra de respecter la cohérence d’ensemble pour augmenter le niveau de sécurité général. La difficulté de la sécurisation des accès passe par l’obtention d’un équilibre subtil entre le caractère dissuasif voire infranchissable de la barrière et la "valeur" des biens à protéger. Bien entendu, cette valeur n’est pas nécessairement économique ; elle peut être de nature confidentielle et non monnayable.

Afin de se prémunir contre le risque d’intrusion dont le vol, le sabotage, l’espionnage ou le vandalisme constituent les principales motivations, il convient de procéder dans un premier temps à une analyse détaillée de ce risque avec un organisme spécialisé prenant en compte les problèmes de détection et de contrôle d’accès. Cette étude devra notamment prendre en considération : ♦ la protection mécanique existante et notamment les éventuels points faibles du contour de

l’immeuble abritant les locaux à protéger, ♦ l’emplacement et la nature des issues, ♦ les possibilités de déplacement d’un intrus à l’extérieur et à l’intérieur des locaux (chemins de

pénétration), ♦ la localisation des biens et valeurs à protéger, ♦ l’analyse des flux (personnel, supports, documents…),



♦ les éventuels éléments perturbateurs (animaux domestiques, conditions climatiques particulières…),

♦ la situation du site (isolement, occupation partielle ou non).

À l’évidence, une bonne sécurité des locaux repose sur la prise en compte du facteur humain au plan de la prévention (équilibre entre les systèmes automatiques et humains du type gardiennage) et de la mise en œuvre et de l’application pratique des règles et procédures (sensibilisation, information et formation du personnel).

Le contrôle des accès peut se situer à trois niveaux ; sur le plan de la périphérie du bâtiment lui-même ou au plan d’un local. La protection peut avoir recours à des moyens physiques tels que les portes blindées ou les ouvertures à codes ou bien à des moyens de surveillance tels que caméras, gardiens…

Quel que soit le moyen de contrôle d’accès retenu, il est nécessaire de lui adjoindre un système d’alarme sans lequel la détection d’intrus n’a aucun sens. Selon l’importance des biens informatiques à protéger, le système de surveillance pourra aller jusqu’à un appel automatique des services de sécurité ou de protection, voire de la Police.

Le contrôle des entrées des individus habilités peut revêtir des formes très différentes : ♦ analyse de la main. Celle-ci est suffisamment distincte d’un individu à l’autre pour assurer un

degré fiable de sécurité. ♦ analyse de la voix. Cette méthode consiste à analyser la voix à trois niveaux différents ; la

bouche, la gorge et le thorax de façon à réduire les altérations éventuelles. Cependant, les techniques utilisées laissent subsister des problèmes d’ajustement qui ne permettent pas encore d’obtenir des résultats suffisamment fiables.

♦ analyse de la signature. Cette analyse s’effectue en termes de vitesse de tracé, d’accélérations de l’écriture, de pression du stylo, de dimensions caractéristiques de l’écriture, des axes directionnels. C’est en fait la vitesse qui se révèle la méthode d’analyse la plus fiable. Selon les dernières études, il est permis de penser que ce moyen d’identification devrait rapidement se répandre à l’avenir car il est bien accepté et ne doit pas mener l’établissement à des investissements trop lourds.

♦ analyse de l’empreinte rétinienne. Pour ce faire, l’utilisateur regarde dans un appareil binoculaire. Sa rétine est balayée par un faisceau lumineux de faible intensité qui la photographie.

♦ analyse de l’empreinte digitale. Le principe tient compte du fait que l’empreinte digitale est unique. Cette méthode est donc réputée pour sa fiabilité. Seuls obstacles éventuels à sa mise en œuvre : les problèmes de logistique à mettre en place.

♦ analyse de la salive. La salive possède une composition chimique totalement distincte d’un individu à l’autre. Son analyse peut donc permettre de vérifier qu’un individu est bien celui qu’il prétend être.

Cependant la mise en application d’un tel système de défense pose un certain nombre de problèmes parmi lesquels : la lenteur de réactivité ainsi que l’inconfort évident du procédé.

Plus généralement, il convient d’insister sur le fait que le coût de ces procédés d’identification biométriques reste encore prohibitif. Il est donc probable que l’on aura plutôt recours à des moyens plus traditionnels pour contrôler les accès du type clés ou cartes d’identification.

En effet, le possesseur d’une clé est réputé avoir été au préalable habilité à obtenir cette clé. Cette pré-détection garantit contre toute tentative d’effraction mais laisse subsister le risque de vol de la clé elle-même.



Concernant les cartes d’identification, le problème essentiel repose sur la fiabilité du contrôle visuel qui est pratiqué au moment où la personne présente sa carte. Un simple coup d’œil discret sur une carte qui ressemble n’étant pas suffisant.

À ces méthodes il sera préféré, aujourd’hui l’utilisation d’une carte magnétique, à piste magnétique ou à puce, à laquelle sera associé un code d’accès. Bien sûr, il conviendra de mettre en garde les porteurs d’une telle carte sur la nécessité de conserver le code dans un lieu protégé et de ne pas le transporter sur soi avec la carte. C’est exactement le même principe qu’avec la carte bleue. Concernant ce système il est à noter qu’il est possible de l’utiliser avec un code commun à tous les utilisateurs ou bien avec un code unique par utilisateur. Il convient de rester vigilant car l’utilisation d’un code commun à tous les utilisateurs habilités finit souvent par ne plus rien protéger car il est prouvé que ce type de code est rapidement divulgué. Il lui manque la participation volontaire et entière de l’individu.

Au niveau des badges non électroniques (cartes plastiques perforées par exemple), il faut être très prudent avant de s’en servir comme moyen de protection car, en cas de perte ou de vol de l’un deux, il ne sera pas possible d’annuler sa validité du fait que les badges seront tous sur le même modèle.

Après avoir pensé aux moyens de contrôler les accès des personnes habilitées il convient de réfléchir sur le contrôle et la détection des intrus ; car il peut y en avoir malgré les mesures de contrôles mises en place.

Les détecteurs d’intrusion peuvent être regroupés en : ♦ détecteurs d’ouverture, ♦ détecteurs de chocs et vibrations, ♦ détecteurs de passage, ♦ détecteurs volumétriques de mouvements.

Les risques d’incendie sont également importants.

Dans un centre informatique, un incendie peut se déclarer dans les salles ordinateurs ou résulter de la propagation d’un incendie ayant pris naissance à l’extérieur de cette salle.

Dans les salles ordinateurs, les causes les plus fréquentes d’incendies se situent dans les infrastructures suivantes : ♦ faux planchers, ♦ armoires de climatisation, ♦ ordinateur lui-même, notamment en cas de dysfonctionnement de la climatisation, ♦ câbles de toute sorte, ♦ gaines de ventilation.

Les mesures à prendre concerneront essentiellement le choix des emplacements du local ou du bâtiment de façon à soustraire l’ordinateur des zones à haut risque d’inondation, de fumée, de cohabitation avec des infrastructures dangereuses (lignes à haute tension, radars, zones soumises à grande vibration ou à des bruits dangereux en termes de longueur d’ondes).

Par ailleurs, il convient d’adopter une politique efficace de prévention de l’incendie des locaux informatiques. Ainsi est-il conseillé de ne pas installer les systèmes dans les sous-sols où peuvent couver plus aisément des incendies, dans les étages élevés car le matériel est à la merci d’un sinistre se déclarant dans un étage inférieur. L’idéal doit être soit le rez-de-chaussée, soit le premier étage. Cette dernière solution a le mérite de protéger contre les risques d’incendie mais aussi contre les inondations, effractions tout en permettant une intervention suffisamment rapide des secours.



L’aménagement intérieur des salles informatiques doit aussi être l’objet des soins les plus attentifs de la part des concepteurs. Les machines doivent se trouver dans des locaux suffisamment cloisonnés de façon à limiter les dégâts en cas de problème.

En outre, ces locaux doivent être isolés au moyen de portes coupe-feu et protégés en interne par des dispositifs spécifiques tels que le halon. Ce dernier doit être dosé de manière à pouvoir couvrir toute la pièce car, au moindre défaut, le feu pourrait se propager au reste du bâtiment et détruire le matériel censé être protégé.

Divers systèmes de détection des incendies existent sur le marché à l’heure actuelle. Il s’agit essentiellement des systèmes détecteurs de fumée, des systèmes détecteurs de flamme et des systèmes détecteurs de chaleur.

2.5.3. FORMATION ET INFORMATION DU PERSONNEL

Une bonne prévention des risques de destruction du matériel informatique ne peut se concevoir sans une participation active du personnel. En effet, à quoi bon disposer d’un bon système de détection de l’incendie si l’homme n’est pas en mesure de distinguer le bruit de l’alarme et ainsi déclencher les mesures adéquates.

Ainsi il convient de disposer dans les bâtiments des panneaux clairs contenant les consignes à respecter en cas d’incendie. Ces panneaux doivent contenir les plans des bâtiments avec l’emplacement des extincteurs et autres moyens de lutte, les sorties de secours ainsi que les numéros d’appel d’urgence (pompiers par exemple).

Par ailleurs, les consignes doivent être largement diffusées auprès de tous les personnels. Enfin, et ceci afin de tester l’efficacité du système de protection, il est nécessaire de procéder régulièrement à des essais sous la forme d’alertes. Seule l’expérimentation peut permettre de détecter à coup sûr une grosse erreur de conception de la défense.

La prévention des risques doit être prise en compte dès le recrutement du personnel ayant accès à des données confidentielles et/ou stratégiques. La réalité montre en effet que beaucoup de pertes ont pour origine une défaillance humaine, non-respect des règles de sécurité (souvent volontaire), vol, sabotage, fraude…

2.5.4. SECURISER LES DONNEES

La sécurité des données repose, au départ sur la prévention des risques humains.

Les informaticiens et l’ensemble des utilisateurs du système d’information jouent un rôle essentiel dans la prévention des risques. Celle-ci repose tout d’abord sur une définition précise des fonctions « stratégiques » et sur une identification de celles impliquant l’accès à des informations confidentielles.

Ensuite, les principes de sécurité doivent être intégrés aux processus de sélection et de recrutement, par une information et une sensibilisation des candidats.

Enfin, la prévention des risques informatiques, qu’ils soient accidentels ou malveillants, implique que le personnel informatique évolue dans un environnement satisfaisant et sécurisé sur les plans technique, humain et social.



Mais toute cette partie concernant la prévention fera l’objet du développement consacré à l’étude des moyens à mettre en œuvre. Nous pouvons, dès lors, classer les risques logiques en quatre catégories distinctes : ♦ les vols d’informations, ♦ les destructions d’informations, ♦ les modifications d’informations, ♦ les erreurs de logiciel ou bogues.

2.5.4.1. SECURITE ET DOCUMENTATION D’UNE APPLICATION

L’objectif est d’indiquer quelles informations doivent être classées au titre de la sécurité, pour chaque logiciel d’application.

Pour des raisons de sécurité, les informations détaillées ci-dessous doivent figurer dans la documentation de chaque programme et mentionnées dans un index pour tous les programmes utilisés dans un logiciel d’application : ♦ une indication précisera si le programme ou un élément du programme a été écrit de façon non

standard, autant que le permettent les langages et générateurs de programmes, ♦ la taille mémoire maximale utilisable, approximativement, sera indiquée, ♦ le nombre des passages en machine du programme, depuis qu’il est opérationnel, sera

mentionné, ♦ une indication précisera si le programme a été prévu pour une utilisation en situation

exceptionnelle, telle qu’un retour à une version antérieure, ♦ des instructions sur l’utilisation des points de reprise lors d’une procédure de redémarrage

seront citées, ♦ on indiquera si le programme utilise des mots de passe.

2.5.4.2. PROTECTION DES DONNEES

Les contrôles de sécurité logique répondent au moins à quatre objectifs : ♦ permettre d’identifier les personnes désirant accéder à un système, à des programmes ou à

des données, ♦ interdire ou autoriser l’accès au système, pour des opérations et des fonctions définies, selon

des critères spécifiques, ♦ surveiller les accès, c’est-à-dire enregistrer le niveau d’activité du système, répertorier les

personnes connectées et repérer les tentatives de connexion non autorisées, ♦ sauvegarder l’intégrité du système, c’est-à-dire son fonctionnement et ses performances. Il faut

donc être capable de déceler rapidement toute modification illicite de données.

La limitation des droits d’accès utilise les mots de passe, mais aussi les progiciels spécifiques et fait appel à des techniques complexes : chiffrement, cartes à microprocesseurs, signature numérique, biométrie…

2.5.4.3. PRINCIPES GENERAUX DES MOTS DE PASSE

Le moyen le plus simple de définir et de réglementer l’accès à un système informatique et en particulier à ses ressources consiste à attribuer des mots de passe aux utilisateurs. Ces mots de passe peuvent être choisis par ceux-ci, calculés aléatoirement au moment de la création de l’identification ou par dérivation. Dans ces deux derniers cas, les valeurs arbitraires sont en général plus difficiles à mémoriser, nécessitent une procédure sécurisée de remise à l’utilisateur et peuvent être plus facilement interceptés.



La dérivation repose sur un algorithme secret dont les données sont seules connues de l’utilisateur (permutations, substitutions). Les codes des cartes bancaires reposent sur ce principe : la combinaison d’un identifiant et d’un algorithme détermine le code confidentiel à partir duquel le système accepte ou rejette la demande de connexion.

Les mots de passe peuvent également se matérialiser sous forme de questions/réponses mémorisées par le système. Des questions sont posées aléatoirement et il est possible de les modifier à chaque connexion.

Mais, pour éviter de créer une illusion de sécurité, les mots de passe sont soumis à certaines règles qui concernent à la fois leur détermination, leur utilisation et leur gestion. Par ailleurs, il est primordial que les utilisateurs soient sensibilisés à la confidentialité de leur mot de passe.

2.5.4.4. DETERMINATION DES MOTS DE PASSE

Le choix d’un mot de passe constitue l’élément essentiel d’une démarche de sécurité. Dans tous les cas, les règles suivantes doivent être respectées : ♦ Chaque utilisateur doit disposer d’un identifiant qui peut être structuré (intégration de la notion

de groupe ou de domaine) et d’un authentifiant sous forme d’un mot de passe non trivial. Le couple identifiant/authentifiant doit être unique, propre à chaque utilisateur et connu de lui seul.

♦ Le mot de passe doit être difficilement reconstituable par un tiers, en particulier à l’aide de simulations ou par analogies. Pour cela, il est indispensable que le mot de passe ne contienne pas de partie constante (exemple : AA3277), ne prenne pas de valeurs dont la distribution est aisément reconstituable (exemple : 234567) et soit d’une longueur d’au moins cinq caractères combinant chiffres, lettres et caractères de ponctuation. D’une manière générale, le mot de passe doit être suffisamment complexe tout en étant mémorisable. Ces règles doivent prévenir les tentatives occasionnelles d’usage illicite, mais également le piratage par recherche combinatoire.

♦ Il est souhaitable que l’usage d’un mot de passe soit restreint à la fois dans le temps (définition de plages horaires autorisées) et dans l’espace (identification d’un terminal). Pour les transactions stratégiques ou en cas d’utilisation du télex et ,si possible, d’une manière générale, il est recommandé de mettre en place un paramétrage des autorisations de connexions par utilisateur en fonction d’un planning horaire et calendaire : heures de début et fin de journée, week-end, vacances…

♦ Le mot de passe ne doit évidemment jamais être écrit ou communiqué à quiconque et doit être modifié régulièrement.

2.5.4.5. LES ORGANISMES DE SURVEILLANCE DU RESEAU

CERT Le Computer Emergency Response Team est un groupe d'experts chargé d'alerter les entreprises et les internautes des virus, vers et failles de sécurité présents sur le réseau. Le Cert tire ses origines d'une unité de surveillance internet de l'armée américaine. Il a été officiellement constitué par Bill Clinton en 1999. Depuis, de nombreux organismes dans le monde l'ont rejoint pour former un réseau mondial d'alerte.

CERT.fr En France, l'alerte est assurée et relayée par le réseau Renater et l'Onera (Office national d'études et de recherches aérospatiales). Le Cert Renater est plus particulièrement chargé de prévenir le secteur universités et recherche ; le Certa s'occupe des administrations et le Cert-IST informe l'industrie et les services.



2.6. Vers un schéma directeur de la sécurité informatique

Même si la nécessité de mettre en place des moyens de lutte contre les différents risques informatiques est largement partagée, une réelle efficacité ne peut être obtenue que si un "véritable contrat" existe dans l’entreprise. Ce contrat ne peut prendre la forme que d’un SDSSI (Schéma Directeur de la Sécurité du Système Informatique).

La démarche (comme par exemple celle préconisée par la méthode MARION) aboutit à la rédaction d’un tel document.

La sécurité n’est pas considérée comme directement productive. Ce n’est que lorsqu’un incident majeur survient que l’on se convainc de l’intérêt d’un tel document. Il convient donc de se montrer particulièrement convaincant lorsqu’on est sensibilisé à ces problèmes afin d’amener progressivement chacun à se sentir responsabilisé sur le problème.

Néanmoins, dans une grande administration comme la nôtre, il appartient à tous de réfléchir sur les conséquences que peuvent avoir chacune des actions entreprises dans le domaine informatique. Par ailleurs, lorsqu’un risque réel semble pouvoir se produire et mettre en péril la bonne marche du service public, il est impératif de le signaler et éventuellement de proposer des mesures de prévention compte tenu de sa propre expérience.



2.7. Présentation du scénario catastrophe

Bien que la décision de mener à bien une étude approfondie sur la sécurité informatique ait été prise, il convient de sensibiliser le plus possible les décideurs afin d’obtenir le meilleur niveau de sécurité possible et donc des moyens substantiels pour la mise en œuvre des matériels et procédures nécessaires. Pour y parvenir, il peut être intéressant de recourir à la technique du scénario catastrophe. En quoi cela consiste-t-il ?

Il s’agit d’imaginer que le maximum de risques potentiels se réalise en même temps et d’en évaluer les conséquences. Par exemple, on explique que le super système chargé de calculer l’impôt sur le revenu est détruit par une attaque terroriste et qu’il n’existe, à ce jour aucune procédure de secours ni de sauvegarde permettant d’assurer les traitements, même dans un mode dégradé.

Bien évidemment, les scénarios présentés (car il doit y en avoir plusieurs avec un degré de probabilité plus ou moins grand) doivent s’appuyer sur les résultats du ou des audits qui ont été menés au sein des systèmes d’information. En aucun cas les scénarios catastrophes ne doivent faire référence à un risque ou une accumulation de risques qui n’auraient pas été mis en évidence par l’audit.

Le but étant très important, il convient d’être particulièrement précis et persuasif dans la présentation qui doit rester volontairement sobre malgré l’ampleur des conséquences catastrophiques qu’elle annonce. Seul un audit bien ciblé et exhaustif de tous les systèmes d’information impliqués permettra de rester crédible et de ne pas oublier un point important.

Il n’existe pas de questionnaire d’audit unique et normalisé. Cependant, le CLUSIF (Club de la Sécurité des Systèmes d'Information Français) édicte des recommandations qui prévoient de différencier selon qu’il s’agit de parcs de micro-ordinateurs ou d’informatique plus lourde et plus traditionnelle.

2.8. Mise en place d’un cahier des charges

Cette étape est l’aboutissement des travaux préparatoires qui se sont soldés par la présentation des divers scénarios. Les compte-rendus d’avancement des travaux auront décidé d’un certain niveau de sécurité, soit pour l’ensemble du système d’information, soit par sous-système d’information (sur le plan fonctionnel).

Ces décisions vont être concrétisées par un document contractuel entre la hiérarchie et l’équipe de projet sécurité ; c’est le cahier des charges. Il contiendra le ou les Schémas Directeurs de la Sécurité des Systèmes d’Information opérationnels et non plus stratégiques. Cependant, cette étape sera le moment choisi pour mettre à jour le SDSSI stratégique en mettant en valeur les objectifs moins prioritaires qu’il faudra réaliser à plus long terme.

2.9. Mise en place des moyens adaptés au cahier des charges

La mise en place des SDSSI opérationnels entraîneront l’acquisition ou le développement spécifique de mesures à mettre en œuvre au vu des études précédentes.

Bien entendu, cette étape devra se conformer au Code des Marchés de l’État et, éventuellement,, procéder selon la pratique de l’appel d’offre et de la passation de marché.



2.10. Application du plan

L’étape d’application consiste à équiper tous les sites après avoir testé en grandeur réelle l’ensemble des moyens de protection sur un site pilote. Il se pourrait, en effet, que la coexistence des différents moyens en réel s’avère délicate et nécessite une remise en cause d’une partie des outils. Mais il ne s’agira pas de remettre en question les éléments du cahier des charges car il ne peut s’agir que de problèmes directement liés aux outils et autres appareils.

Lorsque l’expérience aura permis de valider les choix, le Comité de Pilotage prendra la décision de l’extension à l’ensemble de sites.

2.11. Évolution et suivi

L’évolution ne peut se concevoir sans un suivi de l’application des moyens de sécurité. Pour cela des enquêtes de satisfaction seront effectuées auprès des sites protégés afin de vérifier de l’actualité des moyens mis en œuvre. En effet, bien que la technique des moyens de protection évolue, celle des malveillants suit le même cours et il convient d’y adapter, voire devancer, les outils mis en place.

Il conviendra donc, au cours de réunion du groupe de travail, d’assurer l’évolution des SDSSI opérationnels et, le cas échéant, du SDSSI stratégique. Notamment en cas d’évolution des schémas directeurs de l’informatique ou des réseaux.

Institut de la Gestion Publique

et du Développement Economique 20, allée Georges Pompidou

94306 Vincennes cedex SERVEUR PEDAGOGIQUE INTRANET

http://alize.alize/crp/tic

2004

Documents

FASCICULE INFORMATIQUE GENERALE · explique comment faire en sorte de les déceler et de les corriger. 2.1. Le but de l'agresseur Un agresseur ("hacker") ayant l'intention de s'introduire