Home » 3615 my life, Comment ça marche, Développement, Internet

La politique de sécurité

22 octobre 2010 4 commentaires
tags : , , , ,
Download PDF

Crédit photo : Dirk Heuer (flickr)

Non, je ne vais pas vous parler de la politique du gouvernement et de la sécurité physique.

J’ai dernièrement expliqué les bases de la sécurité informatique à une webagency dont l’un des client, un grand compte, souhaitait utiliser des systèmes d’authentification forte.

Le maître mot, en matière de sécurité informatique, c’est de réfléchir par strates. Pour faire un parallèle avec la vie réelle, mettre une serrure trois points sur une porte en carton, ça ne sert à rien.

La première strate, c’est la sécurité physique. Si vos données sont sur des supports que le premier venu peut emporter, c’est mal joué. Dans une entreprise qui dispose de ses serveurs en interne, il convient donc, a minima, de les mettre dans une pièce avec une porte fermant à clé. Dans un datacenter, on prendra soin d’utiliser des baies à portes fermées si on est dans une zone mutualisée du bâtiment.

Le second point auquel il faut veiller, c’est la sécurité du réseau. Si un seul élément est compromis, les données peuvent être captées ou détournées. Il est aussi généralement courant que les personnes ayant des droits d’administration sur les plateformes techniques doivent y accéder à distance. Occasion en or pour des personnes mal intentionnées pour récuperer des identifiants et les utiliser par la suite.

On veillera donc, dans l’ordre :

  • A appliquer une politique stricte d’accès aux outils d’administration : « tout ce qui n’est pas explicitement autorisé est interdit »
  • Veiller à ne pas faire fonctionner de services inutiles qui sont rapidement oubliés et donc potentiellement vecteurs d’intrusion car non maintenus et non surveillés
  • Former aux bases de la sécurité les personnes amenées à utiliser des outils sensible ou donnant accès à des informations importantes (création d’un mot de passe, non utilisation d’un ordinateur inconnu ..)
  • Chiffrer systématiquement les connexions devant emprunter des réseaux publics

L’étape suivante concerne l’ensemble des couches logicielles utilisées, à commencer par le système d’exploitation qui doit être maintenu à jour. Une bonne politique de sécurité prévoit des redémarrages réguliers des ordinateurs pour l’application des mises à jour lorsque celles-ci ne peuvent se faire sans redémarrage. Une autre procédure doit être prévue pour les cas ou  une faille de sécurité critique est détectée et ne peut attendre le prochain redémarrage prévu.

Il en va de même pour les logiciels installés sur le système d’exploitation. Les principales failles utilisées aujourd’hui pour attaquer les serveurs sont celles présentes dans les logiciels tels que PHP, très largement accessible sur les sites webs. Un strict suivi des versions installées est indispensable pour éviter toute intrusion, surtout lorsqu’on gère des sites accessibles publiquement.

Une attention toute particulière doit ensuite être porté aux logiciels développés spécifiquement. De nombreux développeurs n’appliquent aucune règle simple de sécurité dans leurs logiciels, qui plus est lorsque ce logiciel est destiné à un seul client.

Si la porté de ce genre de problème est limité sur l’intranet d’une entreprise, les coupables d’intrusion pouvant être relativement facilement identifiés dans l’entreprise. Il n’en va pas de même sur un site public, un simple formulaire de contact peut permettre de prendre le contrôle entier du serveur qui héberge le site.

Une fois ces divers points traités, le principal risque restant est l’ingénierie sociale. Se pointer bien habillé dans une grande entreprise, se faisant passer pour un technicien du service informatique, et un salarié de l’accueil vous donne bien volontiers son mot de passe qui vous permet, dans un second temps, d’accéder à distance au réseau de l’entreprise puis d’attaquer les services interne auxquels les équipes techniques font moins attention, considérant qu’ils ne sont pas accessible par n’importe qui.

Le nerf de la guerre dans ce domaine, c’est le login et le mot de passe. Exit les post-it sur l’écran, la date de naissance de la petite nièce, le nom du chien, etc.

La solution généralement employée consiste à centraliser l’ensemble des fonctions d’authentification de tous les utilisateurs pour tous les services (du compte d’administration d’un serveur jusqu’au lecteur de badge de la porte d’entrée de l’entreprise en passant par les identifiants des comptes emails).

L’avantage de ce genre de solution est de pouvoir radier en très peu de temps les droits d’un utilisateur dont les identifiants ont été corrompus d’une manière ou d’une autre. Le problème de la centralisation de la solution soulève par contre une obligation de sécurité sans faille concernant la plateforme centrale, celle-ci pouvant permettre à un attaquant de prendre la main extrêmement vite sur l’ensemble du système informatique de l’entreprise.

Les plus prudents utiliseront un système non centralisé pour les authentifications les plus stratégiques. Le maintient des autorisations est plus fastidieux mais cela évite une compromission générale ultra rapide de tous les systèmes.

Du coté technologies sympa, il existe depuis pas mal de temps des systèmes d’accès à mot de passe unique généralement basés sur une synchronisation horaire, l’utilisateur ayant un petit boitier indiquant sur un écran un mot de passe changeant automatiquement au bout de quelques secondes, le serveur central d’authentification distant connaissant à l’avance les mots de passe et leur créneau horaire de validité. Si un mot de passe est volé, il n’est généralement plus utilisable dans les minutes qui suivent.

Il faut également entrer un mot de passe en plus de celui présent sur le boitier pour éviter une intrusion indésirable en cas de perte ou de vol du boitier. C’est une authentification dite « à trois facteurs » : login + mot de passe + mot de passe unique.

Il est dernièrement apparu de petits périphériques USB plus petits que des clés de serrures permettant de simuler la frappe du mot de passe unique d’un simple appui sur un bouton, évitant ainsi que les mots de passe puisse être vus par une personne présente à proximité et autorisant aussi des mots de passe unique bien plus longs.

Dans un tout autre registre, mais toujours à propos de la sécurité, il existe un certain nombre de systèmes d’audit permettant de mettre en évidence un problème avant qu’il ne soit exploité ou, au pire, au moment ou il est exploité.

Des services de tests automatique d’intrusion sont capable de relever qu’un serveur dispose d’une version de logiciel présentant un risque ou qu’une configuration spécifique peut ouvrir une porte dérobée pour un attaquant potentiel.

Enfin, il existe une famille de logiciels généralement implantés au niveau des firewalls qui permettent l’analyse en temps réel du trafic pour déceler les tentatives d’attaque, qu’elles échouent ou qu’elles réussissent. Elles sont généralement appelées IDS (intrusion detection system)

Si ces deux fonctionnalités, audit automatique & détection d’intrusion peuvent être fort utiles lorsqu’on administre un réseau, il ne faut pas faire reposer l’ensemble de la politique de sécurité dessus. Cela reviendrait, pour reprendre l’analogie du début, à planter un vigile avec son chien devant notre porte en carton en priant pour qu’il ne s’endorme jamais.

4 Comments »

  • Olivier Le Monnier said:

    Politique de sécurité ? Exemples de mesures de sécurité plutôt. Presque organisés (du sol au plafond)… Presqu’uniquement techniques. Liste pas exhaustive. Bon début, mais peut mieux faire :)

  • Bruno (author) said:

    Licence creative commons .. Ne demande qu’a être complété/corrigé, donc :)

  • Arthur said:

    Bonsoir bruno,
    Petite remarque sur l’authentification a 3 facteurs : « C’est une authentification dite “à trois facteurs” : login + mot de passe + mot de passe unique. » En realite ici c’est deux facteurs : Ce que la personne sait (son mot de passe), Ce qu’elle possede (ledit boitier magique), le login n’etant pas

    Les facteurs d’authentification (ici on parle d’une personne) qui existent sont :
    * Ce que ladite personne sait : mot de passe, passphrase, …
    * Ce que ladite personne est : On parle ici de biometrie (empreinte digitale, empreinte retinienne, adn (c’est un poil long pour une authentification), sa tronche, la forme de la main (note: seule autorisee par la CNIL en france il me semble), …)
    * Ce que ladite personne possede : RSA securid (OTP), yubikey, carte cryptographique, token usb cryptographique, …

    Ici, on parle d’authentification a facteurs multiples lorsque plusieurs de ses facteurs sont conjugues.

    Voila :)

  • Stéphane said:

    L’authentification est un processus de vérification de l’identité d’une entité (personne ou matériel), l’identifiant/login représente l’identité de celle-ci, ce n’est pas un facteur d’authentification. L’exemple d’authentification (login + mdp + mdp dynamique) est un exemple d’authentification forte à 2 facteurs (et non 3). Les 2 facteurs sont ce que je sais (le mot de passe) et ce que je possède (le petit boitier grâce auquel je connait le mot de passe dynamique), le 3eme facteur d’authentification possible est ce que je suis (biométrie).

    [C’est une façon de voir les choses, mais on peut également considérer que l’identifiant fait partie intégrante du décompte de facteurs]

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


huit − = 1