Note sur la sécurité sur Internet
Transcription
Note sur la sécurité sur Internet
Note sur la sécurité sur Internet Note sur la sécurité sur Internet Le jeudi 27 mai 2004. Bienvenue sur le site RESAFAD-TICE au Bénin ! CONTACT Le centre RESAFAD de Porto Novo ● Le programme RESAFAD-TICE TERRET ObjectifsJean-François Présentation Bulletins Site Portail EDUSUD Sites des pays participants Activités Formations ❍ Atelier régional RESAFAD-TICE sur la gestion de projets FOAD ❍ Synthèse de l'Atelier "Gestion de projet FOAD" ❍ Note sur la sécurité sur Internet ❍ Visite Sites Formation à la méthodologie de Formation A Distance au CFPC-CNAM de Cotonou ❍ Publier un article avec SPIP Equipe Développements Equipements Ressources Dans la même rubrique ● Publier un article avec SPIP ● Rencontre d'acteurs de la promotion des TIC au Bénin Note sur la sécurité informatique de centres de ressources rédigée par Jean-François TERRET, Conseiller technique régional, Programme RESAFAD-TICE http://www.edusud.org [email protected] 19 mai 2004 Centre de ressources à Abomey-Calavi (Bénin) 1. Introduction Cette note a pour objectif de communiquer certaines informations aux responsables techniques des centres de ressources afin de les alerter, si besoin, de la nécessité d'adopter des procédures rigoureuses de sécurité dans un contexte de grande prolifération des virus sur Internet. De nombreux indices attestent en effet de cette prolifération, parmi lesquels on relèvera : ● ● ● la fréquence des mises à jour proposées par les éditeurs de logiciels anti-virus (plusieurs mises à jour par semaine), la fréquence des lettres d'alertes émises par les sites consacrés à la sécurité, le poids des mises à jour de logiciels proposés par Microsoft pour ses systèmes et programmes commerciaux. http://www.edusud.org/spip-benin/article.php3?id_article=15 (1 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Un des correctifs à télécharger pour Windows 2000 Cette initiative découle, d'une part, de l'urgence d'un partage d'informations au vu de la situation actuelle, d'autre part, d'observations que j'ai pu faire lors de missions effectuées dans certains centres. Enfin, toute contribution, critique ou remarque complémentaire est la bienvenue sur mon adresse professionnelle, [email protected], dans une logique toujours affirmée de mutualisation des expériences et des informations pouvant contribuer à l'amélioration de l'activité du réseau et de pôles partenaires. Table des matières 1.Introduction 2.Principes de gestion d'un parc informatique en réseau 3.Les formes de risque d'intrusion 4.Les mesures de prévention 5.Les alternatives logicielles 6.Les sites de référence 7.Conclusion 2. Principes de gestion d'un parc informatique en réseau Cette première partie ne traite pas de problèmes de sécurité mais a pour but de rappeler certains principes préalables de nature à faciliter grandement la maintenance d'un parc informatique. Tout comme les développements suivants, les points abordés découlent à la fois de mon expérience personnelle dans la gestion du parc du centre de Ouagadougou et des observations que j'ai été en position d'effectuer lors de missions dans les centres participant au programme RESAFAD-TICE. http://www.edusud.org/spip-benin/article.php3?id_article=15 (2 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Un premier principe est celui d'une responsabilité technique unique. Il est indispensable qu'un responsable technique soit clairement identifié et que les opérations d'installation et de maintenance soient effectuées sous sa seule autorité. Toutefois, il importe également que cette responsabilité ne soit pas opaque et que les informations techniques soient communiquées et enregistrées afin de permettre, si besoin, une passation temporaire ou définitive de responsabilité. Les informations (inventaire matériel et logiciel, localisation des ressources, mot de passe) doivent être inscrites dans un document stocké dans un endroit identifié et réservé. Enfin, il est nécessaire que les produits logiciels soient dupliqués afin de ne pas exister en exemplaire unique et que les informations indispensables à leur installation (numéro de série) soient correctement enregistrées sur les supports de sauvegarde. ● L'homogénéité logicielle du parc Il est beaucoup plus aisé d'assurer la gestion et la maintenance d'un parc homogène que celle d'un parc où les systèmes et les logiciels installés diffèrent d'un poste à l'autre. Cette homogénéité doit concerner tout d'abord les systèmes. Il paraît nécessaire que l'ensemble des postes fonctionnent sous un même système sauf exception liée à un rôle spécifique d'un poste et une contrainte d'installation. Ce type de contrainte (ainsi l'impossibilité d'installer certains logiciels sur un système Windows NT ou Me) tend néanmoins à disparaître. La présence de postes anciens peut constituer une entrave à cette homogénéité, l'installation d'un système récent pouvant se heurter à des insuffisances de capacité (mémoire vive ou mémoire de masse insuffisante, lenteur excessive du processeur). Dans ce cas, une réflexion sur l'usage de ces postes et le maintien de leur connexion dans le réseau local et au réseau Internet doit être menée. ● La création de comptes d'utilisateurs Le parc informatique des centres de ressources du programme est conçu pour fonctionner en réseau local géré par un serveur fonctionnant sous Linux. Ce choix, précurseur, a été fait dès 1996. Outre le partage de dossiers et d'imprimantes autorisé par les systèmes Windows depuis 95, la possibilité de création de comptes d'utilisateurs sur le serveur doit être opérationnelle via Samba. La sélection des personnes auxquelles ce droit est accordé et la formation préalable à son exercice doivent être assurées par les responsables administratifs et techniques du centre. L'espace aloué à chacun de ces utilisateurs peut être fixé ou doit être régulièrement contrôlé (il en est de même pour l'espace utilisé par les comptes courrier créés sur le serveur). ● La maintenance régulière des postes Outre les opérations de maintenance régulière (Scandisk et défragmentation des disques durs) des postes, il est souhaitable de supprimer les dossiers et fichiers indûment créés à différents niveaux (bureau, dossier "Mes documents", racine du disque dur ou dossiers). Ces opérations doivent être effectuées à un rythme hebdomadaire. Elles supposent évidemment l'information préalable des usagers sur cette destruction afin que des personnes ne soient pas victimes de la disparition de leurs données, de la perte de leur temps de travail et puissent anticiper les mesures de sauvegarde nécessaires. Ces dispositions doivent naturellement trouver leur place dans une charte des usages portées à la connaissance des personne fréquentant le centre de ressources. 3. Les formes de risque d'intrusion Les mobiles des créateurs de virus sont divers : recherche d'une notoriété, désir d'affirmer ses capacités au sortir d'une adolescence trop essentielleement numérique, http://www.edusud.org/spip-benin/article.php3?id_article=15 (3 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet plus rarement intérêt économique. "Quatre versions de Sasser étaient déjà connues. Le jeune homme, Sven Jaschan, est le créateur de toutes les versions, ainsi que du virus Netsky, a indiqué la police. Les enquêteurs qui ont interrogé Sven Jaschan ont eu l'impression que son principal motif était de se faire un nom dans le milieu des programmeurs." (cf. http://www.canoe.qc.ca/, mai 2004). Les conséquences sont très lourdes sur le fonctionnement des réseaux, certains serveurs pouvant se retrouver saturés et hors d'usage durant pluseurs heures. Annonce d'un risque critique sur le virus Sasser La typologie des virus ne sera par abordée ici au bénéfice d'une approche pragmatique, privilégiant le point de vue des usagers, et non délibérément technique. Cette typologie fait l'objet de nombreux documents en ligne sur les sites donnés en référence, notamment "Sécurité Internet". Sa consultation est vivement recommandée pour comprendre le sujet. Les possibilités de contamination d'un poste de travail informatique sont évidemment liées à celles d'y faire pénétrer des données extérieures. Un poste de travail sur lequel un logiciel anti-virus est installé et correctement paramétré est a priori à l'abri de ce risque, mais aucun dispositif automatisé ne doit dispenser d'une indéfectible vigilance humaine. En effet, le logiciel anti-virus effectuera automatiquement l'examen des supports amovibles introduits et des fichiers dont l'ouverture est lancée. Il importe donc de vérifier la présence, la bonne configuration et l'actualisation d'un logiciel de ce type sur chaque poste de travail du réseau. ● Les supports amovibles Les disquettes constituent un vecteur de contamination des postes. L'interdiction de l'usage de disquettes extérieures constitue un mode de prévention radical mais prive l'utilisateur de possibilités de sauvegarde et de transport de ses données. Cette stratégie ne doit donc être appliquée qu'en cas d'impossibilité d'installer et de maintenir un logiciel anti-virus sur tous les postes. En outre, elle prive l'utilisateur d'un service important pouvant lui permettre de prendre conscience des problèmes de sécurité informatique, de la contamination de son support, de ses fichiers et de postes sur lesquels il travaille par ailleurs. La généralisation progressive d'autres moyens de stockage amovible (clé USB notamment) implique d'ailleurs que les personnes soient dûment sensibilisés à cette problématique et effectuent par elles-mêmes l'examen de leur support avant d'en utiliser les contenus. ● Le réseau local Il est souhaitable voire indispensable que les postes partagent des dossiers afin qu'un utilisateur puisse éventuellement accéder à un dossier sans être obligé de travailler sur un même poste. Ce partage doit être effectué sous le contrôle direct du responsable technique et ne peut être que temporaire. Il est en outre vivement déconseillé de mettre en partage un support entier (disque dur), même en lecture seule, pour des raisons de confidentialité et de propriété des données. Du point de vue de la sécurité, ce partage pose évidemment des problèmes si tous les postes ne sont pas protégés par un logiciel anti-virus à jour. Il est donc recommandé http://www.edusud.org/spip-benin/article.php3?id_article=15 (4 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet d'exclure de ce partage de ressources les postes sur lesquels l'installation et la maintenance d'un tel logiciel n'est plus possible. ● Le courrier Le courrier électronique constitue encore à l'heure actuelle le principal vecteur de propagation des virus informatiques. Alors que dans une première phase de développement des virus, seule l'ouverture volontaire de documents attachés (ou pièces jointes) présentait un risque puisque les messages, en mode texte (ASCII), ne pouvaient contenir du code, la recherche d'un plus grand confort pour l'usager, voire une surenchère sur la convivialité, a mené les éditeurs à autoriser l'affichage de messages au format HTML, pouvant contenir un code pouvant exploiter des failles de sécurité des logiciels et s'exécuter sans intervention de l'utilisateur. Microsoft, principal éditeur de systèmes d'exploitation, a ainsi conçu des logiciels pour Internet pouvant exploiter les propriétés de ses systèmes. ● Documents attachés Les documents attachés constituent pour l'heure le principal (mais plus le seul) risque de réception d'un virus. "D'une manière générale, même si son nom est attrayant, il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur du message." (cf. http://www.secuser.com/alertes/2004/soberg.htm) Ceci indique que l'expéditeur supposé du message peut être une personne connue, voire familière, puisque des virus utilisent les carnets d'adresse pour se rediffuser. Un message infecté peut donc vous avoir été apparemment envoyé par un webmaster ou un expert en informatique... L'article suivant illustre le fait qu'une personne puisse être considérée comme l'expéditeur d'un message infecté : "Une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté ? Certains antivirus envoient automatiquement un message d'alerte à l'adresse d'expéditeur d'un courriel infecté, qui est supposée être celle de l'internaute dont l'ordinateur est contaminé. Utile il y a encore quelque temps, cette fonctionnalité est obsolète car la plupart des virus se propagent désormais en utilisant comme adresse d'expéditeur une fausse adresse spécialement forgée pour l'occasion, voire l'adresse d'un contact innocent figurant dans le carnet d'adresses de la personne infectée. Aujourd'hui, si vous recevez ce type d'alerte, c'est donc le plus souvent parce que l'ordinateur d'un internaute ayant votre adresse sur son disque dur est infecté : avertissez le cas échéant vos plus proches correspondants en leur recommandant de vérifier leur disque dur avec un antivirus à jour. Si vous êtes administrateur d'une passerelle antivirus, désactivez l'envoi d'un message d'alerte à l'adresse d'expéditeur d'un courriel infecté car, outre la confusion chez nombre de destinataires, ces messages sont responsables d'une partie non négligeable de la hausse de trafic observée en cas d'épidémique de virus de messagerie. " (cf. http://www.secuser.com/faq/virus/index.htm#alerte_infection) Certains virus recréent des adresses fictives à partir d'adresses récupérées ce qui génère de nombreux messages d'erreur émis par les serveurs de courrier sur le réseau. http://www.edusud.org/spip-benin/article.php3?id_article=15 (5 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Saturation des comptes, des serveurs, du réseau... Les documents attachés sont envoyés par un message, souvent en anglais ou en allemand, dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .BAT, .COM, .EXE, .PIF, .SCR ou .ZIP. Des fichiers attachés peuvent avoir une extension cachée les rendant plus anodin. Ainsi des fichiers "note.txt" ou "archive.zip", a priori non exécutables, peuvent avoir une extension réelle de type "note.txt.exe" ou "archive.zip.html" qui déclenchera l'ouverture au moment du clic. "Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque dur, tente de se connecter à plusieurs serveurs puis de télécharger et d'exécuter un fichier situé sur des sites web distants." (cf. http://www.secuser.com/alertes/2004/soberg.htm) ● Messages en HTML "Depuis le développement du courrier électronique multimédia (avec mise en page, images, sons, animations, etc.), le virus peut aussi se cacher à l'intérieur même du mail. Ici, ce n'est plus du texte brut qui constitue l'e-mail, mais du code HTML, accompagné d'images (jusque là tout va bien) mais aussi parfois de petits programmes conçus pour le Web." (cf. www.arobase.org/virus/general.htm). Exemple : "Le message au format HTML exploite la vulnérabilité MS01-020 d'Internet Explorer 5.01 et 5.5 (09/03/01) : si l'ordinateur n'est pas à jour dans ses correctifs de sécurité, la simple ouverture ou prévisualisation du message provoque l'exécution du fichier joint." (cf. http://www.secuser.com/alertes/2004/netskyp.htm). ● ● Ceci indique clairement que certains virus transmis par des messages électroniques ne nécessitent plus l'intervention de l'utilisateur (un clic sur le lien vers le document attaché) mais s'exécutent automatiquement si le message est ouvert. Les références à des sites web incluses dans des messages Certains messages peuvent intégrer une référence vers un site web. Un clic sur ce lien, surtout s'il démarre Internet Explorer comme navigateur par défaut, peut déclencher une application qui s'installera puis s'exécutera sur le poste. "Wallon est un virus qui se propage par e-mail. Il se présente sous la forme d'un message http://www.edusud.org/spip-benin/article.php3?id_article=15 (6 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet dont le titre est "RE" contenant un lien hypertexte de la forme http://drs.yahoo.com/ [nom domaine]/NEWS. Si l'utilisateur clique sur ce lien, il est redirigé vers une page web piégée qui provoque l'installation du virus sur son ordinateur si son navigateur Internet Explorer n'est pas à jour dans ses correctifs de sécurité." (cf. http://www.secuser.com/alertes/2004/wallon.htm) ● La navigation et la connexion à Internet Les failles d'un système non mis à jour peuvent désormais constituer des modes de propagation des virus sans aucune intervention de l'utilisateur. Des pages web peuvent recéler des codes qui s'exécuteront invisiblement au cours de l'affichage. Sur les informations qui peuvent être recueillies sur un système durant la navigation sur le Web, on peut consulter les sites http://www.cnil.fr/ (plus précisément http://www. cnil.fr/index.php ?id=19) et http://www.anonymat.org. Traces sur Internet "Gaobot est une famille de virus qui se propagent via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Gaobot l'infecte via le port TCP 135, 445 ou 80 en utilisant les failles RPC et WebDAV : il provoque le téléchargement d'un fichier contenant le virus, puis son exécution à distance sans aucune intervention de l'utilisateur. Une fois l'ordinateur infecté, le virus modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis scanne ensuite continuellement le réseau à la recherche de nouvelles machines vulnérables. Gaobot tente de désactiver les antivirus et firewalls les plus populaires, puis installe par ailleurs une backdoor qui permet la prise de contrôle à distance via IRC " (cf. http://www.secuser.com/alertes/2003/gaobot.htm) ● Les produits Microsoft ● Les systèmes Windows Les systèmes Windows présentent des failles de sécurité, désormais repérées et exploitées. Les mises à jour proposées par l'éditeur Microsoft sur son site sont nombreuses (voir plus loin la partie consacrée aux mises à jour). Avertissement concernant MS Office "LSASS annoncée le 13/04/04. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Sasser.A l'infecte via le port TCP 445 sans http://www.edusud.org/spip-benin/article.php3?id_article=15 (7 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet intervention de l'utilisateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables. Le virus n'est pas destructif mais chaque attaque peut provoquer un plantage ou redémarrage de l'ordinateur. La mise à jour des ordinateurs sous Windows NT, 2000, XP et 2003 est urgente et impérative." (cf. http://www.secuser.com/alertes/2004/sasser.htm#SasserB) Les systèmes Windows XP et Me sont équipés d'un backup qu'il n'est pas possible d'utiliser en cas d'infection car le virus se loge dans le backup et se réinstallera automatiquement. 4. Les mesures de prévention L'inventaire des formes d'intrusion et d'infection par les réseaux actuellement connues démontre la nécessité d'une politique quotidienne de prévention. Internet, réseau des réseaux, a permis en très peu de temps la transaction des données à des vitesses se mesurant en milli-secondes, abolissant les frontières et autorisant une communication quasi-instantanée entre les différents points du globe, même les plus reculés. La rapidité de propagation des virus informatiques oblige les responsables techniques à un travail constant de veille sous peine d'être confrontés à d'importants problèmes, mise hors service des systèmes, perte de données et perte de crédibilité. ● La veille technologique sur la sécurité informatique Pour les responsables de parc informatiqe, disposer d'une information en temps réel est une nécessité absolue. Pour cela, la consultation des sites spécialisés et l'abonnement aux lettres d'information est incontournable. Des références sont données dans la dernière partie de cette note. ● L'information des utilisateurs Un responsable de parc informatique peut difficilement contrôler entièrement les activités menées par les utilisateurs. Aussi, parait-il indispensable de communiquer les informations nécessaires sous les formes les plus adapatées : charte des usages, affichage d'informations sur l'actualité des virus, formations courtes... Des "piqûres de rappel" sont nécessaires car la vigilance est volatile. Les messages de sensibilisation devront être réitérés, sous les formes choisies, à un rythme au moins mensuel. ● L'utilisation d'un logiciel antivirus L'utilisation d'un logiciel antivirus est indispensable. Des critiques sur ce type de logiciels commencent néanmoins à apparaître : http://www.zdnet.fr/actualites/technologie/0,39020809,39152949,00.htm : « Pour la troisième fois depuis le début de l'année, l'éditeur d'antivirus Symantec doit publier des patchs pour corriger des failles décelées dans ses propres produits. Elles présentent selon lui des risques « élevés ». En outre, l'utilisation d'un logiciel antivirus ne dispense absolument pas des mises à jour des systèmes pour lesquels des failles de sécurité ont été décelées et annoncées. ● Examen du parc informatique L'examen du par informatique doit être effectué de manière hebdomadaire. Il est vivement conseillé de pratiquer l'installation des nouvelles mises à jour dès qu'elles sont à disposition. http://www.edusud.org/spip-benin/article.php3?id_article=15 (8 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet ● Mise à jour Sur les conditions d'abonnement aux produits Norton, les plus répandus : http://www.symantec.com/region/fr/techsupp/subscribe/ Mise à jour de Norton Anti-virus « La période de gratuité du service d'abonnement dépend de la façon dont le produit a été obtenu. Les produits achetés dans le commerce ou en ligne incluent un service d'abonnement de 12 mois. Les produits pré-installés sur votre ordinateur ou fournis avec un périphérique matériel (par exemple un modem) incluront un service d'abonnement inférieur à douze mois. » cf. http://www.symantec.com/region/fr/techsupp/subscribe/ sub_info.html Pour le téléchargement d'un fichier de mises à jour, consulter la page : http://www.symantec.com/avcenter/download/pages/FR-N95.html Cette possibilité est intéressante pour un parc informatique puisqu'au lieu d'exécuter la mise à jour automatique à partir du logiciel sur chacun des postes, le fichier, lourd, pourra être téléchargé une seule fois sur un poste puis être mis en partage afin d'être copié et exécuté sur chaque ordinateur. La dernière mise à jour en ligne date du 16 mai 2004 : http://www.symantec.com/avcenter/download/us-files/20040516-020-i32.exe (4,73 Mo). Des logiciels anti-virus gratuits existent également. Inventaire de solutions gratuites sur le site Telecharger.com : http://telecharger.01net.com/Total.php ? suiv=&searchstring=antivirus&system=windows&sort=&sort2=1 et les pages suivantes. AVG Free edition (6,8 Mo, en anglais, tout système Windows) : http://telecharger.01net.com/windows/Utilitaire/antivirus/fiches/24345.html AntiVir personnal edition (3,9 Mo, en anglais, tout système Windows) : http://telecharger.01net.com/windows/Utilitaire/antivirus/fiches/13198.html Norman Virus Control (9,5 Mo, en français, tout système Windows) : http://telecharger.01net.com/windows/Utilitaire/antivirus/fiches/28694.html ● L'utilisation d'utilitaires de désinfection spécifiques Certains sites portails spécialisés dans la sécurité informatique proposent des liens vers des fichiers téléchargeables gratuitement et permettant l'examen, la détection et la suppression des virus existants et connus. Ainsi, la page du site Secuser suivante : http://www.secuser.com/telechargement/desinfection.htm Cette méthode d'intervention est économique puisqu'elle ne nécessite pas l'achat d'un anti-virus, mais elle prive des possibilités d'examen automatique de ceux-ci. Soulignons http://www.edusud.org/spip-benin/article.php3?id_article=15 (9 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet qu'une veille constante reste impérative dans les deux cas. ● La gestion du courrier Le courrier demeure donc le principal moyen de diffusion des virus et de contamination des postes de travail. ● Les précautions de réception Les précautions ont déjà été énoncées : ne pas ouvrir de documents attachés dont la présentation est faite de manière impersonnelle même si l'expéditeur est une personne familière ou connue. Si le logiciel de lecture des mails n'est pas correctement configuré, il est souhaitable de consulter, si possible, la liste des messages en réception via une interface de type webmail qui permettra l'élimination des suspects d'après leur titre, sans les ouvrir. Un Webmail, interface de consultation de courrier par le web Il importe de souligner que la suppression du message suspect avec le logiciel client de messagerie (envoi dans la corbeille du logiciel) ne suffit pas à empêcher son éventuel déclenchement à rebours. Le vidage de la corbeille est nécessaire pour se débarasser définitivement du message infecté. ● Les précautions d'envoi Le principe qui vient d'être énoncé implique un corollaire pour l'expédition. Un message comportant un document attaché devra comporter, dans le corps du texte, des éléments de nature à lever tout doute sur l'identité de l'expéditeur réel, une allusion au contexte de l'envoi par exemple ou une information personnelle. En outre, il est préférble de paramétrer le logiciel client de messagerie afin que les messages soient envoyés en texte et non au format HTML qui les alourdit et contribue au ralentissement des transmissions. ● La mise à jour logicielle Les sytèmes présentent des failles qui peuvent désormais être détectées et exploitées lors de la connexion d'un poste à internet sans que le courrier électronique intervienne dans le processus d'intrusion et de contamination. ● Les systèmes Windows http://www.edusud.org/spip-benin/article.php3?id_article=15 (10 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Les vulnérabilités des différentes versions de Windows, le système d'exploitation en position dominante sur le marché mondial de la micro-informatique, sont nombreuse et font désormais l'objet d'articles non seulement dans la presse spécialisée mais aussi dans la presse généraliste. Ces failles de sécurité apparaissent à un rythme très fréquent : 11/05 - Vulnérabilité critique dans Microsoft Windows XP et Server 2003 (lire) 13/04 - Vulnérabilité critique dans Microsoft Outlook Express 5.5 et 6 (lire) 13/04 - Vulnérabilités multiples dans Windows XP, 2000, NT 4.0 et Server 2003 (lire) 10/03 - Vulnérabilité dans MSN Messenger 6.0 et 6.1 (lire) 10/03 - Vulnérabilité critique dans Microsoft Outlook 2002 et Office XP (lire) Un service mise à jour automatique en français est accessible : http://www.microsoft.com/downloads/updateservices.aspx ?displaylang=fr Cette procédure peut s'avérer très longue si la mise à jour n'a pas été effectuée depuis longtemps. En outre, s'agissant de la maintenance d'un parc informatique, il est là encore préférable de télécharger les fichiers et de les partager sur le réseau local afin de permettre copie puis exécution sur chacun des postes. Les différents systèmes peuvent faire l'objet de recherche sur le site de Microsoft. ● Windows 95 et 98 Trois mises à jour sont présentées pour W95, cinq pour W98 et W98SE. ● Windows Me Cette version de Windows, dérivée de Windows NT4, est sans doute à déconseiller puisque la recherche de mises à jour présentées par l'éditeur atteint 75 résultats... L'annonce d'un des nombreux correctifs pour Windows Me ● Windows 2000 Sur les 38 mises à jour présentées par Microsoft pour ce système, toutes ne concernent sans doute pas des failles de sécurité importantes. Toutefois, le nombre de fichiers dont le téléchargement est indispensable s'élève à au moins dix pour un volume total d'au moins 10 Mo... http://www.edusud.org/spip-benin/article.php3?id_article=15 (11 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Présentation d'un correctif pour Windows 2000 ● Windows XP Le logiciel système vedette de Microsoft fait l'objet de 46 correctifs présentés en ligne. Le plus récent, datant du 11 mai 2004, doit être téléchargé sous la forme d'un fichier exécutable de près de 3Mo. Les correctifs les plus récents ne sont pas cumulatifs des précédents, de sorte que le nombre de fichiers à télécharger pour installation des corrections est, sauf oubli, le suivant : Un volume considérable pour mettre à jour la sécurité de son système Le volume de téléchargement nécessaire à assurer la sécurité de Windows XP atteint près de 16Mo. On remarque également que les fichiers correctifs tendent à s'alourdir considérablement depuis un an. La situation est telle que Microsoft propose la formule suivante : "Votre connexion Internet est trop lente pour vous permettre de télécharger les composants nécessaires ? http://www.edusud.org/spip-benin/article.php3?id_article=15 (12 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Commandez le kit gratuit de sécurité pour Microsoft Windows..." De manière générale, sur la sécurité de Windows sur Internet, voir http://eservice.free. fr/systeme-exploitation.html ● Les logiciels Internet de Microsoft Les logiciels Internet développés par Microsoft utilisent des relations avec le système qui peuvent constituer des failles de sécurité exploitables par les auteurs de virus. ● Internet Explorer « Comme tout logiciel, IE a des failles de sécurité. Etant particulièrement connu par les internautes (+90% du marché mondial) et ciblé par les pirates, ces faiblesses sont publiques et apparemment plus nombreuses que ses concurrents. Mais ajouter des programmes propriétaires augmente le risque, et les options par défaut sont permissives. D'autant plus qu'IE est utilisé par Outlook (Express) dans l'affichage des emails au format Web (HTML) : le lancement automatique des contenus des emails aggrave la situation. » (cf. http://eservice.free.fr/internet-explorer.html ). Voir également : http://www.aful.org/publi/articles/msie_et_la_securite et : http://www.01net.com/article/226517.html Annonce d'un correctif nécessaire pour Internet Explorer "Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs d'Internet Explorer doivent aussi mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille exploitée par le virus pour s'exécuter automatiquement lors de la visite d'un site web piégé." (cf. http://www. secuser.com/alertes/2004/wallon.htm) ● Outlook Correctif pour pallier aux failles de sécurité d'Outlook http://www.edusud.org/spip-benin/article.php3?id_article=15 (13 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Sur les failles de ce logiciel client de messagerie, voir http://www.reseaux-telecoms.com/alerte_btree/04_05_13_172627_20/CSO/ Alerte_view et également : http://eservice.free.fr/logiciel-email.html 5. Les alternatives logicielles Les éléments présentés au chapitre précédent peuvent plaider pour un abandon des produits Microsoft, cibles privilégiés des attaques des hackers et autres pirates informatiques, et pour une migration du parc informatique vers des solutions libres, gratuites, "open source". Une telle migration est en cours dans de nombreux ministères, institutions, collectivités locales en France et dans différents pays. Toutefois, cette migration doit faire l'objet d'un plan raisonné même si le système Linux est désormais doté d'interfaces graphiques facilitant son appropriation et si certains logiciels, fonctionnant indifféremment sur les systèmes Windows et Linux, entre autres, peuvent servir à cette transition. Cette migration représente indiscutablement un enjeu mais doit faire l'objet d'une réflexion et d'un accompagnement. L'usage optimal des logiciels "Open source" implique la participation aux échanges de la communauté des utilisateurs et le téléchargement des mises à jour, plus fréquentes que celles des logiciels commerciaux. Toutefois, chaque utilisateur reste "libre" de sa décision d'installer la dernière version du logiciel. Enfin, si les logiciels libres sont régulièrement diffusés sur des cédéroms dans les pays où une presse spécialisée existe, cette possibilité est très réduite dans d'autres parties du monde. La présentation des logiciels libres n'étant pas l'objet de cette note, le panorama présenté rapidement ci-dessous est volontairement superficiel et peu documenté. ● Le système Linux Les dernières versions de Linux, telle la disribution Mandrake 10, disposent d'une interface graphique (basée sur X11 : Gnome ou KDE) présentant une ergonomie d'utilisation ne déroutant plus l'utilisateur dressé à l'usage exclusif de Windows. Enfin, Knopix (version Linux à base Debian) existe sous forme d'un cédérom qui permet de faire fonctionner Linux sans installation définitive dans une phase de familiarisation. ● Les logiciels libres Les logiciels open source mettent à disposition des produits désormais suffisamment éprouvés pour constituer une alternative aux produits commerciaux. La presse spécialisée en fait état de manière de plus en plus fréquente, ainsi que les médias généralistes depuis peu. Ils présentent l'avantage d'être multi-plates-formes (fonctionnement indifférent sous Windows, Linux, Mac OS, etc.) et de permettre une migration progressive vers Linux. ● Les logiciels de Bureautique Pour le traitement de texte, la création de tableaux, la réalisation de présentations : OpenOffice.org. Les avantages d'OpenOffice.org (http://fr.openoffice.org) sont nombreux : compatibilité complète avec les formats de la suite MS Office permettant même la conversion entre des documents de différentes versions de celle-ci volume réduit des fichiers produits (cette note occupe 29ko au format .sxw d'Open http://www.edusud.org/spip-benin/article.php3?id_article=15 (14 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Office contre 136Ko au format .doc de MS Office...) exportation simple et gratuite au format PDF, format très sûr en terme de sécurité et d'intégrité utilisation d'un XML pur, format d'avenir pour la production de contenus structurés. Pour le traitement d'images : Gimp assure l'essentiel des fonctions de traitement, de même que XnView. Pour la gestion de bases de données : MySQL tend à devenir un standard dont les applications sur Internet s'effectuent via PhP. ● Les logiciels pour Internet Les services de navigation et de client courrier peuvent être assurés par des logiciels open source : navigation : Mozilla, FireFox... courrier : Thunderbird... Voir http://emmanuel.clement.free.fr/navigateurs/comparatif.htm 6. ● Les sites de référence Le site de Microsoft Le site de Microsoft comporte des pages consacrées à la sécurité sur Internet dont la consultation est nécessaire http://www.microsoft.com/france/securite/protection/. A consulter, notamment, la rubrique dédiée au grand public : http://www.microsoft.com/france/securite/grandpublic/default.asp. A signaler enfin, la rubrique "trois étapes pour protéger votre PC" : http://go.microsoft.com/fwlink/ ?LinkId=18886&clcid=0x40C ● Le site Secuser http://www.secuser.com/ est le site francophone le plus actif sur la sécurité informatique. Il contient des informations très actualisées et de nombreuses références. Les lettres d'information, ou newsletters (http://www.secuser.com/newsletters/index. htm), news et alert, permettent de recevoir une information gratuite sur la sécurité par courrier électronique. Deux abonnements sont possibles : News est une publication électronique hebdomadaire Alert est envoyée aux abonnés dès qu'un nouveau virus est identifié. Cet abonnement est à recommander aux responsables informatiques. La page Alert : http://www.secuser.com/alertes/index.htm http://www.edusud.org/spip-benin/article.php3?id_article=15 (15 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet Monsieur OULD FARAJOU, participant mauritanien de l'Atelier Sur les virus et autres troyens : http://www.secuser.com/dossiers/virus_generalites.htm http://www.secuser.com/dossiers/intrusion_troyens.htm Sur les hoax : http://www.secuser.com/hoax/index.htm Le site Secuser est incontournable pour l'information en temps réel sur les virus. Toutefois, les dossiers d'information générale sont logiquement moins bien mis à jour du fait de l'importante activité de veille. Pour une documentation générale, on consultera donc de préférence le site "Sécurité Internet". ● Le site « Sécurité Internet » http://eservice.free.fr/, voir notamment la page http://eservice.free.fr/risques-internet. html et les pages : Risques sur Internet ● Virus informatiques ● Nouveau virus Sasser ● Nouveau virus ● Le spam ● Spyware, espiogiciel, anonymat, ... ● Le maillon faible de la sécurité ● La pub agressive ● Les cookies confidentiels ● Hacker ou pirate ? http://www.edusud.org/spip-benin/article.php3?id_article=15 (16 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet ● Trojan - Cheval de Troie ● Failles de sécurité ● Les défenses de votre ordinateur ● Le site Arobase Le site Arobase (http://www.arobase.org) propose des informations sur le courrier électronique, notamment une Ecole du mail présentant les principes de base. Une partie est également consacrée aux virus : http://www.arobase.org/virus/index.htm : les virus et l'e-mail. ● Le site Hoaxbuster http://www.hoaxbuster.com/ Les hoax (pièges ou canulars) : « Tout le monde a reçu un courrier électronique l'alertant d'un nouveau type de virus. Envoyé par un ami, le message est souvent frappé du sceau de l'urgence. Le réflexe premier est de relayer cette alerte et donc de renvoyer au plus vite le message à toutes ses connaissances, connaissances qui feront exactement la même chose et ainsi de suite jusqu'à ce que le message fasse plusieurs fois le tour du monde. (...) Au-delà du simple fait que vous vous soyez fait piéger, sachez que les hoax sont porteurs de risques bien plus grands. De l'atteinte à lavie privée en passant par les nombreux dérapages, les dangers sont bien réels, ils vous sont exposés dans notre rubrique "Dangers". Hoax et virus contribuent à l'encombrement des réseaux et à la saturation des serveurs. Ils concourent à détourner l'outil de son objet premier et essentiel : l'échange rapide et fluide des données. Leur impact économique est loin d'être négligeable. ● Le site Hoaxkiller Le site Hoaxkiller propose également de rechercher les fausses informations circulant via le courrier électronique et dont le colportage peut vous déconsidérer : http:// www.hoaxkiller.com/. "Définition d'un hoax. Un hoax est une information fausse, périmée ou invérifiable propagée spontanémentpar les internautes. Les hoax peuvent concerner tout sujet susceptible de déclencher une émotion positive ou négative chez l'utilisateur : alerte virus, disparition d'enfant, promesse de bonheur, pétition, etc. Ils existent avant tout sous forme écrite (courrier électronique, message dans un forum, etc.) et contrairement aux rumeurs hors ligne incitent le plus souvent explicitement l'internaute à faire suivre la nouvelle à tous ses contacts, d'où une rapide réaction en chaîne." (cf. http://www.hoaxkiller.com/questce/generalites.htm) ● Le site "Comment ça marche" Enfin, le site "Comment ça marche ?" est un site de vulgarisation informatique abordant de nombreux sujets dont le fonctionnement des réseaux et des aspects de sécurité qui pourront être consultés pour un premier niveau d'information (voir http://www. commentcamarche.net). Possibilité de téléchargement du site complet sous forme d'archive .zip pour installation http://www.edusud.org/spip-benin/article.php3?id_article=15 (17 sur 18)07/07/2004 17:24:01 Note sur la sécurité sur Internet sur un poste non connecté à des fins de consultation hors ligne voire d'autoformation assistée. 7. Conclusion Cette note ne prétend pas être exhaustive sur un sujet aussi vaste et d'une grande comlexité technique. En particulier, la mise en place de pare-feu (firewall) au niveau des serveurs Internet n'est pas abordée alors qu'elle est nécessaire. De même, la responsabilité des Fournisseurs d'Accès à Internet (FAI) et des administrateurs de serveurs n'est pas abordée alors qu'elle constitue un élément essentiel. Pour finir, le développement d'une conscience collective des différents intervenants de la chaîne de communication (celui qui envoie, ceux qui transmettent, celui qui reçoit) est indispensable pour diminuer la prolifération exponentielle des messages générés par les serveurs suite aux fausses adresses mises en circulation par les virus. © Jean-François TERRET / RESAFAD-TICE http://www.edusud.org/spip-benin/article.php3?id_article=15 (18 sur 18)07/07/2004 17:24:01