Les outils Internet grand public de communication - ARESU

Les outils Internet grand public de communication
et les risques pour (le SI de) l’entreprise
Jean-Luc Archimbaud CNRS/UREC
http://www.urec.cnrs.fr
EUROSEC 3 avril 2006
Intervention technique qui n’est pas un message officiel du
CNRS
Plan
Pourquoi cette préoccupation ?
Quelle attitude – démarche ?
Eléments à étudier / outil
Que faire ?
Pourquoi cette préoccupation ?
Les outils de communication Internet très conviviaux se multiplient.
Exemples :
• Forums (anciens) : listes de diffusion, News
• Webs collaboratifs : Wiki
• Webs personnels : Blog
• Messagerie instantanée (chat) : IRC, MSN messenger
• Téléphonie (VoIP): Skype
• Partage de fichiers (téléchargements) : Kazaa
Ainsi que l’hébergement externe de données personnelles
• Boites aux lettres, adresses, …
espace disque
• Exemples : Blackberry, Gmail (et services avancés Google)
Cette présentation traite de ces logiciels et des services rendus -> outils
Pourquoi cette préoccupation ?
Nombreux avantages :
• Beaucoup sont gratuit : logiciels ou hébergement de service
• L’installation d’un client sur un poste personnel est à la portée de tous
• Ils peuvent avoir une utilité pour les activités professionnelles
• Ou entrer dans la limite admise d’utilisation de l’Internet sur les lieux de travail pour un usage
personnel
Utilisés par le « grand public »
• Avant les professionnels de l’informatique
• Leur utilisation est intensive dans la jeunesse : futurs recrutés par les entreprises
Ces outils sont (seront) utilisés par des salariés sur leur ordinateur
professionnel ou pour leurs données professionnelles
Ce sont de nouvelles vulnérabilités pour les systèmes d’information
d’entreprise
Quelle attitude - démarche ?
Interdire tous ces outils dans l’environnement professionnel (et les ignorer)
Mais ce peut être :
• Impossible : manque de moyens
• Administration des machines personnelles, surveillance réseau, … ou/et d’autorité effective
• Plus dangereux que d’en accepter certains
• Contournement délibéré des règles, création de réseaux parallèles, …
Proposition : évaluer méthodiquement les risques
• Critères classiques de sécurité mais aussi de nouveaux critères
•
Prendre les mesures en conséquence
• Avantage : travail ré-utilisable (d’autres outils similaires vont arriver)
Limitations de la présentation
• Ne pas émettre de recommandation d’interdire ou d’autoriser tel ou tel produit
• La démarche n’est pas une méthodologie
• Simplement prendre du recul
• Proposer une liste (à la Prévert) d’angles d’étude (ne pas se focaliser sur un aspect)
Eléments à étudier / outil
L’usage (du logiciel, du service)
Les coûts
La confiance dans le logiciel (client, serveur)
Les spécificités du service
La localisation du service
La maîtrise et le contrôle de l’utilisation du service
Les perturbations possibles
La confidentialité des données
Les responsabilités
L’usage
Objectif : est-ce un outil utile ?
Pour une activité professionnelle
Quel est l’intérêt pour l’organisme, l’entreprise ?
• Efficacité – rentabilité
• Ex : Messagerie instantanée - blog -> travail collaboratif
• Lien social
• Ex : forum de discussion interne
• Promotion – marketing
• Ex : forum, blog
L’usage
Dans la tolérance pour usage personnel de l’Internet
• Avec quelles personnes (extérieures) ?
• Quelle proportion du temps ?
Quels utilisateurs ?
• VIP de l’entreprise ? (
données sensibles)
• Uniquement internes
L’analyse devrait permettre de classer l’outil comme :
• Obligatoire - utile - tolérable - intolérable
• Eventuellement décider d’une étude sur l’intérêt de rendre le
service officiellement, géré par l’équipe informatique
Les coûts
Objectif : évaluer tous les coûts
Economies réalisées
• Outil utile
gain de productivité
• Logiciel - service gratuit / au même payant
• Baisse factures : téléphone (VoIP)
• Formation : apprentissage à domicile
Coûts cachés
• Temps passé à l’utilisation
• Temps passé à l’installation, au suivi (si personnel non informaticien)
• Ressources consommées (réseau …)
La confiance dans le logiciel
Objectif : évaluation des risques engendrés par l’installation du logiciel sur un poste
• Bugs (involontaires) ou chevaux de Troie (volontaires) dans les logiciels peuvent créer un point
d’entrée pour accéder au réseau interne de l’entreprise
Origine du développement ?
• Société ou entité (logiciel libre) de confiance ?
• Le code source, les protocoles, les algorithmes sont ils publics ?
• Ex : Skype, dernières versions de MSN : code non public
Si produit gratuit
• Quels sont les objectif des créateurs, quelle rentabilité pour eux ?
• Ex : Skype, MSN, gMail …
• Service au départ gratuit (fidélisation) qui devient progressivement payant
• La publicité finance-elle le service ?
• Objectif non avouable ?
Points positifs pour la confiance dans le logiciel
• La disponibilité du code source
• La description des protocoles et des algorithmes (si possible standards)
• La clarté des mobiles des concepteurs (commerciaux ou autres)
La localisation du service
Objectif : évaluation des risques liés à la confidentialité et l’intégrité des données
échangées ou stockées
Interne : tout est maîtrisé
• Ex : gestionnaire de listes de diffusion interne
Externalisé avec contrat commercial
• Quelles garanties de confidentialité, d’intégrité des données mais aussi quel contrôle d’accès et
de mise à jour (correctifs sécurité) des serveurs hébergeurs dans le contrat commercial ?
Ex : Site Web WIKI hébergé
Grand public centralisé
• Dans quel pays ? Quelle société ? Quelles garanties ?
• Ex : MSN, gMail
Grand public décentralisé (infrastructure spontanée)
• Quels sont les mécanismes ? Quels sont les « nœuds principaux » ? Quelles données
contiennent ils ?
• Ex : skype
L’analyse devrait permettre d’évaluer le risque d’espionnage (défense ou industriel),
de graduer grossièrement le niveau de confidentialité et d’intégrité (affiné dans un
paragraphe suivant)
La maîtrise et le contrôle de l’utilisation
Objectif : évaluer les possibilités de contrôle de l’installation des logiciels, de l’utilisation
du service ainsi que la détection de ces éléments
Maîtrise de l’installation des logiciels
• Est-ce l’équipe informatique qui installe le produit ? (ou les utilisateurs peuvent ils le faire eux-
mêmes ?)
• Est-ce que la configuration du produit peut être maîtrisée par l’équipe informatique ?
Surveillance
• Peut-on savoir rapidement sur quels postes est installé le produit ? Qui l’utilise (en interne mais
aussi identité des correspondants) ? Quand (traces) ?
• Est-ce que le trafic peut être filtré par les routeurs, gardes-barrière ?
• Les ports utilisés sont ils figés (et connus) / dynamiques ?
• Les flux sont ils détectés par des outils de surveillance réseau ?
Une application dont on peut détecter, surveiller et tracer l’utilisation est une garantie
pour pouvoir contrôler son utilisation (l’interdire éventuellement)
• But des nouvelles applications P2P : passer les gardes-barrière et ne pas être détecté
Les perturbations possibles
Objectif : prévoir les perturbations qu’est susceptible d’engendrer l’utilisation du logiciel, du service
Sur le poste utilisateur : exemples :
•
Le poste peut devenir serveur sans le savoir : stocker des données illégales, servir de point d’entrée sur le réseau
•
La configuration du poste peut être modifiée (changement de pilotes …)
•
Certaines applications professionnelles peuvent ne plus fonctionner du tout (manque de ressources)
Sur le réseau
•
Exemple : la bande passante utilisée importante
perturbation des autres applications
Sur l’ensemble des équipements
•
Exemple : le logiciel peut perturber les autres postes ou services sur le même réseau local, essayer de se
déployer « automatiquement »
L’analyse devrait permettre de faire des recommandations sur :
•
Architecture : mettre les stations utilisatrices dans un VLAN particulier
•
Postes clients : interdire l’utilisation de logiciel sur certains postes (sensibles)
•
Installation de postes dédiés
•
Ex : skype
La confidentialité des données
Objectif : étudier les types de données véhiculées, leur besoin de confidentialité, la
vulnérabilité du service dans ce sens
Quelles sont les informations (au sens large) manipulées ?
• Conversations téléphoniques, courriels, fichiers, annuaires, mots de passe, …
Sont elles confidentielles ? importantes ?
Où sont elles stockées ?
• Sur un poste externe (hébergement boites aux lettres), annuaire central externe …
Comment circulent elles dans le réseau ?
• En clair ? Suivant quel chemin ?
Comment est géré le contrôle d’accès à ces données ?
• Qui peut y avoir accès ?
Quelles sont les informations privées divulguées ?
• Organigramme, identités, numéros de téléphone, adresses électroniques, numéros IP, …
L’analyse doit rapidement se conclure par l’interdiction ferme de certains services à
certains groupes (VIP ?), pour certains usages ou types d’informations
Les responsabilités
Objectif : étudier quelle est la responsabilité juridique de l’organisationentreprise
• Lors de l’utilisation « normale » de ce type de service ?
• D’une utilisation délictueuse ?
Tout l’arsenal juridique sur l’informatique, les informations, les
communications, l’édition, les œuvres, … peut s’appliquer selon les
outils : lois sur les délits informatiques, la presse, la protection de la vie
privée, les droits d’auteur, …
L’analyse devrait conduire à
• Essayer d’anticiper les problèmes
• Informer précisément les utilisateurs : droits, risques, devoirs
• Modifier la charte informatique ?
Que faire ?
Présentation : pas de réponse sur
• Quels comportements adopter ?
• Quelles règles fixer ?
• Que faut-il interdire ?
• Quels services faut-il offrir en interne ou sous-traiter ?
Rappel de l’introduction
• Limitations de la présentation
• Ne pas émettre de recommandation d’interdire ou d’autoriser tel ou tel produit
Objectif : proposer un début de grille pour répondre aux questions cidessus
• La réponse est très dépendante de l’environnement : suivre la grille avec
l’exemple skype …
Que faire ?
Néanmoins, recommandations
• Ne pas faire l’autruche
• Proposer des solutions aux besoins (les anticiper ?)
• Avec les services : informatique, achat, juridique …
• Internes ou externes : un contrat commercial amène toujours plus de garantie
que « rien »
Maîtriser, ne pas « laisser faire »
•
•
Attention aux conséquences d’un sentiment tel que : chez moi j’ai des outils
géniaux, au travail je ne peux rien faire
informaticiens incompétents,
responsables sécurité bornés, …
• Mais ne pas oublier les effets de mode
• Etudier chaque outil qui se déploie spontanément avec les critères énoncés
avant
•
En déduire ce que l’entreprise, l’organisation doit faire