SecuriteCopie
Transcription
SecuriteCopie
LA SECURITÉ SecuriteCopie.doc- Page 1 1. CONNEXION A DISTANCE PAR INTERNET, SECURITE ET COMMUNICATIONS ............................... 3 1.1. INTRODUCTION .................................................................................................................................................... 3 1.2. LES RISQUES ........................................................................................................................................................ 3 1.2.1. Les intrusions, sécurité des PC.................................................................................................................... 3 1.2.2. Les attaques par Déni de service (Denial of Service) ................................................................................. 4 1.2.3. Déni de service station (tear drop, new tear, boink, ...) .............................................................................. 4 1.2.4. Quelques précisions..................................................................................................................................... 5 1.3. CONNEXIONS INTERNET DE BASE. .................................................................................................................... 6 1.4. LES DIFFERENTS POINTS D'UNE CONNEXION / PARTAGE INTERNET PROFESSIONNEL. ........................................ 7 1.4.1. Partage de base ........................................................................................................................................... 7 1.4.2. Partage via un logiciel spécialisé................................................................................................................ 8 1.4.3. Partage via un routeur simple. .................................................................................................................... 8 1.4.4. Partage via routeur et firewall hardware.................................................................................................... 9 1.4.5. Le DMZ (DeMilitarized Zone)..................................................................................................................... 9 1.5. LES FIREWALL ................................................................................................................................................... 10 1.5.1. Introduction. .............................................................................................................................................. 10 1.5.2. Différences entre un firewall logiciel et hardware.................................................................................... 10 1.5.3. Les ports à ouvrir en TCP et en UDP, les plages d'adresses .................................................................... 11 1.5.4. Méthode de détection d'un firewall hardware et fonctionnalités............................................................... 11 1.6. L'ACCES A DISTANCE A UN RESEAU .................................................................................................................... 13 1.6.1. Prise de contrôle à distance et transferts de fichiers................................................................................. 13 1.6.2. Virtual Private Networks (VPN)................................................................................................................ 14 1.7. SAUVEGARDE SECURISEE VIA INTERNET............................................................................................................ 16 2. LA SECURITE SUR INTERNET......................................................................................................................... 17 2.1. INTRODUCTION .................................................................................................................................................. 17 2.2. LES VIRUS .......................................................................................................................................................... 17 2.2.1. Les types de virus ...................................................................................................................................... 17 2.2.2. Les antivirus .............................................................................................................................................. 18 2.3. INTRUSIONS ....................................................................................................................................................... 19 2.4. SPYWARE, ADWARE ET DIALER .......................................................................................................................... 19 2.5. LES COOKIES ..................................................................................................................................................... 20 2.6. MICROSOFT ET QUELQUES AUTRES .................................................................................................................... 20 2.6.1. Les failles de sécurité. ............................................................................................................................... 20 2.6.2. Big Brothers. ............................................................................................................................................. 21 2.6.3. Anonyme sur INTERNET?......................................................................................................................... 21 2.7. LES ATTAQUES INTERNET DOS, TEAR DROP, .... ............................................................................................... 22 2.8. SOLUTIONS DE SECURITE: LES FIREWALL ........................................................................................................... 22 2.9. TESTS DE FIREWALL ........................................................................................................................................... 23 2.9.1. Symantec Internet security 2003................................................................................................................ 23 2.9.2. ZoneAlarm ................................................................................................................................................. 24 2.9.3. La solution du routeur avec firewall intégré. ............................................................................................ 26 2.9.4. Conclusion................................................................................................................................................. 26 3. MESSAGES D'ERREUR EN SURFANT............................................................................................................. 28 SecuriteCopie.doc- Page 2 1. Connexion à distance par INTERNET, sécurité et communications 1.1. Introduction Ce chapitre traite de la communication et sécurité entre les ordinateurs. Le plus courant concerne la connexion vers INTERNET (Firewall, VPN) mais également des prises de contrôle à distance de PC ou de réseau à partir d'un ordinateur connecté à une ligne téléphonique ou via INTERNET (partage de données), travail à distance, ... Toutes ces connexions peuvent être traitées en hardware ou en software, les 2 possibilités existent systématiquement. Nous verrons en détail les possibilités hardware. 1.2. Les risques Un bref rappel sur les risques de sécurité (virus, hacking, ...). Une explication plus complète sur les virus, adware, spyware, ... est reprise plus loin Au niveau anti-virus Hardware, certains routeurs et VPN incluent un anti-virus interne. D'autres appareils sont spécialisés: PANDA fabrique un modèle de ce type, le SYMANTEC GATEWAY Security également (un autre). L'avantage vient des mises à jour quotidiennes automatiques sur un seul noeud: le routeur d'entrée / sortie de la connexion Internet vers le réseau interne. Lorsqu'un virus est détecté dans un mail (quelque soit le type), le mail est directement renvoyé à l'expéditeur sans même passer sur le réseau interne ou le PC du destinataire. Le défaut reste les autres points d'entrée: disquettes, CD piratés, connexions à Internet via d'autres points (modem du portable par exemple). Les spyware, adware, dealer, ... utilisant le port 80 (navigation), ils ne sont pas détectés par les firewall hardware, mais bien par les anti-virus hardware. 1.2.1. Les intrusions, sécurité des PC Les risques d'intrusions sont un sujet à la mode. Différentes méthodes d'intrusions vont être examinées. La première méthode consiste à injecter un programme dans votre PC (via un mail par exemple). Ce programme serveur va réagir à toute demande d'un client (le programme de celui qui essaye l'intrusion) via un port TCP ou UDP. Les ports sont spécifiques à chaque trojan (aussi appelé cheval de Troie, backdoor). Comme ces programmes sont facilement téléchargeables sur Internet, n'importe quel gamin est capable de les utiliser. Par contre, elle nécessite qu'un programme soit implanté dans votre ordinateur ou un PC du réseau: si le logiciel client n'est pas implanté dans le système, pas de risque. La deuxième méthode utilise des failles de sécurité dans le fourbi Microsoft, que ce soit dans le système d'exploitation Windows, dans Internet Explorer ou dans Outlook (toutes versions confondues). Cette solution est plus réservée aux professionnels. Ceci a permis à un site de tests de firewall d'ouvrir mon lecteur CD-ROM à distance. Avec un firewall software sur la station et le réseau protégé par un firewall hardware, je me sentait pourtant plutôt en sécurité. La solution consiste à suivre les SERVICE PACK de sécurité de Microsoft (quand les nouvelles versions SecuriteCopie.doc- Page 3 n'ouvrent pas d'autres failles) En troisième, de loin la plus sournoise, la méthode consiste à modifier des informations dans la trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqué croit que les informations proviennent effectivement du site demandé comme dans le schémas ci-dessous. Pour parer à ces attaques, il faut impérativement que les trames soient toutes analysées avant la lecture par le navigateur. Les buts sont multiples: vols d'informations et dans de nombreux cas, utiliser cet ordinateur comme relais pour d'autres attaques. La cible détecte alors l'attaque comme provenant du PC "hacké". 1.2.2. Les attaques par Déni de service (Denial of Service) Encore un problème relevant de la sécurité sur INTERNET. Ce type d'attaque consiste à envoyer un maximum de requête sur un serveur web ou un routeur en un minimum de temps. L'appareil ne parvenant plus à suivre craque littéralement. La méthode consiste à envoyer des multitudes de paquets ICMP ("Internet Control Message Protocol") echo-request en modifiant l'adresse source de chaque paquet. Les commandes envoyées sont des multiples petits paquets de 64 Kb ou inférieur. La cible ne peut plus répondre aux demandes de connexions car l'ensemble de la bande passante est limitée. Ceci est la méthode du gamin gâté qui ne parvient pas à s'introduire dans un serveur, alors, il le plante. Par contre, c'est aussi une méthode beaucoup plus professionnelle pour stopper des serveurs Internet avec un maximum de commandes en même temps, le mieux reste d'utiliser un maximum d'ordinateurs pour l'attaque en utilisant ceux infectés par un trojan. 1.2.3. Déni de service station (tear drop, new tear, boink, ...) Les attaques de type Teardrop, Newtear, Boink, ... sont quasiment identiques au déni de service ci-dessus sauf qu'elle ne s'attaque qu'aux ordinateurs (serveurs inclus) directement connectés ou même via un routeur. Ce type d'attaque vise les système Windows 32 bits (Win 95, 98, Me, XP (Pro), NT et 2000) mais également les systèmes d'exploitation Linux inférieur à 2.0.32 (comme Linux n'est pas dans mes compétences, à vérifier). Apparemment, les Mac et systèmes SecuriteCopie.doc- Page 4 Unix peuvent aussi être altérés par ces attaques. A part Windows 3.11 et DOS (mais comment aller sur INTERNET en DOS?), tous sont donc visés. L'attaque ne se fait plus sur un serveur, mais sur les stations connectées. Ce type d'attaque consiste à envoyer des packets TCP/IP qui se recouvrent appelé OOB = Out Of Band). L'ordinateur cible tente de reconstruire les informations et finalement, n'y arrivant pas, ceci provoque un plantage de la machine. En Windows, vous vous retrouvez avec une belle fenêtre bleue et vous n'avez d'autres choix que de redémarrer la machine. 1.2.4. Quelques précisions. Anonyme sur Internet, pas si sûr. Déterminer votre adresse IP fournie par le fournisseur d'accès reste un jeu d'enfant. Un routeur protège votre adresse TCP/IP locale sur le réseau en n'indiquant que l'adresse extérieure. Dans le cas d'un partage de connexion via les programmes fournis avec les systèmes d'exploitation Microsoft, ce sont les adresses internes du réseau qui sont directement détectées. Toute intrusion, attaque de tout type demande d'abord au "hacker" de connaître l'adresse TCP/IP de la cible vis à vis d'INTERNET. Le sport pour lui est ensuite de connaître les adresses internes des stations PC ou autres du réseau. Tant que l'adresse Wan (Internet) est invisible, il ne peut rien. Forcément, elle est plus facile à détecter lorsque le réseau local est raccordé par adresse TCP/IP fixe sur INTERNET. Dans le même ordre d'idée, votre système d'exploitation et votre navigateur Internet sont automatiquement envoyés par votre navigateur au site, idem pour la résolution de votre écran (dimension et nombre de couleurs) Les serveurs proxy sont des mémoires cache qui permettent d'accélérer les connexions. Le mécanisme est simple, lorsqu'une page vient d'être lue, le proxy la garde en mémoire. Si une demande sur cette page intervient rapidement, le proxy ne la télécharge pas d'INTERNET mais directement de sa mémoire. En plus, il est plus difficile de vous suivre à la trace puisque vous n'êtes pas toujours directement en contact avec les sites. Ces proxy peuvent être des boîtiers externes, inclus dans un PC dédié du réseau local (sous Linux par exemple) ou directement chez le fournisseur d'accès (à condition d'être configuré spécifiquement suivant les adresses fournies par votre provider). Les coockies sont de petits fichiers texte chargés sur votre PC. Ces cookies enregistrent vos préférences. Ceci permet par exemple d'arriver directement sur la version française de Google.fr. Pas bien dangereux, mais ces cookies incluent souvent des informations telles que mots de passe (même s'ils sont souvent cryptés) ou la date de votre dernière visite sur un site. Quelques cookies permettent de vous suivre à la trace sur divers sites. Le NAT (Network Adress Translation) sert de translation entre l'extérieur du réseau local (Internet) et les stations. Le routeur construit une table de correspondance d'adresses IP. De cette manière, l'extérieur ne sait pas déterminer l'adresse interne d'une station. A la réception de données par le routeur, celui-ci transfère les informations vers le véritable destinataire grâce à sa table. SecuriteCopie.doc- Page 5 1.3. Connexions INTERNET de base. Le partage d'une connexion INTERNET permet de connecter plusieurs ordinateurs reliés en réseau TCP/IP simultanément avec un seul modem. Le partage professionnel se fait via un routeur, mais des partages plus simples utilisent directement un modem relié sur un PC. Le modem peut être normal, ISDN ou ADSL. De même, le type de modem peut être interne, externe série, externe USB ou même dans certains modems ADSL, relié via à une carte réseau. Dans les trois premiers cas, le partage peut se faire directement par le système d'exploitation (Windows 98 seconde édition, Windows Millenium, Windows 2000 ou Windows XP). Dans le cas d'une liaison via carte réseau, le partage peut se faire via un routeur ou via un logiciel de type WinGates. Ces logiciels assurent également la sécurité des connexions. Dans ce dernier cas, le PC assurant le partage reçoit 2 cartes réseau. Dans le cas d'un partage simple via Windows, chaque ordinateur peut demander la connexion Internet, mais elle ne peut être coupée que sur le PC connecté à Internet. Ceci ne pose pas de problèmes en ADSL, mais attention aux communications téléphoniques en RTC ou ISDN. Vous pouvez demander de couper la connexion INTERNET après un certain laps de temps d'inactivité par la commande option Internet. Sélectionnez la connexion (Ma connexion ci-dessous) et cliquez sur le bouton Paramètres. Dans la fenêtre suivante, sélectionnez le bouton "Avancé". Cochez la case Déconnecter si inactif pendant et tapez le nombre de minutes souhaitées. Différents logiciels ou matériels vont néanmoins se connecter entre le réseau et INTERNET, soit pour assurer la sécurité, soit pour assurer la vitesse de connexion. Ces appareils (logiciels) assurent différentes fonctions de connexion. SecuriteCopie.doc- Page 6 1.4. Les différents points d'une connexion / partage INTERNET professionnel. 1.4.1. Partage de base Avant de parler des appareils et solutions à mettre en oeuvre pour des connexions Internet professionnelles, analysons les différents problèmes possibles. Ceci nous permettra à terme de dessiner notre connexion plus facilement. Dans le cas d'une connexion vers INTERNET, la première tâche est le partage. Ceci va permettre à plusieurs utilisateurs de se connecter sur Internet en même temps (navigation, mail, news, …). Ceci passe nécessairement par une installation réseau. Dans ce cas, un ordinateur ou un appareil (généralement un simple PC sur lequel est connecté le modem) doivent servir de liaison. Selon le schéma ci-dessus, chaque station possède sa propre adresse TCP/IP (X.X.X.X.@station1 et X.X.X.X@station2). De même, le fournisseur d'accès fournit automatiquement une adresse TCP/IP à la connexion. Supposons un site, référencé par une adresse TCP/IP propre, par exemple 238.128.128.128 que nous dénommerons par X.X.X.X@site. Lors de la demande d'affichage, la station 1 envoie à l'appareil de liaison son adresse propre (pour la réponse) et l'adresse du site qu'elle veut afficher (X.X.X.X@site). Le fournisseur d'accès et tous les composants du réseau Internet vont se débrouiller pour que les informations du site soient renvoyées à l'adresse TCP/IP Internet fournie par le fournisseur d'accès (X.X.X.X.@ISP) qui les renvoie à l'appareil de liaison. Celui-ci fera le transfert de sa propre adresse Internet vers l'adresse privée de la station 1. Le fonctionnement, quoique complexe de manière interne, n'est pas trop difficile à mettre en oeuvre avec les logiciels actuels. Cette méthode est utilisée par le partage de connexion Internet implantée dans Windows 98 SE, Millenium, 2000 ou XP. Cette solution n'est pas très sécurisée. Chaque adresse des PC connectés est visible d'INTERNET. Cette pratique est utilisée pour de petits partages de connexions INTERNET familiales en modem RTC ou en ADSL avec modem USB. SecuriteCopie.doc- Page 7 1.4.2. Partage via un logiciel spécialisé. Cette solution de partage INTERNET utilise un PC relais entre le réseau et INTERNET. Le PC utilise 2 cartes réseaux. Une carte réseau est connectée vers le réseau interne, la deuxième carte réseau est connectée à un modem Ethernet RJ45. Le logiciel peut être Wingate, quelques solutions professionnelles (Symantec par exemple) ou une solution à base de Linux. Le PC relais doit rester connecté pour que la connexion INTERNET fonctionne. Le logiciel assure différentes fonctions: NAT (Network Adress Translation), proxy (cache) et même firewall. Le firewall s'il est directement implanté (Linux) est de fonctionnalité identique à un firewall hardware.Vous pouvez également installer sur ce PC relais un firewall software de type ZoneAlarm Pro (la version gratuite ne fonctionne pas en réseau). 1.4.3. Partage via un routeur simple. L'utilisation d'Internet est tout à fait transparente pour le réseau. Le routeur reste connecté en permanence. Ceci cache le réseau interne (adresse des PC et périphériques) pour l'extérieur, mais n'empêche pas les risques d'intrusion. En effet, à part les adresses cachées (NAT), les stations sont directement connectées sur INTERNET. Un trojan sur une station communiquera à travers le réseau de manière complètement transparente. Il est même probable que le hacker ne s'apercevra qu'il est dans un réseau qu'au moment de la prise de contrôle du PC lorsqu'il aura accès à tous les partages de dossiers et périphériques. Ceci donne un semblant de sécurité, guère plus. SecuriteCopie.doc- Page 8 1.4.4. Partage via routeur et firewall hardware. Ce schéma représente presque la solution de sécurité idéale (le presque m'inquiète). Le routeur et le firewall peuvent être inclus dans le même boîtier. Le modem peut être intégré dans le routeur ou connecté entre celui-ci et INTERNET. La sécurité ne repose pas sur le montage mais sur la manière de paramétrer le firewall. Ceci est valable pour toutes les solutions de sécurité firewall. 1.4.5. Le DMZ (DeMilitarized Zone). Ceci est une utilisation particulière des firewall. Elle est utilisée avec un hébergement sur un serveur propre à l'entreprise ou en cas de leurre pour différentes attaques. Dans ce dernier cas, on n’expose que le PC bastion. Son utilisation comme serveur proxy ou serveur de messagerie est également utilisée. Le firewall en contact avec Internet va laisser passer les informations sur le port TCP 80 (éventuellement 443) provenant de l'extérieur du site, ainsi que les informations provenant du site interne vers Internet. Dans le cas d'un serveur Web, le premier firewall évite les attaques extérieures. Les ports 20 et 21 par exemple pourront être fermés. Par contre, les informations provenant de l'extérieur passeront par le firewall extérieur, puis par le server DMZ (cas d'un PC bastion) puis par le deuxième firewall. Ce n'est pas le niveau maximal de sécurité, mais le hacker se retrouve avec 2 voir 3 barrières à ouvrir. SecuriteCopie.doc- Page 9 1.5. Les Firewall 1.5.1. Introduction. Les firewall protègent les installations informatiques des intrusions. Un firewall surveille les communications d'un PC vers Internet et vice versa. Pour cela, il analyse, bloque ou autorise les communications via les ports UDP et TCP. Ceci est valable pour les connexions Internet, mais également entre différentes parties d'un réseau interne. Une large partie des "intrusions" sont orchestrées de l'intérieur de l'entreprise. Pensez par exemple à l'employé qui vient de recevoir son préavis, … On retrouve 2 types de firewall: les firewall logiciels et les firewall matériels. Le paramétrage des firewall logiciels ne fait pas partie de ce cours. Dans les applications INTERNET, pour faciliter les communications entre applications identiques, on utilise des ports tant en TCP qu'en UDP. Chaque port est spécifique à un type d'application. La navigation se fait par le port 80 et les news par le port 119 par exemple. Le paramétrage consiste à ouvrir des portes (ports) nécessaires aux applications normales en fonction des adresses de destination IP (en sortie) ou d'émission (adresses des sites). Dès ce moment, il me semble clair que toutes les autres doivent être fermées. Par définition, l'intrusion se fait toujours par l'entrée la plus faible de la protection du réseau. Ceci est similaire à la sécurité d'un bâtiment. Cela ne sert à rien de mettre des portes blindées partout, si la fenêtre de derrière reste ouverte en permanence. Pour la liste des ports à ouvrir, référez-vous au cours connexion à INTERNET 1.5.2. Différences entre un firewall logiciel et hardware Et non, les deux ne font pas exactement le même boulot. Dans un sens, ils sont complémentaires. Pour rappel, installer 2 firewall logiciels est dangereux et peut rendre chaque logiciel inefficace. Un firewall logiciel vérifie et indique sur quels ports les programmes accèdent à INTERNET depuis votre PC (en TCP et en UDP). De même, il annonce les ports sur lesquels rentrent (ou tentent de rentrer) des applications sur votre PC. Dans ce sens, sauf mauvaise configuration, il est efficace. Par contre, il n'analyse pas les programmes courants (modifications des trames, ...), ni n'analyse les défaut de sécurité du système d'exploitation (différentes failles de sécurité Microsoft sur les systèmes d'exploitation, Internet Explorer, Outlook et même Office). En vérifiant les programmes qui tentent des connexions Internet, ces programmes bloquent les spyware et les adware. Malheureusement, cette solution bloque généralement également la connexion INTERNET. La solution logicielle pour les enlever reste Lavasoft par exemple. Un firewall software s'installe sur chaque PC (d'où un lourd travail d'administration), sur le serveur ou sur des PC dédiés. En plus, ces logiciels reconnaissent rarement les adresses extérieures (Internet) des adresses internes. Ces logiciels sont parfaits pour la détection des trojans. S'ils les détectent, ils ne les suppriment pas. Ce rôle est dévolu aux anti-virus, même si les anti-virus ne considèrent pas les adware et spyware comme nuisibles (ce sont des programmes commerciaux). Un firewall hardware est placé entre INTERNET et le réseau. Dans ce sens, les intrusions (ou tentatives) à l'intérieur du réseau ne sont jamais analysées. Même si un firewall hardware n'est pas lié à Microsoft, ils ne protègent pas non plus des failles de sécurité des programmes et système SecuriteCopie.doc- Page 10 d'exploitation. En analysant les trames de données, ils rejètent également les intrusions par bricolage des adresses. Par contre, même si tous les ports non utilisés sont fermés, les programmes qui utilisent les ports standards peuvent travailler sans problèmes. Un vers (trojan) qui utiliserait le port 80 ne sera en aucun cas bloqué, il est considéré comme une application tout à fait standard. Les spyware et adware utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware. Les 2 protections ci-dessous sont généralement intégrées dans les firewall matériels : • Statefull Packet Inspection : Permet au firewall de comparer un paquet de données entrant avec les paquets ayant précédemment été considérés comme "sains". • Content Filtering : Permet notamment de contrôler les accès au Web par des filtres (basés sur des listes d'adresses Internet, des mots clés ou des plages horaires de connexion). Une sécurité optimale serait donc un firewall hardware entre le réseau et Internet et un firewall logiciel sur chaque station. Néanmoins, les firewall internes dans le cas de réseaux lourds pose des problèmes au niveau utilisateur. A la moindre alerte (même inutile de type DHCP sur le port UDP 68), l'administrateur sera appelé (ou non ...) par l'utilisateur. Actuellement différentes firmes fabriquent des cartes réseaux qui incluent un firewall hardware. 1.5.3. Les ports à ouvrir en TCP et en UDP, les plages d'adresses Chaque application est caractérisée par un port TCP et / ou UDP utilisé. Il est spécifique au type d'application Ceci facilite les communications puisqu'une application de type navigation utilisera d'office le port 80, que ce soit Microsoft Explorer, Netscape ou un autre. Les numéros de ports (tant en TCP qu'en UDP) varient de 0 à 65535 (216). IP détermine l'adresse du site ou du PC en communication. La combinaison port TCP/IP détermine donc le site et l'application. 1.5.4. Méthode de détection d'un firewall hardware et fonctionnalités Les firewall analysent les trames, tandis que les firewall software analysent les applications. Cette analyse hardware est effectuée par un logiciel interne. La première partie filtre les combinaisons TCP IP pour envoyer ou non les informations vers le PC client du réseau. La deuxième partie va vérifier si l'information est effectivement demandée par une station cliente en analysant les connexions PC - site Internet. La troisième application est appelée State Full Inspection. Ce terme est breveté par Checkpoint (un des leaders de la sécurité Internet) qui fabrique des firewall software mais dont la technologie est implantée dans divers firewall hardware, notamment ceux fabriqués par la firme NOKIA. Le "State Full Inspection" est aussi appelé Firewall-1 ou à technologie de filtrage dynamique. Le firewall détermine si le client est bien connecté (active) sur INTERNET au moment de la réception du message. Pour cela, le firewall garde dans des tables de connexion les sessions actives. Dans le cas contraire, le message est purement bloqué. Les firewall peuvent inclure également différentes options tel que le proxy. Un proxy est un espace disque dur sur lequel les pages couramment demandées sont stockées. Chaque fournisseur d'accès (FAI) utilise un proxy pour les connexions. Lors d'une demande, le proxy vérifie si la page n'est pas en mémoire. Dans le cas positif, la page est renvoyée à la demande sans téléchargement à SecuriteCopie.doc- Page 11 partir du site. Ceci permet de gagner du temps lors des téléchargements. Cette solution est également utilisée dans quelques firewall ou routeur. Si l'utilisateur n'est pas en contact direct avec le site, son adresse IP ne pourra pas être analysée. Quoiqu'en disent certains sites, ce n'est pas vraiment une sécurité puisque les adresses à hacker sont souvent déterminées par un scannage des adresses sur INTERNET. Par contre, dans le cas des firewall qui ne renvoient pas les commandes PING, ceci permet à l'attaquant de déterminer que l'adresse est effectivement utilisée si le proxy n'est pas en fonction. Remarquez que l'utilisation ICQ ou MSN Messenger permet également de déterminer votre adresse TCP/IP encore plus facilement, la liste apparaît sur le site. Le filtrage de sites est implanté dans la majorité des firewall hardware. Ceci permet de bloquer les accès sortant des adresses de sites ou même des adresses contenant un mot. Vous pouvez par exemple bloquer les sites dont le nom inclus sex, rencontre ou KAZAA. SecuriteCopie.doc- Page 12 1.6. L'accès à distance à un réseau Cette application permet de se connecter à un réseau interne via une liaison téléphonique ou par INTERNET. 1.6.1. Prise de contrôle à distance et transferts de fichiers. Dans le chapitre précédant, nous avons vu que les trojans de type Netburst permettent de prendre le contrôle à distance (entre autre) d'un PC via Internet. Cette solution semble facile mais permet à d'autres de prendre le contrôle aussi. Cette solution est donc tout à fait à proscrire. La solution la plus communément utilisée fait appel à des logiciels de type PC Anywhere qui permettent de prendre la commande de PC via des modems analogiques ou ISDN, ou même l'ADSL (Internet). Cette solution est souvent utilisée pour de petites infrastructures de type indépendant, ou pour le dépannage des utilisateurs à distance dans les réseaux internes. De nombreuses tentatives d'attaques par INTERNET viennent de ce logiciel. Le paramétrage de PC Anywhere permet de changer le numéro de port pour l'accès à distance. Ce n'est pas la solution parfaite. En effet, pour une prise de contrôle à distance, il faut le numéro de port et le programme client. En changeant le numéro de port, l'administrateur suppose que le pirate ne pourra prendre le contrôle. De l'autre côté, le pirate par scannage d'adresses sur tous les ports, reçoit les logiciels qui répondent (même mal) sur un port. Il n'a plus qu'à essayer tous les programmes possibles sur ce port. La prise de contrôle se fait également par mot de passe (nettement conseillé). Une autre solution qui n'est utilisée que par certains programmes permet de mettre en commun des ressources via l'accès réseau à distance. Cette fonction nécessite l'installation d'un composant additionnel de Windows: serveur d'accès réseau à distance et permet l'utilisation de fichiers sur des disques partagés via un modem (toujours RTC ou ISDN). La connexion pour permettre l'entrée se fait également via un mot de passe et le démarrage de ce serveur d'accès à distance via la partie accès réseau à distance. Certains programmes bureautiques (notamment Works de Microsoft) incluent également des fonctions de transferts de fichiers. Windows XP a également implanté une fonction de prise de commande à distance, en espérant qu'ici aussi il n'y ait pas de failles de sécurité. SecuriteCopie.doc- Page 13 1.6.2. Virtual Private Networks (VPN) Les solutions ci-dessus ne permettent pas directement de se "connecter à un serveur réseau", mais de prendre le contrôle d'un PC qui lui se connecte au réseau. Ce sont des solutions logicielles. Les VPN (pour Virtual Private Network) sont des appareils qui se connectent physiquement sur INTERNET ou entre le réseau et le routeur suivant les modèles. Les dernières versions des systèmes d'exploitation serveurs de Microsoft implantent des fonctionnalités équivalentes. Les VPN créent entre un ordinateur et le réseau interne une liaison sécurisée et cryptée pour assurer le transfert des informations, appelée communément un tunnel. Lorsque la station demande via Internet une connexion sur le réseau interne, les 2 appareils se communiquent une clé logicielle qui servira au cryptage des informations. Le VPN crée alors une sorte de tunnel sécurisé sur Internet qui empêche toute forme de piratage. Cette solution est la seule utilisable pour une connexion via ADSL La connexion nécessite 3 choses: • Un logiciel particulier sur le client (Réseau privé virtuel installé comme composant de Windows ou programme spécifique) • Un matériel hardware de type VPN relié entre Internet et le réseau d'entreprise (éventuellement Windows 2000 ou XP) • Une adresse INTERNET TCP/IP fixe ou du moins connue au moment de la connexion. Les deux premières contraintes semblent faciles. Nous reparlerons de l'appareil. La troisième nécessite, soit un site INTERNET et donc un serveur propre relié sur INTERNET, même si la connexion doit se faire sur un autre serveur ou un abonnement spécifique permettant d'avoir une adresse INTERNET TCP/IP fixe. Dans le cas d'un abonnement ADSL normal, l'adresse change à chaque connexion et au maximum après quelques dizaines d'heures suivant le fournisseur d'accès. Les amateurs pourront néanmoins utiliser quelques solutions pour connaître l'adresse TCP/IP de la connexion à un moment donné sur des sites spécifiques par exemple et la communiquer via téléphone ou mail. Cette solution est peu envisageable pour une connexion 24h/24h. On distingue plusieurs modèles de VPN. La majorité des modèles hardware permettent uniquement un tunnel entre 2 installation réseau fixes. Ils ne permettent donc pas le travail à domicile (quoique sous-entendent les publicités). Les modèles plus chers permettent également le travail à distance. Le mode de cryptage peut être MPLS ou IP-Sec (IP Security). Le cryptage se fait uniquement entre les deux VPN. Certaines méthodes de tunnel, notamment Over Ip (à la différence de tunnel IP) permettent de faire transiter d'autres protocoles tel que IPX dans le tunnel. Dans le cas de l'utilisation d'un VPN, vous ne pouvez pas sécuriser votre réseau en empêchant le partage des ressources via TCP/IP. En effet, pour de petits réseaux, vous pouvez implanter en parallèle avec TCP/IP les protocoles IPX ou Netbui et configurer le protocole TCP/IP réseau sur la carte réseau pour qu'il ne permette pas le partage des ressources. Le VPN permet d'utiliser à distances toutes les ressources du réseau (fichiers, applications et périphériques de type imprimante) comme si vous étiez directement connectés sur le réseau. Selon l'appareil (des solutions logicielles existent, notamment dans Win2000 serveur), le VPN va effectuer plusieurs tâches comme la détection d'intrusions, la fonction firewall ou le scan de virus. Une passerelle (gateway) vers INTERNET (fonction de routeur INTERNET), une fonction de firewall pour bloquer les intrusions, un anti-virus intégré et la fonction VPN pour créer le tunnel Internet dont généralement le fonctionnement est conforme aux spécifications de cryptage IPsec des stations clientes. SecuriteCopie.doc- Page 14 Le VPN va fournir une adresse locale à un PC connecté sur INTERNET. Celui-ci va alors automatiquement s'intégrer dans le réseau. Attention, le paramétrage de ce type d'appareil au niveau VPN est généralement plus pointu puisqu'il permet par exemple d'accepter les données rentrantes sur une adresse mais de refuser les entrées sortantes. Lorsque tous les niveaux sont résolus, vous pouvez directement relier deux réseaux internes via Internet. C'est actuellement la seule solution viable (sans lignes totalement dédiées et louées) pour ce genre d'applications.C'est également la meilleure solution pour le télé-travail (le travail à partir de son domicile). SecuriteCopie.doc- Page 15 1.7. Sauvegarde sécurisée via Internet. Cette méthode de backup pourrait être insérée dans la partie stockage et sauvegarde réseau, mais utilise les techniques de connexions à distance. Le principe est de créer un tunnel Internet entre votre serveur interne et un réseau distant constitué de serveurs, NAS ou de sauvegardes sur bandes pour sauver vos données. Le principal avantage: vous ne vous préoccupez plus de vos bandes, elles sont en principe en sécurité à l'extérieur de votre entreprise (un autre avantage). Le programme de gestion sauve automatiquement les données importantes en les compressant et les cryptant au préalable. Différentes variantes de cette technique sont proposées. La première consiste à transférer systématiquement le contenu du disque dur sur la sauvegarde Internet. Un petit rappel, les liaisons ADSL les plus rapides tournent à 8 Mb/s (divisez par 10 pour retrouver une notation en byte ou octet). Pour sauver un disque dur de 20 GB de données, il faut donc 20.000.000 / 800 = 25.000 secondes, soit près de 7 heures. Le retour se fait encore plus lentement, à 512 kb/s maximum pour l'ADSL, soit 16 X plus lent. Pas très efficace. La deuxième solution consiste à sauver sur différents supports les données de départ (CD, DVD, bandes) et à ne sauvegarder que les dossiers importants ou que les fichiers modifiés via le tunneling Internet. Cette méthode revient à une sauvegarde incrémentale ou différentielle avec leurs défauts respectifs. En cas de problème, on rapatrie par véhicule la sauvegarde de base et on récupère les fichiers sauvegardés plus tard. Ces systèmes peuvent sauver les données chaque jour dans des dossiers différents ou dans le même dossier (en écrasant les dossiers les plus anciens. La sauvegarde des données est compressée et cryptée au minimum à 128 bits, donc sécurisée et pratiquement impossible à récupérer sans les différentes clefs. Au niveau SECURITE, cette solution semble donc bonne. Les défauts font néanmoins importants. La première vient de la sécurité des données (même si elles sont cryptées) puisque les données sont sur un site qui ne vous appartient pas. Le deuxième problème vient du débit de transfert des données en émission (même compressées) et encore plus en réception. Comme le tunnelling nécessite un matériel ou un logiciel spécifique, vérifiez le coût effectif de cette solution de sauvegarde peu orthodoxe. Ce principe ne fonctionne qu'avec des serveurs réseaux travaillant en TCP/IP. Bref, pas forcément une solution intelligente pour la sauvegarde d'un serveur complet mais une manière de ne plus s'encombrer de la tâche sauvegarde pour de petites capacités. Cette solution pourrait être également installée entre deux serveurs réseaux de la même entreprise mais distants en utilisant une liaison VPN. Ceci réduit le coût du prestataire mais demande des connexions Internet par IP fixes et n'est donc envisageable que pour les grosses entreprises. SecuriteCopie.doc- Page 16 2. La sécurité sur INTERNET 2.1. Introduction La sécurité sur Internet est un sujet longuement discuté sur différents sites. Ce cours se veut un résumé des différents risques et des solutions à apporter. Pour les ordinateurs du coin, on retrouve tous types de problèmes liés à des virus ou des "bestioles internet". Les sites ne sont pas non plus à l'abri. Quelques rappels, mi janvier 2003, une attaque massive via une faille de sécurité des serveurs Windows 2000 à bien failli paralyser tout INTERNET.Un autre exemple : les sites USERS de skynet ont eut droit à une attaque massive par DOS (Deny Of Service) fin février 2003, rendant inaccessibles ces sites quelques heures. 2.2. Les virus Premier risque: les virus. Les nuisances effectuées par les virus vont de la suppression de fichier (et / ou leur envoi sur des boîtes mail INTERNET) à l'effacement complet du disque dur. Ces derniers ont nettement évolué. S'il suffisait de ne pas ouvrir de fichiers liés il y seulement quelques mois, le seul fait de passer sur le message suffit à l'insérer en mémoire, du moins avec Outlook Express. Ce n'est pas fini. Les virus actuels détectent l'installation postérieure d'un anti-virus et .. le mettent hors d'état de nuire puis effacent immédiatement les données de votre ordinateur. Ceci explique qu'à pratiquement tous les coups, il faille réinstaller Windows. 2.2.1. Les types de virus Comme chacun sait, un virus est un programme dont le but est divers (c'est une manière de voir les choses). Avec l'évolution, les virus modifient leur travail. Voici en gros les types de virus selon leur méthode de travail. • Les virus de programmes. Ce sont les premiers virus apparus. La méthode de propagation est de se "coller" sur un programme . En exécutant le logiciel infecté, le virus peut s'attaquer aux autres programmes présents sur le disque dur. La finalité passe généralement par la destruction des fichiers. • Les virus de boot. Ces virus infectent le secteur de démarrage (boot) des disquettes et du disque dur. Pratiquement disparus, ces virus peuvent pratiquement tout faire puisqu'ils démarrent avant le système d'exploitation et les anti-virus. Les destructions passaient par la remise à zéro immédiate du disque dur. Une fonction dans le BIOS permet de prévenir en cas de modification du boot d'un disque dur, même si cette fonction pose quelques problèmes lors de l'installation de certaines versions de Windows. • Les virus de macro: Les documents Word et Excell peuvent inclure des macros. Une macro est une programmation des documents de Microsoft. Ces virus se propagent donc non pas comme un programme, mais bien à l'intérieur d'un document. Ces macros peuvent également pratiquement tout faire: destructions de fichiers, effacement de la table de matière du disque dur, ... • Apparus au milieu des années 90 avec INTERNET, les virus de mail dans le sens large s'attaquent à votre carnet d'adresse pour infecter d'autres machines. Les destructions passent par SecuriteCopie.doc- Page 17 l'effacement de fichiers à leur transfert vers d'autres boîtes de mail (avec une adresse de départ généralement fausse pour le destinataire). Leur méthode de propagation va du fichier lié aux écritures de type Java Script. Ces derniers ne sont plus des fichiers attachés. Le seul fait de passer sur le mail avec la souris suffit à démarrer le virus. • Les virus de BIOS. Ces virus attaquent le BIOS en débutant un flashage de celui-ci. Comme le flashage n'est pas correct, la carte mère est inutilisable sans changer directement la flash Rom. Tous les Bios flashables incluent une fonction dans le BIOS qui permet d'empêcher une telle manipulation. De plus, de nombreuse cartes mères incluent un pontage pour empêcher de manière hardware cette fonction. Préférez toujours la manière hardware. • Les canulars ou hoax. Régulièrement, je reçois des alertes virus d'inconnus qui annoncent un fichier inconnu dans Windows, virus non détecté par les anti-virus traditionnels. Avant d'effacer le fichier, dites-vous qu'un virus non détecté par les principaux anti-virus, c'est un peu comme si Gainsbourg et Renaud n'avaient jamais été détectés par les alcootests et vérifiez sur les sites des éditeurs d'anti-virus. Le plus marrant, un message me signalait que Win.com (c'est à dire le programme principal de Windows) était un virus non détecté par Norton Anti-virus. J'allais répondre "EFFACE immédiatement le fichier", les systèmes d'exploitation de Microsoft sont des virus hautement dangereux. Mais je me suis abstenu, un moment de bonté sans doute, … 2.2.2. Les antivirus La seule méthode pour détecter et éliminer les virus est l'utilisation d'un anti-virus. Dans la grosse majorité, c'est un logiciel installé sur chaque PC (station et serveur) qui scanne (analyse) les fichiers transférés. Le logiciel lit les codes et tente de reconnaître la signature des virus qu'il connaît. Ceci entraîne déjà quelques remarques. • La signature. La signature est le code (la programmation) du virus. Comme le nombre de virus devient de plus en plus important et qu'éliminer de la liste les "anciens virus" serait dangereux, le travail de comparaison entre sa liste de virus et le fichier analysé devient de plus en plus lourd. C'est néanmoins la seule solution. Les virus deviennent "mutants". Pour éviter cette détection, les virus changent de signature en modifiant leur code de programmation en même temps que l'infection. Certains virus actuels se coupent en plusieurs morceaux pour se reconstruire à la moindre occasion. Encore une difficulté de plus pour les anti-virus. • La base de donnée. Pour détecter les nouveau virus, les logiciels anti-virus mettent à jour leur base de données régulièrement. Sans cette mise à jour, l'utilisation de ces programmes est pratiquement inutile. Actuellement, la majorité des mises à jour se font automatiquement lorsque vous connectez votre PC sur INTERNET. Un programme détecte la connexion et se branche automatiquement sur le serveur pour rechercher la dernière mise à jour possible. Trois conditions doivent être remplies pour cela: o le temps de connexion doit être suffisamment long pour la détection de connexion et le chargement. o les délais entre les disponibilités des mises à jour est de 1 semaine environ. o l'abonnement doit être à jour. L'abonnement à la mise à jour dure généralement 1 an. Passé ce délai, vous devez soit renouveler votre abonnement via INTERNET (avec payement par carte de crédit), soit acheter la nouvelle version de l'anti-virus qui reconduit votre abonnement d'un an. Sans mises à jour, pas de protections. • Les acteurs du marché. SecuriteCopie.doc- Page 18 Parlé de bon ou mauvais anti-virus est superflu. Il doit être à jour! Les 4 acteurs principaux du marché sont Symantec (ancien NORTON), McAfee, Panda et CA. Ce dernier est réservé aux installations professionnelles. 2.3. Intrusions L'intrusion (ou hacking) consiste à entrer via une connexion distante sur un ordinateur ou un serveur de manière illicite. Différentes méthodes d'intrusions sont utilisées. La première méthode consiste à injecter un programme appelé trojan ou cheval de Troie ou vers ou backdoor suivant la terminologie dans votre PC (via un mail par exemple). Ce programme serveur va réagir à toute demande d'un client (le programme de celui qui essaye l'intrusion) via un port TCP ou UDP. Les ports sont spécifiques à chaque trojan. Comme ces programmes sont facilement trouvables sur Internet, n'importe quel gamin est capable de les utiliser en pratique, par contre, elle nécessite qu'un programme soit implanté dans votre PC ou un PC du réseau. Bref, si la partie serveur n'est pas implanté dans votre système informatique, pas de risque. Les trojans sont détectés et supprimés par les anti-virus. La deuxième méthode utilise des failles de sécurité dans le fourbi Microsoft, que ce soit dans le système d'exploitation Windows, dans Internet Explorer ou dans Outlook (toutes versions confondues). Une faille de sécurité est un bug dans le programme qui permet par exemple de prendre le contrôle de votre PC à distance. Nettement plus costaud, cette solution est plus réservée aux professionnels du piratage informatique. La solution consiste à suivre les SERVICE PACK de sécurité de Microsoft (quand les nouvelles versions n'ouvrent pas d'autres failles). En troisième, la méthode de loin la plus sournoise consiste à modifier des informations dans la trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqué croit que les informations proviennent effectivement du site demandé. Pour parer à ces attaques, il faut impérativement que les trames soient toutes analysées avant la lecture par le navigateur. Les buts sont multiples: vols d'informations et dans de nombreux cas, utiliser ce PC comme relais pour d'autres attaques. La cible détecte alors l'attaque comme provenant du PC "hacké". Selon la législation actuelle, c'est le possesseur du PC (donc vous) qui est responsable en cas de détérioration. 2.4. Spyware, adware et dialer Ce sont tous deux des programmes qui utilisent Internet Explorer pour exécuter différentes tâches à titre commerciales. En aucun cas, ces types de programmes ne sont considérés comme des virus. Ils ne sont donc ni détectés, ni supprimés par un anti-virus! Un adware se contentent d'afficher des bannières de pub sur votre écran. Les pubs sont renouvelées à chaque connexion. En effet, le programme se connecte automatiquement sur son site personnel pour récupérer de nouvelles publicités. Dans le cas où vous ne vous connectez pas, il affiche quand même à intervalle régulier les publicités chargées lors des précédentes connexions. Un spyware est également lié au marketing et similaire à un adware. A chaque connexion, il se branche directement sur son site personnel. A partir de là, il peut communiquer ce qu'il veut. En premier, il va vous suivre à la trace et communiquer les sites sur lesquels vous surfez. Ceci semble peu important mais va définir vos habitudes et centres d'intérêt. Ceci est intéressant pour vous envoyer des publicités ciblées. D'autres utilisations sont encore plus sournoises puisque quelques uns de ces spyware analysent vos documents personnels et enregistrent même vos tapes claviers (et peuvent les envoyer sur le site mère). C'est nettement plus facile pour connaître les mots de passe. SecuriteCopie.doc- Page 19 Un dialer est un logiciel qui appelle un autre site via une connexion téléphonique avec numéro surtaxé. Ils sont souvent utilisés par les sites pornographiques. La connexion se fait automatiquement sans votre intervention. Ces programmes sont généralement chargés avec un logiciel gratuit. C'est la manière pour le programmeur de se faire payer indirectement par les utilisateurs. Utiliser un logiciel de peer to peer pour charger des musiques via INTERNET et vous serez certains d'en installer une demi douzaine. Pour rappel, le piratage est interdit, même si le prix des CD est exorbitant. Une dernière petite nouvelle, un serveur qui tourne généralement à 2 % commence à tourner à 50 % en permanence. Jusque là rien d'inquiétant puisque de nouvelles installations ont été effectuées. Sauf qu'en coupant un seul PC, l'utilisation du serveur informatique retombe à 3 %. Virer les spyware et le serveur revient à son niveau standard. L'explication, un des spyware passe sa vie à analyser les fichiers sur les disques durs pour retrouver noms, adresses, adresses mail, … Les solutions pour virer ces espions restent logiciels. Le principal s'appelle Ad-Adware. Cet utilitaire gratuit va inspecter les programmes qui tournent dans votre machine, ceux sur votre disque dur suivant une base de donnée reprenant ces bestioles.Ce programme se télécharge gratuitement sur le site de Lavasoft 2.5. Les Cookies Les cookies sont de petits fichiers textes transférés à partir de sites. Certains sont utiles. Lorsque vous vous connectez la première fois sur Google.fr, vous pouvez choisir la langue. Lors de votre prochain passage, la langue sera automatiquement utilisée. D'autres cookies sont liés aux sondages et votes divers. Les informations sont gardées dans ces fichiers Cookies, reprenant votre âge, pays, sexe. Ceci n'est pas bien dangereux puisque vous pouvez "inventer" les données. J'ai déjà été référencé comme femme de 35 – 40 ans, universitaire BAC + 4 et … exploitant agricole. Ces cookies permettent de faire des statistiques de visite lors de votre navigation sur certains sites. Par contre, la troisième vous suit à la trace sur les sites et est nettement plus nocive. 2.6. Microsoft et quelques autres 2.6.1. Les failles de sécurité. Les logiciels ne sont pas parfaits et quelques programmeurs doués utilisent les défauts pour l'intrusion de virus ou intrusions. Les logiciels les plus souvent incriminés sont Windows, toutes versions confondues. Internet Explorer et Outlook (express) font également partie des logiciels possédant ces failles de sécurité. Anciennement, on appelait cela des bugs, mais par souci pour l'utilisateur sans doute, le terme s'est assagi pour devenir faille de sécurité. Un peu comme "femme / homme de ménage" est devenu "technicienne / technicien de surface", c'est uniquement du vocabulaire. Ces défauts seraient couverts sous le terme "VICE caché" s'ils provenaient d'entreprises autres que logicielles. Pour contrer ces problèmes, Microsoft sort des mises à jour régulièrement, ce qui rassure les utilisateurs sur les qualités du développement des logiciels Microsoft. Ces failles de sécurité sont des moyens pour les pirates de s'introduire dans votre ordinateur ou pour un virus de s'étendre. Utiliser un anti-virus à jour et un firewall ne suffit pas, il faut régulièrement mettre à jour le système d'exploitation, Explorer, ... Même si Microsoft en profite pour rajouter ses espions. SecuriteCopie.doc- Page 20 2.6.2. Big Brothers. Commençons par le virus / trojan Windows XP et Explorer 6.0. Ces deux "programmes" se connectent à chaque fois sur Microsoft. Officiellement pour votre bien, mais on sait déjà que des informations plus personnelles que votre numéro de série de logiciel est envoyé. En plus, Windows XP permet de vous suivre à la trace lorsque vous naviguez sur le site de Microsoft et associé. Le site associé se nomme MSN qui utilise Passport. En utilisant MSN, vos mails sont sur le site de Microsoft. Jusque là, peu de différence avec les autres messageries par où transitent vos mails. Ce qui est moins génial, c'est que tous les sites associés à Passport de Microsoft pour la vente par correspondance vont pouvoir vous retrouver à la trace, soit avec la bénédiction de Microsoft, soit par un petit spyware. Ceci devrait permettre d'envoyer sur les sites de vente par correspondance votre carnet d'adresse. Ceci n'a pas que des conséquences négatives. Le référencement de Windows et Office XP devrait bloquer le piratage mais il continue dans certains cas. Avec SP1 pour Win XP et Explorer 6.0, Microsoft rajoute quelques petites fonctions supplémentaires dans l'art d'utiliser l'utilisateur. Le but est de bloquer à terme les programmes via INTERNET qui ne sont pas en ordre de licence. Désolé pour le revendeur informatique qui propose XP sans licence, mais les utilisateurs risquent de se faire bloquer par simple navigation sur le site de Microsoft. Jusque là, rien à redire, Microsoft protège ses intérêts et c'est normal. Par contre, le rêve de Microsoft n'est plus de vendre les logiciels mais de les louer. Le but est de se débarrasser des utilisateurs qui préfèrent garder les anciennes versions stables pendant des années plutôt que d'acheter les nouvelles versions buggées. D'autres firmes utilisent déjà cette technique de location. Reste le FUTUR au doux nom de PALLADIUM. Ce n'est pas à une discothèque TECHNO que Microsoft fait référence mais bien à une extension de son futur système d'exploitation. Palladium travaillerait en commun avec un circuit électronique inclus dans votre PC. Le principe est simple, tout fichier ou programme suspect (lisez copié illégalement) sera immédiatement effacé par le système d'exploitation ou à distance via INTERNET, sans autre forme de procès: qu'un MP3 chargé illégalement soit effacé, peu d'inconvénient. Ce qui est beaucoup plus discutable, c'est que seul Microsoft décidera ce qui sera effacé. Il décide que l'enregistrement des premiers rires du petit nourrisson ressemble à une chanson de JORDY et hop, effacé. Surtout qu'on doute que l'effacement ne soit pas automatique et même aveugle. Supposons en plus qu'avec ce contrôle à distance bien rodé, Microsoft puisse modifier à distance les programmes des concurrents ... Microsoft dément. Les services spéciaux américains. Après l'attaque du 11 septembre, BUSH a directement attaqué le monde INTERNET prévoyant des bases de données utilisateurs, une vérification totale des courriers électroniques, … On en est encore loin, mais soyez certains que depuis plusieurs années, tout message contenant les mots Président, bombe, attentat et quelques autres sont analysés, la version suivante rajoutera probablement des noms plus personnels. Le but est de découvrir qui se cache derrière une simple adresse INTERNET. 2.6.3. Anonyme sur INTERNET? Pour le webmaster qui gère un site, quelques renseignements sur le visiteur ne sont généralement pas de refus. Lorsque vous vous connectez sur INTERNET, le fournisseur d'accès vous alloue une adresse IP dans la plage d'adresses qui lui est attribuée. Dans la majorité des cas, elle est modifiée à chaque connexion. Lorsque vous vous connectez sur un site, il peut détecter automatiquement cette adresse et ainsi connaître votre fournisseur d'accès et donc votre pays. De même, votre navigateur, système d'exploitation, le nombre de couleurs affichées et la résolution de l'écran. Répondre à un petit sondage, voter pour le site machin-truc? Quelques renseignements vous sont demandés. Ce sont généralement les mêmes: âge, profession et niveau d'études. Ces SecuriteCopie.doc- Page 21 renseignements sont sauvegardés dans un cookies qui peut être lu par tous les sites utilisant le système de vote. Ces renseignements sont somme toute anonymes puisque vous pouvez répondre n'importe quoi. Comme le cookie est stocké sur l'ordinateur, les statistiques peuvent être fausses. 2.7. Les attaques Internet DOS, Tear Drop, .... Ces attaques touchent plus particulièrement les sites ou les réseaux. Ces attaques ont pour but de bloquer un PC en envoyant des informations incomplètes via INTERNET. Lorsque ce dernier tente de reconstruire les informations, il vous met une belle fenêtre bleue avec un redémarrage obligatoire. 2.8. Solutions de sécurité: les firewall J'ai déjà parlé des virus, voyons maintenant les intrusions, spywares, … Pour les intrusions, spyware et adware, le blocage passe par un firewall. Il existe actuellement 2 types de Firewall, les firewall software et les firewall hardware. Ces 2 types de firewall ne font pas exactement le même boulot, la différence vient du mode de blocage des intrusions. Un firewall software individuel s'installe sur chaque PC (ordinateurs individuels, PC client et serveur en réseau). Un firewall software va inspecter tous les programmes démarrés qui tentent de se connecter sur INTERNET, et dans le cas général par un port (une sorte de porte spécifique à chaque programme) sur tous réseaux INTERNET. Dans la majorité des cas, ces firewall vont se configurer automatiquement pour la majorité des programmes. Première erreur.Par exemple, Norton Personal Firewall va accepter toutes les connexions sur le site de Symantec. Jusque là, rien de grave pour les mises à jours automatiques, mais rien ne garantit que des renseignements plus personnels ne sont pas communiqués. De même, le firewall va accepter toutes les connexions vers les mises à jour de Microsoft. Et là, les programmes de Microsoft font également de l'espionnage manifeste (cf. ci-dessous). ZoneAlarm est gratuit dans sa version de base mais ne se configure pas exactement de la même manière, et permet même de bloquer ses propres visites sur son propre site (mises à jour). Le choix est donc simple, soit le paramétrage en automatique avec les risques que le firewall laisse passer quelques trucs vers l'extérieur, soit en manuel, et là c'est mieux ou c'est pire. Avec des connaissances, on bloque les problèmes mais sans les connaissances, on peut tout laisser passer. Les firewall logiciels vont détecter les spyware et les Adapazari qui utilisent un programme spécifique pour renvoyer les informations à leur site, les trojans par leur port spécifique, et en général tous les programmes qui se connectent sur les sites INTERNET sans y être invités. Les problèmes liés aux failles de sécurité des programmes de Microsoft (système d'exploitation, Explorer ou Outlook) ne sont en aucun cas vérifiés. Par contre, les Firewall hardware permettent de bloquer (ou non) des ports. En paramétrant correctement l'appareil, on fixe les portes à ouvrir. En plus, un véritable firewall Hardware va inspecter les données transmises, détectant ainsi les tentatives d'intrusion par modification des trames TCP/IP.Un firewall hardware va également bloquer toutes les attaques de types DOS (Deny Of Service) et autres bricolages. Par contre, votre PC peut être complètement infesté de spyware, comme ceux-ci passent par le port 80 (celui utilisé par Internet Explorer ou Netscape), il ne verra rien du tout. De plus, les problèmes liés aux failles de sécurité de Microsoft (Windows, Internet Explorer ou Outlook) ne seront pas forcément non plus détectés, sauf si la faille utilise un port spécifique fermé. La seule solution pour les failles de sécurité du fourbi Microsoft reste la mise à jour sur le SecuriteCopie.doc- Page 22 site de Microsoft, avec les petits problèmes de suivi qui vont avec. 2.9. Tests de firewall Après les explications ci-dessus, je vous propose d'analyser les solutions sur trois firewall: intégré dans un routeur, Symantec ou ZoneAlarm. Ceci n'est pas un réel test de protection mais plutôt ergonomique. 2.9.1. Symantec Internet security 2003 Ce logiciel inclus un anti-virus et un firewall personnel. L'installation nécessite Win 98 minimum et Internet Explorer 5.5 minimum. Comme la version 5.5 n'existe plus, reste à installer Big Brothers de Microsoft et la version 6.0 Insérez le CD, lisez les documentations avec Acrobat Reader. Norton demande d'enlever tous les autres anti-virus et firewall présents, on se demande pourquoi, mais cela marche tout de même avec d'autres. Après quelques autres questions, l'installation commence. Sélectionnez également l'installation anti-virus. Première question importante, le programme demande Ceci va permettre de bloquer l'accès à certains sites, notamment les sites pornographique ou d'autres comme les sites de Chat. Si vous n'avez pas d'enfants, sélectionnez non, sinon. Sans enfants dans la maison, je clique néanmoins sur Oui. Exécuter live Update après l'installation permettra de mettre à jour les programmes et protections. Après quelques clics suivants … le programme configure automatiquement le firewall. Voulez-vous vous inscrire, j'ai coché non. Je vous passe le live Update, il est tout à fait identique à celui de l'anti-virus. Je dois maintenant redémarrer le système. Jusque là, une installation classique. La fenêtre suivante apparaît après le redémarrage. Elle va permettre de configurer ma "sécurité" . Je m'arrête à l'accord parental. Celui-ci permet de créer des groupes (avec mots de passe SecuriteCopie.doc- Page 23 spécifique) pour chaque catégorie d'enfants. Seul le superviseur peut affecter ces mots de passe. Il est conseillé de changer directement le mot de passe à cet endroit. Norton recherche ensuite sur vos disques les applications se connectant à Internet. Ca commence bien, le programme se plante. Je pourrais de toute façon reprendre la configuration dans la barre des tâches. Le dessin de planète est dédié au firewall. La croix signale que la protection est désactivée. Je clique 2 fois dessus. La fenêtre ci-dessous apparaît. En suivant toutes les lignes, je configure au niveau moyen la sécurité, sauf en "blocage des publicités" ou je les stoppe. Par expérience, elle en stoppe environ la moitié. Enfin une partie intéressante. 15 jours plus tard, le firewall personnel me signale aucune attaque. Quelle veine. Par contre mes 2 PC sont bloqués régulièrement de manière bizarre. 2.9.2. ZoneAlarm Je vais chercher ZoneAlarm sur Internet sur leur site. Je prend le plus simple, gratuit et l'installe. Attention, il est en anglais. J'exécute donc le programme d'installation en cliquant sur le fichier. Peu de problèmes, la configuration se fait après l'installation. Directement, une fenêtre d'aide apparaît reprenant les différentes configurations à faire. Ceci ne tarde pas, directement un message d'alerte Ca commence bien. Au moins, on se sent protégé. Après avoir accepter le message, je clique sur zonealarm et je me retrouve avec la fenêtre suivante. Blups SecuriteCopie.doc- Page 24 L'interface est nettement plus agréable que celle de Symantec. Deux programmes tentent d'accéder sur Internet: le firewall de Symantec (tiens donc) et Internet Explorer que je viens de démarrer. Avec les flèches, j'autorise Explorer et Symantec à passer sur Internet. La croix rouge permet que le firewall l'accepte chaque fois. Ouf. Reprenons les boutons. Le bouton Unlock – Lock affiche l'état de sécurité. Si le lock est branché, plus moyen de se connecter (sauf le Pass lock ci-dessous. Le bouton STOP permet de bloquer toutes les connections en cas de problème. Alerts donne la liste des dernières alertes. Lock permet de bloquer l'activité (enable) après 10 minutes par exemple, bref blocage complet. Security permet de modifier les paramètres de sécurité. En appuyant sur le bouton Advanced, vous pouvez rajouter des PC connectés sur le réseau pour qu'ils puissent accéder à votre PC. En effet, Zonealarm bloque également le trafic interne Pour la configuration, veillez par exemple à autoriser les DNS primaires et secondaires fournis par votre fournisseur d'accès (security -> advanced). Une version PRO de ZoneAlarm (et payante) permet l'utilisation dans un réseau interne SecuriteCopie.doc- Page 25 2.9.3. La solution du routeur avec firewall intégré. Elle est plus chère, mais permet de bloquer tout, en plus de permettre le partage des connexions. Je vous passe la configuration du routeur et du modem RJ45 ADSL. Ils dépassent le cadre de ce cours. Les paramètres sont nettement plus professionnels puisqu'ils incluent la protection contre les DoS (les attaques massives), empêche carrément toute transaction venant d'Internet et ne répond pas aux attaques de type ping (détection de l'adresse TCP/IP), une commande de base dans le cas des scannage, et permet de détecter et d'interdire les messages TCP/IP incomplets qui servent à se faufiler sur les réseaux. 2.9.4. Conclusion Bref, chaque solution est spécifique. Symantec n'embête personne et propose quelques outils intéressants (blocage des pubs, contrôle parental). ZoneAlarm est gratuit, plus difficilement paramétrable, mais semble nettement plus professionnel pour les indépendants et petites installations réseaux, mais il est en anglais.Par exemple, une commande tracert ou ping n'est pas détectée par Symantec, mais ZoneAlarm la détecte. La solution Routeur Firewall, outre l'installation proprement dite du routeur qui n'est pas à la portée de tout le monde, est la plus efficace à condition qu'elle soit correctement paramétrée. Le prix de cette dernière solution est nettement plus onéreuse puisqu'elle nécessite déjà un modem ADSL en RJ45. En plus, si vous mettez toutes les protections possibles, le temps de chargement est nettement ralenti Une remarque, voici le type de message renvoyé par le firewall hardware. Tue May 07 07:58:44 2002 Tue May 07 08:01:50 2002 Tue May 07 08:02:44 2002 Tue May 07 08:03:50 2002 Tue May 07 08:04:44 2002 Tue May 07 08:05:50 2002 Tue May 07 08:07:50 2002 - policy rule - tcp policy rule - tcp policy rule - tcp policy rule - tcp policy rule - tcp policy rule - tcp policy rule - tcp [wan,213.36.127.59,192.168.1.152:1371] [wan,213.36.127.240,192.168.1.152:1397] [wan,213.36.127.59,192.168.1.152:1371] [wan,213.36.127.240,192.168.1.152:1397] [wan,213.36.127.59,192.168.1.152:1371] [wan,213.36.127.240,192.168.1.152:1397] [wan,213.36.127.240,192.168.1.152:1397] - [discard] - [discard] - [discard] - [discard] - [discard] - [discard] - [discard] Remarquez qu'il insiste Tue May 07 08:54:32 2002 Tue May 07 08:56:32 2002 Tue May 07 08:57:37 2002 Tue May 07 08:59:37 2002 Tue May 07 09:00:32 2002 Tue May 07 09:00:44 2002 - policy rule - tcp policy rule - tcp policy rule - tcp policy rule - tcp policy rule - tcp policy rule - tcp [wan,213.36.127.240,192.168.1.152:1402] [wan,213.36.127.240,192.168.1.152:1402] [wan,213.36.127.59,192.168.1.152:1450] [wan,213.36.127.240,192.168.1.152:1442] [wan,213.36.127.240,192.168.1.152:1402] [wan,213.36.127.59,192.168.1.152:1450] - [discard] - [discard] - [discard] - [discard] - [discard] - [discard] Un peu plus tard ... Tue May 07 10:37:42 2002 Tue May 07 10:37:45 2002 - icmp attack - icmp icmp attack - icmp [wan,213.36.100.179,217.136.190.170:0] [wan,213.36.100.179,217.136.190.170:0] - [discard] - [discard] Nettement plus grave Sat Dec 21 20:12:49 2002 - tear drop attack - any [wan,192.9.200.32,217.136.155.185:0] - [discard] Les deux firewall software, lorsqu'ils étaient seuls n'avaient rien remarqué. SecuriteCopie.doc- Page 26 Quelques dernières remarques • Après quelques jours, j'ai viré Symantec. Il bloquait ma machine en permanence. • Quoique Symantec (entre autres) fasse grincer des dents, les anti-virus (notamment Norton Anti-virus de Symantec) détectent également les chevaux de trois (trojans). Le firewall ne détecte donc que les attaques d'autres trojans. • ICMP sont de simples pings. • Le fait que quelqu'un essaie d'accéder à un port ne veut pas dire que ce port est ouvert et qu'il pourra rentrer. En effet, pour rentrer, il faut que la partie serveur du trojan soit implantée dans votre ordinateur et que la partie client soit sur l'autre PC qui essaie d'attaquer. Bref, pour les amateurs, pas trop de panique. • Les ports visités ci-dessus ne sont même pas repris dans les listes des ports courants. • Quelques autres points de vues détectés avec un firewall (ZoneAlarm puisque Symantec crée ses propres règles de manière personnelle). o Expliquez-moi pourquoi Windows 2000 essaye de se connecter tout seul sur Internet? o Pourquoi le live Update de Symantec fait de même (dans ZoneAlarm, l'upgrade automatique peut être désactivé) Ceci ne sont que quelques tests effectués. Mais qui sait ce que ces 2 logiciels font effectivement sur INTERNET: simples informations, envoi de configurations de machines et utilisateurs, ... de futurs problèmes pour le respect de la vie privée. SecuriteCopie.doc- Page 27 3. Messages d'erreur en surfant Cette liste d'erreur internet n'est pas limitative, un code d'erreur peut également provenir de votre modem ou fournisseur d'accès. Cette page reprend la majorité des numéros d'erreurs renvoyés lors de la navigation (pages inaccessibles) ou lorsque vous vous connectez sur INTERNET. Code - numéro de Explications l'erreur 301 Document déplacé définitivement 302 Document déplacé temporairement, réessayez plus tard 400 Mauvaise requête 401 Serveur Web (ou page) non autorisé, mot de passe demandé 402 Accès au serveur payant 403 Serveur interdit (généralement en FTP, transfert de site) 404 Serveur ou fichier introuvables 407 Authentification proxy exigée 408 Lenteur du réseau, délai dépassé 409 Conflit 414 Fichier demandé trop long 500 Erreur sur le serveur, erreur de redirection du fichier htaccess pour les serveurs Apache 501 Programme absent 502 Mauvaise passerelle (gateway) 503 504 Service indisponible, serveur Internet trop sollicité. Attendez quelques dizaines de secondes et ressayez La passerelle met trop de temps à répondre 505 Version HTTP n'est pas reconnue SecuriteCopie.doc- Page 28 630 645 676 678 691 Problème de communication avec le modem téléphonique, autre application l'utilise, modem pas raccordé externe, ... Connexion: problème de paramétrage réseau TCP/IP Connexion: Ligne téléphonique occupée (modem), vérifiez le numéro d'appel de la connexion à distance Connexion: Dysfonctionnement téléphonique, généralement un problème de raccordement à la ligne téléphonique Nom d'utilisateur / mot de passe invalide lors de la connexion SecuriteCopie.doc- Page 29