SecuriteCopie

LA SECURITÉ
SecuriteCopie.doc- Page 1
1.
CONNEXION A DISTANCE PAR INTERNET, SECURITE ET COMMUNICATIONS ............................... 3
1.1. INTRODUCTION .................................................................................................................................................... 3
1.2. LES RISQUES ........................................................................................................................................................ 3
1.2.1. Les intrusions, sécurité des PC.................................................................................................................... 3
1.2.2. Les attaques par Déni de service (Denial of Service) ................................................................................. 4
1.2.3. Déni de service station (tear drop, new tear, boink, ...) .............................................................................. 4
1.2.4. Quelques précisions..................................................................................................................................... 5
1.3. CONNEXIONS INTERNET DE BASE. .................................................................................................................... 6
1.4. LES DIFFERENTS POINTS D'UNE CONNEXION / PARTAGE INTERNET PROFESSIONNEL. ........................................ 7
1.4.1. Partage de base ........................................................................................................................................... 7
1.4.2. Partage via un logiciel spécialisé................................................................................................................ 8
1.4.3. Partage via un routeur simple. .................................................................................................................... 8
1.4.4. Partage via routeur et firewall hardware.................................................................................................... 9
1.4.5. Le DMZ (DeMilitarized Zone)..................................................................................................................... 9
1.5. LES FIREWALL ................................................................................................................................................... 10
1.5.1. Introduction. .............................................................................................................................................. 10
1.5.2. Différences entre un firewall logiciel et hardware.................................................................................... 10
1.5.3. Les ports à ouvrir en TCP et en UDP, les plages d'adresses .................................................................... 11
1.5.4. Méthode de détection d'un firewall hardware et fonctionnalités............................................................... 11
1.6. L'ACCES A DISTANCE A UN RESEAU .................................................................................................................... 13
1.6.1. Prise de contrôle à distance et transferts de fichiers................................................................................. 13
1.6.2. Virtual Private Networks (VPN)................................................................................................................ 14
1.7. SAUVEGARDE SECURISEE VIA INTERNET............................................................................................................ 16
2.
LA SECURITE SUR INTERNET......................................................................................................................... 17
2.1. INTRODUCTION .................................................................................................................................................. 17
2.2. LES VIRUS .......................................................................................................................................................... 17
2.2.1. Les types de virus ...................................................................................................................................... 17
2.2.2. Les antivirus .............................................................................................................................................. 18
2.3. INTRUSIONS ....................................................................................................................................................... 19
2.4. SPYWARE, ADWARE ET DIALER .......................................................................................................................... 19
2.5. LES COOKIES ..................................................................................................................................................... 20
2.6. MICROSOFT ET QUELQUES AUTRES .................................................................................................................... 20
2.6.1. Les failles de sécurité. ............................................................................................................................... 20
2.6.2. Big Brothers. ............................................................................................................................................. 21
2.6.3. Anonyme sur INTERNET?......................................................................................................................... 21
2.7. LES ATTAQUES INTERNET DOS, TEAR DROP, .... ............................................................................................... 22
2.8. SOLUTIONS DE SECURITE: LES FIREWALL ........................................................................................................... 22
2.9. TESTS DE FIREWALL ........................................................................................................................................... 23
2.9.1. Symantec Internet security 2003................................................................................................................ 23
2.9.2. ZoneAlarm ................................................................................................................................................. 24
2.9.3. La solution du routeur avec firewall intégré. ............................................................................................ 26
2.9.4. Conclusion................................................................................................................................................. 26
3.
MESSAGES D'ERREUR EN SURFANT............................................................................................................. 28
SecuriteCopie.doc- Page 2
1. Connexion à distance par INTERNET, sécurité et
communications
1.1. Introduction
Ce chapitre traite de la communication et sécurité entre les ordinateurs. Le plus courant
concerne la connexion vers INTERNET (Firewall, VPN) mais également des prises de contrôle à
distance de PC ou de réseau à partir d'un ordinateur connecté à une ligne téléphonique ou via
INTERNET (partage de données), travail à distance, ...
Toutes ces connexions peuvent être traitées en hardware ou en software, les 2 possibilités
existent systématiquement. Nous verrons en détail les possibilités hardware.
1.2. Les risques
Un bref rappel sur les risques de sécurité (virus, hacking, ...). Une explication plus complète
sur les virus, adware, spyware, ... est reprise plus loin
Au niveau anti-virus Hardware, certains routeurs et VPN incluent un anti-virus interne.
D'autres appareils sont spécialisés: PANDA fabrique un modèle de ce type, le SYMANTEC
GATEWAY Security également (un autre).
L'avantage vient des mises à jour quotidiennes automatiques sur un seul noeud: le routeur
d'entrée / sortie de la connexion Internet vers le réseau interne. Lorsqu'un virus est détecté dans un
mail (quelque soit le type), le mail est directement renvoyé à l'expéditeur sans même passer sur le
réseau interne ou le PC du destinataire.
Le défaut reste les autres points d'entrée: disquettes, CD piratés, connexions à Internet via
d'autres points (modem du portable par exemple). Les spyware, adware, dealer, ... utilisant le port
80 (navigation), ils ne sont pas détectés par les firewall hardware, mais bien par les anti-virus
hardware.
1.2.1. Les intrusions, sécurité des PC
Les risques d'intrusions sont un sujet à la mode. Différentes méthodes d'intrusions vont être
examinées.
La première méthode consiste à injecter un programme dans votre PC (via un mail par
exemple). Ce programme serveur va réagir à toute demande d'un client (le programme de celui qui
essaye l'intrusion) via un port TCP ou UDP. Les ports sont spécifiques à chaque trojan (aussi appelé
cheval de Troie, backdoor). Comme ces programmes sont facilement téléchargeables sur Internet,
n'importe quel gamin est capable de les utiliser. Par contre, elle nécessite qu'un programme soit
implanté dans votre ordinateur ou un PC du réseau: si le logiciel client n'est pas implanté dans le
système, pas de risque.
La deuxième méthode utilise des failles de sécurité dans le fourbi Microsoft, que ce soit
dans le système d'exploitation Windows, dans Internet Explorer ou dans Outlook (toutes versions
confondues). Cette solution est plus réservée aux professionnels. Ceci a permis à un site de tests de
firewall d'ouvrir mon lecteur CD-ROM à distance. Avec un firewall software sur la station et le
réseau protégé par un firewall hardware, je me sentait pourtant plutôt en sécurité. La solution
consiste à suivre les SERVICE PACK de sécurité de Microsoft (quand les nouvelles versions
SecuriteCopie.doc- Page 3
n'ouvrent pas d'autres failles)
En troisième, de loin la plus sournoise, la méthode consiste à modifier des informations
dans la trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqué croit que les
informations proviennent effectivement du site demandé comme dans le schémas ci-dessous. Pour
parer à ces attaques, il faut impérativement que les trames soient toutes analysées avant la lecture
par le navigateur.
Les buts sont multiples: vols d'informations et dans de nombreux cas, utiliser cet ordinateur
comme relais pour d'autres attaques. La cible détecte alors l'attaque comme provenant du PC
"hacké".
1.2.2. Les attaques par Déni de service (Denial of Service)
Encore un problème relevant de la sécurité sur INTERNET. Ce type d'attaque consiste à
envoyer un maximum de requête sur un serveur web ou un routeur en un minimum de temps.
L'appareil ne parvenant plus à suivre craque littéralement.
La méthode consiste à envoyer des multitudes de paquets ICMP ("Internet Control Message
Protocol") echo-request en modifiant l'adresse source de chaque paquet. Les commandes envoyées
sont des multiples petits paquets de 64 Kb ou inférieur. La cible ne peut plus répondre aux
demandes de connexions car l'ensemble de la bande passante est limitée.
Ceci est la méthode du gamin gâté qui ne parvient pas à s'introduire dans un serveur, alors, il
le plante. Par contre, c'est aussi une méthode beaucoup plus professionnelle pour stopper des
serveurs Internet avec un maximum de commandes en même temps, le mieux reste d'utiliser un
maximum d'ordinateurs pour l'attaque en utilisant ceux infectés par un trojan.
1.2.3. Déni de service station (tear drop, new tear, boink, ...)
Les attaques de type Teardrop, Newtear, Boink, ... sont quasiment identiques au déni de
service ci-dessus sauf qu'elle ne s'attaque qu'aux ordinateurs (serveurs inclus) directement
connectés ou même via un routeur. Ce type d'attaque vise les système Windows 32 bits (Win 95,
98, Me, XP (Pro), NT et 2000) mais également les systèmes d'exploitation Linux inférieur à 2.0.32
(comme Linux n'est pas dans mes compétences, à vérifier). Apparemment, les Mac et systèmes
SecuriteCopie.doc- Page 4
Unix peuvent aussi être altérés par ces attaques. A part Windows 3.11 et DOS (mais comment aller
sur INTERNET en DOS?), tous sont donc visés. L'attaque ne se fait plus sur un serveur, mais sur
les stations connectées. Ce type d'attaque consiste à envoyer des packets TCP/IP qui se recouvrent
appelé OOB = Out Of Band). L'ordinateur cible tente de reconstruire les informations et finalement,
n'y arrivant pas, ceci provoque un plantage de la machine. En Windows, vous vous retrouvez avec
une belle fenêtre bleue et vous n'avez d'autres choix que de redémarrer la machine.
1.2.4. Quelques précisions.
Anonyme sur Internet, pas si sûr. Déterminer votre adresse IP fournie par le fournisseur
d'accès reste un jeu d'enfant. Un routeur protège votre adresse TCP/IP locale sur le réseau en
n'indiquant que l'adresse extérieure. Dans le cas d'un partage de connexion via les programmes
fournis avec les systèmes d'exploitation Microsoft, ce sont les adresses internes du réseau qui sont
directement détectées. Toute intrusion, attaque de tout type demande d'abord au "hacker" de
connaître l'adresse TCP/IP de la cible vis à vis d'INTERNET. Le sport pour lui est ensuite de
connaître les adresses internes des stations PC ou autres du réseau. Tant que l'adresse Wan
(Internet) est invisible, il ne peut rien. Forcément, elle est plus facile à détecter lorsque le réseau
local est raccordé par adresse TCP/IP fixe sur INTERNET.
Dans le même ordre d'idée, votre système d'exploitation et votre navigateur Internet sont
automatiquement envoyés par votre navigateur au site, idem pour la résolution de votre écran
(dimension et nombre de couleurs)
Les serveurs proxy sont des mémoires cache qui permettent d'accélérer les connexions. Le
mécanisme est simple, lorsqu'une page vient d'être lue, le proxy la garde en mémoire. Si une
demande sur cette page intervient rapidement, le proxy ne la télécharge pas d'INTERNET mais
directement de sa mémoire. En plus, il est plus difficile de vous suivre à la trace puisque vous n'êtes
pas toujours directement en contact avec les sites. Ces proxy peuvent être des boîtiers externes,
inclus dans un PC dédié du réseau local (sous Linux par exemple) ou directement chez le
fournisseur d'accès (à condition d'être configuré spécifiquement suivant les adresses fournies par
votre provider).
Les coockies sont de petits fichiers texte chargés sur votre PC. Ces cookies enregistrent vos
préférences. Ceci permet par exemple d'arriver directement sur la version française de Google.fr.
Pas bien dangereux, mais ces cookies incluent souvent des informations telles que mots de passe
(même s'ils sont souvent cryptés) ou la date de votre dernière visite sur un site. Quelques cookies
permettent de vous suivre à la trace sur divers sites.
Le NAT (Network Adress Translation) sert de translation entre l'extérieur du réseau local
(Internet) et les stations. Le routeur construit une table de correspondance d'adresses IP. De cette
manière, l'extérieur ne sait pas déterminer l'adresse interne d'une station. A la réception de données
par le routeur, celui-ci transfère les informations vers le véritable destinataire grâce à sa table.
SecuriteCopie.doc- Page 5
1.3. Connexions INTERNET de base.
Le partage d'une connexion INTERNET permet de connecter plusieurs ordinateurs reliés en
réseau TCP/IP simultanément avec un seul modem. Le partage professionnel se fait via un routeur,
mais des partages plus simples utilisent directement un modem relié sur un PC. Le modem peut être
normal, ISDN ou ADSL. De même, le type de modem peut être interne, externe série, externe USB
ou même dans certains modems ADSL, relié via à une carte réseau. Dans les trois premiers cas, le
partage peut se faire directement par le système d'exploitation (Windows 98 seconde édition,
Windows Millenium, Windows 2000 ou Windows XP). Dans le cas d'une liaison via carte réseau, le
partage peut se faire via un routeur ou via un logiciel de type WinGates. Ces logiciels assurent
également la sécurité des connexions. Dans ce dernier cas, le PC assurant le partage reçoit 2 cartes
réseau.
Dans le cas d'un partage simple via Windows, chaque ordinateur peut demander la connexion
Internet, mais elle ne peut être coupée que sur le PC connecté à Internet. Ceci ne pose pas de
problèmes en ADSL, mais attention aux communications téléphoniques en RTC ou ISDN.
Vous pouvez demander de couper la connexion INTERNET après un certain laps de temps
d'inactivité par la commande option Internet.
Sélectionnez la connexion (Ma connexion ci-dessous) et cliquez sur le bouton Paramètres.
Dans la fenêtre suivante, sélectionnez le bouton "Avancé".
Cochez la case Déconnecter si inactif pendant et tapez le nombre de minutes souhaitées.
Différents logiciels ou matériels vont néanmoins se connecter entre le réseau et INTERNET,
soit pour assurer la sécurité, soit pour assurer la vitesse de connexion. Ces appareils (logiciels)
assurent différentes fonctions de connexion.
SecuriteCopie.doc- Page 6
1.4. Les différents points d'une connexion / partage INTERNET
professionnel.
1.4.1. Partage de base
Avant de parler des appareils et solutions à mettre en oeuvre pour des connexions Internet
professionnelles, analysons les différents problèmes possibles. Ceci nous permettra à terme de
dessiner notre connexion plus facilement.
Dans le cas d'une connexion vers INTERNET, la première tâche est le partage. Ceci va
permettre à plusieurs utilisateurs de se connecter sur Internet en même temps (navigation, mail,
news, …). Ceci passe nécessairement par une installation réseau. Dans ce cas, un ordinateur ou un
appareil (généralement un simple PC sur lequel est connecté le modem) doivent servir de liaison.
Selon le schéma ci-dessus, chaque station possède sa propre adresse TCP/IP
(X.X.X.X.@station1 et X.X.X.X@station2). De même, le fournisseur d'accès fournit
automatiquement une adresse TCP/IP à la connexion.
Supposons un site, référencé par une adresse TCP/IP propre, par exemple 238.128.128.128
que nous dénommerons par X.X.X.X@site.
Lors de la demande d'affichage, la station 1 envoie à l'appareil de liaison son adresse propre
(pour la réponse) et l'adresse du site qu'elle veut afficher (X.X.X.X@site). Le fournisseur d'accès et
tous les composants du réseau Internet vont se débrouiller pour que les informations du site soient
renvoyées à l'adresse TCP/IP Internet fournie par le fournisseur d'accès (X.X.X.X.@ISP) qui les
renvoie à l'appareil de liaison. Celui-ci fera le transfert de sa propre adresse Internet vers l'adresse
privée de la station 1.
Le fonctionnement, quoique complexe de manière interne, n'est pas trop difficile à mettre en
oeuvre avec les logiciels actuels. Cette méthode est utilisée par le partage de connexion Internet
implantée dans Windows 98 SE, Millenium, 2000 ou XP. Cette solution n'est pas très sécurisée.
Chaque adresse des PC connectés est visible d'INTERNET. Cette pratique est utilisée pour de petits
partages de connexions INTERNET familiales en modem RTC ou en ADSL avec modem USB.
SecuriteCopie.doc- Page 7
1.4.2. Partage via un logiciel spécialisé.
Cette solution de partage INTERNET utilise un PC relais entre le réseau et INTERNET. Le
PC utilise 2 cartes réseaux. Une carte réseau est connectée vers le réseau interne, la deuxième carte
réseau est connectée à un modem Ethernet RJ45. Le logiciel peut être Wingate, quelques solutions
professionnelles (Symantec par exemple) ou une solution à base de Linux. Le PC relais doit rester
connecté pour que la connexion INTERNET fonctionne.
Le logiciel assure différentes fonctions: NAT (Network Adress Translation), proxy (cache) et
même firewall. Le firewall s'il est directement implanté (Linux) est de fonctionnalité identique à un
firewall hardware.Vous pouvez également installer sur ce PC relais un firewall software de type
ZoneAlarm Pro (la version gratuite ne fonctionne pas en réseau).
1.4.3. Partage via un routeur simple.
L'utilisation d'Internet est tout à fait transparente pour le réseau. Le routeur reste connecté en
permanence. Ceci cache le réseau interne (adresse des PC et périphériques) pour l'extérieur, mais
n'empêche pas les risques d'intrusion. En effet, à part les adresses cachées (NAT), les stations sont
directement connectées sur INTERNET. Un trojan sur une station communiquera à travers le réseau
de manière complètement transparente. Il est même probable que le hacker ne s'apercevra qu'il est
dans un réseau qu'au moment de la prise de contrôle du PC lorsqu'il aura accès à tous les partages
de dossiers et périphériques.
Ceci donne un semblant de sécurité, guère plus.
SecuriteCopie.doc- Page 8
1.4.4. Partage via routeur et firewall hardware.
Ce schéma représente presque la solution de sécurité idéale (le presque m'inquiète). Le
routeur et le firewall peuvent être inclus dans le même boîtier. Le modem peut être intégré dans le
routeur ou connecté entre celui-ci et INTERNET.
La sécurité ne repose pas sur le montage mais sur la manière de paramétrer le firewall. Ceci
est valable pour toutes les solutions de sécurité firewall.
1.4.5. Le DMZ (DeMilitarized Zone).
Ceci est une utilisation particulière des firewall. Elle est utilisée avec un hébergement sur un
serveur propre à l'entreprise ou en cas de leurre pour différentes attaques. Dans ce dernier cas, on
n’expose que le PC bastion. Son utilisation comme serveur proxy ou serveur de messagerie est
également utilisée.
Le firewall en contact avec Internet va laisser passer les informations sur le port TCP 80
(éventuellement 443) provenant de l'extérieur du site, ainsi que les informations provenant du site
interne vers Internet. Dans le cas d'un serveur Web, le premier firewall évite les attaques
extérieures. Les ports 20 et 21 par exemple pourront être fermés. Par contre, les informations
provenant de l'extérieur passeront par le firewall extérieur, puis par le server DMZ (cas d'un PC
bastion) puis par le deuxième firewall.
Ce n'est pas le niveau maximal de sécurité, mais le hacker se retrouve avec 2 voir 3 barrières
à ouvrir.
SecuriteCopie.doc- Page 9
1.5. Les Firewall
1.5.1. Introduction.
Les firewall protègent les installations informatiques des intrusions. Un firewall surveille les
communications d'un PC vers Internet et vice versa. Pour cela, il analyse, bloque ou autorise les
communications via les ports UDP et TCP.
Ceci est valable pour les connexions Internet, mais également entre différentes parties d'un
réseau interne. Une large partie des "intrusions" sont orchestrées de l'intérieur de l'entreprise.
Pensez par exemple à l'employé qui vient de recevoir son préavis, …
On retrouve 2 types de firewall: les firewall logiciels et les firewall matériels.
Le paramétrage des firewall logiciels ne fait pas partie de ce cours.
Dans les applications INTERNET, pour faciliter les communications entre applications
identiques, on utilise des ports tant en TCP qu'en UDP. Chaque port est spécifique à un type
d'application. La navigation se fait par le port 80 et les news par le port 119 par exemple. Le
paramétrage consiste à ouvrir des portes (ports) nécessaires aux applications normales en fonction
des adresses de destination IP (en sortie) ou d'émission (adresses des sites). Dès ce moment, il me
semble clair que toutes les autres doivent être fermées. Par définition, l'intrusion se fait toujours par
l'entrée la plus faible de la protection du réseau. Ceci est similaire à la sécurité d'un bâtiment. Cela
ne sert à rien de mettre des portes blindées partout, si la fenêtre de derrière reste ouverte en
permanence. Pour la liste des ports à ouvrir, référez-vous au cours connexion à INTERNET
1.5.2. Différences entre un firewall logiciel et hardware
Et non, les deux ne font pas exactement le même boulot. Dans un sens, ils sont
complémentaires. Pour rappel, installer 2 firewall logiciels est dangereux et peut rendre chaque
logiciel inefficace.
Un firewall logiciel vérifie et indique sur quels ports les programmes accèdent à INTERNET
depuis votre PC (en TCP et en UDP). De même, il annonce les ports sur lesquels rentrent (ou
tentent de rentrer) des applications sur votre PC. Dans ce sens, sauf mauvaise configuration, il est
efficace.
Par contre, il n'analyse pas les programmes courants (modifications des trames, ...), ni
n'analyse les défaut de sécurité du système d'exploitation (différentes failles de sécurité Microsoft
sur les systèmes d'exploitation, Internet Explorer, Outlook et même Office).
En vérifiant les programmes qui tentent des connexions Internet, ces programmes bloquent
les spyware et les adware. Malheureusement, cette solution bloque généralement également la
connexion INTERNET. La solution logicielle pour les enlever reste Lavasoft par exemple.
Un firewall software s'installe sur chaque PC (d'où un lourd travail d'administration), sur le
serveur ou sur des PC dédiés. En plus, ces logiciels reconnaissent rarement les adresses extérieures
(Internet) des adresses internes. Ces logiciels sont parfaits pour la détection des trojans. S'ils les
détectent, ils ne les suppriment pas. Ce rôle est dévolu aux anti-virus, même si les anti-virus ne
considèrent pas les adware et spyware comme nuisibles (ce sont des programmes commerciaux).
Un firewall hardware est placé entre INTERNET et le réseau. Dans ce sens, les intrusions
(ou tentatives) à l'intérieur du réseau ne sont jamais analysées. Même si un firewall hardware n'est
pas lié à Microsoft, ils ne protègent pas non plus des failles de sécurité des programmes et système
SecuriteCopie.doc- Page 10
d'exploitation. En analysant les trames de données, ils rejètent également les intrusions par
bricolage des adresses. Par contre, même si tous les ports non utilisés sont fermés, les programmes
qui utilisent les ports standards peuvent travailler sans problèmes. Un vers (trojan) qui utiliserait le
port 80 ne sera en aucun cas bloqué, il est considéré comme une application tout à fait standard. Les
spyware et adware utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall
hardware.
Les 2 protections ci-dessous sont généralement intégrées dans les firewall matériels :
•
Statefull Packet Inspection : Permet au firewall de comparer un paquet de données
entrant avec les paquets ayant précédemment été considérés comme "sains".
•
Content Filtering : Permet notamment de contrôler les accès au Web par des filtres
(basés sur des listes d'adresses Internet, des mots clés ou des plages horaires de
connexion).
Une sécurité optimale serait donc un firewall hardware entre le réseau et Internet et un
firewall logiciel sur chaque station. Néanmoins, les firewall internes dans le cas de réseaux lourds
pose des problèmes au niveau utilisateur. A la moindre alerte (même inutile de type DHCP sur le
port UDP 68), l'administrateur sera appelé (ou non ...) par l'utilisateur.
Actuellement différentes firmes fabriquent des cartes réseaux qui incluent un firewall
hardware.
1.5.3. Les ports à ouvrir en TCP et en UDP, les plages d'adresses
Chaque application est caractérisée par un port TCP et / ou UDP utilisé. Il est spécifique au
type d'application Ceci facilite les communications puisqu'une application de type navigation
utilisera d'office le port 80, que ce soit Microsoft Explorer, Netscape ou un autre. Les numéros de
ports (tant en TCP qu'en UDP) varient de 0 à 65535 (216). IP détermine l'adresse du site ou du PC
en communication. La combinaison port TCP/IP détermine donc le site et l'application.
1.5.4. Méthode de détection d'un firewall hardware et fonctionnalités
Les firewall analysent les trames, tandis que les firewall software analysent les applications.
Cette analyse hardware est effectuée par un logiciel interne. La première partie filtre les
combinaisons TCP IP pour envoyer ou non les informations vers le PC client du réseau. La
deuxième partie va vérifier si l'information est effectivement demandée par une station cliente en
analysant les connexions PC - site Internet.
La troisième application est appelée State Full Inspection. Ce terme est breveté par
Checkpoint (un des leaders de la sécurité Internet) qui fabrique des firewall software mais dont la
technologie est implantée dans divers firewall hardware, notamment ceux fabriqués par la firme
NOKIA. Le "State Full Inspection" est aussi appelé Firewall-1 ou à technologie de filtrage
dynamique. Le firewall détermine si le client est bien connecté (active) sur INTERNET au moment
de la réception du message. Pour cela, le firewall garde dans des tables de connexion les sessions
actives. Dans le cas contraire, le message est purement bloqué.
Les firewall peuvent inclure également différentes options tel que le proxy. Un proxy est un
espace disque dur sur lequel les pages couramment demandées sont stockées. Chaque fournisseur
d'accès (FAI) utilise un proxy pour les connexions. Lors d'une demande, le proxy vérifie si la page
n'est pas en mémoire. Dans le cas positif, la page est renvoyée à la demande sans téléchargement à
SecuriteCopie.doc- Page 11
partir du site. Ceci permet de gagner du temps lors des téléchargements. Cette solution est
également utilisée dans quelques firewall ou routeur. Si l'utilisateur n'est pas en contact direct avec
le site, son adresse IP ne pourra pas être analysée. Quoiqu'en disent certains sites, ce n'est pas
vraiment une sécurité puisque les adresses à hacker sont souvent déterminées par un scannage des
adresses sur INTERNET. Par contre, dans le cas des firewall qui ne renvoient pas les commandes
PING, ceci permet à l'attaquant de déterminer que l'adresse est effectivement utilisée si le proxy
n'est pas en fonction. Remarquez que l'utilisation ICQ ou MSN Messenger permet également de
déterminer votre adresse TCP/IP encore plus facilement, la liste apparaît sur le site.
Le filtrage de sites est implanté dans la majorité des firewall hardware. Ceci permet de
bloquer les accès sortant des adresses de sites ou même des adresses contenant un mot. Vous
pouvez par exemple bloquer les sites dont le nom inclus sex, rencontre ou KAZAA.
SecuriteCopie.doc- Page 12
1.6. L'accès à distance à un réseau
Cette application permet de se connecter à un réseau interne via une liaison téléphonique ou
par INTERNET.
1.6.1. Prise de contrôle à distance et transferts de fichiers.
Dans le chapitre précédant, nous avons vu que les trojans de type Netburst permettent de
prendre le contrôle à distance (entre autre) d'un PC via Internet. Cette solution semble facile mais
permet à d'autres de prendre le contrôle aussi. Cette solution est donc tout à fait à proscrire.
La solution la plus communément utilisée fait appel à des logiciels de type PC Anywhere qui
permettent de prendre la commande de PC via des modems analogiques ou ISDN, ou même l'ADSL
(Internet). Cette solution est souvent utilisée pour de petites infrastructures de type indépendant, ou
pour le dépannage des utilisateurs à distance dans les réseaux internes. De nombreuses tentatives
d'attaques par INTERNET viennent de ce logiciel. Le paramétrage de PC Anywhere permet de
changer le numéro de port pour l'accès à distance. Ce n'est pas la solution parfaite. En effet, pour
une prise de contrôle à distance, il faut le numéro de port et le programme client. En changeant le
numéro de port, l'administrateur suppose que le pirate ne pourra prendre le contrôle. De l'autre côté,
le pirate par scannage d'adresses sur tous les ports, reçoit les logiciels qui répondent (même mal) sur
un port. Il n'a plus qu'à essayer tous les programmes possibles sur ce port. La prise de contrôle se
fait également par mot de passe (nettement conseillé).
Une autre solution qui n'est utilisée que par certains programmes permet de mettre en
commun des ressources via l'accès réseau à distance.
Cette fonction nécessite l'installation d'un composant
additionnel de Windows: serveur d'accès réseau à distance
et permet l'utilisation de fichiers sur des disques partagés
via un modem (toujours RTC ou ISDN). La connexion pour
permettre l'entrée se fait également via un mot de passe et
le démarrage de ce serveur d'accès à distance via la partie
accès réseau à distance.
Certains programmes bureautiques (notamment
Works de Microsoft) incluent également des fonctions de
transferts de fichiers. Windows XP a également implanté
une fonction de prise de commande à distance, en espérant
qu'ici aussi il n'y ait pas de failles de sécurité.
SecuriteCopie.doc- Page 13
1.6.2. Virtual Private Networks (VPN)
Les solutions ci-dessus ne permettent pas directement de se "connecter à un serveur réseau",
mais de prendre le contrôle d'un PC qui lui se connecte au réseau. Ce sont des solutions logicielles.
Les VPN (pour Virtual Private Network) sont des appareils qui se connectent
physiquement sur INTERNET ou entre le réseau et le routeur suivant les modèles. Les dernières
versions des systèmes d'exploitation serveurs de Microsoft implantent des fonctionnalités
équivalentes.
Les VPN créent entre un ordinateur et le réseau interne une liaison sécurisée et cryptée pour
assurer le transfert des informations, appelée communément un tunnel. Lorsque la station demande
via Internet une connexion sur le réseau interne, les 2 appareils se communiquent une clé logicielle
qui servira au cryptage des informations. Le VPN crée alors une sorte de tunnel sécurisé sur
Internet qui empêche toute forme de piratage. Cette solution est la seule utilisable pour une
connexion via ADSL La connexion nécessite 3 choses:
•
Un logiciel particulier sur le client (Réseau privé virtuel installé comme composant de
Windows ou programme spécifique)
•
Un matériel hardware de type VPN relié entre Internet et le réseau d'entreprise
(éventuellement Windows 2000 ou XP)
•
Une adresse INTERNET TCP/IP fixe ou du moins connue au moment de la connexion.
Les deux premières contraintes semblent faciles. Nous reparlerons de l'appareil. La troisième
nécessite, soit un site INTERNET et donc un serveur propre relié sur INTERNET, même si la
connexion doit se faire sur un autre serveur ou un abonnement spécifique permettant d'avoir une
adresse INTERNET TCP/IP fixe. Dans le cas d'un abonnement ADSL normal, l'adresse change à
chaque connexion et au maximum après quelques dizaines d'heures suivant le fournisseur d'accès.
Les amateurs pourront néanmoins utiliser quelques solutions pour connaître l'adresse TCP/IP de la
connexion à un moment donné sur des sites spécifiques par exemple et la communiquer via
téléphone ou mail. Cette solution est peu envisageable pour une connexion 24h/24h.
On distingue plusieurs modèles de VPN. La majorité des modèles hardware permettent
uniquement un tunnel entre 2 installation réseau fixes. Ils ne permettent donc pas le travail à
domicile (quoique sous-entendent les publicités). Les modèles plus chers permettent également le
travail à distance. Le mode de cryptage peut être MPLS ou IP-Sec (IP Security). Le cryptage se fait
uniquement entre les deux VPN. Certaines méthodes de tunnel, notamment Over Ip (à la différence
de tunnel IP) permettent de faire transiter d'autres protocoles tel que IPX dans le tunnel.
Dans le cas de l'utilisation d'un VPN, vous ne pouvez pas sécuriser votre réseau en
empêchant le partage des ressources via TCP/IP. En effet, pour de petits réseaux, vous pouvez
implanter en parallèle avec TCP/IP les protocoles IPX ou Netbui et configurer le protocole TCP/IP
réseau sur la carte réseau pour qu'il ne permette pas le partage des ressources. Le VPN permet
d'utiliser à distances toutes les ressources du réseau (fichiers, applications et périphériques de type
imprimante) comme si vous étiez directement connectés sur le réseau.
Selon l'appareil (des solutions logicielles existent, notamment dans Win2000 serveur), le
VPN va effectuer plusieurs tâches comme la détection d'intrusions, la fonction firewall ou le scan
de virus.
Une passerelle (gateway) vers INTERNET (fonction de routeur INTERNET), une fonction
de firewall pour bloquer les intrusions, un anti-virus intégré et la fonction VPN pour créer le tunnel
Internet dont généralement le fonctionnement est conforme aux spécifications de cryptage IPsec
des stations clientes.
SecuriteCopie.doc- Page 14
Le VPN va fournir une adresse locale à un PC connecté sur INTERNET. Celui-ci va alors
automatiquement s'intégrer dans le réseau. Attention, le paramétrage de ce type d'appareil au niveau
VPN est généralement plus pointu puisqu'il permet par exemple d'accepter les données rentrantes
sur une adresse mais de refuser les entrées sortantes.
Lorsque tous les niveaux sont résolus, vous pouvez
directement relier deux réseaux internes via Internet. C'est
actuellement la seule solution viable (sans lignes totalement
dédiées et louées) pour ce genre d'applications.C'est
également la meilleure solution pour le télé-travail (le
travail à partir de son domicile).
SecuriteCopie.doc- Page 15
1.7. Sauvegarde sécurisée via Internet.
Cette méthode de backup pourrait être insérée dans la partie stockage et sauvegarde réseau,
mais utilise les techniques de connexions à distance. Le principe est de créer un tunnel Internet
entre votre serveur interne et un réseau distant constitué de serveurs, NAS ou de sauvegardes sur
bandes pour sauver vos données. Le principal avantage: vous ne vous préoccupez plus de vos
bandes, elles sont en principe en sécurité à l'extérieur de votre entreprise (un autre avantage). Le
programme de gestion sauve automatiquement les données importantes en les compressant et les
cryptant au préalable.
Différentes variantes de cette technique sont proposées. La première consiste à transférer
systématiquement le contenu du disque dur sur la sauvegarde Internet. Un petit rappel, les liaisons
ADSL les plus rapides tournent à 8 Mb/s (divisez par 10 pour retrouver une notation en byte ou
octet). Pour sauver un disque dur de 20 GB de données, il faut donc 20.000.000 / 800 = 25.000
secondes, soit près de 7 heures. Le retour se fait encore plus lentement, à 512 kb/s maximum pour
l'ADSL, soit 16 X plus lent. Pas très efficace.
La deuxième solution consiste à sauver sur différents supports les données de départ (CD,
DVD, bandes) et à ne sauvegarder que les dossiers importants ou que les fichiers modifiés via le
tunneling Internet. Cette méthode revient à une sauvegarde incrémentale ou différentielle avec leurs
défauts respectifs. En cas de problème, on rapatrie par véhicule la sauvegarde de base et on
récupère les fichiers sauvegardés plus tard. Ces systèmes peuvent sauver les données chaque jour
dans des dossiers différents ou dans le même dossier (en écrasant les dossiers les plus anciens. La
sauvegarde des données est compressée et cryptée au minimum à 128 bits, donc sécurisée et
pratiquement impossible à récupérer sans les différentes clefs. Au niveau SECURITE, cette solution
semble donc bonne.
Les défauts font néanmoins importants. La première vient de la sécurité des données (même
si elles sont cryptées) puisque les données sont sur un site qui ne vous appartient pas. Le deuxième
problème vient du débit de transfert des données en émission (même compressées) et encore plus en
réception. Comme le tunnelling nécessite un matériel ou un logiciel spécifique, vérifiez le coût
effectif de cette solution de sauvegarde peu orthodoxe. Ce principe ne fonctionne qu'avec des
serveurs réseaux travaillant en TCP/IP. Bref, pas forcément une solution intelligente pour la
sauvegarde d'un serveur complet mais une manière de ne plus s'encombrer de la tâche sauvegarde
pour de petites capacités.
Cette solution pourrait être également installée entre deux serveurs réseaux de la même
entreprise mais distants en utilisant une liaison VPN. Ceci réduit le coût du prestataire mais
demande des connexions Internet par IP fixes et n'est donc envisageable que pour les grosses
entreprises.
SecuriteCopie.doc- Page 16
2. La sécurité sur INTERNET
2.1. Introduction
La sécurité sur Internet est un sujet longuement discuté sur différents sites. Ce cours se veut
un résumé des différents risques et des solutions à apporter.
Pour les ordinateurs du coin, on retrouve tous types de problèmes liés à des virus ou des
"bestioles internet". Les sites ne sont pas non plus à l'abri. Quelques rappels, mi janvier 2003, une
attaque massive via une faille de sécurité des serveurs Windows 2000 à bien failli paralyser tout
INTERNET.Un autre exemple : les sites USERS de skynet ont eut droit à une attaque massive par
DOS (Deny Of Service) fin février 2003, rendant inaccessibles ces sites quelques heures.
2.2. Les virus
Premier risque: les virus.
Les nuisances effectuées par les virus vont de la suppression de fichier (et / ou leur envoi sur
des boîtes mail INTERNET) à l'effacement complet du disque dur. Ces derniers ont nettement
évolué. S'il suffisait de ne pas ouvrir de fichiers liés il y seulement quelques mois, le seul fait de
passer sur le message suffit à l'insérer en mémoire, du moins avec Outlook Express. Ce n'est pas
fini. Les virus actuels détectent l'installation postérieure d'un anti-virus et .. le mettent hors d'état de
nuire puis effacent immédiatement les données de votre ordinateur. Ceci explique qu'à pratiquement
tous les coups, il faille réinstaller Windows.
2.2.1. Les types de virus
Comme chacun sait, un virus est un programme dont le but est divers (c'est une manière de
voir les choses). Avec l'évolution, les virus modifient leur travail. Voici en gros les types de virus
selon leur méthode de travail.
•
Les virus de programmes. Ce sont les premiers virus apparus. La méthode de propagation est
de se "coller" sur un programme . En exécutant le logiciel infecté, le virus peut s'attaquer aux
autres programmes présents sur le disque dur. La finalité passe généralement par la destruction
des fichiers.
•
Les virus de boot. Ces virus infectent le secteur de démarrage (boot) des disquettes et du disque
dur. Pratiquement disparus, ces virus peuvent pratiquement tout faire puisqu'ils démarrent avant
le système d'exploitation et les anti-virus. Les destructions passaient par la remise à zéro
immédiate du disque dur. Une fonction dans le BIOS permet de prévenir en cas de modification
du boot d'un disque dur, même si cette fonction pose quelques problèmes lors de l'installation de
certaines versions de Windows.
•
Les virus de macro: Les documents Word et Excell peuvent inclure des macros. Une macro est
une programmation des documents de Microsoft. Ces virus se propagent donc non pas comme
un programme, mais bien à l'intérieur d'un document. Ces macros peuvent également
pratiquement tout faire: destructions de fichiers, effacement de la table de matière du disque
dur, ...
•
Apparus au milieu des années 90 avec INTERNET, les virus de mail dans le sens large
s'attaquent à votre carnet d'adresse pour infecter d'autres machines. Les destructions passent par
SecuriteCopie.doc- Page 17
l'effacement de fichiers à leur transfert vers d'autres boîtes de mail (avec une adresse de départ
généralement fausse pour le destinataire). Leur méthode de propagation va du fichier lié aux
écritures de type Java Script. Ces derniers ne sont plus des fichiers attachés. Le seul fait de
passer sur le mail avec la souris suffit à démarrer le virus.
•
Les virus de BIOS. Ces virus attaquent le BIOS en débutant un flashage de celui-ci. Comme le
flashage n'est pas correct, la carte mère est inutilisable sans changer directement la flash Rom.
Tous les Bios flashables incluent une fonction dans le BIOS qui permet d'empêcher une telle
manipulation. De plus, de nombreuse cartes mères incluent un pontage pour empêcher de
manière hardware cette fonction. Préférez toujours la manière hardware.
•
Les canulars ou hoax. Régulièrement, je reçois des alertes virus d'inconnus qui annoncent un
fichier inconnu dans Windows, virus non détecté par les anti-virus traditionnels. Avant d'effacer
le fichier, dites-vous qu'un virus non détecté par les principaux anti-virus, c'est un peu comme si
Gainsbourg et Renaud n'avaient jamais été détectés par les alcootests et vérifiez sur les sites des
éditeurs d'anti-virus. Le plus marrant, un message me signalait que Win.com (c'est à dire le
programme principal de Windows) était un virus non détecté par Norton Anti-virus. J'allais
répondre "EFFACE immédiatement le fichier", les systèmes d'exploitation de Microsoft sont
des virus hautement dangereux. Mais je me suis abstenu, un moment de bonté sans doute, …
2.2.2. Les antivirus
La seule méthode pour détecter et éliminer les virus est l'utilisation d'un anti-virus. Dans la
grosse majorité, c'est un logiciel installé sur chaque PC (station et serveur) qui scanne (analyse) les
fichiers transférés. Le logiciel lit les codes et tente de reconnaître la signature des virus qu'il
connaît. Ceci entraîne déjà quelques remarques.
•
La signature. La signature est le code (la programmation) du virus. Comme le nombre de
virus devient de plus en plus important et qu'éliminer de la liste les "anciens virus" serait
dangereux, le travail de comparaison entre sa liste de virus et le fichier analysé devient de
plus en plus lourd. C'est néanmoins la seule solution.
Les virus deviennent "mutants". Pour éviter cette détection, les virus changent de signature
en modifiant leur code de programmation en même temps que l'infection. Certains virus actuels se
coupent en plusieurs morceaux pour se reconstruire à la moindre occasion. Encore une difficulté de
plus pour les anti-virus.
•
La base de donnée. Pour détecter les nouveau virus, les logiciels anti-virus mettent à jour
leur base de données régulièrement. Sans cette mise à jour, l'utilisation de ces programmes
est pratiquement inutile. Actuellement, la majorité des mises à jour se font automatiquement
lorsque vous connectez votre PC sur INTERNET. Un programme détecte la connexion et se
branche automatiquement sur le serveur pour rechercher la dernière mise à jour possible.
Trois conditions doivent être remplies pour cela:
o le temps de connexion doit être suffisamment long pour la détection de connexion et
le chargement.
o les délais entre les disponibilités des mises à jour est de 1 semaine environ.
o l'abonnement doit être à jour. L'abonnement à la mise à jour dure généralement 1 an.
Passé ce délai, vous devez soit renouveler votre abonnement via INTERNET (avec
payement par carte de crédit), soit acheter la nouvelle version de l'anti-virus qui
reconduit votre abonnement d'un an.
Sans mises à jour, pas de protections.
•
Les acteurs du marché.
SecuriteCopie.doc- Page 18
Parlé de bon ou mauvais anti-virus est superflu. Il doit être à jour! Les 4 acteurs principaux
du marché sont Symantec (ancien NORTON), McAfee, Panda et CA. Ce dernier est réservé aux
installations professionnelles.
2.3. Intrusions
L'intrusion (ou hacking) consiste à entrer via une connexion distante sur un ordinateur ou un
serveur de manière illicite. Différentes méthodes d'intrusions sont utilisées.
La première méthode consiste à injecter un programme appelé trojan ou cheval de Troie ou
vers ou backdoor suivant la terminologie dans votre PC (via un mail par exemple). Ce programme
serveur va réagir à toute demande d'un client (le programme de celui qui essaye l'intrusion) via un
port TCP ou UDP. Les ports sont spécifiques à chaque trojan. Comme ces programmes sont
facilement trouvables sur Internet, n'importe quel gamin est capable de les utiliser en pratique, par
contre, elle nécessite qu'un programme soit implanté dans votre PC ou un PC du réseau. Bref, si la
partie serveur n'est pas implanté dans votre système informatique, pas de risque. Les trojans sont
détectés et supprimés par les anti-virus.
La deuxième méthode utilise des failles de sécurité dans le fourbi Microsoft, que ce soit dans
le système d'exploitation Windows, dans Internet Explorer ou dans Outlook (toutes versions
confondues). Une faille de sécurité est un bug dans le programme qui permet par exemple de
prendre le contrôle de votre PC à distance. Nettement plus costaud, cette solution est plus réservée
aux professionnels du piratage informatique. La solution consiste à suivre les SERVICE PACK de
sécurité de Microsoft (quand les nouvelles versions n'ouvrent pas d'autres failles).
En troisième, la méthode de loin la plus sournoise consiste à modifier des informations dans
la trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqué croit que les
informations proviennent effectivement du site demandé. Pour parer à ces attaques, il faut
impérativement que les trames soient toutes analysées avant la lecture par le navigateur.
Les buts sont multiples: vols d'informations et dans de nombreux cas, utiliser ce PC comme
relais pour d'autres attaques. La cible détecte alors l'attaque comme provenant du PC "hacké". Selon
la législation actuelle, c'est le possesseur du PC (donc vous) qui est responsable en cas de
détérioration.
2.4. Spyware, adware et dialer
Ce sont tous deux des programmes qui utilisent Internet Explorer pour exécuter différentes
tâches à titre commerciales. En aucun cas, ces types de programmes ne sont considérés comme
des virus. Ils ne sont donc ni détectés, ni supprimés par un anti-virus!
Un adware se contentent d'afficher des bannières de pub sur votre écran. Les pubs sont
renouvelées à chaque connexion. En effet, le programme se connecte automatiquement sur son site
personnel pour récupérer de nouvelles publicités. Dans le cas où vous ne vous connectez pas, il
affiche quand même à intervalle régulier les publicités chargées lors des précédentes connexions.
Un spyware est également lié au marketing et similaire à un adware. A chaque connexion, il
se branche directement sur son site personnel. A partir de là, il peut communiquer ce qu'il veut. En
premier, il va vous suivre à la trace et communiquer les sites sur lesquels vous surfez. Ceci semble
peu important mais va définir vos habitudes et centres d'intérêt. Ceci est intéressant pour vous
envoyer des publicités ciblées. D'autres utilisations sont encore plus sournoises puisque quelques
uns de ces spyware analysent vos documents personnels et enregistrent même vos tapes claviers (et
peuvent les envoyer sur le site mère). C'est nettement plus facile pour connaître les mots de passe.
SecuriteCopie.doc- Page 19
Un dialer est un logiciel qui appelle un autre site via une connexion téléphonique avec
numéro surtaxé. Ils sont souvent utilisés par les sites pornographiques. La connexion se fait
automatiquement sans votre intervention.
Ces programmes sont généralement chargés avec un logiciel gratuit. C'est la manière pour le
programmeur de se faire payer indirectement par les utilisateurs. Utiliser un logiciel de peer to peer
pour charger des musiques via INTERNET et vous serez certains d'en installer une demi douzaine.
Pour rappel, le piratage est interdit, même si le prix des CD est exorbitant.
Une dernière petite nouvelle, un serveur qui tourne généralement à 2 % commence à tourner
à 50 % en permanence. Jusque là rien d'inquiétant puisque de nouvelles installations ont été
effectuées. Sauf qu'en coupant un seul PC, l'utilisation du serveur informatique retombe à 3 %.
Virer les spyware et le serveur revient à son niveau standard. L'explication, un des spyware passe sa
vie à analyser les fichiers sur les disques durs pour retrouver noms, adresses, adresses mail, …
Les solutions pour virer ces espions restent logiciels. Le principal s'appelle Ad-Adware. Cet
utilitaire gratuit va inspecter les programmes qui tournent dans votre machine, ceux sur votre disque
dur suivant une base de donnée reprenant ces bestioles.Ce programme se télécharge gratuitement
sur le site de Lavasoft
2.5. Les Cookies
Les cookies sont de petits fichiers textes transférés à partir de sites. Certains sont utiles.
Lorsque vous vous connectez la première fois sur Google.fr, vous pouvez choisir la langue. Lors de
votre prochain passage, la langue sera automatiquement utilisée. D'autres cookies sont liés aux
sondages et votes divers. Les informations sont gardées dans ces fichiers Cookies, reprenant votre
âge, pays, sexe. Ceci n'est pas bien dangereux puisque vous pouvez "inventer" les données. J'ai déjà
été référencé comme femme de 35 – 40 ans, universitaire BAC + 4 et … exploitant agricole. Ces
cookies permettent de faire des statistiques de visite lors de votre navigation sur certains sites. Par
contre, la troisième vous suit à la trace sur les sites et est nettement plus nocive.
2.6. Microsoft et quelques autres
2.6.1. Les failles de sécurité.
Les logiciels ne sont pas parfaits et quelques programmeurs doués utilisent les défauts pour
l'intrusion de virus ou intrusions. Les logiciels les plus souvent incriminés sont Windows, toutes
versions confondues. Internet Explorer et Outlook (express) font également partie des logiciels
possédant ces failles de sécurité. Anciennement, on appelait cela des bugs, mais par souci pour
l'utilisateur sans doute, le terme s'est assagi pour devenir faille de sécurité. Un peu comme "femme /
homme de ménage" est devenu "technicienne / technicien de surface", c'est uniquement du
vocabulaire. Ces défauts seraient couverts sous le terme "VICE caché" s'ils provenaient
d'entreprises autres que logicielles.
Pour contrer ces problèmes, Microsoft sort des mises à jour régulièrement, ce qui rassure les
utilisateurs sur les qualités du développement des logiciels Microsoft.
Ces failles de sécurité sont des moyens pour les pirates de s'introduire dans votre ordinateur
ou pour un virus de s'étendre. Utiliser un anti-virus à jour et un firewall ne suffit pas, il faut
régulièrement mettre à jour le système d'exploitation, Explorer, ... Même si Microsoft en profite
pour rajouter ses espions.
SecuriteCopie.doc- Page 20
2.6.2. Big Brothers.
Commençons par le virus / trojan Windows XP et Explorer 6.0. Ces deux "programmes" se
connectent à chaque fois sur Microsoft. Officiellement pour votre bien, mais on sait déjà que des
informations plus personnelles que votre numéro de série de logiciel est envoyé. En plus, Windows
XP permet de vous suivre à la trace lorsque vous naviguez sur le site de Microsoft et associé. Le
site associé se nomme MSN qui utilise Passport. En utilisant MSN, vos mails sont sur le site de
Microsoft. Jusque là, peu de différence avec les autres messageries par où transitent vos mails. Ce
qui est moins génial, c'est que tous les sites associés à Passport de Microsoft pour la vente par
correspondance vont pouvoir vous retrouver à la trace, soit avec la bénédiction de Microsoft, soit
par un petit spyware. Ceci devrait permettre d'envoyer sur les sites de vente par correspondance
votre carnet d'adresse.
Ceci n'a pas que des conséquences négatives. Le référencement de Windows et Office XP
devrait bloquer le piratage mais il continue dans certains cas. Avec SP1 pour Win XP et Explorer
6.0, Microsoft rajoute quelques petites fonctions supplémentaires dans l'art d'utiliser l'utilisateur. Le
but est de bloquer à terme les programmes via INTERNET qui ne sont pas en ordre de licence.
Désolé pour le revendeur informatique qui propose XP sans licence, mais les utilisateurs risquent de
se faire bloquer par simple navigation sur le site de Microsoft. Jusque là, rien à redire, Microsoft
protège ses intérêts et c'est normal. Par contre, le rêve de Microsoft n'est plus de vendre les logiciels
mais de les louer. Le but est de se débarrasser des utilisateurs qui préfèrent garder les anciennes
versions stables pendant des années plutôt que d'acheter les nouvelles versions buggées. D'autres
firmes utilisent déjà cette technique de location.
Reste le FUTUR au doux nom de PALLADIUM. Ce n'est pas à une discothèque TECHNO
que Microsoft fait référence mais bien à une extension de son futur système d'exploitation.
Palladium travaillerait en commun avec un circuit électronique inclus dans votre PC. Le principe est
simple, tout fichier ou programme suspect (lisez copié illégalement) sera immédiatement effacé par
le système d'exploitation ou à distance via INTERNET, sans autre forme de procès: qu'un MP3
chargé illégalement soit effacé, peu d'inconvénient. Ce qui est beaucoup plus discutable, c'est que
seul Microsoft décidera ce qui sera effacé. Il décide que l'enregistrement des premiers rires du petit
nourrisson ressemble à une chanson de JORDY et hop, effacé. Surtout qu'on doute que l'effacement
ne soit pas automatique et même aveugle. Supposons en plus qu'avec ce contrôle à distance bien
rodé, Microsoft puisse modifier à distance les programmes des concurrents ... Microsoft dément.
Les services spéciaux américains. Après l'attaque du 11 septembre, BUSH a directement
attaqué le monde INTERNET prévoyant des bases de données utilisateurs, une vérification totale
des courriers électroniques, … On en est encore loin, mais soyez certains que depuis plusieurs
années, tout message contenant les mots Président, bombe, attentat et quelques autres sont analysés,
la version suivante rajoutera probablement des noms plus personnels. Le but est de découvrir qui se
cache derrière une simple adresse INTERNET.
2.6.3. Anonyme sur INTERNET?
Pour le webmaster qui gère un site, quelques renseignements sur le visiteur ne sont
généralement pas de refus. Lorsque vous vous connectez sur INTERNET, le fournisseur d'accès
vous alloue une adresse IP dans la plage d'adresses qui lui est attribuée. Dans la majorité des cas,
elle est modifiée à chaque connexion. Lorsque vous vous connectez sur un site, il peut détecter
automatiquement cette adresse et ainsi connaître votre fournisseur d'accès et donc votre pays. De
même, votre navigateur, système d'exploitation, le nombre de couleurs affichées et la résolution de
l'écran.
Répondre à un petit sondage, voter pour le site machin-truc? Quelques renseignements
vous sont demandés. Ce sont généralement les mêmes: âge, profession et niveau d'études. Ces
SecuriteCopie.doc- Page 21
renseignements sont sauvegardés dans un cookies qui peut être lu par tous les sites utilisant le
système de vote. Ces renseignements sont somme toute anonymes puisque vous pouvez répondre
n'importe quoi. Comme le cookie est stocké sur l'ordinateur, les statistiques peuvent être fausses.
2.7. Les attaques Internet DOS, Tear Drop, ....
Ces attaques touchent plus particulièrement les sites ou les réseaux. Ces attaques ont pour but
de bloquer un PC en envoyant des informations incomplètes via INTERNET. Lorsque ce dernier
tente de reconstruire les informations, il vous met une belle fenêtre bleue avec un redémarrage
obligatoire.
2.8. Solutions de sécurité: les firewall
J'ai déjà parlé des virus, voyons maintenant les intrusions, spywares, … Pour les intrusions,
spyware et adware, le blocage passe par un firewall.
Il existe actuellement 2 types de Firewall, les firewall software et les firewall hardware. Ces 2
types de firewall ne font pas exactement le même boulot, la différence vient du mode de blocage
des intrusions.
Un firewall software individuel s'installe sur chaque PC (ordinateurs individuels, PC client
et serveur en réseau). Un firewall software va inspecter tous les programmes démarrés qui tentent
de se connecter sur INTERNET, et dans le cas général par un port (une sorte de porte spécifique à
chaque programme) sur tous réseaux INTERNET. Dans la majorité des cas, ces firewall vont se
configurer automatiquement pour la majorité des programmes. Première erreur.Par exemple, Norton
Personal Firewall va accepter toutes les connexions sur le site de Symantec. Jusque là, rien de grave
pour les mises à jours automatiques, mais rien ne garantit que des renseignements plus personnels
ne sont pas communiqués. De même, le firewall va accepter toutes les connexions vers les mises à
jour de Microsoft. Et là, les programmes de Microsoft font également de l'espionnage manifeste (cf.
ci-dessous).
ZoneAlarm est gratuit dans sa version de base mais ne se configure pas exactement de la
même manière, et permet même de bloquer ses propres visites sur son propre site (mises à jour).
Le choix est donc simple, soit le paramétrage en automatique avec les risques que le firewall
laisse passer quelques trucs vers l'extérieur, soit en manuel, et là c'est mieux ou c'est pire. Avec des
connaissances, on bloque les problèmes mais sans les connaissances, on peut tout laisser passer. Les
firewall logiciels vont détecter les spyware et les Adapazari qui utilisent un programme spécifique
pour renvoyer les informations à leur site, les trojans par leur port spécifique, et en général tous les
programmes qui se connectent sur les sites INTERNET sans y être invités. Les problèmes liés aux
failles de sécurité des programmes de Microsoft (système d'exploitation, Explorer ou Outlook) ne
sont en aucun cas vérifiés.
Par contre, les Firewall hardware permettent de bloquer (ou non) des ports. En paramétrant
correctement l'appareil, on fixe les portes à ouvrir. En plus, un véritable firewall Hardware va
inspecter les données transmises, détectant ainsi les tentatives d'intrusion par modification des
trames TCP/IP.Un firewall hardware va également bloquer toutes les attaques de types DOS (Deny
Of Service) et autres bricolages. Par contre, votre PC peut être complètement infesté de spyware,
comme ceux-ci passent par le port 80 (celui utilisé par Internet Explorer ou Netscape), il ne verra
rien du tout. De plus, les problèmes liés aux failles de sécurité de Microsoft (Windows, Internet
Explorer ou Outlook) ne seront pas forcément non plus détectés, sauf si la faille utilise un port
spécifique fermé.
La seule solution pour les failles de sécurité du fourbi Microsoft reste la mise à jour sur le
SecuriteCopie.doc- Page 22
site de Microsoft, avec les petits problèmes de suivi qui vont avec.
2.9. Tests de firewall
Après les explications ci-dessus, je vous propose d'analyser les solutions sur trois firewall:
intégré dans un routeur, Symantec ou ZoneAlarm. Ceci n'est pas un réel test de protection mais
plutôt ergonomique.
2.9.1. Symantec Internet security 2003
Ce logiciel inclus un anti-virus et un firewall personnel. L'installation nécessite Win 98
minimum et Internet Explorer 5.5 minimum. Comme la version 5.5 n'existe plus, reste à installer
Big Brothers de Microsoft et la version 6.0
Insérez le CD, lisez les documentations avec Acrobat Reader. Norton demande d'enlever tous
les autres anti-virus et firewall présents, on se demande pourquoi, mais cela marche tout de même
avec d'autres. Après quelques autres questions, l'installation commence. Sélectionnez également
l'installation anti-virus.
Première question importante, le programme demande
Ceci va permettre de bloquer l'accès à certains sites, notamment les sites pornographique ou
d'autres comme les sites de Chat. Si vous n'avez pas d'enfants, sélectionnez non, sinon. Sans enfants
dans la maison, je clique néanmoins sur Oui.
Exécuter live Update après l'installation permettra de mettre à jour les programmes et
protections. Après quelques clics suivants … le programme configure automatiquement le firewall.
Voulez-vous vous inscrire, j'ai coché non. Je vous passe le live Update, il est tout à fait identique à
celui de l'anti-virus. Je dois maintenant redémarrer le système. Jusque là, une installation classique.
La fenêtre suivante apparaît après le redémarrage. Elle va permettre de configurer ma
"sécurité"
.
Je m'arrête à l'accord parental. Celui-ci permet de créer des groupes (avec mots de passe
SecuriteCopie.doc- Page 23
spécifique) pour chaque catégorie d'enfants. Seul le superviseur peut affecter ces mots de passe. Il
est conseillé de changer directement le mot de passe à cet endroit. Norton recherche ensuite sur vos
disques les applications se connectant à Internet. Ca commence bien, le programme se plante. Je
pourrais de toute façon reprendre la configuration dans la barre des tâches.
Le dessin de planète est dédié au firewall. La croix signale que la protection est désactivée.
Je clique 2 fois dessus. La fenêtre ci-dessous apparaît.
En suivant toutes les lignes, je configure au niveau moyen la sécurité, sauf en "blocage des
publicités" ou je les stoppe. Par expérience, elle en stoppe environ la moitié. Enfin une partie
intéressante.
15 jours plus tard, le firewall personnel me signale aucune attaque. Quelle veine. Par contre
mes 2 PC sont bloqués régulièrement de manière bizarre.
2.9.2. ZoneAlarm
Je vais chercher ZoneAlarm sur Internet sur leur site. Je
prend le plus simple, gratuit et l'installe. Attention, il est en
anglais.
J'exécute donc le programme d'installation en cliquant sur
le fichier. Peu de problèmes, la configuration se fait après
l'installation. Directement, une fenêtre d'aide apparaît reprenant
les différentes configurations à faire. Ceci ne tarde pas,
directement un message d'alerte
Ca commence bien. Au moins, on se sent protégé. Après
avoir accepter le message, je clique sur zonealarm et je me
retrouve avec la fenêtre suivante. Blups
SecuriteCopie.doc- Page 24
L'interface est nettement plus agréable que celle de Symantec.
Deux programmes tentent d'accéder sur Internet: le
firewall de Symantec (tiens donc) et Internet Explorer que
je viens de démarrer.
Avec les flèches, j'autorise Explorer et Symantec à
passer sur Internet. La croix rouge permet que le firewall
l'accepte chaque fois. Ouf.
Reprenons les boutons. Le bouton Unlock – Lock
affiche l'état de sécurité. Si le lock est branché, plus
moyen de se connecter (sauf le Pass lock ci-dessous. Le
bouton STOP permet de bloquer toutes les connections en
cas de problème. Alerts donne la liste des dernières
alertes. Lock permet de bloquer l'activité (enable) après
10 minutes par exemple, bref blocage complet. Security
permet de modifier les paramètres de sécurité. En appuyant sur le bouton Advanced, vous pouvez
rajouter des PC connectés sur le réseau pour qu'ils puissent accéder à votre PC. En effet, Zonealarm
bloque également le trafic interne
Pour la configuration, veillez par exemple à autoriser les DNS primaires et secondaires
fournis par votre fournisseur d'accès (security -> advanced).
Une version PRO de ZoneAlarm (et payante) permet l'utilisation dans un réseau interne
SecuriteCopie.doc- Page 25
2.9.3. La solution du routeur avec firewall intégré.
Elle est plus chère, mais permet de bloquer tout, en plus de permettre le partage des
connexions. Je vous passe la configuration du routeur et du modem RJ45 ADSL. Ils dépassent le
cadre de ce cours. Les paramètres sont nettement plus professionnels puisqu'ils incluent la
protection contre les DoS (les attaques massives), empêche carrément toute transaction venant
d'Internet et ne répond pas aux attaques de type ping (détection de l'adresse TCP/IP), une
commande de base dans le cas des scannage, et permet de détecter et d'interdire les messages
TCP/IP incomplets qui servent à se faufiler sur les réseaux.
2.9.4. Conclusion
Bref, chaque solution est spécifique.
Symantec n'embête personne et propose quelques outils intéressants (blocage des pubs,
contrôle parental).
ZoneAlarm est gratuit, plus difficilement paramétrable, mais semble nettement plus
professionnel pour les indépendants et petites installations réseaux, mais il est en anglais.Par
exemple, une commande tracert ou ping n'est pas détectée par Symantec, mais ZoneAlarm la
détecte.
La solution Routeur Firewall, outre l'installation proprement dite du routeur qui n'est pas à la
portée de tout le monde, est la plus efficace à condition qu'elle soit correctement paramétrée. Le
prix de cette dernière solution est nettement plus onéreuse puisqu'elle nécessite déjà un modem
ADSL en RJ45. En plus, si vous mettez toutes les protections possibles, le temps de chargement est
nettement ralenti
Une remarque, voici le type de message renvoyé par le firewall hardware.
Tue May 07 07:58:44 2002 Tue May 07 08:01:50 2002 Tue May 07 08:02:44 2002 Tue May 07 08:03:50 2002 Tue May 07 08:04:44 2002 Tue May 07 08:05:50 2002 Tue May 07 08:07:50 2002 -
policy rule - tcp
policy rule - tcp
policy rule - tcp
policy rule - tcp
policy rule - tcp
policy rule - tcp
policy rule - tcp
[wan,213.36.127.59,192.168.1.152:1371]
[wan,213.36.127.240,192.168.1.152:1397]
[wan,213.36.127.59,192.168.1.152:1371]
[wan,213.36.127.240,192.168.1.152:1397]
[wan,213.36.127.59,192.168.1.152:1371]
[wan,213.36.127.240,192.168.1.152:1397]
[wan,213.36.127.240,192.168.1.152:1397]
- [discard]
- [discard]
- [discard]
- [discard]
- [discard]
- [discard]
- [discard]
Remarquez qu'il insiste
Tue May 07 08:54:32 2002 Tue May 07 08:56:32 2002 Tue May 07 08:57:37 2002 Tue May 07 08:59:37 2002 Tue May 07 09:00:32 2002 Tue May 07 09:00:44 2002 -
policy rule - tcp
policy rule - tcp
policy rule - tcp
policy rule - tcp
policy rule - tcp
policy rule - tcp
[wan,213.36.127.240,192.168.1.152:1402]
[wan,213.36.127.240,192.168.1.152:1402]
[wan,213.36.127.59,192.168.1.152:1450]
[wan,213.36.127.240,192.168.1.152:1442]
[wan,213.36.127.240,192.168.1.152:1402]
[wan,213.36.127.59,192.168.1.152:1450]
- [discard]
- [discard]
- [discard]
- [discard]
- [discard]
- [discard]
Un peu plus tard ...
Tue May 07 10:37:42 2002 Tue May 07 10:37:45 2002 -
icmp attack - icmp
icmp attack - icmp
[wan,213.36.100.179,217.136.190.170:0]
[wan,213.36.100.179,217.136.190.170:0]
- [discard]
- [discard]
Nettement plus grave
Sat Dec 21 20:12:49 2002 -
tear drop attack - any
[wan,192.9.200.32,217.136.155.185:0]
- [discard]
Les deux firewall software, lorsqu'ils étaient seuls n'avaient rien remarqué.
SecuriteCopie.doc- Page 26
Quelques dernières remarques
•
Après quelques jours, j'ai viré Symantec. Il bloquait ma machine en permanence.
•
Quoique Symantec (entre autres) fasse grincer des dents, les anti-virus (notamment Norton
Anti-virus de Symantec) détectent également les chevaux de trois (trojans). Le firewall ne
détecte donc que les attaques d'autres trojans.
•
ICMP sont de simples pings.
•
Le fait que quelqu'un essaie d'accéder à un port ne veut pas dire que ce port est ouvert et
qu'il pourra rentrer. En effet, pour rentrer, il faut que la partie serveur du trojan soit
implantée dans votre ordinateur et que la partie client soit sur l'autre PC qui essaie
d'attaquer. Bref, pour les amateurs, pas trop de panique.
•
Les ports visités ci-dessus ne sont même pas repris dans les listes des ports courants.
•
Quelques autres points de vues détectés avec un firewall (ZoneAlarm puisque Symantec
crée ses propres règles de manière personnelle).
o Expliquez-moi pourquoi Windows 2000 essaye de se connecter tout seul sur
Internet?
o Pourquoi le live Update de Symantec fait de même (dans ZoneAlarm, l'upgrade
automatique peut être désactivé)
Ceci ne sont que quelques tests effectués. Mais qui sait ce que ces 2 logiciels font
effectivement sur INTERNET: simples informations, envoi de configurations de machines et
utilisateurs, ... de futurs problèmes pour le respect de la vie privée.
SecuriteCopie.doc- Page 27
3. Messages d'erreur en surfant
Cette liste d'erreur internet n'est pas limitative, un code d'erreur peut également provenir de
votre modem ou fournisseur d'accès.
Cette page reprend la majorité des numéros d'erreurs renvoyés lors de la navigation (pages
inaccessibles) ou lorsque vous vous connectez sur INTERNET.
Code - numéro de
Explications
l'erreur
301
Document déplacé définitivement
302
Document déplacé temporairement, réessayez plus tard
400
Mauvaise requête
401
Serveur Web (ou page) non autorisé, mot de passe demandé
402
Accès au serveur payant
403
Serveur interdit (généralement en FTP, transfert de site)
404
Serveur ou fichier introuvables
407
Authentification proxy exigée
408
Lenteur du réseau, délai dépassé
409
Conflit
414
Fichier demandé trop long
500
Erreur sur le serveur, erreur de redirection du fichier htaccess pour les
serveurs Apache
501
Programme absent
502
Mauvaise passerelle (gateway)
503
504
Service indisponible, serveur Internet trop sollicité. Attendez quelques
dizaines de secondes et ressayez
La passerelle met trop de temps à répondre
505
Version HTTP n'est pas reconnue
SecuriteCopie.doc- Page 28
630
645
676
678
691
Problème de communication avec le modem téléphonique, autre
application l'utilise, modem pas raccordé externe, ...
Connexion: problème de paramétrage réseau TCP/IP
Connexion: Ligne téléphonique occupée (modem), vérifiez le numéro
d'appel de la connexion à distance
Connexion: Dysfonctionnement téléphonique, généralement un problème
de raccordement à la ligne téléphonique
Nom d'utilisateur / mot de passe invalide lors de la connexion
SecuriteCopie.doc- Page 29