6pages scu35int
Transcription
6pages scu35int
S É C U R I T É I N F O R M AT I Q U E numéro 35 S É C U R I T É juin 2001 D E S S S Y S T È M E D ’ T I O N I N F O R M A Bien fol qui s’y fie… Organisation de la SSI Agressions et pirateries informatiques n’ont jamais été si nombreuses, et bien fol est celui qui prétendrait, par des mesures préventives, y échapper totalement. Il n’est pas de prévention, de dissuasion, sans sanction des coupables… Encore faut-il pouvoir les identifier… et y être autorisé! De tout temps notre société a cherché l’équilibre entre la liberté individuelle et la é d i t o r i a l protection de la vie privée qu’elle suppose, d’une part, le pouvoir régalien d’inquisition, d’autre part: le débat sur les traces informatiques est de cet ordre-là. Je préconise, je prêche – mais après une référence à l’inquisition, ne me le reprochera-t-on pas? – pour la généralisation, dans tous les établissements de recherche d’une certaine dimension, d’une responsabilité centrale de la sécurité des systèmes d’information, rattachée, à l’image de ce qui se pratique dans l’administration, à l’échelon central de la sécurité de défense. Dans les établissements publics, le ministre de tutelle peut conférer à ce responsable le titre de fonctionnaire de sécurité des systèmes d’information disposant d’une autorité non seulement sur l’informatique, mais sur tous les systèmes d’information: téléphone (PABX), bureautique, intranets, etc. Ces responsables peuvent être alors délégataire du Haut Fonctionnaire de Défense pour certaines décisions d’essence étatique. S’ils disposent à leur tour d’un réseau de responsables de sécurité des systèmes d’information dans les services et laboratoires principaux de leur établissement, nous disposons alors solidairement d’un dispositif de sensibilisation, d’alerte, de correction des dérives, capable d’apporter des solutions préventives et de se mobiliser en cas d’accident ou d’agression. Actuellement, seuls les plus grands – et les plus prestigieux! – établissements se sont dotés de cette organisation: il n’est pas interdit aux autres de rejoindre le club… La notion de politique de sécurité, si elle est connue depuis longtemps des milieux de la défense, n’est que récemment passée dans le domaine civil. Les missions, droits et devoirs d’un RSSI n’ont ainsi jamais été définis dans la recherche et l’enseignement supérieur. D’où les nombreuses interrogations actuelles, les responsables informatiques des établissements se trouvant un beau jour affublés du titre de RSSI sans en connaître la teneur. Leur tâche est particulièrement difficile en raison de multiples facteurs: évolution rapide des technologies et des savoirs dans ce domaine, interrogations sur l’adaptation du droit à ces nouveaux concepts, manque de cohésion organisationnelle… Sur ce dernier point, nous pouvons apporter des améliorations si nous obtenons, comme le font certaines entreprises qui ont compris l’importance stratégique d’une politique de sécurité, que le RSSI soit rattaché au niveau de la direction de l’établissement. La problématique d’une définition d’un statut de RSSI n’est pas propre à notre ministère, et il est bien clair que toute l’administration est concernée. C’est donc un véritable besoin qui est actuellement exprimé, et ne doutons pas qu’une définition interministérielle puisse émerger en accord avec les textes réglementaires existants. dans l’enseignement supérieur Jean-Jacques Sussel L’organisation actuelle des compétences SSI au sein de la communauté « enseignement supérieur » repose sur une décision initiale du ministère (Direction de la recherche et des études doctorales), en 1992, invitant les présidents d’universités et les directeurs d’écoles d’ingénieurs à désigner dans leur établissement un correspondant de sécurité pour les systèmes d’information. Des courriers ultérieurs (95, 97, 98) confortèrent cette orientation, en précisant plus finement d’une part les préoccupations majeures en matière de sécurité informatique, et d’autre part les missions prioritaires des RSSI [Responsable Sécurité du Système d’Information]. La communauté des RSSI enseignement supérieur ■ • Environ 400 personnes (un titulaire et un suppléant par établissement), en lien direct avec les instances de direction de l’établissement et les services informatiques (CRI, SIG…) qui pourront vous communiquer leurs coordonnées. En cas d’urgence (incidents sérieux), vous pourriez avoir à contacter directement votre RSSI. Envisagez d’ores et déjà ce cas et identifiez-les en avance. • Deux listes de diffusion pour les échanges d’informations (voir http://www.cru.fr/securite/ldif.html ). • Une communauté animée par deux personnes de la cellule technique du CRU (Christian Claveleira,Jean-Paul Le Guigner),par la Direction de la recherche (Yves Maillaux) et le service du Haut Fonctionnaire Défense (HFD: Jean-Jacques Sussel, adjointe: Françoise Brouaye). • En relation directe avec le CERT-Renater pour la diffusion des avis de sécurité, la signalisation des incidents et le traitement ultérieur de ceux-ci. Missions du RSSI ■ Pour ses différentes missions, le RSSI rend compte au chef d’établissement – directement ou indirectement – via la direction des services informatiques et du réseau. Ses missions, dans les grandes lignes : • Coordonner, structurer la compétence et les actions en interne. Une personne à elle seule ne pouvant prétendre assurer la sécurisation correcte de l’ensemble du système d’information d’un établissement, le RSSI (avec l’aide de la direction) doit inciter à la mise en place d’un réseau de collaborateurs (correspondants de composantes, grands laboratoires, etc.) utilisant des moyens de communication rationnels et performants (listes de diffusion, site Intranet…). La sécurisation du SI est un travail d’équipe. suite page 2 CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE sécurité informatique juin 2001 - n° 35 • « Activer » le planning de mise en œuvre d’une réelle politique de sécurité. Elle concerne: – la sensibilisation, l’information, la formation : charte, cours, documentation; – la définition et la publication des règles à appliquer par tout utilisateur (personnel, étudiant) concernant les ressources matérielles et logicielles; – la mise en œuvre de la protection et de la surveillance des infrastructures et des services ; – la structuration de la réaction en cas d’incident, d’agression. • Agir en tant qu’interlocuteur du CERT-Renater et d’autres institutions nationales pour la diffusion des informations et la remontée des incidents. Voilà pour le côté disons « officiel », mais force est de constater une certaine divergence entre ces « vœux pieux » et la réalité vécue au sein de beaucoup d’établissements.Alors pourquoi? Plusieurs facteurs sans doute, mais deux principaux : – un déficit aigu en « bras » qui ne permet pas d’assurer dans de bonnes conditions (performance, fiabilité, sécurité) le déploiement de l’informatique et des réseaux. C’est le cas le plus préoccupant car, vu les priorités conférées aux établissements, les choix deviennent cornéliens ; – des moyens humains « raisonnables », mais un manque de soutien de la direction exacerbé par une culture « fédérative » des composantes, conduisant à un manque de structuration interne. C’est une situation à laquelle il est possible et recommandé de remédier rapidement, le « chacun pour soi » en matière de sécurité n’aboutissant qu’à de l’inefficacité et à un manque de rationalité. Pour « adoucir » le métier et venir en aide aux collègues ■ Les RSSI et les administrateurs rencontrent de multiples obstacles sur leur parcours quotidien pour la mise en œuvre d’une politique de sécurité digne de ce nom; ces difficultés sont répertoriées dans l’article de Jean-Claude Rioux ci-après, et dans celui de Franck Ollive qui sera publié en octobre prochain dans « Sécurité informatique ». En voici les majeures, accompagnées de messages en direction des administrateurs, de la direction et des utilisateurs : • Limite des droits d’action en matière de surveillance opérationnelle et d’intervention lors d’incidents. Bien prendre en considération la confidentialité des échanges et des fichiers. Des réflexions sont en cours (notamment au CNRS) afin d’élaborer des conseils pertinents, mais d’ores et déjà il est possible de dire : « attention, n’agissez qu’avec grande précaution : même une charte signée ne vous donne pas tous les droits ». Il est possible de détecter des incidents, des attaques, des malversations sans avoir à connaître les contenus. • Niveau structurel. Le meilleur tranquillisant : une organisation interne efficace pour asseoir les efforts de sensibilisation, formation, protection et réaction en cas d’incident, et donc un réseau de compétences soutenu par la direction pour une vraie cohérence des actions avec un rôle particulier reconnu aux RSSI. Nul ne préconise des disponibilités à plein temps dans chaque composante, chaque laboratoire ! Simplement initialiser la dynamique, la promouvoir et la faire accepter. Le site de l’enseignement supérieur sur la sécurité des systèmes d’information : http://www.cru.fr/securite • Niveau opérationnel. De grandes règles à appliquer (pourquoi ne le sont-elles pas encore ?) : – n’autoriser que certains flux (justifiés) vers et depuis l’Internet ; – toute machine devant être « visible » (joignable) de l’Internet doit être explicitement autorisée, avoir un responsable et un niveau correct d’administration ; – limiter au strict nécessaire le nombre de serveurs DNS, Messagerie, Web, FTP, etc. ; faire qu’ils ne proposent que peu de services et soient à jour des derniers correctifs ; – utiliser des antivirus à jour (automatiser le processus) ainsi que des « anti-SPYWARE » ; – consolidez la sécurité de vos navigateurs : méfiances des cookies, de Java, javascript. Naïf, me direz-vous ? Je ne le pense pas, ce sont des objectifs à votre portée. Des établissements ont adopté ces orientations et « vivent » sans perturbation revendicative. Si simplement ces conseils retenaient l’attention des uns et des autres, ils faciliteraient grandement la vie de certains, rationaliseraient les compétences et aboutiraient à une bien meilleure sécurité. Jean-Paul Le Guigner Responsable de la cellule technique CRU [email protected] Signaler les incidents de sécurité au CERT-Renater? Oui, mais lesquels ? À la lecture des statistiques du CERT-Renater (http://www.renater.fr/Securite/), on pourrait être étonné: dans la semaine du 30 mars au 5 avril 2001, 336 incidents de sécurité auraient été découverts, signalés et traités par le CERT. C’est-à-dire plus que pour l’année 1998 dans son ensemble, et plus également que le nombre d’incidents signalés durant le mois d’avril de l’année dernière. Peut-on en déduire que la communauté Renater est cent fois plus menacée et attaquée qu’il y a trois ans ? Heureusement non. L’explication de ce phénomène est plus complexe. Certes, plusieurs facteurs augmentent réellement la menace qui pèse sur les systèmes d’information reliés à Internet: d’une part, l’augmentation exponentielle des utilisateurs d’Internet a engendré une augmentation très sensible du nombre de pirates potentiels; d’autre part, la prolifération des sites Web proposant des « kits de piratage » clés en main ne rend plus nécessaire la connaissance technique pour les hackers en herbe. Nous estimons que, de ce fait, le nombre réel d’incidents de sécurité est environ doublé d’une année sur l’autre. Les autres raisons de l’augmentation drastique du nombre d’incidents traités sont beaucoup plus positives : il s’agit premièrement de la capacité des administrateurs des sites enseignementrecherche en France à détecter rapidement que le système d’information dont ils sont responsables est attaqué. Deuxièmement, le réflexe de déclarer au CERT les incidents découverts est désormais plus communément partagé. Le cercle vertueux du partage de l’information, du travail et de la transparence a donné aux services rendus par le CERT-Renater une véritable utilité et une réelle efficacité. Ainsi, il y a quelques années, le rôle du CERT se limitait souvent à constater les dégâts d’un piratage, à donner des conseils pour redémarrer l’activité de la machine concernée et à essayer de trouver des traces pour prendre contact avec la source de l’attaque. Désormais, grâce aux informations fournies par l’ensemble des correspondants sécurité, le CERTRenater peut également assurer un rôle beaucoup plus pro-actif et mieux éviter les incidents graves. Partant du principe qu’il vaut mieux prévenir que guérir, l’équipe a encouragé les correspondants sécurité à signaler non seulement les incidents « sérieux », tels que les compromissions, les serveurs FTP clandestins (warez), le relais de spam (courrier électronique de masse non sollicité) et les dénis de service, mais également les recherches de vulnérabilités comme les scans. suite page 6 2 sécurité informatique juin 2001 - n° 35 Connexion Internet: attention danger ! S E connecter actuellement sur l’Internet devient une opération à haut risque si l’on ne prend pas un minimum de précautions. Il suffit de voir les affaires médiatiques de plus en plus nombreuses ces dernières années. Se connecter sur Internet n’est pas une opération neutre, cela suppose l’utilisation de protocoles réseaux et ces protocoles fonctionnent dans les deux sens. Il faut comprendre que si vous êtes connecté à l’Internet, l’Internet est connecté à votre station. Les accès réseaux de votre connexion sont autant de portes ouvertes pour les pirates. Les milieux universitaires et de recherche, ouverts par définition, sont particulièrement visés en ce qui concerne les intrusions et tentatives, en constante augmentation. Cela n’arrive pas qu’aux autres… En tant que RSSI adjoint et travaillant depuis de nombreuses années sur la sécurité informatique, j’ai eu de nombreux appels à l’aide de la part de laboratoires piratés sur le campus, pour des audits d’intrusions et des conseils pour aider et remonter des stations piratées sévèrement. Au cours de l’année 2000, je peux citer des interventions majeures sur 25 sous-réseaux (un sousréseau pouvant regrouper plusieurs laboratoires, donc de nombreuses stations) sur le campus. Piratage sévère signifiant: intrusion avec récupération des droits du super utilisateur (tous les droits), installation d’entrées cachées (backdoors) pour s’introduire incognito sur la station,installation d’un sniffer (outil d’écoute réseau qui va récupérer les noms utilisateurs et les mots de passe associés), installation d’outils d’attaques pour pirater d’autres sites, installation d’un serveur ftp anonyme pour déposer des données illicites – et cela n’est que la partie émergée de l’iceberg. Les tentatives d’intrusions sont régulières et journalières, par des outils, « scanners », qui vont balayer un réseau, sous-réseau, à la recherche de stations vulnérables, et rentrer directement sur la station. Il est extrêmement facile de récupérer librement sur Internet des outils de piratage, et de les utiliser aisément, sans grande connaissance en informatique. Gare aux stations vulnérables, car il est difficile pour un administrateur réseau de déterminer le succès d’un scan même s’il le détecte! Gare à l’utilisateur avec une connexion permanente par le câble ou ADSL, cible de choix! Les protections réseaux mises en place par les administrateurs ne peuvent suffire, à moins de mettre un administrateur derrière chaque utilisateur. La sécurité informatique est une nouvelle façon de travailler, de vivre l’informatique, non seulement pour les administrateurs mais essentiellement pour l’utilisateur, qui devient un acteur principal : toute station devant être un minimum administrée. Les conséquences d’un piratage sont importantes et non neutres. Causes principales d’intrusions ■ Les causes principales d’intrusions que j’ai constatées (non exhaustif) : – non-application des correctifs (patch). La voie royale principalement pour les entrées super utilisateur (root) à distance ; – pauvreté des mots de passe ; nom de la station ou mot de passe identique au nom de l’utilisateur, voire à ses initiales ; – matériels et applications anciennes souvent ouvertes et non sécurisées. D’anciennes stations Sun sans fichier de mot de passe protégé (shadow password) par exemple. Sur des PC, versions d’antivirus obsolètes et base de signatures non mises à jour, entre autres ; – chercheurs se connectant d’un laboratoire à l’étranger et se faisant « sniffer » leurs mots de passe. Conséquences ■ L’argument rencontré fréquemment dans les laboratoires: « Ils ne font pas de dégâts,je n’ai rien à protéger… ». Il ne faut pas banaliser les piratages, les attaques se font de plus en plus destructives: disques durs inutilisables, destruction de données, de courriers; vol de thèses, vol de brevets; dépôts illicites par ftp de fichiers pornographiques (pédophilie), de fichiers de musique copiés illégalement (fichiers MP3), etc. Les laboratoires ont servi pour mener des « attaques par rebonds » vers des cibles externes (sites gouvernementaux américains par exemple) ou des « attaques détournées » (le laboratoire a une entrée sur un site convoité). Une intrusion a généralement pour but la recherche d’informations sensibles ou d’informations sur d’autres sites à pirater. Elle peut aussi avoir pour objectif de saboter des serveurs en les invalidant par des attaques DOS (Denial Of Service) ou DDOS (Distributed Denial Of Service). Ces dernières attaques sont devenues extrêmement fréquentes. Outre une perte de temps considérable pour tous (coupure du réseau, thésards en attente, séminaires compromis, etc.), se pose le problème de la responsabilité : votre disque dur peut servir de dépôt ou être utilisé à votre insu pour pirater d’autres sites, sans compter le fait que ce qu’il contient ne devienne secret de polichinelle… Pourquoi ? ■ Les quelques causes d’intrusions citées plus haut, hors comportement non sécuritaire de l’utilisateur ou de l’administrateur, découlent de systèmes et applications non conçus systématiquement de façon sécurisée. 3 Plus un système ou un protocole est populaire, plus il sera attaqué : par exemple, actuellement, Microsoft et Linux. Même un site protégé peut être mis en péril par un utilisateur qui va se connecter de chez lui (par un fournisseur d’accès, Wanadoo ou autre), de son laboratoire à l’étranger, etc. Il se fera pirater, voler son mot de passe ou ses droits, et c’est le loup dans la bergerie. Un administrateur – quand il y en a un –, débordé par définition (cas réels sur le campus), ne pourra avoir forcément la réactivité immédiate attendue dans un tel cas ; la sécurité est un travail à plein temps. Un utilisateur est en droit d’attendre que le système (ou l’application) soit en état de bon fonctionnement et correctement protégé. Mais il a aussi le devoir de ne pas le mettre en danger par laxisme ou par des comportements fautifs (c’està-dire contraires aux règles de déontologie). C’est très bien d’avoir une voiture récente,intégrant les dernières technologies en matière de sécurité; mais sans connaissance et respect du code de la route, sans un comportement conscient et responsable,il n’y a pas de sécurité possible! C’est un peu la même thématique en informatique. Ce comportement sécuritaire de tout un chacun est inhérent à une prise de conscience de cette nouvelle façon d’appréhender l’outil informatique. Il nécessite un minimum de précautions à prendre sous peine de devenir une cible ou un relais privilégié des pirates. Le minimum côté utilisateur ■ Il ne s’agit pas d’entrer ici dans des détails techniques, ni de donner une liste exhaustive d’outils divers, mais de proposer des pointeurs et des éléments de réponses simples à l’utilisateur (le terme « utilisateur » est générique, donc lire aussi « utilisatrice »), et d’éviter les types d’intrusions les plus fréquentes dans le milieu universitaire. L’argument rencontré fréquemment dans les laboratoires : « Je suis chercheur (chimiste, physicien,etc.) et cela ne me concerne pas,c’est une perte de temps, et c’est du ressort de nos informaticiens (quand il y en a) même si j’ai un PC ou un portable pour le bureau ou la maison. » Relisez bien tout ce qui précède, n’attendez pas d’être la victime d’un piratage pour mettre un minimum la main à la pâte et « perdez » un peu de temps avant et non après! Car cela coûte cher… Pour illustrer mes propos, mon conseil serait d’aller faire un tour sur : http://www.attrition.org/mirror/ attrition qui recense régulièrement des centaines de sites piratés. La consultation des statistiques du CERT sur http://rri.uhp-nancy.fr/securite/ index.html est aussi édifiante. NB: les informations recensées concernent uniquement les sites piratés qui ont remonté le problème. sécurité informatique Donc : • Mettre à jour votre Windows, particulièrement pour les mises à jour critiques (http://www.windowsupdate.com) ou menu démarrer et windows update. Appliquer les correctifs (patch) régulièrement et suivre les avis du CERT.Vous les trouverez classés sur http://rri.uhp-nancy.fr/ securite/index.html avec recherche possible par mot-clé. Il existe des sites du style www.bigfix.com assez sérieux qui analysent votre système et proposent les correctifs à appliquer : ce n’est pas l’idéal en matière sécuritaire de « déléguer », mais cela est peut-être un moindre mal en l’absence de compétences d’administrateur (évitez de faire tester la sécurité de votre PC par des sites dont vous n’êtes pas sûr du sérieux). • Avoir un antivirus récent qui détecte les chevaux de Troie, vérifie les fichiers attachés au courrier, et mettre à jour la base de signatures régulièrement. Cleaner est une application gratuite qui permet de détecter les fichiers infectés et les chevaux de Troie même présents en mémoire : http://www.moosoft.com. Certains anti-virus du style Viguard utilisent une autre méthode de détection et ne nécessitent pas de mise à jour des bases de signatures. En général, prendre le temps de lire la documentation ou le « help » pour le paramétrage correct! Il n’y a pas d’outils miracles, et l’efficacité d’un outil dépend de la personne qui s’en sert, et comment elle s’en sert; la configuration-paramétrage est l’étape la plus importante. Par défaut, un outil sérieux présente en général un niveau minimal de protection, mais qui n’est pas toujours suffisant. • Avoir absolument un pare-feu (Firewall) personnel qui permettra de filtrer vos communications et de se protéger contre les attaques réseaux.Un parefeu gratuit, efficace et pas trop compliqué est Zone Alarm: http://www.zonelabs.com (Attention: il existe une version professionnelle non gratuite, cliquer à gauche sur « Freedownload »). Vous trouverez en complément une documentation en français, des informations sur la configuration, un didacticiel et un manuel d’aide en français sur : http://websec.arcady.fr sous la rubrique « comment se protéger des hackers ». Les accès réseaux de votre connexion correspondent à différents services (telnet, ftp, le courrier, etc.) et le paramétrage consistera à filtrer ces différents numéros de port, donc d’ouvrir ou de fermer les services associés à ces numéros (par exemple votre navigateur utilise le port 80 pour le Web, ftp le port 21, telnet le port 23,le courrier les ports 25 et 110 pour les services SMTP et POP, etc.). Les ports laissés ouverts sont autant d’entrées pour les pirates; les ports à risque doivent être fermés. La configuration par défaut des pare-feu permet une utilisation normale sur Internet, mais il vaut mieux vérifier: vous trouverez toutes les informations sur Zone Alarm à l’adresse : http://websec.arcady.fr . • Ne pas réduire le niveau de sécurité de votre butineur, le paramétrer en invalidant Java, javascript, ActiveX. Cela peut parfois présenter quelques problèmes d’affichage sur certains sites ; il faut vraiment être sûr du site Web pour accepter les « applets » Java et contrôles activex, petits programmes servant le plus souvent à l’animation des pages Web. Ils sont en général détectés par les pare-feu, mais ceux-ci ne pourront différencier l’inoffensif du virulent. • Utiliser des connexions distantes (telnet, ftp, rlogin) sécurisées cryptées : SSH ou SSF, ce qui permettra d’éviter le « sniffing » de votre mot de passe.Je conseille SSF version francisée de SSH ; de plus vous avez une liste de diffusion en français pour les problèmes éventuels. Vous trouverez toute information concernant SSF/SSH sur : http://www.math.jussieu.fr/informatique/acces. html avec des documents en français sur l’utilisation et l’installation de SSF et le client SSF à installer sur votre PC. • Ne pas prendre un mot de passe trivial et ne pas l’enregistrer sur votre disque dur pour une connexion automatique, la gestion des mots de passe sur les systèmes Windows n’étant pas ce qu’elle devrait être. Vous trouverez un document sur le choix d’un mot de passe à l’adresse: http://www.cnrs.fr/Infosecu/MDP.pdf . • Ne pas laisser d’informations confidentielles sur votre disque (numéro de carte bancaire, mot de passe, etc.) et ne pas en transmettre sur le réseau (courrier, navigateur) à moins d’avoir sa station blindée, de bien connaître et d’utiliser le cryptage et les protocoles sécurisés. • Ne pas partager vos disques, imprimantes, ou au moins mettre un mot de passe sur ceux-ci. • Si vous avez quelques données confidentielles, au moins cryptez-les. Outre PGP Freeware sur : www.pgp.com/international/france/default.asp (pas trop conseillé), vous avez un logiciel en français et gratuit: Security Box sur : www.msi-sa. fr/sboxf/sbox_freeware. html pour PC et Mac. Un autre outil relativement simple d’utilisation est Krypto Zone sur www.protek-lab.net , pour Windows 9x/NT et Linux. Pour la messagerie, on peut créer des fichiers auto-décryptables que votre correspondant pourra lire avec le mot de passe que vous lui indiquerez (évidemment pas par courriel !). • Ne jamais fournir votre mot de passe (et votre login) à qui que ce soit, même à un fournisseur d’accès sous prétexte de relever vos différentes boîtes aux lettres par exemple. • Ne pas récupérer n’importe quoi n’importe où, au moins toujours passer le programme (même juin 2001 - n° 35 récupéré en courrier attaché) à un anti-virus récent et mis à jour régulièrement,de nombreux logiciels présentant des entrées cachées, des chevaux de Troie. Quel que soit le système, le constructeur a en général une page sécurité à consulter en priorité. Quel que soit le système, vous n’avez pas l’utilisation de toutes les applications, donc ne pas tout installer systématiquement; autant d’entrées éventuelles supprimées pour les pirates, autant de correctifs à ne pas installer sinon en priorité tout ce qui permet l’accès root, l’accès direct ou indirect administrateur. Se connecter sur Internet n’est pas sans danger, il est très facile de récupérer lors de votre connexion des informations sur votre système, vos logiciels, le degré de sécurité appliqué, vos habitudes de travail. Informations rapidement exploitées par les pirates en ce qui concerne la nonapplication des correctifs critiques. De même, se connecter sur Internet n’est pas anonyme, par les traces laissées à votre insu (nombreux sont les utilisateurs du campus se plaignant d’envois de courriers non désirés (spam), parce qu’ils ont laissé une adresse IP, un nom de login, une adresse courrier, lors de leur passage sur un site). Si vous voulez avoir une idée sur les informations que vous laissez sur Internet, allez sur : http://www. cnil.fr sous la rubrique « comment vous êtes pistés sur Internet », vous saurez tout sur les cookies. Un petit tour sur http://www.privacy.com est aussi édifiant. La récupération de logiciels gratuits (freeware) – et particulièrement les shareware (petite contribution à l’auteur) et les logiciels en démo – n’est pas sans incidence,dans la mesure où ils contiennent des espiongiciels (ou spyware) qui transmettent des informations (généralement cryptées) souvent à des fins publicitaires, et une désinstallation du logiciel ne supprimera pas forcément le spyware… Un utilitaire gratuit de type Ad-Aware (http:// www.lavasoft.de) permet de détecter et de supprimer ces espions, mais au risque que le logiciel ne fonctionne plus (à défaut, le désactiver temporairement au démarrage du PC). Vous trouverez des informations pertinentes sur les spywares (espiongiciels) à l’adresse : http:// websec. arcady.fr. Il existe des parades pour se protéger de la cyberdélinquance, mais à tout un chacun de les connaître et de les mettre en œuvre. En conclusion, de même que vous fermez votre porte à clé, fermez votre PC aux intrus. « PERDEZ » du temps AVANT et non APRÈS ! Jean-Claude Rioux Centre de Calcul Recherche et Réseau Jussieu Université Paris 6 [email protected] 4 sécurité informatique juin 2001 - n° 35 Sécuriser un serveur de listes de diffusion T OUT comme un serveur Web, un service de listes de diffusion constitue une des vitrines d’un service informatique et, à ce titre, il peut être particulièrement exposé aux malversations dans un environnement hostile. On s’attachera à protéger le serveur de listes contre : 1. les attaques classiques que tout serveur peut subir, 2. les envois pirates de messages dans des listes (spam), 3. la diffusion de virus, 4. les captures frauduleuses d’adresses e-mail. 500 400 300 200 VIRUS 100 0 1er trim. 2000 2e trim. 2000 3e trim. 2000 4e trim. 2000 1er trim. 2001 • Nombre de virus détectés (historique reconstitué pas les archives). Les attaques classiques ■ Comme pour tout serveur connecté à Internet, il faut appliquer l’arsenal classique (limitation des ports ouverts, patchs système, niveaux de versions à jour pour les applications, en particulier pour le courriel, etc.). Recommandation : installer ce service sur une machine dédiée, au moins sur une machine sans utilisateurs finaux. Cela est impératif si l’on souhaite authentifier certains utilisateurs du service de listes via HTTPS ou S/MIME. Les envois de spam dans les listes de diffusion ■ Actuellement, nous constatons tous que les dispositifs anti-spam sont d’une efficacité limitée. Pour certaines listes, la diffusion d’un spam à tous les abonnés est intolérable. Il faut donc protéger ces listes avec des moyens complémentaires par rapport à la protection mise en œuvre pour des boîtes aux lettres individuelles. Pour cela distinguer trois grandes familles de listes : 1. les listes de type « hot line » (exemple : [email protected]), destinées à recevoir des courriels d’une population souvent large. Elles n’ont que peu d’abonnés. Ne pas leur appliquer de protection particulière pour ne pas risquer le rejet de messages légitimes ; 2. les listes plus ou moins publiques ouvertes aux discussions. Limiter l’usage de ces listes aux abonnés est le moyen le plus efficace de bloquer le spam. Contrainte : le champ « From » de tout message devra être identique à l’adresse d’abonnement, sous peine de rejet ; 3. les listes modérées : tous les messages sont soumis aux modérateurs pour validation. Les modérateurs sont alors exposés au spam, ce qui peut devenir pénible. En outre, le risque n’est pas nul de valider accidentellement la diffusion d’un spam. Sympa permet de panacher ces méthodes en définissant : – des listes pour lesquelles les messages sont soumis au modérateur si l’auteur est abonné à la liste, rejetés sinon ; – des listes pour lesquelles les messages d’abonnés sont diffusés automatiquement, les autres étant soumis au modérateur. Ces protections reposent sur l’identification de l’auteur du message. Il existe deux méthodes assez communes à la plupart des serveurs de listes : – un simple test sur le champ « From » du message, en réalité peu fiable. Pour le moment, nous n’avons pas observé de tentatives d’usurpation de l’adresse électronique d’un modérateur de liste dans un but de diffusion. À notre avis, c’est une question de temps ; – beaucoup de serveurs comme Majordomo permettent une demande de confirmation par courriel avec allocation d’un identifiant unique pour l’opération. Sympa permet en outre de consolider cette authentification du « Sender » en vérifiant une éventuelle signature S/MIME. Dans le cas des listes de type 2, il faut empêcher les éventuels « spammeurs » de s’abonner. UNE ASTUCE CONTRE LE SPAM Nous utilisons l’adresse [email protected] dissimulée dans la page d’accueil de www.cru.fr pour alimenter une « black liste ». La méthode est très simple: poser une ancre de longueur nulle: <A HREF=mailto:[email protected]></A> Les robots qui scannent nos pages pour s’emparer des URL mailto: s’abonnent à leur insu dans notre « black list » et perdent donc le droit de ■ poster dans toutes les listes du CRU. Plusieurs solutions complémentaires sont disponibles : – d’abord, limiter la visibilité des listes existantes. Si une liste [email protected] est réservée aux utilisateurs d’un campus, essayer de ne pas la lister dans des pages Web accessibles au-delà du campus. Pour Sympa, le paramètre de liste « visibility » permet de préciser les adresses IP ayant le droit de « voir » chaque liste ; – ensuite, contrôler les abonnements. Nous recommandons de ne pas mettre en place les adresses d’abonnement automatique gérées par des serveurs comme Ezmlm ou Sympa ayant la forme <liste>-subscribe ou <liste>-join. Si un spammeur arrose ces adresses, il risque de s’abonner puis de diffuser dans une liste privée. Capture frauduleuse d’adresse électronique ■ Une des sources régulières de spam : les robots parcourant les pages Web à la recherche des URL « mailto : ». Deux usages en sont faits : vous envoyer du spam, et usurper votre adresse électronique pour envoyer du spam en votre nom. Bien entendu, les pages Web du service de listes n’échappent pas à la règle. Dans ces pages, on trouve de nombreuses adresses électroniques, en particulier : – les listes d’abonnés, – les adresses dans les archives, – les adresses des listes et celles des gérants de listes. Bien entendu, il convient de bien protéger les listes d’abonnés, avec accès presque toujours limité au propriétaire de la liste. Le point plus sensible concerne les archives Web. Certains serveurs cachent ou modifient les adresses électroniques non sans dégrader le service offert. Sympa ne montre les archives que si un « cookie » est présent (les robots de capture de courriels ne s’embarrassent pas des cookies). 5 sécurité informatique juin 2001 - n° 35 Suite de la page 2 EXPLOSION du nombre de virus en circulation dans l’ensemble des messages nous a contraints à mettre en place une solution anti-virus en amont du serveur de listes. En effet, si le serveur de liste est insensible aux virus en circulation, il en décuple l’impact en contaminant un grand nombre d’abonnés. À noter qu’un grand nombre de virus ont été diffusés du fait que le modérateur d’une liste a été lui-même « infecté ». Modérer une liste n’est pas une protection contre les virus. Interdire les attachements dans les listes de diffusion pourrait l’être, mais c’est une restriction inadmissible pour beaucoup d’utilisateurs. L’ L’installation du moteur de détection de virus Amavis directement dans le moteur SMTP, en amont du serveur de listes, serait une solution simple et assez radicale. Mais dans cette hypothèse, l’ensemble des messages seraient traités sans que cela soit toujours nécessaire. Cela concerne en particulier les rapports de « non-remise » beaucoup plus nombreux que les messages adressés à des listes. Notre expérience de cette configuration a conduit à l’écroulement du serveur. La solution que nous avons retenue est inspirée de celle proposée par Jacques Beigbeder (ENS) http://www.spi.ens.fr/beig/amavis/ . Sympa peut appeler un antivirus externe pour traiter les messages avant transmission aux abonnés ou modérateurs de listes. Cette tâche est appliquée ■ aux messages en spool et ne peut générer un pic de charge lors d’un pic de trafic. En outre, le fait que des archives de listes de diffusion soient indexées par des moteurs de recherche généralistes n’est pas sans danger. Avez-vous déjà essayé de rechercher votre adresse électronique dans un moteur puissant comme Google ? Ceux-ci permettent de retrouver et de mettre en relation un grand nombre de vos contributions dans des listes de diffusion, même si celles-ci sont très anciennes ou si vous avez utilisé votre adresse professionnelle pour des usages privés. Pour éviter cela : – interdisez l’archivage Web en dehors de votre service local (positionnez l’en-tête SMTP « Restrict : no-external-archive » dans les messages émis) ; – si vous ne pouvez bloquer les robots (cookie, « method=post » ou autre), pensez à la convention http « robot. txt » que certains robots respectent. À noter que Sympa permet de supprimer en ligne les messages dont vous êtes l’auteur et ceux des listes dont vous êtes propriétaire. Ce dispositif répond aux demandes d’exercice du droit de rectification des données nominatives. Enfin, en installant un certificat pour la liste, il devient possible de diffuser des messages cryptés. Conclusions ■ Un grand nombre de paramètres permettent de caractériser une liste de diffusion. Afin de maîtriser votre service de listes, créez quelques configurations types correspondant à vos différents usages; cela vous permettra de simplifier les opérations ultérieures de création de listes tout en améliorant 6 HTTPS ET S/MIME AU SECOURS DES LISTES DE DIFFUSION Sympa supporte l’authentification HTTPS et S/MIME, méthode configurable pour chaque opération. Ainsi, il est possible d’imposer une authentification forte basée sur un certificat x509 personnel pour toutes les opérations réservées aux « Listmasters » et celles réservées aux propriétaires de listes. Cet outil est une très bonne garantie quant à l’authentification des opérations privilégiées. ■ la qualité du service offert. Vous pouvez même pompeusement appeler cela votre « politique de listes de diffusion ». Au-delà de la protection informatique des données,il faut comme toujours éduquer les utilisateurs. Les abonnés ont fait de gros progrès,au moins dans nos communautés, mais le rôle de propriétaire et de modérateur de liste n’est pas clair pour tous. Aussi, définissez une charte à usage des propriétaires et des modérateurs de listes de diffusion, créez une liste de diffusion réunissant les propriétaires de listes, et mettez les règles d’usage du service de listes dans le message de bienvenue de celle-ci. Sensibilisez périodiquement les propriétaires de listes à leurs responsabilités. Rappelezleur les termes de la déclaration CNIL que vous n’avez pas manqué de faire, et donnez-leur l’habitude de traiter les difficultés des abonnés, par exemple ceux qui ne savent pas se désabonner. Serge Aumont Cellule technique CRU [email protected] Premièrement, le contact de l’administrateur d’une machine qui scanne permet souvent de sensibiliser un apprenti-pirate avant qu’il ne passe réellement à des activités plus gênantes. Deuxièmement, une machine qui scanne plusieurs réseaux (ce dont on peut se rendre compte lorsque plusieurs administrateurs signalent la même machine) est très souvent ellemême compromise et sert de base à de nouvelles attaques. L’analyse de ces machines permet souvent de découvrir un très grand nombre de machines vulnérables ou compromises. Enfin troisièmement, la consolidation de statistiques sur un grand nombre de sites permet de très bien se rendre compte des tendances, des recherches de vulnérabilités « à la mode » et de souligner pour les correspondants sécurité, dans les bulletins hebdomadaires, les failles à combler d’urgence et les connexions à surveiller. Nous aurons sans doute dans un proche avenir à automatiser au maximum le traitement de l’information extrêmement utile que représente la signalisation de ces scans et peut-être à modifier les procédures de déclaration de scans, mais en attendant, nous ne pouvons qu’inciter les administrateurs et les correspondants sécurité à déclarer les recherches insistantes de vulnérabilités, cela à l’adresse [email protected]. David Crochemore CERT-Renater [email protected] S É C U R I T É I N F O R M AT I Q U E numéro 35 S É C U R I T É juin 2001 D E S S S Y S T È M E D ’ T I O N I N F O R M A Sujets traités : tout ce qui concerne la sécurité informatique. Gratuit. Périodicité : 5 numéros par an. Lectorat : toutes les formations CNRS. Responsable de la publication : ROBERT LONGEON Centre national de la recherche scientifique Service du Fonctionnaire de Défense c/o IDRIS - BP 167. 91403 Orsay Cedex Tél. 01 69 35 84 87 Courriel : [email protected] http://www.cnrs.fr/Infosecu ISSN 1257-8819 Commission paritaire n° 3105 ADEP La reproduction totale ou partielle des articles est autorisée sous réserve de mention d’origine Conseil et coordination : CNRS - DIST - Jacqueline Leclère • Conception et réalisation : La Souris 01 45 21 09 61 Attention : épidémie ! L’utilité de signaler les scans au CERT-Renater n’est pas évidente a priori, car une recherche de vulnérabilité ne met pas en péril immédiat une des trois caractéristiques de la sécurité des systèmes d’information : confidentialité, intégrité et disponibilité. Cependant, la connaissance de ce genre d’information permet au CERT de jouer un triple rôle essentiel.