6pages scu35int

S É C U R I T É I N F O R M AT I Q U E
numéro 35
S É C U R I T É
juin 2001
D E S
S
S Y S T È M E
D
’
T I O N
I N F O R M A
Bien fol qui s’y fie…
Organisation de la SSI
Agressions et pirateries informatiques n’ont jamais été si nombreuses, et bien fol est celui qui prétendrait, par des mesures préventives, y échapper totalement.
Il n’est pas de prévention, de dissuasion, sans sanction des coupables…
Encore faut-il pouvoir les identifier… et y être autorisé! De tout
temps notre société a cherché l’équilibre entre la liberté individuelle et la
é d i t o r i a l
protection de la vie privée qu’elle
suppose, d’une part, le pouvoir régalien d’inquisition, d’autre part: le débat sur
les traces informatiques est de cet ordre-là.
Je préconise, je prêche – mais après une référence à l’inquisition, ne me le reprochera-t-on pas? – pour la généralisation, dans tous les établissements de
recherche d’une certaine dimension, d’une responsabilité centrale de la sécurité
des systèmes d’information, rattachée, à l’image de ce qui se pratique dans l’administration, à l’échelon central de la sécurité de défense. Dans les établissements publics, le ministre de tutelle peut conférer à ce responsable le titre de
fonctionnaire de sécurité des systèmes d’information disposant d’une autorité
non seulement sur l’informatique, mais sur tous les systèmes d’information:
téléphone (PABX), bureautique, intranets, etc. Ces responsables peuvent être
alors délégataire du Haut Fonctionnaire de Défense pour certaines décisions
d’essence étatique. S’ils disposent à leur tour d’un réseau de responsables de
sécurité des systèmes d’information dans les services et laboratoires principaux
de leur établissement, nous disposons alors solidairement d’un dispositif de
sensibilisation, d’alerte, de correction des dérives, capable d’apporter des solutions préventives et de se mobiliser en cas d’accident ou d’agression.
Actuellement, seuls les plus grands – et les plus prestigieux! – établissements se
sont dotés de cette organisation: il n’est pas interdit aux autres de rejoindre le
club…
La notion de politique de sécurité, si elle est connue depuis longtemps des
milieux de la défense, n’est que récemment passée dans le domaine civil. Les
missions, droits et devoirs d’un RSSI n’ont ainsi jamais été définis dans la
recherche et l’enseignement supérieur. D’où les nombreuses interrogations
actuelles, les responsables informatiques des établissements se trouvant un beau
jour affublés du titre de RSSI sans en connaître la teneur. Leur tâche est particulièrement difficile en raison de multiples facteurs: évolution rapide des technologies et des savoirs dans ce domaine, interrogations sur l’adaptation du droit
à ces nouveaux concepts, manque de cohésion organisationnelle… Sur ce dernier point, nous pouvons apporter des améliorations si nous obtenons, comme
le font certaines entreprises qui ont compris l’importance stratégique d’une
politique de sécurité, que le RSSI soit rattaché au niveau de la direction de l’établissement.
La problématique d’une définition d’un statut de RSSI n’est pas propre à notre
ministère, et il est bien clair que toute l’administration est concernée. C’est
donc un véritable besoin qui est actuellement exprimé, et ne doutons pas
qu’une définition interministérielle puisse émerger en accord avec les textes
réglementaires existants.
dans l’enseignement
supérieur
Jean-Jacques Sussel
L’organisation actuelle des compétences SSI au sein de
la communauté « enseignement supérieur » repose sur
une décision initiale du ministère (Direction de la
recherche et des études doctorales), en 1992, invitant les
présidents d’universités et les directeurs d’écoles d’ingénieurs à désigner dans leur établissement un correspondant de sécurité pour les systèmes d’information. Des
courriers ultérieurs (95, 97, 98) confortèrent cette orientation, en précisant plus finement d’une part les préoccupations majeures en matière de sécurité informatique,
et d’autre part les missions prioritaires des RSSI
[Responsable Sécurité du Système d’Information].
La communauté des RSSI
enseignement supérieur
■
• Environ 400 personnes (un titulaire et un suppléant par établissement), en lien direct avec les instances de direction de l’établissement et les services informatiques (CRI, SIG…) qui pourront vous
communiquer leurs coordonnées. En cas d’urgence (incidents
sérieux), vous pourriez avoir à contacter directement votre RSSI. Envisagez d’ores et déjà ce cas et identifiez-les en avance.
• Deux listes de diffusion pour les échanges d’informations (voir
http://www.cru.fr/securite/ldif.html ).
• Une communauté animée par deux personnes de la cellule technique
du CRU (Christian Claveleira,Jean-Paul Le Guigner),par la Direction de
la recherche (Yves Maillaux) et le service du Haut Fonctionnaire
Défense (HFD: Jean-Jacques Sussel, adjointe: Françoise Brouaye).
• En relation directe avec le CERT-Renater pour la diffusion des avis de
sécurité, la signalisation des incidents et le traitement ultérieur de
ceux-ci.
Missions du RSSI
■
Pour ses différentes missions, le RSSI rend compte au chef d’établissement – directement ou indirectement – via la direction des services
informatiques et du réseau. Ses missions, dans les grandes lignes :
• Coordonner, structurer la compétence et les actions en interne. Une
personne à elle seule ne pouvant prétendre assurer la sécurisation
correcte de l’ensemble du système d’information d’un établissement, le RSSI (avec l’aide de la direction) doit inciter à la mise en
place d’un réseau de collaborateurs (correspondants de composantes, grands laboratoires, etc.) utilisant des moyens de communication rationnels et performants (listes de diffusion, site Intranet…). La
sécurisation du SI est un travail d’équipe.
suite page 2
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
sécurité informatique
juin 2001 - n° 35
• « Activer » le planning de mise en œuvre d’une
réelle politique de sécurité. Elle concerne:
– la sensibilisation, l’information, la formation :
charte, cours, documentation;
– la définition et la publication des règles à appliquer par tout utilisateur (personnel, étudiant)
concernant les ressources matérielles et logicielles;
– la mise en œuvre de la protection et de la surveillance des infrastructures et des services ;
– la structuration de la réaction en cas d’incident, d’agression.
• Agir en tant qu’interlocuteur du CERT-Renater
et d’autres institutions nationales pour la diffusion des informations et la remontée des incidents.
Voilà pour le côté disons « officiel », mais force est
de constater une certaine divergence entre ces
« vœux pieux » et la réalité vécue au sein de
beaucoup d’établissements.Alors pourquoi? Plusieurs facteurs sans doute, mais deux principaux :
– un déficit aigu en « bras » qui ne permet pas
d’assurer dans de bonnes conditions (performance, fiabilité, sécurité) le déploiement de l’informatique et des réseaux. C’est le cas le plus
préoccupant car, vu les priorités conférées aux
établissements, les choix deviennent cornéliens ;
– des moyens humains « raisonnables », mais un
manque de soutien de la direction exacerbé
par une culture « fédérative » des composantes, conduisant à un manque de structuration interne. C’est une situation à laquelle il est
possible et recommandé de remédier rapidement, le « chacun pour soi » en matière de
sécurité n’aboutissant qu’à de l’inefficacité et
à un manque de rationalité.
Pour « adoucir » le métier
et venir en aide aux collègues
■
Les RSSI et les administrateurs rencontrent de multiples obstacles sur leur parcours quotidien pour
la mise en œuvre d’une politique de sécurité
digne de ce nom; ces difficultés sont répertoriées
dans l’article de Jean-Claude Rioux ci-après, et
dans celui de Franck Ollive qui sera publié en
octobre prochain dans « Sécurité informatique ».
En voici les majeures, accompagnées de messages en direction des administrateurs, de la
direction et des utilisateurs :
• Limite des droits d’action en matière de surveillance opérationnelle et d’intervention lors
d’incidents. Bien prendre en considération la
confidentialité des échanges et des fichiers.
Des réflexions sont en cours (notamment au
CNRS) afin d’élaborer des conseils pertinents,
mais d’ores et déjà il est possible de dire :
« attention, n’agissez qu’avec grande précaution : même une charte signée ne vous donne
pas tous les droits ». Il est possible de détecter
des incidents, des attaques, des malversations
sans avoir à connaître les contenus.
• Niveau structurel. Le meilleur tranquillisant : une
organisation interne efficace pour asseoir les
efforts de sensibilisation, formation, protection
et réaction en cas d’incident, et donc un
réseau de compétences soutenu par la direction pour une vraie cohérence des actions
avec un rôle particulier reconnu aux RSSI. Nul
ne préconise des disponibilités à plein temps
dans chaque composante, chaque laboratoire ! Simplement initialiser la dynamique, la
promouvoir et la faire accepter.
Le site de l’enseignement supérieur sur
la sécurité des systèmes d’information :
http://www.cru.fr/securite
• Niveau opérationnel. De grandes règles à
appliquer (pourquoi ne le sont-elles pas
encore ?) :
– n’autoriser que certains flux (justifiés) vers et
depuis l’Internet ;
– toute machine devant être « visible » (joignable) de l’Internet doit être explicitement
autorisée, avoir un responsable et un niveau
correct d’administration ;
– limiter au strict nécessaire le nombre de serveurs DNS, Messagerie, Web, FTP, etc. ; faire
qu’ils ne proposent que peu de services et
soient à jour des derniers correctifs ;
– utiliser des antivirus à jour (automatiser le processus) ainsi que des « anti-SPYWARE » ;
– consolidez la sécurité de vos navigateurs :
méfiances des cookies, de Java, javascript.
Naïf, me direz-vous ? Je ne le pense pas, ce sont
des objectifs à votre portée. Des établissements
ont adopté ces orientations et « vivent » sans perturbation revendicative.
Si simplement ces conseils retenaient l’attention
des uns et des autres, ils faciliteraient grandement la vie de certains, rationaliseraient les compétences et aboutiraient à une bien meilleure
sécurité.
Jean-Paul Le Guigner
Responsable de la cellule technique CRU
[email protected]
Signaler les incidents de sécurité
au CERT-Renater? Oui, mais lesquels ?
À
la lecture des statistiques du CERT-Renater (http://www.renater.fr/Securite/), on
pourrait être étonné: dans la semaine du
30 mars au 5 avril 2001, 336 incidents de sécurité
auraient été découverts, signalés et traités par le
CERT. C’est-à-dire plus que pour l’année 1998
dans son ensemble, et plus également que le
nombre d’incidents signalés durant le mois d’avril
de l’année dernière. Peut-on en déduire que la
communauté Renater est cent fois plus menacée et attaquée qu’il y a trois ans ? Heureusement non. L’explication de ce phénomène est
plus complexe.
Certes, plusieurs facteurs augmentent réellement
la menace qui pèse sur les systèmes d’information reliés à Internet: d’une part, l’augmentation
exponentielle des utilisateurs d’Internet a engendré une augmentation très sensible du nombre
de pirates potentiels; d’autre part, la prolifération
des sites Web proposant des « kits de piratage »
clés en main ne rend plus nécessaire la connaissance technique pour les hackers en herbe. Nous
estimons que, de ce fait, le nombre réel d’incidents de sécurité est environ doublé d’une
année sur l’autre.
Les autres raisons de l’augmentation drastique
du nombre d’incidents traités sont beaucoup
plus positives : il s’agit premièrement de la capacité des administrateurs des sites enseignementrecherche en France à détecter rapidement que
le système d’information dont ils sont responsables est attaqué. Deuxièmement, le réflexe de
déclarer au CERT les incidents découverts est
désormais plus communément partagé. Le
cercle vertueux du partage de l’information, du
travail et de la transparence a donné aux services rendus par le CERT-Renater une véritable
utilité et une réelle efficacité.
Ainsi, il y a quelques années, le rôle du CERT se
limitait souvent à constater les dégâts d’un piratage, à donner des conseils pour redémarrer
l’activité de la machine concernée et à
essayer de trouver des traces pour prendre
contact avec la source de l’attaque. Désormais, grâce aux informations fournies par l’ensemble des correspondants sécurité, le CERTRenater peut également assurer un rôle
beaucoup plus pro-actif et mieux éviter les incidents graves. Partant du principe qu’il vaut
mieux prévenir que guérir, l’équipe a encouragé les correspondants sécurité à signaler non
seulement les incidents « sérieux », tels que les
compromissions, les serveurs FTP clandestins
(warez), le relais de spam (courrier électronique
de masse non sollicité) et les dénis de service,
mais également les recherches de vulnérabilités comme les scans.
suite page 6
2
sécurité informatique
juin 2001 - n° 35
Connexion Internet: attention danger !
S
E connecter actuellement sur l’Internet
devient une opération à haut risque si l’on
ne prend pas un minimum de précautions.
Il suffit de voir les affaires médiatiques de plus en
plus nombreuses ces dernières années. Se
connecter sur Internet n’est pas une opération
neutre, cela suppose l’utilisation de protocoles
réseaux et ces protocoles fonctionnent dans les
deux sens. Il faut comprendre que si vous êtes
connecté à l’Internet, l’Internet est connecté à
votre station. Les accès réseaux de votre
connexion sont autant de portes ouvertes pour
les pirates. Les milieux universitaires et de
recherche, ouverts par définition, sont particulièrement visés en ce qui concerne les intrusions et
tentatives, en constante augmentation. Cela
n’arrive pas qu’aux autres…
En tant que RSSI adjoint et travaillant depuis de
nombreuses années sur la sécurité informatique,
j’ai eu de nombreux appels à l’aide de la part de
laboratoires piratés sur le campus, pour des
audits d’intrusions et des conseils pour aider et
remonter des stations piratées sévèrement.
Au cours de l’année 2000, je peux citer des interventions majeures sur 25 sous-réseaux (un sousréseau pouvant regrouper plusieurs laboratoires,
donc de nombreuses stations) sur le campus.
Piratage sévère signifiant: intrusion avec récupération des droits du super utilisateur (tous les
droits), installation d’entrées cachées (backdoors) pour s’introduire incognito sur la station,installation d’un sniffer (outil d’écoute réseau qui va
récupérer les noms utilisateurs et les mots de
passe associés), installation d’outils d’attaques
pour pirater d’autres sites, installation d’un serveur
ftp anonyme pour déposer des données illicites –
et cela n’est que la partie émergée de l’iceberg.
Les tentatives d’intrusions sont régulières et journalières, par des outils, « scanners », qui vont
balayer un réseau, sous-réseau, à la recherche
de stations vulnérables, et rentrer directement sur
la station. Il est extrêmement facile de récupérer
librement sur Internet des outils de piratage, et de
les utiliser aisément, sans grande connaissance
en informatique.
Gare aux stations vulnérables, car il est difficile
pour un administrateur réseau de déterminer le
succès d’un scan même s’il le détecte!
Gare à l’utilisateur avec une connexion permanente par le câble ou ADSL, cible de choix!
Les protections réseaux mises en place par les
administrateurs ne peuvent suffire, à moins de
mettre un administrateur derrière chaque utilisateur.
La sécurité informatique est une nouvelle façon
de travailler, de vivre l’informatique, non seulement pour les administrateurs mais essentiellement pour l’utilisateur, qui devient un acteur principal : toute station devant être un minimum
administrée.
Les conséquences d’un piratage sont importantes et non neutres.
Causes principales d’intrusions
■
Les causes principales d’intrusions que j’ai
constatées (non exhaustif) :
– non-application des correctifs (patch). La voie
royale principalement pour les entrées super
utilisateur (root) à distance ;
– pauvreté des mots de passe ; nom de la station
ou mot de passe identique au nom de l’utilisateur, voire à ses initiales ;
– matériels et applications anciennes souvent
ouvertes et non sécurisées. D’anciennes stations Sun sans fichier de mot de passe protégé
(shadow password) par exemple. Sur des PC,
versions d’antivirus obsolètes et base de signatures non mises à jour, entre autres ;
– chercheurs se connectant d’un laboratoire à
l’étranger et se faisant « sniffer » leurs mots de passe.
Conséquences
■
L’argument rencontré fréquemment dans les
laboratoires: « Ils ne font pas de dégâts,je n’ai rien
à protéger… ». Il ne faut pas banaliser les piratages, les attaques se font de plus en plus destructives: disques durs inutilisables, destruction de
données, de courriers; vol de thèses, vol de brevets; dépôts illicites par ftp de fichiers pornographiques (pédophilie), de fichiers de musique
copiés illégalement (fichiers MP3), etc. Les laboratoires ont servi pour mener des « attaques par
rebonds » vers des cibles externes (sites gouvernementaux américains par exemple) ou des
« attaques détournées » (le laboratoire a une
entrée sur un site convoité). Une intrusion a généralement pour but la recherche d’informations
sensibles ou d’informations sur d’autres sites à
pirater. Elle peut aussi avoir pour objectif de saboter des serveurs en les invalidant par des attaques
DOS (Denial Of Service) ou DDOS (Distributed
Denial Of Service). Ces dernières attaques sont
devenues extrêmement fréquentes.
Outre une perte de temps considérable pour
tous (coupure du réseau, thésards en attente,
séminaires compromis, etc.), se pose le problème
de la responsabilité : votre disque dur peut servir
de dépôt ou être utilisé à votre insu pour pirater
d’autres sites, sans compter le fait que ce qu’il
contient ne devienne secret de polichinelle…
Pourquoi ?
■
Les quelques causes d’intrusions citées plus haut,
hors comportement non sécuritaire de l’utilisateur ou de l’administrateur, découlent de systèmes et applications non conçus systématiquement de façon sécurisée.
3
Plus un système ou un protocole est populaire,
plus il sera attaqué : par exemple, actuellement,
Microsoft et Linux.
Même un site protégé peut être mis en péril par
un utilisateur qui va se connecter de chez lui (par
un fournisseur d’accès, Wanadoo ou autre), de
son laboratoire à l’étranger, etc. Il se fera pirater,
voler son mot de passe ou ses droits, et c’est le
loup dans la bergerie. Un administrateur – quand
il y en a un –, débordé par définition (cas réels sur
le campus), ne pourra avoir forcément la réactivité immédiate attendue dans un tel cas ; la
sécurité est un travail à plein temps.
Un utilisateur est en droit d’attendre que le système (ou l’application) soit en état de bon fonctionnement et correctement protégé. Mais il a
aussi le devoir de ne pas le mettre en danger par
laxisme ou par des comportements fautifs (c’està-dire contraires aux règles de déontologie).
C’est très bien d’avoir une voiture récente,intégrant
les dernières technologies en matière de sécurité;
mais sans connaissance et respect du code de la
route, sans un comportement conscient et responsable,il n’y a pas de sécurité possible! C’est un peu
la même thématique en informatique.
Ce comportement sécuritaire de tout un chacun
est inhérent à une prise de conscience de cette
nouvelle façon d’appréhender l’outil informatique. Il nécessite un minimum de précautions à
prendre sous peine de devenir une cible ou un
relais privilégié des pirates.
Le minimum côté utilisateur
■
Il ne s’agit pas d’entrer ici dans des détails techniques, ni de donner une liste exhaustive d’outils
divers, mais de proposer des pointeurs et des éléments de réponses simples à l’utilisateur (le terme
« utilisateur » est générique, donc lire aussi « utilisatrice »), et d’éviter les types d’intrusions les plus
fréquentes dans le milieu universitaire.
L’argument rencontré fréquemment dans les
laboratoires : « Je suis chercheur (chimiste, physicien,etc.) et cela ne me concerne pas,c’est une
perte de temps, et c’est du ressort de nos informaticiens (quand il y en a) même si j’ai un PC ou
un portable pour le bureau ou la maison. »
Relisez bien tout ce qui précède, n’attendez pas
d’être la victime d’un piratage pour mettre un
minimum la main à la pâte et « perdez » un peu de
temps avant et non après! Car cela coûte cher…
Pour illustrer mes propos, mon conseil serait d’aller
faire un tour sur : http://www.attrition.org/mirror/
attrition qui recense régulièrement des centaines
de sites piratés. La consultation des statistiques du
CERT sur http://rri.uhp-nancy.fr/securite/ index.html
est aussi édifiante.
NB: les informations recensées concernent uniquement les sites piratés qui ont remonté le problème.
sécurité informatique
Donc :
• Mettre à jour votre Windows, particulièrement
pour les mises à jour critiques (http://www.windowsupdate.com) ou menu démarrer et windows update. Appliquer les correctifs (patch)
régulièrement et suivre les avis du CERT.Vous les
trouverez classés sur http://rri.uhp-nancy.fr/
securite/index.html avec recherche possible
par mot-clé.
Il existe des sites du style www.bigfix.com assez
sérieux qui analysent votre système et proposent les correctifs à appliquer : ce n’est pas
l’idéal en matière sécuritaire de « déléguer »,
mais cela est peut-être un moindre mal en
l’absence de compétences d’administrateur
(évitez de faire tester la sécurité de votre PC
par des sites dont vous n’êtes pas sûr du
sérieux).
• Avoir un antivirus récent qui détecte les chevaux de Troie, vérifie les fichiers attachés au
courrier, et mettre à jour la base de signatures
régulièrement. Cleaner est une application
gratuite qui permet de détecter les fichiers
infectés et les chevaux de Troie même présents
en mémoire : http://www.moosoft.com. Certains anti-virus du style Viguard utilisent une
autre méthode de détection et ne nécessitent
pas de mise à jour des bases de signatures.
En général, prendre le temps de lire la documentation ou le « help » pour le paramétrage
correct!
Il n’y a pas d’outils miracles, et l’efficacité d’un
outil dépend de la personne qui s’en sert, et
comment elle s’en sert; la configuration-paramétrage est l’étape la plus importante.
Par défaut, un outil sérieux présente en général
un niveau minimal de protection, mais qui n’est
pas toujours suffisant.
• Avoir absolument un pare-feu (Firewall) personnel
qui permettra de filtrer vos communications et de
se protéger contre les attaques réseaux.Un parefeu gratuit, efficace et pas trop compliqué est
Zone Alarm: http://www.zonelabs.com (Attention: il existe une version professionnelle non gratuite, cliquer à gauche sur « Freedownload »).
Vous trouverez en complément une documentation en français, des informations sur la configuration, un didacticiel et un manuel d’aide en
français sur : http://websec.arcady.fr sous la
rubrique « comment se protéger des hackers ».
Les accès réseaux de votre connexion correspondent à différents services (telnet, ftp, le
courrier, etc.) et le paramétrage consistera à filtrer ces différents numéros de port, donc d’ouvrir ou de fermer les services associés à ces
numéros (par exemple votre navigateur utilise
le port 80 pour le Web, ftp le port 21, telnet le
port 23,le courrier les ports 25 et 110 pour les services SMTP et POP, etc.). Les ports laissés ouverts
sont autant d’entrées pour les pirates; les ports
à risque doivent être fermés. La configuration
par défaut des pare-feu permet une utilisation
normale sur Internet, mais il vaut mieux vérifier:
vous trouverez toutes les informations sur Zone
Alarm à l’adresse : http://websec.arcady.fr .
• Ne pas réduire le niveau de sécurité de votre
butineur, le paramétrer en invalidant Java,
javascript, ActiveX.
Cela peut parfois présenter quelques problèmes d’affichage sur certains sites ; il faut
vraiment être sûr du site Web pour accepter les
« applets » Java et contrôles activex, petits programmes servant le plus souvent à l’animation
des pages Web. Ils sont en général détectés
par les pare-feu, mais ceux-ci ne pourront différencier l’inoffensif du virulent.
• Utiliser des connexions distantes (telnet, ftp, rlogin) sécurisées cryptées : SSH ou SSF, ce qui permettra d’éviter le « sniffing » de votre mot de
passe.Je conseille SSF version francisée de SSH ;
de plus vous avez une liste de diffusion en français pour les problèmes éventuels. Vous trouverez toute information concernant SSF/SSH sur :
http://www.math.jussieu.fr/informatique/acces.
html avec des documents en français sur l’utilisation et l’installation de SSF et le client SSF à installer sur votre PC.
• Ne pas prendre un mot de passe trivial et ne
pas l’enregistrer sur votre disque dur pour une
connexion automatique, la gestion des mots de
passe sur les systèmes Windows n’étant pas ce
qu’elle devrait être. Vous trouverez un document sur le choix d’un mot de passe à l’adresse:
http://www.cnrs.fr/Infosecu/MDP.pdf .
• Ne pas laisser d’informations confidentielles sur
votre disque (numéro de carte bancaire, mot
de passe, etc.) et ne pas en transmettre sur le
réseau (courrier, navigateur) à moins d’avoir sa
station blindée, de bien connaître et d’utiliser le
cryptage et les protocoles sécurisés.
• Ne pas partager vos disques, imprimantes, ou
au moins mettre un mot de passe sur ceux-ci.
• Si vous avez quelques données confidentielles,
au moins cryptez-les. Outre PGP Freeware sur :
www.pgp.com/international/france/default.asp
(pas trop conseillé), vous avez un logiciel en
français et gratuit: Security Box sur : www.msi-sa.
fr/sboxf/sbox_freeware. html pour PC et Mac.
Un autre outil relativement simple d’utilisation
est Krypto Zone sur www.protek-lab.net , pour
Windows 9x/NT et Linux. Pour la messagerie, on
peut créer des fichiers auto-décryptables que
votre correspondant pourra lire avec le mot de
passe que vous lui indiquerez (évidemment
pas par courriel !).
• Ne jamais fournir votre mot de passe (et votre
login) à qui que ce soit, même à un fournisseur
d’accès sous prétexte de relever vos différentes
boîtes aux lettres par exemple.
• Ne pas récupérer n’importe quoi n’importe où,
au moins toujours passer le programme (même
juin 2001 - n° 35
récupéré en courrier attaché) à un anti-virus
récent et mis à jour régulièrement,de nombreux
logiciels présentant des entrées cachées, des
chevaux de Troie.
Quel que soit le système, le constructeur a en
général une page sécurité à consulter en priorité. Quel que soit le système, vous n’avez pas
l’utilisation de toutes les applications, donc ne
pas tout installer systématiquement; autant d’entrées éventuelles supprimées pour les pirates,
autant de correctifs à ne pas installer sinon en
priorité tout ce qui permet l’accès root, l’accès
direct ou indirect administrateur.
Se connecter sur Internet n’est pas sans danger,
il est très facile de récupérer lors de votre
connexion des informations sur votre système, vos
logiciels, le degré de sécurité appliqué, vos habitudes de travail. Informations rapidement exploitées par les pirates en ce qui concerne la nonapplication des correctifs critiques.
De même, se connecter sur Internet n’est pas
anonyme, par les traces laissées à votre insu
(nombreux sont les utilisateurs du campus se plaignant d’envois de courriers non désirés (spam),
parce qu’ils ont laissé une adresse IP, un nom de
login, une adresse courrier, lors de leur passage
sur un site).
Si vous voulez avoir une idée sur les informations
que vous laissez sur Internet, allez sur : http://www.
cnil.fr sous la rubrique « comment vous êtes pistés
sur Internet », vous saurez tout sur les cookies.
Un petit tour sur http://www.privacy.com est aussi
édifiant.
La récupération de logiciels gratuits (freeware) –
et particulièrement les shareware (petite contribution à l’auteur) et les logiciels en démo – n’est
pas sans incidence,dans la mesure où ils contiennent des espiongiciels (ou spyware) qui transmettent des informations (généralement cryptées) souvent à des fins publicitaires, et une
désinstallation du logiciel ne supprimera pas forcément le spyware…
Un utilitaire gratuit de type Ad-Aware (http://
www.lavasoft.de) permet de détecter et de supprimer ces espions, mais au risque que le logiciel
ne fonctionne plus (à défaut, le désactiver temporairement au démarrage du PC).
Vous trouverez des informations pertinentes sur
les spywares (espiongiciels) à l’adresse : http://
websec. arcady.fr.
Il existe des parades pour se protéger de la
cyberdélinquance, mais à tout un chacun de les
connaître et de les mettre en œuvre. En conclusion, de même que vous fermez votre porte à clé,
fermez votre PC aux intrus.
« PERDEZ » du temps AVANT et non APRÈS !
Jean-Claude Rioux
Centre de Calcul Recherche et Réseau Jussieu
Université Paris 6
[email protected]
4
sécurité informatique
juin 2001 - n° 35
Sécuriser un serveur de listes de diffusion
T
OUT comme un serveur Web, un service
de listes de diffusion constitue une des
vitrines d’un service informatique et, à ce
titre, il peut être particulièrement exposé aux
malversations dans un environnement hostile.
On s’attachera à protéger le serveur de listes
contre :
1. les attaques classiques que tout serveur peut
subir,
2. les envois pirates de messages dans des listes
(spam),
3. la diffusion de virus,
4. les captures frauduleuses d’adresses e-mail.
500
400
300
200
VIRUS
100
0
1er trim.
2000
2e trim.
2000
3e trim.
2000
4e trim.
2000
1er trim.
2001
• Nombre de virus détectés (historique reconstitué pas les archives).
Les attaques classiques
■
Comme pour tout serveur connecté à Internet,
il faut appliquer l’arsenal classique (limitation
des ports ouverts, patchs système, niveaux de
versions à jour pour les applications, en particulier pour le courriel, etc.).
Recommandation : installer ce service sur une
machine dédiée, au moins sur une machine
sans utilisateurs finaux. Cela est impératif si l’on
souhaite authentifier certains utilisateurs du service de listes via HTTPS ou S/MIME.
Les envois de spam
dans les listes de diffusion
■
Actuellement, nous constatons tous que les dispositifs anti-spam sont d’une efficacité limitée.
Pour certaines listes, la diffusion d’un spam à
tous les abonnés est intolérable.
Il faut donc protéger ces listes avec des moyens
complémentaires par rapport à la protection
mise en œuvre pour des boîtes aux lettres individuelles.
Pour cela distinguer trois grandes familles de
listes :
1. les listes de type « hot line » (exemple :
[email protected]), destinées à recevoir
des courriels d’une population souvent large.
Elles n’ont que peu d’abonnés. Ne pas leur
appliquer de protection particulière pour ne
pas risquer le rejet de messages légitimes ;
2. les listes plus ou moins publiques ouvertes aux
discussions. Limiter l’usage de ces listes aux
abonnés est le moyen le plus efficace de bloquer le spam. Contrainte : le champ « From »
de tout message devra être identique à l’adresse d’abonnement, sous peine de rejet ;
3. les listes modérées : tous les messages sont
soumis aux modérateurs pour validation. Les
modérateurs sont alors exposés au spam, ce
qui peut devenir pénible. En outre, le risque
n’est pas nul de valider accidentellement la
diffusion d’un spam.
Sympa permet de panacher ces méthodes en
définissant :
– des listes pour lesquelles les messages sont
soumis au modérateur si l’auteur est abonné
à la liste, rejetés sinon ;
– des listes pour lesquelles les messages
d’abonnés sont diffusés automatiquement, les
autres étant soumis au modérateur.
Ces protections reposent sur l’identification de
l’auteur du message. Il existe deux méthodes
assez communes à la plupart des serveurs de
listes :
– un simple test sur le champ « From » du message, en réalité peu fiable. Pour le moment,
nous n’avons pas observé de tentatives
d’usurpation de l’adresse électronique d’un
modérateur de liste dans un but de diffusion.
À notre avis, c’est une question de temps ;
– beaucoup de serveurs comme Majordomo permettent une demande de confirmation par courriel avec allocation d’un identifiant unique pour l’opération. Sympa permet
en outre de consolider cette authentification
du « Sender » en vérifiant une éventuelle
signature S/MIME.
Dans le cas des listes de type 2, il faut empêcher
les éventuels « spammeurs » de s’abonner.
UNE ASTUCE CONTRE LE SPAM
Nous utilisons l’adresse [email protected]
dissimulée dans la page d’accueil de www.cru.fr
pour alimenter une « black liste ». La méthode
est très simple: poser une ancre de longueur
nulle:
<A HREF=mailto:[email protected]></A>
Les robots qui scannent nos pages pour s’emparer des URL mailto: s’abonnent à leur insu dans
notre « black list » et perdent donc le droit de
■
poster dans toutes les listes du CRU.
Plusieurs solutions complémentaires sont disponibles :
– d’abord, limiter la visibilité des listes existantes.
Si une liste [email protected] est réservée
aux utilisateurs d’un campus, essayer de ne
pas la lister dans des pages Web accessibles
au-delà du campus. Pour Sympa, le paramètre de liste « visibility » permet de préciser
les adresses IP ayant le droit de « voir » chaque
liste ;
– ensuite, contrôler les abonnements. Nous
recommandons de ne pas mettre en place
les adresses d’abonnement automatique
gérées par des serveurs comme Ezmlm ou
Sympa ayant la forme <liste>-subscribe ou
<liste>-join. Si un spammeur arrose ces
adresses, il risque de s’abonner puis de diffuser
dans une liste privée.
Capture frauduleuse
d’adresse électronique
■
Une des sources régulières de spam : les robots
parcourant les pages Web à la recherche des
URL « mailto : ».
Deux usages en sont faits : vous envoyer du
spam, et usurper votre adresse électronique
pour envoyer du spam en votre nom. Bien
entendu, les pages Web du service de listes
n’échappent pas à la règle.
Dans ces pages, on trouve de nombreuses
adresses électroniques, en particulier :
– les listes d’abonnés,
– les adresses dans les archives,
– les adresses des listes et celles des gérants de
listes.
Bien entendu, il convient de bien protéger les
listes d’abonnés, avec accès presque toujours
limité au propriétaire de la liste. Le point plus sensible concerne les archives Web.
Certains serveurs cachent ou modifient les
adresses électroniques non sans dégrader le service offert. Sympa ne montre les archives que si
un « cookie » est présent (les robots de capture
de courriels ne s’embarrassent pas des cookies).
5
sécurité informatique
juin 2001 - n° 35
Suite de la page 2
EXPLOSION du nombre de virus en circulation dans l’ensemble des messages nous a
contraints à mettre en place une solution anti-virus en amont du serveur de listes. En
effet, si le serveur de liste est insensible aux virus en circulation, il en décuple l’impact en contaminant un grand nombre d’abonnés. À noter qu’un grand nombre de virus ont été diffusés du
fait que le modérateur d’une liste a été lui-même « infecté ». Modérer une liste n’est pas une
protection contre les virus. Interdire les attachements dans les listes de diffusion pourrait l’être,
mais c’est une restriction inadmissible pour beaucoup d’utilisateurs.
L’
L’installation du moteur de détection de virus Amavis directement dans le moteur SMTP, en
amont du serveur de listes, serait une solution simple et assez radicale. Mais dans cette hypothèse, l’ensemble des messages seraient traités sans que cela soit toujours nécessaire. Cela
concerne en particulier les rapports de « non-remise » beaucoup plus nombreux que les messages adressés à des listes. Notre expérience de cette configuration a conduit à l’écroulement du
serveur.
La solution que nous avons retenue est inspirée de celle proposée par Jacques Beigbeder (ENS)
http://www.spi.ens.fr/beig/amavis/ . Sympa peut appeler un antivirus externe pour traiter les
messages avant transmission aux abonnés ou modérateurs de listes. Cette tâche est appliquée
■
aux messages en spool et ne peut générer un pic de charge lors d’un pic de trafic.
En outre, le fait que des archives de listes de diffusion soient indexées par des moteurs de
recherche généralistes n’est pas sans danger.
Avez-vous déjà essayé de rechercher votre
adresse électronique dans un moteur puissant
comme Google ? Ceux-ci permettent de
retrouver et de mettre en relation un grand
nombre de vos contributions dans des listes de
diffusion, même si celles-ci sont très anciennes
ou si vous avez utilisé votre adresse professionnelle pour des usages privés.
Pour éviter cela :
– interdisez l’archivage Web en dehors de votre
service local (positionnez l’en-tête SMTP « Restrict : no-external-archive » dans les messages
émis) ;
– si vous ne pouvez bloquer les robots (cookie,
« method=post » ou autre), pensez à la
convention http « robot. txt » que certains
robots respectent.
À noter que Sympa permet de supprimer en
ligne les messages dont vous êtes l’auteur et
ceux des listes dont vous êtes propriétaire. Ce dispositif répond aux demandes d’exercice du droit
de rectification des données nominatives. Enfin,
en installant un certificat pour la liste, il devient
possible de diffuser des messages cryptés.
Conclusions
■
Un grand nombre de paramètres permettent de
caractériser une liste de diffusion. Afin de maîtriser
votre service de listes, créez quelques configurations types correspondant à vos différents usages;
cela vous permettra de simplifier les opérations
ultérieures de création de listes tout en améliorant
6
HTTPS ET S/MIME AU SECOURS
DES LISTES DE DIFFUSION
Sympa supporte l’authentification HTTPS et
S/MIME, méthode configurable pour chaque
opération. Ainsi, il est possible d’imposer une
authentification forte basée sur un certificat
x509 personnel pour toutes les opérations réservées aux « Listmasters » et celles réservées aux
propriétaires de listes. Cet outil est une très
bonne garantie quant à l’authentification des
opérations privilégiées.
■
la qualité du service offert. Vous pouvez même
pompeusement appeler cela votre « politique de
listes de diffusion ».
Au-delà de la protection informatique des données,il faut comme toujours éduquer les utilisateurs.
Les abonnés ont fait de gros progrès,au moins dans
nos communautés, mais le rôle de propriétaire et
de modérateur de liste n’est pas clair pour tous.
Aussi, définissez une charte à usage des propriétaires et des modérateurs de listes de diffusion,
créez une liste de diffusion réunissant les propriétaires de listes, et mettez les règles d’usage du service de listes dans le message de bienvenue de
celle-ci. Sensibilisez périodiquement les propriétaires de listes à leurs responsabilités. Rappelezleur les termes de la déclaration CNIL que vous
n’avez pas manqué de faire, et donnez-leur l’habitude de traiter les difficultés des abonnés, par
exemple ceux qui ne savent pas se désabonner.
Serge Aumont
Cellule technique CRU
[email protected]
Premièrement, le contact de l’administrateur
d’une machine qui scanne permet souvent de
sensibiliser un apprenti-pirate avant qu’il ne
passe réellement à des activités plus gênantes.
Deuxièmement, une machine qui scanne plusieurs réseaux (ce dont on peut se rendre
compte lorsque plusieurs administrateurs signalent la même machine) est très souvent ellemême compromise et sert de base à de nouvelles attaques. L’analyse de ces machines
permet souvent de découvrir un très grand
nombre de machines vulnérables ou compromises. Enfin troisièmement, la consolidation de
statistiques sur un grand nombre de sites permet
de très bien se rendre compte des tendances,
des recherches de vulnérabilités « à la mode »
et de souligner pour les correspondants sécurité, dans les bulletins hebdomadaires, les failles
à combler d’urgence et les connexions à surveiller.
Nous aurons sans doute dans un proche avenir
à automatiser au maximum le traitement de l’information extrêmement utile que représente la
signalisation de ces scans et peut-être à modifier les procédures de déclaration de scans,
mais en attendant, nous ne pouvons qu’inciter
les administrateurs et les correspondants sécurité à déclarer les recherches insistantes de vulnérabilités, cela à l’adresse [email protected].
David Crochemore
CERT-Renater
[email protected]
S É C U R I T É I N F O R M AT I Q U E
numéro 35
S É C U R I T É
juin 2001
D E S
S
S Y S T È M E
D
’
T I O N
I N F O R M A
Sujets traités : tout ce qui concerne
la sécurité informatique. Gratuit.
Périodicité : 5 numéros par an.
Lectorat : toutes les formations CNRS.
Responsable de la publication :
ROBERT LONGEON
Centre national de la recherche scientifique
Service du Fonctionnaire de Défense
c/o IDRIS - BP 167. 91403 Orsay Cedex
Tél. 01 69 35 84 87
Courriel : [email protected]
http://www.cnrs.fr/Infosecu
ISSN 1257-8819
Commission paritaire n° 3105 ADEP
La reproduction totale ou partielle
des articles est autorisée sous réserve
de mention d’origine
Conseil et coordination : CNRS - DIST - Jacqueline Leclère • Conception et réalisation : La Souris 01 45 21 09 61
Attention : épidémie !
L’utilité de signaler les scans au CERT-Renater
n’est pas évidente a priori, car une recherche
de vulnérabilité ne met pas en péril immédiat
une des trois caractéristiques de la sécurité des
systèmes d’information : confidentialité, intégrité
et disponibilité. Cependant, la connaissance de
ce genre d’information permet au CERT de
jouer un triple rôle essentiel.