II.2.2.Les mesures de sécurité
La politique de sécurité doit englober
l'ensemble du réseau informatique. La plupart des tentatives
d'intrusions peuvent provenir (volontairement ou non) des utilisateurs
autorisés. Pour cela, les mesures de sécurité doivent
prendre en considération le réseau local, appelé LAN
(Local Area Network), et le réseau externe connu sous le nom WAN (Wide
Area Network).
a) L'authentification des utilisateurs
Le premier niveau de sécurité à prendre
en compte dans un LAN est l'utilisateur. Pour accéder aux
ressources locales et réseaux, il devra s'identifier grâce
à un nom d'utilisateur et à un mot de passe. Chaque utilisateur
doit être unique dans son contexte et appartenir à au moins un
groupe d'utilisateurs. Certaines règles sont à
respecter :
Le nom d'utilisateur (Login) doit
être significatif pour pouvoir identifier toutes les personnes. Plusieurs
méthodes d'identification sont possibles. L'une d'entre elles consiste
à associer la première lettre du prénom au nom complet de
la personne. Par exemple, le nom
d'utilisateur "Diling" est utilisé par l'utilisateur Didier LINGONGO.
Par ailleurs, chaque système d'exploitation propose des
comptes administrateurs (admin sous Novell, root sous Unix, et administrator
sous Windows) capable de gérer les utilisateurs (création,
attribution des droits et des fichiers, etc.).
Le mot de passe (Password) doit
être personnel et incessible. Certaines consignes peuvent rendre
difficiles voire inefficaces les tentatives de connexion des pirates :
· le mot de passe doit contenir au moins 8
caractères dont 2 numériques ;
· le renouvellement périodique (mensuel si
possible) du mot de passe ;
· le cryptage des données pour rendre
l'interception et la surveillance moins efficaces ;
· la déconnexion et le blocage du système
après un certain nombre de tentatives de connexion ;
· l'interdiction de se connecter avec des comptes
administrateurs sur des postes non sécurisés.
b) Les permissions d'accès
Afin de rendre votre politique de sécurité plus
efficace, il faut établir convenablement les droits d'accès des
utilisateurs et des groupes. L'installation standard des systèmes
d'exploitation (Unix, Windows NT, Novell, etc.) n'est pas
sécurisée en soi. Elle nécessite certaines manipulations.
Quelques points fondamentaux cités ci-dessous peuvent apporter un niveau
minimal de sécurité :
Sécurité des fichiers contenant les mots
de passe : sous les systèmes Unix, deux fichiers sont
à prendre en compte : le fichier des utilisateurs et leurs mots de
passe : "/etc/passwd", et celui des groupes : "/etc/groups".
Les deux fichiers cryptés sont accessibles à
tous les utilisateurs, même "guest" ou "anonyme", sans quoi ces derniers
ne pourraient pas se connecter. Ce qui les rend, malgré le cryptage,
faciles à pirater.
En effet, certains outils permettent de les décrypter.
Pour remédier à cela, l'administrateur peut exécuter la
commande "shadow" permettant de transférer le contenu
de ces deux fichiers dans un autre fichier inaccessible aux utilisateurs.
D'autre part, sous Windows, la base de registre contenant les
paramètres cryptés du système (system.dat) et des
utilisateurs (user.dat) doit être protégée. Microsoft
propose deux outils : "poledit" et "regedit" qui permettent de manipuler
et de personnaliser entièrement le système. A l'aide de ces deux
outils, vous pouvez minimiser les risques d'intrusions :
1. En interdisant l'exécution de l'Explorateur Windows,
des commandes MS-DOS et les outils de la base de registre (Poledit et
regedit).
2. En autorisant l'exécution d'une liste d'applications
comme Winword, Excel, etc.
3. En interdisant les modifications des paramètres de
configuration (panneau de configuration, imprimante, etc.).
Attribution convenable des droits
d'accès : Dans un LAN, chaque utilisateur doit
pouvoir créer et gérer des fichiers et des répertoires
dans son espace de travail. Les autorisations d'accès (lecture,
écriture, listage, exécution, etc.) aux fichiers et programmes
doivent être parfaitement étudiées et installées.
Dans une politique standard de sécurité, un simple utilisateur
possède, d'une part, son répertoire de travail où il a
tous les droits d'accès, et, d'autre part, des répertoires plus
restreints appropriés à son activité. Il faut en principe
éviter de donner le droit d'installation des programmes, de sauvegarde
des fichiers système, de création de compte, d'ouverture des
sessions sur le terminal du serveur, aux utilisateurs non autorisés.
c) Les ports et les services
Les ports utilisés par un ordinateur sont aussi des
portes ouvertes aux pirates (LAN et WAN). Un port sur un serveur est un point
d'entrée logique permettant à un client d'utiliser une
application (ou un service). Par exemple, pour afficher la page d'accueil du
site "TF1" sur un navigateur WEB, l'utilisateur se met en contact avec le port
80 du serveur. D'autres ports existent tels que le port 21 pour le service ftp,
23 pour le service Telnet, 25 pour le SMTP, 53 pour le DNS, 80 pour le HTTP,
110 pour le POP3, etc. Les pirates peuvent entrer en contact avec les
applications qui "écoutent" les ports associés à chaque
service. Les techniques actuelles de piratage utilisées sont
multiples :
Plantage du serveur : en
exécutant des applications non prévues (Telnet sur le service
Ftp), ou en exécutant un nombre de demandes qui dépassent la
capacité du serveur.
Accès indirect : en se servant de
la faiblesse de certains protocoles. Par exemple, le protocole réseau
NetBios sous Windows permet d'accéder au disque local de la machine. En
effet, cela s'avère dangereux puisque l'accès à la base de
registre est ouverte.
Contourner les applications : en
exécutant des applications non prévues, ou en accédant aux
privilèges (droits) administrateurs nécessaires pour faire
tourner tel service.
Pour remédier à cela, quelques manipulations
sont primordiales :
· suppression des services non utilisés,
· audit des connexions sur les ports utilisés,
· attribution des privilèges appropriés aux
services (pour éviter qu'ils fonctionnent avec des privilèges
d'administrateur ou d'invité).
| 
