Memoire Online - Optimisation de la sécurité dans un environnement de travail bancaire: cas de la BSIC- Togo

MINISTERE

DE L'ENSEIGNEMENT REPUBLIQUE TOTOGOLAISE

TECHNIQUE

ET DE LA FORMATION Travail - Liberté - Patrie

PROFESSIONNELLE N° d'ordre: 2010/ 0013-MRI

UNIVERSITE DE LOME
CENTRE INFORMATIQUE ET DE CALCUL(CIC)

OPTIMISATION DE LA SECURITE DANS UN
ENVIRONNEMENT DE TRAVAIL BANCAIRE :

CAS DE LA BSIC-TOGO

MEMOIRE DE FIN D'ETUDE POUR L'OBTENTION DU DIPLOME
DE LICENCE PROFESSIONNELLE

Présenté par :

Directeur

Fissale TCHAKALA
Promotion 2009-2010

de mémoire:

Dr Eyouléki PALANGA
Directeur adjoint du CIC

Soutenu le 12 Juillet 2011

REMERCIEMENTS

Durant ce stage, j'ai pu évoluer dans un environnement très instructif dont le cadre ouvert m'a permis d'obtenir tous les renseignements et toute l'aide dont j'avais besoin. Je remercie Dieu Tout Puissant pour la grâce et la miséricorde qu'il ne cesse de m'accorder.

v' La Direction et à tout le corps enseignant et au personnel administratif et technique

v' La Direction de la Banque Sahelo-Saharienne pour l'Investissement et le Commerce.

1' Mon Directeur de mémoire Dr Eyouléki PALANGA directeur adjoint du CIC pour son assistance malgré son emploi du temps chargé ;

1' Mon maître de stage Monsieur Tchamon NAMBO, chef du service informatique de BSIC-TOGO pour sa disponibilité et ses conseils.

1' Tout le personnel de la BSIC et précisément le service informatique de BSIC-TOGO à savoir Mr ISSIZAIWA Ali, Mr Tchaa BIDASSA, Mr Aristide NAPO KOURA pour leurs concours durant notre stage ;

AVANT PROPOS

Le CIC/CAFMICRO est situé sur le Campus universitaire et est le seul centre informatique connu pour la formation de Techniciens Supérieurs spécialisés en informatique. Il a vu le jour en octobre 1990 grâce à la coopération inter nations. Les pays fondateurs de ce centre informatique sont :

Le Benin, le Burkina Faso, le Gabon, et le Togo. Ces pays avaient bénéficié du financement du Ministère français de la coopération, du Programme Inter gouvernemental (PII/UNESCO) et de l'ACCT (Agence de Coopération Culturelle et Technique), et de l'appui intellectuel du club pour l'informatique dans l'Education et de la recherche en Afrique(CINERD).

Depuis Octobre 1990 où il a ouvert ces portes, le CIC/CAFMIRO assurait la formation des techniciens supérieurs en maintenance Informatique et des techniciens supérieurs en informatique. Cette dernière filière avait été ouverte depuis la rentrée 1995 et formait en deux ans les bacheliers des séries scientifiques et techniques. Pour une meilleure formation, l'université bascule en système LMD (Licence Master Doctorat) depuis la rentrée 2006. A la rentrée 2009, le CIC (Centre Informatique et de Calcul) adopte à son sein ce système et ouvre deux filières en licence professionnelle:

La formation est achevée par un stage en entreprise de dix (10) semaines à la fin duquel l'étudiant présentera un mémoire qui sera censuré et lui accordera un diplôme de Licence Professionnelle au cas où son mémoire est accepté. Cette formation professionnelle a pour objectif de mettre sur le marché de l'emploi des diplômés capables de : Concevoir et mettre en place des réseaux locaux et métropolitains, administrer des réseaux, répondre de manière sécurisée aux exigences des utilisateurs, développer des applications complexes basées sur la technologie WEB, et assurer la maintenance de premier et second niveaux du matériel informatique.

TABLE DES MATIERES Pages

Tableau I- 1: Configuration des serveurs (04) de marque HP Compaq DL 380 G3 14

Tableau I- 2: Configuration des serveurs (04) de marque HP Compaq ML 350 G2 15

Tableau I- 3: Configuration des serveurs (02) de marque HP Compaq ML 580 G5 16

Tableau I- 4: Configuration des serveurs (02) de marque HP Compaq ML 385 G5 16

GLOSSAIRE

SWIFT: Society for Worldwide Interbank Financial Telecommunication VSAT: Very Small Aperture Terminal

RTGS: Real time gross settlement systems (pour l'échange et le règlement des Paiements d'Importance Systémique, aux niveaux national et sous régional)

ADSL: Asymmetric Digital Subscriber Line (ADSL) est une technique de communication qui permet d'utiliser une ligne téléphonique ou une ligne RNIS pour transmettre et recevoir des données numériques de manière indépendante du service téléphonique proprement dit (contrairement aux modems dits analogiques)

CPL: courants porteurs en ligne réfère à une technique permettant le transfert d'informations numériques en passant par les lignes électriques

SYN/ACK: synchronize-acknowledgment RST: réinitialisation de la connexion

DNS: Le Domain Name System ou système de noms de domaine est un service permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine.

SNMP: Simple Network Management Protocol en français « protocole simple de gestion de réseau », est un protocole de communication qui permet aux administrateurs réseau de gérer les équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à distance.

DHCP: Dynamic Host Configuration Protocol est un terme anglais désignant un protocole réseau dont le rôle est d'assurer la configuration automatique des paramètres

IP d'une station, notamment en lui affectant automatiquement une adresse IP et un masque de sous-réseau.

KONQUEROR est le navigateur Web et le gestionnaire de fichiers libre de l'environnement de bureau KDE (un projet de logiciel libre historiquement centré autour d'un environnement de bureau pour systèmes UNIX).

GNOME: GNU Object Model Environment (GNU est système d'exploitation libre de style Unix)

TTL: Time to live indique le temps pendant lequel une information doit être conservée, ou le temps pendant lequel une information doit être gardée en cache (c'est une donnée placée au niveau de l'en-tête du paquet IP qui indique le nombre de routeurs maximal de transit)

HTTP: HyperText Transfer Protocol est un protocole de communication client-serveur

POP3 : (Post Office Protocol littéralement le protocole du bureau de poste) version 3 est un protocole qui permet de récupérer les courriers électroniques situés sur un serveur de messagerie électronique.

SHA1: Secure Hash Algorithm 1 DES: Data Encryption Standard CBC: Cipher Block Chaining SPD: Security Policy Data

Stal02: W. Stallings. Sécurité des réseaux, Applications et standard, Editions Vuibert

Wrig94: G. R. Wright and W. R. Stevens. TCP/IP Illustrated, Volume 2. Addison-Wesley Publishing Company, 1994.

Mark97: T. Markham; Internet Security Protocol; Dr. Bobb's Journal; juin 1997. VPS: Virtual Private Server

INTRODUCTION

L'informatique est devenue un outil incontournable de gestion, d'organisation, de production et de communication. Le réseau informatique de la BSIC met en oeuvre des données sensibles, les stocke, les partage en interne, les communique parfois à d'autres banques comme BCEAO ou Filiales. Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité.

Il est donc impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur, de retirer aux données leur caractère électronique et confidentiel. Les données sensibles du système d'information de la BSIC sont exposées aux actes de malveillance. Il est donc capital de veiller à la sécurité des données aussi bien en interne qu'à l'extérieur.

La BSIC dispose d'un réseau informatique qui lui permet de faire des échanges d'informations avec ses partenaires. Par conséquent elle doit gérer et sécuriser son système d'information très important. Outre cette ouverture de l'extérieur, elle est menacée à l'intérieur de son réseau local par des virus informatiques et quelques disfonctionnements de son système informatique.

C'est pour palier à ces problèmes précités, que la Direction Générale de BSIC nous a permis d'effectuer un stage de deux mois au sein de leur société en vue de trouver une solution à la sécurité du système informatique. Cela nous a amené à auditer le réseau informatique de la BSIC et à établir une politique de sécurité. Ce stage est sanctionné par un rapport de stage qui servira de mémoire de fin de formation en licence professionnelle (option Maintenance et Réseaux Informatiques).

Ainsi, pour répondre à ces besoins informatiques, le CIC (Centre Informatique et de Calcul) demande à ses étudiants en fin de formation en Licence Professionnelle, deux à trois mois de stage pratique en entreprise en vue de s'imprégner des réalités du terrain et d'y apporter des solutions en mettant en application les connaissances acquises tout au long de leur formation universitaire. A la fin de stage, nous avons établit un rapport de stage qui relate le travail que nous avons effectué lors de notre stage au sein de la BSIC-TOGO. Il s'est déroulé du 02 Août au 30 septembre 2010 à la direction générale de la Banque Sahélo Saharienne pour le Commerce et l'Investissement (BSIC-TOGO). Il a été l'opportunité pour moi d'appréhender

de nouvelles connaissances techniques et d'acquérir de nouvelles compétences. Nous vous exposerons dans ce rapport en premier lieu, une présentation de la BSIC-TOGO.

Ensuite, nous aborderons les différents aspects de notre travail durant ces deux mois à BSIC et enfin, en conclusion, nous résumerons les apports de ce stage.

I.1. GENERALITES

Née de la vision panafricaine des leaders et chefs d'état des pays membres de la CEN-SAD (Communauté des Etats Sahélo Sahariens), la Banque Sahélo Saharienne pour l'Investissement et le Commerce est une illustration de l'intégration économique de la sousrégion du Sahel et du Sahara. Aujourd'hui la BSIC est un réseau de banques implantée dans plusieurs pays de la communauté CEN-SAD (Bénin, Burkina-Faso, Mali, Niger, Sénégal, le Togo, la Libye, le Tchad, le Centrafrique, la Gambie et le Ghana). Son objectif est de:

v' soutenir les économies de la communauté à travers le financement des secteurs

v' promouvoir les échanges commerciaux entre les états membres de la communauté,

v' financer les crédits de campagne des produits primaires de base (coton, arachide,

d'exploitation courante des entreprises commerciales (concours en trésorerie ou

Conformément à ses statuts, la BSIC offre à sa clientèle, les prestations de services bancaires, économiques et financiers. Pour y arriver:

Elle accepte tout dépôt de quelque nature ou origine que ce soit, traites ou lettres de change (effet de commerce par lequel une personne donne ordre à une autre de payer à son ordre ou à celui d'une troisième une certaine somme d'argent à échéance déterminée);

v' elle souscrit, achète et autrement acquiert, détient, vend et place de quelque manière

que ce soit, des actions de capital de n'importe quelle catégorie, ainsi que tout autre

titre et valeurs de quelque nature que ce soit, et exercice tout droit s'y rapportant ;

v' elle participe au placement, à l'émission et à la distribution d'actions et d'autres
titres et valeurs de toute nature ;

v' elle transfère à des tiers les droits résultant de tout prêt ou investissement dans des

titres et valeurs qui auraient pu être faits par la banque, et investit ou réinvestit les fonds en provenant ;

v' et généralement, elle fait toute opération de nature à favoriser son développement,

I.2. ORGANISATION GENERALE DE LA BANQUE [2]

I.2.1 Les organes internes

Indépendamment des organes d'administration légaux (Assemblée Générale des actionnaires, Conseil d'Administration), quatre (04) organes coexistent au sein de la banque avec un rôle consultatif

I.2.1.1 Le comité de Direction

Sa composition varie selon la filiale mais, dans tous les cas, il comprend au minimum, outre le Directeur Général et son adjoint, les chefs de service de la Banque. Il se réunit hebdomadairement. En tant qu'organe d'information et de coordination des différents services de la Banque, il connaît de façon générale, toutes les affaires relatives au fonctionnement, à l'activité, à la gestion du personnel et au développement de la Banque.

I.2.1.2 Le comité de crédit

Il comprend nécessairement le Directeur Général et son adjoint, un juriste, le chef du service crédit et les gestionnaires de comptes. Le Comité de Crédit se prononce sur tout dossier de crédit accordé par la Banque. Il se réunit formellement une fois par trimestre pour connaître l'évolution du portefeuille de la banque, les créances en souffrance, les provisions et le recouvrement. Il a l'obligation de se réunir aussi souvent que nécessaire.

Toutefois, pour des raisons d'efficacité, les décisions de prêts peuvent être prises par le Directeur Général de la banque dans la limite de ses pouvoirs. Les dossiers dont la limite excède les pouvoirs du Directeur Général et qui relèvent de la compétence du Conseil d'Administration ou du siège doivent faire au préalable l'objet de réunion formelle du Comité de Crédit suivi d'un procès verbale.

I.2.1.3 Le comité d'achat

Il comprend nécessairement le Chef du service administratif et du personnel, le Chef du service

comptabilité et le Chef du service juridique. Sa présidence est assurée par le service administratif et du personnel. Il se réunit aussi souvent que nécessaire pour trancher sur les dossiers d'achat ou d'acquisition de biens pour la banque.

I.2.1.4 Le comité de lutte contre le blanchiment

Il se compose du chef du service des opérations avec l'étranger, de l'auditeur interne, du chef du service des opérations locales et est placé sous la présidence du chef du service juridique. Il a pour rôle l'étude et la mise en place des dispositions utiles pour lutter contre le blanchiment de l'argent.

I.2.2 Organigramme de la BSIC.SA

I.2.3 Activités

En tant que banque commerciale, elle assure les services bancaires financiers grâce à des instruments modernes de paiement. Elle finance également les opérations bancaires, notamment les besoins d'exploitation de leur clientèle (fonds de roulement, escompte du papier commercial caution et avals etc. ...). Elle finance les opérations de commerce extérieur et participe au financement des crédits de campagne des principaux produits

d'exploitation. En tant que banque d'investissement, elle finance les projets d'investissements productifs des entreprises du secteur privé mixte ou public.

I.2.4 Mission principale

La mission principale de la banque est de contribuer au développement socioéconomique des états membres. Elle exerce à ce titre toutes les activités bancaires, financières et commerciales, y compris celles relatives au financement du commerce extérieur et des projets d'investissement

I.3. ORGANISATION INFORMATIQUE

I.3.1 Organigramme du service informatique

I.3.2 Activités du service informatique

L'organisation informatique de la BSIC.SA s'articule autour d'un service informatique composé d'un responsable et de trois assistants informatiques. Le service informatique est chargé d'assurer la disponibilité permanente du système informatique à travers une gestion efficiente et efficace des ressources informatiques. Les principales activités du service portent

v' Le paramétrage, l'administration et l'exploitation des progiciels de la banque;

v' les études des solutions dégradées, en cas de blocage/panne logicielle et matérielle ;

I.3.3 Attributions du responsable informatique

v' L'organisation, la planification et la régulation des activités du service ;

v' le paramétrage des progiciels utilisés par la BSIC (Smart Bank, RTGS, UAP, ImageChèque) ;

v' la conception et la mise en oeuvre des applications informatiques spécifiques ;

v' la mise en oeuvre d'un plan de routine journalière pour vérifier les états des systèmes

v' la mise en oeuvre d'un système de contrôle permettant d'assurer la sécurité et

v' l'élaboration d'un manuel de procédure et d'exploitation des différents logiciels;

v' le suivi et le contrôle de toutes les opérations sur le réseau informatique et de

v' le suivi des opérations de sauvegarde et de restauration des données systèmes et
applications ;

v' l'exécution de toutes autres tâches à la demande de la hiérarchie relevant de son

I.3.4 Attributions des assistants informatiques

v' L'administration du réseau informatique et de télécommunication sur la base d'un plan directeur d'administration préétabli et validé par le Responsable Informatique ;

télécommunication sur la base d'un plan d'exploitation et d'intervention préétablit et validé par le responsable informatique ;

v' organiser le repérage des prises informatiques et téléphoniques du réseau;

~ assurer la sauvegarde régulière des bases de données exploitées par la BSIC (Smart

v' Elaborer et mettre en oeuvre un système d'inventaire des équipements informatiques ;

v' garantir la régularité de l'approvisionnement en consommables informatiques ;

~ assurer la formation des utilisateurs sur les logiciels bureautiques et de messagerie

~ assurer l'automatisation des tâches par la réalisation d'applications informatiques

~ assurer le paramétrage, le suivi et la maintenance de premier niveau du système de

v' toutes autres tâches à la demande du responsable Informatique relevant de son domaine de compétence.

I.3.5 Parc et matériel informatique

Le parc informatique de la BSIC est composé pour l'essentiel de matériel de génération récente de marque HP pour la plupart. Tout employé qui, de par ses fonctions, entre dans le processus de l'administration ou de l'exécution des opérations bancaires, possède un PC. A ce jour, le parc Informatique est constitué de plusieurs équipements comprenant des serveurs, des ordinateurs de bureau, des ordinateurs portables, des imprimantes, des scanners, des Switch, des routeurs, des firewalls, des modems et des téléphones IP.

I.3.5.1 Les serveurs

Le système informatique de la BSIC comprend des serveurs (rackables) dont les caractéristiques correspondantes sont renseignées dans les Tableaux I-1, I-2, I-3, I-4,

C'est le serveur de production de l'applicatif bancaire Smartbank; il comprend la base de données ORACLE qui gère toutes les données financières de la banque. Le système d'exploitation utilisé est Windows 2003 Entreprise Server English version. Ce serveur est également configuré comme le Premier Contrôleur du Domaine (PDC : Primary Domain controler) avec le service « Active Directory » pour la gestion des

utilisateurs. Les services suivants ont été activés sur ce serveur : service DHCP et DNS.

C'est le serveur de secours pour l'applicatif bancaire Smartbank; c'est aussi le Deuxième Contrôleur du Domaine (BDC : Binary Domain Controler) avec le service « Active Directory» pour la gestion des utilisateurs.

En cas de panne du serveur primaire, ce serveur prend immédiatement le contrôle du domaine et assure les mêmes fonctions que le serveur principal. Les versions identiques de systèmes d'exploitation, de moteur de base de données ORACLE ainsi que tous les applicatifs du logiciel Smartbank y sont installés pour permettre à l'administrateur d'opérer un basculement aisé en cas de dysfonctionnement grave ou de panne du serveur principal. Il faut signaler que c'est sur ce serveur qu'est installé le module LIVE de SMARTLENDING pour la gestion des prêts

C'est le serveur de production de l'applicatif de traitement des chèques et effets pour la télécompensation « Image-Chèque »; une base de donnée SQL SERVER 2000 est installée et permet de gérer toutes les informations liées aux données numériques et images provenant du « scan » des chèques et effets à présenter. Les données liées aux chèques et effets de la compensation retour y sont également stockées. Le système d'exploitation utilisé est Windows 2003 Entreprise Server English version.

C'est le serveur de production de la plateforme de participation directe à la télécompensation UAP; il supporte la base de données ORACLE 8i STANDARD qui gère toutes les données numériques et images provenant des chèques et effets de la compensation Aller/Retour. Il assure la transmission sécurisée des données à la banque centrale. Le système d'exploitation utilisé est Windows 2003 Entreprise Server.

Ces quatre serveurs présentent les mêmes caractéristiques dont la configuration matérielle est illustrée dans le Tableau I-1.

Tableau I- 1: Configuration des serveurs (04) de marque HP Compaq DL 380 G3

C'est le serveur de secours pour l'applicatif de traitement des chèques et effets pour la télécompensation « image-chèque » ; il est installé et configuré exactement comme le serveur principal Une application de réplication de données est installée pour copier la base SQL du principal à tout instant, ceci permet d'avoir une image fidèle de la base de données en cas de panne ou de dysfonctionnements graves sur le serveur principal.

C'est le serveur de secours de la plateforme de participation directe à la télécompensation UAP; il est installé et configuré exactement comme le serveur principal (UAP-MAIN) afin de prendre le relais en cas de panne ou de dysfonctionnement grave du serveur principal.

C'est le serveur de Mail de la BSIC. Il héberge MDEAMON qui est le serveur mail utilisé par le groupe BSIC. Il comprend également un serveur FTP. Ce serveur FTP est utilisé pour l'envoi des sauvegardes quotidiennes au siège à Tripoli.

C'est le serveur de secours pour l'applicatif bancaire Smartlending et est celui utiliser pour le chargement des bases pour des besoins des utilisateurs

Le Tableau I.2 permet de voir les caractéristiques communes de ces quatre serveurs. Tableau I- 2: Configuration des serveurs (04) de marque HP Compaq ML 350 G2

C'est le serveur Live sur lequel est installé le module de gestion de transactions par carte bancaire, Smartatm. Il s'agit de l'interface entre le système d'information bancaire (SIB) et le système de gestion de la monétique. Il contient non seulement la base de données Smartatm mais aussi l'application et son host interface.

Les deux serveurs présentent des caractéristiques communes renseignées dans le Tableau I.3

Tableau I- 3: Configuration des serveurs (02) de marque HP Compaq ML 580 G5

Configuration Matérielle des Serveurs

ProLiant Compaq ML 580 G5 Xeon 2800 Ghz

4 Go de RAM

16 X 146 Go de Disque HOT PLUG

2 Cartes Réseau

2 Smart Array Raid Controller

Les caractéristiques de ces deux serveurs sont présentées dans le Tableau I.4:

Tableau I- 4: Configuration des serveurs (02) de marque HP Compaq ML 385 G5

Il faut noter que le grand nombre de serveurs ainsi énuméré au niveau de la BSIC est dû à la politique adopté au niveau du groupe qui veut pour chaque machine un backup parfait et prêt à fonctionner en cas de panne de la machine live.

I.3.5.2 Les Postes de travail

La BSIC dispose d'une centaine de PC HP Pentium 4, CPU 2.40 GHZ munis d'écrans plats de 15 ou 17 pouces. Tous ces postes de travail sont connectés au réseau informatique. Les Caractéristiques des postes de travail sont présentées sur le tableau de la page suivante.

Tableau I- 5: Caractéristique générale des PC HP Pentium 4 mis en place

Fabricant	HP
Processeur	Pentium 4 CPU 2,40 Ghz
Mémoire	512 ou 1000 Mo de RAM
Disque	40 ou 80 Go
Système d'exploitation	Microsoft XP pro (version française ou anglaise)

I.3.5.3 Les imprimantes

1' 02 imprimantes matricielles Epson DFX 9000 ; 1' 11 imprimantes matricielles Epson LQ 590 ;

La plupart de ces imprimantes sont partagées sur le réseau afin de permettre à tous les utilisateurs de pouvoir imprimer sans difficulté.

I.3.5.4 Les scanners

Deux (02) scanners HP SCANJET 4890 d'une vitesse de numérisation de 15PPM sont configurés et installés :

v' Un au service des opérations locales pour la capture des signatures de la clientèle ;

v' un au secrétariat du DG pour la capture des documents de type variable pour les

II.1. PREAMBULE

Une bonne compréhension de l'environnement informatique aide à déterminer la portée d'une politique de sécurité du réseau à adopter. Il est essentiel de disposer d'informations précises sur l'infrastructure réseau physique et les problèmes qui ont une incidence sur le fonctionnement du réseau. En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans le choix d'une politique de sécurité.

II.1.1.Problématique

La sécurité des données au sein d'une banque est très capitale de nos jours. De nombreuses affaires récentes ont mis en avant le problème du respect de la vie privée sur le lieu de travail au travers de l'utilisation parfois abusive de l'informatique et des réseaux.

Pour lutter contre la menace accidentelle ou intentionnelle de ces données, la BSIC s'engage à mettre en place des moyens pour réduire la vulnérabilité de son système. Il convient alors d'identifier les exigences fondamentales en matière de sécurité informatique. Elles caractérisent ce à quoi s'attendent les utilisateurs de systèmes informatiques en regard de la sécurité :

v' disponibilité : demande que l'information sur le système soit disponible tout temps aux personnes autorisées.

v' confidentialité : demande que l'information sur le système ne puisse être lue que par les personnes autorisées.

v' intégrité : demande que l'information sur le système ne puisse être modifiée que par les personnes autorisées.

v' L'interconnexion entre les agences, entre le siège et les différentes filiales ;

II.1.2. But à atteindre

Il s'agit de faire pour notre étude, un état des lieux de la sécurité du réseau informatique actuel. Cet état permettra d'analyser et de contrôler le trafic sur notre réseau, de retrouver les défaillances sur le réseau, les corriger, et de résoudre les problèmes d'intrusions qui pourraient compromettre la sécurité de celui -ci.

Notre étude a alors pour but d'évaluer les faiblesses des systèmes et failles de sécurité des sous réseaux et proposer des solutions aptes à les corriger.

Avec l'étude du réseau existant de la BSIC, nous présenterons des menaces auxquelles la banque fait face, les défaillances par rapport aux sous réseaux, et nous terminerons par des recommandations conformément aux défaillances dans le réseau.

II.2. LE RESEAU INFORMATIQUE DE LA BSIC.SA

Un réseau informatique est un système de communication de données à travers des
équipements informatiques interconnectés entre eux. Cette interconnexion se fait à l'aide

v' Centraliser les informations et les mettre à la disposition de plusieurs utilisateurs ;

Il existe plusieurs types de réseaux informatiques à savoir : WAN, LAN, MAN, etc.... Les différents types de réseaux :

v' LAN (Local Area Network) : c'est un système de communication permettant de relier quelques centaines d'ordinateurs dans un espace géographiquement limité à une salle, ou à un bâtiment. Ce type de réseau est utilisé pour relier entre eux les ordinateurs d'une entreprise. Ces réseaux ont par ailleurs la particularité d'être placés sous une autorité privée. Du fait de la faible dimension de ce type de réseau, les

délais de transmissions sont courts, avec peu d'erreurs, ce qui a l'avantage d'en simplifier l'administration.

" MAN (Metropolitan Area Network) : c'est un réseau qui s'étend sur une zone géographique de la taille d'une ville. Il interconnecte plusieurs LAN géographiquement proches (au maximum quelques dizaines de km) à des débits importants. Ainsi un MAN permet à deux noeuds distants de communiquer comme si ils faisaient partie d'un même réseau local. Autrement dit, les caractéristiques principales du réseau MAN sont : étendue géographique moyenne et limitée (étendue inférieure à 10 km de diamètre environ), débit élevé (entre 10 et 100 Mbps), capacité d'interconnexion de réseaux locaux. Les réseaux MAN peuvent cette fois être placés sous une autorité publique et peuvent être utilisé pour transmettre voix et données.

" WAN (Wide Area Network ou réseau étendu) est un réseau qui interconnecte plusieurs LAN à travers de grandes distances géographiques. Les WAN fonctionnent grâce à des routeurs qui permettent de "choisir" le trajet le plus approprié pour atteindre un noeud du réseau. Ce type de réseau couvre une très large étendue géographique, de l'ordre parfois du millier de kilomètres. Les infrastructures utilisées sont en fait celles déjà existantes, à savoir celles des télécommunications. C'est du coup l'un des points de convergence de l'informatique et des télécoms. Actuellement, ces infrastructures sont renouvelées pour parfaire cette convergence et améliorer la qualité du service fourni par de tels réseaux, mais cela coûte très cher (voir plus bas, les problèmes de performance). Les réseaux WAN sont en fait destinés à transporter des données numériques sur des distances à l'échelle d'un pays, voire d'un continent

ou de plusieurs continents. Le réseau est soit terrestre, et il utilise en ce cas des infrastructures au niveau du sol, essentiellement de grands réseaux de fibre optique, soit hertzien, comme les réseaux satellite [3].

v WAN connexion avec les agences de l'intérieur et les autres filiales de groupe BSIC.

II.2.1. Les LAN de la BSIC.SA

Le réseau informatique de BSIC compte dix(10) LAN (neuf LAN pour les neuf agences et un LAN pour le siège).

II.2.1.1 . Le LAN du Siège.

L'interconnexion de ce réseau LAN est de type client-serveur. C'est un réseau de type étoilé constitué d'un rack contenant différents équipements de connexions situés dans la salle informatique au premier niveau du siège de la banque et des câbles de type catégorie 6 partant de cette salle pour aboutir aux différents postes de travail sous forme de prises réseau.

En effet le Lan du siège est le plus grand de tous les Lan de la BSIC. Il est constitué :

v' D'une centaine (100) d'ordinateurs connectés sur des Switch par l'intermédiaire des

v' trois (3) répartiteurs RJ45 24 ports (dans la salle informatique au premier étage), qui

sont les points de connexion des câbles desservants les prises informatiques murales des différents bureaux ;

v' quatre (4) Switch Cisco 3550 et 2960 pour le brassage des prises informatiques aux

1' un (1) routeur CISCO 3745 jouant le rôle d'autocommutateur téléphonique; ~ un (1) routeur CISCO 2860 jouant le rôle de passerelle avec la BCEAO ;

1' Un (1) routeur CISCO 3640 jouant le rôle de routeur central pour l'interconnexion

1' 18 Modem pour les liaisons LS dont neuf (09) au siège et Un (1) par point de vente ;

1' dix (10) Modem ADSL pour la connexion Internet dont 1 au siège et 09 en agence; 1' trois (3) Modems COMTECH pour le VSAT [2] ;

Le câblage informatique est entièrement encastré. Les câbles transitent par des gaines techniques et ensuite par des boîtes de dérivation à partir desquelles ils sont dirigés dans les différents bureaux. Les postes téléphoniques IP sont connectés aux prises murales.

Les serveurs d'exploitation sont montés en racks dans une armoire 42. Les ordinateurs serveurs fournissent des services et des ressources à la demande des ordinateurs clients. Les machines clientes sont connectées soit aux Switch soit en série avec les téléphones IP. Ces derniers sont à leurs tours raccordés aux prises murales issues des répartiteurs installés dans la salle machine. Les répartiteurs sont à leurs tours reliés aux Switch CISCO qui se communiquent avec les routeurs CISCO.

Dans ce réseau, on retrouve les imprimantes et les scanners partagés par la plupart des services. La majorité des serveurs sont installés dans la salle machine à accès réservé. Le serveur SWIFT est en outre localisés dans une salle au rez-de-chaussée permettant à certains services d'envoyer ou de recevoir des messages SWIFT ; la même salle est utilisée pour le RTGS (le transfert interbancaire à temps réel).

Les réseaux en étoile apportent une administration et des ressources centralisées. Cependant, comme chaque ordinateur est relié à un point central, cette topologie exige davantage de câblage dans le cas d'un grand réseau. De plus, si le point central (commutateur) tombe en panne, tous les ordinateurs connectés sont mis hors service.

Il était facile pour nous d'ajouter de nouveaux ordinateurs et de procéder à des modifications, et à un Contrôle et administration centralisés.

La panne d'un seul ordinateur n'a pas d'incidence sur le reste du réseau. Une station émet sur le réseau un message à destination d'une autre en précisant l'adresse du destinataire (et évidemment sa propre adresse en tant qu'expéditeur). Chaque station du réseau voit passer le message et extrait l'adresse de destination, s'il s'agit de la sienne elle le traite et sinon l'ignore.

II.2.1.2 Le Lan des agences de la BSIC.SA

Le réseau local des agences est un réseau des ordinateurs clients, qui interconnecte ces derniers au réseau LAN du siège. Ce réseau est constitué de :

1' un routeur Cisco pour les interconnexions avec le siège, les autres agences et les

Ce réseau est limité à une salle et présente une architecture de type étoilée car les ordinateurs sont reliés à un Switch central.

II.2.2. Le réseau MAN de la BSIC.SA

Le Réseau MAN de la BSIC est constitué de l'ensemble des LAN de Lomé interconnectés entre eux via les liaisons spécialisées de l'opérateur TOGO TELECOM.

Les agences sont interconnectées à la direction par l'intermédiaire d'une ligne spécialisée louée chez le fournisseur d'accès qui est TOGO TELECOM. Ainsi chaque agence dispose d'un modem Sagem qui lui permet de communiquer aussi bien avec le siège qu'avec les autres agences. Cette interconnexion est de type point à point, car un message pour aller de l'expéditeur au destinataire doit transiter par une station intermédiaire. Il existe alors plus d'un chemin entre deux extrémités. Mais tout se passe comme si les machines des agences sont dans le LAN du siège. Ainsi, chaque agence dispose d'un routeur et d'un modem qui lui permettent de communiquer avec ses partenaires.

II.2.3. Le réseau WAN de la BSIC.SA

Le WAN de BSIC interconnecte plusieurs LAN des différentes Filiales des pays membres. Les échanges d'informations entre Ces différentes filiales BSIC s'effectuent grâce au réseau VSAT installé dans chaque filiale par une société monégasque SONEMA.

1' Trois modems : un modem configuré en réception et émission et un autre qui est

1' un multiplexeur qui assure le routage des informations entre le réseau VSAT et le

1' un Switch qui permet la connexion réseau entre le multiplexeur et les modems.

La sécurité du transfert de données par la VSAT est assurée par la société SONEMA et est conditionnée par un code utilisateur et un mot de passe lesquels permettent de loguer sur un répertoire spécifique. De plus un firewall FORTIGATE 500 est installé au Benin pour empêcher les intrusions et possède un module d'antivirus.

Ce système de VSAT relie la BSIC-TOGO avec les autres filiales comme BSIC-MALI, BSIC-BENIN etc. Le transfert de données dans ce réseau se fait par l'intermédiaire d'un protocole FTP.

Exemple : Le service informatique du Mali charge le DUMP (sauvegarde ou backup) du TOGO à partir d'un serveur de messagerie par le protocole FTP (file transfert protocole). Ce serveur est en fait un serveur FTP qui sert de dépôt des rapports d'activités journalières de la banque que les informaticiens locaux uploadent.

Outres ces liaisons VSAT, le WAN de BSIC interconnecte l'agence de KARA à celles de LOME notamment le siège.

Pour atteindre ces objectifs, la BSIC.SA entame la construction de nouvelles agences à l'intérieur du pays dont entre autres : l'agence de Kpalimé, l'agence de Sokodé, l'agence de Cinkassé.

L'architecture de ce réseau est matérialisée par la Figure III.3 ci-dessous :

Dans les différents LAN, la BSIC dispose d'un type de réseau WAN comme Internet. Mais pour des raisons de sécurité, la BSIC dispose d'une charte appelée CHARTE INFORMATIQUE qui impose au sein de chaque entité du groupe une nette scission entre le réseau Internet et le LAN local. A cet effet, le réseau Internet de la banque est assuré suivant une technologie appelé courant porteur. Ainsi seuls quelques postes de travail spécifiques vont sur l'internet.

Le JUNIPER (un équipement intégré servant de Firewall. C'est un Firewall matériel qui fait le NAT et le routage), le modem ADSL, les modules CPL, les Switch, et les câbles UTP.

II.3. CRITIQUE DE L'EXISTANT

En vue de faciliter le travail des employés et de rendre meilleur service à ses clients, la BSIC dispose d'un serveur d'antivirus Symantec Endpoint déployé dans le réseau. Ce serveur gère la sécurité des systèmes des serveurs et de postes de travail. Mais il nous a été donné de constater que la plupart des postes de travail sont vérolés, tous les postes de travail ne sont pas équipés d'un client d'antivirus Symantec et ce serveur antivirus n'est pas mis à jour. En effet sur la majorité des ordinateurs de bureau les icônes sont bleuâtres, le chargement du système d'exploitation est relativement lent, les diverses applications telle que Smartbank tournent lentement, ce qui ralentit la capacité des utilisateurs à répondre à certaines requêtes rapidement. D'autres machines vont jusqu'à se planter, nécessitant le redémarrage et la reprise des travaux effectués précédemment lorsque ceux-ci n'avaient pas été préalablement enregistrés.

Il était formellement interdit de faire usage des périphériques de stockage USB et de lecteur cd ROM sur les postes clients, toutefois pour des raisons pratiques certains postes ont leurs interfaces USB ouverts. Les utilisateurs de ces postes de travail font usage de leurs clés USB personnels pour le traitement des données, or ces clés constituent une importante source d'infections expliquant en partie l'origine des virus sur ces postes. La plupart de ces virus sont des virus de type compagnons.

L'utilisation de ces clés est néfaste non seulement au système informatique mais aussi à la sécurité de la banque, parce qu'un utilisateur malintentionné peut utiliser ces données à des fins personnelles.

Une autre preuve de l'infection du système vient du fait que nous découvrons très souvent des virus compagnons sur les clés USB que nous branchons sur UBUNTU (Une distribution LINUX que nous avons installé sur nos ordinateurs portables en dual boot avec Windows).

Il existe des postes de travail et des serveurs qui sont de véritables sources de dangers pour le système d'information de la banque. Certains postes de travail utilisés pour différentes tâches se connectent à différents réseaux. En effet il existe un poste qui est généralement utilisé pour collecter les informations relatives aux salaires des clients. Ces informations sont la plupart du temps fournies sur une clé USB dont on ne fait pas l'analyse et qui constituent une porte

d'entrée de programmes malveillants dans le système. Le même poste est utilisé sur Internet pour répondre aux besoins de la banque. Certes le réseau Internet est protégé par le firewall du routeur modem ADSL et du firewall matériel JUNIPER SSG 20, mais cela n'empêche pas les virus et les vers informatiques de passer sur le réseau. Quand on sait que ce poste est tantôt connecté à Internet et tantôt connecté au réseau local qui, en principe ne devait pas être lié à Internet, on conçoit facilement que cela constitue un danger potentiel pour le système d'information de la BSIC - TOGO.

Le bon fonctionnement du serveur antivirus Symantec Endpoint est confié à un prestataire, or il nous a été donné de constater que, depuis le début de notre stage ce serveur n'était pas réellement fonctionnel. Ce n'est que le 26 Août que le personnel du service prestataire était passé pour remettre en marche ledit serveur. Que ne fût notre surprise lorsque le chargé déclara que le serveur même était vérolé et qu'il fallait procéder à une réinstallation. Toutefois, jusqu'à l'heure où nous écrivons ces lignes, ce serveur n'est pas encore fonctionnel. Ce qui constitue un grand danger pour presque tous les postes du siège et ceux des agences. Ces dysfonctionnements constatés ici et là poussent certains administrateurs à installer des antivirus gratuits sur les postes de travail, genre Antivir gratuit, ce qui ne va pas dans l'intérêt de la banque, quand on connaît l'origine et le fonctionnement des antivirus gratuits qui deviennent quelques fois plus dangereux que les virus, car refusant de se désinstaller, infectant les registres et bloque souvent l'onglet Exécuter de WINDOWS.

Une utilisation faite de la VSAT est l'échange des données inter filiales. Cet échange se fait d'une part par l'accès au serveur FTP des filiales par la filiale du Mali pour la récupération des sauvegardes journalières et d'autre à travers le produit intranet ComAgent. Il faut signaler que ce produit ComAgent permet aux agents connectés de discuter en ligne et aussi échanger des fichiers. La connexion VSAT aux filiales permet un accès à internet. Il est bien attendu que des moyens de sécurité sont installés pour sécuriser un tel réseau. Néanmoins, il reste à remarquer qu'un virus qui arriverait à passer par les mailles de ces moyens infecterait toutes les filiales du groupe BSIC. Le vrai danger proviendrait d'un utilisateur malveillant d'une filiale qui pourrait avoir accès au système d'information de la banque étant donné que les filiales BSIC utilisent un même schéma d'adressage. Cette menace d'intrusion reste à prendre

au sérieux car si la BSIC fait confiance en ses agents, les étudiants en stage constituent dans la plupart des cas, les premières menaces en matière d'intrusion.

La communication avec la BCEAO se fait par une liaison spécialisée allouée par le fournisseur d'accès TOGO TELECOM. Si au niveau de la BCEAO il existe un firewall pour le filtrage des informations venant de la plupart des banques pour la Télécompense, la BSIC - TOGO S.A. dispose quant à elle d'un firewall matériel CISCO PIX dont elle ne fait pas usage. Etant donné que le fournisseur d'accès offre ses services à d'autres institutions, l'absence d'un second firewall sur le réseau est préjudiciable à la BSIC TOGO En effet, de nos jours, les spécialistes des réseaux ont à leur disposition plusieurs moyens pour détourner, falsifier et injecter des données sur presque tous les types de réseaux. Ainsi une compromission des données chez le fournisseur d'accès peut avoir des répercussions graves sur les activités de la BSIC TOGO. Il n'existe aucun outil de détection d'intrusion sur le réseau : les NIDS (Networks Intrusion Detection System) pour vérifier les accès au système d'information de la banque. Cela permet de détecter les accès non autorisés, et de poursuivre éventuellement les pirates lorsqu'on arrive à retracer correctement le chemin de l'attaque.

Outre ces problèmes liés à certains choix opérationnels, d'autres vulnérabilités d'ordre général sont aussi à signaler. Il s'agit en effet des:

Certaines menaces aux réseaux informatiques ne sont pas spécifiques à ce secteur. Parmi elles, nous pouvons citer :

> Les vols et sabotages de matériels : vols d'équipements matériels, destruction

Les menaces que nous venons d'énumérer sont à prendre au sérieux. Une étude générale sur le scanning du réseau, nous permettra d'avoir une idée sur le trafic et les transactions sur le réseau.

II.4. LES APPROCHES DE SOLUTIONS

Les solutions que nous pouvons proposer sont multiples et variées, vu que les problèmes se situent à plusieurs niveaux, toutefois un accent particulier sera mis sur la sécurité des systèmes.

1' L'installation et la configuration des outils de monitoring en environnement linux

car aujourd'hui, de plus en plus d'entreprises choisissent de déployer des systèmes sous plates-formes libre comme linux.

Pour ce projet, nous avons choisi Ubuntu, une distribution linux stable et conviviale pour installer les outils comme Snort, Sara, Etherape qui sont eux-mêmes libres.

> Snort pour sa part, est un logiciel qui offre un format ouvert et documenté qui

permet d'écrire les règles de son choix. Snort est donc un système open source pour la prévention des intrusions, capable de fournir une analyse complète du trafic en temps réel et de réaliser un journal sur le contenu des paquets entrants et sortants sur les réseaux fonctionnant en protocole IP et peut facilement diagnostiquer une attaque spécifique.

for Analyzing Networks). Il permet de relevé les vulnérabilités dans le réseau et présente aussi un rapport de résultat de scanning.

Ce protocole présente un l'intérêt d'être une solution évolutive, puisque les algorithmes de chiffrement et d'authentification à proprement parler sont spécifiés séparément du protocole lui-même. Il est transparent vis-à-vis des applications, des utilisateurs (c'est à dire de n'importe quel protocole de couche supérieure), il est aussi adaptable ou Paramétrable:

Il a cependant l'inconvénient inhérent à sa flexibilité : sa grande complexité rend son implémentation délicate.

v' L'utilisation d'un seul et unique antivirus propriétaire toujours mis à jour en vue

d'éviter les conflits entre les anti-virus : l'installation et le déploiement de l'antivirus Kaspersky serait bénéfique car le groupe BSIC vient d'opter pour Kaspersky. Aussi Kaspersky permet une gestion centralisée du réseau et fournit un service de contrôle des ports USB. C'est le meilleur logiciel antivirus sous Windows et signale même l'exploitation de failles de sécurité dans les emails infectés.

v' La mise en service du firewall matériel CISCO PIX dans le réseau local qui servira

de pare feu entre le réseau local et ses agences y compris la BCEAO qui permettra à la banque de lutter contre des intrusions.

v' La mise à disposition de poste supplémentaire pour le personnel qui doit travailler à

Dans la suite de notre travail, nous présenterons l'aspect technique des solutions énumérées, afin de choisir une solution appropriée pour la sécurité du réseau de BSIC.

L'étape finale de notre étude est le déploiement des solutions proposées. Mais avant ce déploiement, il est préférable de prendre un recul et de considérer la sécurité dans son ensemble et non pas comme une suite de technologies et de procédures remplissant des besoins spécifiques mais plutôt comme une activité à part entière pour laquelle s'applique des règles simples. Actuellement, cet enjeu est devenu primordial. En effet, de plus en plus de pirates scrutent le réseau afin de déceler d'éventuelles failles dans le système qui leurs permettraient entre autres de s'introduire dans ceux-ci, afin de détourner des informations confidentielles ou même de l'argent.

En sécurité informatique, on ne parle pas d'éliminer complètement les risques mais de les réduire au minimum par rapport aux besoins du système d'information.

L'enjeu principal des réseaux, et en particulier des réseaux qui s'interconnectent du point de vue de la sécurité, est de se préserver des attaques externes et internes. Ces attaques peuvent nuire au maintien de la confidentialité, de l'intégrité et de la disponibilité du réseau et des données qui y cheminent.

Les objectifs d'une politique de sécurité sont de garantir la sécurité des informations et du réseau de l'entreprise.

1' Disponibilité : les données doivent rester accessibles aux utilisateurs. C'est la

1' Confidentialité : les données ne doivent être visibles que pour des personnes

autorisées. C'est le fait de ne pas divulguer des informations sensibles propres à l'entreprise.

1' Intégrité : il faut pouvoir garantir que les données protégées n'ont pas été modifiées

par une personne non autorisée. Le but étant de ne pas altérer les informations sensibles de l'entreprise.

1' Non répudiation : on doit pouvoir certifier avec exactitude quand un fichier a subi des modifications par la personne qui l'a modifié.

Dans la suite de notre travail, nous aborderons respectivement l'étude de déploiement des outils d'intrusions ; et une présentation du protocole IPSEC;

III1. DEPLOIEMENT DES OUTILS DE MONITORING

III.1.1. La détection d'intrusion en général

III.1.1.1 Présentation de la détection d'intrusion

En effet, de plus en plus d'entreprises subissent des attaques qui peuvent entraîner des pertes conséquentes. Le besoin des entreprises en sécurité informatique est de plus en plus important, et un élément essentiel d'une bonne politique de sécurité est l'utilisation d'un IDS.

Un IDS a principalement pour fonction d'analyser en temps réel ou différé les événements en provenance des différents systèmes, de détecter et de prévenir en cas de signes d'attaques visibles contre le système d'information. Il s'agit d'un équipement permettant de surveiller l'activité d'un réseau ou d'un hôte donné, afin de détecter toute tentative d'intrusion et éventuellement de réagir à cette tentative. Cela a pour but de repérer les activités et évènements anormaux, suspects. Cela permet ainsi d'avoir une action de prévention sur les différents risques d'intrusion.

III.1.1.2 Fonctionnalités d'un système d'IDS [1]

Un IDS permet de repérer des anomalies dans le trafic réseau. Les anomalies du trafic réseau sont les suivantes :

> Détecter les tentatives de découvertes du réseau, qui sont la phase préparatoire

à une attaque proprement dite. En effet, l'attaquant va d'abord tenter de découvrir l'architecture technique du Système d'Information (SI). Il voudra connaître les versions des logiciels et systèmes d'exploitation utilisés, afin de rechercher sur Internet si des faiblesses existent sur ces versions.

> Détecter l'attaque ou « exploit » utilisé lors de l'attaque. Détecter dans certains

requêtes inutiles pour le surcharger et diminuer ses performances (temps de réponse).

1' Une attaque d'ampleur de type « ver ». Un ver est un virus qui se reproduit tout seul

dans le réseau. Il génère donc un trafic réseau qui peut être reconnu par un IDS. Dans ce cas on peut :

L'IDS analyse l'ensemble des messages de type maintenance du réseau (protocole ICMP) et détecte les problèmes de configuration, qui autrement finiraient par rendre le réseau peu performant, voir instable. Des systèmes utilisant de vieux protocoles peu sécurisés et non autorisés comme telnet, rlogin, ftp. Dans ce cas, les buts sont nombreux :

III.1.1.3 L'architecture générale d'un système de détection d'intrusion

Une source de données pour la capture des trames sur le réseau et les logs du système de
senseurs, c'est là que se font l'analyse et la détection de filtres et d'une console demonitoring.

Un IDS a quatre fonctions principales : l'analyse, la journalisation, la gestion et l'action.

v' Analyse: Analyse des journaux du système pour identifier des intentions dans la masse de données recueillie par l'IDS. Il y a deux méthodes d'analyse : L'une basée sur les signatures d'attaques, et l'autre sur la détection d'anomalies.

1' Journalisation: Enregistrement des évènements dans un fichier de log. Exemples d'évènements : arrivée d'un paquet, tentative de connexion.

v' Gestion: Les IDS doivent être administrés de manière permanente. On peut assimiler un IDS à une caméra de sécurité.

v' Action: Alerter l'administrateur quand une attaque dangereuse est détectée.

Dans un IDS, il existe deux méthodes de détection qui sont d'un côté, la détection par la reconnaissance de signature et de l'autre, la détection d'anomalies. Nous allons décrire ces deux procédures de détection dans les lignes suivantes.

La détection par reconnaissance de signature se fait à travers une base de données de signatures d'attaques devant être continuellement mise à jour.

Cette approche consiste à rechercher dans l'activité de l'élément surveillé les empreintes d'attaques connues.

Ce type IDS ne peut détecter que les attaques dont il possède la signature. De ce fait, il nécessite des mises à jour fréquentes. Cette méthode ne permet pas de détecter les nouvelles attaques ou les variantes d'anciennes attaques dont les caractéristiques ont été modifiées. La détection d'anomalies se fait par une comparaison entre un comportement normal qui va servir de base et le comportement du système à analyser.

Tout trafic déviant des caractéristiques normales est supposé malveillant. Cette méthode peut détecter de nouvelles attaques dont les caractéristiques ne correspondent pas aux caractéristiques normales.

La mise en oeuvre comprend toujours une phase d'apprentissage au cours de laquelle les IDS vont découvrir le fonctionnement normal des éléments surveillés. Ils sont ainsi en mesure de signaler les divergences par rapport au fonctionnement de référence.

III.1.1.4 Pourquoi un Système de Détection d'Intrusion (SDI ou IDS)?

Le but du système de détection d'intrusion n'est pas seulement de détecter les cas où il y a contournement des dispositifs de sécurité tel que le pare-feu de l'entreprise mais également de détecter des comportements anormaux à l'intérieur des règles d'accès.

Aujourd'hui, nombreux sont les administrateurs systèmes ou réseaux qui n'ont pas de système de détection d'intrusion.

v' Par la suite, le but est de signaler ces événements et de les transformer en

information utile à l'entreprise pour pouvoir corriger le problème afin qu'il ne se reproduise pas des dénis de services et des vols d'information pour collecter les traces des intrusions.

III.1.1.5 Test de vulnérabilité ou d'intrusion avec les outils proposés

III.1.1.5.1 Scan de vulnérabilités avec SARA

III.1.1.5.1.1 Présentation

En 1995, est apparu un outil d'administration pour tester la sécurité d'un réseau, avec le nom évocateur de SATAN (Security Administrator Tool for Analyzing Networks). Il avait la particularité d'être Open Source, il est très vite devenu un standard et fut à la base d'une pléthore d'outils équivalents. Le problème est que maintenant SATAN commence fortement à dater, ça fait un paquet de temps qu'il n'a pas été remis à niveau, en d'autres termes, il est actuellement complètement dépassé. En conséquence une boîte (Advanced Research Corporation) commença le développement d'un outil similaire au goût du jour, ainsi naquit SARA (Security Auditor Research Assistant), comme SATAN, SARA est Open Source et présente quelques caractéristiques :

1' Fonctionne sous les systèmes d'exploitation Unix, Linux, MAC OS/X et Windows (via coLinux) ;

III.1.1.5.1.2 Installation

On peut récupérer l'archive de SARA à savoir sara-7.9.2a.tar.gz à l'URL http://www.net security.org/software.php?id=21 qu'on décompressera en tapant : tar xvfz sara-7.9.2a.tar.gz.

Après décompression, vous allez récupérer un répertoire sara-7.9.2a. Vous devez avoir préalablement installé le package tcsh. Puis dans le répertoire ainsi obtenu, il suffit de taper successivement : ./configure et make.

v' ./configure (en pratique elle va faire 2 choses, tout d'abord vérifier que toutes les

dépendances sont présentes, et ensuite configurer et écrire un fichier Makefile qui contiendra les ordres de compilation. A chaque erreur de dépendance, à vous d'installer ce qu'il manque. Comme en général, il s'agit d'une bibliothèque.): en tant que root nous avons tapé cette commande et l'extrait du résultat est :

checking for suffix of executables... checking for suffix of object files... o checking whether we are using the GNU C compiler... yes

checking if sys_errlist is declared... yes checking if system netinet headers work... no

Il va créer des exécutables sous ./ sara-7.9.2a /bin . L'exécutable de lancement de SARA se trouve directement sous ./sara, et la sortie de cette commande affiche certaines informations dont l'extrait est :

checking whether the C compiler works... yes checking whether we are cross compiling... no

checking whether we are using the GNU C compiler... yes checking whether gcc accepts -g... yes

checking for a BSD compatible install... /usr/bin/install -c checking for login... /bin/login

Utilisation : En tant que root il suffit de taper./sara-7.9.2a /sara pour lancer l'outil SARA. Ce dernier se lance automatiquement avec le navigateur qui est par défaut sur le système d'exploitation. Pour mozilla, il y a une chose à modifier dans les Préférences pour que ça puisse marche.

Edition >Préférences > Navigateur >Applications > dans la liste choisir Perl Program (au besoin créer un Nouveau Type) >.

III.1.1.5.1.3 Test de vulnérabilité avec SARA

L'outil SARA nous permettra de tester la sécurisation des machines du réseau, il nous révélera nos trous de sécurité et nous avertira des problèmes potentiels, à partir de là libre à nous de "boucher" les trous en question et d'upgrader certains programmes présentant quelques déficiences de sécurité. Cet outil procède en scannant notre machine, en testant tous les ports ouverts notamment et en testant un grand nombre de trous de sécurité connus.

Avec cet outil Sara, nous avons mené un scan sur le serveur DNS, et le résultat de scanning est illustré sur la Figure III.1

Sara offre un tableau indicatif qui indique le degré de vulnérabilité de l'élément testé. Signification de couleurs dans le tableau ci-dessous :

Le Tableau III.2 présente ce tableau indicatif avec la signification des couleurs.

Outre ce tableau, l'outil Sara présente un fichier log de scanning que nous avons désigné rapport de scanning.

III.1.1.5.2. Test de surveillance avec ETHERAPE

L'Etherape est un outil de surveillance réseau, il affiche graphiquement l'activité réseau. Les hôtes actifs sont montrés sous forme de cercles de tailles variables et le trafic entre eux est montré sous forme de lignes d'épaisseurs variables. Il est basé sur GNOME et libpcap.

Chaque transfert de donnée est représenté par un trait ainsi qu'un disque de couleur au point d'origine. Les protocoles sont représentés par des couleurs différentes, plus le transfert est important, plus le disque et le trait sont grands. EtherApe fait visualiser les transferts par IP de destination ou bien par ports TCP. Il est possible d'enregistrer les activités du réseau afin de les étudier par après. Les destinations des transferts d'informations sont affichées soit par son adresse IP soit par l'appellation courante (utilisation d'un serveur DNS).

Etherape nous a permis de détecter facilement les adresses IP externes sur le réseau local de BSIC-TOGO. Le réseau de BSIC-TOGO est un sous réseau de classe A (10.10.X.Y, 255.255.0.0). Par l'outil de monitoring Etherape, on a retrouvé certaines adresses méconnues confirmant ainsi nos inquiétudes :

v'	192.5.5.241 ;
v'	192.33.4.12 ;
v'	192.58.128.30 ;
v'	192.112.36.4 ;
v'	202.12.27.33 ;
v'	224.0.0.251 ;
v'	128.63.2.41 ;
v'	192.228.79.201 ;
1'	224.0.0.5;

D'après le RFC 1918, les adresses 10.0.0.0 à 10.255.255.255, 172.16.0.0 à 172..31.255.255, 192.168.0.0 à 192.168.255.255 sont des adresses réservées aux réseaux privés. 202.12.27.33 est l'adresse d'un serveur DNS secondaire dont le nom est M.ROOT SERVERS.NET.

192.228.79.201 est l'adresse d'un serveur DNS secondaire dont le nom est B.ROOTSERVERS.NET.

Dans la classe D: les adresses 224.0.0.x et 224.0.1.x (x=0 à 255) sont réservées pour des protocoles de routage ou autres protocoles de service. Le 224.0.0.5 est l'adresse du routeur OSPF. Les routeurs OSPF sont bien élevés. Dès qu'ils sont activés, ils n'ont qu'une hâte : se présenter et faire connaissance avec leurs voisins. En effet, lorsque le processus de routage est lancé sur un routeur, des paquets de données (appelés paquets HELLO) sont envoyés sur chaque interface où le routage dynamique a été activé. L'adresse multicast 224.0.0.5 est utilisée, tout routeur OSPF se considère comme destinataire. Ces paquets ont pour but de s'annoncer auprès de ses voisins. Deux routeurs sont dits voisins s'ils ont au moins un lien en commun.

Toutes ces adresses précitées ont été recueillies par ETHERAPE indiquées à la Figure III.4

III.1.1.5.3 Test d'intrusion avec Snort

Snort est un système de détection d'intrusion libre pour le réseau (ou NIDS) publié sous licence GNU GPL. On gère sa configuration par des règles (rules), une communauté d'utilisateurs partage librement ces configurations.

L'idée exploitée par ce type de systèmes est que, toute attaque est caractérisée par une signature reconnaissable grâce à un système de surveillance en écoute sur le réseau. Un tel système sera en particulier capable de détecter la plupart des scans réseau, y compris les scans lents ou furtifs [6].

C'est également le cheval gagnant en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et organisations gouvernementales. Snort est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès.

Oinkmaster va alors se charger de télécharger les règles depuis le site emergingthreats vers /etc/snort/rules.

Ce site change souvent de nom et d'URL car les règles étant publiques, toute personne avec de bonnes comme de mauvaises intentions peut y accéder. Malgré tout, ces règles sont très bien faites et Emergingthreats dépense beaucoup de temps et d'énergie à nous faire de bonnes règles de détection.

55 13 * * 6 /usr/sbin/oinkmaster -o /etc/snort/rules Ensuite, vous faites echap : wq pour enregistré et quitté.

Ensuite insérez un commentaire à la fin du fichier snort.conf (pour s'y retrouver avec l'insertion des futures règles):

for i in `ls -1 emerging*`; do echo "include \$RULE_PATH/"$i ; done >> /etc/snort/snort.conf ''**for i in `ls -1 emerging*`; do echo "include \$RULE_PATH/"$i » /etc/snort/snort.conf ; done;**''

Cela va nous économiser une bonne dizaine de minutes en listant, (affichant) et insérant toutes les règles avec le mot "emerging" dans le fichier de conf de Snort.

Tout en bas du fichier, en dessous de # EmergingThreats.net Rules On verra toutes les règles insérées avec la méthode ci-dessus, il faut en commenter quelques-unes.

Commentez #include $RULE_PATH/emerging-botcc-BLOCK.rules Commentez #include $RULE_PATH/emerging-compromised-BLOCK.rules Commentez #include $RULE_PATH/emerging-drop-BLOCK.rules Commentez #include $RULE_PATH/emerging-dshield-BLOCK.rules Commentez #include $RULE_PATH/emerging-rbn-BLOCK.rules

III.1.1.5.4 Autres outils de scan III.1.1.5.4.1 Scan avec Nmap

Nmap est un outil d'exploration réseau et scanneur de ports/sécurité dont la syntaxe est la suivante : nmap [types de scans ...] [options] {spécifications des cibles}. Nmap existe aussi en mode graphique sous le nom « Zenmap GUI ».

Nmap permet d'éviter certaines attaques et aussi de connaître quels services tournent sur une machine. Une installation faite un peu trop vite peut laisser des services en écoute (donc des ports ouverts sans que cela ne soit nécessaire) et donc vulnérables à une attaque. Nmap est un logiciel très complet et très évolutif, et il est une référence dans le domaine du scanning

Nmap permet d'effectuer des scans en utilisant des différentes techniques. Parmi la douzaine de techniques de scan connues, on peut citer les suivantes:

1' Scan TCP SYN: Le scan SYN est celui par défaut et le plus populaire pour de bonnes raisons. Il peut être exécuté rapidement et scanner des milliers de ports par seconde sur un réseau rapide lorsqu'il n'est pas entravé par des pare-feu. Le scan SYN est relativement discret et furtif, vu qu'il ne termine jamais les connexions TCP. Nmap émet un paquet sur le port ciblé et attend la réponse qui peut être :

> un paquet SYN/ACK qui indique que le port est ouvert ; > un paquet RST qui indique que le port est fermé ;

Faire ce type de scan requiert l'option -sS (Scanner TCP SYN. C'est la technique Half-Open (à demi ouvert). Vous envoyez à l'ordinateur ou serveur distant des paquets de type SYN| ACK pour savoir si le port est ouvert. Si vous recevez un message de type RST, cela signifie que le port est fermé ou bloqué.).

v' Scan TCP connect : c'est le type de scan par défaut quand le SYN n'est pas utilisable.

Tel est le cas lorsque l'utilisateur n'a pas les privilèges pour les paquets bruts (raw packets) ou lors d'un scan de réseaux IPv6. Son exécution est plus lente que le premier et requiert l'option -sT.

v' Scan UDP : même si les services les plus connus d'Internet sont basés sur le

protocole TCP, les services UDP sont aussi largement utilisés. DNS, SNMP ou DHCP (ports 53, 161/162 et 67/68) sont les trois exemples les plus courants. Comme le scan UDP est généralement plus lent et plus difficile que TCP, certains auditeurs de sécurité les ignorent. C'est une erreur, car les services UDP exploitables sont courants et les attaquants eux ne les ignoreront pas. Le scan UDP est activé avec l'option -sU. Il peut être combiné avec un scan TCP, comme

le scan SYN (-sS), pour vérifier les deux protocoles lors de la même exécution de Nmap.

v' Scanner mode Stealth, Xmas Tree ou Null Scan (-sF -sX -sN): si l'ordinateur ou le

serveur à distance est sécurisé, les paquets de type SYN seront restreints. Cette technique peut transpercer le pare-feu et être indétectable. Le but est que les ports fermés répondent à la requête avec un RST. Le scanneur FIN utilise un paquet vide pendant que le scanner Xmas Tree active les flags (drapeaux) comme FIN, URG et PUSH.

Pour connaître toutes les options de nmap en environnement Linux, il suffit de taper:

Nmap retourne les résultats des scans sous forme d'états de ports scannés. Les six états des ports reconnus par Nmap sont :

1' Ouvert : une application accepte des connexions TCP ou des paquets UDP sur ce port ;

v' fermé : le port fermé est accessible (il reçoit et répond aux paquets émis par Nmap),

v' filtré : Nmap ne peut pas toujours déterminer si un port est ouvert car les dispositifs

de filtrage des paquets empêchent les paquets de tests (probes) d'atteindre leur port cible ;

v' non-filtré : l'état non-filtré signifie qu'un port est accessible, mais que Nmap est

v' ouvert|filtré : Nmap met dans cet état les ports dont il est incapable de déterminer

v' fermé|filtré : cet état est utilisé quand Nmap est incapable de déterminer si un port

est fermé ou filtré. Cet état est seulement utilisé par le scan Idle basé sur les identifiants de paquets IP.

Nous avons présenté dans cette section l'outil Nmap puis nous l'avons utilisé pour scanner le réseau local de la Direction de BSIC.SA.

Le scan des ports des adresses des routeurs nous a révélé un certain nombre d'informations (les ports ouverts et les services à l'écoute sur ces ports, les ports fermés, les ports filtrés et les services à l'écoute sur ces ports, les systèmes d'exploitation, le type de matériel, ...). Les différentes informations révélées dans cette section à travers les scans peuvent permettre aux administrateurs et responsables de sécurité du réseau de désactiver certains services installés

et non-utilisés. Elles peuvent aussi permettre aux attaquants potentiels d'avoir plus d'amples informations sur le réseau qui représente leur proie.

III.1.1.5.4.2 Scan avec Tcpdump

Tcpdump est un utilitaire le plus couramment utilisé pour ces manipulations. Il s'agit tout simplement du logiciel le plus complet et le plus performant en la matière. Commençons tout d'abord avec quelque chose de simple (notez que seul le root peut utiliser tcpdump pour des raisons de sécurité) :

Cette commande nous donne la liste des interfaces qu'on peut écouter et l'option - i nous précise l'interface d'écoute. Pour consulter toutes les options possibles de cette commande, faisons tout simplement man tcpdump.

v' Pour afficher les adresses IP sur l'interface eth0, on fait #tcpdump -n -i eth0 ;

10.14.10.100, on tape #tcpdump src 10.14.1.101 and dst 10.14.10.100 and port ftp. Par cette dernière commande, nous pouvons dire qu'il est possible de sélectionner les paquets à "écouter" en fonction d'expressions. Ainsi, ne seront affichées et traitées que les informations pour lesquelles le résultat de l'expression est vérifié. Une expression est composée d'un mot clé suivi d'une valeur numérique ou autre. Ainsi, il est possible de classer les mots clés en catégories :

> Les mots clés permettant de définir une direction : Entrent dans cette catégorie

les mots src(source) et dst (destination). Il est possible de combiner ces deux mots clés avec les opérations logiques and (et) et or (ou). On peut ainsi définir avec précision la source et/ou la destination des paquets qui nous intéressent.

> Les mots clés permettant de définir le type de valeur que nous préciserons. Il

> Enfin, nous avons les mots clés concernant les protocoles. Ici, les mots sont

III.1.2. Détection des systèmes et des services de cartographie

Nous allons maintenant établir la cartographie de plate-forme cible. A ce stade, nous ne
sommes plus furtifs, car nous allons effectuer des requêtes directement sur les systèmes cibles

Pour déterminer les machines situées entre les serveurs cible et nous, nous avons utilisé les outils traceroute et le scan d'Axence NetTools professionnal.

Pour traceroute, Il s'agit d'observer la réponse de chaque équipement atteint, jusqu'à la cible, en fonction de la valeur attribuée au TTL.

L'outil Axence NetTools Pro nous a permis d'avoir toutes les adresses IP des machines connectées au réseau d'exploitation avec leurs noms correspondant ainsi que les services tournant. Axence NetTools Pro est un outil d'analyse et de diagnostic des ordinateurs ainsi que de la connexion Internet et réseau.

Cette application scanne les ports afin de détecter l'intrusion de spywares et autres éléments malveillants, liste tous les ports ouverts et les protocoles utilisés (HTTP, POP3, MS SQL, Oracle, etc.), vérifie les adresses IP, prend en charge le ping et le routage, surveille la bande passante, et bien plus. Ainsi, avec cet outil nous avons mené un scan présenté par la

Avec l'outil THE dude, nous avons un aperçu du réseau et il nous a permis de présenter l'architecture logique du réseau BSIC à la Figure III.8.

III.2. PRESENTATION DU PROTOCOLE IPSEC CISCO

III.2.1. Généralité

IPSec est un ensemble de protocoles conçu par l'IETF afin de sécuriser le trafic IP. Initialement conçu dans la philosophie d'IPv6, IPSec est un système d'encapsulation offrant les services de sécurité requis au niveau IP. Néanmoins, étant donné que les besoins en matière de sécurité sur Internet et sur les Intranets ne peuvent attendre que la totalité (ou d'au moins une grande majorité) du parc informatique mondial ait migré vers IPv6, il est nécessaire que IPSec soit également utilisable avec IPv4. Une manière commode de procéder, qui a l'avantage de garantir la compatibilité avec toutes les implémentations existantes du protocole IP sans avoir à les modifier, est de considérer le protocole IPSec comme un protocole indépendant, implémentable comme un module additionnel sous forme d'un logiciel ou d'un équipement électronique dédié.

La solution IPsec introduit des mécanismes de sécurité au niveau du protocole IP, de telle sorte qu'il y ait indépendance vis-à-vis du protocole de transport. Le rôle de ce protocole de sécurité est de garantir l'intégrité, l'authentification, la confidentialité et la protection.

III.2.2. Les services offerts par IPSEC [2]

Une communication entre deux hôtes, protégée par IPSec, est susceptible de fonctionner suivant deux modes différents : le mode transport et le mode tunnel.

Le premier mode offre essentiellement une protection aux protocoles de niveau supérieur, le second permet quant à lui, d'encapsuler des datagrammes IP dans d'autres datagrammes IP dont le contenu est protégé. L'intérêt majeur de ce second mode est qu'il traite toute la partie IPSec d'une communication et transmet les datagrammes épurés de leur partie IPSec à leur destinataire réel réalisable. Il est également possible d'encapsuler une communication IPSec en mode tunnel, elle-même traitée par une passerelle de sécurité, qui transmet les datagrammes après suppression de leur première enveloppe à un hôte traitant à son tour les protections restantes ou à une seconde passerelle de sécurité.

III.2.2.1. AH (Authentication Header)

AH est le premier et le plus simple des protocoles de protection des données qui font partie de la spécification IPSec. Il est détaillé dans le RFC 2402 [RFC 2402]. Il a pour vocation de garantir :

v' L'authentification : les datagrammes IP reçus ont effectivement été émis par l'hôte

v' L'unicité (optionnelle, à la discrétion du récepteur) : un datagramme, ayant été émis

légitimement et enregistré par un attaquant, ne peut être réutilisé par ce dernier, les attaques par rejeu sont ainsi évitées.

v' L'intégrité : les champs suivants du datagramme IP n'ont pas été modifiés depuis

leur émission : Données (en mode tunnel, ceci comprend la totalité des champs, y compris en-têtes du datagramme IP encapsulé dans le datagramme protégé par AH), version (4 en IPv4, 6 en IPv6), longueur de l'en-tête totale du datagramme (en IPv4), longueur des données (en IPv6), identification, protocole ou en-tête suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'émetteur, adresse IP du destinataire (sans Source Routing).

Le protocole AH n'assure pas la confidentialité des données : les données sont signées mais pas chiffrées.

III.2.2.2 ESP (Encapsulating Security Payload)

ESP est le second protocole de protection des données qui fait partie de la spécification IPSec. Il est détaillé dans la RFC 2406 [RF406]. Contrairement à AH, ESP ne protège pas les en-têtes des datagrammes IP utilisés pour transmettre les communications. Seules les données sont protégées. En mode transport, il assure :

v' La confidentialité des données (optionnelle) : la partie donnée des datagrammes IP

transmis est chiffrée. L'authentification (optionnelle, mais obligatoire en l'absence de confidentialité) : la partie donnée des datagrammes IP reçus ne peut avoir été émise que par l'hôte avec lequel a lieu l'échange IPSec, qui ne peut s'authentifier avec succès que s'il connaît la clé associée à la communication ESP. Il est également

important de savoir que l'absence d'authentification nuit à la confidentialité en la rendant plus vulnérable à certaines attaques actives.

v' L'intégrité : les données n'ont pas été modifiées depuis leur émission.

En mode tunnel, ces garanties s'appliquent aux données du datagramme dans lequel est encapsulé le trafic utile, donc à la totalité (en-têtes et options inclus) du datagramme encapsulé. Dans ce mode, deux avantages supplémentaires apparaissent:

v' Une confidentialité limitée des flux de données (en mode tunnel uniquement, lorsque

la confidentialité est assurée) : un attaquant capable d'observer les données transitant par un lien n'est pas à même de déterminer quel volume de données est transféré entre deux hôtes particuliers. Par exemple, si la communication entre deux sous réseaux est chiffrée à l'aide d'un tunnel ESP, le volume total de données échangées entre ces deux sous réseaux est calculable par cet attaquant, mais pas la répartition de ce volume entre les différents systèmes de ces sous réseaux.

v' La confidentialité des données, si elle est demandée, s'entend à l'ensemble des

champs, y compris les en-têtes du datagramme IP encapsulé dans le datagramme protégé par ESP.

Enfin, ESP et AH ne spécifient pas d'algorithmes de signature et/ou de chiffrement particuliers. Ceux-ci sont décrits séparément.

Une implémentation conforme au RFC 2402 (AH) est tenue de supporter les algorithmes MD5 [RFC1321] et SHA-1[SHA] tandis qu'une implémentation conforme au RFC 2406 (ESP) est tenue de supporter l'algorithme de chiffrement DES [DES] en mode CBC et les signatures à l'aide des fonctions de hachage MD5 et SHA-1.

Pour mieux comprendre le fonctionnement d'AH et ESP, consultons le Tableau III.1 qui résume la fonctionnalité des modes tunnel et transport par rapport à AH ET ESP.

	Mode transport	Mode tunnel
AH	Authentifie l'information utile IP et certaines portions de l'en-tête IP et les en-têtes d'extension IPv6	Authentifie le paquet IP tout entier plus certaines portions de l'en-tête IP et les en-têtes d'extension IPv6 externes.
ESP	Chiffre l'information utile IP et tout en-tête d'extension IPv6 suivant l'entête ESP	Chiffre le paquet IP tout entier
ESP AVEC AUTHENTICA TION	Chiffre l'information utile IP et tout en-tête d'extension IPv6 suivant l'en-tête ESP. Authentifie l'information et utilise IP mais pas l'en-tête IP	Chiffre le paquet IP tout entier. Authentifie le paquet IP.

III.2.3 Architecture

La RFC 2401 décrit le protocole IPSec au niveau le plus élevé. En particulier, elle indique ce qu'une implémentation est censée permettre de configurer en termes de politique de sécurité (c.-à-d. quels échanges IP doivent être protégés par IPSec et le cas échéant, quel(s) protocole(s) utiliser). Sur chaque système capable d'utiliser IPSec, doit être présente une SPD (Security Policy Database), dont la forme précise est laissée au choix de l'implémentation, et qui permet de préciser la politique de sécurité à appliquer au système. Chaque entrée de cette base de données est identifiée par un SPI (Security Parameter Index) unique (32 bits). Une communication protégée à l'aide d'IPSec est appelée une SA (Security Association). Une SA repose sur une unique application de AH ou sur une unique application de ESP. Ceci n'exclut pas l'usage simultané de AH et de ESP entre deux

systèmes, ou par exemple l'encapsulation des datagrammes AH dans d'autres datagrammes AH, mais plusieurs SA devront alors être activées entre les deux systèmes. En outre, une SA est unidirectionnelle. La protection d'une communication ayant lieu dans les deux sens nécessitera donc l'activation de deux SA. Chaque SA est identifiée de manière unique par un SPI, une adresse IP de destination (éventuellement adresse des broadcast ou de multicast) et un protocole (AH ou ESP). Les SA actives sont regroupées dans une SAD (Security Association Database). La SPD est consultée pendant le traitement de tout datagramme IP, entrant ou sortant, y compris les datagrammes non IPSec. Pour chaque datagramme, trois comportements sont envisageables : le rejeter, l'accepter sans traitement IPSec, ou appliquer IPSec. Dans le troisième cas, la SPD précise en outre quels traitements IPSec appliquer (ESP, AH, mode tunnel ou transport, quel(s) algorithme(s) de signature et/ou de chiffrement utiliser).

Les règles de la SPD doivent pouvoir, si l'administrateur du système le souhaite, dépendre des paramètres suivants :

> Nom du système (DNS complète, nom X.500 distingué ou général) ; > Protocole de transport utilisé (typiquement, TCP ou UDP) ;

> Nom d'utilisateur complet, comme tchakalaf@bsictg.net (ce paramètre n'est toutefois pas obligatoire sur certains types d'implémentation) ;

Certains paramètres peuvent être illisibles à cause d'un éventuel chiffrement ESP au moment où ils sont traités, auquel cas la valeur de la SPD les concernant peut le préciser. Il s'agit de :

Il est donc possible de spécifier une politique de sécurité relativement fine et détaillée. Cependant, une politique commune pour le trafic vers un ensemble des systèmes, permet

une meilleure protection contre l'analyse de trafic qu'une politique extrêmement détaillée, comprenant de nombreux paramètres propres à chaque système particulier.

Enfin, si l'implémentation permet aux applications de préciser elles-mêmes à quelle partie du trafic appliquer IPSec et comment, l'administrateur doit pouvoir les empêcher de contourner la politique par défaut.

III.2.4 Le principe de fonctionnement

			APPLICATION
	DOI	OAKLEY SKEME
			PROTOCOLE APPLICATIF (HTTP, FTP, POP, SMTP...)
	ISAKMP
	IKE
SOCKETS
TRANSPORT (TCP, UDP)
IP / IPSEC (AH, ESP)
LIAISON

Lorsque la «couche» IPsec reçoit des données à envoyer, elle commence par consulter la base de données des politiques de sécurité (SPD) pour savoir comment traiter ces données. Si cette base lui indique que le trafic doit se voir appliquer des mécanismes de sécurité, elle récupère les caractéristiques requises pour la SA correspondante et va consulter la base de SA (SAD). Si la SA nécessaire existe déjà,

elle est utilisée pour traiter le trafic en question. Dans le cas contraire, IPsec fait appel à IKE pour établir une nouvelle SA avec les caractéristiques requises.

Lorsque la couche IPsec reçoit un paquet en provenance du réseau, elle examine l'en-tête pour savoir si ce paquet s'est vu appliquer un ou plusieurs services IPsec et si oui quelles sont les références de la SA. Elle consulte alors la SAD pour connaître les paramètres à utiliser pour la vérification et/ou le déchiffrement du paquet. Une fois le paquet vérifié et/ou déchiffré, la SPD est consultée pour savoir si l'association de sécurité appliquée au paquet correspondait bien à celle requise par les politiques de sécurité.

Dans le cas où le paquet reçu est un paquet IP classique, la SPD permet de savoir s'il a néanmoins le droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont traités par IKE, qui peut envoyer des alertes administratives en cas de tentative de connexion infructueuse.

III.2.5. La gestion des clés dans IPSEC

La présence de mécanismes de chiffrement asymétriques implique la prise en compte des problématiques de gestion des clés et de leur distribution à l'ensemble des systèmes destinés à être source et/ou destination d'une communication IPSec.

Dans le cas de petites infrastructures, il est possible, voire préférable, d'opter pour une gestion et une distribution manuelle des clés. Cette simplicité technique doit cependant être couplée à une bonne organisation et à une certaine rigueur afin d'une part, d'en assurer un fonctionnement correct et d'autre part de respecter les critères de renouvellement des clés. Cependant, une telle méthode n'est pas applicable sur des infrastructures comprenant de nombreux systèmes, ceci pour d'évidentes raisons de volumes de données à traiter et de délais de mise en oeuvre. Le protocole IKE (Internet

Key Exchange) [RF409] a par conséquent été défini comme protocole par défaut pour la gestion et la distribution des clés. La gestion des clés est assurée par le protocole ISAKMP [RF408], le principe d'échange assuré par un mécanisme dérivé d'Oakley [RF412].

Le rôle d'ISAKMP est essentiel. Il fournit un mécanisme « générique » pour l'échange des messages et la gestion des clés. Il définit en particulier, le support des opérations de négociation de ces dernières.

III.2.6 Les avantages [7]

Le fait qu'IPSec soit un protocole de sécurité au niveau réseau, il permet d'avoir un niveau de sécurité très élevé par rapport aux autres solutions de couches applicatives.

[Mark97] et [Stal02] énumèrent les avantages d'IPSec et les présentent comme suit :

v' Protection contre le contournement et l'analyse du trafic IPSec est le seul protocole

qui réponde à la nécessité de protéger l'infrastructure de réseau contre un contrôle en une surveillance non autorisées du trafic et de sécuriser le trafic entre utilisateurs, en utilisant des mécanismes d'authentification et de chiffrement. Il protège alors contre l'usurpation d'adresse IP (IP Spoofing) [Wrig94] et les diverses formes d'écoute et de changement de paquets.

transport (TCP, UDP), il est donc transparent aux applications. IPSec ne nécessite aucun changement de logiciel sur un système utilisateur ou serveur quand il est installé sur un pare-feu ou un routeur. Même si IPSec est mis en oeuvre dans des systèmes finaux, le logiciel de la couche supérieure, y compris les applications, ne seront pas affectés.

Le grand intérêt de IPSec par rapport à d'autres techniques (par exemple les tunnels SSH), est qu'il s'agit d'une méthode standard (facultative en IPv4 et obligatoire en IPv6), mise au point dans ce but précis décrite par différentes RFCs.

D'abord et avant toute autre considération, un VPN IPSec apporte de multiples éléments assurant la sécurité des réseaux. Il réduit considérablement les risques d'intrusions depuis l'extérieur sous forme d'usurpation d'adresse IP et d'écoute passive. De plus, un VPN IPSec protège un intranet des virus tels que les worms, spécifiquement conçus pour se répandre à grande vitesse sur Internet. Il reste la

solution la plus déployée pour relier les réseaux des entreprises à travers un réseau non sécurisé comme Internet. Il est aussi utile pour les télétravailleurs qui souhaitent communiquer avec le serveur de leur entreprise et pour installer un sous réseau virtuel sécurisé dans une organisation pour des applications sensibles.

Toutefois, un VPN IPSec ne garantit pas des indiscrétions ou des attaques venant de l'intérieur. Différentes études ont montré qu'en général, le piratage interne est plus dommageable, plus coûteux et aussi plus fréquent.

III.3. AUTRES MESURES DE SECURITES RECOMMANDEES

Le CISCO PIX est un pare-feu qui est conçu pour assurer un niveau de protection sans précédent. Il intègre le système d'exploitation PIX OS de Cisco. PIX OS est un système propriétaire renforcé capable d'éliminer les points de vulnérabilité et de faiblesse habituellement rencontrés dans les environnements d'exploitations généralistes. Au coeur de ce système, se trouve un dispositif de protection basé sur l'algorithme ASA (Adaptive Security Algorithm), qui offre un serveur de filtrage adaptatif orienté connexion avec blocage simultané contre les tentatives de piratage ou d'agression (DoS - Denial of Service).

Le déploiement de CISCO PIX permettrait de protéger le réseau local du siège d'une éventuelle intrusion et, l'entrée des agences BSIC et de la BCEAO dans le réseau local devrait passer par ce firewall.

1' Mise à disposition des machines supplémentaires aux agents de money gram, lesquelles seront utilisées uniquement pour le service money gram et la seconde machine pour l'exploitation bancaire.

La sécurité d'un réseau ne se limite pas aux scannings, il faut définir une politique de sécurité.

CONCLUSION GENERALE

La base de notre projet est la sécurisation du réseau de la BSIC-TOGO. En effet, nous nous sommes intéressés dans le deuxième chapitre à l'étude de réseau existant de la BSIC-TOGO qui nous a permis d'avoir des idées sur tout le réseau informatique et de pouvoir donner quelques approches de solutions relatives aux problèmes trouvés.

Dans le troisième chapitre, nous avons procédé à l'étude détaillée des solutions proposées. Ceci nous a permis de confirmer les défaillances dans le réseau, l'état viral des postes de travail, et grâce aux outils libres, d'évaluer le niveau de vulnérabilité sur ce réseau. Les recommandations de notre audit, si elles sont suivies, permettront de renforcer le niveau de sécurité sur le réseau informatique de l'organisation.

La sécurité des systèmes d'information représente aujourd'hui une tâche de fond à prendre en compte par toute entreprise qui désire disposer d'un ensemble d'outils et de méthodes qui lui permettent et assurent la gouvernance de son système d'information. Ainsi après la définition d'une politique de sécurité, l'implémentation d'un processus de sécurité s'avère indispensable.

Bien évidement la sécurité à 100% reste un idéal à atteindre, surtout devant le large éventail des menaces qui mettent en danger l'exploitation d'un système d'information dans une banque. Ainsi il est important de bien formaliser une politique de sécurité en prenant en compte les risques réels qu'encourt un système informatique et en évaluant les coûts que peuvent engendrer les problèmes résultants de ces risques par rapport au coût nécessaire à la mise en place des solutions palliative à ces problèmes.

BIBLIOGRAPHIE ET WEBOGRAPHIE

ANNEXES

ANNEXE1 : Bilan

Ce stage de fin d'étude fut réellement intéressant, et m'a beaucoup apporté tant sur le plan professionnel que sur le plan personnel. Il m'a permis de mieux comprendre l'organisation d'un service informatique et d'avoir un aperçu du travail d'un ingénieur informatique. J'ai essayé de m'intégrer le plus rapidement possible pour comprendre le fonctionnement de l'entreprise et d'être le plus efficace possible.

L'ensemble des outils utilisés au cours de ce stage, m' a permis d'acquérir non seulement de nouvelles connaissances, mais aussi une certaine culture de la sécurité informatique.

Ce stage m'a également formé sur le travail en équipe. Par ailleurs, grâce à l'autonomie qui m'a été offerte par mon maître de stage, j'ai pu apprendre à gérer mon travail et à résoudre divers problèmes de maintenance.

Puis, ce stage a été le moyen de prendre conscience de mon aptitude à affronter l'accomplissement d'un projet et à résoudre toutes les difficultés engendrées par celui-ci. La diversité des tâches qui m'ont été confiées me semble être un atout pour la poursuite de ma formation.

Je suis ravi d'avoir effectué mon stage au sein de cette banque qui m'a parfaitement permis de mettre en pratique ce que j'avais appris lors de ma formation, et par conséquent de sortir un peu de la théorie pour vraiment m'imprégner de ce qui se passe sur le terrain.

Annexe2 : Rapport de stage.

Au cours de notre stage nous avons participé à plusieurs travaux de maintenance dont le plus fréquent est : la maintenance des pc.

Sur la plupart des machines, on a remarqué l'écran bleu. Au démarrage, les machines effectuent le test post normal, et au moment de charger le système d'exploitation, apparaît un écran bleu : un fichier de démarrage NTDETECT manque.

La panne provient de ce fichier NTLDR - Boot.ini. ACTIVITE 2 : Travaux effectués

Après dépoussiérage des pc, nous avons mis le disque initial en esclave à côté d'un disque sur lequel est installé le système de même version. Ensuite, nous avons copié ce fichier de la partition C et collé sur notre fameux disque qui est en panne.

Après ce travail de routine, nous avons remis le disque sur la machine et redémarré. La machine effectue le test post et chargé le système sans aucun problème : ce qui nous laisse croire que le problème est résolu.

Conclusion :

Le fichier NTDETECT est un fichier nécessaire pour le chargement d'un système d'exploitation et, dans notre cas la panne provenait de ce fichier.

Durant ce stage j'ai eu a affronté certains épreuves comme sauté le mot de passe administrateur d'un serveur lorsque ce mot de passe ne permet pas un login, restaurer un Grub de Windows en dual boot avec Ubuntu.

Pour sauter le mot de passe administrateur j'ai dû utiliser le live-cd de ultimate. Et le super-GRUB m'a permis de restaurer le grub loader de windows d'une machine laptop d'un collègue de service