Pris de panique ...

Mercredi 5 novembre, 20h00, il est l'heure d'affronter le premier CIEL. Qu'est ce que c'est ?

C'est un contrôle sur table de nos connaissances (Contrôle Individuel En Ligne). Le sujet fait trois pages ... c'est looooooonnnnnnnnngggggggggg !

Pris de panique, je me dis que je n'y arriverais pas. Et comme un bleu, je ne lis pas les trois questions mais uniquement la première et je mets à rédiger.

Je fini de rédiger cette question et je lis la question 2 ! Catastrophe, en répondant à la question 1, j'ai en partie répondu à la question 2.

Que faire ? Recommencer ? Impossible, je ne maitrise pas assez bien le sujet ... Toujours dans un vent de panique, je continue donc tête baissé.

Mais le résultat sera à mon avis bien médiocre :-( Dés que l'équipe pédagogique nous aura remis les notes, je l'ajouterai à ce billet.

Les couches réseaux, késako ?

Le modèle OSI de l'ISO définit 7 couches réseaux. Cette phrase ne veut rien dire pour la majorité de la population et je fais partie de cela, je vais donc tenter de lire et traduire cela.

OSI = Open Systems Interconnection soit Interconnecter des systèmes ouverts mais qu'est ce qu'un systéme ouvert ?

C'est ensemble de systèmes de informatique offrant une compatibilité importante et fonctionnant sur un système open-source comme linux. Bien que maintenant, ce systéme OSI a l'air de couvrir l'ensemble des systémes.

Pour ce qui est de l'ISO, je le définis dans ce billet (le 6éme en partant du haut)

Passons maintenant au 7 nains couches réseaux :

• Couche 7 : Application
• Couche 6 : Présentation
• Couche 5 : Session
• Couche 4 : Transport
• Couche 3 : Réseau
• Couche 2 : Liaison de données
• Couche 1 : Physique

Chaque couche rassemble un ensemble de protocole qui a un rôle différent. Par exemple, on sait que le PPP est un protocole appartenant à la couche 2. Ou encore que le POP est un protocole de la couche application (7). Mais que l'ARP est à la frontière entre deux couches.

J'ai noté aussi, à la suite d'une conversation, que les protocoles du haut (7, 6, 5) sont les plus proches du client (nous) et les protocoles du bas les plus proches du matériel.

Mais la question qui reste flou pour moi, c'est : "à quoi cela pourrais mettre utile dans ma vie professionnelle ?"

La réponse d'un des collègues de formation a été : "si un jour on te demande de concevoir un logiciel de communication entre deux entreprise, il te faudra définir les besoins de communication, et ses besoins seront des protocoles, et en fonction de tes besoins, tu piochera dans différentes couches ..."

Mais là, j'avoue que je ne pensais pas un jour concevoir un logiciel dans ma vie perso ou pro ! Mais en y réfléchissant, peut-être que je serai appeler à participer à la réflexion de la création d'un logiciel ... et dans ce cas là, peut être que cette histoire de couche me sautera à la figure !

Portail captif

Lors de la semaine 3 de l'unité d'enseignement sur la sécurité de l'information, nous avons eu a réaliser un exercice sur les portails captifs.

Qu'est ce que c'est ?

C'est une solution permettant de mettre à disposition sa connexion Wifi de façon sécurisée à toutes personnes voulant se connecter.

En fait, si une personne vient chez vous et veut se connecter, vous êtes obligé de lui communiquer votre clé de sécurité (WEP ou WPA). Mais dans un lieu public (Cité des sciences par exemple), cette même personne peut se connecter sans que personne ne lui communique de clé de sécurité. Il aura juste à fournir son adresse mail et à accepter les conditions d'utilisations.

C'est ça le "portail captif", le fait de laisser une personne se connecter au réseau Wifi mais en affichant une page obligeant la personne à accepter les conditions d'utilisations et à fournir une adresse mail ou d'autres renseignements.

En effet dans le cas d'un portail captif "fermé", la personne devra fournir un identifiant et un mot de passe. Cela sous-entends, que n'importe qui ne pourra pas se connecter. Seul les personnes présentes dans la base de donnée et fournissant la pair identifiant/mot de passe correct pourront avoir accès à internet.

Techniquement qu'est ce qu'il faut ?

Au minimum, un PC qui fera office de serveur et un point d'accés Wifi. Ensuite il faudra choisir parmi les nombreuses solutions qui existent.

Mais ce choix dépendra des besoins et du réseau actuel. En effet, certains réseaux peuvent déjà posséder un serveur et dans ce cas, l'administrateur se concentrera sur les solutions compatibles avec leur serveur.

C'est mon cas, ayant un PC serveur qui filtre la connexion Internet, je vais me concentrer sur les solutions que je peux ajouter à ce système (IPcop).

Problème, faut-il obligatoirement une base de données d'usagers ? (nécessitant un serveur RADIUS)

Régles pour protéger son ordinateur

Toujours dans la lecture des ressources des l'UE312 qui me parait encore insurmontable, voici quelques recommandations que nous pouvons trouver au fil des pages :

• Bien choisir son anti-virus, l'installer et le paramétrer correctement et surtout vérifier qu'il effectue bien les mise à jours (Ne jamais installer deux antivirus sur la même machine)
  

• Toujours choisir un mot de passe "Fort" (Minimum 8 caractères, Alternance de chiffres, lettres et caractères spéciaux, Utilisation de minuscules et majuscules aléatoirement, Eviter les mots du dictionnaire et les noms propres)

• Si l'accès est sensible (serveur, données confidentielles, etc w...) changer le mot de passe tous les mois ou trimestres mais surtout ne jamais noter le mot de passe prés de la machine

• Éviter d'installer des logiciels, packages, services etc ... dont vous n'auriez pas l'utilité autrement dit n'accepter jamais les installations par défaut et posez vous toujours la question : est ce que j'en aurais l'utilité ? Cela permettra d'avoir un minimum de services activez et donc un minimum de vulnérabilité. (Si les installations sont déjà faites, vérifier ce qui est réellement inutile et désinstaller/désactiver ce qui ne sert à rien)
  

• Installer un pare-feu : logiciel ou matériel filtrant la connexion internet (attention, suivant l'antivirus choisi, il se peut qu'un pare-feu soit intégré. Éviter d'en installer donc un deuxième)
  

• Garder un ordinateur à jour en installant les mises à jours du système d'exploitation, de tous les logiciels et aussi du matériel (firmware). La mise à jour automatique est déconseillé dans les grandes institutions ou entreprises (risque de se produire à des moments innoportuns ou d'incomptatibilité avec certaines applications)

• Gérer les droits des utilisateurs soit à l'aide d'un serveur, soit à l'aide des stratégies de sécurité locale. Cela sous-entends que chaque utilisateur aura sa session avec des droits différents.

• Activer les journaux qui permettent de garder une trace des événements effectués sur le PC (chez microsoft, les journaux sont activés par défaut par contre sous linux, il faudra vérifier que l'option est activé)

• Ne jamais installer, exécuter ou télécharger de fichier ou logiciel d'une provenance douteuse !
  

La sécurité physique

La sécurité physique, et non les solutions de protection matériel, est le fait de protéger l'ordinateur des individus mal attentionnés qui pourrait accéder PHYSIQUEMENT à la machine.

Exemple : un ordinateur dans une bibliothèque ou des personnes malveillantes pourraient recopié des données, installer des logiciels malveillants etc ...

Pour cela il nous ai proposé dans le cours d'empêcher les personnes de démarrer sur un autre disque que celui que nous avons décidé. Comment ?

En réglant le BIOS sur le disque voulu et en lui ordonnant de pas laisser la possibilité de démarrer sur autre chose. Mais nous si nous avons besoin de démarrer sur un CD-rom ? Dans ce cas, vous retournerez dans le bios, que vous aurez protégé par un mot de passe, pour modifier les paramètres.

Pour le pirate, il ne restera comme solution que s'attaquer au système d'exploitation ou démonter le PC pour changer le disque dur ou encore enlever la pile de la carte mère.

à noter que pour les systémes linux, il ne faudra pas oublier de proteger par mot de passe le boot loader (lilo ou grub)

Sécuriser son ordinateur

Depuis deux semaines, nous parlons de sécurité des systèmes d'information qui sont en fait l'ensemble d'un patrimoine numérique d'une entreprise (Matériel, Logiciel et Données).

Mais cette semaine, nous revenons à quelques choses de plus commun à ce que nous connaissons. La sécurité d'un seul et unique poste. :-)

Nous savons tous qu'un ordinateur a besoin d'être sécuriser qu'il soit ou non connecté à Internet. C'est une question de précaution. Par définition, l'ordinateur cours un risque des que le système d'exploitation (Windows, Linux ou Mac Os) a fini de s'installer.

Pour le moins sécurisé d'entre eux et le plus visé par les pirates (XP), la durée de vie après l'installation, sans mise à jour et logiciel de sécurité et de moins d'une minute ! S'il est connecté à Internet.

Mais le danger peut même venir pendant l'installation si le CD d'install provient d'une source peu fiable. C'est pour cela qu'il n'est pas recommandé d'utiliser des copies de CD qu'un individu vous aurez prété ou que vous auriez téléchargé illégalement sur Internet.

Alors que Faire ?

Une bonne option serait de s'interresser de plus prés que distribution LINUX plus sécurisée et surtout moins visé par les pirates car encore peu répandu. Mais vous pouvez aussi décider de protéger Windows et ce que les ressources que je suis en train de lire propose de nous exposer.

Comme d'habitude, au fur et à mesure de ma lecture, je partegerai avec vous ce qui me semble essentiel. Donc rendez-vous dans un prochain billet ...

Acronyme de sécurité

Les inclassables

• SI : Système d'information (englobe la partie matériel, la partie logiciel et les données
• PSI : Politique de Sécurité de l'Information
• PSSI : Politique de Sécurité des Systèmes de l'Information
• RSSI : Responsable de Sécurité des Systèmes de l'Information (un métier qui doit vraiment pas être facile !)
• DCSSI : Direction Centrale de la Sécurité des Systémes d'Information

• ISO : International Organization for Standardization, C'est l'organisation internationale qui définit les normes dans des domaines trés variés

• IGC : Infrastucture de Gestion de Clés aussi appelé PKI (en anglais, Public Key Infrastructure) ou encore ICP (Infrastructure à Clés Publiques) est une ensemble de moyen gérant les certificats d'une organisation. Exemple d'une organisation ayant déploiyer une IGC : Le service de téléadministration qui permet notament la déclaration des revenus en ligne.

• PGP : Pretty Group Privacy, est un ensemble de programmes permettant de chiffrer (crypter) et déchiffrer (décrypter) des courriers électroniques selon la méthode de cryptographie asymétrique (clé publique/clé privée)

• DMZ : DeMilitarized Zone, est une zone du réseau démilitarisée. Elle permet le cloisement du réseau et est essentiel pour la sécurité du SI.

• DOS : Denial Of Service (Déni de service) c'est une technique d'attaque

• IDS : Instruction Detection System, sonde permettant de détecter une anomalie sur le réseau pouvant caractériser une attaque
• IPS : Intrusion Prevention System, mesures se déclenchant, si l'IDS détecte une anomalie sur le réseau, pour contrecarrer l'attaque. (inconvénient : les mesures peuvent provoquer un déni de service)

Les algorithme de signature

• SHA-1 : Secure Hash Algorithm, est algorithme de signature (empreinte par hachage) présumé fiable par la loi française
• RIPEMD-160 : Race Integrity Primitives Evaluation Message Digest, idem que SHA-1
• MD5 : Message Digest 5, est un algorithme de signature par fonction de hachage inventé par Ronald Rivest
• DSA : Digital Signature Algorithm, est un algorithme de signature à clé privée (symétrique) notamment considéré par la France comme signature présumée fiable"
• ECDSA : Elliptic Curve Signature Algorithm, idem DSA mais basé sur un probléme du logarithme différent

Les Algorithmes de chiffrement asymétriques (clé publique - Paire de clé) :

• RSA : Rivest, shamir, Adleman, Algorithme de chiffrement à clé publique
• Diffie-Hellman : est un algorithme de chiffrement asymétrique (clé publique)

Les Algorithmes de chiffrement symétriques (clé secrète)

• AES : Advanced Encryption Standart, utilisé par le cryptosystéme WPA2
• DES : Data Encryption Standart
• 3DES : Triple DES, Variante de l'algorithme DES
• RC4 : Rivest Cipher, inventé par Ronald RIVEST et utilisé par les cryptosystémes WEP et WPA
• RC5 : évolution du RC4 (ci-dessus)
• IDEA : International Data Encryption Algorithm
• PKCS : Public Key Cryptographics Standart, ensemble de spécifications de cryptographie asymétrique concue pas les laboratoires RSA

Les algorithmes d'authentifications

• MAC : Message Authenfication Code
• HMAC : Keyed-Hash Message Authentication Code, Cobinaison d'une fonction de hachage et d'une clé secrète

Les protocoles d'authentifications

• PAP : Password Authentification Protocol, transmet le mot de passe et l'identifiant en clair
• CHAP : Challenge Handshake Authentification Protocal, transmet le mot de passe crypté en 16 bits
• WEP : Wired Equivalent Privacy, protocole de cryptage et d'authentification trés utilisé pour authentifier un poste de travail à un point wifi. Ce protocole est considéré maintenant cassé
  

Les protocoles de liaisons

• PPP : Protocol Point to Point, protocole de couche 2 qui a remplacé le protocole SLIP devenu obsolète
• SLIP : Serial Line Internet Protocol, traduisez protocole Internet de liaison en série, il n'effectue ni controle d'adresse, ni controle d'erreur. C'est pour cela qu'il a été abandonné au profit du PPP.
• EAP : Extensible Authentification Protocol, est différent des deux protocoles ci-dessus, car à lui tout seul il possède plusieurs méthodes d'authentifications.
• WEP : Wired Equivalent Privacy, trés utilisé pour authentifier un poste de travail à un point wifi. Ce protocole est considéré maintenant cassé
• WPA : Wi-fi Protected Access, concu pour pallier aux faiblesses du WEP dans la protection des réseaux wi-fi.
  

Vocabulaire de base

Rien que ca, c'est indigeste :-)

Cryptologie : Science englobant la cryptanalyse et la cryptologie
Cryptographie : Protection des données, mails etc ... par le chiffrage de ces derniers
Cryptanalyse : Analyse dans le but de déchiffrer les clés de chiffrement
Cryptogramme : C'est le résultat du cryptage d'un texte ou message, on parle de texte ou message chiffré (autrement dit pas encore déchiffré)
Chiffrage : C'est le fait de crypter des données (rendre la données incompréhensible)
Déchiffrement : C'est le fait contraire, passer d'une donnée chiffré à une donnée "claire"
Décryptage : synonyme de déchiffrement
Stéganographie : dissimuler un message dans un autre objet (exemple : inclure un message dans une image. Il faudra un programme particulier pour obtenir le message)

Cryptologie symétrique : dites de cryptologie à clé secrète
Cryptologie asymétrique : dites de cryptologie à clé publique

Fonction de hachage : Découpage d'un ensemble en sous-ensemble de taille FIXE (généralement plus petite) appelé empreinte. Cette fonction permet de vérifier l'intégrité d'un document.

Partage de secret (aussi appelé secret réparti) : Les clés utilisant cette méthode, divise la clé entre X membres d'un groupe. Cela sous-entends que pour déchiffrer les données, il faudra que les X membres soit regroupés (si il manque un membre, impossible de déchiffrer).

La sécurité fait de l'ombre aux netbook !

Jusqu'au 9 novembre, nous devons travailler sur deux matières :

1. Le travail co pour lequel nous devons rédiger un article de recherche sur ces nouveaux ultra-portables (aussi appelé netbook)
2. Et la sécurité de l'information où nous avons pas moins de 30 pages à lire et 8 exercices à réaliser avant demain soir !

Ma nature m'attire vers la rédaction de l'article sur cet objet que j'adore mais le chapitre de la sécurité de l'information est tellement complexe que je passe le plus clair de mon temps à essayer de comprendre ce que je lis :-) Comme d'habitude, je vais saisir ci-dessous un résumé de ce que lis pour m'aider à mémoriser et vous faire partager ce que j'essaie d'étudier :

Sécuriser son système nécessite une analyse, pour cela il existe des méthodes comme MEHARI, EBIOS, MARION, MELISA ou encore MESARI. En collaboration avec le responsable informatique de l'entreprise ou un autre membre du personnel, un spécialiste utilisera une de ses méthodes afin de :

• Analyser du contexte
• Recenser le matériel, les logiciels et les données sensibles
• Exprimer les besoins de sécurité de l'entreprise
• Etudier les menaces pesant sur le systéme de l'entreprise
• Confronté les besoins et les menaces
• Déterminer les exigences fonctionnelles

Cette analyse compléte, contraignante mais indispensable n'est pas aisée et il peut être préférable pour certaines petites entreprises de s'inspirer des grands principe ou de faire appel à une socièté spécialisée. Mais en aucun cas de laisser son systéme non sécurisé ! Le trés bon site PICSI met à disposition des vidéos trés bien faites pour laisser imaginer aux dirigeants les risques de ne pas sécuriser :

Premier pas avec la sécurité de l'info ...

Pas facile de lire des dizaines de pages et de tout retenir ... je profite donc de ce blog pour partager avec vous ce que je retiens et ce que je comprends de mes lectures :

Nous parlons de patrimoine informationnel pour qualifier les données (fichiers et logiciels) stockées sur le système d'information (cliquez ici pour voir ce qu'englobe le SI) d'une entreprise.

Nous distinguons donc deux types de sécurité :

• La sécurité physique qui protège le matériel
• La sécurité logique qui protège le patrimoine informationnel

Les deux sont liés car la sécurité logique qui sera mis en place, sera différente selon le matériel (PC fixe ou batterie d'ordinateur portable et de PDA). Mais c'est la sécurité logique et le patrimoine informationnel qui sont primordiales.

Pour réussir sa sécurité logique, trois critères sont importants en plus des besoins exprimés par l'organisme :

• La disponibilité des informations, elles doivent être disponible à tout moment pour les personnes en ayant l'autorisation
• La confidentialité des informations, les données de X ne doivent pas être consulter Y, sauf si il en a l'autorisation
• L'intégrité des informations qui doivent être correctes et complètes à tout moment

Ensuite vient, l'imputabilité, qui consiste en des journaux permettant de savoir qui à modifier quoi, quand et à partir de quel machine.

La sécurité de l''information, une étape clé pour la réussite d'un projet !

L'analyse des risques et la définition des besoins de sécurité sont les deux premières étapes d'une politique de sécurité de l'information. Elles définiront l'organisation adéquates pour atteindre des objectifs claires de sécurité tout en respectant les lois et réglementation en vigueur.

De là, découlera les techniques particulières à mettre en place, comme la cryptographie, les protocoles réseaux sécurisés et les architectures sécurisées.

La politique de sécurité s'inscrira dans le PDCA (Plan – Do - Act – Check). Voilà le mot clé du jour ! Derrière ce terme anglais se cache une démarche qualité composée de quatre phase :

1. Plan (du verbe anglais To Plan et non du mot Francais « plan d'accés ») : planifier ou préparer ce que nous allons réaliser
2. Do : développer, réaliser, faire, mettre en œuvre
3. Check : contrôler, Vérifier
4. Act : agir, réagir

Même si nous pouvons nous douter facilement de ce qui peut se cacher derrière ces quartes phases, je pense que je les détaillerais d'ici peu. Cela me servira d'exercice et vous pourrez en profiter si vous le souhaitez :-) ...