Bien que ce soit des estimations, 65% des entreprises françaises sont victimes d'intrusions informatique chaque année, or 90% d'entre elles ne s'en aperçoivent même pas!
En effet, aux Etats-Unis, une entreprise dont le système informatique a été attaque en alerte le FBI, alors qu'en France, elles ne savent pas qui prévenir; entre les services BCRCI, Sefti, DST ou les brigades spécialisées de la gendarmerie; peut être la mise en place d'un service spécialisé s'occupant uniquement de cela serait une solution.
L'origine des piratages est très diverse, des concurrents, salaries de l'entreprise, prestataires, hacker recherchant des machines, etc... qui sont souvent dus a des méconnaissances de la part des utilisateurs, de la pénurie de personnel qualifié, des accès distants au réseau et des menaces internes. Aucune entreprise est protégée a 100% : des virus et chevaux de Troie, l'accès à Internet, voir même des PABX, des réseaux Frame Relay, X25, RTC, ISDN, les Fax, mobiles, et communications par satellite. Par exemple sur une plage de 10 000 numéros de téléphone, il est possible d'en trouver certains susceptibles de permettre la pénétration du système informatique.
Le risque pénal de ces intrusions n'a pourtant pas réduit le nombre de tentatives (3 plaintes pour délits ont été déposées en 1981 contre plus de 400 en 1997), malgré le lourd risque envers les acteurs : 2 000 000 FRF d'amende et cinq ans d'emprisonnement.
Mais lors d'une attaque, quand on s'en aperçoit, il est souvent trop tard... Les informations ont pu être volées, c'est pourquoi de plus en plus d'entreprises font appel à un responsable de la sécurité des systèmes d'information, personne dans une entreprise ayant la charge de gérer la sécurité informatique dans l'entreprise, par la mise en place de règles de sécurité, d'effectuer des tests d'intrusion. Un piratage peut aussi bouleverser l'imagine d'une société, par exemple, en début 1998, le constructeur allemand BMW a subi le piratage de son site Web. Les pirates ont dévalorisé l'image des produits de la marque, en renversant l'un des derniers modèles BMW, avec un slogan : "Amusons nous avec les voitures allemandes", ce qui rappellera les problèmes apparus par son concurrent Mercedes en 1997. Même si ce piratage a été sans gravite technique, il montre bien que la plupart des sites Web actuels sont vulnérables.
La malveillance informatique est souvent l'origine de ces attaques, qui peuvent être du sabotage manuel, de la désinformation, des introductions de virus, de rumeurs, voir parfois des farces. La conséquence des ces attaques peut être comme je le disais précédemment, le vol d'informations, la déstabilisation d'informations, l'installation de virus, ou de denial of service : ce dernier peut bloquer une machine.
Malgré tout, il existe des moyens pour faire face a ces agressions, que ce soit de la surveillance du comportement des utilisateur, de l'installation de firewalls, l'installation de patches contre les vulnérabilités connues, mais surtout faire une veille technologique. Cela nécessite beaucoup de compétences pour assurer une sécurité optimale. Mais une attaque informatique ne signifie pas forcement une attaque de la machine, par exemple, une personne appelant le support technique d'un fournisseur d'accès a Internet en disant qu'elle a perdu le mot de passe d'accès et/ou de messagerie, se verra fréquemment donne ce mot de passe par le support technique ; il s'agit d'un problème de sécurité grave, qui concerne cette fois ci le fournisseur d'accès a Internet de la personne ou de l'entreprise. Il s'agit en effet de sensibiliser le personnel aux problèmes de sécurité, et d'effectuer des tentatives d'intrusion, de crypter les données critiques si cela est possible.
Même en faisant un maximum en politique de sécurité, il est impossible de garantir la sécurité de l'information a 100%, car tellement de facteurs et scénarios peuvent entrer en compte, surtout dans le monde informatique ou des changements sont courants.
Les attaques recensées sur les réseaux de la US Army : soit 8932 ordinateurs attaques, dont 7860 attaques ont réussi, parmi celles la, 390 seulement ont été détectées, et a permis d'identifier que 19 attaquants. (Données d'après ISS). (Note : les environnements hautement sécurises sont la cible préférée des pirates).
Aujourd'hui, n'importe qui peut s'improviser pirate informatique avec quelques rudiments de Windows et Unix. En effet, il existe des sites Web ou mailing lists ou l'on peut trouver les références des vulnérabilités, permettant aux administrateur de se protéger (s'ils s'en informent) et aux pirates de les connaître également afin d'attaquer.
Voici un exemple de scénario d'attaque sur Internet : On commence par un
outil appellé finger, permettant de connaître les utilisateurs connectes sur un
système Unix local ou distant, et de connaître le nom des utilisateurs, et d'où
il se connectent, mais heureusement rares aujourd'hui sont les serveurs qui
répondent à ces requêtes. Avec l'outil whois, permettant de rechercher les
informations sur un nom de domaine ou d'une adresse IP, il permet également
d'obtenir des informations sur les personnes propriétaires, telles que leur nom,
adresse, numéro de téléphone et adresse Email, ainsi que des informations sur
les adresses IP des serveurs de nom. Ces informations peuvent servir à obtenir
des renseignements utiles en vue d'une attaque informatique. Ensuite on peut
localiser où se situe le serveur grâce a la commande traceroute, qui indique
toutes les passerelles IP traversées. La commande nslookup permet de récupérer
les informations d'un domaine, par exemple l'adresse IP de www.domaine.com mais
souvent peut aussi récupérer toutes les informations de la zone, afin d'obtenir
la liste des machines. La technique suivante est de scanner les machines que
l'on a pu obtenir, et peut parfois permettre de voir qu'un disque dur a été
partage à tout Internet, qu'il y a un problème de sécurité sur le serveur Web,
que des mots de passe par défaut ont été installés, permettant ainsi de
récupérer un accès sur la machine. Une fois sur la machine, le but principal du
pirate sera de passer administrateur de la machine, grâce à des vulnérabilités
de sécurité en général, et ainsi peut par exemple rebondir de machine en machine
a la recherche d'informations, ou simplement installer un logiciel permettant
d'écouter le trafic réseau, et surtout d'installer une backdoor sur la machine
attaquée, après avoir efface ses traces d'intrusion dans les fichier de log de
la machine. Ensuite il pourra revenir en étant plus ou moins invisible, et par
exemple revenir dans 2 semaines récupérer les logs du son sniffer.
Le denial of service pourrait être compare au terrorisme. En effet, ce type d'attaque n'à pour but que d'empêcher le fonctionnement d'une machine ou d'un service.
Un des plus connus il fut quelques temps était WinNuke, logiciel envoyant une requête NetBios incompréhensible par les machines Windows, et provoquant l'apparition d'un écran bleu (blue screen of death) et l'arrêt du support réseau par les machines sous Windows 95, et un plantage complet sous les systèmes NT. Bien que ce bug soit ancien, on continue a trouver des machines qui aujourd'hui ne sont toujours pas patchées.
De la même façon il existe des logiciels exploitant des failles dans les paquets TCP/IP, tels que par exemple le ping trop grand (ping qui contient comme information une taille de paquet supérieure a celle autorisée), ou des histoires de fragmentation de paquets (teardrop, la refragmentation des paquets arrives provoque un débordement des adresses mémoire dans la gestion de TCP/IP du système, provoquant ainsi des plantages tels que le blocage, ou le redémarrage d'une machine, aussi bien sous Windows que certains UNIX.
Voici un appercu de quelques autres denial of service et comment s'en protéger :
On peut également mettre en périple un service WEB afin que le serveur consomme 100% du temps processeur en raison d'en têtes HTTP trop gros, tout comme envoyer des en têtes MIME trop gros dans les courriers électroniques, faisant ainsi planter des logiciels tels que Eudora ou Outlook, ou leur permet d'exécuter des programmes extérieurs.
Voici un appercu de quelques denial of service :
Sur un réseau Ethernet standard, les informations circulant sur le réseau
circulent en clair sur tout le réseau, et les machines acceptent que les paquets
s'adressant a elles. Mais il existe un mode de fonctionnement promiscuité, qui
permet a la machine d'écouter tout les paquets passant sur le réseau, donc par
exemple les mots de passe ou les commandes tapées dans les connexions
telnet.
Protection : remplacer les HUBs réseau par des Switches, qui
envoient les données que vers le port où la machine est connectée.
Souvent, pour masquer les origines d'une attaque, le pirate va essayer de passer par un ricochet plutôt que se connecter directement, et ainsi sera plus dur à retrouver. Il peut tout aussi bien passer par des systèmes UNIX déjà attaqués que par des Windows (Back Orifice, ou Wingate, logiciel permettant de partager un accès Internet, mais également d'autoriser les machines sur Internet à se connecter depuis l'adresse IP de la machine ou le logiciel à été installé.)
L'installation d'un firewall permet de filtrer les paquets réseau émis ou reçus. Ainsi il permet de centraliser les règles de filtrage qu'il est impossible ou difficile a mettre en place sur chaque machine.
Lorsqu'une machine distante appelle un service sur un des serveurs (qui est défini par un numéro de port, par exemple SMTP=25 et HTTP=80). Le firewall étant un " pont " ou le trafic passe, peut être configuré pour que seul le mail arrive vers le serveur de messagerie, et ainsi le trafic HTTP uniquement vers le serveur WEB.
Ce type de firewall permet aux machines internes de sortir à l'aide de clients modifiés. Les connexions ne se font plus directement entre l'intérieur et l'extérieur, mais par une machine intermédiaire, qui peut demander un mot de passe pour permettre l'accès. Par exemple les firewalls de type SOCKS utilisent ce principe.
On peut distinguer deux type de communication par mots de passe :
Il est possible de restreindre l'accès à un serveur en paramétrant ce dernier soit au niveau filtrage IP, ou à l'aide de services tels que les tcp-wrappers, permettant d'autoriser ou refuser une connexion en fonction de l'origine de la connexion. Certains applications, comme le serveur WEB apache permettent de gérer des filtres pour eux mêmes.
Lorsqu'on est soucieux de sa sécurité, il devient nécessaire de garder des traces des événements système et réseau. On peut ainsi détecter tout incident et détecter les problèmes, tel que par exemple des tentatives de connexion extérieures, ou bien des fichiers système modifiés sur un serveur. Il existe de nombreux outils permettant d'auditer un serveur.
Il est impératif de suivre fréquemment les serveurs informant des problèmes de sécurité, et de faire les mises à jour des que l'incident est annoncé. Certains sites comme le CERT (http://www.cert.org/) informent des failles, et d'autres sites orientés piratage permettent ainsi de tester si votre système est vulnérable.
Il existe des outils permettant de faire un rapport des problèmes de sécurité, qui peuvent tout aussi bien utilisés par un pirate qu'un administrateur.
Le cryptage est la solution permettant la confidentialité. Il existe beaucoup d'algorithmes, et certains sont illégaux en raison de leur forte encryption, et sont souvent soumis à des lois d'utilisation et d'exportation.
On peut également utiliser le cryptage pour interconnecter des sites distants par l'intermédiaire du réseau Internet, c'est ce qu'on appelle souvent les VPN (Virtual Private Network), permettant ainsi de faire des échanges sécurisés entre différentes agences d'une entreprise, à l'aide de protocoles tels que IPSec.
Mais avant de mettre en place une solution faisant appel a la cryptographie, renseignez vous au niveau légal.
On peut recevoir un courrier électronique ayant comme attachement un document Excel, qui peut contenir une macro commande virus ou exécutant des commandes externes. Il est conseillé de ne pas les exécuter. Il faut également faire attention aux Javascripts, ActiveX, car ils peuvent être dangereux, et donc il faut être vigilant lors de connexions sur des sites WEB " ésotériques ", ou avec un gestionnaire de messagerie exécutant ces scripts.
D'après mes expériences personnelles, la seule alternative aux problèmes de sécurité sont les logiciels libres (Systèmes UNIX Linux, FreeBSD ou OpenBSD), mais on peut également faire appel a des produits commerciaux.
Ce n'est pas parce qu'un logiciel est libre qu'il est forcement de mauvaise qualité (exemple Apache, BIND, squid, ou sendmail).
L'informatique est une nouvelle technologie, qui met en place de nouveaux problèmes de sécurité en raison des risques de piratage, qui malheureusement préoccupent peu les entreprises. Tout le savoir, la stratégie et la compatibilité d'une entreprise repose sur l'Informatique, qui se veut simple aujourd'hui mais ne le sera sûrement pas avant bien longtemps. Bien que les informaticiens donnent l'impression de coûter cher, la sécurité est importante : si son informatique disparaissait, elle pourrait causer la fermeture de l'entreprise concernée. Les problèmes de sécurité concernent tout aussi bien les ordinateur, les réseaux, la téléphonie.
La gestion d'une bonne sécurité est complexe car elle nécessite du personnel bien formé, vigilant, souvent cher, et y consacrer beaucoup de temps.
Et je jamais oublier qu'il n'existe pas de sécurité absolue, mais si de nombreux obstacles sont présents lors d'une attaque, le pirate va souvent aller voir ailleurs.
Afin d'éviter cela, il est nécessaire d'avoir une politique de sécurité
importante, et d'installer des systèmes d'audit des serveurs. D'après une étude
américaine, on estime aux Etats-Unis que les entreprises auraient pu perdre plus
de 250 milliard de dollars en 1997.