Guide

Guide de la scurit
des systmes dinformation
lusage des directeurs
CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE
Guide de la scurit
lusage des directeurs
Cet ouvrage a t conu et rdig par
des systmes dinformation
Robert Longeon
Charg de mission la scurit des systmes dinformation du CNRS
Jean-Luc Archimbaud
Charg de mission la scurit des rseaux du CNRS
Avant-propos
Pourquoi protger les produits de la recherche scientifique

La mission principale du CNRS est de faire effectuer toutes recherches prsentant un intrt pour lavancement de la science ainsi que pour le progrs conomique, social et culturel du pays. Il a aussi pour vocation de contribuer lapplication et la valorisation des rsultats de la recherche (Dcret n82-993 JO du 25 novembre 1982). Quils soient ou non susceptibles de conduire des applications industrielles ou commerciales, les rsultats de la recherche constituent un bien commun, un patrimoine de la communaut nationale qui, juste titre, peut prtendre tre la premire en tirer profit. Ce patrimoine scientifique, confi de plus en plus des circuits lectroniques chargs de le traiter, transformer, prsenter, transmettre et conserver, chacun se doit de veiller son intgrit face aux menaces, accidentelles ou malveillantes, qui pourraient laltrer. Laccs, par Internet notamment, une masse en forte croissance dinformations scientifiques actualises en temps rel ainsi que la possibilit de la traiter automatiquement, permet nombre dorganisations, officielles ou prives, de disposer dindicateurs sur lmergence de linnovation et ainsi de mieux orienter leurs recherches. Linnovation scientifique et technologique est donc devenue lenjeu dun march stratgique de la connaissance o il ny a plus gure damis ni dallis. Il est donc indispensable dassurer la protection physique de linformation scientifique labore par les laboratoires qui, lorsquelle est stocke sans prcautions sur le disque dur dun ordinateur reli lInternet, peut tre lue, copie, modifie ou dtruite partir dun poste de travail situ aux antipodes sans que, trop souvent hlas, le propritaire sen aperoive.
Avant-propos
Comment les protger

Pour se prmunir contre une utilisation des rseaux qui viserait sapproprier indment des informations, il est ncessaire dappliquer strictement les recommandations de ce guide. Il nest pas inutile den rappeler quelques-unes : Adopter une architecture du rseau apte interdire, ou tout au moins compliquer, toute tentative frauduleuse de pntration. Assurer une surveillance permanente des connexions extrieures afin de dtecter au plus tt tout accs anormal. Grer rigoureusement les logins et les mots de passe en veillant plus particulirement naccorder aux chercheurs non permanents que les facilits strictement indispensables leurs travaux et les leur retirer ds la fin de leur sjour. Imposer des prcautions supplmentaires aux chercheurs souhaitant se connecter de lextrieur et a fortiori lors dun sjour ltranger , par exemple lemploi de mots de passe usage unique. Utiliser, en cas de ncessit, les nouveaux procds de chiffrement pour assurer la discrtion des changes de messagerie et de donnes. Neffectuer les travaux les plus sensibles et ne stocker les fichiers confidentiels que sur des machines physiquement dconnectes du rseau. Mais les systmes informatiques ne sont pas vulnrables quaux attaques extrieures. Lincendie, lexplosion ou le dgt des eaux, linsouciance, la maladresse ou la malveillance dun collgue, peuvent perturber gravement le fonctionnement de cet incomparable outil de travail et de communication. Il faut donc, outre les mesures dtailles plus haut, sauvegarder en un lieu sr et distant les informations et les donnes que lunit ne peut se permettre de perdre. Il vous appartient en tant que directeur de dfinir et mettre en uvre la politique de scurit de votre laboratoire, dinciter chacun de vos collaborateurs en prendre conscience et sy impliquer. Ce guide est le fruit de lexprience de toute la communaut scientifique et nous comptons sur vous pour lenrichir des cas concrets auxquels vous pourriez tre confronts. Philippe Schreiber Fonctionnaire de Dfense du CNRS
Sommaire
Introduction ................................................................................................................ 7 1. Les menaces de lInternet ......................................................................... 9
1.1 La scurit des systmes dinformation .................................................. 10 1.2 Lagression par lInternet .............................................................................. 11 1.3 Comment se manifeste une agression ...................................................... 12 1.4 Les Techniques dagression utilises......................................................... 13
2. Le rle du management dans la scurit .................................. 19

2.1 quoi sert la scurit ? ................................................................................ 20 2.2 Vulnrabilit et insouciance des laboratoires ....................................... 23 2.3 La scurit est une fonction de management ........................................ 26
3. Sur quelles organisations sappuyer ?........................................... 29

3.1 La scurit dans lorganisation gouvernementale ............................... 30 3.2 Protection du patrimoine scientifique et technologique au CNRS........................................................................... 30 3.3 Lorganisation de la SSI au CNRS ............................................................ 32 3.4 Les actions scurit au CNRS .................................................................... 33
4. Quelques recommandations lmentaires ............................... 35

4
4.1 Organiser, prvoir et sensibiliser............................................................... 36 4.2 Procdures de gestion des ressources informatiques ........................... 38 4.3 Moyens de protection active ....................................................................... 40 4.4 Avoir une approche mthodologique ........................................................ 42 4.5 Les phases dune mthode adapte aux laboratoires .......................... 43 4.6 La mthode de lUREC ................................................................................. 47 4.7 Une architecture structure et cohrente ................................................ 48
Sommaire
5. Les rgles de bon usage ........................................................................... 53

5.1 Respect des rgles crites et non crites ................................................. 54 5.2 Le bon usage des moyens de communication ....................................... 55
6. La vulnrabilit des autocommutateurs .................................... 61

6.1 Les responsabilits ......................................................................................... 62 6.2 Recommandations dadministration......................................................... 63
7. Virus informatiques et autres malignits .................................. 65

7.1 Un peu de vocabulaire .................................................................................. 66 7.2 La prvention ................................................................................................... 67 7.3 Principes de lutte contre les macrovirus................................................. 69 7.4 Que faire en cas dinfection par un virus ? ............................................ 71 7.5 O trouver antivirus et documentation ? ................................................ 73
8. Les aspects juridiques de la SSI ........................................................ 75

8.1 Les traitements automatiss dinformations nominatives................. 76 8.2 Quelques lments de droit se rappeler............................................... 77
Conclusion ................................................................................................................ 81 Annexes

Annexe A : La charte utilisateur ....................................................................... 85 Annexe B : Vocabulaire abrg des techniques de piratage...................... 89 Annexe C : Serveurs dinformations utiles ..................................................... 91
Bibliographie thmatique abrge ......................................................... 93
Introduction
La qualit de nos recherches dpend troitement des changes et des dbats que nous pouvons mener au sein de notre communaut scientifique. Cette dpendance est telle, quon considre de plus en plus la capacit de communiquer comme un indicateur significatif de dynamisme . Le rseau Renater et lInternet ont constitu une volution majeure. Ils sont maintenant si naturels, quon croirait quils ont toujours exist. Les facilits offertes pour les transferts de fichiers, le courrier lectronique, les listes de diffusion, les webs, les forums entre autres ont permis un dveloppement spectaculaire et fructueux des changes scientifiques. Mais, paralllement la mutation extraordinaire de nos mthodes de travail qua induit cette volution, nous assistons des phnomnes parasitaires inquitants notamment depuis louverture dInternet des activits prives ou commerciales qui confirment la ncessit, pour les organismes qui veulent pouvoir librement communiquer, stocker et traiter les donnes, de protger leurs systmes dinformation. De nouvelles formes de malveillance ont rcemment fait leur apparition ; elles risquent de perturber gravement le fonctionnement des laboratoires. Certaines de ces malveillances constituent des crimes ou des dlits et peuvent entraner des poursuites judiciaires ; dautres provoquent une entrave la communication scientifique. Plus inquitante encore est lapparition dune dlinquance organise qui cherche pntrer les systmes pour sapproprier de linformation et la monnayer aux plus offrants. Linformation, mme dapparence anodine, constitue aprs compilation, recoupements et traitements, une valeur marchande pour des groupes de mieux en mieux structurs. De ce point de vue, nous avons dpass lpoque du vulgaire bricoleur solitaire qui, par jeu ou par dfi, cherche pntrer les systmes les mieux protgs. Les pirates daujourdhui oprent en bande, plus ou moins infiltre par les mafias ; ils utilisent des recettes toutes prtes quils rcuprent sur des sites spcialiss et, contrairement la lgende, ne sont guids par aucune thique. Pour ces prdateurs dun nouveau type, les laboratoires universitaires et les diffrents instituts de recherche constituent des cibles privilgies. Nos principaux partenaires dans les collaborations internationales, quils soient amricains,
Guide de la scurit des systmes dinformation
europens ou japonais, prennent trs au srieux ces menaces ; il arrive mme quils nous montrent du doigt pour ce quils considrent comme du laxisme de notre part. lvidence, notre organisme ne peut rester plus longtemps lcart de cette mobilisation et ignorer ces dangers, sans courir les risques graves de voir nos systmes dinformation se dgrader progressivement, notre patrimoine scientifique se faire piller et nos partenaires internationaux se dtourner de nous, de crainte de compromettre leur propre scurit. La scurit des systmes dinformation (SSI) au CNRS sest toujours prsente dans un contexte spcifique difficile. Nagure encore, les mots mmes de scurit ou de protection du patrimoine scientifique taient tabous. Le rle du Fonctionnaire de Dfense restait trs obscur et pour certains inquitant. Les correspondants scurit taient jugs comme accessoires, souvent inutiles. Les mises en garde sur les risques des rseaux ouverts ne suscitaient trop souvent quindiffrence. La rgle tait la science exclusivement . Aujourdhui, ce seuil est pour lessentiel dpass ; la grande majorit des personnels, dans la plupart des laboratoires, est prte simpliquer activement dans la mise en uvre dune vritable politique de scurit pourvu quil trouve auprs de leur Direction un soutien et des orientations. Ce guide est fait pour aider les directeurs dans ce rle.
1 Les menaces de lInternet

En quoi linterconnexion des rseaux le rseau mondial modifie-t-elle les exigences de scurit ? Quelles sont les nouvelles menaces qui guettent nos systmes dinformation depuis louverture des services dInternet au grand public ? Ce sont des questions quaujourdhui personne, surtout pas un responsable, ne peut ignorer.
1.1 La scurit des systmes dinformation

Tout dabord, quentendons-nous par scurit des systmes dinformation ?
Systmes dinformation
Linformation se prsente sous trois formes : les donnes, les connaissances et les messages. On a lhabitude de dsigner par systme dinformation lensemble des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre linformation. De fait, on confond souvent, mme si ce nest pas trs exact, la notion de systmes et rseaux informatiques et celle de systmes dinformation (SI) . On dira donc quun systme dinformation est tout moyen dont le fonctionnement fait appel dune faon ou dune autre llectricit et qui est destin laborer, traiter, stocker, acheminer, prsenter ou dtruire linformation (AGI n900/SGDN).
Scurit
Le concept de scurit des systmes dinformation recouvre un ensemble de mthodes, techniques et outils chargs de protger les ressources dun systme dinformation afin dassurer : la disponibilit des services : les services (ordinateurs, rseaux, priphriques, applications) et les informations (donnes, fichiers) doivent tre accessibles aux personnes autorises quand elles en ont besoin ; la confidentialit des informations : les informations nappartiennent pas tout le monde ; seuls peuvent y accder ceux qui en ont le droit ; lintgrit des systmes : les services et les informations (fichiers, messages) ne peuvent tre modifis que par les personnes autorises (administrateurs, propritaires). La politique de scurit du laboratoire est lexpression de ces objectifs. Elle indique lensemble des mesures prendre, des structures dfinir et lorganisation mettre en place afin : dempcher (ou tout au moins freiner) la dtrioration, lutilisation anormale ou la pntration des systmes et rseaux ; de dtecter toute atteinte, malveillante ou non, lintgrit, la disponibilit et la confidentialit des informations ; dintervenir afin den limiter les consquences et, le cas chant, poursuivre lauteur du dlit.
10
Valeur et proprits dune information

On ne protge bien que ce quoi on tient, cest--dire ce quoi on associe une valeur . La trilogie confidentialit, intgrit, disponibilit, dtermine la valeur dune information. La scurit des systmes dinformation (SSI) a pour but de garantir la valeur des informations quon utilise. Si cette garantie nest plus assure, on dira que le systme dinformation a t altr (corrupted). Une altration
Les menaces dInternet
nest pas uniquement le fait de malveillances. Il est plus souvent encore, la consquence de pannes, de maladresses, daccidents ou derreurs humaines dont les plus frquentes sont les erreurs de conception. Ces phnomnes relvent de la sret de fonctionnement qui est une autre manire dapprhender la scurit globale. Les sauvegardes, le fonctionnement en mode de repli, la redondance, etc. font aussi partie de la trousse outils traditionnelle de la scurit prise dans son sens gnral. Avec le dveloppement de linformatisation des changes (courriers officiels, transactions financires, commerciales), la simple affirmation de la valeur de linformation nest plus suffisante. Il est ncessaire dy adjoindre des proprits nouvelles comme lauthentification (garantie de lorigine dun message, de lauteur dun document), la paternit (linformation ne peut pas tre rpudie par son auteur), la traabilit (on connat le circuit qua suivi une information), etc. La prservation et la garantie de ces proprits ressortent encore de la fonction scurit .
1.2 Lagression par lInternet

Les sources de dysfonctionnement des systmes dinformation sont diverses et varies. Elles ont le plus souvent des causes dorigine humaines : les sauvegardes sont mal faites ou mal gres et rendent le systme sensible aux pannes, aux maladresses et aux sinistres ; labsence dune vision globale de la scurit, traite par petits morceaux, au cas par cas dbouche immanquablement sur un manque dorganisation (qui fait quoi dans quelle structure ?) et plus spcialement sur de mauvaises architectures rseaux ; le manque de consignes claires qui permettraient chacun de savoir ce quil a faire, ce quil peut faire et ce quil na pas le droit de faire. Mais le nouvel environnement cr par lInternet agit galement sur la scurit. Les rseaux mettent en relation entre eux des millions dindividus aux motivations trs diffrentes. Il convient den connatre les dangers pour se protger. Les laboratoires sont raccords lInternet par le rseau Renater, lui-mme fdration de rseaux rgionaux gre dans la forme juridique dun GIP. Internet est le rseau des rseaux. Il est mondial et ouvert. Il est bti sur un protocole de communication normalis (TCP/IP) et offre un ensemble de services distribus, dont les plus connus sont WWW alias HTTP pour la consultation des serveurs web, SMTP pour la messagerie, FTP pour le transfert de fichiers, TELNET pour laccs interactif. Il en existe encore de nombreux autres, plusieurs dizaines Les agressions par le rseau utilisent la plupart du temps une faille de scurit dans lun de ces services. 11
Lagression peut tre opportuniste . Lagresseur a repr (par un programme de balayage dInternet) une possibilit de rentrer dans votre systme, il en profite. Dans ce cas, cest loccasion qui fait le larron. Cest ce profil dagression que nous dbusquons le plus frquemment dans nos systmes, uvre souvent de nophytes. Une autre forme dagression est lagression cible, elle est luvre de professionnels. Un professionnel du piratage est guid par son avidit (intellectuelle, politique, religieuse, financire). Son souci, cest la discrtion, la rapidit et lefficacit. Il a lavantage de linitiative : il sait quand, o et comment porter son attaque. Il dispose souvent dinformation sous forme lectronique (donnes). Il ne connat pas les frontires (sauf pour sinstaller sous la protection dune lgislation laxiste). Il sait ne pas laisser de traces ou les effacer. Cette forme dagression suit des principes prcis : Lagresseur vous connat ou commencera par effectuer une recherche de renseignements (caractristiques de votre systme dinformation, quipements informatiques, centres de comptence, horaire de travail, effectifs). Il a ses propres procdures et nutilise pas forcment lune des nombreuses mthodes dattaque qui sont disponibles sur Internet. Lattaque porte surtout sur les maillons les plus faibles de la chane de traitement de linformation (personnel, tltraitement, maintenance). Contre ces attaques, lingnieur systme est dans la situation dun gardien de but qui on aurait band les yeux. Exception faite de quelques virtuoses (il y en a dans nos laboratoires !) qui ont affich de belles prises leur tableau de chasse, ce type dagression reste la plupart du temps indtecte.
1.3 Comment se manifeste une agression

Du temps o linformatique tait centralise, les menaces physiques (pntration dans des locaux informatiques sans autorisation, vol, vandalisme) reprsentaient les menaces majeures. En ces temps bnis, la protection pouvait se rsumer en quelques mesures de contrle daccs : grosses serrures, sas et gardiens taient la panoplie usuelle. La situation est aujourdhui bien diffrente. Certes, il y a toujours les vols de matriel, lutilisation de la console matresse pour pntrer un systme ou le pigeage dun rseau Ethernet ou public pour le mettre sur coute ; mais globalement, la dangerosit de ce type de menaces, dont les remdes sont connus et prouvs, est sans commune mesure avec les agressions menes par le rseau, qui se ralisent sans la prsence physique de lagresseur. Ces agressions par le rseau ont maintenant trs largement atteint un seuil critique et ont ne sait pas toujours quelle parade leur opposer. Dans le palmars de cette nouvelle dlinquance, on retrouve ple-mle :
12
Tout ce qui porte atteinte lintgrit du systme

Le pigeage de systmes (bombes logiques, cheval de Troie, sniffeurs) afin de nuire au laboratoire ou de se donner les moyens de revenir plus tard. La modification des informations afin de porter atteinte limage du laboratoire (exemple : modification des pages web du laboratoire). Lutilisation des ressources du site vis. Une intrusion en vue dattaques par rebond , cest--dire quune autre cible est vise, votre systme servant seulement de point de passage . Le laboratoire est alors complice involontaire du piratage.
Tout ce qui porte atteinte la confidentialit des informations

La rcupration dinformations sensibles (mot de passe, articles avant publications, donnes personnelles, etc.). La fouille des messages, des donnes, des rpertoires, des ressources rseaux Lusurpation didentit.
Tout ce qui porte atteinte la disponibilit des services

La paralysie du systme (considr ensuite comme un exploit par les pirates qui lont ralise). La saturation dune ressource (serveur, imprimante). Les virus et vers informatiques.
1.4 Les techniques dagression utilises

Quelques exemples des techniques dagressions par Internet, parmi les plus courantes, utilises contre nos laboratoires, illustreront mieux notre propos. Les pirates commencent la plupart du temps par une recherche systmatique des sites mal administrs.
La recherche de trous de scurit sur les serveurs

Tout logiciel comporte des bogues dont certains sont des trous de scurit, des anomalies qui permettent de violer le systme sur lequel tourne le programme. Si cest un programme dapplication rseau, ces trous peuvent tre exploits distance via Internet. Les pirates recherchent systmatiquement les sites mal administrs en procdant un balayage de lInternet avec des programmes appels scan . Ces programmes dcouvrent distance toutes les stations du rseau local et testent la prsence de vieilles versions des logiciels rseau sur ces stations avec des trous de scurit connus. Les vieilles versions de sendmail , le serveur de courriers lectroniques, sont les plus testes. Cest pourquoi, veillez bien avoir toujours la dernire version dun logiciel (surtout pour le sendmail) et filtrez les applications sur le routeur dentre et sur les serveurs (cf. chapitre 4.5). 13
Une fois le site mal administr repr, lexploitation des vulnrabilits est la porte de nimporte quel malfrat : on trouve sur Internet des sites proposant des programmes tout prts accompagns de toutes les explications dtailles pour pntrer les systmes en utilisant les trous de scurit connus.
Blocage des systmes ou de la liaison dentre

Des mthodes (concrtement des programmes) sont trs connues pour perturber fortement les systmes et les rseaux et ont t trs souvent utilises ces derniers mois pour : Bloquer un systme (par exemple en ouvrant distance un grand nombre de connexions ou en mettant certains messages, pings longs ). Les constructeurs ont corrig ces erreurs dans les nouvelles versions de leurs systmes. Une version rcente installe sur chaque systme constitue le remde. Surcharger la liaison daccs lInternet dun site (jusqu la bloquer) en envoyant des messages (echo broadcast) auxquels toutes les stations locales rpondent engendrant ainsi un surcrot trs volumineux de trafic. Un filtre adapt sur le routeur dentre est une bonne solution.
SPAM Relais de messagerie

Un autre type de dlit consiste utiliser le serveur de messagerie dun site pour envoyer des messages souvent publicitaires un grand nombre de destinataires, en cachant son identit. Ce site sert alors de relais sans avoir donn son accord et son nom apparat dans lorigine des messages. Cette attaque bloque la messagerie du site utilis son insu (surcharge des files dattente dans le serveur), nuit limage du laboratoire (cela engendre des centaines de messages de protestation des victimes de ces publicits) et peut engager la responsabilit du laboratoire. Cette utilisation dtourne est en trs forte hausse ces derniers temps. Peut-tre ce succs est-il d sa facilit de mise en uvre et lanonymat quelle assure (cf. http://www.isoc.asso.fr/AUTRANS98/at-abus.htm). Pour se protger contre ce type de malveillance, il faut avoir un seul serveur de messagerie par laboratoire, bien administr, avec une version du logiciel serveur (sendmail) rcente o la fonction relay est invalide. 14
Intrusion dans un systme

Pour prendre le contrle dun systme, les agresseurs doivent commencer par sy introduire. Il faut donc que quelquun (ou quelque chose) leur ouvre une porte : un identificateur (login/passwd) a t prt ou rcupr (vol de mot de passe) ; un compte a t laiss labandon (sans mot de passe par exemple) ; une application rseaux installe a t mal matrise (configuration mauvaise ou trop ouverte) ; une ancienne version dun logiciel dont les failles de scurit ont t publies est encore en service sur une machine ;
un logiciel install en mode debug , dont on oublie trop quil ouvre bant un trou de scurit ; un utilisateur interne a aid volontairement lagresseur. Un systme qui a t pntr on dira que le systme est compromis ou viol nest plus fiable : il faut le rinstaller ainsi que tous les systmes du mme partitionnement rseau. Lintrusion dans un sous-rseau complet ou dans un systme, est mre de toutes les malveillances . Elle constitue la menace principale. Le milieu de la recherche y est extrmement vulnrable. Il nest pas question, dans le cadre de ce guide, de rentrer dans les dtails des diverses techniques dintrusion, mais penchons-nous quelques instants sur celle qui reste, dans le palmars des diverses techniques tabli par Renater, lincident le plus recens : le vol de mot de passe. La plupart des pirates informatiques sont loin dtre les petits gnies dcrits par une littrature complaisante. Leurs mthodes sont classiques. La plus utilise commence par la rcupration dun couple login-password leur permettant de se connecter au systme comme simple utilisateur. Ce premier pas franchi, le reste nest souvent plus que jeu denfant ! Il y a sur lInternet tout ce quil faut, programmes, modes demploi dtaills, description des mthodes, etc., pour lui permettre, une fois un compte utilisateur vol, dacqurir les droits de ladministrateur (root, super utilisateur) en quelques minutes ! Quelles sont les mthodes utilises pour dcouvrir un couple nom mot de passe ?
La premire et la plus banale est la recherche des comptes sans mots de

passe (guests, visitors) qui sont installs par dfaut sur certaines machines. Des programmes de balayage automatique de sites (les scans) permettent de trouver ces comptes.
Des mthodes opportunistes dans lesquelles lagresseur cherche tirer

profit dune circonstance favorable : Le mot de passe a t prt. Le mot de passe a t trouv (par hasard ou non) sur un autocollant sous le clavier, dans le tiroir dun bureau, dans un agenda, ou bien repr la drobe au moment de la frappe. Le mot de passe a pu tre devin grce aux informations recueillies sur un utilisateur. 15
Des mthodes systmatiques dans lesquelles lagresseur commence par

la rcupration du fichier des mots de passe chiffrs qui par dfaut est accessible tous sur les machines Unix. Une fois ce vol accompli, le pirate a tout son temps pour rechercher sur son PC, tranquillement chez lui, les mots de passe faibles du fichier. Avec CRACK, le programme bien
connu des initis, un mot de passe tir dun dictionnaire (il y en a de toutes sortes quon peut tlcharger partir de lInternet en diffrentes langues et sur diffrents thmes), ou dune composition proche dun mot du dictionnaire, ne rsiste pas trs longtemps. La scurit commence donc par des mesures de prcautions lmentaires pour limiter toute usurpation didentit dun utilisateur connu du systme : Il faut avoir une procdure de rception des machines qui inclut la suppression des comptes sans mot de passe. Il faut sensibiliser les utilisateurs pour quils adoptent des bons mots de passe et quils les gardent secrets (cf. http://www.urec.cnrs.fr/securite/docs/92.07.mot.de.passe.txt). Ladministrateur doit mettre en uvre des fonctionnalits du systme : pour cacher le fichier des mots de passe chiffrs (shadow password) et pour limiter la validit dun mot de passe. Il doit tester la robustesse des mots de passe avec le logiciel CRACK (celui-l mme quutilisent les pirates).
coute du rseau Ethernet

Un rseau Ethernet est fondamentalement un rseau diffusion ; toute information qui circule sur ce rseau peut tre capte par toutes les stations du rseau (mme celles qui ne sont pas destinataires des messages). On peut donc espionner un rseau Ethernet. Un sniffeur est un programme install sur une machine pour couter le rseau et collecter tous les couples login/password qui transitent en clair sur lEthernet local. Ce programme peut tre install distance, et on le retrouve dans presque tous les cas dintrusion. Quelques recommandations pour limiter ce problme dcoute : Quand vous tes en dplacement , vous ne pouvez jamais tre sr quun sniffeur nest pas install sur le rseau sur lequel vous travaillez. Cest pourquoi, si vous devez vous connecter votre laboratoire lors dune invitation ltranger, utilisez plutt un mot de passe provisoire ou un compte particulier. Quand vous tes prvenu dune intrusion, demandez que soit vrifi rapidement si un sniffeur na pas t install. Si cest le cas, il est indispensable de changer tous les mots de passe, sur toutes les stations. Sans cette prcaution, vous pouvez tre certain que l alien y est toujours, et quaprs stre fait oublier pendant quelques semaines, il rapparatra ! Le directeur doit intervenir pour faire comprendre chacun cette mesure. On peut limiter la diffusion dun rseau Ethernet (et ainsi rduire lcoute possible) en utilisant des commutateurs, des routeurs, des concentrateurs (hubs) scuriss. Cela fait partie dune bonne architecture de rseau.
16
La charte utilisateur est loccasion de sensibiliser les personnels du laboratoire sur le caractre dlictueux de ce comportement et de diminuer ainsi la menace interne .
Attaques des services rseau

Les serveurs web ou FTP anonyme ou de messagerie peuvent tre facilement attaqus sils sont mal configurs ou mal administrs. Cette vulnrabilit, mais aussi la ncessit de contrler la diffusion dinformations faite par le laboratoire, rendent imprative la matrise de tous les serveurs rseau. Il ne faut pas tolrer que des utilisateurs aux vellits individualistes installent des serveurs sauvages . Ils sont toujours mal administrs, donc vulnrables et mettent la scurit de lensemble du rseau en pril. La charte et un rseau structur sont les bons moyens darriver faire comprendre et appliquer cette rgle.
Comportements dlictueux de certains utilisateurs de nos laboratoires

Certains utilisateurs ont des comportements inadmissibles qui doivent tre corrigs ou sanctionns : changes de mots de passe (fichiers de mots de passe) ou dinformations sur les failles ventuelles dun site (entre tudiants de diffrents tablissements). Envoi de message caractre injurieux, raciste, pdophile, etc. ou mise disposition (par des liens vers des URL indsirables) de ceux-ci sur des serveurs ftp ou web du laboratoire. Rcupration (stockage et [re]diffusion) de logiciels connus pour tre pirats (sur sites warez*), de contenus protgs par un droit dauteur et dupliqus, ou de tous autres contenus rprhensibles au vu de la loi. Ces comportements dlictueux doivent tre sanctionns avec la plus grande dtermination.
17
* Un site warez est gnralement un FTP-anonyme, ouvert en criture, squatt par des pirates qui y ont cr une arborescence cache pour y dposer des binaires illicites (textes, photos, programmes pirats,), afin de pouvoir les changer anonymement dans des forums de discussions. Le laboratoire est ainsi compromis dans des trafics qui sont parfois extrmement graves !
2 Le rle du management dans la scurit

La dtermination et la supervision de la politique de scurit sont des fonctions de direction. Rien de valable ne peut se faire sans le directeur : encore faut-il quil en connaisse tous les enjeux. Largument la scurit, cest le problme dun administrateur systme nest-il pas une forme de dmission ? Nest-ce pas avouer quon cherche des solutions techniques des problmes qui sont dabord organisationnels ? Certes, avec davantage de moyens, nous ferions plus et mieux. Certains laboratoires en savent quelque chose ! Cependant, un moment ou un autre, il faut bien faire avec ce quon a le mieux possible. Cet autre argument, la scurit, a cote trop cher , nest-il pas lexcuse facile au laxisme ?
19
2.1 quoi sert la scurit ?

Nous avons mentionn au dbut du chapitre prcdent les causes diverses de dysfonctionnement dun systme dinformation en prcisant que le plus souvent elles taient dorigines accidentelles ou avaient pour cause des dfaillances techniques ou humaines. La SSI comporte donc une composante sret de fonctionnement dont lobjectif est dagir sur les causes de ces dysfonctionnements et den rduire les consquences. Mais nous avons vu que les menaces nouvelles, plus particulirement celles lies lInternet, nous obligent nous prmunir sur un autre plan : celui de la protection contre la criminalit informatique . Cest une proccupation qui va croissante. Les statistiques sont parlantes. Elles montrent que la dlinquance informatique est en forte hausse. Aux tats-Unis (source : Ernst & Young), 42 % des sites informatiques ont signal des attaques en 1997, contre moins de 16 % lanne prcdente. Cette hausse signifie probablement aussi, une meilleure prise en compte de la scurit (les sites signalent des piratages quils ne voyaient pas auparavant). On remarque galement une hausse significative de lespionnage industriel : 38 % des attaques contre 6 % lanne prcdente. Dautres tudes, ralises partir de simulations, ont montr que plus de 80 % des attaques ne sont pas dtectes. Ces rsultats sont significatifs de leffort qui reste accomplir en matire de scurit. En France, dans notre organisme en particulier, les statistiques fiables sur la dlinquance informatique sont rares. Cette carence prsente incontestablement un avantage, celui de masquer les problmes et donc de permettre de les ignorer. Malheureusement, elle prsente aussi linconvnient de laisser supposer que la situation nest pas plus brillante quailleurs. En particulier, pouvons-nous lgitimement supposer que notre milieu universitaire est mieux loti ? Mieux quun long dveloppement thorique ou incantatoire, quelques anecdotes, tires dhistoires vcues dans les laboratoires, feront comprendre la diversit des problmes rencontrs.
Prter, cest donner !

Dans ce laboratoire, un gros effort avait t fait pour faciliter la connexion aux systmes informatiques partir de lextrieur. Les chercheurs peuvent se connecter de chez eux sur leur station et travailler comme sils taient leur bureau. Cest pratique, dautant que, en se faisant rappeler par le modem du labo, cela ne leur cote que le prix dune communication locale. La tentation est grande, cependant, de confier la famille les mots de passe, et donc laccs aux moyens informatiques de cet important laboratoire. Pour le gamin lycen, cest loccasion de naviguer sur le web dans des conditions idales et sans que les parents se fchent la rception des factures tlphoniques. Mais, trs rapidement, les joies de la navigation sur le web saffadissent, et, apprenant plutt vite, le bambin passe dautres activits beaucoup moins innocentes. Le laboratoire travaille dans des domaines qui intressent apparemment beaucoup de monde, car lenfant se fait contacter par un groupe de pirates internationaux pour changer des informations .
20
Le rle du management dans la scurit
Laffaire est grave car elle touche la scurit de ltat. Que risque le gamin ? Le pre est-il complice sans le savoir ? Quelle est la responsabilit du laboratoire ?
Receleur malgr soi !

Les sites warez, vous connaissez ? Il sagit de sites sur lesquels des pirates internationaux dposent travers lInternet, linsu de ladministrateur du systme, des logiciels pirats, des images pornographiques souvent pdophiles, des documents rvisionnistes, etc. Les FTP anonymes en criture libre (souvent le rpertoire incoming ) mal grs sont lune des cibles les plus frquentes. Les sites warez servent de bourses dchange entre pirates. Les victimes (de nombreux laboratoires CNRS en sont) sont ainsi transformes leur insu en receleurs ou distributeurs de logiciels pirats, de photos pdophiles ou de textes rvisionnistes. Ces dlits peuvent se poursuivre pendant de longs mois avant que quelquun commence se douter de quelque chose Cest souvent pendant le week-end que les pirates mettent en place leur dispositif : le site warez est ouvert le vendredi soir vers minuit et referm le lundi tt dans la matine. Tout le week-end, il a fonctionn plein rgime, mais le lundi matin, tout est redevenu calme . Une affaire grave a, il y a quelque temps, touch un grand laboratoire. Le soir du dpart en vacances de Nol de lingnieur systme, 700 Mo de photos pdophiles sont tlchargs dans le FTP anonyme du laboratoire. Elles vont y rester pendant les dix jours des vacances. Paralllement, sur de nombreuses listes de diffusion, dans les forums de discussion, apparat linformation : Si vous tes intress par des photos hard-sex , allez sur . Pendant ces dix jours, le FTP du laboratoire a eu de trs nombreux visiteurs la fin des vacances, les enregistrements journaliers de lactivit du site contenant les noms et les adresses de tous ceux qui ont extrait des photos pdophiles ont t rcuprs par les pirates. Quel tait leur but ? Se constituer un carnet de contacts intressants ? Rechercher des noms de personnalits pour, ventuellement, exercer un chantage ? Compromettre le laboratoire ?
Dtournement de sites
Un serveur web, quand il est administr par des personnes aux intentions malveillantes, peut servir pirater les systmes clients qui utilisent des navigateurs mal configurs. Cest la raison pour laquelle il faut tre trs prudent quand vous autorisez lexcution dapplet Java, dactiveX ou mme simplement quon vous demande de remplir un formulaire. Vous serez dautant plus prudent que le site que vous visitez ne prsente pas de garanties dintgrit suffisantes. Mais lorsque le serveur est celui dune honorable institution (comme un laboratoire), vous avez toute confiance et vous avez bien raison. Mais parfois Nombreux sont les serveurs web qui se font pirater et sur lequel on retrouve des sniffeurs (dispositif permettant dcouter les mots de passe). Pour installer un sniffeur sur une machine, il faut avoir les privilges du super administrateur. Cela signifie que, outre que le pirate rcupre tous les couples login/password qui circulent en clair (cas standard) sur le rseau, il a pris le contrle total de votre machine serveur et quil pourra faire subir vos clients tous les derniers outrages la mode . Quelle est votre responsabilit juridique si la victime porte plainte ? Dans tous les
21
cas de figure, quelle est votre responsabilit morale, si vous navez pas pris toutes les mesures ncessaires pour prvenir ce type de dlit ?
Histoire dun courrier trop bien diffus

Le courrier lectronique, cest facile, ce nest pas cher et a peut coter gros. Un cas rcent le prouve une fois encore. La scne se droule dans un laboratoire o campent de lourds conflits de personnes, malgr laction nergique de son directeur qui essaye de reconstituer une dynamique dquipe. Ce faisant, il est entirement dans son rle, mais il sattire ainsi des rancurs pugnaces. Certains nont pas hsit espionner son courrier lectronique et diffuser pour information , aux personnes concernes , des changes de courriers confidentiels. But recherch : pourrir latmosphre du laboratoire. Objectif atteint ! Mais ces personnes qui se sont laisses entraner par la dynamique de leur rancur, savent-elles quelles ont commis un dlit grave puni de trois ans de prison et 300 000 F damende (Art. 311-1 du nouveau code pnal) ? Si elles ont agi en groupe, la peine est encore aggrave au motif dassociation de malfaiteurs (cinq ans et 500 kF) ! Que peut faire un directeur dans cette situation ? Comment peut-il la prvenir ?
Combien a cote ?
Le CNRS traite tous les ans plusieurs dizaines daffaires de piratage ayant entran des dommages graves. Les cas courants sont ceux relatifs aux vols de rsultats de recherche dbouchant sur des produits industriels. Il est difficile de chiffrer le prjudice global par manque de remonte dinformations , mais tout laisse supposer quil est considrable Un laboratoire constate des incursions de pirates sur une machine sensible, souponne une entreprise aux murs lgres , et, quelques jours aprs, retrouve dans la presse lannonce dun accord entre un grand diteur de logiciel et lentreprise en question sur la cession dun produit trs proche du leur. Montant de la transaction : 39 M$. Cette intrusion a cot cher en manque gagner ! Quant vous, comment auriez-vous ragi ? Peut-on se faire aider ou conseiller ? Ne faut-il pas mieux garder pour soi lincident ?
La confiance oui, mais pas nimporte quel prix !

22 De trs nombreuses fois, lorsquune machine a t pntre dans un laboratoire, on retrouve, dpos par le pirate dans cette machine, un sniffeur. Ce programme qui tourne en permanence, coute toutes les donnes qui transitent sur le rseau et en extrait les triplets nom/mot de passe/machine. Cette coute inclut les connexions locales de machines machines, mais aussi les connexions depuis ou vers lextrieur qui ont transit par le rseau. Le pirate peut ensuite utiliser ces donnes pour pntrer les machines distantes dun autre site. Une cole dingnieur se fait attaquer par des pirates, les dgts sont normes : rinstallation du systme sur les machines pouvant avoir t compromises (en fait, la plupart des machines), plusieurs mois de surveillance soutenue, des donnes importantes perdues, etc. Lcole en question tait bien protge, la scurit srieusement prise en compte, le personnel comptent et bien form, mais le pirate est
pass par un chemin dtourn pour attaquer sa cible : il sest servi dun laboratoire laxiste comme rebond. Ce sont donc des collgues, par leur inconscience, qui ont ouvert les portes aux malfrats. Pourquoi investir dans la scurit si des collgues moins rigoureux peuvent tout faire chouer ? Ne faut-il pas plutt refuser les demandes de connexions venant de sites risque ?
Ce que sauvegarder veut dire

Un brillant tudiant arrivait la fin de sa thse : trois ans dun dur et passionnant travail ; des jours, des soires, des week-ends passs en tte tte avec son ordinateur. La rdaction tait enfin termine, il ne restait plus que quelques corrections de principe. Tout tait sur le disque dur : les six chapitres, les annexes, les programmes, les calculs et les rsultats soigneusement classs. Mais aussi tous les courriers lectroniques : les avis critiques, les commentaires, les encouragements, les contacts pour un post-doc et les recommandations. Trs prudent, il faisait ses sauvegardes soigneusement quil rangeait mticuleusement dans un tiroir de son bureau ferm cl. Et pourtant Un matin, quand il est arriv son laboratoire, on avait vol son ordinateur et forc les tiroirs de son bureau pour voler les bandes de sauvegarde. La catastrophe, tout avait disparu ! Encore une mauvaise fiction ? Erreur ! Mme si elle ne se termine pas toujours dune manire aussi dramatique, cette histoire avec de nombreuses variantes arrive plusieurs fois par an. Le destin naturel dun disque dur est de tomber en panne. Ce nest quune question de temps Circonstance aggravante, il tombe en panne toujours quand on sen sert, cest--dire quand on en a besoin ! Faire des sauvegardes est donc une prcaution lmentaire. lmentaire mais insuffisante, comme le montre lhistoire de cet tudiant. Dans combien de laboratoires, les micro-ordinateurs des secrtariats, sur lesquels il y a parfois toute la comptabilit ou dautres informations tout aussi vitales, sont-ils sauvegards correctement ?
2.2 Vulnrabilit et insouciance des laboratoires

Combien cote la scurit ?
On dit souvent la scurit, a cote cher , mais on oublie que labsence de scurit cote plus cher encore. Ces quelques anecdotes le montrent amplement ! Tout lart de la gestion du risque est de trouver le juste compromis entre ce que a cote et ce que a rapporte . La SSI nest donc pas une recherche mythique du risque zro , mais plutt la recherche de lorganisation offrant la meilleure efficacit. Le bon niveau de scurit, cest celui au-del duquel tout effort supplmentaire a un cot plus important que les avantages quon peut en attendre. Le cot de la prvention est donc mettre en relation avec celui dun ventuel incident de scurit. Cette valuation ncessite une claire conscience des dommages que peuvent causer les malveillances informatiques et des avantages quon retire dune organisation adapte. 23
Le retour sur investissement dune politique de prvention est dabord financier. Il svalue en dommages directs vits : pertes de donnes, de proprits intellectuelles, de savoir-faire, dinformations Ces dommages sont souvent cits car leurs cots sont visibles ; mais il ne faut pas oublier le cot en organisation des malveillances informatiques. Elles sexpriment par exemple en pertes de capacit et de productivit : indisponibilit des machines gnrant des pertes de temps (une intrusion peut coter une coupure des services de plusieurs jours) ; immobilisation du personnel pour rparer ou pour attendre le retour une situation normale (une intrusion cote un quasi temps complet dingnieur systme pendant prs dune semaine et un travail supplmentaire dobservation de lactivit pendant plusieurs mois). Cest aussi une altration de limage du laboratoire et, par contrecoup, de la confiance de partenaires industriels ou de collaborations de recherche, surtout si elles sont internationales. Les pertes dimage peuvent provoquer des ruptures de contrat, des pertes de crdit ou la mise en place, par les partenaires inquiets , de procdures plus contraignantes de connexion sur leur site (dgradation de souplesse organisationnelle). Sur lInternet on voit aussi apparatre des black list , liste des domaines avec lesquels il est risqu dchanger du courrier lectronique, des rseaux avec lesquels on ne doit plus communiquer. Un laboratoire peut tre inclus dans ces listes noires par dnonciation, si un de ses utilisateurs a mis trop de courriers publicitaires par exemple, ou si ses quipements sont mal configurs (comme le serveur de messagerie o la fonction relais nest pas invalide) et peuvent servir de tremplin des pirates. Ds lors, ce laboratoire aura des difficults de communication avec certains sites. Ces pertes, souvent sous-estimes, parfois mme ignores, sont considrables prises globalement. A contrario, une bonne politique de scurit permet damliorer lorganisation, la recherche et les services. Le retour sur investissement svalue alors comme le prix quon est prt payer pour atteindre cet tat. 24
Nos 100 millions damis

Nous sommes actuellement 100 millions dinternautes dans le monde : tous des amis ? Beaucoup de choses ont chang depuis louverture dInternet au grand public , et cest un euphmisme de dire que la grande fraternit des habitus du rseau nest pas toujours bien respecte. Cest cette volution que nous navons pas vu venir et qui nous dpasse encore trs largement. Nous continuons agir avec les rgles qui taient celles du temps o lInternet tait exclusivement le domaine de lenseignement et de la recherche. Pourquoi des pirates sen prendraient-ils nos laboratoires ? Qui sont-ils ? O voudraient-ils en venir ? Quels risques courrons-nous ?
Depuis quelque temps, les actes dlictueux sont en forte augmentation et nous nen dtectons qu peine 10 % ! Ceux que nous reprons le plus facilement sont perptrs par des pirates suffisamment maladroits pour laisser des traces flagrantes. Ils sont luvre de non-spcialistes aux mobiles varis qui tentent leur chance partir de recettes connues et publies sur Internet.
Figure 1 : Le Figaro 20/03/98
On retrouve parmi ceux-ci : le mobile ludique : cest celui des nophytes quon repre le plus frquemment. Il aboutit parfois des actes de malveillance, comme la destruction de donnes, pour tenter deffacer les traces de lintrusion ; le mobile de pure malveillance : la destruction des donnes est le but fix. Cela peut tre luvre dun collgue irascible ou jaloux, ou lacte purement gratuit dun malade qui cherche simplement nuire (en hausse). Les autres mobiles de la dlinquance sont la recherche dinformations dans un but mercantile ou de concurrence et le piratage pour exploiter des ressources ou pour compromettre une machine (activit semble-t-il, en trs forte hausse). Elles naboutissent pas, sauf maladresse de lintrus, la destruction des donnes. Dautres types de piratage (les services spciaux trangers, les mafias, certains industriels) laissent peu de traces visibles car ils sont luvre de professionnels. Le monde des rseaux a donc bien chang depuis quelques annes et le gentleman pirate vant par certains mdias complaisants nest quun mythe destin endormir notre mfiance. Nous devons nous protger !
25
Le devoir de se protger
Le besoin de scurit augmente avec le rle de plus en plus essentiel des systmes dinformation. Pourtant leur vulnrabilit va croissant et volue de pair avec leur
complexit. Plus notre dpendance est grande vis--vis de ces systmes, plus ils sont devenus fragiles : la technique avance plus vite que la scurit ; la diversification des domaines dapplication aboutit une complexit accrue ; le savoir-faire et les moyens techniques se gnralisent ; les mafias tentent dorganiser dans lInternet des zones de non-droit . Face ces dfis, il y a de grandes faiblesses : la mconnaissance des protections existantes, les comportements moutonniers, les effets de modes Dans un pass encore proche, la menace principale contre les systmes dinformation tait de nature physique. Aujourdhui, avec laugmentation des interconnexions, cest une menace virtuelle et omniprsente laquelle nous devons nous opposer. Le rseau est notre outil de travail commun. Il est devenu indispensable une recherche de qualit. Il ne dpend que de nous quil ne soit pas facile de porter atteinte sa fiabilit, ses performances, lintgrit et laccessibilit des informations transportes. Il ne dpend que de nous de refuser une dgradation de cet outil, notre outil, afin quil reste au service dune bonne recherche et que nous ne soyons pas montrs du doigt par nos partenaires. La scurit est ainsi un devoir collectif. Il revient chacun de nous de se protger pour ne pas mettre en danger la scurit de tous. Dans cet effort, les responsables, de tous niveaux, ont un rle particulier jouer.
2.3 La scurit est une fonction de management

Un problme de gnralistes qui agissent avec le soutien du directeur
La scurit des systmes dinformation est une discipline transversale qui recouvre des aspects trs varis. Elle est donc de la responsabilit de gnralistes qui ont su acqurir plusieurs spcialits adaptes concrtement linstallation dont ils ont la responsabilit. Ces gnralistes spcialiss ne peuvent mener bien leur mission quavec le soutien sans faille de leur directeur. Le directeur doit tre inform des risques et des vulnrabilits de son systme dinformation ; il doit tre conscient des enjeux pour quil puisse, avec laide de ces hommes de lart , dfinir la politique de scurit du laboratoire et la faire appliquer. Or quobservons-nous dans notre organisme ? Peu de responsables, quel que soit leur niveau, savent si leur site a dj t attaqu, si des donnes les leurs peut-tre ont t voles. Cest un signe (qui ne trompe pas) de limportance quils accordent aux problmes de scurit. Mais comment peuvent-ils, dans ces conditions, dsigner les menaces, mobiliser leur personnel, faire accepter lensemble des acteurs la mise en place dune politique de prvention et demander den vrifier lefficacit ? Faut-il quils attendent dtre confronts des situations pires encore que celles que nous venons de dcrire pour quils prennent la juste mesure des enjeux ?
26
Cest le directeur qui dcide !

Certains directeurs croient que ce nest pas dans leur rle de connatre leur systme dinformation ou les risques qui psent sur lui, pourvu que a marche . Quils sachent que dautres verront ce quils ne veulent pas voir : ils prendront leur temps, mais ils le verront et sauront en profiter ! Quils sachent aussi que personne dautre queux ne peut prendre les dcisions dorganisation quimplique la scurit . Lorganisation est au service dun objectif global. Les choix dorganisation exigent donc une intelligence densemble. Le systme dinformation est lpine dorsale de lorganisation, il est son service, mais en mme temps il la structure. Organisation et systme dinformation sont en troite interdpendance. Faire des choix sur les structures, cest placer les acteurs dans le systme dinformation. Inversement, agir sur le systme dinformation, cest modifier, de fait, lorganisation. La dfinition dune politique de scurit nimplique pas seulement des choix dorganisation, mais aussi de stratgie et de mobilisation du personnel. Il faut mettre en place des structures, distribuer des rles (qui fait quoi ? ) et fixer des objectifs. Il faut faire des arbitrages budgtaires, choisir le niveau du risque rsiduel, juste compromis entre les vulnrabilits acceptes et les moyens quon est prt mettre pour les rduire. Est-ce la tche du gnraliste spcialis dont nous avons parl plus haut ? Non, car il na ni les perspectives globales, ni lautorit ncessaire pour le faire. La dfinition de la politique de scurit nest pas un problme seulement technique, le rle de lhomme de lart est en aval : appliquer la politique qui a t dfinie, avec son conseil, par le directeur. La scurit des systmes dinformation est donc une fonction de direction, les aspects techniques ne venant quen second lieu. Sans limplication personnelle du directeur, la scurit va vau-leau. Elle nest plus alors, suivant les cas, quun discours incantatoire, une somme de vux pieux rpondant des besoins hypothtiques ou une fuite en avant dans la recherche de solutions techniques des problmes de management.
Cest une dmarche qualit globale

La scurit est une partie de la sret de fonctionnement et rciproquement, suivant le point de vue que lon adopte. Il faut laborder avec les mmes mthodes. Par exemple, un systme qui a t mal conu (ou mont au fil de leau ) ne fonctionnera pas bien ; il ne rpondra pas correctement aux besoins et comportera des failles de scurit plus ou moins bantes. Les problmes de scurit dgraderont davantage les conditions de fonctionnement qui agiront nouveau sur la scurit et ainsi de suite. Un systme dinformation qui na pas t correctement conu est impossible scuriser proprement. Une approche mthodologique doit donc tre adopte ds la phase de conception. Cette ncessit dune approche mthodologique rejoint un autre impratif, la dmarche qualit , rendue ncessaire par le caractre collectif de la recherche qui fait travailler ensemble des milliers de personnes, bien au-del du laboratoire. La recherche nest pas (la-t-elle jamais t ?) une entreprise solitaire et individua-
27
liste. Elle participe et dpend de la transmission des connaissances et des savoirfaire travers les gnrations et par-del les frontires. La norme AFNOR NF X50120 dfinit la qualit comme laptitude dun produit ou dun service satisfaire les besoins des utilisateurs . Cette conception exige non seulement une claire conscience de ces besoins, mais galement une mtrologie permettant dapprcier le comportement du produit ou du service et de vrifier quil est conforme ses spcifications. Cest ce quon appelle le processus de contrle de la qualit . Il intervient de plus en plus en amont du cycle de vie des produits et services, ce qui impose une mthodologie dans leur conception et leur valuation (mthodes formelles). Le contrle et lvaluation de la qualit dun systme au sein dune organisation partent de ces principes et ont donn lieu des techniques spcifiques : laboration de la politique de scurit (rglement intrieur, chartes, dfinition des objectifs, utilisation des ressources) ; laboration du schma directeur ; matrise de mthodes, techniques et outils utiliss pour la ralisation de projets (conduite de projet, AGL, gestion des configurations) ; matrise des procdures dexploitation ; etc. La qualit des systmes dinformation participe de la qualit globale du processus de recherche, au sens de la norme ISO 9000. Cette norme simposera bientt tous. Ainsi est-il prvoir, dans un avenir imminent, quelle intgrera rglementairement des contraintes de scurit. On voit dj merger outre-Atlantique lexigence dune certification un niveau de scurit donn, comme pr-requis toute collaboration, surtout lorsquil faut interconnecter des systmes entre partenaires. Cette tendance se dessine trs clairement dans les milieux de la recherche nord-amricaine. Cest le cas, entre autres, du Stanford Linear Accelerator Center .
28
3 Sur quelles organisations sappuyer ?

Qui, au CNRS, soccupe de scurit ? Que font-ils ? Quelle aide puis-je en attendre ? Au-del de notre organisme, quelles sont les structures qui soccupent de scurit ? Ces questions ne sont pas sans intrt car elles montrent quil y a une relle mobilisation, dabord dans notre organisme, mais aussi lchelle de ltat, pour prendre en considration la scurit des systmes dinformation.
29
3.1 La scurit dans lorganisation gouvernementale
PREMIER MINISTRE
Secrtariat gnral de la Dfense nationale
MINISTRES
SCSSI Service central de la scurit des systmes dinformation
Ministre de lIntrieur
Autres ministres
CESSSI Centre dtudes suprieures de la scurit des systmes dinformation
Direction gnrale de la Police nationale

Surveillance du Territoire Police judiciaire SEFTI
Haut fonctionnaire de Dfense

Fonctionnaire de Dfense
Figure 2
3.2 Protection du patrimoine scientifique et technologique au CNRS

Le Fonctionnaire de Dfense du CNRS
La recherche publique franaise doit se nourrir dchanges avec lensemble de la communaut scientifique internationale, mais elle doit simultanment protger son patrimoine scientifique et technologique pour que la communaut nationale en soit le premier bnficiaire. Cest pourquoi, auprs du Directeur Gnral du CNRS comme auprs de tous les tablissements publics scientifiques et techniques, se trouve un Fonctionnaire de Dfense , charg de veiller qu loccasion de cooprations internationales, de contrats, de missions hors de France ou daccueils de chercheurs trangers, ne se crent les conditions de transferts inopportuns de savoir, de savoir-faire ou de technologies.
30
Le patrimoine scientifique et technologique sensible

lorigine, et dans un contexte mondial de guerre froide, les prcautions prendre concernaient principalement les domaines scientifiques susceptibles de dbou-
Sur quelles organisations sappuyer ?
cher sur des applications militaires et, plus particulirement, sur la technologie des armes de destruction massive et de leurs vecteurs. Depuis dix ans, la menace dune agression arme majeure contre le territoire national stant dilue au rythme o se mondialisaient les changes, notre vigilance doit surtout sexercer lgard des pays, potentiellement instables, qui cherchent se doter darmements nuclaires, biologiques et chimiques, ainsi qu lgard de ceux qui les aideraient dans leur entreprise.
Figure 3 : Le Figaro 10/04/98
Par les temps qui courent, cest sur le terrain de lconomie et de la matrise des rseaux dinformation que laffrontement international devient le plus proccupant. Les services de renseignement ont suivi cette volution pour consacrer dsormais 60 % de leurs activits la recherche de linformation scientifique, conomique et technologique. Paralllement lapparition du concept dintelligence conomique se sont cres des entreprises prives, spcialises dans le recueil, le traitement et la diffusion commerciale de telles informations. Le patrimoine scientifique et technologique sensible dun laboratoire est donc tout ce qui ne doit pas tre mis la libre disposition de tout un chacun, que ce soit pour des raisons stratgiques, conomiques, voire dans le souci lgitime de protger la confidentialit dinformations nominatives.
31
Les vulnrabilits des laboratoires

Les mthodes traditionnelles de recueil (cooprations internationales, envoi de stagiaires et de visiteurs, photos et photocopies, vol de documents ou dchantillons) gardent leur attrait et nous imposent de rester vigilants lorsque la relation entre le projet de recherche et la nationalit du partenaire prsente une sensibilit particulire. Cest la raison pour laquelle un contrle pralable est effectu sur les demandes de stages de chercheurs trangers et sur les projets de coopration internationale. Il est pourtant une manire bien plus discrte, rapide et efficace de sapproprier de linformation scientifique. Pourquoi se dplacer sur des milliers de kilomtres lorsque lon peut, par les rseaux, pntrer sur le systme informatique dun laboratoire et aller scruter la machine dun chercheur particulier pour y consulter tout ce quil pense ingnument y avoir mis labri. Si lenvironnement des laboratoires de recherche publique (ouverture sur le monde, multiplicit des tutelles, nombreux utilisateurs non-permanents) les rend particulirement vulnrables aux attaques venues de lextrieur, il ne faut pas pour autant baisser les bras.
3.3 Lorganisation de la SSI au CNRS

Le CNRS a pris conscience progressivement des enjeux : cest pourquoi il a mis en place des structures et dsign des responsables. Ces moyens sont mis en uvre sur les trois niveaux traditionnels de notre organisme :
Au niveau central
Au niveau central existent une structure fonctionnelle et une structure oprationnelle. La structure fonctionnelle est constitue par le service du Fonctionnaire de Dfense aid de ses deux chargs de mission : un charg de mission la scurit des systmes dinformation, Robert Longeon ; un charg de mission pour la scurit des rseaux ( mi-temps), Jean-Luc Archimbaud. Le Fonctionnaire de Dfense participe aux travaux des instances charges dorienter la politique de ltablissement en matire de systmes dinformation. La structure oprationnelle est constitue au sein de lUREC (Unit Rseaux du CNRS) dune petite quipe anime par Jean-Luc Archimbaud, aid de Nicole Dausque.
32
Au niveau rgional
Au niveau rgional a t mis en place un rseau de correspondants de scurit informatique rgionaux, en liaison troite avec les correspondants scurit des laboratoires. Ils ont t nomms sur la base du volontariat pour assumer, en plus de leurs tches de service, un rle de relais pour la diffusion de linformation et dalarme en cas de problmes, et organisent les formations scurit dans leur rgion.
Sur quelles organisations sappuyer ?
Au niveau des laboratoires

Au niveau du terrain , le directeur de lunit est responsable de la scurit des moyens dinformation de son unit. Il dtermine la politique de scurit de son laboratoire et les mesures tenir en cas dincidents. Il peut dsigner parmi ses collaborateurs un agent charg de la scurit des systmes dinformation (ce quont fait les units dune certaine taille) qui est alors correspondant scurit du laboratoire. Les directeurs suivent, leur prise de fonction, une formation qui comprend un module sur la protection du patrimoine scientifique. Ces structures collaborent troitement avec le CERT (Computer Emergency Response Team) Renater, cellule qui assure la coordination entre les membres de Renater et la liaison avec les rseaux trangers dans la diffusion dinformation, les alarmes, la recherche de lorigine des attaques et les mesures de prventions.
3.4 Les actions scurit au CNRS

Plusieurs actions ont t menes et se poursuivent pour aider les laboratoires CNRS amliorer leur scurit.
La diffusion dinformations et de recommandations

La diffusion dinformations et de recommandations a t faite de manire varie. Citons pour mmoire : Le bulletin Scurit informatique, bimestriel trs largement diffus dans les laboratoires et lextrieur du CNRS : (http://www.cnrs.fr/ Infosecu/Revue.html). Des serveurs dinformation de lUREC (http://www.urec.cnrs.fr/securite/) et du Fonctionnaire de dfense (http://www.cnrs.fr/Infosecu/accueil. html). Ces serveurs mettent en ligne des cours, des articles, des recommandations gnrales et officielles CNRS, des outils logiciels, et donnent diffrents pointeurs vers des serveurs spcialiss en scurit. Des listes de diffusions lectroniques fermes (140 correspondants scurit de laboratoire) ou accs contrl (sur les virus : http://www.services. cnrs.fr/Listes/liste.cgi?liste=sos-virus). Lorganisation de diffrents cours en collaboration avec le SCSSI, les universits et la formation permanente du CNRS.
33
La diffusion dantivirus
La diffusion dantivirus (http://www.cnrs.fr/Infosecu/AVP.html) et de logiciels libres (http://www.urec.cnrs.fr/securite/outils/index.html).
Ldition de diffrentes recommandations

Ldition de diffrentes recommandations : charte utilisateur, installation et gestion dun serveur WEB (http://www.urec.cnrs.fr/securite/).
Les oprations scurit

La mise en place doprations scurit dans les dlgations de Sophia, Marseille, Toulouse, Grenoble, Nancy, Gif et bientt Orlans (cf. http://www.urec.cnrs.fr/ securite/articles/ope.secu.html). Avec une mthodologie adapte aux laboratoires, ces oprations ont pour but de sensibiliser les units, les aider faire un bilan de leurs vulnrabilits, amliorer et organiser leur scurit, proposer des actions correctrices et des outils de scurisation. Elles se poursuivront.
34
4 Quelques recommandations lmentaires

Aucune mesure qui permette damliorer la scurit du systme dinformation du laboratoire ne doit tre nglige, mme si parfois elle parat drisoire par rapport limportance des besoins. Tout ne peut tre fait en un jour. Une approche mthodologique nous aidera dterminer le niveau de vulnrabilit accept en mme temps quelle nous permettra dtaler dans la dure les investissements quexige la politique de scurit. Bien souvent, quelques mesures lmentaires qui ne cotent que le mal quon se donne pour y rflchir un peu suffisent pour amliorer considrablement une situation qui paraissait dsespre : grer le parc de matriel, grer les comptes utilisateurs, mettre en place une architecture rseau adapte
35
Que voyons-nous, quand on tudie les causes des vulnrabilits dans les laboratoires ? Citons ple-mle, parmi les plus importantes : labsence de mthodologie de scurit ; labsence de structure de scurit ; labsence de plan de secours (ou sil y en a, il na jamais t test) ; labsence de formation : Les utilisateurs savent ; la mconnaissance de la rglementation. Sattaquer ces causes de vulnrabilit permettrait dviter au moins 80 % des problmes. Cela signifie : Mieux organiser, mieux prvoir et mieux sensibiliser. Appliquer des procdures de gestion des ressources informatiques. Mettre en place des moyens de protection active. Avoir une approche mthodologique. Concevoir une architecture structure et cohrente.
4.1 Organiser, prvoir et sensibiliser

La scurit, cest dabord sorganiser. Cest aussi prvoir les incidents et cest informer.
Les structures de scurit

Le directeur doit diriger les hommes et grer les moyens. Il agit en dlguant ses pouvoirs et en distribuant les responsabilits, desquelles on lui rend compte. Pour la scurit, dont fonctionnellement il est le responsable, il nomme quand cest possible un correspondant de la scurit informatique et rseaux qui linformera, le conseillera et fera appliquer ses directives. Ce correspondant a une dlgation de pouvoir sur tout ce qui concerne la scurit et il en rend compte au directeur. Il est linterlocuteur, mandat sur ce problme, du laboratoire auprs des autorits et des entits lies au systme dinformation : la Direction scientifique, la Dlgation, lUREC, le service du fonctionnaire de dfense, Renater, Il participe linformation et la sensibilisation des utilisateurs. En particulier, il fait connatre les consignes sur ce que chacun doit faire sil est victime ou sil est tmoin dun incident de scurit. Pour mener bien lensemble de cette mission, le correspondant scurit doit tre lui-mme particulirement motiv et correctement form.
36
En cas dincident, savoir que faire et le faire savoir !

Un incident de scurit est toujours, a priori, un vnement grave. Si un utilisateur dcouvre des traces permettant de suspecter une malveillance quelconque sur une machine, il doit dabord, et avant toute chose, en informer le directeur. Mais ce nest pas tout. Il faut aussi empcher que le mal stende en prvenant ceux dont la charge est dessayer de garder la scurit au rseau. Il faut galement isoler les
Quelques recommandations lmentaires
systmes qui ont t viols, faire le bilan des dgts et enregistrer tout ce qui peut permettre de retrouver lorigine de lagression. Ce nest quaprs tout cela que, finalement, on peut commencer rparer. En rsum, lors dun incident, il faut : 1. Dconnecter du rseau, la ou les machines suspectes, ou mettre un filtre qui empche tout accs de lextrieur. 2. Effectuer une sauvegarde du systme pour conserver les traces de lincident. 3. Avertir le CERT Renater http://www.urec.fr/securite/chartes/fiche_ suivi_incident.txt. et envoyer une copie mayday@urec.cnrs.fr (message qui arrivera dans la bote lettres de N. Dausque, R. Longeon, et J.-L. Archimbaud) 4. Faire le bilan des dgts : http://www.cru.fr/securite/Documents-generaux/Recommandations. html En particulier il faut vrifier toutes les machines du rseau et contrler sil y a un sniffeur install. Si cest le cas, changer les mots de passe de tous les utilisateurs sur toutes les stations. 5. Rinstaller le systme et les comptes utilisateurs. 6. Ne donner aucune information sur lincident des tiers non habilits. Si vous dsirez dposer une plainte, contacter le Fonctionnaire de dfense (p.schreiber@cnrs-dir.fr, tl. : 01 44 96 41 88).
Ne pas avoir honte de stre fait pirater !

Certains hsitent faire partager leur exprience dun incident de scurit par peur dtre mal jugs. Cest une erreur, car se faire pirater arrive aux meilleurs dentre nous. Au contraire, ils peuvent tre fiers de sen tre aperus, cest la marque dun systme bien gr ; si de surcrot ils font remonter linformation ceux qui en ont besoin pour assurer la scurit lchelle de lorganisme tout entier, ils rendent un service inestimable la collectivit. Les mesures de scurit qui sont prises par lorganisme dpendent de ces remontes dincidents. Les incidents de scurit sont trs nombreux dans nos laboratoires. Globalement, leurs cots budgtaires, au niveau des units comme au niveau de lorganisme, sont loin dtres ngligeables. Mais le plus grave, cest quils compromettent galement la qualit de la recherche, cest--dire la raison dtre de notre organisme. On value que moins de 10 % des incidents de scurit sont actuellement dtects. Parmi ceux-ci, moins dun tiers nous est signal. Parmi ceux qui nous ont t signals en 1997, nous avons considr que prs de cinquante cas prsentaient un caractre gravissime, soit un cas sur deux. Trois plaintes, dont une avec constitution de partie civile, ont t dposes auprs des services de police comptents. Elles concernaient cinq units propres du CNRS, travaillant sur des domaines sen37
sibles et victimes de pntrations malveillantes. Lun des cas pourrait, si lenqute de police le confirmait, couvrir une action dintelligence conomique mene depuis un pays tranger.
4.2 Procdures de gestion des ressources informatiques

Veiller au respect de la lgislation en vigueur
Parmi les rgles lmentaires de bonne gestion, la premire est de veiller ce que les lois, le code gnral de la fonction publique et le rglement intrieur du laboratoire soient respects scrupuleusement par chacun. Les textes lgislatifs les plus importants connatre sont rappels au chapitre 5.1. Rappelons plus particulirement quil est de la responsabilit du directeur de veiller ce que : toutes les mesures soient effectivement prises, pour empcher le piratage ou lutilisation de logiciels pirats dans son laboratoire ; tous les fichiers nominatifs aient t dclars la CNIL suivant la procdure adquate (cf. chapitre 8.1) ; les webs du laboratoire ne violent pas la lgislation sur la proprit intellectuelle, respectent les recommandations du Comit web du CNRS (cf. chapitre 5.2.) et ne portent pas atteinte limage du CNRS (pas de pages personnelles nayant rien voir avec les missions du laboratoire par exemple) ; les moyens informatiques du laboratoire, en particulier le rseau qui est une ressource rare et chre , ne soient pas exagrment dtourns de leurs finalits professionnelles. Pour que lensemble de ces contraintes qui simposent tous soit bien clair et port la connaissance de chacun, il est indispensable de proposer chaque utilisateur, une charte du bon usage des moyens informatiques . Elle doit tre annexe au rglement intrieur (cf. annexe A et http://www.cnrs.fr/Infosecu/ Charte.html). 38
Une gestion du parc informatique

Ladministrateur systme doit avoir la connaissance et la matrise de tous les quipements informatiques (mme personnels ) et rseaux. Il doit tenir jour la liste des quipements (stations, routeurs, imprimantes), des prises rseaux (localisation, utilisateur connect sur cette prise). Il doit tenir la liste jour des espaces disques, de leur type de montage, de leur protection et de leur affectation. Dans les petites units o il ny a pas dITA, une personne du laboratoire doit nanmoins centraliser toutes les informations concernant ces quipements et faire office de responsable informatique mme si ce nest pas son travail de base.
Une procdure dinstallation des nouvelles machines

Mme sagissant dune station personnelle o lutilisateur administre sa propre machine, il faut appliquer une procdure dinstallation. 1. Faire une sauvegarde des fichiers de configuration et une empreinte du systme en utilisant un logiciel tel que tripwire (cf. http:// www.urec.cnrs.fr/securite/outils/index.html). Automatiser cette procdure pour pouvoir la refaire aprs les mises jour ou linstallation de correctifs. 2. Tenir jour la liste des logiciels (systmes de base, applications, services) avec leurs implantations, leur fournisseur et numro de licence. Il est prfrable que cette liste soit centralise. 3. Supprimer les services rseaux dclars et inutiles (demons). 4. Installer ce qui est ncessaire pour avoir des accs journaliss et contrls (tcpwrapper par exemple).
Installez les correctifs de scurit ?

Ds quune faille de scurit est annonce par les CERT, elle est immdiatement exploite. Il faut donc passer les correctifs (patchs) le plus tt possible, car cest alors une course poursuite entre ladministrateur systme qui doit mettre jour ses machines en permanence et les pirates qui esprent, en utilisant la toute dernire faille, prendre en dfaut un certain nombre de machines. Cependant la plus grande prudence est de mise dans le choix du serveur lorsque vous voulez tlcharger un logiciel. Certains sites pigent les logiciels quils proposent (cheval de Troie, bombe logique, etc. Cf. chapitre 7). Alors ne faites confiance quaux sites connus et reconnus et vrifiez les signatures* . Cette prcaution est utile pour tous les outils de scurit dont il faut se mfier a priori. Elle lest plus encore pour les correctifs systmes.
La gestion des comptes des utilisateurs

Chaque compte doit appartenir un utilisateur clairement identifi. Proscrire les accs banaliss (guest, visitor, invit). Pour chaque nouvel utilisateur, mettre en service une procdure dentre : signature de la charte, attribution despace disque, machine, compte, ressources alloues. Vrifier rgulirement que tous les comptes ouverts sont encore dactualit. Les comptes inutiliss depuis plus de trois mois doivent tre ferms. Vrifier rgulirement la solidit des mots de passe (avec un logiciel tel que crack : cf. http://www.urec.cnrs.fr/securite/outils/index.html). Il
* Valeur permettant de vrifier si le contenu dun fichier t modifi.
39
est recommand que les utilisateurs changent rgulirement leurs mots de passe (cela implique une procdure mettre en place et grer). Crer une procdure de sortie de lutilisateur: ladministrateur systme doit tre inform immdiatement du dpart dun utilisateur, les comptes provisoires (thsards, stagiaires, visiteurs) ne peuvent tre laisss vau-leau.
La gestion du libre-service
Le libre-service est gr, et les consignes impratives, telles que la dconnexion aprs usage, sont clairement affiches. Les stations en libre-service sont sur un sous-rseau particulier, avec des droits restreints et trs contrls. Toute machine en libre-service doit tre considre comme aussi dangereuse quune machine externe au laboratoire.
4.3 Moyens de protection active

Contrle des accs physiques dans certaines parties du laboratoire
Certains fichiers peuvent prsenter un degr particulier de confidentialit. Cest le cas des fichiers nominatifs dans certaines recherches mdicales par exemple. On trouve aussi cette particularit dans des collaborations industrielles o des clauses de confidentialit sont imposes par contrat, ou dans des laboratoires qui utilisent des matriels particuliers. Le responsable doit alors proposer des moyens spcifiques pour mettre en uvre des mesures de scurit particulires. Ce peut tre des contrles daccs plus stricts, ou bien de chiffrement des donnes et/ou des communications ; ce peut tre aussi la dcision de ne pas connecter une machine sensible au rseau. Associ un contrle des accs, lisolement dune machine est le moyen le plus sr que lon connaisse pour protger les donnes quelle contient. Sil faut que certains serveurs soient physiquement protgs et placs dans des locaux accs scuriss, il peut tre judicieux de dfinir diffrentes zones dans le laboratoire : une zone accs libre et une zone o laccs est contrl. Plus particulirement, il ne faut pas perdre de vue quun ordinateur, surtout un PC, est une proie tentante pour les voleurs. Il ny a gure dautre moyen de le protger que de fermer les portes des bureaux cl et de contrler les entres dans le laboratoire.
40
Les sauvegardes
Il faut effectuer rgulirement des sauvegardes, on ne le dira jamais assez. Le mieux est ddicter des rgles prcises qui permettent dtre sr quelles sont faites correctement : quest-ce quon sauvegarde ? Avec quelle priodicit ? Avec quels recouvrements ? Ces rgles dfinissent aussi o doivent tre rangs les supports des sauvegardes, de faon que : en cas de sinistre ou de vol, elles ne soient pas perdues avec la (ou les) machine(s). Ne pas laisser la sauvegarde proximit du systme quelle est sense protger est une vidence qui nest pas toujours partage ;
elles ne soient pas porte de main du premier venu, surtout si elles contiennent des fichiers confidentiels : rien ne sert de bien protger son systme si les sauvegardes sont en accs libre pour tous ! Noubliez pas quil faut vrifier les sauvegardes. On sait dexprience que des sauvegardes jamais testes en restauration rvlent de grosses surprises. Comme par hasard (mais est-ce vraiment un hasard ?), cest le jour o on en a rellement besoin quon saperoit des problmes et de la catastrophe que reprsente la perte dun travail de parfois plusieurs mois. Dans les secrtariats des laboratoires, domaine de la bureautique par excellence, il est trs frquent quil nexiste aucun moyen de sauvegarde. Il y a pour cela des raisons historiques : les documents importants taient jusqu prsent sauvegards sur disquettes. Les disques durs des machines de bureau ont atteint aujourdhui de telles capacits quil est devenu impossible de les sauvegarder par ce moyen. Il faut donc associer, aux machines de bureau, des dispositifs de sauvegarde spcifiques. Rappellerons-nous quun disque dur est destin tomber en panne un jour ou lautre mme celui de votre secrtaire !
Dtection des attaques

Une protection efficace ne peut se limiter renforcer la solidit des systmes. Il faut savoir que, tt ou tard, il sera attaqu avec succs, souvent de faon totalement inattendue et avec des consquences imprvues. Il faut tre capable de dtecter ces attaques, de les contrler et dassurer que les dommages seront rduits. Lenregistrement de lactivit rseau anormale permet une premire possibilit de dtection : il faut installer des dispositifs de dtection des tentatives dintrusion au niveau des quipements dentre (alarmes gnres par les filtres sur les routeurs) et des stations (messages de tcp_wrapper par exemple, cf. http://www.urec.cnrs.fr/securite/outils/index.html) ; il faut veiller lexamen quotidien de ces alarmes. Sur les stations : il faut veiller ce que la comptabilit soit effectivement vrifie afin de reprer les comptes qui ne consomment plus de ressources et les fermer, ainsi que ceux dont les consommations sont insolites ; il faut sassurer que les systmes sont vrifis rgulirement de faon dtecter leurs modifications anormales. Ces vrifications doivent tre faites plus attentivement en priodes dalertes (annonces dintrusions sur des sites avec lesquels on est en relation, par exemple).
41
Procdure dalerte
Il faut dfinir la conduite tenir en cas dintrusion ou de malveillance informatique. Un utilisateur qui dtecte un fait anormal doit avertir le correspondant
scurit du laboratoire. Ce dernier doit coordonner, avec le directeur, les mesures prendre en suivant les recommandations Que faire en cas dincidents ? dcrites chapitre 4.1.
Existence dune procdure de repli et de remise en service aprs sinistre

Il ny a rien de plus angoissant quun incident de scurit lorsque vous ne savez pas quoi faire ; cest pourquoi il faut avoir rflchi lavance la conduite tenir. Il est bon davoir envisag les consquences de quelques incidents types et davoir tudi les rponses possibles. Dans certains laboratoires, les consquences de dysfonctionnement peuvent tre trop graves pour tre ngliges : il est parfois ncessaire de maintenir un certain niveau de service, mme dgrad, pendant la phase de restaurations du bon fonctionnement du systme. Cette question se pose, par exemple, pour les serveurs vitaux du laboratoire tels que les serveurs de fichiers ou de messagerie.
4.4 Avoir une approche mthodologique

Pour savoir comment faire
Bon nombre de responsables ne savent pas comment aborder la scurit . Nayant pas de mthode, ils procdent au coup par coup, errant du de toute faon, a ne sert rien , au vaut mieux en faire de trop que pas assez . Ainsi mal pense, la scurit aboutit tantt au verrouillage complet du systme tout en laissant des vulnrabilits bantes , tantt une dmobilisation totale et un laxisme irresponsable. Une approche mthodologique consiste laborer des modles, dfinir des procdures, caractriser les cycles de vie Un systme se construit toujours suivant des modles. Quand il ny en a pas, ils sont en ralit implicites. Alors chacun dans lorganisation projette inconsciemment les siens propres. Les dcisions sont prises au coup par coup, dune manire erratique en fonction des rapports de force, des humeurs du jour, des modes et souvent de la pression commerciale des constructeurs. En revanche, si les modles sont explicites, les dcisions sont cohrentes et raisonnes. Elles peuvent tre mauvaises si la modlisation est fausse, mais on peut alors ladapter, ce quon ne peut videmment pas faire avec une modlisation implicite .
42
Pour savoir ce quon veut

Les modles dfinissent, chaque moment du cycle de vie du systme dinformation, des rgles sur les ressources , les contraintes , les fonctions et les produits . Ils expriment : ce quon veut protger et pourquoi, le niveau de protection dont on a besoin,
contre quoi protger, comment protger, leffort quon est prt faire pour assurer cette protection.
Pour savoir o on va
Nous avons vu au chapitre 2 que la qualit dun produit est dfinie comme ladquation de celui-ci sa fonction et que, dans la dmarche qualit globale , on fixe cet objectif ds la phase de conception, pour le systme tout entier. Or une mauvaise apprciation des menaces (maladresse, malveillances, dfaillances, accidents, sinistres) est une cause majeure du dysfonctionnement des systmes dinformation dont lorigine se situe bel et bien dans la conception du systme luimme. Cest pourquoi la scurit dun systme et la qualit globale sont deux approches similaires se confondant en bien des points de vue. En particulier, on cherchera intgrer la scurit ds la phase de conception dun systme, comme dans lapproche qualit . La scurit se dgrade dans le temps ; on ne peut pas croire quon va faire un coup et sen tenir quitte pour plusieurs annes. Leffort doit tre permanent ! La reconnaissance des cycles de vie dun systme permet, entre autres choses, dapprhender son volution et de planifier sur plusieurs annes cet effort en moyens et en organisation.
Pour savoir limiter le problme

La scurit, entend-on parfois, est tout ce qui permet de rendre sans effet une menace sur des biens sensibles . Mais la scurit absolue nexiste pas et il faut souhaiter bon courage ceux qui se fixent de tels objectifs ! Plus prosaquement, lapproche mthodologique permet de dterminer le niveau de scurit efficace, grce des critres qui permettent de faire des choix en comparant simplement des investissements des rendements. Au fond, cest bien le seul critre qui vaille, quand il faut grer des moyens
4.5 Les phases dune mthode adapte aux laboratoires

Les trois phases dune approche mthodologique qui nous importent ici sont : llaboration dun modle ; llaboration dune politique de scurit ; llaboration dun tableau de bord. Toutes les mthodes ont leurs originalits, mais toutes partent dun modle qui est une manire de poser correctement le problme. Elles aboutissent toutes ce quil faut faire (la politique de scurit) et donnent les moyens de mesurer les carts entre ce que lon souhaite et ce que lon a rellement (le tableaux de bord ). 43
Dans la plupart des mthodes classiques, le modle est formel ou semi-formel. Ce type de modlisation est bien adapt aux systmes dinformation quon appelle complexes, parce que les lments y sont fortement dpendants (exemple : les grandes units administratives). En revanche, il constitue, nous semble-t-il, un frein ladoption dune approche mthodologique quand il faut lappliquer des structures plus simples comme celle dun laboratoire. Pour ces organisations lgres, nous prconisons les modles rels dans lesquels le systme physique est dcrit sans formalisme, tel quil est peru. Ce type de modlisation a ses limites : les interrelations chappent au modle et restent donc implicites (les combinaisons de vulnrabilits par exemple). Cest le prix payer pour conserver la simplicit, condition sine qua non pour quune mthodologie soit accepte dans les laboratoires.
Concept de modle rel

Ce type de modlisation permet de dcrire prcisment ce que lon veut avec les moyens dont on dispose dans le cadre des contraintes existantes. Elle donne une vision (ou une mesure) des menaces, des risques et des vulnrabilits, ce qui permet de dgager des critres de matrise de la scurit (gestion du risque) et dviter derrer entre les deux attitudes extrmes, intgriste ou laxiste, que nous avons vues prcdemment.
Quest-ce quune menace ?
Une menace (Mi) est un danger qui existe dans lenvironnement dun systme indpendamment de celui-ci : accident, erreur, malveillance. Une malveillance est laction dindividus et/ou dorganisations qui exploitent des vulnrabilits dans les systmes dinformation. Une malveillance peut tre : passive : elle ne modifie pas linformation et porte essentiellement sur la confidentialit ; active : elle modifie le contenu de linformation ou le comportement des systmes de traitement.
La vulnrabilit
44
Une vulnrabilit (Vi) est une faiblesse du systme qui le rend sensible une menace : bogues dans les logiciels, mauvaises configurations, erreurs humaines, services permis et non utiliss, virus ou chevaux de Troie, saturation de la liaison daccs lInternet, logiciels en mode debug , Pour dterminer les vulnrabilits dun systme dinformation, on vrifiera donc : si le systme fait tout ce quil doit faire, sil le fait correctement et sil ne fait que ce quil doit faire, sil est bien impossible au systme de faire ce quil ne doit pas faire.
Il nest videmment jamais possible dapporter des rponses sres et compltes ces questions. La difficult vient de la complexit* des systmes.
Le risque
Le risque est la probabilit quune menace particulire puisse exploiter une vulnrabilit donne du systme. Pour les habitus du formalisme mathmatique, on pourrait crire : j Risque = i (Mi x j Vi ) Traiter le risque, cest prendre en compte les menaces et les vulnrabilits. Une information prsente une certaine vulnrabilit. On lui assure un niveau de protection, qui a un certain cot. Lcart entre la menace virtuelle et son niveau de protection correspond au risque (accept ou rsiduel). Il y a des risques spcifiques dans les milieux de recherche, lis aux menaces de lenvironnement exprimental des laboratoires : risque chimique, risque incendie, risque inondation (surtout pour le laboratoire de ltage du dessous), risque lectrique, etc. Contre ce type de risque qui menace lintgrit physique de nos systmes dinformation, la seule planche de salut, rptons-le, cest une sauvegarde correctement effectue et correctement stocke.
La politique de scurit
Dterminer une politique de scurit, cest dfinir des objectifs (ce quil faut protger), des procdures, une organisation en fonction de moyens. La dmarche est rcursive : aprs un problme de scurit, la politique est ajuste. Les procdures, les moyens et parfois lorganisation sont adapts. Parfois, il faut rviser la baisse les objectifs. Il est important de dfinir correctement les rgles du modle : ce qui est autoris et ce qui ne lest pas (il est interdit de lire le courrier de son voisin sans y tre invit, mme si celui-ci na pas su le protger correctement). Il est absurde mais on le voit souvent de vouloir verrouiller les entres, dfinir des interdictions alors quon na pas su dfinir les rgles auxquelles devraient se rfrer ces actions. La politique de scurit est labore partir du modle dfini prcdmment : analyse des menaces potentielles ou relles ; identification et lanalyse des vulnrabilits (audit, contrle qualit) ; valuation des risques et la dtermination du niveau de risque admissible.
45
* Un systme complexe est un systme compos dun trs grand nombre dlments en interrelation les uns avec les autres.
Elle se ralise par : lintgration doutils et de services de scurit systme ou rseau (audit, contrle daccs, identification, logiciel antivirus, systmes experts, noyau de scurit) ; la validation logiciel/systme (techniques formelles, analyse qualimtrie, tests statiques et dynamiques, etc.) ; lvaluation et la certification des systmes et des produits. La scurit ne doit pas rester statique car toute dfense peut tre contourne ; cest pourquoi une bonne politique de scurit comprend toujours deux volets : 1. La scurit a priori (politique dite passive ) : cest le blindage du systme. Elle se caractrise par llaboration dune politique de scurit explicite, une organisation adapte cette politique, des procdures des mthodes de travail, des techniques et des outils 2. La scurit a posteriori (politique dite active ) : cest la dfense en profondeur Elle consiste par exemple : surveiller les moyens de protection pour contrler leur efficacit (mais aussi lefficacit de la politique de scurit) ; dtecter les attaques et les mauvaises configurations en enregistrant les accs aux services sensibles, en mettant en place des automatismes de dtection dintrusion, etc. ; rpondre par des actions correctives : arrt de session, reconfiguration dynamique des systmes de contrle daccs, enregistrement des sessions ; mettre en place des leurres.
Le tableau de bord
Il faut concevoir des indices statistiques afin de constituer des tableaux de bord qui permettent dvaluer limpact de la politique de scurit sur la qualit de la recherche, lorganisation et le management. Ces tableaux de bord constituent une vritable mtrique de la scurit. Ils mesurent la vulnrabilit rsiduelle dun systme dinformation et permettent dapprcier son volution. Ils valuent lefficacit de la politique de scurit. Ils indiquent les modifications de lenvironnement. Ils alertent sur lapparition de nouvelles faiblesses. Cette mtrique permet de piloter la politique de scurit en mettant en vidence les adaptations qui savrent ncessaires au fil du temps. Elles sont aussi des aides la dcision indispensables. En effet, ils donnent les moyens de faire de vritables bilans sur le bien-fond des choix qui ont t faits et donc de justifier les investissements consentis en mettant en regard les gains raliss. Sans eux, la scurit ne peut tre vue que comme une charge inutile par les dcideurs .
46
4.6 La mthode de lUREC

LUREC (Unit Rseaux du CNRS) a labor une approche mthodologique de la scurit adapte aux laboratoires (http://www.urec.cnrs.fr/securite/articles/ ope.secu.html). Elle a t dabord exprimente sur trois rgions. Cela a permis de laffiner et de confirmer son grand intrt. Elle est maintenant rode et est utilise en moyenne sur une dlgation rgionale par trimestre, dans ce qui est appel une opration scurit .
laboration du modle
Un groupe dexperts a tabli a priori une liste (appele liste de contrles) de vulnrabilits techniques, structurelles (architectures, qui fait quoi ?) et organisationnelles, adapte notre milieu de recherche. Cette liste a t labore en fonction de la connaissance des pratiques informatiques des laboratoires et des problmes de scurit qui sont remonts lUREC. Pour chaque vulnrabilit, une action correctrice est propose, donnant ainsi au laboratoire les moyens de rsorber ses vulnrabilits. Un petit ensemble doutils installer (contrles daccs, traces) complte cette liste. Le document est assez succinct pour tre appliqu pendant un temps raisonnable par ladministrateur systme dun laboratoire. Il est mis jour aprs chaque utilisation et lorsquapparaissent de nouvelles attaques ou de nouveaux bogues qui touchent les laboratoires.
Procdure dintervention
Une mthode dintervention a aussi t spcifiquement labore pour ces oprations et se dcline en cinq tapes : tape 1 Prparation de lopration (gnralement sur une douzaine de laboratoires dans une rgion) avec le Dlgu rgional et un coordinateur local de lopration (ingnieur connaissant bien les laboratoires de la rgion) : liste des laboratoires impliquer, des directeurs et des administrateurs informatiques, personnes externes associer (universits), planning, Chaque opration est adapte lenvironnement : gros ou petits laboratoires, regroups (campus universitaire/CNRS), disperss, tape 2 Intervention (2 jours) : Sensibilisation et prsentation de lopration aux directeurs et aux administrateurs informatiques pendant une demi-journe. Interviennent le Dlgu, lUREC, le service du fonctionnaire de dfense, la DST. Pour les administrateurs informatiques : tour de table, prsentation dtaille de la liste de contrles, cours spcifiques si besoin.
47
tape 3 Travail (20 jours) des administrateurs dans leur laboratoire pour appliquer cette liste de contrle, ceci coordonn par le correspondant local (liste de diffusion lectronique, ). tape 4 Bilan (un jour). tape 5 Rapport indiquant les principales lacunes (en personnel, organisation, techniques) releves dans les laboratoires et les propositions dactions correctrices.
Intrt de la mthode
Cette mthode trs pragmatique aide la modlisation du systme dinformation dune manire non formelle et permet dlaborer toute la partie scurit passive de la politique de scurit du laboratoire et en partie la scurit active (avec les outils installs). Elle permet en outre de crer une dynamique rgionale et un groupe sur lequel pourra sappuyer une organisation scurit CNRS. Point trs important dans la dmarche : elle nest pas destine valuer le niveau de scurit des laboratoires, mais les aider amliorer leur scurit. Un dveloppement test actuellement consiste ajouter a posteriori cette mthode manuelle un outil automatique de tests de vulnrabilits par le rseau, outil de scurit active qui permet la mise en place des indicateurs dvaluation de la politique de scurit et de lvolution des vulnrabilits.
4.7 Une architecture structure et cohrente

Les concepts
Le rseau du laboratoire est gnralement connect au reste du monde par un routeur, travers un rseau de campus (ou un rseau dtablissement), raccord un point dentre de renater. Le rseau du laboratoire souvre ainsi vers lextrieur. Le laboratoire devient branch . Il peut communiquer plus largement, bnficier de multiples services et travailler en coopration. Mais il soffre aussi aux convoitises des prdateurs, comme nous lavons vu prcdemment. 48 Il faut alors mieux protger encore laccs aux informations du laboratoire, cest-dire contrler les flux venant de lextrieur pour que les services (ordinateurs, rseaux, priphriques, applications) et les informations (donnes, fichiers) soient accessibles aux personnes autorises quand elles en ont besoin mais quelles ne le soient pas (ou le moins possible) pour le reste du monde . On aborde ainsi le concept darchitecture rseau de scurit. En effet toutes les architectures rseau ne sont pas quivalentes. Il y a des architectures recommandes parce quil est possible, moindres cots, dy adapter des mesures de prvention et de scurit active. Dautres ne le permettent pas dune
manire raliste. Cest le cas des rseaux dits Ethernet plat o toutes les stations sont connectes sur un mme rseau de diffusion. Cette architecture prsente plusieurs inconvnients majeurs : Il est possible dcouter, depuis nimporte quelle station, toutes les transactions sur le rseau. Un utilisateur malveillant peut ainsi dcouvrir trs rapidement les mots de passe de tous les utilisateurs. Il nest pas possible deffectuer un quelconque tri en fonction du niveau de protection ou douverture que lon veut donner une station. Certains serveurs ncessitent plus de protection que dautres, certaines stations nont pas besoin dtre accessibles depuis lInternet,
Serveurs INTERNET
Routeur
Clients Figure 4 : un rseau plat
Il faut ainsi prfrer la commutation (ventuellement les concentrateurs scuriss) qui limite les possibilits de lcoute et le partitionnement (un sous-rseau par service, ou type dactivit, ou type de serveurs, ou) qui est le dbut de la structuration. Puisquon peut pntrer galement dans le laboratoire par le rseau, il va falloir mettre, l aussi, une porte dentre . Pour tre utile, cette porte doit tre pourvue de serrures permettant de restreindre les accs ceux qui y sont autoriss, et il peut y avoir galement un concierge qui veille sur les entres et les sorties du laboratoire, note les noms des visiteurs trangers et vrifie que les demandes de services sont bien conformes aux instructions quil a reues. Les concepts darchitecture rseau suivent loffre commerciale qui est, elle-mme, dpendante de lvolution de la technique. Cette offre a vritablement explos ces dernires annes et a renouvel compltement les concepts qui avaient encore cours au dbut des annes 90. Il nest pas possible, dans le cadre de ce guide, de passer en revue lensemble des matriels existant. Nous ne retiendrons donc que quelques solutions types permettant de raliser ces trois fonctions :
49
le filtrage des accs et des services (le concierge vrifie les entres) ; la journalisation de lactivit (le concierge tient un registre) ; lauthentification forte (la serrure de la porte).
La sparation des trafics

1. Brins physiques et brins logiques
Une architecture rseau de scurit est une architecture dans laquelle on a su sparer les diffrents flux dinformation, au moins un sous-rseau physique (un brin ou un rseau virtuel) par type dutilisation de machines : machines de services, machines denseignement, machines de recherche, machines de gestion. Lidal est dorganiser les sous-rseaux en groupes de travail cohrents qui constituent autant de compartiments tanches en cas de piratage. Il faut associer ces sous-rseaux physiques des sous-rseaux logiques IP (cf. figure 5 (c)).
Sous rseau 1
Router dentre
(a) 50
Les services comme le DNS, la messagerie, le web, le FTP anonyme sont les services les plus utiliss depuis lextrieur. Il est plus prudent de les installer sur des machines ddies, sur lesquelles il ny a pas (ou trs peu) de connexion interactive possible et surtout ne pas y installer de rpertoires utilisateur. Regrouper ces machines dans un sous-rseau particulier (appel parfois DMZ) isol du rseau interne par un lment filtrant, routeur ou garde-barrire (cf. figure 5 (b)).
INTERNET
Serveur FTP, WWW, SMPT, DNS Zone banalise (DMZ)
Router filtrant
Zone protge
Sous rseau 2
OU
Sous rseau N
Garde barrire
(b)
(c)
Figure 5 : un rseau structur
2. Installer les services rseau sur des machines ddies
Mettre des filtres et des alarmes sur le routeur dentre

Un routeur, quipement qui initialement avait pour seule fonction linterconnexion de rseaux, intgre maintenant de plus en plus les fonctions de scurit qui sont devenues indispensables. Il est recommand dinstaller un quipement de ce type la porte Internet de chaque laboratoire et den faire assurer ladministration par son propre personnel afin de toujours rester matre de sa scurit (cf. figure 5 (a)). Sur ce routeur dentre, il vaut mieux interdire (sauf pour des besoins spcifiques) les services suivants : bootp, tftpd, syslog, sunrpc, snmp, xdmcp, rlogin, rsh, lpr, openwin, imap, nfs, x11, irc, netbios, sqlserver, ipx, wins, ica et ica browser, rdp, back orifice, netbus. Ce sont actuellement des services problme potentiel : certains ont des versions bogues, dautres sont trs dangereux quand ils sont mal configurs sur les stations. Mais cette liste ne sera jamais jour. Le mieux est donc davoir une politique de filtrage o tout ce qui nest pas explicitement autoris est interdit . On ne laisse alors passer que les services que lon utilise (exemple : SMTP, protocole de messagerie, entrant uniquement vers le serveur de messagerie). Linstallation dun systme de journalisation sur le routeur dentre, transmettant une station protge toutes les alarmes quil gnre, en particulier lactivation dun filtre, est le complment indispensable pour surveiller lactivit rseau.
Structurez vos rseaux

Les gardes-barrires et routeurs filtrants permettent de partitionner le rseau (cf. figure 5 (c)). Le garde-barrire (firewall) permet de concentrer la scurit en un point (normalement le point dentre dans un rseau ou un sous-rseau) et de contrler tout le trafic. Le routeur filtrant permet de filtrer les paquets, les demandes de service rseau, et denregistrer les traces dans un but de vrifications, de diagnostics des incidents et ventuellement dtablissement de preuves en cas de piratage. Plus complets, les gardes-barrires applicatifs, qui intgrent des fonctions de relayage dapplications, permettent dauthentifier les utilisateurs, de contrler tous les accs, de journaliser lactivit dun sous-rseau et, ventuellement, dintgrer des systmes de chiffrement ou de faire un contrle antivirus du flux entrant. En revanche, le routeur filtrant permet dabsorber des dbits beaucoup plus importants que les gardes-barrires qui constituent trs rapidement un goulet dtranglement. 51 Il faut tre trs attentif dans le choix des solutions : avant dacheter un matriel, il faut faire une tude technique, organisationnelle et financire. Une configuration facile base dicnes cliquables nest pas une assurance de fonctionnalits ni de robustesse ! Outre ces critres fonctionnels ou financiers (il y a des gardes-barrires tous les prix), le critre quil ne faut jamais oublier cest le critre humain : quelle personne soccupera du matriel et aura-t-elle une formation suffisante ? Il vaut mieux ne pas installer un garde-barrire applicatif si on ne sait pas comment il sera administr. Ce type dquipement ne peut tre laiss dans un placard sans que personne nen ait explicitement la charge. Noubliez pas : une scurit illusoire est pire que pas de scurit du tout !
Interdire les connexions modem sauvages

Les connexions modem sauvages (non contrles par ladministrateur informatique) sont de vritables calamits du point de vue de la scurit, car elles contournent toutes les mesures officielles . Il ne faut donc accepter les connexions par modem via le rseau tlphonique que dans le cadre de procdures bien contrles.
Contrle daccs et journalisation de lactivit rseau sur les serveurs

Nous avons vu quil fallait contrler et enregistrer les activits rseau. On doit le faire sur le routeur dentre, il faut aussi le faire sur chaque serveur. Le problme des serveurs (NT ou Unix) est quils sont souvent livrs avec de nombreuses applications rseaux lances en mode serveur, applications inutiles et dangereuses. La premire chose faire est donc de faire du mnage (dans /etc./inetd.conf par exemple sous Unix) et ne garder que ce qui sert. Il existe un logiciel libre tcp_wrapper qui permet de journaliser les connexions rseau et de les filtrer (cf. http://www.urec.cnrs.fr/securite/outils/index.html). Celui-ci est installer sur tous les serveurs.
Lauthentification forte par carte puce

Le mot de passe nest pas une technique fiable dauthentification. Il peut tre cout sur le rseau, il peut tre dcouvert, il peut tre facilement prt Une technique dauthentification plus forte est la carte puce. Cest une technique qui tend se dvelopper. Son cot reste ( la date davril 1999) encore lev : environ 350 F par machine + le logiciel de gestion sur le serveur. Cest certainement le meilleur produit en rapport qualit/prix pour la fonction dauthentification (peuttre est-ce la raison de son utilisation comme moyen de paiement par le milieu bancaire). Par contre, elle ncessite la connexion dun lecteur sur chaque poste utilisateur.
Les autres aspects de la scurit

Il y a dautres aspects de la scurit comme la confidentialit des donnes, lintgrit, la non-rpudiation. Il existe des solutions simples pour assurer ces services base de produits de chiffrements. On tudie actuellement les moyens de les dployer dabord dans des cercles restreints puis, plus tard, dans les laboratoires.
52
5 Les rgles de bon usage

Les rseaux donnent le moyen de diffuser nimporte quelle information sur la plante entire en un instant. Cette extraordinaire capacit impose chacun dentre nous le respect de certaines rgles et un peu dautodiscipline. Un comportement responsable est essentiel pour que notre organisme garde cohrence et crdibilit. Ces rgles sappliquent toute personne qui utilise les moyens informatiques dun laboratoire directement, distance, ou en cascade.
53
5.1 Respect des rgles crites et non crites

Respecter la loi !
Lobservance des rgles commence en tout premier lieu par le respect des lois. Toute personne se trouvant sur le territoire franais est tenue de respecter la lgislation en vigueur. Par exemple si, dans laccomplissement de son travail, un utilisateur est amen constituer des fichiers nominatifs relevant de la loi Informatique et Liberts , il devra auparavant faire une demande dautorisation, sous couvert de son directeur de laboratoire, auprs de la CNIL. Cette autorisation nest valable que pour le traitement dfini dans la demande et pas pour le fichier lui-mme. Dune manire gnrale, on peut trouver sur le web les textes des lois qui se rapportent plus ou moins directement la scurit informatique : la loi du 6/1/78 dite informatique et libert (cf. http://www.cnil.fr/) ; la loi du 5/1/88 relative la fraude informatique, complte par la loi du 22/7/92 dite loi Godfrain (cf. http://www.legifrance.gouv.fr/citoyen/code.cgi et http://www.cnrs.fr/Infosecu/10godfr1.html) ; la lgislation relative la proprit intellectuelle (cf. : http://www.legifrance.gouv.fr/citoyen/code.cgi et http://www.sg.cnrs.fr/internet/droitauteur.htm ou http://www.cnrs.fr/Infosecu/10droits.html) ; la loi du 04/08/1994 relative lemploi de la langue franaise, (cf. http://www.culture.fr/culture/dglf/) ; la lgislation applicable en matire de cryptologie (cf. http://www.telecom.gouv.fr/francais/activ/techno/crypto0698_1.htm) ; Web SCSSI : http://www.scssi.gouv.fr/ liste des derniers dcrets et arrts sur la cryptologie ainsi que les liens vers les documents complets : http://www.internet.gouv.fr/francais/commerce/textesref.htm#1 ainsi qu http://www.internet.gouv.fr/francais/textesref/cryptodecret99199.htm et http://www.internet.gouv.fr/francais/textesref/cryptodecret99200.htm ou encore http://www.clusif.asso.fr/rubriques/crypto/crypto.htm 54
Respecter les autorisations daccs aux fichiers

Un utilisateur ne peut accder aux informations dun systme (fichiers, journalisations, bases de donnes) que si elles lui appartiennent ou sont publiques. Ceci signifie concrtement quil na pas le droit : dutiliser ou essayer dutiliser des comptes autres que le sien ; de tenter de lire, modifier, copier ou dtruire dautres fichiers que les siens. En particulier, il lui est interdit de modifier le ou les fichiers contenant des informations comptables ou didentification ou bien de prendre connaissance dinfor-
Les rgles de bon usage
mations dtenues par dautres utilisateurs sans leur consentement explicite, quand bien mme ceux-ci ne les auraient pas (ou les auraient mal) protges. Cette dernire rgle sapplique galement aux correspondances prives de type courrier lectroniques dont lutilisateur nest destinataire ni directement, ni en copie. Toutefois, dans le cadre de sa responsabilit sur lutilisation des moyens mis la disposition du laboratoire, le directeur un droit de contrle et peut lexercer en cas dincident particulier ou denqute.
La scurit et le bon usage sont la charge de tous !

Chaque utilisateur est responsable de lemploi des ressources informatiques et du rseau du laboratoire, et il a pour devoir de contribuer, son niveau, la scurit gnrale. Il doit : appliquer les recommandations de scurit du laboratoire et signer la charte dsormais obligatoire ; choisir des mots de passe srs, gards secrets, et ne les communiquer en aucun cas des tiers ; sengager ne pas mettre la disposition dutilisateurs non autoriss un accs aux systmes ou aux rseaux travers des matriels dont il a lusage ; assurer la protection de ses informations pour lesquelles il est responsable des droits quil donne aux autres utilisateurs ; signaler toute tentative de violation de son compte et, de faon gnrale, toute anomalie quil peut constater. Linstallation des logiciels doit suivre les rgles en vigueur dans le laboratoire. En particulier, il est interdit dinstaller un logiciel pouvant mettre en pril la scurit ou pour lequel aucun droit de licence na t concd. Ces rgles de bons usages, que rappelle opportunment la Charte utilisateur pour lusage de ressources informatiques et de services Internet parue au Bulletin Officiel du CNRS (on peut la consulter en format pdf : http://www.cnrs.fr/ Infosecu/Charte.pdf ou en format html : http://www.cnrs.fr/Infosecu/Charte.html) sont le reflet, au fond, du dsir de chacun de pouvoir travailler dans les meilleures conditions possibles. Une socit sans rgle nest-elle pas aussi une socit sans droit ? La charte nonce les devoirs de chacun pour assurer les droits de tous.
55
5.2 Le bon usage des moyens de communication

Quand Guillaume Martin, chercheur au CNRS ou Alexandra Dupuis, thsard au laboratoire de Gense des particules , sexpriment en tant que tel sur le rseau, ils engagent leur laboratoire, mais aussi lensemble de lorganisme. Ils nexpriment pas une simple opinion personnelle , ils expriment des ides que cautionnent leur titre et leur fonction dans lorganisme. Quand ils le font partir du site de leur unit (site web, ftp, courrier lectronique), ils participent limage que donne
notre Centre National et dont dpend la confiance quon lui accorde. Ils engagent sa responsabilit juridique. Il nest donc pas possible de faire nimporte quoi : ne pas confondre serveur web et tribune de dbats sur le sexe des anges ; rester modr et courtois dans ses propos ; observer le devoir de rserve qui simpose tout fonctionnaire en particulier sur le plan politique. Tout laxisme sur ce sujet aboutirait tt ou tard des drives incontrlables qui mettraient en cause lexistence mme de notre organisme.
Accs aux ressources informatiques et rseau

Lutilisation des ressources informatiques partages du laboratoire et la connexion dun quipement sur le rseau ne sont pas des droits, mais sont soumises lautorisation du directeur. Ces autorisations sont strictement personnelles et ne peuvent en aucun cas tre cdes, mme temporairement, un tiers. Elles ne valent que pour des activits conformes la lgislation en vigueur et dans le cadre exclusif de lactivit professionnelle de leurs bnficiaires. Lapplication de ces rgles est soumise lapprciation, au cas par cas, du responsable de lunit qui a rpondre de la bonne utilisation de ces moyens. Ces autorisations peuvent tre retires tout moment. Toute autorisation prend fin lors de la cessation, mme provisoire, de lactivit professionnelle qui la justifie.
Accs aux sites Internet

Les connexions aux sites distants doivent se faire en respectant les rgles du bon usage traditionnelles des rseaux et, bien entendu, dans le respect de la lgislation en vigueur. Il est interdit de rentrer (ou de tenter de le faire) dans des systmes, sans en avoir les autorisations explicites. Il est interdit de se livrer des actions mettant sciemment en pril la scurit ou le fonctionnement dun site. En particulier, les oprations de reprsailles, quelles quen soient les raisons, ne doivent pas tre tolres. Toutes tentatives dusurpation didentit et dinterception de communications entre tiers doivent tre sanctionnes. La plus grande correction est de mise dans les changes lectroniques par courrier, forums de discussions Un utilisateur ne doit pas ouvrir ou dposer des documents sur un serveur du laboratoire sans autorisation du directeur responsable administrativement de son contenu.
56
Cration, administration et gestion des serveurs FTP anonymes

Les rpertoires ouverts en criture des ftp anonymes, installs dans des systmes mal configurs, peuvent tre utiliss dans les tentatives de pntration du rseau
des laboratoires. Ils peuvent galement servir des provocations, paralyser les systmes dinformation en saturant les serveurs, diffuser des documents illicites, ou plus simplement, exploiter indment des ressources informatiques du CNRS. Cest pourquoi lattention des directeurs de laboratoires et des gestionnaires de serveur est attire sur quelques points importants de la gestion des serveurs ftp. 1. Il est recommand, dans la mesure du possible, dviter la mise en place, dans un ftp anonyme, dun rpertoire ouvert tous en criture. Lexprience montre que cela est souvent possible. Si lutilisation dun tel rpertoire est incontournable, ladministrateur doit vrifier chaque jour son contenu. Ce rpertoire doit tre systmatiquement ferm lorsque cette vrification quotidienne nest pas ou nest plus possible. 2. Pour ladministration dun serveur ftp anonyme, il est recommand de suivre les mmes rgles de saine gestion que pour un serveur web : dsignation dun administrateur, contrle du contenu, journalisation des transactions, etc. 3. Il est rappel quun serveur ftp doit toujours tre administr. Pendant les absences de ladministrateur rgulier, lunit de recherche peut soit nommer un administrateur de remplacement, soit interrompre ce service.
Installation et gestion dun serveur web

Rappelons les 12 recommandations du Comit web du CNRS sur cette question. 1. Le directeur de lunit est responsable de linformation dlivre par le serveur de son laboratoire. Comme pour une publication traditionnelle, un serveur doit avoir un directeur de publication qui assure la responsabilit de linformation qui est accessible sur le serveur. Cette fonction ne peut tre assure que par le directeur du laboratoire. 2. Ne dposer sur le serveur que les informations que lon a le droit dy mettre. Un serveur doit respecter les lois sur la presse et tous les moyens de diffusion plus classiques. Il faut notamment faire trs attention : aux informations nominatives (dclaration la CNIL), aux contrats comportant des clauses de confidentialit, aux droits dauteurs (copyright) sur les textes, images, sons, vidos 3. Ne mettre sur le serveur que des informations qui valorisent limage du laboratoire. Les informations doivent tre opportunes, claires, attrayantes, et mises jour autant que de besoin. Le serveur ne doit pas tre librement utilis par le personnel pour y satisfaire ses hobbies propres ou pour y introduire des donnes qui nont strictement rien voir avec lactivit de lunit.
57
4. Ne pas omettre de prciser, dans la page daccueil du serveur, lappartenance au CNRS. Cette prcision est importante pour votre organisme et vos interlocuteurs. 5. Veiller dclarer lexistence du serveur auprs du CNRS. Cette dclaration consiste en un simple dpt ladresse lectronique : webinfo@cnrs-dir.fr. Veillez galement informer de lexistence du serveur: le directeur de dpartement scientifique dont relve le laboratoire ; le dlgu rgional. Important : cette dclaration est complmentaire et ne se substitue pas celle effectue auprs de lInternet. 6. Dsigner un responsable de web charg du fonctionnement du serveur et de la surveillance de ce quil contient. Cet agent, proche du directeur de lunit, distinct de ladministrateur du rseau mais ventuellement assist par une petite quipe nommment dsigne, est charg de contrler, valider et installer tous les fichiers (informations) sur le serveur. Il faut veiller ce quaucune autre personne de lunit ninstalle librement des donnes sur le serveur. 7. Installer ce service sur une machine o il ny a pas de donnes sensibles (au sens large). En effet, la machine qui hberge ce service est de fait connue et accessible par tout lInternet. Cest donc la premire cible pour les pirates qui, si la machine est mal configure, pourront rapidement accder toutes les donnes quelle contient. Il ne faut donc pas mettre le serveur sur lordinateur principal du laboratoire, mais lui ddier une petite station de travail. Cela permet aussi de faciliter les mesures de contrle daccs qui peuvent tre installes lentre du rseau (garde-barrire ou filtre dans le routeur). 8. Les fichiers et les rpertoires doivent y tre en lecture seule . Laccs en criture doit tre strictement rserv au responsable de web. Nul ne doit pouvoir introduire des modifications ou des informations nouvelles sans passer par lui. 58 9. Journaliser les transactions. Outre lavantage de pouvoir vrifier la pertinence de linformation, la journalisation permet a posteriori de reconstituer et dexpliquer certaines intrusions. 10. Se mfier des rebonds. Lutilisation de pointeurs sur dautres serveurs pour accder de plus larges informations doit se faire avec de grandes prcautions, notamment lorsque lon offre ainsi la possibilit daccder des informations externes au CNRS ou bien si lon risque de violer un quelconque copyright.
11. Prvoir des restrictions daccs en lecture. Sur un serveur, il est possible de restreindre certains groupes de machines laccs une partie des informations (concrtement, par des masques sur les adresses IP ou les noms de domaine). Si certaines informations ne doivent pas tre accessibles tout lInternet mais rester disponibles pour le personnel de lunit, il est possible de les mettre dans un rpertoire particulier et de nen donner accs qu votre rseau IP ou votre nom de domaine. 12. Dvelopper le serveur en franais. En effet, une des missions de notre organisme est le dveloppement de linformation scientifique en favorisant lusage de la langue franaise. Naturellement, vous pouvez paralllement traduire le serveur dans les langues trangres de votre choix.
Gestion des listes de diffusion

Rappelons les points essentiels des recommandations du Comit web sur les listes de diffusion : 1. Les listes de diffusion rentrant dans le cadre de ces recommandations sont celles porte large, gnralement connues et gres par un logiciel spcifique ; les alias de messagerie qui permettent, sur une petite chelle, de faire de la diffusion quelques personnes ne rentrent pas dans ce cadre. 2. Toute liste nouvelle doit prciser clairement : son objet et le thme exacts sur lequel doivent porter les questions et les discussions ; le nom, les coordonnes et lorganisme de rattachement de ladministrateur qui gre la liste. Il doit pouvoir tre joint facilement par chacun de ses membres ; la dure de vie de la liste, illimite, ou limite quand elle est attache un vnement particulier (manifestation scientifique, projet de recherche coordonne, collaboration industrielle, etc.) et, dans ce cas, la date prcise de son chance. 3. Lorsquune liste est prvue pour une dure limite, chacun de ses abonns doit en tre inform au moment de son adhsion. La liste ne doit pas tre laisse labandon ; elle doit tre supprime ds quarrive son chance et les participants doivent tre informs de cette suppression. 4. Une liste peut tre hberge physiquement sur une machine administre par un site, et tre gre par un administrateur depuis un autre site distant pouvant appartenir un autre organisme.
59
5. Les crateurs de liste sont mis en garde contre le danger que reprsente une prolifration anarchique des listes de diffusion sur des serveurs dunits de recherche ou dorganismes extrieurs ne possdant ni les quipements informatiques, ni les moyens humains indispensables leur bonne et saine gestion. Il est nettement prfrable de les faire hberger par un site homologu. Lensemble des textes du Comit web du CNRS peut tre consult sur lURL suivante : http://www.cnrs.fr/Gazette/Comite/comite.html
60
6 La vulnrabilit des autocommutateurs

Les systmes dinformation ne sont pas uniquement constitus des systmes informatiques et des rseaux dordinateurs ; il faut se rappeler que les tlphonies (tlphones, tlcopies, portatifs) en font aussi partie et sont galement trs fragiles, en particulier parce que les autocommutateurs ne sont pas toujours bien grs : il faut connatre ces vulnrabilits, comme utilisateurs afin de ne pas se laisser piger , ou comme responsable de site afin de prendre les mesures qui simposent.
61
Les autocommutateurs tlphoniques privs (PABX) des campus, des laboratoires, des directions ou des services administratifs sont les lments centraux des systmes dinformation. Ils en sont aussi des lments trs fragiles. Cette fragilit est dautant plus dangereuse quelle est trop souvent ignore. Pourtant un piratage peut avoir des consquences dsastreuses : dtournement de trafic, pigeage de lignes tlphoniques, coutes, blocage des communications, etc. Il faut se rappeler que le piratage aux tats-Unis a commenc par le tlphone, et plus prcisment par le piratage des centraux tlphoniques. Cette dlinquance, maintenant ancienne, a pris une ampleur considrable ; elle y a compltement achev sa drive du ludique au lucratif. Il existe des sites Internet et des forums de discussion particulirement actifs et bien documents spcialiss dans ce domaine. Cest donc un problme quil faut prendre trs au srieux.
6.1 Les responsabilits

Les fabricants
Les fabricants, pour faciliter les tches de maintenance, proposent en standard sur leur matriel un mot de passe administrateur unique, toujours le mme dun client lautre. Ces mots de passe, qui permettent de configurer (ou de reconfigurer) une installation, sont maintenant trs largement connus des milieux pirates. Cette vulnrabilit est dautant plus inquitante quelle sassocie dautres dficiences lies aux exigences de la tlmaintenance : modem connect en permanence, ligne de tlmaintenance sur le MIC du PABX. Lensemble de ces prestations rend le piratage des PABX ais. Le pirate, avec un simple minitel, peut se retrouver matre du systme. Il peut tout faire, y compris repatcher le logiciel systme pour lui attribuer des fonctionnalits non documentes , dont sa victime serait consterne dapprendre lexistence. Le pirate na pas besoin de connatre sa victime : de chez lui, parfois du bout du monde, connect par une simple ligne tlphonique, il a pris possession de son systme de communication . Il va lutiliser ou le dtourner pour son plus grand profit. La plupart du temps, il ne laissera aucune trace de ses mauvaises actions, car la journalisation dans les PABX laisse beaucoup dsirer.
62
Lorganisation
La Direction des tablissements a parfois aussi une large responsabilit : en ninstaurant pas un contrle daccs de la salle o est install le PABX : une personne mal intentionne, qui a un accs physique la machine, pour peu quelle connaisse le mot de passe dcrit ci-dessus peut tout faire, y compris modifier la configuration matrielle ; en ngligeant la tche dadministration : on voit trop souvent des situations o aucun responsable na t nomm, o il nexiste pas de
La vulnrabilit des autocommutateurs
remplaant pour suppler les absences du responsable en titre. Il nest donc pas rare quun PABX reste de longues priodes sans tre surveill.
6.2 Recommandations dadministration

Pour le PABX
1. Il est important que tous les PABX soient administrs, cest--dire que quelquun soit nomm responsable. Il assurera le contrle des entres et la gestion des postes tlphoniques, mettra en place des systmes darchivage des accs, contrlera les journaux des accs et duquera les utilisateurs des nouveaux usages . Il est linterlocuteur autoris de la Direction vis--vis des fournisseurs. 2. Le mot de passe administrateur doit tre systmatiquement chang aprs linstallation. En aucun cas, il ne faut laisser celui du fabricant. Cette position exige parfois une rude ngociation avec les services de maintenance du revendeur, mais il ne faut pas transiger sur ce point. 3. Dconnecter tout modem (il y en a toujours un sur les PABX modernes, mais il est parfois bien cach). Une intervention de maintenance, mme prventive, ne peut se faire linsu de ladministrateur. Les services de maintenance doivent pouvoir lappeler sur une ligne directe pour linformer de la nature de lopration et lui demander de brancher le modem. Cette opration est enregistre ainsi que ses rsultats sur un cahier de maintenance. Le modem est nouveau arrt la fin de lopration. 4. Le modem ne doit pas tre connect sur une voie MIC du PABX, mais sur une ligne directe possdant un numro diffrent du groupe de numros affects. Cette prcaution, outre quelle permet de se protger contre les pirates cherchant le numro du modem par balayage des numros non affects, permet aussi de pouvoir se faire dpanner par tlmaintenance en cas dincident sur le MIC. 63 Pour tre compltes, ces recommandations doivent tre accompagnes de conseils de bonne utilisation des services quoffrent les PABX.
Pour une bonne utilisation des services de tlphonie

Certaines fonctionnalits des PABX sont peu connues et peu utilises. Les plus importantes, pour le sujet qui nous occupe, sont les protections. Il est possible de faire attribuer des communications tlphoniques un poste distant (renvoi dappels). Pour viter cette fraude, il est recommand
dutiliser le code confidentiel clavier (cadenas) qui permet dempcher laccs un poste localement ou distance. Ce verrouillage est le seul moyen dempcher le piratage de trafic. Laccs la messagerie vocale est possible par nimporte qui depuis nimporte quel poste intrieur ou extrieur. Il est donc recommand chaque utilisateur de protger sa messagerie par un code confidentiel. Les PABX daujourdhui proposent un grand nombre de services de tlphonie. Ils y associent souvent (toujours ?) un ensemble de protections quil faut connatre et utiliser, sans quoi ces services sont de vritables gouffres de scurit. Cest le rle de ladministrateur de faire connatre les protections en service.
64
7 Virus informatiques et autres malignits

Dans les ordinateurs pullule une faune bizarre : virus, vers, cheval de Troie. Que recouvrent ces vocables imags ? Peut-on se prmunir contre de tels mfaits ? Que faut-il faire quand on en est victime ? Autant de questions qui tourmentent tous ceux qui ont eu affaire un jour ce type de malveillance. Quelques connaissances rudimentaires suffisent, la plupart du temps, pour y rpondre et se mettre ainsi labri.
65
7.1 Un peu de vocabulaire

Quest-ce quun ver ?
Un ver est un programme qui possde la facult de sauto-reproduire et de se dplacer au travers dun rseau (cf. Le ver Internet de Robert Morris de 1988). Il se dplace de manire autonome en exploitant des mcanismes systme ou rseau (rpc, rlogin, etc.). Un ver est un virus rseau.
Quest-ce quune bombe logique ?

Les bombes logiques sont des lignes de codes programms insidieux, cachs dans des programmes, avec un mode de dclenchement diffr. Ce mode exploite principalement des informations comme la date systme, le lancement dune procdure, lentre dune chane de caractres.
Quest-ce quun cheval de Troie ?

Les chevaux de Troie se prsentent gnralement sous la forme de programmes caractre utilitaire ou ludique. Ces programmes comportent, en plus des fonctions dclares, un mcanisme cach qui sexcute de faon illicite en parallle des actions connues de lutilisateur. Par exemple, un cheval de Troie, en plus de ses fonctions normales, enverra des informations un pirate ou crera dans le systme une entre secrte qui permet dentrer sur le systme en mode administrateur sans mot de passe.
Quest-ce quun virus ?

Pour la plupart des utilisateurs, un virus est un programme qui, leur insu, exerce une action nuisible son environnement : modification ou destruction de fichiers, effacement du disque dur, allongement des temps de traitement, manifestations visuelles ou sonores plus ou moins inquitantes, etc. Cette action peut tre continue, sporadique, priodique, ou navoir lieu qu une date prcise ou selon la conjonction dvnements extrieurs fortuits. Le virus Michelangelo, par exemple, ne se dclenche que le 6 mars. 66 Mais on sait moins que les virus peuvent aussi servir crocheter les systmes les plus secrets en crant des vulnrabilits caches quun autre processus exploitera ultrieurement. Ces virus ont pour mission de se dissminer afin de propager ces vulnrabilits et de marquer les systmes atteints pour quils puissent tre dtects par des programmes de balayage de lInternet. Ils doivent rester le plus silencieux possible pour ne pas se faire reprer. Contrairement aux autres virus, ils ne perturbent pas le systme et ne dtruisent pas de donnes. Ces virus-l sont les plus dangereux, mme sils paraissent ne pas gner. Sur une machine ainsi contamine, votre systme dinformation est un livre ouvert. Il nest plus question alors de parler de scurit !
Virus informatiques et autres malignits
On voit ici que les virus sattaquent tous les aspects de la scurit dfinie dans la trilogie: confidentialit, intgrit, continuit de service. On les caractrisera donc par leur mode de propagation, plutt que par leur capacit de malfaisance, trop gnrale. En informatique, on appelle virus tout programme dordinateur capable dinfecter un autre programme dordinateur en le modifiant dune faon quil puisse, son tour, se reproduire .
Donnes Donnes Donnes Code excutable Ver ou virus sur lexcutable Virus/Ver Code excutable
Avant infection
Aprs infection
Figure 6 : contamination par un virus ou un ver informatique
On admet gnralement quil existe deux classes principales de virus : les infecteurs de fichiers qui sattachent aux programmes et exercent une action directe ou indirecte ; les virus du systme qui sattaquent certains fichiers vitaux du disque dur, tels le boot-sector (premier secteur lu lamorage du disque), la FAT (qui est la table dallocation du disque) ou les rpertoires (les tables des matires des fichiers). Ces virus ne font pas dans la broderie. Une fois ces zones critiques modifies ou dtruites (et cela demande peu de temps), le contenu du disque peut tre considr comme perdu. moins quune sauvegarde intelligente nait t effectue en temps opportun. 67 Certains virus sont capables deffectuer ces deux types de dommages. Pour en savoir plus, voir lhistorique des virus en http://www.cnrs.fr/Infosecu/VirHisto.zip.
7.2 La prvention
La dtection de lennemi
Il existe une catgorie de dtecteurs de virus qui oprent sur une collection de signatures. Les virus les plus simples comportent tous, en effet, une suite dins-
tructions caractristique, propre chacun, mais parfaitement identifiable et quon appelle leur signature. On peut en tablir un catalogue qui ira en grossissant au fur et mesure quapparatront de nouveaux virus. Les programmes qui exploitent cette mthode sappellent des scanners. Ils ne donnent que trs peu de fausses alarmes, mais ils sont naturellement inefficaces pour les virus polymorphiques puisque ceux-ci ont la facult de modifier leur apparence. Linconvnient de cette mthode est la ncessit de remise jour priodique du catalogue, ce qui impose lutilisateur de souscrire un abonnement et procure au distributeur et lditeur de lantivirus une apprciable source de revenus. Une autre mthode existe, qui a lavantage de ne pas ncessiter de mise jour. Elle se base sur des algorithmes heuristiques pour souponner dans certaines successions dinstructions la possibilit dun virus. La probabilit de fausses alarmes est plus forte quavec les scanners, mais lefficacit est permanente. Tout au moins jusqu lapparition de nouveaux concepts dattaque.
La prvention contre les virus

Nous recommandons, pour se protger des virus : de contrler toutes les nouvelles applications installer ; de verrouiller les supports de stockage quand ils nont pas besoin dtre en criture ; davoir un antivirus jour. Les units du CNRS ont leur disposition des aides et des outils afin de les encourager amliorer lefficacit de leur protection antivirus : la liste de diffusion sos-virus permet dchanger les questions et les expriences (http://www.services.cnrs.fr/Listes/liste.cgi?liste=sos-virus) ; un site de tlchargement de mises jour de logiciels F-Prot, Sam, AVP, TBAV ; la distribution gratuite de ces logiciels.
Les canulars
68 Sur lInternet, la diffusion dinformation est facile, gratuite, et difficilement contrlable : aussi la drive de lancer de fausses alertes est-elle vite apparue. Cest ce qui se produit avec les canulars (myths, hoaxes, urban legends ) qui se prsentent faussement comme une alerte de scurit. Cette pratique a t inaugure avec la fausse annonce dun prtendu nouveau virus GOOD TIME , prsent comme trs dangereux. Cette fausse annonce continue, plusieurs annes aprs son baptme, circuler sur lInternet, parfois avec quelques variantes (Penpal Greetings, AOL4FREE, PKZIP300, etc.). Elle a toujours autant de succs ! Plus gnralement, des manipulations de ce genre affectent de nombreux thmes couvrant la scurit des systmes et des rseaux, ce qui a amen les organismes de scurit comme les CERT signer leurs messages.
Il est facile de vrifier quune alerte virus est un canular en consultant au choix lun des sites suivants : http://ciac.llnl.gov/ciac/CIACHoaxes.html http://www.symantec.com/avcenter/hoax.html http://www.stiller.com/hoaxes.htm http://kumite.com/myths/ http://www.nai.com/services/support/hoax/hoax.asp http://urbanlegends.miningco.com/msubvir.htm?pid=3D2733&cob=3Dhome On trouve galement aux adresses ci-dessous les archives des canulars et autres mythes qui courent sur Internet : http://www.snopes.com/ http://snopes.simplenet.com/message/ http://www.urbanlegends.com/ En rgle gnrale, il ne faut faire confiance quaux sources authentifies et ne jamais prendre pour argent comptant des informations qui vous arrivent par le courrier lectronique. Dans tous les cas, vrifiez linformation avant de propager le message, surtout dans une liste de diffusion. Si vous tes crdule, vous participez votre insu la malveillance.
Un nouveau danger : les macrovirus

Il est possible de rencontrer des macrovirus chaque fois quun produit offre lutilisateur la possibilit dcrire des macro-commandes permettant une criture sur disque. La plate-forme qui comporte le plus de macrovirus est Microsoft Word pour Windows. Les virus se propagent facilement dans cet environnement car les fichiers .DOC contiennent la fois le texte et toutes les macros associes. Microsoft Excel est galement touch. La fabrication dun macrovirus, contrairement aux souches anciennes o il fallait matriser la programmation systme, est la porte dun nophyte. Cette facilit attire les vocations malsaines et tous les jours il se cre une quantit innombrable de nouveaux macrovirus. La procdure ancienne de rafrachissement tous les six mois du fichier des signatures virus sur lantivirus ne suffit donc plus. Faites donc rgulirement des mises jour (au minimum une par mois) et rappelez-vous quun macrovirus peut bloquer partiellement un laboratoire pendant plusieurs jours.
69
7.3 Principes de lutte contre les macrovirus

Comment se fait la contamination ?
Word devient infect ds la lecture dun fichier contamin. Le macrovirus se propagera alors tous les fichiers ouverts avec ce Word contamin et qui sera sauvegard (Enregistrer , Enregistrer sous , ou rponse OK linvite de sauvegarde au moment de la fermeture du fichier).
Quelques prcautions
Un rcapitulatif complet est disponible sur le site http://www.cnrs.fr/Infosecu/ MVirus.zip. Les trois mthodes exposes ci-dessous sont les plus courantes :
1. Empcher la modification NORMAL.DOT
Une premire mthode de lutte contre la propagation des macrovirus consiste empcher la modification du fichier NORMAL.DOT. Interdire la modification du fichier NORMAL.DOT
Soit en protgeant par un mot de passe le fichier NORMAL.DOT : voir la procdure dans http://www.cnrs.fr/Infosecu/Virus.html Soit en protgeant le fichier NORMAL.DOT en criture : dans le menu Outils , choisissez la rubrique Options . Dans la bote qui apparat, slectionnez longlet Gnral . Cochez Protection contre les virus contenus dans les macros . Fermez la bote de commande. Avec cette protection, chaque fois que vous ouvrirez un document contenant des macros commandes, vous serez prvenu par une bote de dialogue qui vous demandera si vous voulez activer ou non les macros contenues dans le document. Soit en forant l'option Confirmer l'enregistrement de NORMAL.DOT de Word. Cliquez sur Outil , puis sur Options . Choisissez ensuite l'onglet Enregistrement . Parmi les options d'enregistrement affiches, slectionnez Confirmer l'enregistrement de NORMAL.DOT . Vous pouvez naturellement appliquer toutes ces protections la fois ! Plusieurs prcautions valent mieux quune ; cependant beaucoup de virus actuels savent trs bien contourner ces lignes de dfense.
2. On peut aussi dsactiver le lancement des macros au dmarrage
70
Dsactivation des macros de type AUTO

Lancez Word ou ouvrez un document en gardant la touche <majuscule> enfonce. Cette opration permet d'empcher l'excution des macros automatiques de type AUTO, ce qui interdit au virus l'utilisation des AutoOpen ou AutoExec pour se propager. D'une manire similaire, l'activation de ce contrle la sortie de Word fait obstacle l'excution de la macro AutoClose.
3. On peut enfin faire dsactiver les macros par Word
Si vous n'utilisez jamais les macros, prfrez la fonction de Word DsactiverMacroAuto qui a exactement le mme rle que la technique prcdente, mais opre une dsactivation globale et systmatique (voir la procdure dans http:// www.cnrs.fr/Infosecu/Virus.html). Malheureusement, il existe d'autres macros que celles de type AUTO. Cette mthode n'est efficace que dans la mesure o les macrovirus ont l'amabilit de bien vouloir n'utiliser que celles-l .
7.4 Que faire en cas dinfection par un virus ?

La meilleure protection contre les virus et les macrovirus est un antivirus jour. Le reste est du pis-aller. Cependant, si vous vous tes laiss prendre au pige, voici quelques conseils utiles.
Connatre son virus
Si vous pensez tre infect par un virus dont vous connaissez un des noms ou alias (un mme virus porte plusieurs noms suivant les diteurs antivirus), procdez de la manire suivante : 1. Rcuprez la liste des noms ou alias de ce virus sur http://www.virusbtn.com/VGrep/search.html 2. Consultez une base de description de virus sur lun des sites suivants : http://www.Europe.DataFellows.com/vir-info/ http://www.drsolomon.com/vircen/enc/ http://www.avp.ch/avpve/findex.stm http://vil.mcafee.com/villib/alpha.asp http://www.symantec.com/avcenter/vinfodb.html
Comment fabriquer une disquette de dmarrage sur PC (Win9x) : Pour les opration suivantes, il faut utiliser un ordinateur qui na pas t infect. 1. Mettre une disquette vierge dans le lecteur 2. Lancer MS-DOS et rentrer les instructions suivantes : FORMAT A: /S /U COPY C:\WINDOWS\HIMEM.SYS A:\ COPY C:\WINDOWS\EMM386.EXE A:\ EXIT 3. Copier avec Notepad les trois lignes suivantes et les sauvegarder sur la disquette sous le nom de CONFIG.SYS DEVICE=A:\HIMEM.SYS DEVICE=A:\EMM386.EXE NOEMS DOS=HIGH,UMB 4. Protger la disquette en criture.
71
Dsinfecter son PC sous Win9x sans disquette de dmarrage :
Vous tes contamin. Normalement, il vous faudrait redmarrer votre ordinateur en partant dune disquette propre mais vous navez pas pens en prparer une quand il le fallait ! Pour linstant (avril 99), seul AVP permet de travailler avec un systme contamin. Comment dsinfecter son PC
Tlchargez la version DOS dAVP sur votre PC. Dcompactez-la (unzip) et placez-la dans un nouveau rpertoire, par exemple AVP. 1. Faites repartir votre PC en mode MS-DOS. 2. Vous devez rcuprer un prompte du type "C:\>" ou "C:\WINDOWS>", tapez les commandes suivantes : CD \AVP AVPLITE * \3. Quand le programme a fini de dsinfecter le disque, noubliez pas de vrifier aussi TOUTES vos disquettes.
Dsinfecter une contamination par macrovirus
Quand l'antivirus n'a pas su dtecter un nouveau macrovirus (versions Word 6 et ultrieures pour Mac et PC), alors quelques gestes qui sauvent sont profitables connatre : Dabord commencez par nettoyer Word lui-mme
1. Lancez Word. 2. Dans le menu Outils , choisissez la rubrique Modle et complments 3. Prenez soigneusement note de tous les modles lancs au dmarrage, ainsi que de leur chemin daccs : il suffit de slectionner le modle pour que son chemin daccs apparaisse en bas de la bote de dialogue. 4. Sortez de Word et jetez-les. 5. Trouvez le fichier NORMAL.DOT (il est en gnral dans c:\Program Files\Microsoft Office\ Modles ) qui est charg au dmarrage. Jetez-le. 6. Relancez Word sans ouvrir de document, activez la protection de Word contre les macros et mettez un mot de passe au fichier NORMAL.DOT comme indiqu ci-dessus.
72 Puis nettoyez les documents contamins

1. Assurez-vous que le fichier NORMAL.DOT est verrouill et que la protection antivirus est active. 2. Pour chaque document Word contamin, ouvrez-le avec WordPad et faites un Copier/Coller sur Nouveau Document de Word. Puis, jetez le document contamin et enregistrez le nouveau document Word sous son ancien nom. Si, aprs avoir effectu ces oprations, cela ne va pas mieux, cest que vous avez oubli de dcontaminer un document : recommencez au dbut.
7.5 O trouver antivirus et documentation ?

AVP
Un accord de licence entre le CNRS et AVP* a t contract. Les agents CNRS ou travaillant dans un laboratoire associ au CNRS peuvent acqurir ce logiciel. Consulter : http://www.cnrs.fr/Infosecu/AVP.html
Autres antivirus
Des antivirus sont disponibles GRATUITEMENT pour les laboratoires du CNRS et de lUniversit. Ils sont diffuss ainsi que leur mise jour par les Centres de Ressources en Informatique (CRI) des Universits. Contactez le correspondant de votre CRI (http://www.cnrs.fr/achats/da7.html) et veillez bien disposer en permanence de la toute dernire version du fichier des signatures virus. Vous pouvez galement consulter le site http://www.cnrs.fr/Infosecu/viruscrp.html#Ou
Documentation
Une documentation sur les listes de diffusion vous est propose sur le site http://www.cnrs.fr/Infosecu/viruscrp.html#Doc Vous pouvez vous informer sur les alertes virus sur les sites suivants : http://www.attac.net/virdesc.htm http://www.drsolomon.com/vircen/index.cfm http://www.symantec.com/avcenter/vinfodb.html http://www.trendmicro.fr/infos.htm http://www.virusbtn.com/VirusInformation/ http://www.datafellows.com/v-descs/ Une information complte sur les virus sur : http://www.virusbtn.com/ (le clbre Virus Bulletin) http://www.westcoast.com/ http://www.uta.fi/laitokset/virus/ http://agn-www.informatik.uni-hamburg.de/vtc/en9810.htm Une bonne encyclopdie virus : http://www.avpve.com/ 73
* diteur du logiciel antivirus du mme nom.
8 Les aspects juridiques de la SSI

On entend souvent dire quun vide juridique rgnait sur lInternet. Rien nest plus faux ! Sous prtexte de libert dexpression, lInternet nchappe pas aux lois et rglements actuels qui rgissent les activits humaines et qui ont t dfinis depuis longtemps pour tout ce qui a trait la proprit intellectuelle, aux contrefaons et au respect de la vie prive. Or nul nest cens ignorer la loi et tout le monde doit connatre ce qui est lgal et ce qui ne lest pas.
75
8.1 Les traitements automatiss dinformations nominatives

La dclaration la CNIL
On appelle informations nominatives toutes informations permettant, directement ou indirectement, lidentification des personnes physiques auxquelles elles sappliquent. La loi du 6 janvier 1978 impose toute personne mettant en uvre un traitement automatis de donnes nominatives den faire une dclaration pralable auprs de la Commission Nationale de lInformatique et des Liberts. La procdure est alourdie pour les administrations qui doivent, quant elles, faire une demande davis pralable. Cette loi confre en outre aux personnes faisant lobjet du traitement un certain nombre de droits : droit dinformation pralable, droit daccs, droit de rectification. Les fichiers comportant des informations nominatives doivent tres dclars la CNIL Commission Nationale de lInformatique et des Liberts 21, rue Saint-Guillaume 75340 Paris Cedex 07 Tlphone : 01 53 73 22 22 Tlcopie : 01 53 73 22 00 http://www.cnil.fr Il existe plusieurs formes de dclarations : Demande davis : cest la demande davis pralable tout traitement de donnes nominatives dans des services de lEtat. Dclaration simplifie : le fichier est strictement conforme une norme prdfinie, la procdure est alors allge. Dclaration de modification : cest une demande davis pour une modification dun traitement de donnes nominatives dj dclare ou par rapport une norme simplifie. Dclaration de suppression darchivage lorsquon dtruit des archives.
76
Exemples de normes simplifies

Norme simplifie n 9 (mai 1980) relative la gestion de prts de livres, de supports audiovisuels et duvres artistiques. Norme simplifie n 23 (juillet 1981) relative la gestion des membres des associations rgies par la loi du 1er juillet 1901. Norme simplifie n 40 (dcembre 1994) concernant la mise en uvre dautocommutateurs tlphoniques sur les lieux de travail.
Les aspects juridiques de la SSI
Modles dj dposs
Un certain nombre de modles types de dclaration ont t soumis la CNIL, qui les a valids. Pour les Universits, il sagit pour linstant essentiellement des fichiers associs aux services des annuaires et des listes de diffusion. (voir : http://www.cru.fr rubrique juridique). Pour le CNRS : modle type de cration dannuaires web dans nos units propres ou mixtes (CNRS 11/07/96) et annuaires EUDORA (CNRS 2/08/96).
Recommandations de la CNIL pour les traitements accessibles sur lInternet

Information pralable et consentement clair des personnes objet du traitement. Mention de linterdiction de capture pure et simple des informations nominatives des fins commerciales ou publicitaires. Accs, par lien hypertexte, aux dispositions lgales applicables (loi de 1978). Vous pouvez faire appel au service juridique du CNRS pour avoir tous les conseils ncessaires concernant les dclarations CNIL.
8.2 Quelques lments de droit se rappeler

Droits dauteur
Lauteur dune uvre de lesprit jouit sur cette uvre, du seul fait de sa cration, dun droit de proprit incorporelle exclusif et opposable tous. (Art. L.111-1. du Code de la proprit intellectuelle). Toute utilisation faite sans son consentement est considre comme illicite et sanctionne pnalement. La seule exception : le droit de courte citation qui permet de reproduire partiellement une uvre condition den indiquer clairement lauteur et la source. Les articles L.112-1.et L.112-2. du mme code prcisent que sont protges toutes les uvres de lesprit, quels quen soient le genre, la forme dexpression, le mrite ou la destination, et notamment : les livres, brochures et autres crits littraires, artistiques et scientifiques ; les confrences, allocutions, sermons, plaidoiries et autres uvres de mme nature ; les uvres de dessin, de peinture, darchitecture, de sculpture, de gravure, de lithographie ; les uvres graphiques et typographiques ;
77
les uvres photographiques et celles ralises laide de techniques analogues la photographie ; les uvres des arts appliqus ; les illustrations, les cartes gographiques ; les plans, croquis et ouvrages plastiques relatifs la gographie, la topographie, larchitecture et aux sciences ; les logiciels, y compris le matriel de conception prparatoire ; La mise sur le rseau dun document faisant lobjet dun droit de proprit intellectuelle (texte, photographie, dessin) doit tre opre avec une extrme prudence. Il est impratif dtre titulaire des droits sur ce document ou pour le moins dtre autoris le reproduire sur le rseau.
Intrusions informatiques
Art. 323-1. Le fait daccder ou de se maintenir frauduleusement dans tout ou partie dun systme de traitement automatis de donnes est puni dun an demprisonnement et de 100 000 F damende. Lorsquil en est rsult soit la suppression ou la modification de donnes contenues dans le systme, soit une altration du fonctionnement de ce systme, la peine est de deux ans demprisonnement et de 200 000 F damende. Art. 323-2. Le fait dentraver ou de fausser le fonctionnement dun systme de traitement automatis de donnes est puni de trois ans demprisonnement et de 300 000 F damende. Art. 323-3. Le fait dintroduire frauduleusement des donnes dans un systme de traitement automatis, ou de supprimer ou de modifier frauduleusement des donnes quil contient est puni de trois ans demprisonnement et de 300 000 F damende.
qui appartiennent les logiciels raliss dans les units ?

Le CNRS est titulaire des droits sur les logiciels crs dans ses units. 78 Art. L. 113-9. Sauf dispositions statutaires ou stipulations contraires, les droits patrimoniaux sur les logiciels et leurs documentations crs par un ou plusieurs employs dans lexercice de leurs fonctions ou daprs les instructions de leur employeur sont dvolus lemployeur qui est seul habilit les exercer. () Les dispositions du premier alina du prsent article sont galement applicables aux agents de ltat, des collectivits publiques et des tablissements publics caractre administratif.
Les aspects juridiques de la SSI
Lutilisation de la langue franaise

Dans la dsignation, loffre, la prsentation () dun bien, dun produit ou dun service, () lemploi de la langue franaise est obligatoire. Les mmes dispositions sappliquent toute publicit crite, parle ou audiovisuelle. Article 2 de la loi du 4 aot 1994 sur lemploi de la langue franaise. En outre, rappelons que lemploi de la langue franaise simpose la fonction publique et dans tout document caractre administratif ou manant dun service de ltat.
79
Conclusion
La scurit dpend de tous, et tous les facteurs interagissent entre eux. La qualit des hommes comptence, motivation, formation est importante ; il faut y porter un effort constant. Les techniques et les moyens financiers sont vitaux et ne doivent pas tre ngligs. Mais de tous les facteurs et acteurs qui interviennent dans les systmes dinformation et contribuent la force ou la faiblesse de lensemble, les directeurs dunit jouent le rle essentiel. La scurit des systmes dinformation est une fonction de Direction. Cela ne veut pas dire que les directeurs doivent mettre une casquette et contrler les identits. Cela signifie simplement quils mettent en place une organisation et ont un style de direction qui favorise ou non la prise en charge de cette question ; que ce sont eux, qui dterminent la politique de scurit de leur laboratoire, et que ce sont eux qui la font appliquer. Il ny a queux qui peuvent le faire, et rien ne se fera sils ne sont pas personnellement convaincus de limportance de cette tche. De mme, lautre bout de la chane, lutilisateur final a la charge de lexcution de tous les actes lmentaires de scurit. Sil ne voit ces mesures que comme une somme de contraintes mises en place pour lui gcher la vie, la partie est perdue davance. Do limportance des recommandations de scurit et des chartes informatiques qui, accompagnes des explications ncessaires, sont avant tout un moyen de sensibilisation. Bien prsentes, elles deviennent le rglement intrieur du club des utilisateurs ; elles sont alors facilement acceptes et la vie collective du laboratoire y gagne en qualit. Image symtrique du laxisme, le rigorisme est une autre dviance des conceptions de la scurit. Oppos en apparence, cet autre excs aboutit au mme rsultat : le blocage du systme dinformation. Il faut donc rappeler que la scurit nest pas une fin en soi. Il ne sagit pas de partir la qute de labsolu ou de construire une nouvelle ligne Maginot rpute infranchissable, mais de dterminer un seuil de vulnrabilit acceptable en fonction de contraintes et dobjectifs, et den contrler les dfaillances par des alarmes, des audits, lenregistrement des accs rseau. Enfin, il existe une autre manire de nier la scurit : appliquer, sans les comprendre
81
et sans considration des circonstances, des rgles toutes faites. La politique de scurit doit respecter les spcificits fortes qui caractrisent notre milieu, faute de quoi elle subirait invitablement un rejet. Ces spcificits sont principalement louverture, limbrication des structures et le modle organisationnel : 1. Louverture des laboratoires sur le monde extrieur est une exigence obligatoire de lactivit de recherche : stagiaires et chercheurs viennent du monde entier, les cooprations sont la plupart du temps internationales, les rseaux sont interconnects 2. Limbrication troite des structures de divers organismes trs souvent Universit et CNRS induit une dispersion des responsabilits. Cette situation est encore accentue par lorganisation administrative rgionale en liaison troite mais dcouple de la structure oprationnelle quest le laboratoire. 3. L organisation des laboratoires par projets ou par thmes de recherche favorise les structures en rteau aux liaisons organiques et hirarchiques faibles et encourage une dilution de lautorit. Les comportements individualistes, spcifiques certains de ces milieux, sont galement prendre en compte. Chaque laboratoire est un cas particulier. La SSI ne sapprhende pas de la mme faon suivant quil sagit dun grand laboratoire possdant des moyens financiers et humains importants ainsi quune culture et un savoir-faire en systme et rseau, ou dune petite unit de recherche qui a constitu son informatique par accumulations successives sans plan, sans connaissances pralables et sans personnel technique associ. Les diffrentes units dans leurs diversits prsentent un vaste panorama et une grande varit de structures et de cultures qui se ctoient. Il ne saurait y avoir, par consquent, de schma prtabli quil suffirait dappliquer la lettre . Cest pourquoi ce livret ne sintitule pas Scurit, mode demploi , mais plus modestement guide . Sa vocation est de vous aider fixer VOTRE politique de scurit, non de la faire votre place. Les systmes informatiques et les rseaux, qui taient nagure loutil dune certaine lite, sont maintenant au cur de tous les systmes. Ce dveloppement technique a permis daccrotre considrablement nos capacits de traitement, de stockage et de transmission de linformation ; mais il a rendu en mme temps les systmes dinformation beaucoup plus fragiles. La gravit des accidents, des maladresses, des erreurs ou des malveillances est bien plus grande quauparavant : cest souvent la perte de plusieurs jours, parfois de plusieurs semaines de travail. Ces pertes peuvent tre mme irrparables. Paralllement, les techniques et les savoir-faire se sont gnraliss. Il y a vingt ans, attaquer un systme informatique centralis demandait une certaine technicit quil nest plus ncessaire de possder aujourdhui. On trouve sur Internet les botes outils toutes prtes permettant dattaquer nimporte quel site, surtout sil est mal administr.
82
Conclusion
Mme Internet a chang. Il y a quelques annes, ctait un rseau limit des personnes dune mme communaut, celle de la recherche et de lenseignement. Les malveillances taient rares, car il tait facile de connatre lidentit dun linterlocuteur. Maintenant lInternet est un rseau ouvert et anonyme que certains voudraient transformer en zone de non droit. Nos habitudes dutilisation des services de ce rseau plantaire , ainsi que lorganisation de nos systmes dinformations qui datent de cette poque rvolue, doivent changer eux aussi. Cela prendra du temps car la tche est immense. Raison de plus pour commencer maintenant.
83
Annexe A
La charte utilisateur
Charte utilisateur pour lusage de ressources informatiques et de services Internet
DEC 99 8407 DCAJ portant approbation de la charte utilisateur pour lusage de ressources informatiques et de services Internet
Ce texte, associ au rglement intrieur des entits, est avant tout un code de bonne conduite. Il a pour objet de prciser la responsabilit des utilisateurs en accord avec la lgislation afin dinstaurer un usage correct des ressources informatiques et des services Internet, avec des rgles minimales de courtoisie et de respect dautrui*.
1. Dfinitions
On dsignera de faon gnrale, sous le terme ressources informatiques , les moyens informatiques de calcul ou de gestion locaux ainsi que ceux auxquels il est possible daccder distance, directement ou en cascade partir du rseau administr par lentit. On dsignera par services Internet la mise disposition par des serveurs locaux ou distants de moyens dchanges et dinformations diverses : web, messagerie, forum
* Pour tout renseignement complmentaire, vous pouvez vous adresser votre correspondant scurit.
On dsignera sous le terme utilisateur les personnes ayant accs ou utilisant les ressources informatiques et services Internet. On dsignera sous le terme entit les entits administratives cres par le CNRS pour laccomplissement de ses missions, telles que les units de recherche ainsi que les services et directions administratives.
85
2. Accs aux ressources informatiques et services Internet

Lutilisation des ressources informatiques et lusage des services Internet ainsi que du rseau pour y accder ne sont autoriss que dans le cadre exclusif de lactivit professionnelle des utilisateurs conformment la lgislation en vigueur.
Lactivit professionnelle est celle prvue par les statuts du GIP RENATER auquel est li le CNRS, savoir : les activits de recherches, denseignements, de dveloppements techniques, de transferts de technologies, de diffusion dinformations scientifiques, techniques et culturelles, dexprimentations de nouveaux services prsentant un caractre dinnovation technique, mais galement toute activit administrative et de gestion dcoulant ou accompagnant ces activits. L utilisation des ressources informatiques partages de lentit et la connexion dun quipement sur le rseau sont en outre soumises autorisation. Ces autorisations sont strictement personnelles et ne peuvent en aucun cas tre cdes, mme temporairement, un tiers. Ces autorisations peuvent tre retires tout moment. Toute autorisation prend fin lors de la cessation mme provisoire de lactivit professionnelle qui la justifie. Lentit pourra en outre prvoir des restrictions daccs spcifiques son organisation : (Carte puce daccs ou dauthentification, filtrage daccs scuris)
3. Rgles dutilisation, de scurit et de bon usage

Tout utilisateur est responsable de lusage des ressources informatiques et du rseau auxquels il a accs. Il a aussi la charge, son niveau, de contribuer la scurit gnrale et aussi celle de son entit. Lutilisation de ces ressources doit tre rationnelle et loyale afin den viter la saturation ou leur dtournement des fins personnelles. En particulier : il doit appliquer les recommandations de scurit de lentit laquelle il appartient ;
il doit assurer la protection de ses informations et il est responsable des droits quil donne aux autres utilisateurs, il lui appartient de protger ses donnes en utilisant les diffrents moyens de sauvegarde individuels ou mis sa disposition ; il doit signaler toute tentative de violation de son compte et, de faon gnrale, toute anomalie quil peut constater ; il doit suivre les rgles en vigueur au sein de lentit pour toute installation de logiciel; il choisit des mots de passe srs, gards secrets et en aucun cas ne doit les communiquer des tiers ; il sengage ne pas mettre la disposition dutilisateurs non autoriss un accs aux systmes ou aux rseaux, travers des matriels dont il a lusage ; il ne doit pas utiliser ou essayer dutiliser des comptes autres que le sien ou de masquer sa vritable identit ; il ne doit pas tenter de lire, modifier, copier ou dtruire des donnes autres que celles qui lui appartiennent en propre, directement ou indirectement. En particulier, il ne doit pas modifier le ou les fichiers contenant des informations comptables ou didentification ; il ne doit pas quitter son poste de travail ni ceux en libre-service sans se dconnecter en laissant des ressources ou services accessibles.
4. Conditions de confidentialit
Laccs par les utilisateurs aux informations et documents conservs sur les systmes informatiques doit tre limit ceux qui leur sont propres, et ceux qui sont publics ou partags. En particulier, il est interdit de prendre connaissance dinformations dtenues par dautres utilisateurs, quand bien mme ceux-ci ne les auraient pas explicitement protges. Cette rgle sapplique galement aux conversations prives de type courrier lectronique dont lutilisa-
86
Annexe A
teur nest destinataire ni directement, ni en copie. Si, dans laccomplissement de son travail, lutilisateur est amen constituer des fichiers tombant sous le coup de la loi Informatique et Liberts, il devra auparavant en avoir fait la demande la CNIL en concertation avec le directeur de lentit et la Direction des Contrats et des Affaires Juridiques du CNRS et en avoir reu lautorisation. Il est rappel que cette autorisation nest valable que pour le traitement dfini dans la demande et pas pour le fichier lui-mme.
7. Usage des services Internet (web, messagerie, forum)

Lutilisateur doit faire usage des services Internet dans le cadre exclusif de ses activits professionnelles et dans le respect de principes gnraux et des rgles propres aux divers sites qui les proposent ainsi que dans le respect de la lgislation en vigueur. En particulier : il ne doit pas se connecter ou essayer de se connecter sur un serveur autrement que par les dispositions prvues par ce serveur ou sans y tre autoris par les responsables habilits ; il ne doit pas se livrer des actions mettant sciemment en pril la scurit ou le bon fonctionnement des serveurs auxquels il accde ; il ne doit pas usurper lidentit dune autre personne et il ne doit pas intercepter de communications entre tiers ; il ne doit pas utiliser ces services pour proposer ou rendre accessible aux tiers des donnes et informations confidentielles ou contraires la lgislation en vigueur ; il ne doit pas dposer des documents sur un serveur sauf si celui-ci le permet ou sans y tre autoris par les responsables habilits ; il doit faire preuve de la plus grande correction lgard de ses interlocuteurs dans les changes lectroniques par courrier, forums de discussions il nmettra pas dopinions personnelles trangres son activit professionnelle susceptibles de porter prjudice au CNRS ; il doit simposer le respect des lois et notamment celles relatives aux publications caractre injurieux, raciste, pornographique, diffamatoire.
5. Respect de la lgislation concernant les logiciels

Il est strictement interdit deffectuer des copies de logiciels commerciaux pour quelque usage que ce soit, hormis une copie de sauvegarde dans les conditions prvues par le code de la proprit intellectuelle. Ces dernires ne peuvent tre effectues que par la personne habilite cette fin par le responsable de lentit. Par ailleurs lutilisateur ne doit pas installer de logiciels caractre ludique, ni contourner les restrictions dutilisation dun logiciel.
6. Prservation de lintgrit des systmes informatiques

Lutilisateur sengage ne pas apporter volontairement des perturbations au bon fonctionnement des systmes informatiques et des rseaux que ce soit par des manipulations anormales du matriel, ou par lintroduction de logiciels parasites connus sous le nom gnrique de virus, chevaux de Troie, bombes logiques Tout travail de recherche ou autre, risquant de conduire la violation de la rgle dfinie dans le paragraphe prcdent, ne pourra tre accompli quavec lautorisation du responsable de lentit et dans le strict respect des rgles qui auront alors t dfinies.
87
Lentit ne pourra tre tenue pour responsable des dtriorations dinformations ou des infractions commises par un utilisateur qui ne se sera pas conform ces rgles.
8. Analyse et contrle de lutilisation des ressources

Pour des ncessits de maintenance et de gestion technique, lutilisation des ressources matrielles ou logicielles ainsi que les changes via le rseau peuvent tre analyss et contrls dans le respect de la lgislation applicable et notamment de la loi sur linformatique et les liberts.
la lgislation relative la proprit intellectuelle (cf. http://www.legifrance.gouv. fr/citoyen/code.cgi) ; la loi du 04/08/1994 relative lemploi de la langue franaise (cf. http://www. culture.fr/culture/dglf/) ; la lgislation applicable en matire de cryptologie (cf. http://www.telecom.gouv.fr/ francais/activ/techno/crypto0698_1.htm).
10. Application
La prsente charte sapplique lensemble des agents du CNRS tous statuts confondus, et plus gnralement lensemble des personnes, permanentes ou temporaires, utilisant les moyens informatiques de lentit ainsi que ceux auxquels il est possible daccder distance directement ou en cascade partir du rseau administr par lentit. Elle sera annexe, titre dinformation, aux contrats de travail conclus avec les agents contractuels qui auront accs au systme informatique de leur entit. Elle sera en outre signe par toutes personnes accueillies au CNRS et ayant accs au dit systme.
9. Rappel des principales lois franaises

Il est rappel que toute personne sur le sol franais doit respecter la lgislation franaise en particulier dans le domaine de la scurit informatique : la loi du 6/1/78 dite informatique et libert (cf. http://www.cnil.fr/) ; la lgislation relative la fraude informatique (article 323-1 323-7 du Code pnal) (cf.http://www.legifrance.gouv.fr/ citoyen/code.cgi) ;
88
Annexe B
Vocabulaire abrg des techniques de piratage
PIRATAGE DUN SITE INFORMATIQUE

Contournement du point d'entre (Back door)
Routes par dfaut (Source routing)
Dtournement des paquets IP vers une station pirate.

Saturation du rseau (TCP denial of service)
Branchement clandestin d'un modem une station du rseau local, de manire se connecter directement de/vers l'extrieur.
Dcouverte du numro de squence (TCP sequence number guessing)
Atteinte la disponibilit du rseau par envoi d'un grand nombre de demandes de connexion.
Table de conversion d'adresse (DNS hacking)
Calcul du numro de squence TCP afin d'agir en aveugle .

Espionnage du rseau (Sniffeur)
Modification des tables du serveur de nom.

Usurpation d'adresse (IP spoofing)
coute des paquets pour dterminer la topologie et les comptes utiliss.

Fragmentation des paquets (IP fragmentation)
Utilisation d'une adresse IP interne depuis l'extrieur.

Usurpation de nom de domaine (DNS spoofing)
89
Modification de l'offset de fragmentation pour obtenir un recouvrement des donnes.

Intrusion sur le routeur (Router hacking)
Dtournement des requtes DNS vers une station pirate.

Vol de connexion (TCP connection hacking)
Utilisation du compte administrateur pour modifier les tables de routage.
Utilisation d'une connexion aprs authentification de l'utilisateur autoris.
PIRATAGE DUN SERVEUR OU DUNE STATION

Applet JAVA (JAVA applet)
Mystification (User mystification)
Utilisation de l'identit d'un utilisateur autoris pour changer des messages et rcuprer des informations.
Outil d'analyse rseau (SATAN, ISS)
Rcupration d'informations prives, voire d'excution de programmes, sur la station de l'utilisateur.

Bogue du serveur (Server bug)
Exploitation d'un service rseau non contrl pour accder au systme.

Profil de consultation (User profile)
Exploitation d'unebogue du serveur pour lancer des commandes systme.

Bogue du systme dexploitation. (O.S. bug)
Exploitation d'un bogue du systme pour lancer des commandes avec des droits usurps.
Bombe E-mail (Email bomber)
Rcupration du profil d'un utilisateur par analyse des consultations effectues afin de mieux le connatre, voire de le dsinformer. Script CGI (CGI script) Envoi vers le serveur de commandes systme rcupres comme paramtres par le script CGI.
Utilisation des ressources (Use of resource) Ajout de pages personnelles consulter ou de fichiers personnels tlcharger dans la base du serveur. Virus informatique Rcupration d'un virus infectant le systme. Vol de compte utilisateur (Name and password guessing) Dcouverte d'un mot de passe associ un compte utilisateur pour usurper l'identit de ce dernier et agir sur le serveur.
Saturation de la bote aux lettres d'un utilisateur.

Cheval de Troie (Trojan horse)
Rcupration d'un cheval de Troie dclenchant une action non autorise sur le systme.
Fonction JavaScript (JavaScript command)
Rcupration d'informations prives sur la station de l'utilisateur grce aux fonctions JavaScript.
Module ActiveX (ActiveX code)
Rcupration d'informations prives, voire d'excution de programmes, sur la station de l'utilisateur.
90
Annexe C
Serveurs dinformations utiles
q UREC : unit rseaux du CNRS : recom-
q SCSSI : Le site du Service Central de la
mandations CNRS, cours, articles, outils de base, pointeurs vers autres serveurs. Informations cibles pour les laboratoires CNRS. http://www.urec.fr/ securite
q Service du Fonctionnaire de dfense du
Scurit des Systmes dInformation. http://www.scssi.gouv.fr/

q COMMUNICATION: Dernires infor-
CNRS : protection du patrimoine, recommandations CNRS, virus, bulletin scurit informatique. Informations cibles pour les laboratoires CNRS. http://www.cnrs.fr/Infosecu/accueil.html
q Service juridique du CNRS : lInternet et
mations gouvernementales lies lInternet (rglementation franaise en matire de cryptologie, nom de domaine). http://www.telecom.gouv.fr/francais.htm
q OSSIR : association avec groupes de tra-
vail Unix, rseaux et Windows NT. http://www.ossir.org/

q CERT-CC : CERT avec logiciels de scu-
la lgislation. Informations cibles pour les laboratoires CNRS. http:// www.sg.cnrs.fr/internet/legislation.htm

q Comit
rit, documents, notes dinformation ftp://info.cert.org/pub

q CIAC : CERT avec logiciels de scurit,
Rseaux des Universits (CRU) : normment de rfrences sur tout ce qui a trait la scurit, une des rfrences franaises, trs complte. http://www.cru.fr/Securite/index.html
documents, notes dinformation http://ciac.llnl.gov:80/ciac/

q FTP : de l Eindhoven University of
91
Technology ftp://ftp.win.tue.nl/pub/ security/
q CNIL : Informatiques et Liberts mais
aussi des conseils et des informations lis lInternet. http://www.cnil.fr
Bibliographie thmatique abrge
INTERNET
Internet and tcp/ip security for Unix administrators. PABRAI. Mac Graw Hill USA. ISBN 0-07-048215-2 (11/1996), 320 p. (320 FF) Computer networks and Internet. (2e d.). COMER. Prentice Hall. ISBN 0-13-084222-2 (02/1999), 580 p. (320 FF) Internet: complete reference, millenium edition. YOUNG. Mac Graw Hill USA. ISBN 0-07-211942-X (04/1999), 992 p. (365 FF)
SCURIT UNIX
Security in computing. (2e d.). PFLEEGER. Prentice Hall. ISBN 0-13-185794-0 (07/1997), 574 p. (350 FF) Practical Unix and Internet security. (2e d.). GARFINKEL. OReilly. ISBN 1-56592-148-8 (05/1996), 971 p. (339 FF) Cookbook for serving the Internet Unix version. BOURNE. Prentice Hall. ISBN 0-13-519992-1 (07/1997), 250 p. (235 FF) Linux configuration & installation. (4e d.). VOLKERDING. Transworld publishers ltd. ISBN 0-7645-7005-6 (10/1998), 554 p. (300 FF)
SCURIT WINDOWS NT
Guide pratique de la scurit sous Windows NT. SHELDON. Vuibert. ISBN 2-7117-8623-4 (07/1998), 588 p. (320 FF) Windows NT 4.0 Registry professional reference. THOMAS. Mac Graw Hill USA. ISBN 0-07-913655-9 (01/1998), 764 p. (470 FF) Windows NT 4.0 server: security guide. GONCALVES. Prentice Hall. ISBN 0-13-679903-5 (01/1999), 400 p. (380 FF)
ADMINISTRATION DES RSEAUX
93
Heterogeneous Internetworking. SINGH. Prentice Hall. ISBN 0-13-255696-0 (05/1999), 672 p. (325 FF) Scurit rseaux. STANG. Dunod. ISBN 2-10-002108-7 (11/1996), 652 p. (298 FF)
VIRUS
Du virus lantivirus, guide danalyse. LUDWIG. Dunod. ISBN 2-10-003467-7 (05/1997), 720 p. (398 FF)
ROUTEURS ET GARDES-BARRIRES
Firewalls and Internet security. (2e d.). CHESWICK. Addison Wesley. ISBN 0-201-63466-X (04/1999), 340 p. (330 FF) Firewalls complete. GONCALVES. Mac Graw Hill USA. ISBN 0-07-024645-9 (05/1998), 635 p. (390 FF) Building Internet firewalls. CHAPMAN. OReilly. ISBN 1-56592-124-0 (10/1995), 515 p. (279 FF) Introduction to Cisco router configuration. CHAPPELL. MTP. ISBN 1-57870-076-0 (12/1998), 900 p. (455 FF)
CRYPTOLOGIE
Cryptographie applique. (2e d.). SCHNEIER. ITPS. ISBN 2-84180-036-9 (11/1996), 896 p. (355 FF) Handbook of applied cryptography. MENEZES. CRC Press. ISBN 0-8493-8523-7 (01/1997), 816 p. (656 FF) Internet cryptography. SMITH. Addison Wesley. ISBN 0-201-92480-3 (08/1997), 356 p. (250 FF) Basic methods of cryptography. LUBBE. Cambridge University Press. ISBN 0-521-55559-0 (03/1998), 243 p. (230 FF)
WEB
WWW security: How to build a secure World Wide Web. MAC GREGOR. Prentice Hall. ISBN 0-13-612409-7 (03/1997), 224 p. (300 FF) Protecting your website with firewalls. GONCALVES. Prentice Hall. ISBN 0-13-628207-5 (07/1997), 500 p. (340 FF)
DINTRT GNRAL
94
Menace sur Internet. DESTOUCHE. dition Michalon. ISBN 2-84186-101-5 (100 FF) Knowledge power: quality information and knowledge. LEE. Prentice Hall. ISBN 0-13-010141-9 (03/1999), 400 p. (285 FF) Cyberwars espionnage on the Internet. GUISNEL. Plenum. ISBN 0-306-45636-2 (08/1997), 295 p. (250 FF) Intelligence stratgique sur Internet. REVELLI. Dunod. ISBN 2-10-003621-1 (04/1998), 212 p. (185 FF) Du renseignement lintelligence conomique. BESSON. Dunod. ISBN 2-10-003220-8 (11/1996), 224 p. Scurit et qualit des systmes dinformation. GUINIER. Masson. ISBN 2-225-82686-2 (01/1992), 300 p. (319 FF) Droit lpreuve du numrique. CATALA. PUF . ISBN 2-13-049357-2 (05/1998), 352 p. (138 FF)
Coordination et conseil technique Jacqueline Leclre CNRS-DIST
Conception graphique et ralisation La Souris Dessins Loc Faujour
CNRS - 2 e trimestre 1999 - ISBN 2-910986-21-7
Centre National de la Recherche Scientifique 3, rue Michel-Ange 75794 Paris Cedex 16 Tlphone : 01 44 96 41 84 Tlcopie : 01 44 96 49 95 Courriel : robert.longeon@cnrs-dir.fr http://www.cnrs.fr/Infosecu

Guide

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guide

Uploaded by

Copyright:

Available Formats

Guide de la scurit

des systmes dinformation

lusage des directeurs

CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE

des systmes dinformation

CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE

Pourquoi protger les produits de la recherche scientifique

Comment les protger

2. Le rle du management dans la scurit .................................. 19

3. Sur quelles organisations sappuyer ?........................................... 29

4. Quelques recommandations lmentaires ............................... 35

5. Les rgles de bon usage ........................................................................... 53

6. La vulnrabilit des autocommutateurs .................................... 61

7. Virus informatiques et autres malignits .................................. 65

8. Les aspects juridiques de la SSI ........................................................ 75

Conclusion ................................................................................................................ 81 Annexes

Bibliographie thmatique abrge ......................................................... 93

Guide de la scurit des systmes dinformation

1 Les menaces de lInternet

Guide de la scurit des systmes dinformation

1.1 La scurit des systmes dinformation

Valeur et proprits dune information

Les menaces dInternet

1.2 Lagression par lInternet

Guide de la scurit des systmes dinformation

1.3 Comment se manifeste une agression

Les menaces dInternet

Tout ce qui porte atteinte lintgrit du systme

Tout ce qui porte atteinte la confidentialit des informations

Tout ce qui porte atteinte la disponibilit des services

1.4 Les techniques dagression utilises

La recherche de trous de scurit sur les serveurs

Guide de la scurit des systmes dinformation

Blocage des systmes ou de la liaison dentre

SPAM Relais de messagerie

Intrusion dans un systme

Les menaces dInternet

La premire et la plus banale est la recherche des comptes sans mots de

Des mthodes opportunistes dans lesquelles lagresseur cherche tirer

Des mthodes systmatiques dans lesquelles lagresseur commence par

Guide de la scurit des systmes dinformation

coute du rseau Ethernet

Les menaces dInternet

Attaques des services rseau

Comportements dlictueux de certains utilisateurs de nos laboratoires

2 Le rle du management dans la scurit

Guide de la scurit des systmes dinformation

2.1 quoi sert la scurit ?

Prter, cest donner !

Le rle du management dans la scurit

Receleur malgr soi !

Guide de la scurit des systmes dinformation

Histoire dun courrier trop bien diffus

La confiance oui, mais pas nimporte quel prix !

Le rle du management dans la scurit

Ce que sauvegarder veut dire

2.2 Vulnrabilit et insouciance des laboratoires

Guide de la scurit des systmes dinformation

Nos 100 millions damis

Le rle du management dans la scurit

Figure 1 : Le Figaro 20/03/98

Guide de la scurit des systmes dinformation

2.3 La scurit est une fonction de management

Le rle du management dans la scurit