You are on page 1of 6

S O M M A I R E

ditorial par R. Longeon Laccueil des portables sur nos rseaux informatiques par M.-C. Quidoz Gestion et licit des traces par R. Longeon clairage sur par K. Kortchinsky

S C U R I T I N F O R M AT I Q U E
numro 51 dcembre 2004

S C U R I T

D E S

S S Y S T M E

T I O N I N F O R M A

d i t o r i a l

Le nomadisme en question
Ce numro 51 propose une rflexion sur les dangers de linformatique nomade. Le thme quaborde Marie-Claude Quidoz ne se limite pas la question de la scurit du Wi-Fi, sa vue est plus gnrale: des machines administres par leurs utilisateurs, donc souvent mal configures, pouvant se connecter nimporte o, donc sur des rseaux non srs , reprsentent un risque pour linformatique interne en labsence de rgles particulires et darchitectures adaptes. Mais nest-ce pas imposer encore aux utilisateurs des contraintes qui risquent la longue de devenir insupportables? Marie-Claude Quidoz nous propose dexplorer quelques pistes. Ce numro est le dernier dont jassume la responsabilit, je change en effet de fonction au dbut de lanne 2005. Je voudrais profiter de cette occasion pour vous remercier, vous lecteur de Scurit informatique, de votre fidlit de longue date pour certains dentre vous qui sest manifeste plus particulirement lors de lenqute que nous avons organise au printemps dernier. Vos rponses nous ont permis damliorer ce bulletin, vos encouragements, nombreux, de nous rassurer sur son utilit. Scurit informatique a t cr en 1994 par mon prdcesseur, Michel Dreyfus. Ctait un bulletin interne, orient plus particulirement vers la scurit des micro-ordinateurs sur lesquels semblaient planer des menaces graves du fait de leur prolifration dsordonne. Ds 1997, avec le soutien de la Direction du CNRS et plus particulirement du FSD de lpoque, Philippe Schreiber, nous avons dcid douvrir plus largement nos colonnes des auteurs extrieurs au CNRS et doffrir une version lectronique en tlchargement libre. Aujourdhui, la diffusion au format PDF dpasse largement les 40000 exemplaires et touche lensemble de lespace francophone. Tous les grands ministres et de nombreuses entreprises, parmi les plus prestigieuses, sont abonns au bulletin. Certains des articles ont t cits dans la presse. En dfinitive, louverture na prsent que des avantages. Elle a permis de sensibiliser la SSI un public plus large que notre organisme et donc de remplir notre mission de diffusion de linformation scientifique et technique. En retour, nous avons beaucoup reu: louverture nous a permis dvaluer la pertinence de nos conceptions, de tirer profit des autres expriences, daccepter la confrontation de points de vue, de ne pas nous laisser enfermer dans une conception purement technique de la SSI (celle qui drange le moins!). Scurit informatique continuera et voluera encore. Faudrait-il plus de pages? Peut-tre, mais plus long lire, il ne toucherait plus le public des dcideurs, celui que nous voulons intresser la SSI. Faudrait-il plus darticles de fond ou plutt plus de brves? Notre objectif est avant tout de tracer des pistes de rflexion, de donner des rfrences auxquelles tout le monde peut se reporter. Faudrait-il augmenter la frquence de parution ou la diminuer? Cinq numros par an nous semblent tre la priodicit qui permet daborder les sujets importants de lanne sans prendre le risque de trop rabcher. Bref, tout peut tre repens, mais une chose est prserver absolument, cest cette ouverture lextrieur du CNRS qui a t si profitable pour nous tous.
Robert Longeon Charg de mission SSI au CNRS

Laccueil des portables sur nos rseaux informatiques


par Marie-Claude Quidoz
Ingnieur lunit rseau du CNRS

Le but de cet article nest pas de dfinir une politique daccueil des portables sur nos rseaux informatiques (faut-il les interdire, les autoriser, limiter leur droit daccs ?), mais de prsenter des pistes de rflexion pour qu terme cet accueil soit moins problmatique. Il sappuie sur des recherches bibliographiques, des retours dexpriences et sur larticle Strategies for Automating Network Policy Enforcement dans lequel les auteurs citent des scnarios intressants pour dtecter les portables qui ne respectent pas la politique de scurit dfinie par lorganisme et pour se protger des nuisances quils peuvent occasionner.

Contexte

Depuis quelques annes, un lment perturbateur a t introduit dans nos rseaux informatiques : le portable (principal quipement nomade pour nous). Cet quipement ne soulve pas de nouveaux problmes mais remet lordre du jour des problmes anciens, comme le fait que lutilisateur dispose du droit dadministrer sa machine, ce droit pouvant tre utilis bon ou mauvais escient. Cette situation nest pas nouvelle en soi (de nombreux utilisateurs administrent dj leur poste de travail), mais la diffrence des postes fixes qui sont en permanence lintrieur du primtre de scurit dfini par ladministrateur systme et rseau du laboratoire, ces portables sont amens se connecter un jour ou lautre dans un environnement hostile et si des prcautions minutieuses ne sont pas prises, ces portables peuvent se retrouver infects et ainsi devenir vecteur dinfection. La situation peut devenir problmatique le jour o la machine vient se connecter au rseau du laboratoire, que la connexion soit locale (accs filaire ou accs sans fil) ou distance. Par consquent cest le fait de naviguer entre deux envisuite page 2 ronnements (lun suppos sain et

scurit informatique

dcembre 2004 - n 51

suite de la page 1

lautre suppos hostile ) qui est devenu la principale cause des problmes poss par les portables. Problmes que lon rencontre, de faon plus gnrale, dans laccueil des machines extrieures (que ce soit un portable ou un poste fixe situ hors du primtre de scurit) qui ont besoin daccder la totalit de leur environnement de travail. noter que dans cet article, nous restreindrons volontairement notre discours au portable afin den simplifier la lecture.

sieurs types : ducation de lutilisateur (ne pas cliquer sur des lments inconnus), sensibilisation au danger (ne pas transformer son portable en un serveur), incitation forte la mise jour du systme dexploitation et des logiciels, installation de produits de protection (garde-barrire personnel, antivirus).

constater quun jour ou lautre, notre portable sera infect. Ce constat conduit ladministrateur systme et rseau ne pas laisser les portables se connecter nimporte o (il faut dfinir une architecture rseau) et lincite vouloir vrifier leur tat avant (ou lors de) leur connexion :

Mais

Architecture scurise
Depuis la multiplication des portables dans notre environnement, nous avons essay de classifier leur utilisation pour tenter ensuite de les intgrer au mieux larchitecture scurise mise en place au sein du laboratoire. La dmarche a consist dfinir deux faons dutiliser un portable : soit occasionnellement en cas de dplacement, soit quotidiennement en remplacement dun poste fixe. Ensuite, et presque indpendamment de cette classification, une rponse unique a t apporte : la mise en place dun sous-rseau visiteur qui, grce des filtres dfinis avec minutie, permet un accs au rseau Internet mais pas au rseau local (ventuellement une imprimante locale). Si ncessaire, on peut galement autoriser lutilisateur rapatrier ses fichiers depuis le rseau interne (et inversement).

Des rgles de scurit existent

Des conseils sont rgulirement diffuss par les CERTs ou par les quipes en charge de la scurit du CNRS en direction des correspondants scurit de chaque laboratoire, charge pour eux de les relayer vers les utilisateurs finaux. Ces conseils gnriques qui terme seront partie intgrante de la politique de scurit du systme dinformation (PSSI) du laboratoire et de ses rgles dapplication sont de plu-

Il est utopique de penser que tous ces conseils seront suivis la lettre tant le nombre de vulnrabilits annonces chaque jour augmente. Il devient de plus en plus difficile de maintenir sa machine jour, surtout si on est un nomade qui ne se connecte que ponctuellement au rseau Internet. En dehors du rseau daccueil habituel de la machine, il est parfois difficile, faute de temps ou cause de contraintes imposes par la politique de scurit du site daccueil de mettre jour sa machine et cela mme si on dispose dun accs de bonne qualit au rseau Internet. Force est donc de

Que peut-on trouver dans une PSSI Politique de Scurit des Systmes dInformation concernant laccueil des portables sur nos rseaux informatiques ?

La PSSI, qui dcrit les lments stratgiques (enjeux, rfrentiel, principaux besoins de scurit et menaces) et les rgles de scurit applicables la protection du systme dinformation dun organisme, prcise entre autres les principes et les rgles concernant la Connexion des postes nomades et PDA Principes : Une attention particulire doit tre porte aux quipements nomades et PDA pour viter, notamment, de servir de passerelle vis--vis de lextrieur, de contaminer lintrieur par des logiciels malveillants. Dune manire gnrale, leur connexion au SI ne doit pas modifier ou remettre en cause la scurit du SI. Rgles : Pour mesurer au mieux limpact de lintgration des postes nomades dans le SI, il est ncessaire de prendre en compte toutes les informations, les conseils et les recommandations fournis sur les sites : http://www.urec.cnrs.fr/sans-fil/index.html http://www.cru.fr/wl/ http://www.cru.fr/nomadisme-sans-fil/ La recommandation relative la question Vos utilisateurs possdent-ils des portables ? du chapitre II de la liste de contrles accessible la rubrique Liste_de_contrles de lURL : https://www.urec.cnrs.fr/securite/corres-secu doit tre mise en uvre. Au sein de la PSSI, on retrouve galement cette intgration mentionne dans les principes et les rgles dfinis pour lArchitecture scurise. Principes : Les accs modems, les accs distants, les rseaux privs virtuels et les rseaux sans fil sont intgrer. Pour le rseau sans fil, il faut veiller son intgration : choix dun protocole comme ceux dcrits dans 802.11i ou accs par VPN, Rgles : Se reporter aux informations donnes : http://www.urec.cnrs.fr/sans-fil/index.html Informations fournies par le groupe de travail CAPSEC

Qualit du poste
En imposant ainsi un sous-rseau visiteur un utilisateur dont le portable est loutil de travail quotidien, nous faisons plus ou moins implicitement lhypothse que cet quipement est hostile. Cette hypothse a t traduite par certains en le poste ne respecte pas la politique de scurit dfinie , ce qui sous-entend que le respect de la politique de scurit dfinie pour un poste client est suffisant pour viter toute infection, ce qui sous-entend aussi quune politique de scurit doit tre traduite par un ensemble de rgles applicables et appliquer. Mme si ces affirmations semblent un peu excessives, cette faon denvisager le problme nous donne des lments de rflexion pour dfinir les vrifications faire avant de laisser un ordinateur se connecter au rseau du laboratoire. Parmi ces vrifications, nous pouvons citer la vrification des correctifs installs, la prsence suite page 3

scurit informatique

dcembre 2004 - n 51

suite de la page 2

dun antivirus et la vrification de sa base de signature, la prsence dun garde-barrire, la liste des ports ouverts noter que cette rfrence la politique de scurit dfinie au sein de lorganisme et/ou du laboratoire et son respect, a aussi lavantage, en rendant plus concrte son application, de sensibiliser lutilisateur la notion mme de politique de scurit.

nest indiqu ce sujet, mais tout laisse penser que, dans la prochaine version, des instructions plus prcises seront donnes.

Une solution pour maintenir un parc informatique Windows jour

Des solutions commencent voir le jour

Autorisation daccs et charte

En pratique, la majorit des vrifications faire sur le portable qui se connecte au rseau du laboratoire ncessitent de disposer dun droit daccs sur le portable ; par exemple pour rechercher la prsence de tel ou tel fichier (pour vrifier linstallation dun antivirus ou labsence de virus/ver/trojan), pour connatre le numro de version de la base de signature de lantivirus, pour diagnostiquer la prsence de programmes en mmoire (pour savoir si lantivirus est lanc) terme, cest la totalit des vrifications qui risquent de ncessiter un droit daccs ; en effet, si actuellement nous pouvons encore imaginer vrifier via le rseau les services offerts (donc les ports ouverts) sur un poste de travail pour rechercher des indices nous permettant dtablir un indicateur de ltat de sant de la machine, cela ne sera sans doute plus possible quand, sur tous les postes de travail, nous aurons activ des gardes-barrires individuels. Ce problme de droit daccs est ancien mais il na jamais t vritablement rsolu. Les arguments sont connus (portable personnel versus portable professionnel, protection de la vie prive) et recevables, mais sontils acceptables pour autant partir du moment o lutilisateur souhaite connecter son portable directement sur le sous-rseau interne et non sur le sous-rseau visiteurs ? Une analogie est souvent faite avec la voiture o il y a un code de la route respecter, des normes de pollution ne pas dpasser et si on ne les respecte pas, le droit dutiliser la route nous est retir. La charte peut permettre de rpondre cette question de faon claire. Dans la charte du CNRS publie en 1999, rien

Suite aux nombreux incidents provoqus par les virus depuis plus dun an et presque indpendamment de la problmatique des portables, des travaux ont vu le jour pour essayer dautomatiser dune part la dtection des postes qui ne respectent pas la politique de scurit et dautre part la rponse donner. Une bonne synthse des problmes soulevs est disponible dans larticle Strategies for Automating Network Policy Enforcement ; article dans lequel les auteurs dcrivent quatre tapes raliser lors de la connexion au rseau interne : Authentification ; Dtection ; Isolation ; Mise en conformit. noter que les auteurs nimposent pas vraiment dordre (mme si larticle est construit sur cette trame) ; le but tant qu la fin du cycle, la machine soit saine . Cette dmarche en quatre phases doit

Si vous avez un environnement tout Windows, si vos utilisateurs se connectent de faon rgulire sur votre rseau et sils vous donnent lautorisation de mettre jour automatiquement leur portable, une bonne solution est de dployer une architecture base de serveur SUS (Software Update Services) pour le dploiement des mises jour du systme dexploitation, de serveur EPO (EPolicy Orchestrator) pour le dploiement des stratgies de scurit (antivirus, gardebarrire) et de domaine Active Directory. Vos portables seront ainsi mis jour rgulirement et les intrus ventuels seront facilement dtects.

tre adapte pour nos nomades. Dune part, il est peu envisageable que les contraintes faire respecter aux visiteurs (voulant seulement consulter leur messagerie par exemple) soient les mmes que celles imposes un personnel permanent qui souhaite utiliser son portable comme si ctait son poste de travail quotidien. Dautre part, il faut envisager le cas o lutilisateur ne peut pas mettre jour son portable ( titre dexemple, vous pouvez vous rfrer aux nombreux articles parus lors de la sortie du Service Pack 2 pour Windows XP !). suite page 4 Pour toutes ces raisons,

Dtection de machines vulnrables sans faire appel un agent et en sappuyant sur des logiciels libres

Deux mthodes : une active et une passive. Mthode active : Cette mthode permet de dtecter un problme sur une machine en scannant ses ports; le scan pouvant tre fait lors de sa connexion ou de faon priodique (en scannant rgulirement le rseau daccueil des nomades par exemple). Le but est de faire un tat des lieux de la machine pour connatre le systme dexploitation install et les ports ouverts. Ces derniers nous permettront de dtecter une ventuelle trappe (backdoor) et ainsi de dterminer si la machine est saine ou non. La limite de cette mthode intervient lorsquun garde-barrire personnel est install sur la machine car ce dernier nous enlve, dans la plupart des cas, toute visibilit sur les informations demandes. Les outils tests lUREC pour cette mthode sont Nessus et Nmap. Mthode passive : Cette mthode permet de dtecter une machine compromise en coutant, en temps rel, le trafic rseau la recherche dun trafic caractristique (nombreux scans dans un court laps de temps, trafic de dni de service, exploit). Suite cette dtection, une rponse, manuelle ou automatique, peut tre mise en place. Mais attention au risque important de dni de service en cas de faux positifs. noter que cette mthode peut tre complte par une analyse de fichiers de trace et/ou par la mise en place doutil de mtrologie. Loutil test lUREC pour cette mthode est Snort.

scurit informatique

dcembre 2004 - n 51

suite de la page 3

la logique suivante nous semble devoir tre privilgie : 1. Obliger le portable se connecter un sous-rseau tanche et clos 2. Authentifier lutilisateur et/ou le portable 3. Tester la conformit du portable par rapport au profil dtermin 4. Basculer le portable dans le bon sous-rseau. noter que la mise en place de la phase disolation dune machine va dpendre de larchitecture rseau existante (concentrateur VPN/IPSec et/ou VPN/SSL, 802.1x, portail captif).

celui des logiciels commerciaux ; cette confrontation des deux mondes ne pouvant tre que bnfique pour nous. Des solutions commencent voir le jour pour faciliter lintgration des portables dans nos rseaux informatiques ; il est ncessaire de dmarrer ltude de leur mise en uvre. Cependant il faut prendre conscience que pour rsoudre les problmes de laccueil

des portables sur nos rseaux informatiques, les rponses techniques ne sont (et ne seront) daucune aide si en parallle les problmes politiques ne sont pas rsolus ; une attention toute particulire doit tre apporte la mise en uvre dune politique de scurit du systme dinformation et la formation/sensibilisation de lutilisateur, maillon important de la scurit. marie-claude.quidoz@urec.cnrs.fr

Principe de fonctionnement avec agent

(exemple de CleanMachines) (http://www.perfigo.com/products/index.html) Ce schma, extrait des informations disponibles sur le site Web, est une bonne illustration de la logique de fonctionnement de ce type de produit (isolation, prise en compte de plusieurs profils de population) sachant que la vrification de la bonne sant du poste est base, dans le cas de ce produit, sur un agent install sur chaque poste. 1. Lutilisateur connecte sa machine au rseau. 2. CleanMachines essaie dauthentifier lutilisateur. Sil est connu, il dtermine son rle et la politique de scurit lui appliquer. 3. La machine est alors analyse pour dterminer sa conformit avec la politique de scurit lui appliquer. 4. Si des vulnrabilits sont trouves, la machine est isole du rseau (quarantaine) avec un accs uniquement aux fichiers de mises jour/correctifs et outils ncessaires sa mise en conformit. 5. La machine est nettoye puis ranalyse. 6. Une fois sa machine rendue conforme la politique de scurit dfinie, lutilisateur a accs au rseau.

Conclusion

De nombreux points restent approfondir dans ce domaine en pleine volution. Actuellement, des dveloppements sont en cours aussi bien dans le monde des logiciels libres que dans

Utiliser un rseau sans fil introduit-il des contraintes supplmentaires ?

Si nous faisons lhypothse que les deux vulnrabilits principales du sans fil (lcoute et les connexions illicites) sont rsolues, utiliser un rseau sans fil pour se connecter sur nos rseaux informatiques nintroduit pas de contraintes supplmentaires; la mise en uvre des solutions prsentes pourrait mme savrer plus facile raliser. Dune part, comme il sagit de rseaux ltat de projet et/ou de construction, lajout dun sous-rseau tanche et clos dans larchitecture peut tre envisag ds le dbut du projet. tant donn aussi que les utilisateurs nont pas encore acquis trop dhabitudes, changer la mthode de connexion posera peu voire pas de problme. Et, dernier lment positif, les besoins des utilisateurs du sans fil sont, encore ce jour, identiques ceux dcrits pour les accs distants ; le sans fil ne remplaant pas encore le filaire. Dautre part, des solutions techniques intressantes pour isoler, dtecter, protger les postes clients voient le jour; citons le cas des commutateurs Wifi qui permettent une administration centralise du rseau sans fil, mais qui intgrent aussi des mcanismes pour interdire la communication entre clients du rseau, des systmes de dtection dintrusion, des mcanismes de filtrage Ce type de solution est considrer dans le cadre dun projet de taille importante.

Bibliographie/Rfrences

Epolicy Orchestrator (McAfee) : antivirus retenu par le groupe logiciel dans le cadre de lopration nationale https://www.services.cnrs.fr/Logiciels/breves.html Software Update Services Microsoft produit gratuit permettant de faire du dploiement centralis de correctif http://www.crhea.cnrs.fr/crhea/cours/Software%20Update%20Services.pdf http://www.crhea.cnrs.fr/crhea/cours/Maj%20Windows%20par%20GPO.pdf Nessus 2.2.0RC1 : http://www.nessus.org/ Clean Machine (Perfigo) : http://www.perfigo.com/products/index.html Network Admission Control (Cisco) : http://www.cisco.com/en/US/netsol/ns466/networking_solutions_white_paper0900aecd800fd d66.shtml Network Access Protection (Microsoft) : http://www.microsoft.com/windowsserver2003/technologies/networking/nap/default.mspx Jedi (Juniper) : http://www.nwfusion.com/newsletters/vpn/2004/0830vpn2.html Strategies for Automating Network Policy Enforcement (DRAFT 02), Eric Gauthier et Phil Rodrigues, aot 2004, Internet2 (http://security.internet2.edu/netauth/docs/draft-internet2-salsanetauth-summary-02.html) Exemples de solutions dadministration dun rseau sans fil, Sylvie Dupuy et Catherine Grenet, octobre 2004, http://www.cru.fr/nomadisme-sans-fil/J1310/cg-sd.pdf Recommandations darchitecture de rseau avec filtrages pour amliorer la scurit, Jean-Luc Archimbaud, 2000, http://www.urec.cnrs.fr/securite/articles/archi.reseau.html Recommandations de scurit destines aux administrateurs systmes et rseaux du CNRS pour linstallation de rseaux locaux sans fil ( WiFi ), Jean-Luc Archimbaud, Catherine Grenet, Marie-Claude Quidoz, novembre 2004, http://www.urec.cnrs.fr/securite/articles/RecomWIFI.html Charte utilisateur pour lusage de ressources informatiques et de services Internet : http://www.cnrs.fr/Infosecu/Charte.html Groupe de travail le nomadisme et les rseaux sans fil , http://www.cru.fr/nomadisme-sans-fil/ Groupe de travail Comment Adapter une Politique de Scurit pour les Entits du CNRS (CAPSEC) https://www.urec.cnrs.fr/securite/corres-secu/CAPSEC.html

scurit informatique

dcembre 2004 - n 51

EN BREF
Une fiche de luniversit de Limoges sur les Spywares, en franais espiogiciels , fait le point. Attention, certains sont trs invasifs ! http://www.unilim.fr/sci/fiches/Spyware.pdf Prsentation de la rflexion et des rsultats des expriences effectus par Franois MORRIS sur lauthentification 802.1X ( la fois en filaire et en sans fil) lURL : http://www.lmcp.jussieu.fr/~morris/802.1X/mobile.pdf Comment utiliser le MUA mutt (http://www.mutt.org/) avec les certificats smime pour signer et chiffrer les messages lectronique par Maurice Libes de (UMS2196) et Albert Shih (UMR7586) du CNRS. http://www.com.univ-mrs.fr/ssc/info/cours/mutt-smime.pdf Les supports des prsentations de lobservatoire de la Scurit des Systmes dInformation et des Rseaux sont : http://www.ossir.org/sur/supports/liste.shtml Exemple dun Cahier des Clauses Techniques et Particulires pour un chantier de cblage rdig par lUniversit Joseph Fourier : http://listes.ujf-grenoble.fr/wws/d_read/cablage/CCTPCABLAGE.pdf et de prconisations sur le nomadisme et dploiement de rseaux sans fil: http://listes.ujf-grenoble.fr/wws/d_read/wifi/ La Commission europenne, DG INFSO, unit ETEN publie un appel candidatures en vue de la slection dexperts indpendants dans le cadre du programme eTEN http://europa.eu.int/information_society/activities/eten/index_ en.htm Trois questions Philippe Ros (Journaliste, spcialiste des questions de scurit) sur le web de crise : http://www.asti.asso.fr/pages/Hebdo/sh37/sh37.htm La Mission de contrle lexportation des biens et technologies double usage de la DiGITIP publie une brochure intitule : Le contrle de lexportation des biens et technologies double usage . http://www.industrie.gouv.fr/biblioth/docu/dossiers/sect/ bienettechnologie.pdf Ces dernires annes, la scurit est devenue une priorit pour les pouvoirs publics et les entreprises. Crime organis, terrorisme, interruption des chanes dapprovisionnement mondiales, virus informatiques autant de menaces avec lesquelles il faut compter dans le monde daujourdhui, do lmergence dun march des quipements et des services de scurit de 100 milliards de dollars. On trouvera une tude de la question, publie par lOCDE, sur: http://www1.oecd.org/publications/e-book/0304032E.PDF Elle jette un jour nouveau sur ces enjeux cruciaux ainsi que sur bien dautres questions poses par lconomie de la scurit du XXIe sicle.

Gestion et licit des traces


par Robert Longeon

A constitution de journaux dactivit est consubstantielle linformatique. Au tout dbut, lorsque les architectures taient fortement centralises, les cots dexploitation taient alors trs levs, les traces servaient assurer la fonction comptable permettant de grer une pnurie de moyens bien relle. Puis, progressivement, dautres exigences sont apparues : celle de rguler lutilisation des ressources, celle de dtecter des anomalies afin dassurer un bon niveau de qualit de service, ou encore celle de faire voluer les quipements. Paralllement, la conscience de limportance de la SSI sest un peu plus affirme. Ces nouvelles exigences ont rendu ncessaires des traces toujours plus nombreuses et plus spcifiques jusquau point o leur exploitation manuelle tait devenue pratiquement impossible. La dcentralisation des moyens de calcul qui sest opre par la suite, en augmentant considrablement le nombre et la diversit des systmes, a accentu encore cet embrouillamini. On na plus su alors exploiter correctement ces traces, et rares taient ceux qui avaient conscience des exigences de scurit dont elles devaient faire lobjet ou des risques que pouvait prsenter un hypothtique dtournement de finalits. Aujourdhui, avec la nouvelle loi qui refonde la CNIL,il nest plus possible dignorer que ces traces sont des donnes caractre personnel et quen tant que telles, elles doivent tre dclares ainsi que les finalits des traitements dont elles font lobjet.Mais,mme sans cette loi, il nous aurait t impossible de continuer ainsi sans savoir ce que nous faisons et pourquoi nous le faisons, cest--dire sans une politique de gestion des traces. Cest ce qu fait le CNRS. Le texte, disponible sur le nouvel intranet du FSD (http://www.sg.cnrs.fr/fsd/), a t dclar la CNIL et est publi au Bulletin Officiel du CNRS du mois de dcembre. Il offre aux ARS (Administrateur Rseau et Systme) et aux coordinateurs scurit un cadre rglementaire, normatif et organisationnel dont ils ont besoin pour effectuer leur mission sans sexposer un risque juridique, pourvu que: la collecte des traces saccompagne dune bonne information des personnes (elle doit tre individuelle, par exemple par

affichage du type de traces gnres sur les systmes utiliss), la structure reprsentative, par exemple le conseil de laboratoire, ait donn son accord, les traitements ne fassent pas lobjet de dtournements de finalit et que les informations ne soient pas conserves au-del de la dure prvue, les rsultats de ces traitements et les donnes collectes fassent lobjet dune scurit optimale. Le cadre rglementaire rappelle les principes dinformation pralable, du droit consultation, du non-dtournement de finalit, du droit loubli. Le cadre normatif explicite les traces quil est licite de conserver, leur dure maximale de conservation et les finalits de traitement auxquels elles donnent lieu. Le cadre organisationnel permet de distinguer entre structures fonctionnelles et structures hirarchiques afin de rendre compatibles pour les ARS travail dquipe et obligation du secret professionnel . Nous invitons le lecteur se reporter ce texte sil dsire entrer plus avant dans les dtails. Vous ntes videmment pas oblig de vous en tenir ce document, certaines contraintes particulires ne peuvent tre prises en compte dans le cadre dune politique gnrale ; dans ce cas il faudra dclarer vous-mme la CNIL votre propre politique, mais vous ntes plus seul, vous pourrez vous aider, si vous le jugez utile, du texte existant. Une dernire recommandation, pour conclure : que vous vous conformiez la politique gnrale telle quelle a t dfinie et publie au Bulletin officiel ou que vous dsiriez laborer votre propre politique, vous ne pouvez plus ignorer que les traces, ou autrement dit les logs, sont des donnes caractre personnel et que les ARS ont pour ce type de donnes la double obligation de scurit et de secret professionnel . Secret professionnel , y compris lgard de leur hirarchie Ce qui nest videmment pas sans poser parfois quelques problmes! Robert.Longeon@cnrs-dir.fr

scurit informatique

dcembre 2004 - n 51

clairage sur
par

Kostya Kortchinsky

R e s p o n s a b l e d u C E R T- R e n a t e r

Lanalyse de binaires

ALGR la naissance de multiples langages de haut niveau, leur maturation, et leur implantation solide dans le paysage de la conception et du dveloppement, la connaissance du langage assembleur dans le domaine de scurit des systmes dinformation reste une valeur sre. Certes, il est nettement plus confortable davoir tudier un code source dans un langage volu, et si possible bien comment, mais il est trs rare que nous layons disposition lorsque nous devons analyser des binaires compils recouvrs sur une machine compromise. Confronts ce type de situation, la solution du dsassemblage soffre nous. La dcompilation de mon point de vue la possibilit dobtenir des sources en langage de haut niveau ne donne dans la ralit des rsultats satisfaisants que dans un nombre limit de cas (JAVA?), contrairement au dsassemblage qui nous permettra dans la totalit des cas dobtenir un listing assembleur relativement lisible sauf chiffrement ou compression du binaire par exemple. La comprhension des tenants et des aboutissants du programme ainsi dcortiqu passera alors ncessairement par lexamen de trames dinstructions assembleur, en live (dbogage), ou non (dsassemblage). Les possibilits offertes par de tels procds sont multiples puisquelles couvriront aussi bien lanalyse de binaires suspects (le terme anglophone malware est souvent utilis pour les dsigner), que la recherche de failles dans des logiciels ou systmes dexploitation aux sources non accessibles (ceux de lditeur Microsoft me viennent en tte). Il est cependant regrettable de voir que ce type de comptences est bien souvent dlaiss par les professionnels du milieu de la scurit des systmes dinformation car exigeant un investissement personnel trs important. Bien souvent, seuls les diteurs de solutions antivirales peuvent tirer parti dun bon niveau en la matire. Il merge cependant une volont de

sensibilisation cette problmatique hautement technique particulire, comme le montrent par exemple les deux derniers challenges Scan of the Month du projet Honeynet ayant pour objectif la rtroconception de deux programmes suspects[1][2], ou bien le numro 14 de la revue MISC dont le dossier parcourait le sujet de faon approfondie aussi bien sous systmes UNIX que Windows[3]. Je ne saurais que trop vous recommander daller jeter un il rapidement sur les solutions proposes aux challenges qui devraient vous permettre dapprhender une partie des potentialits de cet art. Afin de prendre un exemple concret, lanalyse du ver Witty, diffus le 19 mars 2004 et dune taille rduite, na pris que quelques dizaines de minutes aprs la capture du paquet incrimin[4], et a permis de juger de sa dangerosit et de prendre les mesures qui simposaient. Les codes malveillants sont loin dtre le seul champ dapplication puisque ces mmes techniques sont lorigine de la dcouverte de diffrentes vulnrabilits dans des lments aux sources fermes : dbordement de tampons, dbordements dentiers, bogues de format, etc., autant de problmes pouvant tre mis au jour par le reverse-engineering des binaires impliqus, ou de faon dtourne en tudiant les correctifs diffuss[5] ! Je pourrais aussi citer la validation de la conformit dun algorithme implment avec son modle thorique (ou mme simplement avec ce qui est dit tre implment) : une prsentation sur les applications la cryptographie a t faite SSTIC 2004[6].
1. SotM 32, http://www.honeynet.org/scans/scan32/ 2. SotM 33, http://www.honeynet.org/scans/scan33/ 3. MISC 14, http://www.miscmag.com/sommaire.php 4. Black Ice Worm Disassembly, http://www.caida.org/analysis/security/witty/ BlackIceWorm.html 5. Diff, Navigate, Audit, http://www.blackhat.com/presentations/bhusa-04/bh-us-04-flake.pdf 6. SSTIC, http://www.sstic.org/

La trousse outils
Bien videmment, aucun outil ne prendra en charge la tche de rtroconception dun programme en totalit, nanmoins certains outils vous faciliteront grandement le travail : The IDA Pro Disassembler and Debugger : http://www.datarescue.com/idabase/ Sans nul doute le meilleur outil de dsassemblage disponible sur le march, il vous permettra dobtenir rapidement un code clair et fiable, et ce pour un grand nombre de processeurs. Il est payant, et sa dernire version est disponible pour Linux. OllyDbg : http://home.t-online.de/home/Ollydbg/ Un dbogueur 32 bits pour systmes Windows, gratuit, il est trs complet et suffit amplement pour toute activit se cantonnant au Ring 3. Programmers Tools : http://www.programmerstools.org/ Un site regroupant une collection doutils ayant un rapport avec le dveloppement sous Windows, ciblant entre autres lanalyse de binaires, le reverseengineering, la dcompression dexcutables. De bonnes ides peuvent y tre trouves.
kostya.kortchinsky@renater.fr

S C U R I T I N F O R M AT I Q U E
numro 51 dcembre 2004

S C U R I T

D E S

S S Y S T M E

T I O N I N F O R M A

Sujets traits : tout ce qui concerne la scurit informatique. Gratuit. Priodicit : 4 numros par an. Lectorat : toutes les formations CNRS. Responsable de la publication : ROBERT LONGEON Centre national de la recherche scientifique Service du Fonctionnaire de Dfense c/o IDRIS - BP 167. 91403 Orsay Cedex Tl. 01 69 35 84 87 Courriel : robert.longeon@cnrs-dir.fr http://www.cnrs.fr/Infosecu ISSN 1257-8819 Commission paritaire n 3105 ADEP La reproduction totale ou partielle des articles est autorise sous rserve de mention dorigine
Conception et ralisation: La Souris 0145210961