Sécurité informatique

La sécurité a longtemps était le parent pauvre de l'informatique. A l'exception de certaines grandes entreprises ou d'organisations gouvernementales, les utilisateurs ne faisaient pas grand cas des mesures de sécurité, notamment du fait de leurs contraintes. Les différentes vagues de crypto-virus et l'arrivée du RGPD ont réveillé tout le monde, les mettant devant l'importance de sécuriser leurs infrastructures afin de protéger leurs données et leurs utilisateurs.

Notez bien qu'il n'existe pas UNE solution de sécurité mais DES éléments de sécurité. Ainsi, la sécurité de votre infrastructure dépend d'un ensemble de logiciels et de protocoles.

Ci-dessous, nous trouverons donc plusieurs points précis concernant la sécurité. Cette liste et les éléments qui la compose ne sont malheureusement pas exhaustifs.

<note warning>Nul n'est à l'abri d'un piratage, le risque zéro n'existe pas. Cependant, avec quelques règles et protocoles de sécurité, on peut considérablement réduire les risques.</note>

La grande majorité des systèmes, logiciels et matériels proposent une série de bonnes pratiques. Ces dernières, loin d'être une lubie de la part des éditeurs, visent à obtenir le fonctionnement le plus optimal et sécurisé. On retrouvera ces bonnes pratiques dans leurs documentations voir embarquées directement dans le logiciels, souvent sous la forme d'un analyseur ou testeur. C'est le cas de Windows Server avec le Best Practices Analyser que l'on trouvera en bas des pages du gestionnaire de serveur.

Ces outils vous permettront de régler bon nombre de problème tout en optimisant le service.

Ce mode de fonctionnement doit aussi être appliqué aux utilisateurs d'une infrastructure. Il est important d'établir des règles de bonnes pratiques afin d'assurer une sécurité et un fonctionnement optimal des ressources informatiques. Pour cela, nous établirons la loi des dictons :

• Diviser pour mieux régner : On limitera l'accès de certaines ressources à certains utilisateurs. Un compte administrateur ultime peut exister mais il ne sera connu que de quelques personnes triés et jamais utilisé de manière courante mais uniquement au cas par cas. Le reste du temps, on se connecte avec un compte utilisateur au droits restreints. Pour les tâches nécessitant plus de droits, on effectuera une élévation de droits (sudo ou Exécuter en tant que…). De même, on évitera de donner les mots de passe administrateur à ceux qui n'en ont pas besoins et/ou ne sont pas formés pour cela.
• Charité bien ordonnée commence par soi-même : Les règles imposées aux utilisateurs s'imposent aussi aux administrateurs.
• Un homme avertit en vaut deux : Si on a fait l'objet d'une attaque ou subit une défaillance, un protocole doit être mis en place afin d'éviter d'en faire les frais à nouveau et/ou pouvoir réagir et intervenir le plus rapidement et efficacement possible.
• Montrer patte blanche : Aucun accès ne doit se faire sans authentification, on évitera donc les partages de type Tout le monde en Contrôle total.
• Hâtez-vous lentement : Faire des choses dans l'urgence est le meilleur moyen de mal les faire. C'est comme cela qu'on supprime la sécurité afin d'aller à l'essentiel. Mais lorsque les failles seront exploitées, vous passerez alors plus de temps à réparer les dégâts que vous en auriez mis à mettre en place la sécurité nécessaire pour les éviter.
• Il faut battre le fer quand il est chaud : Il est recommandé de réparer les failles de sécurité dès qu'elles sont repérées.
• Le savoir est le pouvoir : La supervision des systèmes permettra aux administrateurs de prévenir les pannes et autres défaillances ainsi que de réagir rapidement aux incidents afin d'en limiter les conséquences. De même, former les utilisateurs réduira les risques de mauvaises manipulations ou autres problèmes, la première faille de sécurité étant souvent située entre la chaise et le clavier.
• Les paroles s'envolent, les écrits restent : Il faut toujours documenter ses actions afin d'avoir une trace des évènements et des actions menés, et ce, pour pouvoir plus rapidement les réappliquer au besoin.
• A beau mentir qui vient de loin : Il faut être prudent avec les logiciels ou informations inconnus. Ils peuvent promettre monts et merveilles mais n'être en fait que des leurres pour contourner votre sécurité.

On pourrait en ajouter bien d'autres mais vous aurez compris le principe. Il est important de réfléchir et d'établir une charte de bonne conduite et des règles de sécurité strictes afin de prévenir les catastrophes plutôt que d'essayer d'y survivre. Et dans cette réflexion, se mettre à la place d'un pirate pourra vous permettre de penser à des failles que vous n'auriez pas imaginer autrement.

On ne le répètera jamais assez : les sauvegardes sont obligatoires, elles peuvent vous sauver la vie ! Et voici quelques raisons pour cela :

• Nul n'est à l'abri d'une erreur et peut supprimer par inadvertance un fichier très important.
• Même le meilleur admin peut faire une erreur de configuration et doit pouvoir revenir en arrière.
• A choisir entre payer un –CENSURE– qui a crypté mes fichiers ou restaurer une sauvegarde, le choix est vite fait.
• Le matériel, ça peut et ça tombera en panne.
• Parce que…

Il est donc important de configurer une sauvegarde, idéalement, de l'intégralité d'un système ou, à minima, des fichiers essentiels tels que les fichiers de configuration, les documents de travail… Mais ce n'est pas tout. Une fois paramétrer, il faut aussi la superviser afin d'éviter de se retrouver avec une sauvegarde défaillante depuis 6 mois au moment de faire une restauration. Et finalement, ça ne sert à rien de sauvegarder un système si la sauvegarde n'est pas elle-même protégée. Si on prend le cas d'un crypto-virus, c'est pas facile de restaurer une sauvegarde quand elle a été cryptée par le virus…

On pourra donc résumer les bonnes pratiques pour la sauvegarde ainsi :

• On établit une sauvegarde de tous les systèmes
  • A défaut, on établit une liste exhaustive des fichiers à sauvegarder.
• On limitera l'accès aux sauvegardes au minimum d'administrateur possible, idéalement un seul compte utilisé uniquement pour cela.
• On établit un système d'information sur l'état des sauvegardes, généralement par mail, aussi bien pour une réussite que pour un échec.
  • En mode paranoïa, on mettra en place un vérification de la réception du mail d'avertissement afin d'éviter les pannes de notification.
• On mettra en place un système d'externalisation des sauvegardes
  • Par internet : nécessite un espace de stockage sur un site secondaire ou Internet ainsi qu'une bonne connexion réseau.
  • Par rotation des supports de sauvegarde : le plus économique, on sort le disque contenant la dernière sauvegarde que l'on met au coffre à l’extérieur sans oublié de mettre en place un autre disque pour la prochaine sauvegarde. Non automatisé donc nécessite de la discipline de la part des responsables.
  • Si les supports doivent transiter par une zone non sécurisée alors ils seront cryptés afin d'éviter le vol d'information par exploitation d'une sauvegarde volée.
• On testera régulièrement les sauvegardes en pratiquant des restaurations partielles ou totales et ce afin de s'assurer de leur intégrité.

Concernant les logiciels de sauvegardes, il en existe un bon nombre, chacun avec ses avantages et inconvénients. On pourra par exemple citer :

• Windows Server Backup : Inclus avec n'importe quel OS Windows Server depuis 2008, il a le mérite de rendre invisible le support de sauvegarde aux utilisateurs, ce qui représente une excellente protection contre les crypto-virus.
• Veeam : Veeam présente d'excellents outils de sauvegardes notamment dans le cadre de la virtualisation. Payant.
• Beemo : Spécialisé dans l'externalisation de données. Payant.
• Cobian : La sauvegarde du pauvre. Gratuit et simple d'utilisation.

Les mots de passe sont nécessaire afin d'authentifier un utilisateur. Ils doivent être :

• Fort : faire 8 caractères à minima, 12 ou plus dans l'idéal, et contenir des majuscules, minuscule, chiffres et caractères spéciaux. On évitera d'utiliser des séries de lettres comme azerty ou de chiffres comme 123. On évitera aussi l'utilisation de données facilement récupérables comme les noms, prénoms, initiales, date de naissance, noms des enfants, de l'entreprise, du poste… De même, on évitera d'utiliser un schéma simpliste de création de mot de passe afin d'éviter de retrouver n'importe quel mot de passe en en analysant quelques-uns.
• Unique : Un mot de passe utilisé pour un service ne doit pas être utilisé pour un autre. Par exemple, s'inscrire sur un site web avec son adresse mail comme identifiant et le mot de passe de cette messagerie comme mot de passe pour le compte sur ce site, permettra à quiconque ayant piraté ce site de pouvoir pirater aussi votre adresse mail.
• Personnel : En aucun cas, un utilisateur ne doit communiquer ses mots de passe à quiconque. Cela inclut, l'interdiction de laisser traîner ses mots de passe sur un post-it sur l'écran, dans un carnet sur le bureau ou dans un fichier TXT sur son ordinateur.

On pourrait comprendre la contrainte occasionnée à devoir retenir des dizaines, des centaines voire plus. Pour cela, des logiciels dits Coffres-forts numériques sont là pour vous aider. Ils permettent de conserver tous vos mots de passe de manière cryptée et accessible uniquement après en avoir déverrouillé l'accès. Du coup, vous n'avez plus qu'un seul mot de passe à retenir et à ne surtout pas divulguer.

Parmi ces logiciels, on pourra citer :

• KeePass
• LastPass
• 1Password
• Dashlane

Bon disons le une fois pour toute :

<note warning>Les virus touchent tout le monde : PC, Mac, Linux, iPhone, Androïd…</note>

Bien sûr qu'il y a plus de virus sur PC mais cela vient du fait qu'il y a plus de PC sur le marché que d'autres produits. Le pirates cherchant à impacter le plus de personnes possible, il auront donc tendance à développer des virus pour Windows. Cependant, ce qui était vrai hier ne l'est plus vraiment aujourd'hui. L'explosion de la quantité de smartphones et leurs utilisations fait que de plus en plus de virus les affectent. De même pour les Mac, réputés auprès des hackers comme appartenant à des gens ayant de gros moyens financiers et donc susceptibles de payer de grosses rançons pour récupérer leurs fichiers, si bien sûr le compte bancaire n'a pas pu être dérobé. On remarquera d'ailleurs que sur ces types de machines, les dégâts viraux sont plus important du fait de l'absence de résistance, les utilisateurs étant pour la plupart convaincu qu'ils n'ont pas besoin d'antivirus.

<note warning>La présence d'un antivirus sur un poste est donc obligatoire !</note>

On trouvera différents antivirus sur le marché, des payants et des gratuits. Même si certains gratuits sont particulièrement pourris, la plupart d'entre eux sont aussi efficaces que les payants du fait qu'ils utilisent les mêmes moteurs et définitions. Leur différence va se faire sur l'étendue de leur couverture (les scans réseaux, firewall ou protection mail sont souvent payant). Par conséquent, on peut très bien utiliser des antivirus gratuits mais sur des infrastructures possédant des serveurs ou d'autres ressources réseaux comme des NAS, je recommande tout de même un antivirus payant possédant une couverture réseaux voire des protections adaptées à vos services. Pour les réseaux, une gestion centralisée et indispensable aux administrateurs afin de superviser l'état de protection de chaque élément de l'infrastructure.

Ainsi, parmi les antivirus, on pourra avoir :

• Kasperky Free : Gratuit.
• Kaspersky Security Center : Payant, solution complète pour entreprise.
• BitDefender : Payant, pour particuliers et professionnels.
• Avast : Existe en version gratuit et payant pour les pros.
• Trend Micro : Payant, très efficace mais affiche de nombreux faux-positifs.
• ClamAV : Gratuit et pour Linux.

<note important>Attention, un antivirus, c'est mieux que pas du tout mais deux, c'est pire. En effet, ils vont passer plus de temps à se disputer les ressources qu'à faire leur boulot. Sans compter qu'ils risquent fortement de détecter l'activité de l'autre comme attaque potentielle.</note>

Je noterais aussi le site VirusTotal qui permet de vérifier en ligne un fichier auprès de plus de 50 antivirus. Un bon moyen de vérifier la santé d'un fichier récupéré sur Internet.

Avoir un antivirus n'est pas tout. Il faut aussi le paramétrer. Les documentations et forums des différents éditeurs pourront vous y aider. Après cela, si un éditeur tierce vous dit qu'il faut désactiver votre antivirus pour installer ou utiliser son programme, vous pourrez lui répondre :

<note warning>Un antivirus, ça se désactive pas, ça se paramètre! Question de sécurité.</note>

Le pare-feu est souvent la première porte d'entrée de votre système. Son rôle est fondamental car il filtre les entrées et sorties des flux réseaux, les autorisant ou interdisant selon les règles établies.

<note warning>Tout comme l'antivirus, un pare-feu ne se désactive pas, il se paramètre !</note>

En règle générale, on pourra appliquer certains principes de sécurité :

• Si j'ai pas besoin d'un port, le flux sur ce dernier est interdit.
• Si, pour un service, on a le choix entre protocole sécurisé ou pas, on choisira sécurisé. Le flux sur le port standard sera soit interdit soit redirigé sur le sécurisé.
• Si la provenance d'un flux n'est pas publique, alors l'accès au port correspondant sera filtré par adresses IP autorisées.
• Pour port, accessible de l'extérieur mais à usage interne, on privilégiera les redirections de ports (PAT).

<note tip>Contrairement aux antivirus, il peut y avoir plusieurs pares-feux actifs en même temps, chacun filtrant les flux selon ses propres règles. Par contre, cela représente une consommation excessive de ressources. On préconisera donc un pare-feu à chaque nœud du réseau et sur chaque poste (PC, serveur, etc…)</note>

Les pares-feux sont généralement intégrés aux solutions antivirus ou systèmes d'exploitation pour les postes (PC, serveurs, etc…) et en tant qu'appliance pour le matériel (routeur, switch, NAS…). On peut aussi les installer en tant que solutions indépendantes, parmi lesquelles on trouvera :

• ZoneAlarm : Windows, gratuit.
• Comodo : Windows, gratuit.
• IPTables : Linux, gratuit.

La sécurité passe par l'intégrité d'un objet ou d'un utilisateur. Pour cela, rien de tel qu'un certificat.

Le certificat permet de signer un objet (document, programme…) pour assurer aux utilisateurs que ce denier provient d'une source sûre. On trouvera aussi de temps en temps, des hash de ces fichiers nous permettant de vérifier si le fichier a été modifié après coup. Le certificat permet aussi l'authentification d'un utilisateur. Dans ce cas, il est personnel, protégé par mot de passe et selon sa complexité, indéchiffrable. Finalement, un certificat pourra être utilisé dans le cadre d'une communication cryptée afin d'empêcher à quiconque écoutant le réseau de pouvoir lire en clair les informations échangées.

Par conséquent, l'utilisation de certificats doit être particulièrement privilégiée. Cependant, pour être utilisable, un certificat doit être utilisé dans le cadre d'un couple clé privée - clé publique et/ou via la validation d'une autorité de certification. On notera donc les produits suivants :

• OpenSSL : Pour Linux principalement mais existe aussi pour Windows.
• Microsoft : Les serveurs Windows embarquent un rôle d'autorité de certification.

<note important>L'autorité et les clés publiques doivent être protégées contre le vol. Un certificat n'est efficace que si ces dernières sont inviolables.</note>

<note tip>Il existe de nombreuses méthodes de cryptage (AES, SHA, RSA…). En générale, on utilisera celles présentant les meilleures sécurités et on refusera celles présentant des failles de sécurité.</note>

Les failles de sécurité viendront le plus souvent des utilisateurs eux-mêmes. Le plus souvent involontaire, ces défaillances sont le plus souvent dues à des erreurs ou des fautes d'inattentions. La formation continue des utilisateurs est le meilleurs moyens de réduire ces incidents et l'étude de leurs comportements permet souvent aux administrateurs de détecter de nouvelles failles.

J'ai pu voir tout au long de ma carrière des comportements à risque :

• Un utilisateur qui clique sur la pièce jointe d'un mail soit-disant d'une banque disant que la pièce contient les détails des incidents sur le compte, et ce alors qu'il n'a pas de compte dans cette banque.
• Un utilisateur qui ne met pas de code de verrouillage sur son portable parce que ça lui prend trop de temps de taper le mot de passe.
• Un utilisateur qui laisse son mot de passe sur l'écran de son ordinateur.
• Un utilisateur qui utilise soin poste professionnel pour télécharger des films ou applications sur des sites pirates.
• Un utilisateur qui désactive son antivirus parce qu'un message apparu sur son écran le lui a demandé.
• Etc…

Par conséquent, la direction informatique et l'équipe technique doit rédiger une charte informatique établissant les droits et devoirs des utilisateurs concernant les ressources mises à leur disposition ainsi qu'une charte des bonnes pratiques servant de support aux séances de formations des utilisateurs. Il existe aussi des formations, parfois ludiques, mises en place par de gros acteurs de la sécurité qui permettent de faire le point sur les connaissances des utilisateurs ainsi que de leur faire passer des tests afin de mettre en lumière leurs comportements à risques.

Ci-dessous, vous trouverez des liens utiles sur différents sites d'informations, de tests ou d'aide à la configuration en rapport avec la sécurité.

• Mozilla Observatory : teste une URL afin de détecter les failles de sécurité du site.
• Qualys SSL Labs : teste une URL au niveau de failles SSL/TLS.
• Mozilla SSL Configurator : permet de créer les fichiers de configurations de vos serveurs Web pour optimiser leur sécurité.
• Let's Encrypt : Site permettant la création de certificats sécurisés gratuitement.

• SQL Map : logiciel linux permettant de tester les injections SQL.
• OpenVAS : logiciel de pénétration et détection de failles réseaux.

• CERT-FR : site gouvernemental d'alertes sur les menaces informatiques.
• Have I been pwned ? : Site regroupant les différentes fuites d'informations rendues publique. En gros, permet de vérifier si vos comptes et informations personnelles ont été rendues publiques.
• Firefox Monitor : La même chose que Have I been pwned ? (dont il tire une bonne partie de ses infos) mais traduit en français.

— Nicolas THOREZ 2019/03/14 20:30