Avant-propos : Ce document s'adresse essentiellement aux
particuliers, débutants en informatique, qui désirent
en connaitre un peu plus concernant les problèmes de sécurité et leurs solutions, mais peut également servir
d'introduction pour sensibiliser les utilisateurs peu ou mal informés dans de petites ou moyennes de sociétés.
Vous ne trouverez pas dans ce document de notices d'installation/d'utilisation,
ni de références précises à tel ou tel logiciel, ce n'est pas le but ici. Nous n'aborderons que les problèmes
de sécurité et leurs solutions dans le cas général.
Bien avant l'ère informatique, la sécurité des informations économiques, politiques ou encore militaires,
a été la préoccupation d'un petit nombre de personnes hautement qualifiées (des cryptologues entres autres).
Cependant depuis plusieurs années, la multiplication des échanges d'informations et la démocratisation des moyens
pour mettre en oeuvre ces échanges ont augmenté les risques, et donc les besoins, en terme de sécurisation des
informations et de leurs transferts.
En effet, qui ne souhaiterait pas :
Que les banques garantissent un accès sûr aux comptes qu'elles gèrent ?
Que la confidentialité des échanges commerciaux soit garantie ?
Que vos données personnelles et/ou confidentielles soient protégées ?
Que les achats
par Internet, les fichiers personnels ou le fruit d'un long travail ne soient protégés contre
la malveillance de personnes peu scrupuleuses ?
Etc...
Si l'informatique rend l'accès aux informations plus vulnérables, elle fournit aussi
de puissants outils pour se protéger. Cependant, la technologie n'est pas tout : il faut prendre conscience
que le comportement de chacun est très souvent la faille
qui sera la plus simple et la plus rapide à exploiter par les pirates informatiques.
Nous développerons ici uniquement les aspects les plus courants des problèmes de sécurité liés à l'utilisation de
l'outil informatique, aussi bien dans
son usage personnel que professionnel. Il faut d'ailleurs constater qu'il peut y avoir plusieurs niveaux de sécurité
informatique selon le contexte (les risques potentiels) et la
criticité des données (c'est à dire l'importance
des données elles-mêmes mais également les conséquences de leur perte, diffusion ou modification).
Ces niveaux de protection doivent être proportionnels
aux risques potentiels : perdre une correspondance personnelle par e-mail est généralement moins grave
que de perdre des jours ou des semaines de documents professionnels, fruit d'un long travail. Pourtant,
il est possible, à moindres coûts (coûts financiers et/ou temporels), de se protéger efficacement, même au niveau
personnel.
Le premier pas, c'est de réaliser que personne n'est à l'abri d'une attaque (via Internet par exemple)
ou de programmes malveillants ou dangereux
(comme les virus ou chevaux de Troie). En effet, si même les gouvernements et grandes entreprises ne peuvent
s'en protéger totalement, il serait présomptueux et illusoire de croire
qu'une petite ou moyenne entreprise, ou qu'un simple particulier, soient à l'abris !
Cependant, comme nous l'avons déjà dit, les
risques ne sont pas les mêmes pour tous, c'est pourquoi il faut se protéger mais sans que cela ne
devienne une contrainte trop embarrassante. En effet, il ne faudrait pas que les règles de sécurité soient
si contraignantes qu'elles entraînent une perte, même partielle, de la quantité ou de la qualité du travail.
On peut représenter naïvement tout ceci par la formule suivante :
Criticité des données * Probabilité d'apparition = Risque
Chaque opérande devra avoir une valeur entre 1 - très faible - et 5 - très fort -,
et le résultat sera compris entre 1 et 25 (le milieu se situant autour de 12.5). Un petit exemple :
Criticité : 5 (très fort)
Probabilité : 2 (faible)
Résultat : 5 * 2 = 10, soit un risque plutôt faible.
L'équation signifiant que le risque de fuite d'information est proportionnel à la criticité
des données et à la probabilité qu'une fuite apparaisse. Plus simplement,
plus la criticité ou la probabilité sont importants, plus le risque est important, et donc
le niveau de protection doit être plus important.
Il faut aussi remarquer qu'en expliquant la raison et l'intérêt des règles de sécurité que l'on imposent,
on peut généralement diminuer sensiblement l'impression de gène provoquée par ces contraintes. C'est
d'ailleurs l'un des objectifs de ce document.
Un cas typique : tout le monde a déjà entendu dire que les produits de Microsoft (Windows, IIS, Outlook,
Internet Explorer, pour ne citer que ceux-là) ne sont pas correctement sécurisés, mais il faut nuancer ce
constat, car ce sont également les cibles privilégiées des pirates et autres concepteurs de
virus (leur probabilité d'attaque est donc plus grande que d'autres logiciels).
Sachez que personne n'est à l'abri, et ceci
quel que soit le système d'exploitation ou les logiciels utilisés. Aucun système, logiciel ou réseau ne peut
être protégé à 100 %. Cependant, on peut atteindre un niveau de sécurité acceptable avec peu d'effort,
notamment à l'échelle d'un ordinateur personnel (un réseau d'entreprise demande des compétences plus
avancées).
Le risque, pour un particulier qui ne se protège pas suffisamment, est principalement de perdre
des fichiers de façon irréversible car rarement, et parfois même jamais, sauvegardés, de se faire voler des données
confidentielles ou encore d'être obligé de ré-installer le système d'exploitation et tous les logiciels.
Dans le monde professionnel, cela peut entraîner des licenciements, des pertes importantes au
niveau financier ou de la crédibilité, etc. Bref, les conséquences peuvent être très fâcheuses,
il faut donc toujours prévoir le pire.
Si les pirates (et les virus) arrivent à faire tant de dégâts, c'est toujours en utilisant des failles à
plusieurs niveaux que nous pouvons classer de la manière suivante :
Faille humaine : certains utilisateurs n'hésitent pas
à fournir des mots de passe par téléphone, par courriel
(ceci sans authentifier formellement l'interlocuteur) ou encore à noter
les mots de passes sous le clavier, la souris, la tasse de café, dans son tiroir, etc.
D'autres (en fait souvent les mêmes) ouvrent tous
les courriels et les attachements qu'ils reçoivent, même s'ils ne connaissent pas l'expéditeur.
Faille système ou logicielle : il est important
d'installer les mises à jour des systèmes
d'exploitation ainsi que des logiciels (notamment ceux chargés de la sécurité, comme les antivirus
ou les pare-feux, que nous verrons plus loin), ceci étant à présent automatisé (mais ce n'a pas toujours
été le cas.
Ces mises à jour peuvent être des correctifs (par exemple les
'service packs' de Windows) ou des améliorations (par exemple les signatures des nouveaux virus
pour un antivirus).
Faille réseau : certains protocoles réseaux
sont relativement faciles à corrompre (ex : DHCP,
SMTP, ...),
l'absence de pare-feu (firewall), les mauvaises configurations par défaut des
systèmes ou des routeurs sont autant de failles exploitables
par les pirates, les virus et chevaux de Troie. La frontière entre les failles réseau et les failles système
ou logicielles
n'est pas toujours évidente, en effet la plupart des protocoles réseau sont implémentés par des logiciels,
les failles pouvent provenir d'un et l'autre.
Nous choisissons donc arbitrairement de parler de faille réseau lorsque celle-ci est directement
reliée à un protocole réseau, sans tenir compte de l'implémentation elle-même.
A présent, nous allons voir comment l'on peut améliorer aisément le niveau de sécurité. Pour cela, plusieurs
étapes sont nécessaires.
Les deux plus gros problèmes de sécurité rencontrés par les utilisateurs sont sans conteste
la gestion de leurs mots de passe et leur participation involontaire à la prolifération des
virus et autres chevaux de Troie,
ainsi que les angoisses associées à ces deux facteurs d'insécurité. C'est donc sans surprise que nous avons
choisi ces deux points comme premiers exemples afin de vous sensibiliser aux problèmes de sécurité en informatique.
Commençons par les mots de passe. Comment peut faire un pirate pour deviner vos mots de passe ?
Il y a de nombreuses manières, souvent combinées entre elles. Si le pirate a accès à votre ordinateur
ou votre bureau, il
va tout simplement chercher si vous ne l'avez pas noté quelque part, voici quelques exemples souvent cités :
sous le clavier, sous ou dans
un tiroir, sur un post-it collé sous le bureau, dans un carnet,... etc. Les pirates n'hésitent pas non plus à
fouiller les
poubelles de leurs
victimes dans l'espoir de récupérer des informations sensibles (nous détaillerons cette "technique" plus loin).
D'autres parts, il faut savoir que les mots de passe sont stockés dans
un fichier du système, sous forme chiffrée (on dit plutôt hachée). Ces fichiers peuvent être récupérés
avec certaines techniques, à condition d'avoir accès à la machine (physiquement ou par le réseau).
Cependant, ces mots de passe sont
hachés, théoriquement de façon irréversible, mais ceci dépend du logiciel qui gère ces mots de passe :
de l'algorithme utilisé, et de son implémentation dans le logiciel.
Le principe général est que lorsque le système doit vérifier votre mot de passe, il "hache" celui que vous
fournissez
et compare le résultat avec le haché qu'il possède déjà dans son fichier des mots de passe.
Plusieurs techniques existe pour "cracker" les mots de passe, une des plus rapides est
l'attaque par dictionnaire, aussi appelé analyse par
mots probables.
En effet, les mots de passe sont très rarement des séquences aléatoires de
caractères tapés au clavier. Ils contiennent très souvent un prénom, un nom propre
ou un mot du langage courant, dans un but mnémotechnique, ce qui constitue une faille exploitable importante.
Le format de mot de passe utilisé couramment par les utilisateurs est formé uniquement de lettres
en minuscules et de chiffres (souvent un nombre à deux chiffres, correspondant à une partie d'une date,
voire un département).
De plus, les mots de passe sont (trop) souvent court : moins de 8 caractères alors que la plupart des systèmes
d'exploitation sont capable de supporter de mots de passe beaucoup plus long !
La pire méthode qu'un pirate puisse utiliser pour trouver un mot de passe est appelée attaque par
force
brute. Cela consiste à essayer toutes les combinaisons possibles, dans ce cas, un mot de passe trop court
est la faille principale, car moins il y a de combinaisons à tester, plus rapide sera la recherche.
Concrètement, sur un clavier moderne, il existe pourtant plus de 100 caractères imprimables,
potentiellement tous
utilisables dans un mot de passe. Voici un aperçu de caractères que l'on peut utiliser dans un mot de passe
(ici 107 caractères imprimables correspondant à un clavier classique à 105 touches de type AZERTY/français) :
Un peu de calcul est nécessaire pour mieux vous faire prendre conscience du problème :
Supposons que vous devez saisir un mot de passe de 8
caractères, il est possible de construire
107*107*107*107*107*107*107*107, ou 107^8, soit 17 181 861 798 319 201,
combinaisons si vous utilisez n'importe quels caractères au hasard
de l'ensemble ci-dessus.
Et si l'on suppose qu'il faut
une milliseconde pour tester un mot de passe avec un ordinateur moderne, il faudrait donc environ
544 833 années pour les tester tous. Toutefois, il ne sera pas nécessaire d'essayer toutes les combinaisons,
le pirate aura 50 % de chances de réussir en essayant seulement la moitié des possibilitées,
mais cela constituera quand même une garantie de sécurité suffisante.
Or si pour un mot de passe de même longueur (8 caractères), vous n'employez que 6 lettres alphabétiques minuscules
et deux chiffres sans répétition (que l'on appelle redondance),
cela ne fait plus que 26*25*24*23*22*21*10*9 = 14 918 904 000 combinaisons,
soit une durée d'un peu moins de 6 mois pour essayer
toutes les combinaisons, toujours en testant un mot de passe à chaque milliseconde.
Mais si les caractères alphabétiques d'un mot de passe
correspondent généralement à un prénom ou un mot courant du langage, cela réduit considérablement le nombre de
combinaisons à essayer. Une attaque à l'aide de dictionnaire (il n'existe pas
plus de 100 000 prénoms de moins de 6 lettres) peut alors ramener le temps de recherche à seulement
quelques semaines, quelques jours, voir même quelques heures.
Afin de rendre encore plus difficile le travail d'un pirate,
vous devez changer de mot de passe le plus souvent possible.
Et ce changement devra porter sur tous les caractères
formant le précédent mot de passe (et pas seulement sur quelques caractères).
Enfin, il existe une autre catégorie de méthodes consistant à intercepter les mots de passe à l'insu
de l'utilisateur.
Cela peut se faire soit lorsque celui-ci les tape au clavier à l'aide d'un programme espion,
appelé keylogger,
soit lorsqu'il transite sur le réseau (Internet ou intranet) en espionnant les communications.
Cela ne constitue pas une liste exhaustive des méthodes pour obtenir des mots de passe,
mais cela vous donne un aperçu
des attaques possible. Vous comprenez à présent qu'il vous faut choisir plus judicieusement
vos mots de passe si ce n'est
pas encore le cas actuellement.
Voici donc quelques conseils simples : utilisez des mots de passe long, au minimum 10
caractères, n'utilisez pas de noms propres, pas de mots courants, pas de nombres ayant un sens
comme des dates, des âges, des départements, des numéros de téléphones, des numéros de rue, ...
De plus, efforcez-vous
d'employer au moins un caractère de chacune des catégories suivantes,
dans n'importe quel ordre :
un caractère alphabétique minuscule : a...z
un caractère alphabétique majuscule : A...Z
un caractère numérique : 0...9
un caractère non alphanumérique :
²°+&é"'(-è_çà)=˜#{[|`\^@]}¨£μ
%§/.?><,;:!ù*^$¤
Le problème est alors de s'en souvenir, un 'truc' consiste à écrire de façon "visuelle" mais pas exacte
en Français
(technique courament utilisée dans la rédaction des SMS envoyés par téléphone mobile) :
par exemple le prénom Céline peut s'écrire
c3|iNn€, le prénom Stella peut s'écrire
5T3|/a,
ce qui permet de les retenir plus facilement tout en utilisant au moins un caractère de chacune des
catégories ci-dessus.
Vous pouvez aussi écrire en "dessinant" une forme géométrique sur le clavier :
par exemple la série de caractères %!:lO0]
est formé par un arc de cercle de touches sur un clavier AZERTY (à gauche de la touche 'ENTRÉE' principale,
autour des touches P et N). Il existe de nombreuses autres méthodes mnémotechniques,
le mieux étant d'inventer la vôtre et ne la divulguer à personne.
Enfin, vous devez proscrire de noter votre mot de passe, ailleurs que dans votre mémoire.
Cependant, si vous voulez absolument le noter quelque part, ne le faites jamais à proximité de votre ordinateur
ou de votre lieu de travail. Préférez un endroit anodin (donc évitez un portefeuille ou un sac) et
masquez votre mot
de passe, par exemple en décalent toutes les lettres et les chiffres ('yt3j6' deviendra 'zu4k7' si l'on décale
les lettres et les chiffres de 1 : y deviendra z, t deviendra u, 3 deviendra 4...) ou inversez les caractères
('yt3j6' deviendra 't3j6y' si l'on décale les caractères à gauche, et 'y' passe à droite).
Pour en finir avec les mots de passe, il ne faut jamais les communiquer via des médias non sécurisés
comme Internet (courriel), FAX, téléphone,... etc. En effet ces médias peuvent être espionnés.
Et en tout cas jamais à quelqu'un qui n'est pas formellement
identifié et reconnu. Tout en gardant à l'esprit que même si vous être certain de l'identité
de votre interlocuteur, rien ne vous garantie que quelqu'un n'espionne pas votre conversation.
Pour exemple, ce que l'on appelle l'ingénierie sociale est une technique
simple, redoubable et souvent utilisée par les pirates : elle
consiste par exemple à téléphoner à une personne de la société (par exemple une secrétaire) et à se faire
passer pour un administrateur système et réseau de la société ou pour un technicien de la société gérant
la connexion Internet de la société, puis de demander le mot de passe pour accéder au réseau via l'identification
de l'interlocuteur. Pour lutter contre cette attaque, il suffit de ne jamais donner
d'informations sensibles à distance
(les mots de passe sont des informations particulièrement sensibles)
, et toujours privilégier le contact physique (et uniquement avec des personnes connues et reconnues).
Mais il peut arriver que l'interlocuteur
soit géographiquement distant, les médias à privilégier sont alors le téléphone ou le courrier postal,
car ce sont les plus difficiles à espionner.
Enfin, c'est toujours à celui qui fournit le mot de passe d'initier l'échange,
donc si on vous contacte,
dites que vous allez rappeler la personne pour lui fournir les renseignements demandés, ainsi vous saurez quel
est le numéro du poste de votre interlocuteur. Dans tous les cas, qu'il y ait doute ou pas, demandez conseil
à votre responsable informatique local avant de transmettre un mot de passe.
Il existe de nombreuses sortes de "virus" informatique. Le terme lui-même n'est pas vraiment générique, mais
il a l'avantage d'être connu de tous. Plus généralement on peut parler de programmes
malveillants (ou malware). Différentes catégorisations ont été proposées,
aucune n'étant vraiment satisfaisante. Nous allons donc voir quelles sont les caractéristiques dont les virus
peuvent disposer, sans chercher à les classer. Heureusement, très rare sont les virus disposant de toutes ces
caractéristiques en même temps, néamoins tous les virus en possèdent plusieurs.
Installation : les virus sont capables de
s'installer automatiquement
(c.-à-d. sans intervention de l'utilisateur) dans le système, une fois qu'ils sont mis en contact avec
celui-ci par un média quelconque (Internet, disquette, CD ROM, ...). Petit rappel pour les plus jeunes : les
virus existaient bien avant Internet, et donc utilisaient d'autres médias pour se répandre.
Le processus d'installation est la plupart du temps irréversible, autrement dit aucun processus de
désinstallation n'est prévu dans le virus lui-même. C'est pour cela qu'un antivirus est contraint
de disposer d'une technique
de "désinstallation" propre pour chaque type de virus. Parfois, l'installation du virus est faite
par une action de l'utilisateur, mais à son insu, c'est à dire lors de l'installation d'un programme
non identifié comme étant/contenant un virus (typiquement certains logiciels gratuits trouvés sur Internet).
Reproduction : c'est une propriété très intéressante,
les virus peuvent se dupliquer, entièrement
ou en partie, avec ou sans modification de leur code (ces derniers sont parmi les plus complexes, on les
appelle virus polymorphe).
Cette reproduction peut être déclenchée automatiquement (à intervalles de temps réguliers par exemple)
ou en réponse à un événement extérieur (action de l'utilisateur, modification dans le système, etc).
Propagation : cette caractéristique est l'une des plus
dangereuses, c'est ce qui fait qu'un virus
peut se répandre dans le monde entier en quelques heures et toucher des millions de machines. Comme pour
la reproduction, la propagation peut être déclenchée de diverses manières (d'ailleurs, la reproduction
est en elle-même une forme simple de propagation). De plus, cette propagation
peut se faire de façon passive en dissimulant le virus dans un fichier anodin et en attendant que
l'utilisateur transmette le fichier à des tiers (par n'importe quel média)
ou plus couramment de façon active et envoyant le code
du virus via Internet (par le biais d'un courriel anodin à toutes les adresses du carnet d'adresses
de l'utilisateur par exemple). Certains virus appelés vers sont même capables
de se propager seul en tentant différentes connexions vers d'autres cibles.
Dissimulation : la quasi-totalité des virus tentent
de cacher leur présence. Les plus simples se greffent dans des programmes de la machine (au début ou à la fin
la plupart du temps, mais parfois n'importe où dans le programme). D'ailleurs, c'est souvent comme cela
que l'on se contamine : on télécharge (ou on reçoit par courriel) un logiciel ou un fichier multimédia,
qui semble inoffensif, mais qui contient en fait un virus.
Si le logiciel ou fichier multimedia a spécifiquement été conçu pour répandre le virus on parle
alors d'un cheval de Troie. La dissimulation peut aussi consister
à se cacher sous une forme apparemment inoffensive (une image par exemple) ou indiscernable pour un
amateur (les macros virus par exemple, sont cachés dans des documents
texte comme ceux de Microsoft Word). Il existe des virus
particulièrement dangereux qui savent se dissimuler aux yeux des antivirus
(virus furtifs et
virus polymorphes). Pour arriver à cela, ces
virus peuvent changer leur propre code par mutation ou poser des leurres qui empêcheront les antivirus de
les détecter. La dissimulation ne dure qu'un temps : lorsque le moment de passer à l'attaque est venu,
le virus est obligé de se dévoiler, mais sa propre dissimulation lui aura permis de se propager
largement.
Destruction : c'est une des principales conséquences
d'une infection par un virus. Si le
virus n'exécutait aucune action (pas seulement la destruction de fichiers) sur le système,
il ne serait certes peut être jamais détecté, mais ne servirait pas à grand chose pour son concepteur.
Donc beaucoup de virus réalise une action malveillante, et notamment effacent certains fichiers (des fichiers
systèmes pour bloquer le fonctionnement de la machine ou des fichiers de données de l'utilisateur),
et dans les pires cas, tous les fichiers (formatage des disques durs par exemple).
Parfois, ils déclenchent un redémarrage à chaud
(reboot) ce qui provoque la perte des fichiers non sauvegardés. Avec certaines
machines, il est parfois possible de détruire partiellement ou totalement certains périphériques comme
les écrans ou les disques durs (en faisant varier leurs paramètres en dehors des valeurs de tolérances),
mais cela devient plus rare.
Altération : cette conséquence d'une infection peut se matérialiser
par des modifications
des données d'un ou plusieurs fichiers (plus difficiles à détecter que la suppression pure et simple
du fichier), par la diminution des performances ou de la qualité de service d'une machine (ce dernier
cas est notamment plus connu sous le nom de déni de service ou
DoS). Certains virus peuvent par exemple
se contenter de ralentir les performances de la machine de 20 %, couper régulièrement les connexions
réseau (Wifi par exemple), lancer des programmes non sollicités ou encore
bloquer les connexions provenant de l'extérieur dans le cas d'un serveur.
Espionnage et vol : certains virus
(appelés spyware
dans ce cas précis) permettent à des tiers (les "pirates") de pénétrer
dans un système et de récolter des informations sensibles (stratégiques, militaires, économiques,
technologiques,... etc)
ou de rediriger les connexions sur une machine particulière à l'insu des utilisateurs.
Ils peuvent aussi faire office de serveurs, permettant aux concepteurs du virus de se connecter au système et
accéder frauduleusement à la machine infectée (cela s'appelle une backdoor),
et par extension à tous les réseaux auquel la machine
est connectée. Certains virus espionnent aussi de façon passive les périphériques (le plus courant étant
le clavier, le virus est alors ce que l'on appelle un key logger) afin
d'obtenir des informations comme les mots de passe, puis ils construisent des rapports
qui seront soit diffusés sur Internet, soit consultés ultérieurement par l'espion. Enfin, ces virus
peuvent également rediriger de façon transparente certaines connexions vers l'extérieur en direction
d'une machine d'espionnage (cette attaque s'appelle attaque de l'homme du milieu, ou
man in the middle).
Relais de piratage : on retrouve ici certaines techniques
et caractéristiques de l'espionnage,
à la différence près que la cible de la malveillance n'est en général pas la machine hébergeant le virus,
celle-ci ne servant que de "relais" afin de brouiller les pistes si la cible tente de localiser la
provenance de l'attaque. Ce type de virus doit donc autoriser un accès à son concepteur via
Internet (pour passer ses ordres et récupérer des données) et une connexion depuis la machine infectée
via Internet vers d'autres machines (qui seront les cibles de l'attaque). Plusieurs relais peuvent
évidement être assemblés les uns avec les autres en cascade, pour rendre encore plus difficile la
localisation du pirate. Cette technique peut par exemple servir pour une attaque par
déni de service
distribué ou DDos.
Pour résumer, voici une définition générique de ce que sont les virus : les virus sont
des programmes (écrits dans
n'importe quel langage de programmation) qui s'installent, se reproduisent et se propagent, la plupart
du temps de manière automatique, et sont capables d'espionner, détruire ou d'altérer partiellement ou
totalement les fichiers (et/ou les performances) d'une machine ou d'un réseau de machines.
Vous avez sans doute remarqué la similarité qu'il existe dans le jargon des virus informatiques et
les virus biologiques. Ceci n'est pas le fruit du hasard : les virus informatiques ont effectivement des
comportements très similaires aux virus biologiques, autant dans leur mode de propagation que leurs
conséquences, d'où leur nom de "virus" justement.
Une petite parenthèse pour parler des faux virus car les effets peuvent
être très néfastes comme
avec un vrai virus, mais seulement du fait de l'ignorance des utilisateurs eux-mêmes.
Il s'agit en fait de canulars (hoax) transmis généralement par mail.
Un grand classique est le mail au caractère faussement sérieux paraissant provenir d'une société très connue
(par exemple un éditeur d'antivirus) prévenant qu'un nouveau et très dangereux virus est apparu,
et qu'il suffit pour l'éliminer d'effacer un fichier se trouvant sur la machine.
Il faut s'avoir qu'on ne détruit
pas un virus en effaçant simplement un fichier "à la main" ! En général le fichier à effacer est un
fichier système vital à votre machine ou à l'un de vos logiciels, donc si l'utilisateur l'efface,
il accomplit le rôle destructeur d'un vrai virus, mais uniquement par sa propre action manuelle
(due à son ignorance ou sa crédulité, tout le monde ne pouvant être expert en informatique).
Certains pensaient (et pensent encore) que les virus ne peuvent s'attaquer qu'aux ordinateurs équipés de Windows
(ou tous produits Microsoft de manière générale), ce qui faux. La seule raison est que les concepteurs de
virus détestent en général Microsoft, Bill Gates et plus généralement
la politique commerciale souvent agressive de cette société et de quelques autres sociétés du même type, comme
par exemple Apple ou IBM. Au contraire,
Unix et GNU/Linux bénéficient généralement de leurs faveurs. Ils ont donc fournit beaucoup d'effort
pour discréditer les produits Microsoft (et quelques autres éditeurs de logiciels) en montrant
qu'ils n'étaient pas fiables, peu sûr
et facile à pirater/infecter (ce qui, malheureusement, est encore souvent la réalité, encore aujourd'hui).
Cette motivation existe toujours, mais depuis quelques années maintenant, le défi,
le besoin de reconnaissance ou la simple volonté de nuire font que l'on peut trouver également
des virus dans le monde Unix et GNU/Linux (même s'ils sont généralement moins dangereux dans ces
environnement). De plus, il serait présomptueux de croire
que si les mêmes efforts (quantitatifs et qualitatifs) avaient été engagés contre les produits du
monde Unix et GNU/Linux, les conséquences n'auraient pas été toutes aussi désastreuses que dans le monde
Microsoft et Apple (et les logiciels propriétaires en général).
Aujourd'hui, on peut affirmer qu'il existe des virus capables d'attaquer n'importe quel type de
machine (routeurs, ordinateurs personnels, smartphones, tablettes, serveurs web,... , et même des centrifugeuses
de centrales d'enrichissement d'Uranium, comme avec le virus Stuxnet
en 2010), équipé de n'importe quels systèmes et
logiciels. Donc dans l'absolu, personne n'est complètement à l'abri de la menace que
représente les virus.
Nous allons voir à présent de façon plus détaillée comment sécuriser un minimum les machines en général, et les
ordinateurs personnels en particulier.
Comme nous l'avons vu précédemment, il existe différents risques potentiels d'insécurité dans le monde
informatique. Mais heureusement, vous pouvez vous aider de nombreuses sortes de logiciels pour
accroître la sécurité et maintenir la fiabilité de votre poste de travail ou de votre réseau informatique.
Ceux-ci sont d'ailleurs souvent complémentaires. Voici les quatres plus grands groupes d'outils de
protection que nous allons notamment étudier dans les quatres prochains chapitres :
Antivirus : pour lutter contre les infections et la
prolifération des virus informatiques.
Pare-feu : pour lutter contre certains virus
et contre les attaques de pirates.
Antispywares : pour lutter contre les
logiciels espions ou non désirés s'installant à l'insu de l'utilisateur.
Logiciels de chiffrement : pour lutter contre l'espionnage sous
toutes ses formes. Ces logiciels doivent au moins garantir la confidentialité, l'authentification
et l'intégrité (éventuellement la non-répudiation). Nous reviendrons sur ces points plus loin.
Afin de lutter efficacement contre la prolifération des virus, il y a deux règles simples à respecter.
Tout d'abord, sachez que même si vous n'êtes pas connecté à Internet, vous pouvez être contaminé,
les virus sont apparus bien avant l'ère Internet ! Donc la première et principale règle est
d'installer un antivirus si cela n'a pas encore été fait. Mais encore plus important, c'est de
le maintenir à jour, de façon très régulière. En effet, un antivirus installé à une date D ne saura
en général que bloquer et détruire les virus contractés AVANT cette date D, et encore, pas tous
car certains virus ne sont reconnus par les antivirus qu'un certain temps après leur découverte.
Il existe de nombreux antivirus, choisissez en un de préférence connu. De plus, il devra être
activé en permanence chaque fois que votre ordinateur est allumé, cela évitera la plupart des infections.
Le principe des antivirus est à peut prêt toujours le même, ils possèdent cinq fonctionnalités principales :
Bouclier résident(resident shield)
pour les virus connus : c'est le procédé qui bloque presque toutes les nouvelles infections provenant
de l'extérieur. Chaque fois que vous téléchargez un fichier, recevez un mail, copiez le contenu d'une
disquette ou d'un CD ... etc, l'antivirus vérifie chaque donnée pour s'assurer qu'il n'y pas de virus
connus. Si cela est le cas, l'antivirus bloque en général l'accès à ce fichier, signale le problème
et propose de le détruire, ainsi le virus n'a aucune chance d'infecter la machine.
Mise à jour(update) :
ceci permet à l'antivirus de détecter et éradiquer de nouveaux virus. Si vous n'êtes pas
relié à Internet, vous pouvez vous abonner auprès de l'éditeur de votre antivirus afin de
recevoir des mises à jour par courrier, mais le mieux et le moins coûteux est de faire les
mises à jour via Internet, cela prend en général de quelques secondes à quelques minutes.
La fréquence des mises à jour conseillé est d'au moins une fois par mois pour un particulier,
mais une fois par semaine est une fréquence plus sûre (quotidien pour des professionnels).
Pourquoi les mises à jour sont-elles importantes ? Tout simplement parce que si vous ne le
faites pas régulièrement, votre antivirus ne détectera pas les nouveaux virus ! Et l'on en
découvre de nouveaux presque chaque jour.
Analyse programmable(scanner) :
beaucoup d'utilisateurs ont tendance à sous estimer le rôle de (et à désactiver) cette fonctionnalité
pourtant indissociable du bouclier résident. Reprenons notre exemple précédent : votre antivirus est
installé (ou mis à jour) le jour J, il détecte donc théoriquement toutes les tentatives d'infection
par les virus connus jusqu'à ce jour J. Seulement 1 mois plus tard, un nouveau type de virus apparaît,
votre antivirus ne le détectera sans doute pas, et lorsque vous mettrez à jour votre antivirus,
le bouclier résident seul pourra ne pas le détecter (en effet le bouclier scanne principalement les
entrées/sorties, et non pas ce qui est déjà installé). Il faut donc programmer régulièrement l'analyse,
en général au moins une fois juste après une mise à jour de l'antivirus (et bien sûr le jour de
l'installation de l'antivirus). Certes, une vérification de tous les disques prend en général beaucoup
de temps (cela dépend de la taille des données sur votre disque), mais c'est indispensable pour
s'assurer qu'aucune infection n'a eu lieu entre deux mises à jour. Cette analyse peut être programmée
aux heures de repas, la nuit ou tout autre moment ou votre ordinateur sera allumé mais non utilisé.
Enfin, sachez que le bouclier n'est jamais sûr à 100 %, une analyse régulière peut diminuer sensiblement
le facteur de risque.
Recherche heuristique
pour les virus inconnus : cette une fonctionnalité qui tente de pallier la faiblesse des antivirus
entre deux mises à jour. Elle permet parfois de détecter un nouveau type de virus non pas à partir
des mises à jour, mais en surveillant le système et tout comportement suspect (tentatives de suppressions
ou modification de certains fichiers vitaux, utilisation anormale des connexions réseau,... etc).
Cependant cette fonctionnalité n'a pas toujours beaucoup de succès, la mise à jour régulière est,
quant à elle, beaucoup plus efficace.
Nettoyage des infections :
lorsque le mal est fait (si vous être infecté) et détecté, les antivirus tente de nettoyer ou détruire les virus déjà installés. Selon l'antivirus et le type de virus, cette phase peut être exécuter de différentes manières. L'idéal étant de supprimer complètement le virus en restaurant les fichiers infectés tel qu'ils étaient avant l'infection. Mais parfois cela n'est pas réalisable par l'antivirus, celui-ci peut alors proposer plusieurs solutions à l'utilisateur : détruire le fichier, bloquer son accès (par exemple en le déplaçant dans un endroit spécial) ou encore tenter une désinfection en force sans garantie de restituer le fichier dans son état initial. La conduite à tenir dépend du fichier infecté : si celui-ci est important, une tentative de désinfection pourra par exemple permettre de récupérer au moins une partie du contenu, si le fichier n'est pas très important, privilégier la suppression pure et simple, enfin si le fichier est un fichier système (donc vital) ou si vous n'en connaissez pas l'usage, le blocage peut être une solution temporaire, jusqu'au remplacement du fichier (si c'est un fichier système, une réinstallation complète du système peut être nécessaire).
La seconde règle de protection simple est qu'il faut éviter le plus possible d'ouvrir un mail
d'un expéditeur inconnu, d'autant plus s'il contient un fichier en attachement, et ce quelque soit
le type du fichier. Le problème, c'est que certains maileurs ouvrent et exécutent automatiquement
les programmes attachés aux mails. Cela est très dangereux, mais en général il est toujours possible
de désactiver cette fonctionnalité dans les paramètres du maileur. Il est donc fortement recommandé
de désactiver toutes ces fonctionnalités (c'est à dire l'ouverture automatique des attachements,
l'exécution automatique du code,... etc). De plus les maileurs modernes permettent de filtrer les
mails selon divers critères (par exemple l'expéditeur) ce qui vous permettra de placer les mails
de provenance inconnus dans des répertoires particuliers pour ne pas risquer de les ouvrir par mégarde.
Mis à part les antivirus, il existe une autre menace souvent méconnue mais pourtant courante :
il s'agit les logiciels non désirés (spywares). Lorsque vous installez certains programmes commerciaux
gratuits ou payants (parfois même certains systèmes d'exploitation), ceux-ci installent également à
votre insue divers petits logiciels de publicité ou pire, d'espionnage du comportement (par exemple
pour construire des bases de clients potentiels, avec leur comportement d'achat). Ces petits logiciels
peuvent d'ailleurs être vus comme des virus, puisqu'ils possèdent souvent plusieurs des caractéristiques
citées plus haut. Mais ils n'ont jamais le caractère destructif que peuvent avoir les virus.
Pour lutter contre ce fléau, il existe des logiciels spécialisés (appelés antispywares) permettant
de les détecter (certains antivirus incluent également ces fonctionnalités) et les désinstaller.
Comme pour les antivirus, il est important de faire des mises à jour régulières. Ces logiciels partagent
d'ailleurs presque les mêmes fonctionnalités (voir plus haut) que les antivirus.
De plus, ces logiciels indésirables nécessitent souvent une connexion Internet pour envoyer des
rapports, par exemple concernant vos habitudes. Le paragraphe suivant va vous présenter une classe
d'outils qui peuvent permettre d'éviter ce risque.
Un type de logiciel est indispensable lorsque votre ordinateur est relié à Internet
(même de façon ponctuelle), ce sont les pare-feu (firewall). Cette famille d'outils permet de bloquer
les accès réseaux non sollicités vers ou depuis votre machine. Lorsque les accès proviennent de
l'extérieur, cela peut par exemple empêcher le piratage de votre machine et son utilisation pour
faire une attaque de déni de service distribué (DDos) ou plus simplement pour vous espionner
(mots de passe, codes d'accès à votre banque, ... etc). Dans le sens inverse (les connexions
depuis votre machine vers l'extérieur), le pare-feu vous permet par exemple de détecter un logiciel
espion ou un virus tentant de transmettre des informations personnelles vers un tiers.
Il existe de très nombreux pare-feu sur le marché (plus que d'antivirus), dont certains sont gratuits
pour les particuliers, ce qui n'enlève rien à leur efficacité. Le principe d'un pare-feu est simple :
il bloque tous les ports de communication possible en entrée comme en sortie de la couche réseau de
la machine. Ensuite, c'est à vous d'ouvrir un par un les ports lorsque ceux-ci vous sont indispensables
(pour se connecter par Internet par exemple). Il existe principalement deux manières de faire cela.
Les pare-feu basiques vous demanderons si vous autorisez telle ou telle application (un navigateur,
un logiciel de messagerie, un antivirus,... etc) à avoir accès à Internet puis enregistre votre réponse.
Cela peut être conseillé pour les débutants, car ces pare-feu ont l'avantage d'être simple à comprendre et à
utiliser. Mais lorsqu'on souhaite un niveau de sécurité plus précis, il vaut mieux utiliser un pare-feu
"traditionnel", qui permet de faire des configurations beaucoup plus fines (et donc un peu plus complexe).
Par exemple, un pare-feu basique vous demandera si vous autorisez votre maileur favori à avoir accès à
Internet. Si votre réponse est oui, cela signifie qu'il pourra accéder à n'importe quoi sur Internet,
et pas seulement votre boite mail. Un pare-feu traditionnel vous demandera en plus quels protocoles
et quels ports vous autorisez (dans notre cas POP3, port 110 et SMTP, port 25) ainsi que la ou les
adresses du(es) serveur(s) de mails. En fait vous devrez définir des règles pour chacun de vos besoins,
ce qui peut sembler fastidieux, mais cela n'est fait qu'une fois, ensuite vous aurez une protection
beaucoup plus personnelle et parfaitement ciblée.
En plus, il est souvent possible de définir des classes de logiciels plus ou moins surveillé. Généralement
il y en a trois :
Les logiciels de confiance qui ont le droit de se connecter à n'importe quel
serveur, on y place souvent les navigateurs, car c'est dans leur nature même de pouvoir se connecter
à n'importe quel serveur web.
Les logiciels partiellement autorisés pour lesquels à chacune de leurs connexions,
l'utilisateur en sera informé et devra confirmer le droit de connexion.
Les logiciels bloqués pour lesquels aucune connexion n'est possible (l'utilisateur
ne sera même pas sollicité s'ils tentent une connexion).
Bien entendu, ce n'est pas parcequ'un logiciel est dans une classe permissive, qu'il ne peut pas être
assujeti à certaines règles de blocage. Sachez enfin que tous les réglages sont réversibles si besoin.
A quoi peut bien vous servir la cryptographie ? Principalement à deux choses : sécuriser vos
transmissions via Internet d'abord (correspondances par mail, transactions bancaires,
achats sur Internet, ... etc), ensuite pour empêcher que l'on puisse consulter (à distance ou non)
votre travail sur votre machine (et accessoirement détecter toutes les modifications éventuelles).
De plus, sachez que la cryptographie moderne peut vous apporter un très haut degré de sécurité,
lorsqu'elle est utilisée correctement.
En fait vous êtes utilisateurs de cryptographie sans le savoir : par exemple chaque fois que vous
utilisez votre carte bancaire et que vous tapez votre code secret, quand vous consulter votre banque
en ligne ou encore lors de certains achats par Internet.
Pour mieux comprendre comment cela fonctionne, il vous suffit de savoir que les techniques
cryptographiques transforment n'importe quelles données compréhensibles en une sorte de charabia
incompréhensible (théoriquement aucune autre personne que vous ou les personnes que vous autorisez
explicitement ne peuvent faire l'opération inverse).
Pour arriver à cela, diverses techniques mathématiques plus ou moins complexes sont utilisées.
Une des plus anciennes techniques (complètement dépassée de nos jours) s'appelle le chiffre de César.
Afin que les correspondances entre Jules César et ses généraux demeurent secrètes, même lorsque ceux-ci
étaient éloignés les uns des autres, ils décalaient toutes les lettres des messages de
trois positions vers la gauche dans l'alphabet (alphabet latin à l'époque).
Par exemple ATTAQUEZ MAINTENANT deviendrait DWWDTXHC PDLQWHQDQW (A devient D, T devient W,
Q devient T, ... etc). Pour vous permettre de mieux comprendre cette technique, regardez les
deux alphabets ci-dessous :
Alphabet normal :
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Alphabet décalé de trois lettres vers la gauche :
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Le destinataire du message n'a plus qu'à faire l'opération inverse (dans notre exemple,
il faut décaler les lettres de trois positions à droite).
Ce chiffre simple peut être généralisé : deux personnes voulant communiquer secrètement
conviennent préalablement du nombre de lettres à décaler, puis se séparent et s'envoient leurs missives
chiffrées. Le nombre de lettres à décaler s'appelle la clef du chiffre car si
l'on ne connait pas cette clef, on ne peut déchiffrer les messages (du moins pour quelqu'un qui ne connait
rien aux techniques de déchiffrement), même si l'on connait la méthode employée (ici le chiffre de César
généralisé). Ce code n'est absolument pas sûr car il suffirait d'essayer tous les décalages possibles
(de 1 à 26) pour être certain de déchiffrer le message. Et sachez que d'autres méthodes plus performantes
existent pour déchiffrer ce type de messages comme par exemple l'analyse des fréquences d'apparitions
des diverses lettres, le 'e' étant la plus courante dans la langue française.
Une bonne analogie que l'on peut faire avec pour illustrer la cryptographie est celle du coffre fort.
Les deux protagonistes ont chacun un double de la clef du coffre et lorsqu'ils veulent communiquer,
celui qui a le coffre place son message à l'intérieur, le ferme puis l'envoi (par n'importe quel moyen)
à son ami. Ce dernier n'a plus qu'à ouvrir le coffre avec sa copie de la clef pour lire le message,
ensuite il peut à son tour envoyer une réponse de la même manière. Personne, à part les possesseurs
d'un double de la clef ne peuvent ouvrir le coffre et lire les messages. Cependant, comme vous le savez,
un coffre peut être forcé, même sans la clef. Avec la cryptographie, c'est à peu près pareil.
Ceux qui déchiffrent les messages secrets sans la clef (on dit "décryptent") sont appelés des
cryptanalistes. Heureusement leur travail
est souvent complexe et long à réaliser, mais théoriquement toujours possible.
Depuis près de 2 000 ans, les hommes n'ont cessé d'inventer des systèmes cryptographiques de plus en plus
complexes pour contrecarrer les attaques des cryptanalistes. Les cryptanalistes ont toujours fini tôt
ou tard par gagner (c'est à dire arriver à "casser" les systèmes de chiffrement), mais ils leur faut
de plus en plus de temps. Tellement de temps qu'avec la cryptographie moderne, on estime qu'il faut
plusieurs dizaines d'années, voire centaines d'années pour déchiffrer un seul message.
Quoiqu'il en soit, aujourd'hui il existe des systèmes de chiffrement considéré comme hautement sûr,
et relativement simples d'utilisation pour le commun des mortels.
PGP (Pretty Good Privacy), que l'on
peut traduire "pour une bonne vie privée", en est un (de plus il est disponible gratuitement sur Internet)
mais il en existe de nombreux autres.
Pour terminer avec la cryptographie, peut-être avez-vous entendu parler de SSL, de HTTPS, des VPN ou
encore de certificats numériques ? Et vous aimeriez en savoir plus ? Ce sont tous des termes techniques
qui décrivent les technologies cryptographiques utilisées couramment, et souvent sans que vous vous
en rendiez compte. Voici donc un aperçu des technologies liées à la cryptographie parmi les plus connues :
AES(Advanced Encryption Standard)
ou Rijndael : standard actuel de cryptographie (basé sur un algorithme à clef privée).
Successeur du DES (et du triple DES) depuis l'an 2000.
Algorithme à clef publique : famille d'algorithmes
(comme RSA, PGP, ... etc) utilisant un système de chiffrement utilisant deux clefs (une pour chaque personne) :
l'une est privée et doit rester secrète (comme dans les algorithmes à clefs privées), l'autre est publique.
La clef publique sert à chiffrer des données, tandis que la clef privée sert à les déchiffrer.
Pour simplifier, tout le monde peut chiffrer et envoyer un message à une personne A à l'aide de
sa clef privée, mais seul A peut déchiffrer les messages (chiffrés avec sa clef publique) grâce à
sa clef privée. Cette famille d'algorithme est considérée comme très sûre mais aussi très lente.
Algorithme à clef privée : famille d'algorithmes dont
l'origine est très ancienne (> 2000 ans) mais de nouveaux algorithmes voient les jours régulièrement
(exemple : DES, triple DES, AES, ... etc). Ces systèmes utilisent une seule clef privée permettant à
la fois de chiffrer et de déchiffrer des données. Ces algorithmes sont plus ou moins sûr, mais sont très
rapide en général. Par contre, ces algorithmes posent le problème de l'échange des clefs, problème
qui est à l'origine des techniques à clefs publiques.
Certificat numérique : sceau numérique
permettant théoriquement d'identifier une personne, une organisation ou un matériel de façon unique
et sans équivoque. Un certificat contient des données publiques (nom, adresse, numéro de téléphone, ... etc)
et une clef publique. Pour authentifier un certificat, celui-ci doit être "signé" par une autorité de
certification officielle.
DES(Data Encryption Standard)
ou DEA(Data Encryption Algorithm) et plus
récemment triple DES : ancien standard de cryptographie (basé sur un
algorithme à clef privée). DES a été adopté comme standard en 1974. Perfectionné depuis en triple DES
pour pallier à ses faiblesses.
HTTPS(HyperText Transfer Protocol Secure) :
technique de communication sécurisé basée sur HTTP (un des principaux protocoles du web) et SSL.
Très couramment utilisé sur les sites marchands pour le paiement sécurisé.
IP Sec(Internet Protocol SECurity) :
technique de communication bas niveau (couche IP) sécurisé. Permet d'établir des connexions réseau chiffrés.
MD5(Message Digest 5) :
algorithme cryptographique de hachage unidirectionnel. Il consiste à faire un condensé de taille réduite
d'un ensemble de données, tout en rendant impossible la démarche inverse, c'est à dire qu'il est
impossible de reconstruire les données à partir du condensé. Ces condensés servent à garantir
l'intégrité des échanges. En effet, si les données ont été modifiées par un tiers, le condensé doit
avoir changé. Cet alghorithme n'est plus considéré comme suffisament sûr (voir plutôt SHA).
PGP(Pretty Good Privacy) :
l'un des logiciels de cryptographie le plus connu (et sans doute un des plus utilisé). Il utilise
différentes techniques cryptographiques à clefs publiques et à clefs privées parmi les plus sûres
connues à ce jour. Son auteur, Philip Zimmerman, a échappé de peu à la prison car aux Etats-Unis,
les logiciels de cryptographie sont considérés comme des armes de guerre, dont l'exportation est interdite.
RSA (Rivest Shamir Adleman, ses trois auteurs) :
algorithme de chiffrement à clef publique apparu en 1978.
SHA(Secure Hash Algorithm) :
algorithme cryptographique de hachage unidirectionnel (voir aussi MD5).
SSL(Secure Socket Layer) :
protocole de communication sécurisé, intervenant à un plus haut niveau qu'IP Sec. Permet d'établir
des connexions chiffrées. Peut être utilisé de façon complémentaire sur IP Sec.
TLS(Transport Layer Security) :
protocole de même famille que SSL (voir SSL). TLS version 1 était d'ailleurs équivalent à SSL version 3.
VPN(Virtual Private Network) :
technologie permettant de relier entre eux des réseaux locaux (ou simplement des machines) géographiquement
distants grâce à des connexions sécurisées et des pare-feu pour empêcher les connexions provenant
de l'extérieur. Généralement ces réseaux privés sont basés sur IP Sec, mais utilisent aussi des
algorithmes de chiffrement à clefs publiques et à clefs privées.
Cette liste est loin d'être exhaustive, mais elle propose un bon éventail des technologies actuelles.
Pour les termes non décrits ici, vous pouvez consulter des dictionnaires de l'informatique sur Internet
par exemple, comme le très bon et très complet Jargon Français.
Nous avons passé en revue quatres types de logiciels permettant de sécuriser les infrastructures,
mais la sécurité dépend avant tout du comportement des utilisateurs, notamment dans les environnements
de réseau (réseaux locaux ou réseaux privés virtuel).
Dans le contexte d'un parc de machines en réseau local dans une société, il est fortement
recommandé d'avoir une "charte de bonne conduite" résumant les consignes de sécurité générales
(comme certaines contenues dans ce document) et spécifique à la société, ainsi que le comportement
à avoir en cas de doute, et un éventuel rappel des sanctions encourues en cas de négligences caractérisées.
Pour rédiger cette "charte de bonne conduite", on peut par exemple s'inspirer du plan suivant :
Tout d'abord, une courte introduction expliquer le but de ce document,
les droits et les devoirs de l'utilisateur ainsi que ses responsabilitées.
Ensuite il peut être utile de décrire les locaux et leurs mode d'accès ainsi que les
règles de sécurité physiques comme le fonctionnement des alarmes (feux, anti-intrusions, ... etc),
les procédures à suivre si celles-ci se déclenchent ou encore ce qui doit être fait avec les
documents papiers confidentiels (par exemple leur destruction chaque soir).
Incontournable, la description du poste de travail détaillant les types de machines
misent à disposition, les systèmes d'exploitation utilisés et un aperçu du fonctionnement du matériel
commun disponible comme les imprimantes, les photocopieurs, FAX ou téléphones. Il peut d'ailleurs être
utile de rappeler des conseils de gestion du papier (imprimer en 2 pages par feuilles en recto-verso
et privilégier le noir et blanc par exemple) pour préserver l'environnement et accessoirement pour faire
des économies substancielles. Dans le cas particulier des ordinateurs portables, il faut insister sur
les risques de vols, donc l'utilisateur devra être d'autant plus vigilant. Le comportement de l'utilisateur
peut aussi être guidé par des conseils au sujet des logiciels les plus utiles dans la société, ceux qui
sont déconseillé et les limites concernant les droits de l'utilisateur à installer ou désinstaller des
logiciels. On peut aussi préciser si les machines doivent ou peuvent rester allumées en permanence
(par exemple la nuit et le week-end).
Il est bien sûr indispensable de détailler la politique réseau, c'est à dire les règles
à suivre en tant qu'utilisateur client d'un réseau et de ses services. Une courte description de
l'infrastructure en insistant sur l'usage des différents serveurs et leurs services respectifs
(intranet, extranet), particulièrement concernant la politique d'utilisation des forums de
discussions et des boites aux lettres (usage modéré des alias s'ils existent, éviter les attachements
lorsqu'il existe des répertoires d'échange, ... etc). Privilégier le partage de la bande passante dans
le respect des autres, et donc faire allusion aux logiciels de téléchargements de type
peer-to-peer
(ex : eDonkey, eMule, ...), à la programmation des gros téléchargements aux heures creuses (midi, nuit et week-end).
De plus, il est indispensable de signifier quels sont les droits de l'utilisateur et de son groupe (ou service)
dans le réseau, et les limitations comme le partage de répertoire locaux.
Enfin, il ne faut pas oublier de donner les procédures à suivre pour chaque type
de problèmes comme la détection d'un virus, d'un piratage ou d'un vol de données. Ces procédures
doivent contenir les noms, adresses mails et numéros de téléphone des personnes responsables à contacter.
Ce dernier point permettra de réagir rapidement à toutes menaces afin d'en limiter les dégâts au maximum.
Pour rendre plus responsable les utilisateurs, il est possible de leur faire signer cette charte,
mais cette dernière consigne peut être mal interprétée, donc en général il vaut mieux l'éviter.
De plus, une charte de sécurité est amenée à évoluer constamment en fonction des modifications de
l'infrastructure ou des nouveaux types de menaces donc la signature des utilisateurs sera difficile
à gérer. Dans tout les cas, ne perdez jamais de vue que le but n'est pas d'effrayer les utilisateurs,
mais bien de les informer et les conseiller.
Bien entendu, nous ne pouvons pas être exhaustifs en listant les moyens ci-dessus pour sécuriser le
poste de travail (et le réseau), mais rappelons quelques faits. Mis à part les utilisateurs eux-mêmes,
de nombreuses failles proviennent souvent des logiciels et de leurs bugs de sécurité.
Il est donc utile de se documenter et comprendre les diverses options des logiciels qui pourrait
présenter des failles mettant en cause la sécurité du poste de travail, et donc du réseau éventuel.
En premier lieu les systèmes d'exploitation bien sûr, puis les logiciels tels que les navigateurs,
les maileurs, les logiciels de téléchargement, et autres applications utilisant le réseau (local ou Internet)
principalement.
Lorsque cela est possible, il est bon d'éviter certains protocoles réseaux connus pour être défaillants,
soit à cause de leur l'ancienneté, soit par à cause de leur propre mode de fonctionnement.
DHCP (Dynamic Host Configuration Protocol) et NetBIOS (NETwork Basic Input-Output System) sont connus
pour leurs failles et le manque de sécurité. Mais parfois ils sont indispensables (DHCP par exemple
dans le cas d'un ordinateur connecté à Internet par modem) et dans ce cas, il faut essayer de les
configurer au mieux pour les rendre moins faciles à corrompre.
Enfin, penser à sauvegarder vos données, quel que soit le support, ne pas perdre vos fichiers les plus
importants en cas d'attaque destructrice réussie (virus, pirate, ...) ou de vol de votre machine.
Ce point pas directement lié à la prévention, mais plutôt à la guérisson et à la qualité en général,
et ce n'est ni plus ni moins qu'un remède très utile lorsque le mal est fait.
Il a donc sa place dans ce document.
Les sauvegardes vous permettrons de revenir dans un état précédent sans pour autant tout refaire.
La quantité de choses à sauvegarder dépend des personnes, des machines ou de contraintes extérieures.
Vous pouvez vous contenter de sauvegarder uniquement certains fichiers de données parmi les plus importants
ou tous vos fichiers de données ou encore tout le système, les logiciels et les données. Sachez que plus
vous ciblerez précisément ce que vous avez réellement besoin de garder, moins il y aura de besoin de place
pour ces sauvegardes et donc elles seront moins coûteuses et plus rapide, ce qui vous permettra d'en
faire plus souvent.
En effet la fréquence de sauvegarde est un point important : si vous ne faites de sauvegarde qu'une fois
par mois, et que votre machine est victime d'une attaque en fin de mois, vous perdrez alors un mois de
travail ! On peut considérer que dans le milieu familial, une sauvegarde par semaine est raisonnable et
pas trop contraignant mais dans le milieu professionnel, une sauvegarde par jour est beaucoup plus recommandé.
D'autres part, il faut disposer de plusieurs exemplaire du support de sauvegarde : en effet vous avez
besoin de restaurer une sauvegarde et que le support de celle-ci s'avère défectueux, vous ne serez pas
plus avancé. Un particulier pourra n'employer que deux exemplaires qu'il utilisera en alternance
(l'un pour les semaines paires, l'autre pour les semaines impaires par exemple), ceci lui permettra,
dans le pire des cas, de ne perdre que deux semaines de travail.
En ce qui concerne les supports, vous pouvez théoriquement utiliser n'importe lequel du moment qu'il
est amovible, c'est à dire que vous pouvez le déconnecter physiquement des
machines et ainsi le stocker à l'abri (par exemple des vols, des incendies, ...), par exemple : tout types
de disques durs externes ou internes amovibles, de cartes mémoires (SD, clef USB, ...),
CD ou DVD réinscriptibles ou non, les bandes magnétiques (ces deux derniers types tombent en désuétude).
C'est à vous de choisir le meilleur en vous basant sur vos propres cirtères. Voici quelques points
dont il faut tenir compte en général :
Le support devra avoir une capacité adapté à vos besoins
Son prix devra entrer dans le budget que vous vous êtes fixé (lecteur + support)
Il doit avoir des performances (vitesse de lecteur et d'écriture) suffisamment
rapide pour votre usage
Le support devra être d'emploi aisé et facile à stocker/transporter si besoin
Je pense que nous avons fait un tour d'horizon suffisamment large des techniques qui sont à votre
disposition pour augmenter sensiblement la sécurité de votre poste de travail ou de votre infrastructure.
Mais avant de terminer ce document, voyons la dernière étape à ne pas négliger : maintenir un bon
niveau de vigilance dans plusieurs domaines spécifiques.
Un bon administrateur système et réseau (ce que tout particulier est implicitement sur sa machine)
se doit d'être vigilant, cela n'implique pas d'être paranoïaque, mais s'il ne faut pas être naïf ou
imprudent non plus.
Douter seinement de son système, des applications et de soi-même est une bonne politique même si en
tant que particulier, vous n'êtes pas forcement une cible intéressante pour un pirate. Donc administrer
une machine (ou un réseau de machines) doit être un compromis entre les besoins de sécurité et les contraintes
que cela entraîne (comme expliqué dans l'introduction de ce document).
Le manque d'information est souvent un facteur de risque à ne pas négliger,
il vous faut donc rester informé des nouveaux types d'attaques, virus et failles. Mais restez toujours
prudent et méfiant : certains sites diffusent des informations fausses ou erronées.
Il faut donc multiplier les sources d'information (par exemple ne pas se baser que sur cet unique
document !).
Ensuite, chercher d'autres sites d'information et d'alerte de sécurité non liés aux fournisseurs des
logiciels que vous utilisez. Il en existe de nombreux, certains spécialisés pour un système unique
(par exemple pour les ordinateurs sous Windows, pour Linux, ... etc), d'autres très
génériques (réunissant les alertes importantes multi-plateformes). Il existe de nombreux forums de
discussion autour de ces mêmes domaines, cela peut vous aider à résoudre vos propres problèmes
en posant des questions à des spécialistes ou aider d'autres utilisateurs quand vous le pouvez.
De manière générale, il faut toujours garder ses applications (et notamment les antivirus, pare-feu,
et autres logiciels de sécurisation) à jour. De nouveaux types d'attaques, de nouveaux virus ou tout
simplement de nouveaux bugs sont découverts chaque jour !
En réseau, il faut insister sur le fait qu'il est préférable de sécuriser mais sans espionner les
utilisateurs, par exemple en prohibant des politiques de surveillance des mails
(ce qui d'ailleurs est interdit par la loi française), car une bonne ambiance et un climat de confiance
favorisent toujours une plus grande efficacité dans le travail, et donc améliorera l'application des
règles de sécurité, comme celles contenues dans une charte.
Enfin, ne négligez pas l'intérêt des sauvegardes, et faîtes les régulièrement. Même si elles ne vous
serviront sans doute jamais, n'oubliez pas les immenses avantages qu'elles vous apporteront en cas
de problème sérieux.
Ce document vous a donné une vision peut être un peu pessimiste du monde informatique, mais vous vous devez
de relativiser : vous ne pouvez pas avoir tous les problèmes simultanément, d'ailleurs certains de ces
problèmes vous resteront sans aucun doute complètement étrangers.
N'ayez pas peur des virus, des attaques de pirates ou des failles de vos logiciels, appréhendez-les,
comprenez-les et lutter simplement mais efficacement contre ces menaces et tout se passera bien, comme
pour une majorité des utilisateurs des outils informatique dans le monde.
On entend souvent que la plus grande faille est souvent l'ignorance et le manque d'information,
j'espère donc que ce modeste document vous aura éclairé ou tout du moins sensibilisé aux problèmes et
à leurs solutions du vaste monde de la sécurité en informatique.