Archive pour la catégorie ‘Professionnel’

Filtrage & vulnérabilités du client Web

Dimanche 8 mars 2009

Au cours de notre apprentissage du Filtrage, nous avons dû réaliser un exposé sur le traitement des vulnérabilités du client Web. Celles qui nous ont été données d’étudier furent :

  • les attaques ActiveX
  • le HTTP tunneling

Le diaporama que je vous propose, contient les explications sur le fonctionnement de ces attaques, des exemples de failles, ainsi que des solutions pour sécuriser le parc informatique : diaporama.

Le contrôle d’accès

Samedi 20 décembre 2008

Le contrôle d’accès consiste à vérifier si un sujet demandant l’accès à un objet, possède les droits nécessaires pour y accéder. Son efficacité repose sur 2 règles :

  • Le sujet doit être identifié par le biais des procédures d’authentification
  • Tous les droits d’accès (utilisateur/processus) doivent être protégés de toute modification sur le système

La politique d’accès spécifie les accès autorisés.

Les mécanismes d’accès sont les outils déployés pour assurer la politique d’accès.

La différenciation faite entre la politique & les mécanismes d’accès découle de ce que l’analyse doit être indépendante de l’implémentation.

Exemple 1

Politique d’accès : Sécurité Militaire
Modèle d’accès associé : Confidentialité
Droit d’accès concerné : Lecture (Read)

Exemple 2

Politique d’accès : Sécurité Civile
Modèle d’accès associé : Intégrité
Droit d’accès concerné : Ecriture (Write)

Il existe 2 types de politiques de sécurité :

  • Discrétionnaire : les droits sont manipulés librement par le propriétaire
  • Mandats / Obligations : organisation hiérarchique multi-niveaux des utilisateurs et des ressources

Les modèles de sécurité permettent de vérifier la cohérence de la politique de sécurité ainsi que sa mise en œuvre. Il en existe 3 types :

  • Disponibilité : Willen
  • Intégrité : BIBA, Clark Wilson
  • Confidentialité : Lampson, Harrison Ruzzo Ullman, Bell LaPadula, Take-Grant

Le modèle HRU (Harrison Ruzzo Ullman) repose sur l’expression des permissions. Il s’agit de matérialiser les relations entre les Sujets (utilisateur ou processus), les Objets (fichiers, répertoires, processus, cellule mémoire) et les Actions disponibles (read, write, execute, own). Pour cela on modélise la matrice des droits d’accès : M (Sujet * Objet).

Le modèle Take-Grant permet de représenter des systèmes informatiques sous forme de graphes : les nœuds repésentent les sujets ou les objets, les arcs représentent les droits d’accès (take, grant, read, write). Ce modèle autorise certaines règles de modification : create, delete, remove.

Le modèle BLP (Bell LaPadula) introduit la notion de classification des informations par niveau de confidentialité, et la notion d’habilitation des utilisateurs pour l’accès aux données. L’utilisateur ne peut qu’écrire des données dont la classification est supérieure ou égale à son habilitation. De même, les données ne peuvent être lues que par des utilisateurs ayant une habilitation supérieure ou égale à la classification des données.

Le modèle BIBA est la reformulation du modèle BLP appliqué à garantir l’intégrité des données. Pour cela le modèle réutilise les notions de classification et d’habilitation, mais les règles changent. L’utilisateur ne peut qu’écrire des données dont la classification est inférieure ou égale à son habilitation. Enfin, les données ne peuvent être lues que par des utilisateurs ayant une habilitation inférieure ou égale à la classification des données.

Le modèle de Brewer & Nash ou “Muraille de chine” a été conçu afin de résoudre les conflits d’intérêts dans les sociétés de services. Les sujets sont répartis par domaine d’activité et les données par classe d’intérêt. Les interdictions dépendent alors du domaine d’activité et de la durée du secret commercial.

Le modèle R-BAC (Role-Based Access Control) est un modèle où les droits d’accès sont attribués aux personnes en fonction de leurs tâches. Il repose sur la notion de rôles actifs, couramment utilisés par le sujet, la notion de rôles autorisés, que le sujet peut assumer au cours de ses activités, ainsi que la liste des transactions autorisées pour les différents rôles. Il a pour avantage de séparer l’identité du sujet et ses droits d’accès.

Le modèle OR-BAC (ORganization-Based Access Control) est un modèle basé sur la notion d’organisation (ensemble de sujets actifs) et de contexte. Les sujets peuvent être des utilisateurs ou une organisation. Les rôles sont les liens entre les sujets et les organisations. Le domaine d’activité permet d’ajouter des actions disponibles, et les objets manipulés proposent différentes vues.

Tous les modèles décrits précédemment se basent sur la matrice des droits d’accès. Si la majorité des sujets ont des droits sur une minorité d’objets gérés par le système, la matrice est appelée matrice creuse.

Les listes de contrôle d’accès (ex : ACL Cisco) permettent une politique très statique associée à chaque ressource qui doit posséder la liste de tous les sujets et de leurs droits. Elles impliquent une forte consommation d’espace mémoire pour le stockage et une sollicitation importante pour les calculs.

Les capacités (ex : certificats X.509) permettent de stocker sur la station du client, ses autorisations disponibles pour une ressource. Elles permettent une gestion plus souple et plus dynamique que les listes de contrôle d’accès.

Pour conclure, étudions 2 modes d’attaque : les virus et les chevaux de Troie (trojans) :

  • Les virus mettent à mal l’intégrité de la station de la victime
  • Les trojans rompent la chaîne de confidentialité des données stockée par la victime

Appliquons ces attaques aux modèles BLP et BIBA :

  • Le modèle BLP garantit la confidentialité mais pas l’intégrité, il est donc vulnérable aux virus
  • Le modèle BIBA garantit l’intégrité mais pas la confidentialité, il est donc vulnérable aux trojans

NB : cet article a été réalisé à l’aide de mes notes de cours ( Modèles de sécurité de Abdallah M’Hamed) et divers sources Internet (Wikipédia, …).

VPNs & Sécurité réseau

Dimanche 14 décembre 2008

Définition d’un VPN

Un VPN (Virtual Private Network) est un réseau de données qui utilise l’infrastructure publique tout en maintenant le caractère privé des données. Pour cela, il fait appel à des procédures de sécurité ainsi que des protocoles permettant d’établir des tunnels.

Internet et ses risques

L’ensemble des risques auxquels vous pouvez être exposés lors d’une connexion Internet se classifie comme suit :

  • L’interception d’identité
  • La mascarade ou l’usurpation d’identité (Prétendre être quelqu’un d’autre)
  • Le rejeu (Reproduire une procédure de Login)
  • L’interception de données ou de trafic
  • La manipulation (Modifier ou supprimer des informations d’une transmission)
  • La répudiation (La victime ne peut plus émettre ou recevoir)
  • Le dénis de service
  • Le routage (Manipulation des tables de routage / corruption DNS)

Les 4 fonctions critiques d’un VPN

L’authentification

Pas d’interception d’identité

Garantit l’identité de la source des paquets

La confidentialité

Empêche quiconque de lire ou copier les données

Le contrôle d’accès

Seuls les utilisateurs autorisés peuvent accéder au réseau

L’intégrité

Impossibilité de modifier les données en transit

Mécanismes d’authentification

Il en existe deux types :

  • L’authentification logicielle (système à mot de passe ou challenge)
    ex : CHAP, PAP, Radius
  • L’authentification matérielle (par jeton ou par certificat)
    ex : EAP, certificats X.509

PAP - Password Authentification Protocol est un protocole peu sûre du fait que le client émet son mot de passe en clair au NAS. Seul le NAS encrypte le password (Crypatge symétrique : DES 40 bits) avant de le transmettre au serveur Radius.

CHAP - Challenge Handshake Authentification Protocol plus sécurisé que CHAP dans le sens qu’aucun mot de passe ne transit en clair sur le réseau.  Le serveur Radius transmet un challenge au client via le NAS : à partir d’un numéro d’identifiant, d’un nombre aléatoire tiré par le serveur, le client est-il capable de donner le condensé (Hash MD5 128 bits) = numéro d’identifiant + nombre aléatoire + password.

EAP - Extensible Authentification Protocol est une extension du  Protocole Point-to-Point (PPP) se chargeant de l’authentification et supportant plusieurs mécanismes d’authentification. EAP supporte notamment les challenges MD5 (CHAP), les mots de passe à usage unique, les cartes à jeton générique, …

ITU-T X.509 standard - Il s’agit du standard définissant le format des certificats. Ils sont généralement délivrés par une tierce partie : l’Autorité de Certification (CA) qui garantit l’origine des clés publiques. Un certificat contient entre autre :

  • Un numéro de version
  • Un numéro de série
  • Un propriétaire
  • Une clé publique
  • Le nom de l’algorithme utilisé
  • Les dates de validité
  • La signature de la CA
  • Des options (liste de révocations, …)

Les tunnels

Ils permettent l’authentification des correspondants, le contrôle d’accès et la confidentialité des échanges. Plusieurs protocoles cohabitent : GRE, PPTP, L2F, L2TP, MPLS VPNs, …

GRE (IETF, 1994) - Generic Routing Encapsulation est un protocole de niveau 3 (cf. modèle OSI) qui permet d’établir des tunnels IP sur de l’IP. Son usage est destiné aux communications entre 2 routeurs (noeuds). L’encryptage et l’authentification ne sont pas très évolués.

PPTP (Microsoft, 1996) - Point-to-Point Tunneling Protocol est un protocole de niveau 2 (cf. modèle OSI) qui utilise les méthodes d’authentification de PPP (ex : PAP, CHAP). Il permet d’établir des tunnels de paquets PPP à travers un réseau IP (requiert IP) par le biais d’une version modifiée du protocole GRE. Il doit son expansion aux systèmes d’exploitation de Microsoft qui incluent nativement PPTP dès Windows NT. L’encryptage est réalisée via l’algorithme RSA RC4 avec des clés de 40 bits (Cryptage asymétrique). Il est souvent utilisé dans les communications en les PCs clients et le LAN.

L2F (Cisco, 1996) - Layer 2 Fowarding Protocol est un protocole de niveau 2 (cf. modèle OSI) qui permet de créer des tunnels de type LAN to LAN. Ce protocole n’est pas dépendant d’IP et fonctionne avec ATM, … L’authentification utilise les méthodes PPP (ex : PAP, CHAP) avec un serveur Radius. Il y a 2 niveau d’authentification : celle du routeur puis celle du client. Attention : pas d’encryptage des données !

L2TP (IETF, 1998) - Layer 2 Tunneling Protocol est un protocole de niveau 2 (cf. modèle OSI) qui permet de créer des tunnels de type LAN to LAN. Il résulte de la combinaison des protocoles PPTP & L2F. Il réutilise les mécanismes de PPP (ex : PAP, CHAP, EAP) avec serveur Radius. L’établissement du tunnel est basé sur L2F et l’encryptage des données réutilise les méthodes d’IPSec.

MPLS VPNs - Multi Protocol Layer Switching VPNs sont des tunnels de niveau 2 ou 3 (cf. modèle OSI). En général, on les retrouve entre 2 sites distants à travers Internet, ou encore dans les grosses entreprises qui souhaitent mettre en place des VPNs.

Encryptage des données

Il existe plusieurs moyens de crypter les données :

  • Un valeur aléatoire, une clé, …
  • L’algorithme de condensation (Hash Algorithm) qui permet de vérifier l’intégrité des documents : MD5, SHA-1, …
  • Le cryptage asymétrique (Système à clé publique) qui permet de signer les documents : Diffie-Helllman (DH), Rivest Shamir & Aldeman (RSA), Pretty Good Privacy (PGP), …
  • Le cryptage symétrique (Système à clé privée) qui permet d’encrypter les données échangées : DES, 3DES, IDEA, AES, RC2, RC4, …

Les mécanismes associés sont :

  • SSL - Secure Socket Layer : utilisé dans les transactions sur le Web
  • TLS - Transport Layer Security : utilisé dans les transactions sur le Web
  • S/MIME - Secure/Multipurpose Internet Mail Extensions : utilisé pour sécuriser les échanges de mails entre serveurs
  • PGP - Pretty Good Privacy : utilisé pour sécuriser les échanges de mails entre utilisateurs
  • IPSec - Secure IP : utilisé à l’origine pour sécuriser les échanges entre LANs, il évolue vers une utilisation sur PCs et terminaux mobiles

Filtrage et Pare-Feu

Un pare-feu peut être considéré comme un ensemble de programmes, localisés au niveau de la passerelle réseau, protégeant les ressources d’un réseau privé, des utilisateurs externes au réseau. Il existe 2 types de pare-feu :

  • Stateless Packet Filter (ex : ACL Cisco) : chaque paquet est comparé à une règle d’acceptation ou de refus. Ce type de pare-feu est disponible dans de nombreux routeurs.
  • Statefull inspection (ex : Checkpoint Firewalls) : on applique les règles de filtrage de manière plus intelligente : reconnaissance d’un flux IP appartenant à un service.

Quelques principes fondamentaux :

  • Tous les flux entrants doivent être inspectés par le pare-feu
  • En cas de panne, il doit toujours rester un routeur avec un filtrage de paquet actif
  • Tout traffic non explicitement autorisé est interdit

NB : cet article a été réalisé à l’aide de mes notes de cours ( VPN and Network Security de Sophie Gastellier-Prevost) et divers sources Internet (RFCs, …).

EUROSEC 2008

Mardi 23 septembre 2008

Ce jeudi s’est tenue la conférence annuelle du groupe Devoteam sur le thème de la sécurité. Cet évènement a rassemblé un grand nombre de professionnels du secteur avec une ouverture sur l’international. Les grands thèmes abordés furent :

  • La gestion du risque
  • Le contrôle et la conformité
  • Le Web 2.0 et ses impacts sur la sécurité

L’introduction a mis l’accent sur la récente création du ministre de l’internet et du numérique incarné par Eric Besson. Ce dernier étant d’ailleurs sur le point de rendre publique son rapport dont la finalité est de ramener la confiance au numérique. Les mesures concerneront les domaines suivants :

  • La carte nationale d’identité
  • Les certificats
  • Les échanges & les accusés réception
  • Les signatures électroniques
  • La CNIL
  • La lutte contre la cybercriminalité
  • La prévention

La principale préoccupation de l’état est de garantir l’équilibre entre Libertés & Sécurité. Pour ma part j’attends vivement de pouvoir consulter le rapport.

Sur le thème : “Gouvernance des entreprises & Sécurité”, l’accent a été mis sur la nécessité de faire communiquer les différentes entités de l’entreprise qui sont responsables de la sécurité (Transversalité de la sécurité dans l’entreprise). Il est beaucoup plus efficace de rendre au comité directeur un unique tableau récapitulatif intégrant l’ensemble des objectifs et des risques associés.

Il faut aussi concentrer les ressources sur les risques liés à notre propre business. Il y a encore trop d’offres fourre-tout sur le marché, qui ne prennent pas en compte l’environnement de l’entreprise.

Le Business implique de faire du profit et donc de prendre des risques afin de permettre la croissance de l’entreprise. Le rôle de la Sécurité est d’apporter des solutions maîtrisant ces risques.

En conclusion, l’EUROSEC 2007 mis l’accent sur la nécessité d’intégrer la sécurité au sein des centre décisionnels et du business. En 2008 le bilan est plutôt positif, mais il reste encore à améliorer les échanges entre les entités. L’important n’étant pas de garantir une sécurité à 100%, mais plutôt d’évaluer, couvrir et maîtriser les risques encourus.

CSO Interchange Paris 2008

Jeudi 12 juin 2008

CSO Logo

Ce mardi s’est tenue à Paris la 3ème édition de CSO Interchange France. Il s’agit d’une rencontre entre les professionnels du secteur afin de débattre sur des sujets d’actualité, au cours de tables rondes. Nous avons pu bénéficier du retour d’expérience de chacun : difficultés et solutions apportées lors de la réalisation de projets professionnels. Voici ce que j’ai retenu de cette journée…

Le marché

Malgré une période de froid due à la crise des subprimes, du prix de l’essence et des matières premières, le marché est toujours en croissance même si celle-ci n’est pas aussi prononcée que prévu.

Les raisons sont nombreuses :

  • le nombre d’ordinateurs portables a dépassé celui des fixes;
  • la menace est plus agile, plus experte et plus déterminée;
  • la banalisation de l’outil informatique;
  • les nouvelles lois et règlements;
  • le nombre croissant de désastres informatiques.

La nouvelle tendance qui se dégage est le développement des Services ou Appliances : Security As A Service. Ses avantages sont nombreux : délocalisation, complexité minimale, coût prévisible, et mise à disposition des meilleures technologies. En général, il faut prévoir un budget plus cher de 15%, mais les résultats obtenus sont de bien meilleure qualité. Dans un futur proche, on peut espérer que la concurrence permette la compétitivité des prix.

Les projets de mise en place de gestion des identités : Identity Access Management, sont en forte croissance dans les entreprises. Le marché des suites de sécurité est stable, mais les ventes d’antivirus et autres logiciels indépendants accusent une baisse des ventes.

En ce qui concerne l’analyse des journaux de sécurité, les experts estiment que les solutions proposées par les industriels externes à l’entreprise sont de très bonne qualité. Ici encore, la sécurité en tant que service gagne du terrain.

Pour conclure, 2008 voit le commencement d’une nouvelle ère : la sécurité n’est plus un problème technique, mais devient un problème d’entreprise en termes de survie, de continuité d’activité, de performance, de confiance, et de conformité. La sécurité 2008 est pro-active et non défensive.

Gestion des incidents

Le problème le plus courant provient du fait que les incidents ne sont pas tracés. Il n’y a donc pas d’élément de preuve pour se retourner, cela se ressent principalement chez les PME.

De plus les entreprises éprouvent une grande difficulté à détecter les incidents liés à la sécurité. Souvent c’est l’utilisateur qui avertit le service technique qui détecte alors une intrusion. Il est important de disposer d’outils de reporting des incidents liés à la sécurité, afin de cibler la recherche dans les journaux (Logs).

Il est ressorti qu’un outil commun de partage du retour sur les incidents de sécurité serait un plus pour les entreprises françaises. Ce type de rapport existe déjà en Suisse : le rapport Melani qui est produit pas la centrale d’enregistrement et d’analyse pour la sûreté de l’information (site officiel).

Une question se pose : “Qui doit-on contacter en cas d’incident lié à la sécurité ?”. Il est primordial de définir ces procédures et de les diffuser largement, afin de pouvoir réagir au plus vite.

Aussi, il est important de faire intervenir du personnel Métier avec le personnel Technique, afin de détecter les incidents liés à la problématique du secteur d’activité. On peut imaginer que des emails soient envoyés à la concurrence, dans le cadre d’une fuite d’information…

Conclusion

Il faut garder à l’esprit que les bénéfices de la cybercriminalité sont peu à peu entrain de dépasser ceux de la drogue. Il est donc indispensable pour les entreprises d’échanger leur expérience au cours de rencontres comme celle-ci.

Audits de sécurité des SGBD 2

Dimanche 13 avril 2008

Comme mon premier article sur les audits de sécurité des SGBD Oracle a suscité de nombreuses consultations, j’espère que vous réserverez le même engouement pour le second, consacré aux SGBD Sybase.

Voici le lien : Audit Sécurité Sybase.

Ces deux procédures ont été mises en place sur des serveurs de production. Conjuguées à une table de normalisation et de classification des évènements, j’ai ainsi pu générer cette semaine mes premières anomalies.

Cours d’informatique

Jeudi 10 avril 2008

Au cours de mes nombreuses recherches sur le Net, j’ai fait la connaissance du site Polymorphe.org. Ce site met à disposition de nombreux cours d’informatique en téléchargement libre. Pour les fans de sécurité, je vous recommande les rubriques Réseaux, Sécurité et Système d’exploitation. La plupart des cours disponibles sont en français, mais je vous conseille de ne pas négliger les tutoriels en anglais qui sont souvent de bonne qualité.

BackTrack

Dimanche 6 avril 2008

BackTrack est l’une des distributions live les plus téléchargées, ciblant les test d’intrusion. Cette plateforme est donc entièrement chargée depuis le CD-Rom et accessible en quelques minutes.

Elle provient de la fusion des distributions Whax et Auditor Security Collection. Unissant leur forces et remplassant ces distributions, BackTrack a massivement accru sa popularité.

Voici la liste de quelques un des outils proposés :

  • Bluebugger : une implémentation de la technique Bluebug découverte par Martin Herfurt de Trifinite Group;
  • Wyd : un outil permettant d’établir le profile d’un mot de passe, à partir de l’analyse de différents types de fichiers et générant une liste de mots clés à des fins d’attaques de mots de passe par dictionnaire;
  • SIPcrack : une suite d’outils pour sniffer et attaquer par force brute le hachage d’une authentification par mot de passe émise par des clients SIP s’enregistrant à un serveur SIP;
  • Hotspotter : supervise passivement le réseau, le sondant les fenêtres de requêtes pour identifier les réseaux favoris des clients Windows XP. Il les compare à une liste de noms de réseaux de Hotspot. Si le nom de réseau sondé correspond à un nom de Hotspot, l’outil agira comme un point d’accès autorisant le client à s’authentifier;
  • Wellenreiter : est un outil de découverte et d’audit de réseaux sans fil. Les cartes basiques de Prism2, Lucent, et Cisco sont supportées. Il s’agit de l’un des outils Linux permettant de scanner les réseaux sans fil les plus faciles à utiliser actuellement. Il n’y a plus à réaliser de configuration de carte réseau. Il peut découvrir les réseaux (BSS/IBSS) et détecter les réseaux diffusant ou non leur ESSID, aussi bien que leur clé WEP et les informations sur le fabriquant.

Le site officiel du projet est :
http://www.remote-exploit.org/backtrack.html.

Vous pouvez télécharger l’image ISO directement ici.

Conférence iTeam

Jeudi 3 avril 2008

Conférence iTeam

Aujourd’hui se tenait à l’ECE une conférence sur la méthodologie d’analyse et de gestion des risques des SI. Elle était animée par M. Serge Lebel, membre de la Direction Centrale de la Sécurité des SI.

L’exposé a débuté par une présentation de la DCSSI, de sa mission et de ses objectifs. Puis rapidement, nous sommes rentrés dans le vif du sujet, avec la présentation de la méthode d’évaluation et de gestion des risques : EBIOS.

Il s’agit d’une méthode employée pour penser le risque. Elle s’accompagne d’une suite de 5 guides et d’un logiciel libre open-sources (disponibles ici). Elle est mondialement reconnue et utilisée dans des administrations de notre état, dans l’Union Européenne, ainsi que dans l’OTAN et dans d’autres organismes du secteur privé.

Cette méthode permet de générer des Schémas directeurs, une politique de sécurité et des tableaux de bord. Tout cela est obtenu à partir de l’organisation et du croisement des informations recueillies par le consultant.

Le scénario du risque se découpe alors en 4 domaines à identifier : la source de la menace, la méthode d’attaque, les vulnérabilités du système et les impacts.

La présentation s’est poursuivie par l’étude d’un cas concret.

En conclusion, EBIOS permet une approche exhaustive de haut niveau sur les risques liés à la sécurité des SI. Il offre une vision globale et cohérente des décideurs. La plus value provient de l’automatisation des tâches et de la mise en forme des synthèse de l’information.

Enfin une mise en garde nous a été faite sur le danger que représente l’Intelligence Economique et de ses impacts sur la sécurité des SI.

Audit & sécurité des SGBD

Dimanche 30 mars 2008

Au cours de ma carrière, j’ai été amené à travailler sur l’audit des SGBD Oracle & Sybase. Ayant passé un temps considérable à trouver et assimiler les procédures de mise en place de l’audit, j’ai décidé de mettre à  votre disposition mon retour d’expérience.

Voici le premier article disponible : Audit Sécurité Oracle