Professional Documents
Culture Documents
Au cours des premires annes de leur existence, les rseaux informatiques taient principalement utiliss soit par des chercheurs dans les universits, pour changer des courriers lectroniques, soit par des employs dans les entreprises, pour partager des imprimantes. Dans ces conditions, la scurit informatique navait aucune importance. Mais aujourdhui, alors que des millions de citoyens utilisent les rseaux pour faire des oprations bancaires ou du commerce lectronique, linformation devient une ressource critique, do limportance de sa protection. partir de l, la scurit informatique est devenue un grand souci et un besoin fondamental. En dpit de vulnrabilit de rseaux Internet, qui na pas t conu pour les transactions confidentielles. Le commerce lectronique, les banques en ligne ont continu se dvelopper 1. La scurit est donc un vaste sujet, qui relve de nombreux dangers. Sous la forme la plus simple, elle consiste viter que les curieux ne puissent lire ou modifier linformation. Notons bien que le secteur de la Scurit des Systmes dinformation (SSI) est en volution remarquable. Mais, il demeure insuffisant car lobjectif est davoir un systme dinformation entirement scuris. La scurit de linformation exige, donc, limplmentation dune multitude de procdures, de politiques de scurit, etc. Ces mesures doivent tre mises en place dans le but de garantir les objectifs de lentreprise, afin de prserver la confidentialit, lintgrit et la disponibilit de ses biens et services. Dans ce but, laudit de scurit commence tre une ncessit du moment o lentreprise exploite un systme dinformation connect un rseau. Laudit de scurit a pour objectif de mesurer les ressources critiques de lentreprise, ce qui est appel le primtre daudit. Dans ce contexte, se situe notre mission daudit qui consiste laborer un audit technique de scurit du Ministre des Technologies de la Communication (MTC), afin de
1
dterminer les vulnrabilits qui touchent ce systme informatique. La mission daudit est compose de six chapitres que nous prsenterons comme suit : Chapitre 1 : Prsentation et dmarche de la mission daudit. Il est rserv dcrire les fondements de la scurit, les lois Tunisiennes relatives la scurit, les diffrents types daudit et les normes et les standards. Chapitre 2 : tude de lexistant. Dans cette partie nous allons prsenter le MTC et dcrire larchitecture rseau et linventaire de systme dinformation. Chapitre 3 : Audit technique. Nous allons entamer la mission daudit physique laide des outils Open source et quelques outils commerciaux. Chapitre 4 : Constat gnral et recommandations techniques. Cest le sujet dune analyse approfondie des rsultats obtenus de troisime chapitre. Ainsi, nous allons prsenter des solutions possibles aux failles trouves. Chapitre 5 : Prsentation de Limesurvey : une plateforme web Open Source configure, afin de raliser le questionnaire daudit de scurit en ligne.
~2~
Chapitre 1
Laudit de scurit est une dmarche qui permet de vrifier ltat de scurit conformment aux rgles spcifies dans la politique de scurit. Une politique de scurit est un document formel et officiel qui prcise les droits daccs, les rgles respecter et les rgles de bon sens dutilisation de SI.
~3~
1.1
Dfinition
laudit, nom masculin, est une procdure consistant s'assurer du caractre complet, sincre et rgulier des comptes d'une entreprise, s'en porter garant auprs des divers partenaires intresss de la firme et, plus gnralement, porter un jugement sur la qualit et la rigueur de sa gestion. 2 Laudit de scurit est une procdure qui permet dtablir un tat des lieux. Cest une mission dvaluation de conformit par rapport : une politique de scurit, un ensemble des rgles de scurit.
1.2
La scurit est un concept qui recouvre un ensemble des mthodes et des mcanismes chargs de protger le systme contre les menaces et les risques qui peuvent nuire et altrer son fonctionnement. La scurit vise gnralement cinq principales proprits :
l'intgrit : c'est--dire garantir que les donnes sont bien celles que nous
croyons tre,
la transaction,
garantir chacun des correspondants que son partenaire est bien celui qu'il croit tre (par exemple par le moyen d'un login et mot de passe). Ces proprits, en fonction de la valeur des ressources et de leur cycle de vie, doivent tre garanties par des mesures de scurit. Celles-ci, sont mises en uvre au travers d'outils
2
~4~
particuliers, de procdures adaptes et des personnes. Elles sont gres et valides par des procdures de gestion et d'audit. La scurit repose donc sur un ensemble cohrent de mesures, procdures, personnes et outils. La mission de la scurit se rsume en cinq types d'actions gnriques. Elle consiste :
dfinir le primtre de la vulnrabilit li l'usage des technologies de offrir un niveau de protection adapt aux risques encourus par lentreprise. mettre en uvre et valider l'organisation, les mesures, les outils et les
l'information et de la communication,
procdures de scurit,
scurit requis,
L'efficacit de la scurit d'un systme d'information ne repose pas uniquement sur les outils de scurit mais galement sur une stratgie, une organisation et des procdures cohrentes. Cela ncessite une structure de gestion adquate dont la mission est de grer, mettre en place, valider, contrler et faire comprendre l'ensemble des acteurs de l'entreprise l'importance de la scurit. Elle dtermine galement le comportement, les privilges, les responsabilits de chacun. Elle spcifie, en fonction de facteurs critiques de succs qui permettent d'atteindre les objectifs de l'entreprise, les mesures et directives scuritaires appropries. Ces dernires doivent tre cohrentes par rapport au plan d'entreprise et informatique. Pour cela, une vision stratgique de la scurit globale de l'entreprise est ncessaire. Le choix des mesures de scurit mettre en place au sein des organisations rsulte gnralement d'un compromis entre le cot du risque et celui de sa rduction. Il drive de l'analyse long, moyen et court termes des besoins et des moyens scuritaires.
1.3
~5~
Lobjectif principal daudit est dlever de manire efficace le niveau de scurit du systme, en tenant compte des contraintes humaines et financires. Ainsi laudit permet didentifier et de combler les failles les plus dangereuses, qui ncessitent gnralement un peu deffort pour tre limines. Il permet aussi de sensibiliser le personnel et la Direction Gnrale sur les risques cachs. Les types daudit de scurit sont :
1.3.1
Audit organisationnel
Il sagit de vrifier lensemble des procdures de production. Autrement dit, l'audit l'organisationnel examine les mises jour des logs, les procdures darchivage et de backup et les procdures de recouvrement aprs un dsastre, etc. Cela touche aussi la vrification de lexistence de lensemble des postes fonctionnelles relatives la scurit. Donc il faut bien sassurer quil existe une structure responsable de la scurit qui est rattache la direction gnrale. la tte de cette structure un RSSI doit tre nomm. Dans notre mission le RSSI cest Monsieur LADJIMI Marouan.
1.3.2
Audit physique
Ce type daudit touche tout ce qui contrle daccs physique, titre dexemple : les brigades, le contrle daccs biomtrique aux locaux de lentreprise (lempreinte digitale), etc. Aussi, il permet de vrifier lensemble des procdures quil faut appliquer suite un incendie ou une inondation, galement a touche les quipements de vrification de ronde de gardien, etc.
1.3.3
Audit technique
Un audit technique est une analyse technique de la scurit de toutes les composantes du systme informatique et la ralisation de tests de leur rsistance face aux attaques ; avec une analyse et une valuation des dangers qui pourraient rsulter de lexploitation des failles dcouvertes suite lopration daudit []. 3 Laudit technique est donc compos de :
~6~
Audit rseau : Laudit rseau permet de vrifier lensemble des quipements passifs et actifs
de rseau, c'est--dire lensemble des cbles et des quipements de routage et de commutation. Donc, nous pouvons vrifier dans laudit les configurations, ltat des quipements, etc. Audit systme : Cette partie concerne les serveurs de production, soit des serveurs spcifiques (dans le mtier de lentreprise) ou des serveurs logistiques tels que les serveurs mails, les serveurs dapplication, etc. Audit de larchitecture : Cette partie sintresse aux rgles de scurit mises en place. Elle va toucher la solution de scurit. Cette solution va toucher aux diffrentes composantes telles que les systmes antiviraux, les pare-feux, les systmes de dtection dintrusion et tout ce qui concerne le cryptage des donnes dans le rseau, Audit applicatif : L, il sagit de vrifier larchitecture des applications, est-ce quil sagit dune architecture client/serveur, 3-tiers, multi tiers ou client lger. Dans cette partie nous pouvons mme vrifier le code source des applications et les fonctionnalits qui sont supposes tre prsentes dans les applications.
Nous nallons pas effectuer ni laudit organisationnel ni laudit physique vu que notre mission se focalise seulement sur laudit technique. Pour cette raison, nous allons dtailler la partie de laudit technique.
1.3.4
Audit technique
~7~
1.3.4.1 Audit rseau Laudit rseau se fait sur des tapes comme suit : Dcouverte
La premire partie de laudit technique cest la dcouverte des ressources. Donc dans cette partie, Nous allons dcouvrir la topologie de rseau c'est--dire essayer de retrouver lensemble des ressources rseau qui sont prsentes et qui sont constituants de systme de SI. Cette partie peut tre ralise par linspection directe des lieux ou via des outils automatiss tels que Networkview par exemple. Nous allons ensuite rcuprer le plan dadressage et la stratgie de mise en ouvre (statique, DHCP ou NAT) ou un domaine. Nous allons vrifier aussi si les utilisateurs peuvent changer leurs mots de passe, ou encore avoir des privilges levs facilement. Nous allons aussi vrifier lemplacement de serveur DHCP, nous allons ensuite rcuprer les rgles de translation. Encore, nous allons essayer de rcuprer les informations SNMP et les connexions FSI.
Organisation et maintenance
Par la suite, nous procdons lexamen de lorganisation et la maintenance des quipements rseau, autrement dit nous allons contrler ltat des armoires, lemplacement des cbles, lexistence des panneaux de brassage et leurs dispositions (en srie ou en cascade). Nous devons vrifier la procdure de vrification des cbles, est-ce que cest priodique ou est-ce que lorsquon tombe en panne alors nous cherchons quel est le cble qui ne fonctionne pas. Tout ceci doit tre audit.
Lobjectif de cette analyse est rcuprer lensemble des protocoles et des paquets qui circulent sur le rseau. En posant les questions ncessaires, nous pouvons connaitre les protocoles qui sont supposs transiter sur le rseau. Par la suite nous allons comparer les rsultats danalyse avec la liste des protocoles qui doivent exister, et donc retrouver la source de ce trafic indsirable.
~8~
Il sagit de vrifier par quels moyens les quipements de routage et de commutation sont administrs (console dadministration, les requtes SNMP, Telnet ou SSH). Ensuite nous allons dterminer lensemble des vulnrabilits connues pour les logiciels de ces quipements (IOS). Puis, nous allons vrifier lensemble des ACL. Nous devons aussi contrler la segmentation de rseau.
Une autre action qui est ralise dans la mme partie, ce sont les tests intrusifs. Ils sont rpartis en deux catgories : tests intrusifs internes : c'est--dire des tentations dintrusions partir
de point qui sont lintrieur de rseau et non pas lextrieur, tests intrusifs externes : ces tests peuvent tre faits avec une
connaissance partielle ou totale de SI. Ces tests sont appels des tests intrusifs avec boite blanche : la personne qui va sintroduire dans le systme dinformation connat ce quil y a dedans ; contrairement aux tests intrusifs qui se font sans connaissance de systme dinformation, On dit que ces tests intrusifs sont avec boite noire , c'est--dire celui qui essaye de sintroduire ne connait rien au pralable de rseau de SI.
1.3.4.2 Audit systme : Ainsi laudit systme est ralis suivant les tapes suivantes : Dcouverte des services et leurs versions
Il sagit de dcouvrir les services et leur version, nous allons nous intresser aux serveurs donc aux services hbergs dans ces serveurs. La version des services importe beaucoup, puisquune nouvelle version rsout des problmes et donne de nouvelles fonctionnalits. Dans le cas o les responsables ont confiance en leur quipe, ils leur disent dans certains cas, comme cela sest pass dans notre cas nous sommes scuriss, alors montrez-nous ce que vous pouvez faire
Cette tape est fondamentale. Elle aide trouver toutes les failles rseau et systmes. Cette phase est effectue via des analyseurs automatiss ou des scanners . Il y a plusieurs
~9~
scanners du domaine libre ou commercial. titre dexemple il y a le produit Nessus ou le produit GFI Languard .
Patchs manquants
Puisquun nouveau patch amne dautres fonctionnalits et corrige des bugs. Nous devons donc vrifier les patchs des services et les services pack installs sur les machines.
Un pare-feu est une mtaphore utilise pour dsigner un logiciel et/ou un matriel, qui a pour fonction de faire respecter la politique de scurit du rseau, celle-ci dfinissant quels sont les types de communication autoriss ou interdits. 4 Nous devons donc vrifier le mode dadministration des pare-feux. Cest trs important de sassurer que nous pouvons exclusivement administrer un firewall dun seul endroit, puisquune personne non privilgie peut ouvrir une connexion sur un firewall peut ouvrir tous les ports et faire tout ce quelle veut. Bien sr, nous sommes tenus examiner les vulnrabilits et les rgles daccs et les comparer avec la politique de scurit.
Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spcialistes en scurit des systmes d'information, similaire aux IDS, sauf que ce systme peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS actif, il dtecte un balayage automatis, l'IPS peut bloquer les ports automatiquement... 5 Donc, nous allons simuler des attaques sur le rseau et nous allons noter la raction des IPS.
Aujourdhui une solution Antivirale est indispensable pour lentreprise, parce que les virus sont de plus en plus sophistiqus. Ils peuvent causer des dgts normes. Alors cest important de disposer un systme Antiviral. Nous devons donc rviser les procdures de mise jour de serveur Antiviral. Aussi il faut sassurer que tous les postes sont quips dun client Antiviral.
4 5
~ 10 ~
1.4
loi n 5 - 2004 : du 3 fvrier 2004, relative a la scurit informatique et portant sur lorganisation du domaine de la scurit informatique et fixant les rgles gnrales de protection des systmes informatiques et des rseaux,6 dcret n 1248 - 2004 du 25 mai 2004, fixant l'organisation administrative et financire et les modalits de fonctionnement de l'A.N.S.I, dcret n 1249 - 2004 du 25 mai 2004, fixant les conditions et les procdures de certification des experts dans le domaine de la scurit informatique, dcret n 1250 - 2004 du 25 mai 2004, fixant les systmes informatiques et les rseaux des organismes soumis a l'audit obligatoire priodique de la scurit informatique et les critres relatifs a la nature de l'audit et a sa priodicit et aux procdures de suivi de l'application des recommandations contenues dans le rapport d'audit.
1.5
Conclusion
Le premier chapitre a mis en uvre les enjeux de la scurit, les objectifs et la dmarche de laudit technique dune faon simple et gnrale, enfin les lois relatives la scurit en Tunisie. Le chapitre suivant tude de lexistant va prsenter le systme dinformation de MTC.
~ 11 ~
Chapitre 2
tude de lexistant
Avant dentamer le cycle de laudit, il est ncessaire de faire la reconnaissance de linfrastructure du systme dinformation de MTC ainsi que les moyens mis en uvre pour assurer sa scurit physique et logique.
~ 12 ~
2.1
P R S E N TAT IO N D E L O R G A N IS M E D A C C E U I L
~ 13 ~
domaine de la poste, des tlcommunications et de la technologie de l'information, laborer des normes techniques et encadrer les programmes de la recherche et les activits industrielles en vue de leur adaptation aux besoins du secteur,
laborer des plans et des tudes stratgiques dans les domaines des
tlcommunications et postal,
technique et financier,
activits du ministre,
2.1.2 Organigramme :
2.1.2.1 Le cabinet :
le bureau d'ordre central, le bureau d'information, d'accueil et des relations publiques, le bureau de suivi des dcisions du conseil des ministres, des conseils
le
bureau
charg
du
systme
oprationnel
de
secours
de
~ 14 ~
le bureau des affaires gnrales, le bureau de la coopration internationale, des relations extrieures et
du partenariat,
le bureau de l'encadrement des investisseurs et des agrments, le bureau de la gestion des documents et de la documentation, les comits consultatifs, l'inspection gnrale des communications.
la direction des affaires administratives et financires, la direction des affaires juridiques et du contentieux, la direction de la formation et de l'action sociale et culturelle.
la direction des techniques des tlcommunications, la direction des techniques postales, la direction des technologies de l'information.
Les services du secrtaire d'tat charg de l'Informatique et de l'Internet et des Logiciels Libres :
la direction gnrale de la stratgie et de la planification, la direction de suivi de l'informatisation, la direction de la coopration internationale et des projets innovants.
~ 15 ~
mme le dveloppement de lutilisation de linformatique au niveau de diffrents services du ministre, informatiques, la fixation de besoins en matire informatique et participation lexploitation et la maintenance des quipements et des programmes
llaboration des cahiers des charges des appels doffres pour lacquisition dquipements informatiques, recyclage, la participation llaboration des programmes de formation et de
~ 16 ~
2.2
Dans cette partie nous allons identifier tous les lments et les entits qui participent au fonctionnement du Systme informatique.
informations suivantes :
~ 17 ~
Serveur backup Mail Serveur Antivirus rseau Symantec Norton Serveur Mangement FW Serveur Sygec Serveur WSUS Serveur de Bibliothque virtuelle
Windows XP SP2
X.Y.Z.T/24
Systme Antivirus Console dadministration de Pare-feux Application de Gestion des relations avec citoyens Mise jour Windows Application darchivage lectronique Gestion lectronique des Fax
X.Y.Z.T/24
Windows XP SP2
X.Y.Z.T/24
X.Y.Z.T/24 X.Y.Z.T/24
X.Y.Z.T/24
Serveur Fax
X.Y.Z.T/24
2.2.1.2 Inventaire des Logiciels et systmes dexploitation : Les applications exploites par le Ministre sont dfinies comme suit :
Tableau 2.2 Inventaire des applications Dveloppement : Les applications Exploitations externe/interne Systme de gestion du courrier Sygec Le logiciel permet de grer les courriers Arriv / Dpart Application permet la gestion intgre des INSAF ressources humaines et de la paie du personnel de ltat RACHED Application pour lautomatisation des procdures relatives aux missions effectues ltranger par Externe Externe
Externe
~ 18 ~
les agents de ladministration Systme de gestion des requtes des citoyens SYGER Application qui assure la gestion et le suivi des requtes dposes par le citoyen dans les bureaux des relations avec le citoyen dans le ministre Externe
ADAB Gestion des biens mobiliers de ltat MANKOULET Gestion des stocks de lAdministration MAKHZOUN
Externe
Application de gestion des stocks des produits tenus en stock dans les magasins du ministre
Externe
Application de gestion des stocks des produits tenus en stock dans les magasins du ministre
Externe
Lotus Domino
Est un produit IBM qui fournit une plateforme de messagerie lectronique Intranet Un logiciel client pour la gestion de messagerie lectronique en Intranet Application Web qui donne la possibilit aux employs daccder via un client web aux messageries lectroniques Une application web permettant la constitution
Externe
Lotus Notes
Externe
Externe
Bibliothque virtuelle
dune archive numrique des livres et des magasines exposs dans les bibliothques des organises sous tutelle Serveur ddi lenvoi et la rception des fax de Ministre.
Interne
Fax
Interne
~ 19 ~
Tous les htes du rseau utilisent des adresses IP prives de classe A (10.0.x.0/24) avec un masque rseau de classe C. Le rseau Interne est segment en 8 sous-rseaux : Tableau 2.3 Plan d'adressage de MTC Adresses Rseau Zones X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Y.Z.T/24 Postes utilisateurs zone DGTC Postes utilisateurs zone inspection Zone des serveurs en exploitation Postes utilisateurs zone DAAF Postes utilisateurs zone juridique Postes utilisateurs zone Btiment Postes utilisateurs zone cabinet Postes utilisateurs Rseau DI
Interfaces
2.3
Architecture de rseau :
~ 20 ~
2.3.1 Synoptique
Toute linformatique est relie un rseau de type Ethernet, cest un rseau local moderne, 100% commut, avec des dbits levs (100/1000 Mb/s). La topologie du site est en toile tendue, le rseau interne est segment physiquement en 8 sous-rseaux, et chaque segment sous rseau est reli un nud central (Commutateur N3 de marque 3com et de modle Core Builder 3500) via des liaisons de type fibre optique. Le rseau interne est reli au rseau Internet travers une liaison de type LS avec un dbit 2 Mb/s. Dernirement, Ce dbit a t augment jusqu' 10Mb/s avec une liaison fibre optique. Le rseau est reli avec des sites distants (des sites des organismes sous tutelle tels que SEILL, ONT, OPT, CNI) via des liaisons permanentes hauts dbits (lignes spcialises avec un dbit qui varie entre 128 ko/s et 512 ko/s). Toute larchitecture du rseau est autour dun doublet de pare-feu (qui fonctionne en mode Clustering) ayant 8 interfaces Fast Ethernet :
une interface qui relie le rseau intranet, une interface qui relie la liaison internet, une interface qui relie les sites distants, une interface qui relie le segment de la zone cabinet, une interface qui relie la zone des serveurs.
~ 21 ~
~ 22 ~
~ 23 ~
acquisition dune solution matrielle de sauvegarde de donnes Wooxo Security Box : qui comprend 2 disques (chacun est de capacit 512Gb), il est administrable via le web, il est scuris contre les risques majeurs tels que : le feu, linondation et le vol,
Figure 2.3 Wooxo Security Box des procdures de sauvegarde pour les des donnes sensibles sont appliques selon les frquences suivantes : pour la base de donnes de lapplication Sygec : une image sur disque est sauvegarde chaque jour, pour les Emails au niveau du serveur de messagerie : une sauvegarde est planifie tous les jours (fin de la journe) sur un poste de travail ddi pour backup Mail, pour la configuration du firewall : une sauvegarde chaque jour de la configuration, et une sauvegarde des logs est assure chaque mois, afin dassurer la continuit des services et viter larrt des services mme partiellement en cas des problmes (panne matrielle, crash disque..), une certaine redondance matrielle a t constat notamment au niveau des firewalls ainsi quau niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.
~ 24 ~
~ 25 ~
Chapitre 3
Audit technique
Dans ce chapitre, nous aboutissons aux tests techniques. Ces tests sont dans le but dvaluer le niveau de scurit de MTC et dvoiler les dfaillances et les faiblesses de ce systme informatique. Pour cela, des outils open source et propritaires ont t utiliss.
~ 26 ~
3.1
Comme il est indiqu dans le premier chapitre Prsentation et dmarche de la mission daudit , des tapes ont t fixes. Ces tapes sont : audit rseau, audit de larchitecture du rseau, audit des systmes, audit des applications.
Aprs des runions avec notre encadreur, des outils ont t choisis pour effectuer la mission daudit. Ces outils seront mentionns dans les paragraphes suivants.
3.2
Audit rseau
Cette tape consiste dcouvrir le rseau cibl. En effet, laudit rseau est une tape primordiale. Elle consiste rcolter des informations panoramiques sur le rseau.
3.2.1
Dans cette tape, nous avons utilis des outils de reconnaissances de rseau tels que Networkview, Autoscan et LanSurveyor :
Logo
Networkview
rseau : en quelques minutes, il dcouvrira tous les nuds TCP/IP et dessinera une carte graphique (itinraires compris) en utilisant les informations DNS, SNMP et les ports TCP7
~ 27 ~
Cest un outil capable de dtecter un rseau local (LAN ou WAN), LanSurveyor et fournit un diagramme trs facile visualiser, interprter et enregistrer en tant qu'image ou exporter vers Microsoft Visio.8
Autoscan
votre rseau. Ce programme vous permet de faire une recherche et de dcouvrir automatiquement votre rseau9
Retina Wifi Scanner permet de dtecter des rseaux sans fils Retina Wireless Security Scanner environnants. Le logiciel est galement prvu pour dterminer les vulnrabilits dun rseau dentreprise. Un rapport dtaill est gnr la fin de lexamen.10
Aprs balayage de Rseau de MTC voila la cartographie du rseau de MTC laide de Networkview :
8 9
~ 28 ~
D'ailleurs, cest la cartographie de segment des serveurs laide de mme logiciel. Voila le rsultat enregistr :
~ 29 ~
Daprs cette figure, nous avons pu dterminer le systme dexploitation dune machine ainsi que ses ports ouverts. Nous pouvons mme avoir des informations sur des serveurs avec des requtes SNMP, tel que la dure de mise en marche de serveur :
Figure 3. 8 Rponse dune requte SNMP sur un serveur Nous constatons que la rcolte des informations est assez simple et facile. En effet la rcolte des informations via SNMP nous a permis de dterminer le nom de serveur, ainsi que sa dure de mise en marche. Dautre part, une dcouverte des rseaux sans fil WAN a t faite. Ci-dessous les rsultats dgags avec Retina Wireless Security Scanner.
~ 30 ~
Daprs la figure prcdente, nous constatons que tous les rseaux WiFi sont verrouills avec la cl de type WEP Aprs une runion avec le RSSI, nous avons t inform que : pour des raisons de scurit, la stratgie de plan dadressage est statique il ny a pas un document formel de politique de scurit, les utilisateurs ne peuvent pas changer leurs mots de passe de compte il ny pas un domaine.
administrateur,
3.2.2
Cette phase est importante. Elle sert dterminer lensemble des protocoles qui circulent sur le rseau. Pour cela, un outil a t employ: Tableau 3. 6 Outils d'analyse de trafic rseau
Outil Description Logo
Lanalyse de trafic a t effectue entre 11h:30 12h:30 et avec un rgime dutilisation normale. Les rsultats sont comme suit : Tableau 3. 7 Statistique de capture
Nom
Nombre total des octets Nombre total des paquets Nombre total des paquets de diffusion (Broadcast)
Valeur
218,324009 58,071 11,877
11
~ 31 ~
Daprs ce tableau, nous notons la transition de 208,21 Mo sur notre console de test.
~ 32 ~
Figure 3. 12 Protocoles UDP Daprs ces deux graphes, nous remarquons la transition des protocoles HTTP, HTTPS, netbios-ns. Dautres protocoles ont t trouvs et qui doivent tre vrifis par le RSSI. A titre dexemple les protocoles SSDP et XFER.
3.2.3
Dans cette partie, nous commenons effectuer les tests des quipements rseau tels que les quipements de routage et de commutation. Bien entendu, ces tests doivent tre assists par un ladministrateur rseau pour nous viter de commettre des erreurs. Ces erreurs peuvent ventuellement rendre les serveurs indisponibles.
~ 33 ~
Pour raliser ces tests, nous avons utilis des outils open source et commerciaux que nous prsenterons ci-dessous : Tableau 3.8 Liste des outils de scan rseau Outils Description
GFI Languard Network Security Scanner permet de
Logo
GFI Languard
dtecter les failles de scurit et les intrusions dun rseau afin de pouvoir les corriger.12
Nmap ( Network Mapper ) est un outil open Nmap source d'exploration rseau et d'audit de scurit. Il a t conu pour scanner rapidement de grands rseaux.
Nessus est un outil de scurit informatique. Il signale
Nessus
les faiblesses potentielles ou avres sur les machines testes. Nessus permet aussi de lancer des attaques.13
En premier lieu, nous allons dterminer les systmes dexploitation de ces serveurs ainsi que les ports ouverts sur ces serveurs. Les rsultats des tests ont confirm que les postes utilisent Windows. Ceci qui valide notre partie prcdente ltude de lexistant . De mme, nous notons lexistence des systmes dexploitation Linux (Debian et Ubuntu) qui sont installs sur des serveurs. Ce type de test nous aide vrifier les mises jour et les services packs installs sur la machine.
12 13
~ 34 ~
Pour des raisons dergonomie, nous avons choisi de lancer la dtection de systme dexploitation laide de Zenmap (Nmap graphique sous Backtrack).Voil les rsultats dun serveur :
~ 35 ~
Cet accs permet une personne mal intentionne davoir des privilges plus levs. Donc, elle peut faire tout ce quelle veut. titre dexemple ce pirate peut modifier le mot de passe ou mme uploader un trojan dans la mmoire.
3.3
Audit systme
~ 36 ~
~ 37 ~
Nous remarquons une grande existence des services autoriss. Il faut donc vrifier lutilit de ses services, et poser la question suivante : est-ce que nous avons besoin de tous ces services ? O cas o nous navons pas besoin dun tel service, nous devons le dsactiver. En effet, cela peut nous mettre devant dventuelles attaques qui engendrent un dni de service (DoS) ou mme un accs non lgitime ou une exploitation. Dans notre cas, le protocole FTP est autoris sur le serveur Wooxo.
Figure 3. 18 Niveau de scurit gnrale de MTC En effet, voil le rsultat de scan de la console dadministration des deux pare-feux :
~ 38 ~
Daprs la figure prcdente, nous remarquons clairement que le compte dadministrateur de console dadministration de pare-feux est sans mot de passe. Cest impratif de dfinir un mot de passe du compte dadministrateur. Ainsi, nous devons dsactiver le compte invit.
Aprs, nous procdons un test de serveur Mail Domino Lotus laide de Nessus :
Figure 3. 20 Analyse de serveur de Mail Les rsultats indiquent six vulnrabilits critiques. Parmi ces vulnrabilits nous avons: le protocole IMAP est activ sur le serveur. Un attaquant peut utiliser Telnet
sur le serveur. Il est possible pour d'excuter un code malveillant qui entrane un dni de service de type Buffer Overflow,15 la version de Lotus Domino installe sur le serveur semble tre plus vieille que 7.0.2. Selon IBM, cette version peut tre affecte par plusieurs problmes de scurit,16
~ 39 ~
Daprs les visites effectues aux bureaux des employs, nous avons remarqu que la plupart des machines tournent sous Windows XP Service Pack 2.Donc, il faut effectuer les mises jour de service pack 3.
3.4
Audit de larchitecture
Figure 3. 21 Ports ouverts sur le pare-feu Des ports ont t dcouverts. Donc il faut les vrifi avec le RSSI. Avec Nessus, nous avons obtenu les rsultats suivants :
Figure 3. 22 Vulnrabilits au niveau de pare-feu Daprs la figure prcdente, nous avons dtect deux failles critiques. Ils sont :
~ 40 ~
supporte. Nous devons mettre niveau le systme dexploitation vers la version la plus rcente (5.0), le mot de passe daccs SSH vers le pare-feu est root . Cest le mot de passe par dfaut de systme dexploitation Linux. En principe, elle devait tre change. En utilisant loutil Putty (mulateur de terminal), nous avons russi accder au compte root du pare-feu, voil les imprims-crans :
17
~ 41 ~
La note attribue lantivirus par ce logiciel est 75 %. Cette note incomplte est due labsence dun antispyware et dun pare-feu personnel intgrs dans lantivirus.
~ 42 ~
3.5
Audit applicatif
Dans cette partie nous allons inspecter les applications implmentes par le Ministre. Larchitecture de MTC est une architecture client /serveur. Tableau 3.9 Outils daudit applicatif
Outils Description W3af ou bien encore Web Application Attack and Audit Framework, Logo
W3af
est un Framework permettant dautomatiser laudit ainsi que les attaques lencontre des applications web.18
EMS SQL Manager for SQL Server est un outil puissant dadministration et de dveloppement de base de donnes de serveur Microsoft SQL Server.19
Nous avons pris laccord de RSSI pour auditer linterface web de commutateur 3COM laide de loutils W3af. Les rsultats sont les suivants :
18 19
~ 43 ~
Nous constatons lexistence dune vulnrabilit de type Cross Site Tracing (XST). Cette vulnrabilit permet d'excuter des scripts de type JavaScript sur le site web (Par exemple : rcuprer les cookies). Nous avons examin le serveur SQL de lapplication Sygec avec loutil SQL Manager. Mais nous navons pas pu accder la base. En effet le mot de passe administrateur sa a t chang. Voil la capture :
Figure 3. 25 Audit de serveur SQL [Remarque] : Nous navons pas pu auditer lIPS car il est tomb en panne. Ladministrateur rseau nous a informs quune autre solution IPS va tre implmente dans les plus prs dlais.
3.6
Conclusion
travers cette mission daudit technique, nos objectifs ont consist identifier les problmes et les vulnrabilits, valuer la scurit de systme dinformation du Ministre. Les tests effectus taient juste des sondages de diffrents aspects techniques de SI. Mais nous devons tre conscients et prudents dans le but dliminer rellement toutes les attaques ventuelles.
~ 44 ~
Chapitre 4
Aprs le chapitre daudit technique qui nous aid dcouvrir les failles menaantes la scurit de MTC. Il est temps de rcapituler toutes les informations et bien les prsenter. De ce principe, ce chapitre prsente un rsum des oprations daudit ralises. galement, ce chapitre dvoile les solutions possibles pour protger la scurit de MTC.
~ 45 ~
Figure 4.26 Niveau de scurit gnrale de MTC Ce graphe nous illustre bien videmment le niveau de scurit lev allant jusqu' 10% et. Ce faible pourcentage ne signifie pas suffisamment les risques affronts par le Ministre. Ainsi voil notre constat technique : une politique formelle de scurit absente, larchitecture client/serveur non rpondant aux exigences de Ministre. le partage rseau est ouvert sur la majorit des machines, les comptes administrateurs des certaines machines sont sans mots de passe, ou avec un mot de passe faible. plusieurs trojans sont installs sur des machines, les services pack installs sur les machines ne sont pas jour, des connexions SNMP sont autorises sur des serveurs, des ports FTP et Telnet sont ouverts sur des serveurs, labsence dune implmentation dune solution vlan, labsence dun nom de domaine,
~ 46 ~
linexistence dun serveur log, lIPS est hors service, le trafic rseau important qui circulent sur le rseau, des comptes utilisateurs non utiliss, labsence dune solution de monitoring, labsence des cameras de surveillance dans la salle serveur, le site web de MTC est obsolte (depuis 2004), lIOS install sur les deux pare-feux est prim et non plus support, la version installe sur le serveur mail lotus comprend une faille critique, des mots de passe par dfaut ne sont pas encore changs sur certains serveurs, le client antiviral adopt par le ministre ne comprend ni un antispyware ni un parefeu personnel.
le masque dadresse rseau est de type C. Pourtant les adresses sont de la forme : 10.Y.Z.T,
labsence de mise niveau des OS de certains serveurs. LIOS install sur le Switch 3Com Core Builder est vieux. En plus, le Switch nas plus de mise jour, cela pose un danger de panne.
Enfin, Ci-dessous une figure gnre avec Gfi Languard qui illustre les types de vulnrabilits :
~ 47 ~
il faut isoler les cbles rseaux lectriques qui passent par terre dans certains bureaux, laborer une politique de scurit formelle et la faire passer tous les employs, penser implmenter une architecture SOA qui centralise linformation, donc la protge, dsactiver le partage, et ne jamais partager des donnes confidentielles sur le rseau, dans linstallation de systmes dexploitation, il ne faut pas laisser le champ de mot de passe dadministrateur vide, penser changer lantivirus implment avec un autre qui offre un antispyware et un pare-feu personnel, assurer les mises jour des services packs de Windows sur les postes de Ministre,
~ 48 ~
dsactiver le protocole SNMP v1 et le remplacer avec SNMP v3, dsactiver le port FTP sur certains serveurs, cration des VLANs pour assurer une segmentation logique, crer un contrleur de domaine pour faciliter ladministration du rseau, implmenter un serveur log qui enregistre toutes les activits rseaux, changer LIPS dans les dlais les plus prs, contrler les types des protocoles qui circulent sur le rseau, penser avoir une solution de monitoring pour surveillez toute activit malveillante, implmenter des camras de surveillance dans la salle des serveurs, redvelopper un nouveau site web de MTC qui rpond aux nouvelles technologies de web 2.0, faire la mise jour de lIOS install sur les deux pare-feu, faire la mise jour de la version Lotus installe sur le serveur mail, changer les mots de passe par dfauts des quipements rseau, liminer le Switch 3COM et le remplacer par solution pare-feu qui autorise le routage, corriger le masque rseau adopt par le Ministre, protger les machines critiques par des mots de passe au niveau de BIOS. Il faut changer le Switch 3Com Core Builder. Le premier pare-feu est libre. Il pourra faire laffaire.
~ 49 ~
~ 50 ~
Chapitre 5
Prsentation de Limesurvey
Le mtier daudit de scurit est un mtier spcialis et ponctuel. Pourtant elle
demande une trs grande connaissance dans tous les domaines informatiques. En effet tre un auditeur comptent demande beaucoup de rflexion et surtout beaucoup de temps, surtout dans la phase o nous devons faire le Questionnaire de Scurit de Systme dInformation (QSSI). Pour cela, nous avons conu une solution pour effectuer le QSSI en ligne. En effet, on va prsenter et configurer une plateforme Open Source complte et riche qui sappelle Limesurvey.
~ 51 ~
5.1
Prsentation de Limesurvey
5.1.1 Dfinition
LimeSurvey (anciennement PHPSurveyor) est un logiciel libre de sondage en ligne crit en PHP bas sur une base de donnes MySQL, PostgreSQL ou Microsoft SQL Server. Il permet aux utilisateurs sans connaissance en dveloppement de publier un sondage et d'en collecter les rponses. 20 Effectuer un questionnaire en ligne facilite beaucoup lopration de laudit chez lauditeur et chez lemploy aussi. Il suffit dactiver le questionnaire et faire passer le lien de questionnaire. Donc LimeSurvey est un outil en ligne qui va nous aider raliser des questionnaires ou des inventaires. En plus, il va nous permettre de collecter les rponses et calculer les pourcentages. LimeSurvey peut aussi dresser des graphes et des figures. Non seulement cela, mais il existe de centaines des fonctionnalits que LimeSurvey puisse offrir, parmi ces fonctionnalits :
nombre illimit de questionnaires en mme temps, cration d'une version imprimable d'un questionnaire, nombre illimit de groupes de questions dans un questionnaire, nombre illimit de questions dans un groupe/questionnaire, 20 types de questions diffrentes et d'autres venir, possibilit de dfinir des conditions dpendant des rponses prcdentes (branchement dans le questionnaire), rutilisation des jeux de rponses personnalisables, questions importables pr dfini, questionnaires d'valuation, nombre illimit de participants un questionnaire, questionnaires anonymes ou publics ainsi que questionnaires accs restreint, enregistrement public pour les questionnaires, envoi d'invitations et de rappels par mail,
20
~ 52 ~
possibilit pour un participant de conserver ses rponses pour continuer le questionnaire plus tard, questionnaires bass sur des cookies ou des sessions, diteur de modles pour crer votre propre reprsentation de vos questionnaires, interface d'administration simple et complte, possibilit de saisie directe de donnes, dates de dbut et de fin de validit des questionnaires, fonctionnalits pousses d'importation et d'exportation au format texte, CSV, PDF, SPSS, queXML et MS Excel, analyse simple et graphique avec possibilit d'exportation.
5.2
Installation
Linstallation de Limesurvey na pas t facile vu la multitude des paramtres existante. En bref, voil les tapes suivre pour installer LimeSurvey : tlchargez LimeSurvey sur le site LimeSurvey, dployer le dans la racine de votre espace d'hbergement, l'installation de LimeSurvey ncessite a priori peu de configuration, il faut avoir accs une base de donnes autorisant php4 et php5, (SQL le plus souvent), priori, un script de LimeSurvey cre une nouvelle base de donnes avec les tables ncessaires, si vous n'avez pas les droits suffisants pour crer une base de donnes MySQL sur le serveur il faudra contacter votre administrateur afin qu'il crer cette nouvelle base de donnes pour vous en vous donnant les droits requis, ensuite, il vous faut le nom d'utilisateur et le mot de passe de cette base de donnes pour diter et configurer le fichier config.php situ la racine du rpertoire contenant LimeSurvey.
~ 53 ~
5.3
Figure 5.30 Les niveaux ddition Cet icne permet de crer le questionnaire qui en principe est compos de trois niveaux renseigner: un nom de sondage (Survey), un groupe de questions (groups) et des questions.
~ 54 ~
Le premier niveau des outils comporte des lments relatifs au questionnaire luimme. Le deuxime niveau permet d'diter le groupe de question. Le troisime niveau est pour diter les questions.
5.4
gratuit (www.000webhost.com) en attendant son hbergement chez lATI. Ladresse de site est : http://www.qssi.herobo.com/. Voila limprim cran de linventaire ralis dernirement :
~ 55 ~
Dans une autre partie, nous avons ralis le questionnaire daudit de scurit. Un imprim cran de la partie politique de scurit a t captur :
Figure 5.33 Laccueil du questionnaire Nous avons essay des rponses arbitraires pour avoir les graphes. Voil les rsultats obtenus :
~ 56 ~
5.5 Conclusion :
Dans ce dernier chapitre nous avons prsent une nouvelle moyenne qui va nous aider dans laudit de scurit de nimporte quelle entreprise. Bien entendu, ce questionnaire reste valide tout le temps.
~ 57 ~
CONCLUSION GNRALE
ce stade-l, notre mission daudit technique a pris sa fin. Durant les trois mois de stage dans le Ministre, nous avons essay de mettre en valeur les vulnrabilits humaines ou matrielles qui menacent la scurit de MTC. Dans un premier lieu, nous avons dfini notre mission et nos objectifs. Par la suite, nous avons prsent la dmarche daudit technique. Autrement dit, nous avons dtaill toutes les tapes de laudit technique, ainsi que les objectifs. Dans un deuxime lieu, nous avons prsent lentreprise daccueil. Ensuite, nous avons prcis les serveurs et les applications qui fonctionnent dans le MTC. Dans le troisime chapitre, laudit technique a t effectu. En effet, cette phase a lev le voile sur les failles techniques. Donc grce aux rsultats de cet audit, nous avons pu rdiger les recommandations ncessaires. Enfin, nous avons install et paramtr la plateforme LimeSurvey. Cette dernire tape va aider normment lauditeur dans son travail. Aprs tout, nous devons noter que lide quun systme puisse tre entirement scuris est une fausse ide. Pour conclure, nous esprons que nos recommandations taient utiles, mais encore adopt par le Ministre des Technologies de la Communication.
~ 58 ~