Professional Documents
Culture Documents
Anne
2014
[TITRE DU DOCUMENT]
[Sous-titre du document]
THESE
PROFESSIONNELLE
Approche pragmatique
pour la scurisation des
environnements Windows
en entreprise
(v1.01)
test
[Titre du cours]
RESUME
Dans un monde de plus en plus connect et dpendant dInternet, nombreuses sont les entreprises
se soucier de la scurit de leurs systmes dinformations. Sous cet angle, de nombreuses normes
sont utilises par les entreprises afin de les accompagner dans cette dmarche de renforcement des
systmes dinformations, et plus prcisment des systmes dexploitation. Les propositions
apportes par la norme ISO 27002 viennent de ce fait fournir un grand nombre de recommandations
permettant de satisfaire aux standards de scurit les plus pointus.
Toutefois, la dclinaison de ces standards en catalogues dactions concrtes noffre pas un recul
suffisant afin didentifier les vecteurs dattaques utiliss par les cybercriminels. Les informations
proposes sont certes pertinentes mais il est difficile den dduire des actions concrtes permettant
de rduire le niveau dexposition aux risques des systmes dexploitation Windows.
Pour rpondre cette problmatique, une approche pragmatique inspire des attaques est alors
soutenue. Elle part du principe quen connaissant les vecteurs dattaques utiliss par les pirates ainsi
que leurs contre-mesures respectives, il est possible de rduire drastiquement les menaces pesant
sur les systmes dexploitation. Pour cela, le paradoxe des anniversaires est sollicit afin de fournir
une rponse mesure et adapte aux contraintes budgtaires des entreprises. Le deuxime concept
abord revient saccorder que les cots de mise en place dune stratgie de scurit sont moindres
sils sont instruits ds les premires phases de sa conception. En effet, btir un systme dinformation
en y incorporant la scurit ds sa construction sera toujours moins onreux que de revoir et altrer
sa structure une fois celle-ci aboutie.
Malgr ces propositions, force est de reconnatre que la technique ne peut suffire elle seule
combattre les cybercriminels. Ds lors, il convient dinclure dans cette dmarche dautres acteurs et
moyens afin de proposer une rponse globale aux problmatiques de scurit rencontres par les
entreprises. Le dveloppement scuris, la sensibilisation des utilisateurs, une aptitude proactive de
rponse aux attaques ainsi quune supervision globale deviennent alors des lments clefs dans la
mise en place dune telle stratgie.
Mots clefs : ISO 27002, proactivit, paradoxe des anniversaires, scurit mesure, contre-mesure,
Windows
ABSTRACT
In a world more and more connected and with high Internet dependence, many companies are
worried about the security of their information systems. Seen from this viewpoint, many standards
are used by companies to drive them in this process of operating system hardening. The proposal
made by ISO 27002 provides a large number of recommendations to meet security standards.
However, the itemisation of these standards in actions plans doesnt provide sufficient perspective
to identify attacks vectors used by hackers. Information provided are well relevant but its difficult to
deduce concrete actions to reduce the level of risk exposure of Windows Operating systems.
To address this problem, a pragmatic approach based on attacks is used. It assumes that knowing
vectors attacks used by hackers and their respective counter measures, its possible to drastically
reduce the threats on operating systems. In this way, the birthday paradox is used to provide a
measured and appropriate approach for companies with budgetary constraints. The other concept
address agree that the cost of implementing security are lower if they are educated in the early
conception phase.
Despite this propositions, we must recognize that technology cant meet alone to fight against
hackers. Therefore, other actors and tools must be included in this process to provide a
comprehensive response to the current security problems faced by companies.
Key words : ISO 27002, proactivity, birthday paradox, measured security, counter measure, Windows
SOMMAIRE
INTRODUCTION ............................................................................................................................5
1.
2.
Problmatique .................................................................................................................... 23
3.
Justification de la problmatique......................................................................................... 24
3.1
3.2
3.3
4.
Concept .............................................................................................................................. 26
4.1
4.2
4.3
4.4
4.5
4.6
5.
CONCLUSION ............................................................................................................................. 41
ANNEXES ......................................................................................................................................0
REFERENCES BIBLIOGRAPHIQUES ..................................................................................................2
INTRODUCTION
Ces vingt dernires annes ont t le symbole dune importante vague de mutations de la finalit des
attaques informatiques : vol dinformations, usurpation didentit, espionnage industriel, dni de
service, hameonnage, social engineering, etc. Paralllement, et face linexorable recrudescence de
ces attaques, nombreux sont ceux abdiquer et accepter le fait que cette lutte ingale qui oppose
les entreprises aux cybercriminels est une guerre perdue davance. Les cybercriminels sont en effet
rapides, agiles et innovants tandis que les directions des systmes dinformation sont contraintes par
des budgets, des analyses de rentabilit, des niveaux de satisfactions des utilisateurs, etc.
Pour remettre la balle dans leur camp, les entreprises ont alors dvelopp de nombreuses stratgies,
mrement rflchies et tudies afin de scuriser leurs systmes dinformations. ISO 27000, SOX,
EBIOS, COBIT et EBIOS font partie de ces standards que grand nombre dentreprises ont aujourdhui
adopts. Toutefois, lvolution perptuelle et rapide des menaces semble rvler les limites de ces
stratgies, en plaant les systmes dexploitation au cur dun rel problme. En effet, de par leurs
rles et les services quils dlivrent, ces derniers font lobjet de nombreuses convoitises par les
cybercriminels. Vritable patrimoine informatique, ils fournissent laccs une multitude
dinformations dont lexfiltration et la publication pourraient mettre en danger la prennit de
lentreprise. Mais dfaut de moyens suffisants ou en raison des investissements trop importants
que requirent ces standards, de nombreuses entreprises se sont rsilies carter la scurit,
rendant leurs systmes encore plus vulnrables.
Dans un premier temps, et aprs avoir tudi lorigine et les causes des attaques informatiques, nous
expliquerons comment les systmes dexploitation Windows, Mac OS et Linux ont ragi pour
accompagner les entreprises dans le renforcement de leurs systmes dexploitation. Dans un
deuxime temps, les problmes et limites apports par lusage de la norme ISO 27002 dans le
renforcement des systmes dexploitation seront voqus. Lobjectif final consistera alors proposer
une rponse globale moins onreuse et plus pragmatique pour contrer les attaques destination des
systmes dexploitation Windows.
Remarque : les rfrences bibliographiques sont indiques par un chiffre 1 et se situent la fin du
document. Les dfinitions de mots sont indiques par une lettre a et sont expliques en bas de chaque
page du document.
1. Etat de lart
1.1 Un monde de plus en plus connect
En une vingtaine dannes, linformatique a connu un essor considrable aussi bien auprs des
particuliers que des professionnels. Paralllement, la croissance et le dveloppement dInternet ont
fait de linformatique un outil quasi indispensable pour les 2,4 milliards dinternautes dans le monde1.
Cette situation profite galement aux entreprises qui sont dsormais de plus en plus nombreuses
offrir des services en ligne disposition des consommateurs. Ce march a dailleurs t valoris 45
milliards deuros en 20122, avec une hausse de 20% par rapport lanne prcdente.
Chiffre daffaires annuel mondial des
ventes par Internet (en milliards d)
60,5
52,3
45
37,7
31
25
20
15,6
11,6
2006
2007
2008
2009
2010
2011
2012
2013
(prv.)
2014
(prv.)
Le succs des entreprises telles que Boursorama, Netflix et Amazon atteste dailleurs de ce nouveau
mode de consommation o lacheteur peut se situer lautre bout du monde et commander un
produit ou un service en quelques clics simplement. Les nouveaux usages du cloud , des rseaux
sociaux et de la consumrisation de linformatique (dit BYOD a) soutiennent galement cette
tendance. Toutefois, le dveloppement dInternet associ la croissance des services marchands
nest pas sans poser de problmes.
BYOD ( Bring Your Own Device ) : utilisation dquipements personnels tels que les tablettes ou
smartphones dans un contexte professionnel
6
Vulnrabilit : proprit intrinsque dun actif. En informatique, faiblesse prsente au sein dun
logiciel ou dun systme pouvant tre exploite afin de porter atteinte lintgrit et la
confidentialit dun systme dinformation
b POS ( Point of Sale ) : terminaux de paiement prsents en magasin
7
a
b
un oprateur aux systmes SCADA des centrales nuclaires. Le virus sest ensuite propag sur le
rseau via plusieurs vulnrabilits prsentes au sein de Windows. Linfection a pu tre ralise en
partie grce au vol de deux certificats lectroniques appartenant aux socits Tawanaises JMicron
et Realtek. Le ver a ensuite exploit plusieurs vulnrabilits prsentes au sein des automates
Siemens, entranant la paralysie des centrifugeuses et des racteurs des centrales.
On soulignera au passage que les 0 daya constituent galement un vecteur dattaque important.
Pour lanne 2013, ces exploits concernaient 39% le navigateur Internet Explorer de Microsoft et
23% le logiciel Java. Le schma9 de la page suivante reprsente la part de ces vulnrabilits par
application tierce.
TLS ( Transport Layer Security ) : protocole de transport permettant lchange de donnes sur
un canal scuris.
10
Avril 2008
Juillet 2008
Faille
Rebouclage
DNS
Mai 2014
Faille DNS
mondiale de
Kaminsky
Mai 2014
Faille TLS
3shake
Faille DNS
SRTT
Destruction
Pas de cible spcifique
Vecteurs
dattaque
Courriel
Dtection
Impact
Indisponibilit ou perte de
donnes
Exemples
2005-2010
Appt du gain
2010-2013
Attaques cibles (APT)
Ce constat concernant la finalit des attaques peut galement tre associ lvolution des
techniques utilises par les pirates informatiques. Lextrait du rapport de Verizon3 prsent en annexe
1 rsume cette volution. On y constate que les techniques ayant connu la plus importante croissance
en 2013 sont :
1.
2.
3.
4.
5.
6.
A titre dexemple et afin didentifier les enjeux du cybercrime, un extrait des tarifs ngocis par les
pirates informatiques est prsent ci-dessous. On y constatera une chute drastique des prix ces
dernires annes, probablement en raison de larrive constante de nouveaux malwares ou dun
march satur.
13
Fin 1999
Fin 2001
2003
2005
Windows
Update
Windows
2000
Sobig &
Blaster
Microsoft
Update
1999
2001
Melissa
Code Red
& Code
Red II
Dbut
2002
Mmo de
Bill Gates
2004
Windows XP
SP2 & Cycle
SDL
14
Redmond dinvestir dans la scurit de ses produits. On remarquera que contrairement Apple,
Microsoft distribue ses correctifs le 2me mardi de chaque mois, Apple prfrant en effet pousser
ces correctifs lors du dploiement de nouvelles fonctionnalits au sein de son systme. La forte
intgration entre les systmes dexploitation serveurs (Server 2003, 2008, 2012) et les systmes
dexploitation clients (XP, Vista, Seven, 8) constitue galement un des arguments favorisant son
adoption au sein des entreprises.
Outre ce constat, de nombreuses vulnrabilits sont rgulirement dcouvertes au sein des systmes
dexploitation Windows. Celles-ci sont classifies en deux catgories :
Produits Microsoft : Office, Visio, Project, Internet Explorer
Systmes dexploitation : XP, Vista, Seven, Windows 8
Au cours de lanne 2013, ce sont ainsi 192 vulnrabilits qui ont t dcouvertes au sein des produits
Microsoft et 101 au sein des systmes Windows19. On constatera que Windows 8 prsente un nombre
de vulnrabilits largement suprieur en raison de linclusion du logiciel tiers Flash Player
directement au sein du systme. La rpartition de ces chiffres par systmes est dtaille la page
suivante. Les mcanismes de scurit prsents au sein de Windows sont galement pris pour cible et
sont rgulirement mis mal (cf. annexe 3).
15
192
192
192
192
192
156
102
99
XP
VISTA
102
101
SEVEN
Windows
8 (SANS FLASH)
Microsoft
Autre constat important ne pas ignorer, le taux dinfection par machine. Pour le troisime trimestre
de lanne 2013, 5,3% des machines sous Vista SP2 taient infectes par un malware. Ce taux a
considrablement augment lanne suivante en passant 32,4%. A noter que ces chiffres sont
fournis par Microsoft sur une base statistique de 1000 ordinateurs. Dune manire logique, on
constatera que les systmes rcents sont moins infects, probablement en raison de leur prsence
minoritaire ou de leurs nouveaux mcanismes de scurit pas encore djous.
SSLa/TLS sont utiliss afin de vrifier lidentit du serveur et chiffrer les donnes de faon garantir
lintgrit des communications. Connue sous le nom de Heartbleed29 , cette faille a affect plus
de 500.000 sites (dont Google, Dropbox et Facebook) ainsi que de nombreux quipementiers ou
fournisseurs de solutions tels que VMware, Akamai ou Juniper. Cette situation nest pas un cas isol
puisqu peine deux mois plus tt une vulnrabilit surnomme Goto fail30 tait dcouverte au
sein de limplmentation de cette mme bibliothque sur les systmes iOS. Pire encore, de multiples
failles31 (dont une permettant de provoquer un dni de service) ont fait surface deux semaines plus
tard au sein de la distribution Debian.
Fvrier 2014
5 juin 2014
15 oct. 2014
Faille GoTo
Fail sur iOS
Faille OpenSSL
DTLS
Faille Poodle
SSL
7 avril 2014
4 juin 2014
9 dc. 14
Faille OpenSSL
Heartbleed
Faille GnuTLS
Faille Poodle
TLS
24 avril 2014
Mai 2014
Faille TLS
3shake
Ces vnements associs aux rcentes vulnrabilits32 dcouvertes au sein du noyau de Linux ont
remis en question le mode de fonctionnement du logiciel libre dont le dveloppement est assur en
grande partie par des contributeurs volontaires. De la mme faon, le rachat de certains logiciels
libres par des acteurs majeurs du logiciel propritaire a souvent entran de vastes remous et
questionnements concernant lavenir du logiciel libre. A tel point que certains dentre eux ont prfr
fonder un nouveau projet similaire en parallle. Ce fut dailleurs le cas de la communaut du logiciel
MySQL qui, suite son rachat par Sun Microsystems lui-mme rachet par Oracle, dcida de crer sa
propre alternative nomme MariaDB. Et il en fut de mme pour la suite bureautique OpenOffice qui
donna naissance au projet Libre Office33.
1.5.2 Mac OS
Dans une volution du systme Unix, mais avec un esprit se rapprochant de Windows, se situe le
systme dexploitation Mac OS dApple. Longtemps considr comme plus sr que son ternel
concurrent Windows, ce systme a vu son image de zro virus se ternir ces dernires annes en
raison du nombre croissant de virus et autres malwares laffectant. En effet, Mac OS a longtemps
conserv des parts de march minoritaires. Mais avec les sorties successives de liPhone et de liPad,
Apple a russi changer la donne en sduisant un public beaucoup plus vaste, augmentant ainsi ses
parts de march de 5,25% en 2010 7,63% en 201434.
SSL ( Secure Socket Layer ) : protocole de transport permettant lchange de donnes sur un
canal scuris
18
2004
2011
2012
Renepo
MacDefender
Flashback
2006
2010
Leap
Boonana
2014
LaoShu
Appetite
Coin Thief
2007
2008
Jahlav
MacSweep
1.6.1 Panorama
Il existe un grand nombre de mthodes, normes, rfrentiels et modles dont il convient de clarifier
le rle et le cadre dapplication. A titre dinformation, quelques exemples sont fournis :
Normes : document traitant sur un sujet donn en accord avec la rglementation en vigueur :
o ISO 27000
o ISO 9001
o ISO/IEC 12207
o SOX ( Sarbanes et Oxley )
20
Stratgie dentreprise
Dfinition dun
primtre
Besoin
Analyse du SI
Etude de maturit
Audit et test
dintrusion
Identification des
risques
Risques avrs
Exigences
Exigences techniques
Exigences
organisationnelles
Risques
Catalogue technique
Application des
mesures
Action
La norme ISO 27000 peut tre dcompose dans les normes suivantes :
27001 : dfinit les conditions la mise en uvre du SMSI
27002 : code de bonnes pratiques pour la scurit de linformation. Il sagit en ralit dune
volution de la norme ISO/CEI 17799:2005.
27003 : fournit une approche oriente processus pour la russite de la mise en uvre du SMSI
27004 : permet de mesurer le niveau defficacit du SMSI ainsi que celui de la scurit de
lentreprise concerne
27005 : mthode de gestion des risques en scurit de linformation qui selon le CLUSIF, tait
utilise par 35% des entreprises en 2010
27006 : fournit des exigences pour les organismes procdant laudit et la certification des
SMSI
27007 : repose sur la norme ISO 19011 fixant les lignes conductrices pour laudit des systmes
de management de la qualit et du management environnemental
Le schma ci-dessous prsente les diffrents composants de la norme ISO 27002 (versions 2005 et
2013) qui fera office dune rflexion par la suite :
22
2. Problmatique
La prsence de vulnrabilits associe la hausse des attaques informatiques est un constat
quaucune entreprise, mme des plus petites, ne peut se permettre dignorer. En France, le cot de
la fuite dinformations est estim 2,55 millions deuros39 en 2013. A ce sujet, la sant, lducation
et la pharmacie sont les secteurs o le cot par attaque est le plus lev40. Par ailleurs, quand on sait
que 52% des entreprises sont sans dfense41 face aux attaques informatiques et que les vecteurs
dintrusion utiliss sont dans 40% des cas des malwares et 29% du social engineering 38, il nest
pas sans dire quil est urgent dagir. Les infrastructures sont certes un lment crucial, mais cest
avant tout lutilisateur quil convient de sensibiliser tant donn que 84% des fuites dinformations
ont t provoques par un salari38, de faon dlibre ou non. De la mme faon, 76% des intrusions
rseau42 exploitent des informations didentification faibles ou voles (mots de passe, login, etc.)
des employs (cas deBay en mai 201443) ou des prestataires (cas de la socit Comodo en 201144).
Partant de ces constats, les entreprises ont mis en uvre les moyens ncessaires afin renforcer la
scurit de leurs systmes dinformation. A cet gard, la norme ISO 27002 est lheure actuelle la
norme la plus utilise rpondant cette problmatique. Toutefois, on peut admettre que son
utilisation peut prsenter certaines limites, et plus particulirement lors de la mise en place dune
stratgie de scurisation des systmes dexploitation, et dans notre cas, des systmes dexploitation
Windows. La plus srieuse est quelle ne permet pas de dfinir des actions concrtes appliquer aux
systmes selon le contexte de lentreprise. Aussi, il est difficilement concevable dappliquer
lensemble des mesures proscrites sans tre capable dvaluer leur cot et leur capacit lutter
contre les menaces. La seconde limite concerne les cycles de renouvellement de la norme ISO, jugs
beaucoup trop longs pour sadapter au domaine des NTICa. En effet, lavant-dernire norme ISO date
de 2005 et la dernire de 2013, tout en sachant que celle-ci ne prend pas en compte les thmatiques
spcifiques lies au cloud. Ces cycles sont donc beaucoup trop longs pour tenir compte de lvolution
rapide des menaces qui psent sur les systmes dexploitation. Pour terminer, les ressources
humaines et financires ncessaires la mise en place de ces stratgies peuvent constituer un frein
potentiel leur adoption. Cette problmatique peut sembler bnigne pour de grandes entreprises,
mais elle ne lest point pour des PME o les budgets sont assez restreints. Or rappelons que toutes
les entreprises, peu importe leur taille, se doivent aujourdhui dtre concernes par la scurit de
leurs systmes dinformation.
On peut alors sinterroger sur la capacit de ces normes faciliter lapplication dune stratgie de
scurit relative au systme dinformation et, dans notre cas, relative aux systmes dexploitation
Windows. Do la problmatique suivante :
3. Justification de la problmatique
Outre le fait de remettre en question lefficacit des politiques de scurit prsentes dans la norme
ISO 27002, le paragraphe prcdent soulve dautres problmes quil est possible de qualifier
darrire-plans . Issus principalement de retours dexpriences, ces derniers viennent justifier et
complter la problmatique voque afin doffrir une rponse plus complte et plus pragmatique.
1.
2.
3.
4.
5.
6.
7.
8.
Autant dire que la lecture de ces lignes suffit effrayer la plupart des administrateurs. Et cela sans
compter la charge de travail mensuelle que ces actions peuvent impliquer. Or il convient de
reconnatre que les cots lis ces mises jour ne sont pas la porte de toutes les entreprises.
Nonobstant, si lon compare le cot rsultant dune fuite de donnes ayant pour origine lexploitation
dune vulnrabilit et celui relatif lapplication des correctifs, les socits pourraient rapidement y
retrouver leur compte. Lexemple le plus frappant concerne la socit Target qui a dj dbours
plus de 200 millions de dollars48 suite une intrusion perptre sur son systme dinformation fin
2013.
SPOF ( Single Point of Failure ) : point de cassure unique pouvant entraner une panne total sur
le systme concern
25
4. Concept
4.1 Les systmes ne sont jamais srs
A lheure dentamer une rflexion concernant le renforcement de la scurit des systmes
dexploitation Windows apparat la question suivante : ces systmes ne sont-ils pas censs tre dj
srs ? Le premier concept ici abord est alors trs simple et revient saccorder que tous les systmes
dexploitation, aprs leur installation et leur intgration un systme dentreprise, ne sont pas srs.
Aucun systme, mme des plus fiables, ne doit tre considr comme sr.
Tous doivent faire ltat dun renforcement de scurit mesur et cela ds
les premires phases de leur intgration ou de leur dveloppement.
Pour mieux comprendre cette affirmation, il convient de partir du principe que lensemble des
systmes dexploitation Windows sont livrs tels quels, sans quaucun durcissement ne soit appliqu.
Ce choix peut sexpliquer par plusieurs raisons. :
La premire est que la scurit est souvent considre comme une tche lourde et
fastidieuse, en particulier pour les utilisateurs finaux. De ce fait, les diteurs prfrent
dlguer cette tche lentreprise afin quelle ladapte au niveau de scurit impos par son
organisation.
La seconde raison concerne un problme de rtrocompatibilit. En effet, les rcents
mcanismes de scurit apparus au fils des annes nassurent malheureusement pas une
compatibilit avec les anciens systmes dexploitation tels que Windows 2000, 2003 ou XP.
De ce fait, un grand nombre de ces mcanismes ne sont pas activs sur les systmes
dexploitation rcents, les exposant alors des menaces inutiles.
La troisime raison concerne la prsence inluctable de vulnrabilits constate dans la
premire partie. Il revient alors aux organisations de mettre en place les moyens
organisationnels et techniques afin de limiter leur exploitation.
La quatrime et dernire raison concerne la prsence de fonctionnalits ddies aux
particuliers au sein de ces systmes. Malgr leur grande utilit, elles savrent un vritable
flau et vecteur dattaque potentiel pour les entreprises. Il convient donc aux entreprises de
les dsactiver ds lintgration au systme dinformation.
Cest donc pour toutes ces raisons que les mcanismes de scurit fournis avec Windows ne sont pas
tous activs, ni renforcs, ni configurs. De ce fait, de nombreuses entreprises intgrent ces systmes
au sein de leur systme dinformation sans y attacher la moindre considration de scurit. Et cest
gnralement suite une attaque ou des tests dintrusion que celles-ci adopteront un
comportement plus ou moins favorable lintgration de la scurit. Mais dans de nombreux cas il
est dj trop tard : trop dapplications utilisent des protocoles abandonns, trop de changements
sont ncessaires pour rajuster la scurit du SI un niveau qualifi de satisfaisant, et le cot total
de ces changements est jug trop onreux pour justifier une demande de budgets supplmentaires
(sans compter les nombreuses coupes budgtaires provoques par le contexte conomique actuel).
26
27
Attaques
informatiques
Systmes non scuriss
Patrimoine
informatique critique
Etude
Etude des scnarios
d'attaque
Etude des contremesures
Constat
Actions
Catalogue
technique
Application des
contre-mesures
Analyse
Etude de maturit
Audit et test
dintrusion
Analyse du SI
28
120
100
80
60
40
20
1
4
7
10
13
16
19
22
25
28
31
34
37
40
43
46
49
52
55
58
61
64
67
70
73
76
79
82
85
88
91
94
97
100
29
120
100
80
60
40
20
1
4
7
10
13
16
19
22
25
28
31
34
37
40
43
46
49
52
55
58
61
64
67
70
73
76
79
82
85
88
91
94
97
100
4.6 Hypothses
Les cots de mise en place dune stratgie de scurit seront moindres sils sont instruits ds
les premires phases de sa conception ou de dveloppement
Les systmes dexploitation sont nativement peu srs et ncessitent un renforcement ds leur
intgration en entreprise
Une approche base sur le paradoxe des anniversaires permet de justifier plus facilement la
mise en place de contre-mesures aux attaques destination des systmes dexploitation
SIEM (Security information and event management) : outil de corrlation des vnements
31
5. Rponse applicable
La rponse formule la suite se base sur les concepts voqus jusquici tout en y incorporant le
facteur humain. En effet, une stratgie de scurit ne peut se limiter une approche purement
technique et ncessite obligatoirement limplication des utilisateurs autour dun processus de
sensibilisation et dorganisation. Elle doit galement reposer sur des logiciels dont le dveloppement
scuris aura pris en compte par les quipes concernes.
Le cycle SDL saffirme donc comme un processus permettant de garantir la scurit du code, tant
durant ses phases de dveloppement que de commercialisation. Dune faon plus concrte, il permet
aux diteurs damliorer la scurit de leurs produits en implmentant des processus rptitifs visant
obtenir et mesurer de faon fiable lamlioration de la scurit. Pour autant, ces procds ne
doivent pas accrotre de faon excessive les cots de dveloppement dun produit. Les retours
dexpriences de Microsoft viennent dailleurs confirmer ce point : un logiciel dvelopp de faon
scurise devra tre soumis moins de correctifs et profitera dune meilleure satisfaction de la part
de ses utilisateurs. En rsum, lapplication du SDL dans le cadre dun dveloppement permet :
a
b
Dcompos en sept parties cites la suite, le SDL a t utilis pour la premire fois pour le
dveloppement du Service Pack 2 de Windows XP.
Formation
Prrequis
Conception
Implmentation
Contrle
Sortie
Rponse
Lattaquant peut
russir lire les
messages de
lutilisateur
Lutilisateur na pas
dconnect sa
session
La validation des
donnes nest pas
effectue et entrane
une injection SQL
Forcer une
dconnexion en cas
dinactivit prolonge
Implmenter un
mcanisme de
validation des
donnes
Le cache de
lutilisateur peut
contenir le contenu
des messages
Implmenter un
mcanisme danticache
34
35
36
37
38
Audit
Activation des
stratgies
d'audit
Envoi
Transfert des
donnes vers le
SIEM
Traitement
Compression
Marquage
horaire
Corrlation
Corrlation
d'vnements
anormaux
Dans le cas des systmes dexploitation Windows, il sera ncessaire dactiver les mcanismes daudit
au travers des GPOa. Un extrait des options proposes est prsent ci-dessous :
GPO ( Global Policy Objects ) : stratgies de scurit globales utilises au sein de Windows
39
40
CONCLUSION
La mise en application et la dclinaison dune stratgie de renforcement des systmes dexploitation
savre tant bien que mal une tche lourde et coteuse. Nanmoins, les solutions proposes au sein
de cette thse ont permis daborder la scurit sous une vision plus pragmatique. Le premier concept
voqu a consist dmontrer quaucun des systmes ne doit tre considr comme sr lors de son
intgration dans un systme dentreprise. Cest pourquoi le renforcement des systmes
dexploitation doit faire ltat dune considration systmatique mais mesure lors de leur
intgration en entreprise. Le second concept saccorde quant lui rsoudre linvitable
problmatique des cots ncessaires la mise en place dune telle stratgie. Il propose dans un
premier temps linstauration de la scurit ds les phases dintgration ou de dveloppement. Il
fournit dans un deuxime temps une mthode de rponse aux attaques via la mise en place de
contre-mesures adaptes issues dun systme danalyse et de veille.
Dune manire gnrale, la rflexion propose se veut comme une amorce la scurit afin
daccompagner les entreprises dans une dmarche de scurit rapide et efficace. Toutefois, peu
dentre elles sont aujourdhui capables dentamer une telle rflexion dans la mesure o leurs
infrastructures ont t bties sur des fondations trop anciennes dont la mise niveau et les
changements quelle require ne peuvent tre considrs pour des raisons techniques et financires.
Mais si tel est le cas, on est en droit de se demander quel doit tre le facteur ncessaire ladoption
dune stratgie de scurit globale par les entreprises. Les rcents vnements concernant les
socits eBay, Orange ou encore SnapChat devraient alors faciliter linitiation dune telle dmarche.
La rponse globale propose par cette thse se veut donc comme une solution pragmatique, efficace
et peu coteuse pour permettre aux entreprises de rpondre rapidement aux nouvelles menaces
visant les systmes dexploitation Windows ou autres. La pyramide ci-dessous permet de rcapituler
les lments de rponse apports au travers dune approche similaire la pyramide de Maslow. En
dautres termes, si la base nest pas consolide, les couches suprieures seront instables ou
partiellement efficaces.
Supervision
Rponse aux
menaces
Sensibilisation des
utilisateurs
Renforcement mesur des
systmes
Stabilit
Efficacit
Dveloppement scuris
41
ANNEXES
Annexe 1 (extrait du rapport DBIR 2014 de Verizon)
p
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
p(n)
1
1,00
0,99
0,98
0,97
0,95
0,93
0,90
0,87
0,83
0,79
0,75
0,71
0,67
0,63
0,58
0,54
0,50
0,45
0,41
0,37
0,34
0,30
0,27
0,24
0,21
0,18
0,16
0,14
0,12
0,10
0,08
0,07
0,06
0,05
0,04
0,03
0,03
0,02
0,02
0,01
1,00
0,99
0,98
0,97
0,95
0,93
0,90
0,87
0,83
0,79
0,75
0,71
0,67
0,63
0,58
0,54
0,50
0,45
0,41
0,37
0,34
0,30
0,27
0,24
0,21
0,18
0,16
0,14
0,12
0,10
0,08
0,07
0,06
0,05
0,04
0,03
0,03
0,02
0,02
0,01
0,01
Probabilit de
succs des contremesures
100
100
99,49748744
98,49751269
97,01262556
95,06262304
92,67411492
89,8799205
86,71831526
83,23215183
79,46788366
75,47452267
71,30256413
67,00291202
62,62583737
58,21999956
53,83155738
49,50339197
45,27445898
41,17928179
37,24759157
33,50411503
29,9685049
26,65540386
23,57462854
20,73145726
18,12700283
15,7586507
13,62054231
11,7040841
9,998463802
8,491157701
7,168414542
6,015704666
5,0181255
4,160757324
3,428965835
2,808650407
2,286439025
1,849832578
1,487302575
Probabilit dchec
des attaques
0
0
0,502512563
1,502487311
2,987374437
4,937376961
7,325885077
10,1200795
13,28168474
16,76784817
20,53211634
24,52547733
28,69743587
32,99708798
37,37416263
41,78000044
46,16844262
50,49660803
54,72554102
58,82071821
62,75240843
66,49588497
70,0314951
73,34459614
76,42537146
79,26854274
81,87299717
84,2413493
86,37945769
88,2959159
90,0015362
91,5088423
92,83158546
93,98429533
94,9818745
95,83924268
96,57103417
97,19134959
97,71356097
98,15016742
98,51269742
Annexe 3 (Evolution des types dattaques outrepassant les mcanismes de scurit de Windows)
REFERENCES BIBLIOGRAPHIQUES
Site iCe/Fevad
http://www.fevad.com/etudes-et-chiffres/indice-du-commerce-electronique-ice-2
3
Site Libration
http://www.liberation.fr/medias/2011/04/28/playstation-network-sony-craque-et-confirme-le-hack_731975
5
Site Undernews
https://www.undernews.fr/hacking-hacktivisme/target-pirate-40-millions-de-donnees-personnelles-derobees.html
6
Site Ioactive
http://www.ioactive.com/news-events/KaminskyEarthlinkPR.html
11
Site Bortzmeyer
http://www.bortzmeyer.org/comment-fonctionne-la-faille-kaminsky.html
12
Site Cryptography
http://blog.cryptographyengineering.com/2014/04/attack-of-week-triple-handshakes-3shake.html
14
Site Le Monde
http://www.lemonde.fr/international/article/2013/11/29/vupen-la-pme-francaise-qui-a-travaille-pour-lansa_3522578_3210.html
16
Site Zdnet
http://www.zdnet.fr/actualites/vente-de-failles-vupen-veut-quitter-la-france-et-blame-les-lourdeurs-administratives39810061.htm
17
Site Aorato
http://www.aorato.com/blog/official-welcome-aorato/
18
Site Silicon
http://www.silicon.fr/contrat-microsoft-defense-open-bar-2017-92249.html
21
Site Zdnet
http://www.zdnet.fr/actualites/la-gendarmerie-cas-d-ecole-d-une-migration-a-grande-echelle-vers-les-logiciels-libres39602252.htm
23
Site Silicon
http://www.silicon.fr/toulouse-metropole-adopte-libreoffice-economise-1-million-deuros-95833.html
24
Site Silicon
http://www.silicon.fr/villes-italiennes-larguent-microsoft-lopen-source-96755.html
25
Site Zdnet
http://www.zdnet.fr/actualites/vienne-abandonne-sa-migration-vers-linux-pour-vista-39381572.htm
26
Site Zdnet
http://www.zdnet.fr/actualites/le-ministere-allemand-des-affaires-etrangeres-renonce-a-linux-pour-windows39758499.htm
27
Blog LEXSI
http://www.lexsi-leblog.fr/audit/sale-temps-pour-les-bibliotheques-ssl.html
30
Blog LEXSI
http://www.lexsi-leblog.fr/audit/la-vulnerabilite-apple-du-moment.html
31
1
Site IT Espresso
http://www.itespresso.fr/openofficeorg-se-separe-oracle-devient-libreoffice-36853.html
33
34
Site 01 net
http://www.01net.com/editorial/563178/le-botnet-flashback-met-a-mal-le-sentiment-d-invulnerabilite-sur-mac
36
Site 01 net
http://www.01net.com/editorial/565097/apple-est-en-retard-de-dix-ans-sur-microsoft-en-matiere-de-securite
37
Site Silicon
http://www.silicon.fr/apple-va-changer-la-strategie-de-securite-de-mac-os-x-76258.html
38
Site Symantec
http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20120321_01
40
Site Zdnet
http://www.zdnet.fr/actualites/des-certificats-ssl-frauduleux-de-comodo-autorisent-des-attaques-contre-les-webmails39759360.htm
45
Site Silicon
http://www.silicon.fr/le-virus-conficker-touche-la-marine-francaise-et-ses-rafales-33931.html
47
Site Cutimes
http://www.cutimes.com/2014/02/26/target-attack-tab-passes-200m
49
52
http://research.microsoft.com/en-us/people/mds/
53
Site Microsoft
http://www.microsoft.com/en-us/news/features/2012/jan12/gatesmemo.aspx