La sécurité des réseaux

Cet article ne s'adresse pas directement au réseau HamNet, car les informations qui y circulent ne sont évidemment pas confidentielles. Par contre cela pourrait concerner les sysops qui administrent un serveur à distance, pour éviter que des pirates viennent entrer des informations illégales ..!

Depuis le début de l'informatique, les constucteurs ont cherché à limiter certains accès aux machines à du personnel autorisé. Cette protection était effectuée par des droits d'accès entrés dans un fichier, lui même protégé par codage des données.
Les OS des main-frames ont en principe, tous les éléments pour protéger les accès, ce n'est bien sûr pas le cas des micro-ordinateurs, bien que certains OS comme NT ou UNIX (LINUX) apportent une petite protection en comparaison de MS-DOS ou Windows 9x/Me

Si une protection est tout de même possible dans des machines locales, cela devient de plus en plus complexe dans les machines reliées en réseau (et a plus forte raison si ce réseau est INTERNET !!)

Si la technique progresse, les connaissances aussi ... et certains hackers en font un véritable jeu de s'introduire sur des machines, bien souvent sans souci de nuire, mais simplement pour montrer les failles des systèmes..

Une autre plaie qui menace la sécurité des machines en réseau est la prolifération des ...

.VIRUS !

.... dont certains peuvent ouvrir une porte dérobée, pour entrer sur une machine ou sur un LAN. C'est le cas en particulier des "chevaux de Troie"..

.

.L'accès à une machine (telnet) est généralement effectué par la présention d'un code personnel :

LOGIN pour identifier la personnne.

.PASSWORD (mot de passe) pour l'authentification. .

.Ce contrôle d'accès est en principe suffisant sur une machine qui se trouve dans un réseau local et dans une pièce qui n'est pas accessible au public !.

.L'accès à une machine distante utilise la même méthode, mais les deux informations ( login et password ) circulent sur tout le réseau en traversant un grand nombre de routeurs, et de ce fait peuvent être facilement interceptées..

.Les incursions "pirates" peuvent être de plusieurs sortes :.

• .La récupération d'informations confidentielles.
• .L'entrée de fausses informations.
• .La destruction de données .
• .inoculation de virus.
• .installation de programmes "espions"
  
  
  ..Comment se protéger ?.

.La première chose à faire est d'installer un programme "anti-virus". Il en existe de nombreux... la plupart ne sont malheureusement pas gratuits, mais il vaut mieux dépenser quelques euros plutôt que "reformater" un disque dur !
Un antivirus est composé d'un "moteur" de traitement et d'une base de signatures. Cette base doit être mise à jour périodiquement..

.Beaucoup de virus entrent dans votre machine par des "fichiers attachés" à un email. En principe l'anti-virus devrait les détecter, mais ce n'est malheureusement pas toujours le cas. Il est donc nécessaire de ne pas ouvrir un fichier attaché suspect...
Bien souvent ces fichiers portent des noms "attirants" ce sont les plus dangereux ! il faut se méfier particulièrement des extensions BAT, EXE, SCR, PIF, VBS,JBS, ... et surtout les doubles extensions comme toto.txt.pif par exemple.
Normalement un fichier attaché ne se lance pas tout seul, mais ce fichier peut être aussi dans le corps du message et être executé dans un script JAVA par exemple...
La solution radicale est d'utiliser un programme qui lit directement les emails sur votre serveur... il suffit de lire quelques lignes du texte, pour se rendre compte s'il s'agit d'un email "louche"... il suffit alors de le supprimer sur le serveur.
Certains virus lisent des noms de fichiers directement sur le disque, plus particulièrement dans le répertoire "mes documents" ce qui fait que les titres de ces emails paraissent tout à fait plausibles..... Géneralement, ce ne sont pas des "originaux" mais des "réponses" (reply) il faut donc se méfier des emails suspects avec le préfixe RE:
.

.LE FIREWALL .

.Pour renforcer le contrôle d'accès on utilise des systèmes complémentaires appelés "FIREWALLS".
..Ces "murs pare-feu" sont un peu comme le fossé qui protège le château fort, avec l'accès par un seul pont-levis ! .

.Les communications entre votre machine et l'extérieur, s'effectuent par des entrées/sorties que l'on appelle "ports". Il y a des ports "standards" dont les numéros vont de 0 à 1024, et ensuite des ports non privilégiés de 1025 à... 65535 !
Par exemple le port 21 est attribué à FTP (transfert de fichiers) le port 25 est l'envoi de courrier SMTP... etc... l'ouverture de l'un de ces ports dans une application normale, peut être mise à profit par un pirate pour entrer sur votre machine à votre insu.
Le firewall à donc pour but de contrôler tout ce qui passe : c'est le planton de garde devant le pont-levis !.

.Il existe plusieurs types de firewalls : certains ne filtrent que le numéro IP et d'autres beaucoup plus complexes.. interdisent tout paquet non répertorié. Pour le premier cas, il existe un logiciel très efficace (et gratuit) c'est ZoneAlarm... Vous le trouverez facilement sur Internet (tapez ZoneAlarm sur Google !).

.Le "filtre de paquets" peut contrôler les paquets entrants et sortants. Seuls les paquets répondant à certains critères seront autorisés à franchir le pont-levis ! Ces critères sont définis par l'administrateur du système, et chargés dans des tables, qui contiennent la liste des sources, et des destinations autorisées..

.Le mécanisme de test peut se faire également au niveau application. Dans ce cas, le filtrage sera effectué sur : la taille du message, le contenu de l'entête, ou certains mots ou groupes de mots contenus dans le texte ... le "contrôle parental" utilise aussi cette méthode..

.Le FIREWALL est particulièrement utilisé pour isoler un réseau local du monde "Internet" :

..Les BBS-FBB contiennent un mécanisme similaire au firewall en rejetant certains indicatifs indésirables ... pour diverses raisons !.

.Les "SPYWARES".

.Les "spywares" ou "éléménts espions" ne sont pas dangereux pour la vie de votre disque, mais ils ont pour but d'espionner votre activité sur un réseau. Cet espionnage n'est pas toujours pour vous nuire, mais au contraire il contrôle vos connexions (surtout sur des sites "marchands") pour vous envoyer ensuite de la publicité en fonction de vos goûts ! mais d'autres risquent d'être beaucoup plus perverts ....

.De toutes façons il est très désagréable d'être toujours sous surveillance à son insu ! Parmi ces spywares ont trouvent les célèbres "cookies" qui sont relus sur votre disque et renseignent votre correpondant si vous avez déjà visité son site, combien de fois, à quel moment, etc... Ceux-ci peuvent être facilement supprimés à chaque démarrage de la machine en faisant un DEL C:/windows/cookies/*.* dans l'autoexec.bat !
Il y a beaucoup d'autres spywares qui sont installés au fur et à mesure de vos surfs sur le WEB. La solution pour les éradiquer est d'utiliser un programme "anti-spyware" . Il en existe de nombreux, mais le plus utilisé actuellement est AD-AWARE de Lavasoft. (on le trouve aussi sur le WEB avec GOOGLE...)
Si vous utilisez Internet depuis longtemps et que vous n'avez jamais utilisé un anti-spyware, vous serez étonné de constater tous les "éléments espions" qui sont sur votre machine !!!! certains sont chargés en mémoire au démarrage de la machine, d'autres dans la base des registres, et d'autres sur votre disque dur. .

. .. .

.La sécurité des "données" sur un réseau :

.Une des solutions pour résoudre les problèmes de confidentialité est de crypter toutes les informations qui circulent entre les deux machines distantes (les codes d'accès et les informations). C'est la la méthode utilisée pas les sites sécurisés comme les banques par exemple..

.Si le chiffrement des informations semble être une solution efficace, son utilisation a causé bien des polémiques ! ..En effet, si ce cryptage est parfait, cela signifie que les données qui circulent resteront incompréhensibles pour ceux qui ne possèderont pas les clefs de chiffrement ... même les Services Spéciaux des Gouvernements ! et là ... ils ne sont plus d'accord !.

.Le cryptage est toujours considéré comme une "arme" de Défense Nationale et c'est ce qui a limité la généralisation de cette protection. Il faut toujours une autorisation pour utiliser un transfert crypté !.

.Par exemple, le D.E.S. (Data Encryption Standard) qui est une méthode de cryptage mise au point par IBM en 1949 (Procédé LUCIFER, sur une théorie de Shannon) utilisait des blocs de 128 bits, ce qui donnait, à l'époque, une protection très efficace. En 1977, le gouvernement américain a adopté cette méthode pour les applications courantes, mais en limitant les blocs à 64 bits ( 56 bits utiles ) beaucoup plus facilement "cassables" par les Services Spéciaux ! .

.Le D.E.S est décertifié depuis 1988 par le Gouvernement américain. .

. .

.LE CRYPTAGE (CHIFFRAGE).

.Le cryptage (appelé autrefois chiffrage) à pour but de rendre incompréhensible une information pour toutes les personnes qui ne possèdent pas la clef de décodage..

.Il y a de nombreuses méthodes de codage. La plus simple est le cryptage par substitution..

.CRYPTAGE PAR SUBSTITUTION..

.Cette méthode serait attribuée à ... Jules César ! Chaque caractère est remplacé par un autre caractère. Par exemple le "a" pourrait être remplacé par un "d" le "b" par un "e" etc... évidemment cette méthode ne tiendrait pas bien longtemps à la cryptanalyse ! les codes de substitution peuvent être un peu plus compliqués : à partir d'un texte ou d'une grille par exemple.
..Ces types de code peuvent être utilisés pour les protections immédiates qui ne nécessitent pas une grande sécurité..

.Le cryptage moderne utilise des clefs injectées dans des algorithmes..

.CRYPAGE PAR CLEFS SECRETES.

.Analogie pratique :.

Le message est placé dans un coffret fermé par un cadenas. Le cadenas représente le texte crypté, et la clé : le code secret.
Dans ce premier cas, les deux correspondants disposent de clés identiques.
Pour envoyer un message, il suffit de le placer dans le coffret, de fermer le cadenas, et de l'envoyer... à la réception, le cadenas sera ouvert avec l'autre clé, et le message sera lu.

.Chaque terminal contient une clef qui est une suite de caractères choisis pour tous les membres du réseau. Cette clef servira
à crypter et décrypter le texte. C'est le principe du D.E.S.
..Le texte, en clair, est chiffré par blocs de 64 bits, ce qui donne 64 bits de texte chiffré. L'algorithme de D.E.S est paramétré
avec la clef secrète qui fait également 64 bits (en pratique il n'y a que 56 bits de clef, les autres bits étant utilisés pour le contrôle)..

.L'algorithme effectue 19 calculs successifs basés sur des permutations, décalages, OU exclusifs, compressions, expensions ....

.Le D.E.S est symétrique : c'est à dire qu'un mot "en clair" à l'entrée sortira "crypté" et ce même mot crypté à l'entrée, sortira "en clair" !.

.Mn = DES (Mo, Ks) et Mo = DES-1(Mn, Ks).

.Pour crypter un long texte il faut chainer les blocs de 64 bits. Il existe plusieurs méthodes de chainage dont nous ne parlerons pas ici....

.Un des grands problèmes des systèmes de cryptage est la transmission des clefs ! Le système à clef secrète nécessite que celle-ci soit chargée dans tous les terminaux. Si cela peut se concevoir dans un réseau local ou avec un nombre de terminaux limité, ce n'est plus possible dans un grand système comme le réseau de cartes bancaires, par exemple....

.C'est cette raison qui a obligé d'utiliser une autre méthode qui s'appelle "Infrastructure à clef publique" PKI en anglais (Public Key Infrastructure.).

.CLEFS PUBLIQUES.

.Analogie pratique : .

Le correspondant A envoie à B un cadenas ouvert, mais il en garde la clé (clé secrète). Quand le correpondant B veut envoyer un message à A, il le place dans le coffret et ferme le cadenas (cryptage par la clé publique), et il l' envoie à A. Seule la clé de A peut ouvrir le cadenas !
Avec cette méthode A peut envoyer plusieurs cadenas (clés publiques) à d'autres correspondants qui n'auront plus qu'à placer leur message dans
leur coffret et de fermer le cadenas...(cryptage)
Pour un échange de messages entre deux correpondants X et Y, Y aura un cadenas ouvert envoyé par X, et X aura un cadenas ouvert envoyé par Y... mais quand ceux-ci seront fermés, le cadenas de X ne pourra être ouvert que par la clé détenue par X, et de même pour Y !

.La clef PKI est partagée en deux clefs différentes. Une reste secrète dans un coin du serveur, et l'autre est distribuée aux autres utilisateurs. Lorsqu'un texte est chiffré avec une clef publique, il n'est déchiffrable qu'avec la clef secrète. Chaque participant au réseau sécurisé doit donc avoir deux clefs; On dit que ce chiffrement est asymétrique..

. Cette méthode est utilisées par le R.S.A. ( initiales de ses créateurs: Rivest, Shamir et Adelman )..

.Cette méthode est utilisée dans de nombreux organismes pour effectuer une identification-authentification, contrôle d'intégrité, signature... mais elle est assez gourmande en ressources et ne sera pas utilisée pour le chiffrement total des messages, mais permettra de transmettre une clef secrète transitoire, utilisée pendant une session de transfert. (voir figure précédente).

.Une solution intermédiaire pour un échange de messages : la clef de session..

.Une clef "provisoire" est envoyée par A vers B, cryptée avec la clef publique de B... B va récupérer cette clef qu'il pourra décrypter avec sa clef privée. Cette clef commune sera utilisée, comme la première méthode, pendant une courte période (session). Lors d'un autre échange, cette clef sera différente !

C'est cette méthode qui est utilisée dans les connexions entre les navigateurs (Netscape, IE, etc...) et les sites sécurisés (banques, serveurs marchands...) C'est le protocole SSL (Secure Sockets Layers)
La longueur de la clef de session peut être comprise entre 40 à... 128 bits.

..La solution d'avenir sera d'utiliser une carte à puce pour effectuer le "login/cryptage". Cette carte contenant les clefs nécessaires, et un code confidentiel pour authentifier le porteur...
On pourra aller encore plus loin, en chargeant dans cette carte les éléments de l'empreinte digitale du porteur, qui devra s'authentifier en mettant son doigt sur un capteur !!!.

.LA CARTE A PUCE.

.C'est fin 1974 début 75 que Roland Moréno dépose plusieurs brevets sur une méthode de commande électronique. Il crée pour exploiter cette invention la société INNOVATRON..

.Le principe proposé par R.M consiste en l'utilisation d'un micro-circuit logique alimenté par le lecteur, et capable de mémoriser des informations. Le but de l'inventeur était d'améliorer la sécurité des cartes de crédit. Plusieurs fonctions ont été décrites pour arriver à ce but : division de la mémoire en plusieurs parties, interdiction de ré-écriture dans certaines sections, comparaison de données, etc ....

. Vers la fin des années 70, trois sociétés prennent une participation au groupe INNOVATRON : Schlumberger, Philips et Bull. De même Bull et Motorola s'associent pour étudier et réaliser le micro-circuit.
En janvier 1978, Michel UGON dépose des brevets sur cette étude..

.Les premières cartes ne sont que des mémoires programmables (PROM). C'est encore le cas des télécartes..

. En 1981, sort le premier micro-circuit "intelligent" c'est à dire comprenant un véritable micro-calculateur : ce sont les CP8 de Bull. (Bull, Motorola, Thomson) .

.A partir de cette réalisation, tous les traitements sont devenus possibles ( dans la limite de la mémoire disponible ! ).

.Une carte à microprocesseur intègre une mémoire de programme (ROM) une mémoire de travail (RAM) et une mémoire de données (PROM, EPROM, EEPROM ...) La mémoire de programme contient le logiciel système appelé COS ( Card Operating System ). Cet OS contient toutes les macro-commandes nécessaires à l'utilisation de la carte, y compris l'algorithme de cryptage comme le D.E.S..

.Les micro-circuits sont protégés contre toute tentative d'intrusion : des "capteurs" permettent de déceler ces tentatives, notamment un capteur de fréquence interdit le fonctionnement pas à pas du processeur. Une circuiterie spéciale permet d'éliminer le lien qu'il pourrait avoir entre le contenu de la mémoire lue ou écrite, et le courant instantané consommé. Les adresses physiques et logiques sont brouillées dans une matrice interne. Des cellules factices sont introduites dans la mémoire, pour tromper l'exploration visuelle. (microscope electronique, etc...).

.Il est actuellement beaucoup question des imperfections de sécurité des cartes à puces... ces défauts ne sont pas directement imputables à la puce, mais aux logiciels qui l'utilisent !.

.La carte à puce sera certainement la solution d'avenir pour tous les accès à des réseaux sécurisés..