Occupez-vous de mes ennemis, je me charge de mes amis.” Indicateur inattendu : 70 % des accès frauduleux proviennent de l’intérieur de l’entreprise, un chiffre mis en exergue par le Club de la sécurité des systèmes d’information français (Clusif). En revanche, la généralisation du réseau a simplifié et démultiplié les actes de piratage. La première cause d’augmentation des risques provient de l’ouverture des systèmes, dont l’usage était jusqu’alors limité à l’entreprise. En favorisant l’accès aux employés nomades, aux partenaires ou aux filiales, elle a aussi simplifié l’intrusion des pirates. La seconde raison est liée à l’utilisation d’un protocole unique : IP (Internet Protocol). Si l’entreprise a gagné en simplicité de déploiement et d’administration, l’utilisation d’une norme propriétaire en interne constituait auparavant une barrière en soi. Cette dernière imposait en effet au pirate des manipulations plus complexes, les protocoles propriétaires n’étant pas documentés et donc moins accessibles.
Le coupe-feu est la base de la protection
Pour autant, il est possible de préserver les avantages de l’ouverture et de la standardisation sans en subir les inconvénients. La barrière physique (système interne coupé du monde extérieur) peut en effet être reproduite artificiellement. C’est le rôle des coupe-feu (firewall) qui se comportent comme des “ponts” entre l’extérieur et l’intérieur. Ils interviennent à deux niveaux en interdisant l’entrée à toute adresse IP non reconnue et en aiguillant le trafic selon le type de service demandé. Ce dernier cas interdit d’ailleurs l’accès au système d’information de manière globale. La requête n’étant apte à s’exécuter que sur le serveur approprié au service demandé, chaque prestation dispose d’un numéro qui l’identifie : la messagerie (SMTP) correspond au port 25 ; le web (HTTP) au numéro 80 ; etc. Plus il y a de ports ouverts sur un coupe-feu, plus les risques d’attaques sont élevés car chaque port constitue une brèche potentielle. C’est pourquoi les applications qui reposent sur les technologies Corba et DCom, qui supposent l’ouverture de nombreux ports, restent souvent cantonnées à l’entreprise, le nombre de ports à ouvrir pour échanger des données dans ce cadre étant trop important. Quant au filtrage des requêtes par adresse IP, il se révèle peu efficace dans certains cas. Ainsi, l’usurpation d’adresses IP est une pratique courante des pirates. Elle prend plusieurs formes : IP spoofing, une méthode qui consiste à faire croire à la victime que les connexions ont lieu depuis une machine autorisée, ou DNS spoofing qui pousse un serveur DNS à accepter l’intrus. Dans ce dernier cas, il faut isoler le serveur DNS utilisé, situé dans l’espace public, des zones où les serveurs DNS internes à l’entreprise s’échangent des données, c’est-à-dire généralement sur le Lan. Cela évite la propagation ou le blocage de l’activité de la société. Par ailleurs, le filtrage ne peut être mis en place pour toutes les applications, telle la messagerie, pour la simple raison que filtrer par adresse IP restreindrait la communication d’une entreprise aux seuls correspondants identifiés. Certains mettent donc en ?”uvre des zones dites démilitarisées (DMZ). Leur principe est simple : en plaçant le serveur dans une zone accessible de l’intérieur et de l’extérieur de l’entreprise, isolée par des coupe-feu, il est possible de recevoir et d’envoyer des messages sans prendre le risque de le laisser entrer dans le réseau interne. Cette architecture est aussi valable pour les serveurs web qui bénéficient ainsi d’une protection tout en ne permettant pas l’accès au réseau local de l’entreprise (voir schéma). Quant à la catégorie des outils de détection d’intrusion, elle fera l’objet d’un dossier dans un prochain numéro. C’est pourquoi ils ne sont pas traités ici.
Dejouer les virus colportés par la messagerie
Enfin, même en DMZ, le coupe-feu ne peut rien contre les virus insérés dans les messages. Et notamment rien contre ceux qui sont inclus sous forme de scripts dans des pages HTML, mode de travail proposé par certains clients de messagerie. La parade est alors simple : il s’agit de travailler en mode texte, c’est-à-dire avec le contenu de la pièce jointe apparaissant dans le corps du message, une méthode moins “jolie” mais plus sécurisée. Mais attention, même en mode texte, le message peut comporter une pièce jointe contenant le virus et notamment les macrovirus qui se propagent particulièrement vite par les applications bureautiques. On comprend que les utilisateurs du client de messagerie Outlook utilisant Word comme éditeur de messages soient les principales victimes de ces attaques. Celles-ci ne doivent pas être sous-estimées car, si certains virus restent inoffensifs, d’autres sont dévastateurs, comme cela a été le cas avec le célèbre Melissa qui a bloqué l’activité des postes de travail touchés, c’est-à-dire toute l’entreprise compte tenu de son mode de propagation ! D’autres, comme les chevaux de Troie, permettent au pirate de prendre la main à distance sur une machine. Une fois dans la place, c’est tout le système interne qui est à sa portée. La seule parade possible : l’antivirus. Dans l’entreprise, ce logiciel doit être placé sur un serveur afin d’analyser tous les messages, un antivirus installé sur le poste de travail pouvant être “détourné” par son utilisateur. Pour plus de sécurité, il est conseillé de consacrer un serveur à l’analyse antivirale. Le serveur de messagerie oriente alors les messages vers l’antivirus avant de recevoir ou non l’autorisation de les remettre. À côté des antivirus d’autres produits analysent le contenu du courrier par la mise en place de règles qui interdisent certains mots clés, l’ajout de pièces jointes pour des personnes identifiées, etc. Ils contribuent à une analyse plus fine de ce qui transite par la messagerie et minimisent les risques de fuite de données confidentielles (identifiées par les mots clés).
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.