Introduction

I - GENERALITES sur la PROTECTION

II - Les CONCEPTS de la SECURITE LOGIQUE

III - Les MECANISMES de SECURITE et de PROTECTION

• Mot de passe 
• Ouverture de Session 

IV - Les MENACES

V - Les CONCEPTS de SECURISATION

VI - Les FAIBLESSES et les FAIILLES

VII - SECURISATION de WINDOWS NT

VIII - Les PRINCIPAUX OUTILS de SECURITE

Conclusion

Bibliographie

Manuels de Référence

Adresses Internet Utiles  

Les points suivants sont déclarés hors cadre de l'exposé et du document présent :

• Sécurité Physique : matériel : redondance, RAID, sauvegarde… protection physique de l'ordinateur et de ses périphériques
• Sécurité des Lieux de Production : Dédoublement du site, Incendie, coupure, vol, alarme, peinture, contrôle d'accès, électricité, plancher technique, surveillance visuel…
• Sécurité Réseaux : Toutes protections des protocoles réseaux, des réseaux physiques et logiques (firewall, filtrage, sonde…)
• Sécurité des sites Web
• Sécurisation des Réseaux
• La sensibilisation de l’utilisateur à la sécurité (malveillance ou incompétence)

Il est plus important de protéger les informations que le matériel

3 types d'attaques : accidents (matériel ou humain), criminalité (accès non autorisés jusqu'au hackers), catastrophes (incendie, tremblement de terre…)

La sécurité absolue n'existe pas (que ce soit le domaine informatique ou tous les autres domaines de la vie).

La sécurité est le problème de tout le monde.

Pour que la sécurité fonctionne, il faut que toutes les personnes ayant un accès à une ressource soient conscient du degré de sécurité associé à la ressource.

• La disponibilité : assurer des performances et des temps de réponse cohérents avec les performances annoncées par le constructeur. Le système doit être disponible à tout moment et il ne doit pas y avoir de déni ou de dégradation de service.
• L’intégrité des données : L ’information est modifiable uniquement par l ’action volontaire d ’un sujet autorisé
• La confidentialité des données L ’information est tenue secrète et uniquement les sujets autorisés peuvent y accéder

• Il satisfait correctement ses spécifications
• Il est capable de résister à un environnement imprévu (données imprévues, panne de certains matériels), soit en corrigeant l'anomalie, soit en la signalant mais en évitant les erreurs qui se propagent et contaminent le système.

• d'empêcher un utilisateur d'interférer avec les autres utilisateurs
• de protéger un utilisateur contre ses propres erreurs
• de protéger le système contre les utilisateurs
• d'empêcher l'utilisation du système par des personnes qui ne sont pas autorisées à y accéder
• de limiter l'utilisation du système par des personnes qui ne sont pas autorisées
• d'éviter l'exploitation frauduleuse des informations
• de fixer différents niveaux de protection de plus en plus sévères pour les données les plus sensibles.

Il est difficile de définir ce que l'on entend par protection d'un système d'exploitation (et d'information en général), tant que les facteurs qui peuvent influer sur cette notion (humains, sociaux et économiques) sont nombreux.

Cependant, on peut dire, que la protection se rapporte à tout ce que par quoi l'information peut être modifiée, divulguée et détruite.

Dans certain cas elle peut être la garantie des performances du système

• La protection désigne l'ensemble des mécanismes qui protègent les objets du système contre l'environnement à priori "hostile".
• Un processus utilisateur ne peut être exécuté en mode système.
• La protection exige enfin la correction des processus système
• Pérennité du système
• Confidentialité des données (système, utilisateur…)
• Correction du système
• Le degré de protection du système dépend de deux facteurs
• Degré des informations qu'il manipule
• Degré de confiance en ses logiciels, en particulier le système d'exploitation

Evaluer si des applications critiques fonctionnent sur les stations.

Un système doit être assez sécurisé sans pour autant empêcher les utilisateurs de se servir de leurs applications.

Sécuriser un système c'est protéger ce système contre un fonctionnement imprévu ou défectueux.

• D'erreurs de programmation (d'un utilisateur ou du système lui-même) qui se propagent au système (du fait de contrôles insuffisants ou mal effectués).
• D'un mauvais fonctionnement du matériel
• D'un opérateur, concepteur ou réalisateur malveillant ou peu scrupuleux (quand il s'agit d'informations financières)

• pour les fichiers sur les disques
• pour la mémoire principale
• pour les autres ressources du système ( catalogue, taches (entre elles), segments mémoires (écriture ou lecture - écriture), les canaux d'E/S, certains sous-programmes du système, certaines instructions CPU…) 
• Droits d'accès (permis / interdit)
• Quotas d'utilisation (Pas utiliser plus de N blocs d'espaces disque, pas lancer plus de N E/S, pas dépasser une certaine place mémoire…)
• Arguments d'appel des sous programmes utilisés par les taches, dans les requêtes aux services du système, doivent être vérifiés afin d'empêcher qu 'un programme accède à des données interdites en fournissant des arguments hors limites (zones tampons)

Ils correspondent aux coûts matériels et financiers si une attaque ou une menace se réalisait. Dans tous systèmes informatiques, les risques existent et ne doivent pas être minimisés afin d'assurer une politique de sécurité correcte.

Les risques qui doivent être pris en compte sont l'intégrité, la disponibilité des services, la sécurité du système et les coûts engendrés en cas d'indisponibilité de la ressource informatique.

La Sécurité passe par un compromis coût/ efficacité.

Le coût des ressources étant resté stationnaire, les systèmes et les machines actuelles plus rapides ont rendu ce coût moins prohibitif.

L'idée d'un système de protection est de traiter les différents types de problème de manière générale et unitaire.

Implantés seuls les dispositifs de protection coûtent chers.

Si ces dispositifs permettent d'augmenter les performances du logiciel, dans des domaines comme celui de la fiabilité ou de la résistance aux erreurs, leur coût relatif diminue.

Si c'est de plus ces dispositifs permettent une gestion des ressources partagées plus facile et plus sûre, ils peuvent devenir compétitifs d'un point de vue commercial.

La Sécurité logique est la sécurité fournit par le système d’exploitation, les logiciels de base, et les administrateurs du système.

La base de confiance est l’ensemble matériel et logiciel sur lequel repose le système de sécurité.

Les objets du système sont les entités qui contiennent de manière permanente ou temporaire de l’information. Sous Unix, ce sont par exemple les fichiers, les répertoires, les segments de mémoire, les programmes exécutables et les procédures, les fichiers FIFO et les sockets.

Les sujets sont les entités qui traitent et modifient cette information. Ce sont les processus et les personnes physiques qui interagissent avec les processus au moyen des objets particuliers que sont le clavier, l’écran, la souris, l’imprimante, …

L’analyse des enregistrements concernant les interactions entre les sujets et les objets est appelée audit ou surveillance du système. Il consiste à examiner certains évènements critiques qui surviennent sur le système tels que les rejets d’authentification ou l’accès à certains fichiers.

L’interaction entre sujets et objets obéit à un certain nombre de règles. Elles peuvent être décidées par le propriétaire des objets. On parle alors de contrôle d’accès discrétionnaire.

Lorsqu’elles sont indépendantes de la volonté du propriétaire de l’objet, on parle de contrôle d’accès obligatoire ou réglementé. L’accès aux objets est alors fondé sur une classification des objets et des sujets. On aura par exemple des étiquettes non classifié, confidentiel, secret associé aux différents objets.

Un sujet ne pourra accéder à une information de niveau supérieur à celle qu’il possède et il ne pourra en aucun cas déclassifier un objet.

Le ministère de la Défense des USA a défini des règles de sécurité regroupant un certain nombre de caractéristiques. Ces caractéristiques se retrouvent dans le livre orange. Elles permettent de déterminer le degré de protection d’un système d’exploitation avec au total 7 niveaux croissant de sécurité. Le souci principal est la confidentialité des données, l’intégrité des données et la disponibilité du système.

Les niveaux se trouvent dans l’ordre qui suivent :

• Systèmes qui n’ont pas pu satisfaire aux exigences de classe de niveau supérieure 

• Contrôle d’accès discrétionnaire : définition et contrôle de l’accès entre les utilisateurs et les objets jusqu'à la granularité d’un seul utilisateur ou groupe d’utilisateur.
• Imputabilité : Identification et Authentification de l’utilisateur par mot de passe et Protection des données d’authentification
• Assurance d’Architecture : mécanismes apportant la preuve que les fonctionnalités de sécurité sont effectivement et correctement mises en œuvre et que l’intégrité de la base de confiance est garantie
• Intégrité du système : des éléments doivent être fournis pour permettre de valider périodiquement la base de confiance.
• Tests et Sécurité : les mécanismes de sécurité du système doivent être testés et fonctionner de manière conforme à ce qui est indiqué dans la documentation. Des tests doivent être effectués pour montrer qu’il existe des moyens pour contourner la sécurité de la base de confiance.
• Documentation :
• Un guide de sécurité utilisateur
• Un guide de sécurité administrateur
• Des documents de tests
• Les spécifications

• Réutilisation des objets : la base de confiance garantit que les objets mémoire sont nettoyés avant leur utilisation. Cela signifie que par exemple, lors de l’allocation dynamique de mémoire, on ne trouve pas les donnes du processus qui vient libérer cette mémoire.
• Audit : Il doit permettre le traçage des actions effectuées par tous les sujets sur tous les objets du système. Sa précision doit permettre le traçage de tous les objets accédés par un utilisateur et notamment tracer toutes les opérations d’ouverture, de lecture, d’écriture ou d’effacement des fichiers

Ce niveau est le niveau maximum pour les organismes commerciaux.

Ils couvrent essentiellement les besoins militaires. La sécurité est basée sur un contrôle d’accès réglementé. L’accès à l’information est fondé sur des labels associés aux sujets et aux objets. Ces labels reflètent un niveau d’habilitation des sujets. Ces étiquettes ou labels seront utilisés par la base de confiance pour prendre la décision d’autoriser ou non l’accès.

Le modèle utilisé pour le contrôle d’accès utilise les règles suivantes :

• Un sujet est autorisé à lire un objet si son niveau d’habilitation est supérieur ou égal à la classification de l’objet
• Un sujet est autorisé à écrire un objet si son niveau d’habilitation est inférieur ou égal à la classification de l’objet.

Le niveau A1 est connu sous le nom de protection vérifiée. Sensiblement équivalente à la classe B3 mais offre un degré d’assurance plus élevé

L’ITSEC définit l’ensemble machine/ logiciel à évaluer comme étant la cible d’évaluation. Les fonctionnalités de sécurité sont désignées sous le terme de cible de sécurité.

Elles regroupent 8 rubriques :

• Identification et authentification
• Contrôle d’accès
• Imputabilité
• Audit
• Réutilisation des objets
• Fidélité
• Continuité de service
• Echange de données

Les 5 premières rubriques sont équivalentes à celle du livre Orange. Les autres ont été rajoutées pour palier les insuffisances.

• La fidélité regroupe les fonctions de détection et de prévention, de perte et d ‘altération de l’information.
• La continuité de service réunit celles destinées à garantir la mise à disposition des ressources en temps utile
• L’échange des données définit les fonctions de sécurisation des canaux de communication (chiffrement des données d’authentification ou de la totalité des données).

Les niveaux d'assurances sont de 2 types :

• Assurance de conformité ou d’exactitude (correctness) indiquant si la fonctionnalité de la cible de sécurité est à la fois correctement spécifiée et réalisée
• Assurance d ‘efficacité (effectivness) indiquant la confiance qu’on peut effectivement accorder au système lorsqu’il est en fonctionnement par rapport au niveau d’assurance de conformité auquel prétend la cible d’évaluation.

• La partie matérielle du système
• La partie logicielle constituée d’un sous-ensemble de logiciels composant le système
• Le noyau du système et tous les fichiers utilisés pour les générer
• Tous les fichiers exécutés lors de l’amorçage du système
• Tous les démons effectivement utilisés car il s’exécute sous l’UID zéro avec les privilèges système
• La totalité des commandes susceptibles d’être utilisés par l’utilisateur root durant sont travail d’administration
• La bibliothèque système C, les fichiers de définitions inclus dans les programmes C
• Le compilateur C et les commandes associées
• Le shell
• Les commandes de base du système de fichiers
• Les bases de données utilisées pour configurer le système
• Toutes les commandes suid et sgid

• Un niveau logique (soft) celui du modèle de protection, ensemble de règles qui définissent quels accès aux ressources sont autorisés et quels accès sont interdits. Ces règles sont définies soit à la conception du système, soit par les utilisateurs.
• Un niveau matériel qui permet d'appliquer le modèle réellement. C'est le rôle des mécanismes de protection.

Le premier doit être dynamique

Par contre le 2^ème doit être stable pour faciliter l'implémentation, le contrôle et la fiabilisation.

Les 2 doivent de surcroît être indépendants du modèle pour offrir un vaste ensemble de règles possibles

Ce sous-système agit sur la totalité du système. A travers de ce système, tous les accès aux objets, y compris les fichiers disque, les processus en mémoire ou les ports de périphériques extérieurs sont contrôlés, afin qu’aucune application ou aucun utilisateur ne puisse y avoir accès sans les autorisations appropriés.

Donc les mécanismes de sécurité qui sont mis en œuvre sont identiques à tous les objets Windows NT.

C’est le composant principal des modules relatifs à la sécurité.

• Il gère et applique les stratégies de sécurité définie par l’administrateur dans la base de données " stratégie de sécurité "
• Il gère et applique la stratégie d’audit définie dans la même base de données et met à jour le journal de l’audit en fonction de cette stratégie lorsqu’il y a une opération sur l’objet.
• Il offre un service interactif de validation des utilisateurs
• Il génère les jetons pour l’authentification des utilisateurs.

Ce processus connecte les utilisateurs locaux et distants au système.

• Ce système gère la base de données des comptes utilisateurs (utilisateurs et groupes autorisés à accéder au système
• Offre au sous-système de sécurité un service d’authentification des utilisateurs lors du processus de connexion.

Le moniteur de référence de sécurité est le seul module de sécurité qui s’exécute en mode noyau

Le système de sécurité contrôle systématiquement les droits d’accès du programme utilisateur pour valider ou non l’autorisation.

• Il vérifie que les processus utilisateurs ont le droit d’accéder aux objets auxquels ils tentent d’accéder (Restreindre l’accès aux objets tels que ressources système, fichier et périphériques)
• Il valide tous les accès aux objets et par cela génère les messages d’audit utilisés par le sous-système de sécurité et stockés dans le journal d’audit.

Il est alors en interaction avec le Gestionnaire d’objets :

Lorsqu’un processus tente d’accéder à un objet c’est le gestionnaire d’objets qui autorise ou non l’accès en évaluant le contenu du descripteur de sécurité associé : le SRM.

De plus, le gestionnaire d’objets peut utiliser les charges de quota de l’objet pour déterminer si le processus dispose encore d’un quota de ressources suffisant pour ouvrir l’objet.

En conclusion, sous Windows NT, le gestionnaire d’objets et le sous système de sécurité représente le point de passage obligé lorsqu’il s’agit de contrôler l’accès à une ressource, car toutes sont implantées sous la forme d’objets système.

De plus il y a une utilisation unique des objets : les identificateurs numériques associés aux comptes d’utilisateurs et aux comptes de groupes supprimés ne sont pas réutilisables. Tout compte portant le même nom qu’un groupe précédemment effacé reçoit un identificateur numérique différent, écartant ainsi tout risque de confusion entre les 2 comptes.

Les paramètres les paramètres par défaut, définis à l’installation initiale du système, ne sont optimisés pour une sécurité accrue. D’où évaluation et mise en place des niveaux de sécurité correspondant aux besoins.

• Les systèmes d'adressage dynamiques vérifient la validité des adresses virtuelles avant de les traduire en adresses physiques.
• Tant qu'un programme ne possède pas les privilèges du système d'exploitation, cette protection est assurée par le matériel.
• Les informations sensibles sont protégées par le système qui les sauvegarde chaque fois qu'une tâche perd la main
• La mémoire empêche tout programme d’avoir accès au code ou aux données utilisées par un autre programme ou par le système lui-même.
• Chaque programme s ‘exécute dans son propre espace de mémoire protégé.
• Le système refuse toute tentative d’accès par un autre programme à la mémoire d ‘un programme ou d’un processus même après avoir été libéré (réutilisation d'objet).
• Séparation de la mémoire principale (celle du système : du noyau) de la mémoire des programmes par un registre barrière.
• A partir des processeurs 386 d'Intel la mémoire est gérée par la CPU, la gestion des débordements physiques de la mémoire est gérée au niveau matériel et plus logiciel.

• Identification de l'utilisateur : nom unique de l'utilisateur, mot de passe, responsabilité des utilisateurs comme de l'administrateur : Application des règles d'accès.
• Mot de passe et utilisateurs :

L 'utilisateur doit protéger son mot de passe, s'il est divulgué, il doit être changer immédiatement après, changement de mot de passe régulier, mot de passe non évident, demande de limite de temps du mot de passe demandant à l'utilisateur régulièrement le changement.

• Mot de passe et système :

Possibilités de fermer le compte après un nombre infructueux de mots de passe erronés pendant un laps de temps et réouverture sous la responsabilité de l'administrateur.

D'où surveillance des connexions.

• Compléter mot de passe par d'autres techniques d'authentification…

Celui-ci est mis en œuvre au moyen des permissions ou des listes de contrôle d’accès.

Donc un service d’ouverture de session sécurisé.

• Mot de passe :

C’est la ligne de défense contre les utilisateurs sans autorisation adéquate, et les risques associés. Tous les comptes doivent disposer d’un mot de passe.

Cependant si on connaît le mot de passe d’un compte utilisateur pour bénéficier de tous les droits et privilèges qui lui sont associés.

Il existe des paramètres sur l’expiration du mot de passe qui sont les suivants :

• Durée de vie maximum du mot de passe
• Durée de vie minimum du mot de passe avec interdiction de réutilisation du mot de passe
• Date de modification du mot de passe

• Ouverture de Session :

Le système a accès presque à tout, il faut éviter qu'un programme puisse se mettre en mode système. L'identification des utilisateurs est de la plus haute importance par les mots de passe et les contrôles d'accès.

• Identification

Un utilisateur est identifié par un nom de 1 à 8 caractères. Ce nom ou login est associé à un UID. C’est l’UID qui sera utilisé par le système pour identifier les objets possédés par l’utilisateur.

L’authentification est affectée par l’intermédiaire d’un mot de passe. Lorsque l’utilisateur ouvre une session sur un système, il utilise soit une liaison asynchrone directe avec la machine, soit un accès réseau à partir d’une connexion déjà établie sur une autre machine.

L’accès au système est contrôlé au moyen d’un fichier qui contient les noms de login en clair et les mots de passe sous forme chiffrée. Un mot de passe est indéchiffrable. On ne peut que chiffrer un mot de passe en clair et comparer la valeur obtenue à celle contenue dans le fichier.

Le mot de passe comporte 8 caractères.(certains caractères spéciaux sont exclus).

Le fichier /etc/passwd contenant les mots de passe se présente sous la forme

Nom de login : Mot de passe : UID : GID : Commentaire : Répertoire initial : Shell

Ce fichier est en lecture publique de manière à permettre le remplacement chaque fois que possible de l’UID par le nom de login et du GID par le nom de groupe.

Il permet de faire la correspondance avec les listes de fichiers qui appartiennent à tel et tel utilisateur.

• Le chiffrement du mot de passe

Ce n’est pas le mot de passe qui est chiffré, mais une valeur constante fixée une fois pour toute, et c’est le mot de passe fourni par l’utilisateur qui sert de clé de chiffrement.

On ne peut donc que chiffrer et comparer des valeurs chiffrées entre elles pour valider l’opération.

• Un autre fichier gère aussi l'authentification : etc/shadow

Il n'est pas accessible aux utilisateurs. Le mot de passe même chiffré n'est plus accessible en lecture.

• Il existe un fichier permettant d’associer un nom au GID (etc/gid) et pour déclarer un utilisateur dans des groupes secondaires. Le fichier de mot de passe est le groupe principal.

Ce fichier est aussi en lecture publique.

• PAM : Pluggable Authentification Modules :

PAM se veut un mécanisme flexible d'authentification des utilisateurs (pas de réécriture lors des programmes tels que ftp, login…lors d'une évolution de etcd/shadow). Les programmes supportant PAM doivent pouvoir se lier dynamiquement à des modules chargés d'effectuer l'authentification. L'ordre d'attachement des modules et leurs configurations sont à la charge de l'administrateur système qui gère cela de façon centralisée. Chaque application PAM doit posséder un fichier de configuration dans le répertoire /etc/pam.d. Chacun de ces fichiers est composé de :

• Type de module (authentification, gestion des utilisateurs, tâches à effectuer en début et fin de chaque session, mise à jour du jeton d'authentification de l'utilisateur)
• Contrôle de réussite des modules
• Chemin du module (/usr/lib/security)
• Arguments optionnels.

Le processus d’accès à Windows NT commence à l’amorçage du système d’exploitation et par l’initialisation d’une nouvelle connexion. Le processus de connexion permet aux utilisateurs de systèmes de bureau d’avoir la configuration personnelle. Quand les utilisateurs se connectent, les paramètres de leur session précédente sont récupérés et restaurés à partir d’un profil.

L’ouverture de la session représente pour l’utilisateur la 1^ère barrière à franchir avant d’être autorisé à manipuler une ressource donnée. Si l’autorisation de logon est accordée, le système construit un jeton d’accès (token access) qu’il associe au processus utilisateur, de manière à traduire et à enregistrer l’ensemble de ses droits d’accès. Lorsqu’un processus demande l’ouverture d’un handle d’objets, le gestionnaire d’objets consulte le jeton d’accès et autorise ou non l’opération en fonction des droits rencontrés. Le mécanisme est en plus renforcé par l’utilisation d’un descripteur de sécurité, dont le rôle est d’énumérer les processus ou groupe de processus pouvant accéder à cet objet. C’est le gestionnaire d’objets et le système de sécurité qui effectuent la synthèse de toutes ces informations pour déterminer si l’appelant peut ou non obtenir le handle qu’il réclame.

• Le SID identificateur de sécurité
• Le SID de groupes
• Les privilèges
• Un SID associé aux ressources possédées
• Une ACL par défaut associé à tout fichier créé
• Un groupe primaire lui est aussi associé par défauts aux nouveaux objets

On formalise le système comme un ensemble d'entités actives, les sujets, un ensemble d'entités accessibles, les objets. Le modèle de protection définit quels sujets ont accès à quels objets et comment (modalités d'accès).

On parle alors de droit d'accès, définis par le couple (objets, modalités). Ex fichier, lire

Le modèle doit fixer à tout instant les droits d'accès dont dispose chaque processus. Cet ensemble de droits est le domaine de protection du processus.

Il est souhaitable que la matrice d'accès puisse évoluer dynamiquement. En effet, un même processus peut avoir, au cours de son existence, des besoins variables afin que chaque module qui compose un processus ne mette pas en danger des ressources non utilisées. Par exemple un module de lecture de données, un module de calcul, un module d'impression. On va donc exécuter chaque module dans un domaine de protection le plus réduit possible.

C'est le principe du moindre privilège : un programme ne peut endommager un objet auquel il n'a pas accès

Pour mettre en place ces domaines dynamiques, une possibilité est de changer les droits d’accès du processus au cours de son exécution. Une autre possibilité est d’ajouter aux objets le type de domaine et de contrôler son accès à la matrice. L’édition des cases de la matrice devient une opération protégée.

Avantages de cette souplesse

• Le maillon faible : un système rigide laisse souvent des " poternes " (portes dérobées) pour pouvoir implémenter certaines opérations
• Si les mesures de protection sont trop pesantes, l’expérience prouve que l’on crée souvent des moyens " exceptionnels " pour les contourner.
• Il est intéressant de faire varier les contrôles suivant les utilisateurs
• On peut réaliser des accès à la carte sur certains objets
• Enfin certains problèmes de protection nécessitent des mesures souples, ce sont Cheval de Troie et le Confinement

L’opération est réalisée en accordant des droits d’accès à un utilisateur ou à un groupe d’utilisateur.

Les droits d’accès à une ressource sont fixés par son propriétaire. C’est lui qui détermine les utilisateurs ayant droits d’accéder à la ressource, c’est lui aussi qui détermine ce qui peut être fait avec. Donc en conclusion :

Les objets de Windows NT couvrent un vaste ensemble incluant les fichiers, les ports de communications et les threads d’exécution. Chaque objet peut être doté d’une sécurité individuelle ou d’une sécurité de groupe. Les objets ont différents types de permissions, qui permettent d’autoriser ou d’interdire leurs accès. Par exemple les objets répertoire et fichier peuvent avoir les permissions de lire, écrire et exécuter, alors que les files d’impression auront les permissions de gérer les documents et de les imprimer. Les répertoires sont des objets contenants des fichiers, les permissions octroyées accordées au contenant sont héritées par les objets fichiers qu’il contient.

Tous les objets ont un descripteur de sécurité qui contient les attributs de sécurité suivant :

• L’identifiant de sécurité de l’utilisateur propriétaire de l’objet, qui est généralement celui qui a créé l’objet
• La liste de contrôle d’accès (ACL) contenant les informations sur les utilisateurs et groupes qui peuvent accéder à l’objet
• Une ACL système concernant le système d’audit
• Un identifiant de sécurité de groupe utilisé par le sous-système POSIX

Le système de permissions associé au système de fichiers constitue le mécanisme de contrôle d’accès discrétionnaire de base du système

L’accès aux fichiers est conditionné par l’UID et le GID de l’utilisateur.

L’UID est un nombre associé au nom de login de l’utilisateur, le GID est le nombre associé au groupe auquel est rattaché l’utilisateur.

Chaque utilisateur possède un UID qui lui est propre, le GID par contre peut être partagé par plusieurs utilisateurs qui font alors partie du même groupe. (/etc/group)

L’UID et le GID ont des valeurs comprises entre 0 et 65535, 0 étant une valeur particulière qui donne les privilèges suivants

• Accès à la totalité des fichiers systèmes quelles que soient les permissions
• Droits d’exécuter la totalité des appels système

Dans tous les cas l’UID 0 n’accorde pas tous les droits, car il reste un processus qui s’exécute en mode utilisateur, seules certaines parties du noyau ont un privilège supérieur appelé mode kernel.

La protection des fichiers entre utilisateurs est assurée au moyen de 3 permissions s’appliquant à 3 classes utilisateurs :

• Le propriétaire du fichier
• Le groupe du fichier
• Tous les autres

D’où assurance d’une protection totale des fichiers

Les permissions des fichiers et des répertoires

Un répertoire est un fichier contenant des noms de fichiers et d’autres répertoires

Un fichier possède les permissions rwx

r permissions de lire le fichier

w permissions d’écrire le fichier : ajouter, supprimer, modifier les données

x permissions d’exécuter les fichiers

Un répertoire possède les permissions rwxr

r permission de lire : de lister le répertoire

w permission d’écrire : ajouter, supprimer, modifier les fichiers

x permission de traverser le répertoire, la suppression de cette permission interdit toutes opérations sur le répertoire et donc sur tout le contenu.

Le système UNIX suit dans l'ordre, un ensemble de règles simples pour déterminer la catégorie à vérifier pour l'accès aux fichiers :

• Si l'utilisateur est aussi le propriétaire du fichier, vérifier uniquement les droits de propriété
• Si l'utilisateur n'est pas le propriétaire, mais un membre du groupe possédant le fichier, vérifier uniquement les droits d'accès du groupe
• Si l'utilisateur n'est ni le propriétaire, ni membre du groupe propriétaire, vérifier uniquement les droits d'accès des autres.
• Si un fichier permet la lecture et non l'écriture, un utilisateur peut copier le fichier et ajouter le droit d'accès en écriture, permettant ainsi la modification de la copie
• Si un fichier permet l'écriture et non la lecture, le fichier ne peut être édité. On peut toutefois ajouter des informations à la fin du fichier ou remplacer entièrement son contenu
• Le droit d'exécution, seul, permet l'exécution des programmes compilés, pour exécuter les scripts il faut les droits de lecture et d'exécution.

Elles sont sans signification, ce sont celles du fichier désigné par le lien symbolique qui déterminent l’accès.

• Le mécanisme de substitution d’identité :

La permission x sur un fichier peut être remplacée par la permission s qu’on peut affecter au propriétaire et/ou au groupe du fichier. Cette permission indique que le fichier est exécutable et que pendant son exécution on prend les droits du propriétaire et/ou du groupe du fichier exécutable. Il est SUID et/ou SGID

Lorsqu’un processus s’exécute, ses droits d’accès sont conditionnés par l’UID effectif (EUID) et par le GIDeffectif (EGID)

Ces derniers sont respectivement égaux à l’UID et ou au GID de l’utilisateur qui a lancé l’exécution du processus.

Pendant l’exécution du fichier pour lequel la permission s est associée au propriétaire, alors l’UID effectif est égal à l’UID associé au propriétaire du fichier exécuter.

Pendant l’exécution d’un fichier pour lequel la permission s est associée au groupe, alors le GID effectif est égal au GID du groupe du fichier exécuté

• La notion de Groupe :

Un processus à un moment donné possède les droits d’accès d’un seul groupe défini par son EGID. Il possède les droits d’accès de ce groupe et tous les fichiers qu’il crée, sont crées avec un groupe égal à l’EGID du processus créateur. L’utilisateur peut changer de groupe, mais uniquement si il est membre du nouveau groupe. Il change alors de GID pour celui du nouveau groupe choisi.

• La permission t :

Elle indique que le segment texte d’un fichier exécutable n’est swappé out qu’une seule fois et qu’il est conservé dans l’espace disque swap une fois que la commande est terminée. Cela réduit donc le nombre de swap out et permet un changement en mémoire plus rapide lors d’une exécution ultérieure.

Elle indique sur un répertoire le fait de protéger les fichiers qu’il contient, contre la suppression : seul le propriétaire du fichier et le root peuvent alors supprimer un fichier situé dans un tel répertoire. (protège par exemple les fichiers temporaires dans les répertoires publics).

• Groupe et Substitution d’Identité :

Les commandes SUID permettent d’obtenir pendant la durée totale ou partielle de leur exécution les privilèges accordés à un autre utilisateur (à un autre UID). Pour les commandes SUID root, les privilèges de l’UID 0 sont utilisés pour accéder à des fichiers auxquels l’utilisateur n’a pas normalement accès ou pour avoir le droit d’exécuter certains appels systèmes. Il est préférable, chaque fois que possible, d’utiliser le mécanisme de substitution d’identité au niveau d’un groupe crée spécialement à cet effet plutôt que de l’attribuer à l’UID 0. En cas d’anomalie de fonctionnement, une commande SGID est généralement moins dangereuse qu’une commande SUID root. En effet l’UID 0 donne tous les privilèges alors que l’obtention des privilèges ne donne accès qu ‘à un sous-ensemble de privilèges.

• Le montage des systèmes de fichiers :

Uniquement l’administrateur système peut monter le système de fichier avec tous les droits. Cette restriction ne permet donc pas que tout utilisateur puisse avoir la possibilité d’importer des commandes SUID sur le système ou certains fichiers avec des permissions permettraient des attaques.

Il faut alors monter les systèmes de fichiers en mode Read_only qui permet d’assurer ainsi l’intégrité des données sur le système de fichiers.

• L’intégrité du système de fichiers :

Elle est effectuée en corrigeant les incohérences qui pourraient apparaître dans la structure du système de fichiers, à la suite d’un crash système provoqué par exemple par une coupure d’électricité. Elle permet de retrouvé une situation proche de celle au moment du crash.

• Les IPC :

3 classes d’objets : les sémaphores, les segments de mémoire partagée, les queues de messages.

Ces objets mémoire sont protégés par un mécanisme proche de celui utilisé pour les fichiers.

Ils sont identifiés par une clé fournit par l’utilisateur qui crée l’IPC. Cette clé permet d’obtenir un identificateur système de l’IPC. Un processus peut accéder à un IPC si

Il connaît la clé associée à l ‘objet

Les permissions de l’objet lui en autorisent l’accès

2 ou plusieurs processus peuvent obtenir une clé commune.

• Un segment est identifié à un identificateur auquel lui est associé
• Une structure de données contenant des informations assez proches de celles contenues dans l’inode d’un fichier.
• Le segment de partagé lui-même

L ‘IPC introduit en effet le CUID ou UID créateur de l’IPC. Et le CGID ou GID du créateur de l’IPC. La valeur initiale du CUID et de l’UID de l’IPC est égale à l’UID effectif du processus créateur. Il en est de même pour le CGID et le GID de l’IPC qui sont initialisés à la valeur du GID effectif du processus. Les permissions initiales sont déterminées au moment de la création de l’IPC. Par la suite les permissions, l’UID et le GID de l’IPC peuvent être modifiées.

Les permissions sur les segments de mémoire sont semblables à celles des fichiers. Le bit x est toutefois inutilisé. Pour un processus, lire ou écrire dans un IPC est toujours possible si l’UID effectif est égal à zéro.

Les queues de messages et les sémaphores ont des comportements de permissions identiques à celui des segments de mémoire partagée.

Accès universel aux ressources

Droit de l’utilisateur : arrêt du système, modification de l’heure…

Accès à un objet : lorsque l’utilisateur accède à un objet (un fichier par exemple), son jeton d’accès est utilisé pour contrôler les permissions dont il dispose sur l’objet

Le programme qui gère l’objet (traitement de texte par exemple) lance un processus qui reçoit de l’environnement un exemplaire du jeton d’accès

Lors de l’ouverture de l’objet, la demande envoyé au système de fichiers NTFS avec le jeton

Le système de fichier compare les identificateurs de sécurité (SID) présents dans le jeton d’accès aux entrées présentes dans les ACL du fichier afin de déterminer si l’utilisateur dispose des permissions demandées.

• Permissions sur les fichiers :

Se situe entre les mots de passe et les données. Permet de protéger efficacement les fichiers contre les utilisateurs non répertoriés et les utilisateurs autorisés mais indiscrets et maladroits.

Inutile si la session est ouverte avec les droits de l’administrateur.

Tous les utilisateurs voulant avoir accès à un système Windows NT sécurisé doivent avoir un compte utilisateur sur ce système. Le nom identifie l’utilisateur et le mot de passe le valide. Les groupes sont des collections d’utilisateurs. Il est beaucoup plus facile d’affecter des droits et des permissions à des groupes d’utilisateurs individuels.

Les comptes utilisateurs contiennent des informations sur les utilisateurs comme le nom complet, le nom d’utilisateur, un mot de passe, la localisation du répertoire de travail, les plages horaires de connexion, et le paramétrage personnel du bureau.

Lorsqu’un nouveau compte utilisateur est créé, NT lui affecte un identifiant de sécurité unique (SID). Tous les processus internes identifient le compte utilisateur par le SID, plutôt que le nom d’utilisateur du compte. Cet identifiant est unique pour chaque compte. La création d’un compte, puis la suppression et enfin la création de ce compte avec le même nom sera différente car le SID n’est pas le même.

administrateur

invité

Groupe locaux : définit les permissions et les droits des utilisateurs sur les machines locales à l’intérieur d’un domaine. Mais il est possible d’ajouter des comptes d’utilisateurs et de groupes provenant d’autres domaines

Groupes globaux : est formé des utilisateurs d'un domaine en vue de leur donner des droits dans un domaine approuvant

Stratégie : les groupes globaux contiennent un ensemble d'utilisateurs, les groupes locaux un ensemble de droits d'accès à des ressources et des groupes locaux.

• Système de fichier NTFS (NT file system)

Processus d’amorçage particulier et utilisant les services NT

Fonctions d’accès disques de bas niveau sont réalisées par des pilotes intégrés au BIOS en ROM.

Un programme DOS sous NTFS ne permet pas d’écrire directement sur les disques

NTFS fournit un haut niveau de sécurité, uniquement lorsque le système est en activité :

Alors NTFS offre des permissions permettant de contrôler l’accès à des fichiers ou aux répertoires. La sécurité doit comporter des mesures physiques telles que des utilitaires de cryptage pour protéger les données.

Les permissions contrôlent l’accès à toutes sortes d’objets, autre que les objets du système de fichiers. Les autres aspects de la sécurité sont les connexions des utilisateurs, la gestion des comptes et des droits d’accès.

• La sécurité du système de fichiers présente 2 aspects :

Restreindre l’accès aux informations d’un ordinateur local à des utilisateurs se connectant à ce dernier.

Restreindre l’accès aux informations partagées à travers le réseau.

L’accès aux dossiers et aux fichiers est contrôlé par des permissions, lesquelles sont définies par les administrateurs ou les propriétaires des ressources.

Les permissions individuelles sont :

Lire R ouvre et affiche le contenu d’un fichier

Ecrire W modifie le contenu d’un fichier ou crée un nouveau fichier

Exécuter X exécute un programme ou un fichier exécutable

Supprimer D supprime des fichiers

Modifier les permissions P modifie les permissions d’un fichier ou d’un répertoire existant

Acquérir propriété O se rendre propriétaire d’un fichier ou d’un répertoire.

Les permissions standards sont une combinaison de ces permissions individuelles, conçues pour fournir un ensemble de permissions appropriées pour les besoins les plus courant.

Les permissions standards sont les suivantes dans la 1^ère colonne :

La seconde colonne liste les permissions individuelles qui forment la permission standard.

La 3ème colonne indique les permissions affectées aux nouveaux fichiers créés dans le dossier.

Les utilisateurs peuvent acquérir des permissions d’accès aux fichiers ou aux dossiers à partir de nombreuses sources. Par exemple la permission de Lire peut être due à leur compte utilisateur, et celle de Modifier les permissions à leur appartenance à un groupe. Le plus haut de niveau de permission s’applique et les permissions sont cumulatives, ce qui permet de combiner les affectations de permission provenant de plusieurs sources. Cependant, une permission Aucun Accès de n’importe quelle provenance interdit l’accès au fichier ou au répertoire, indépendamment de toutes les autres permissions accordées.

Protection de la base de registre est gérée par le système de fichier NTFS. Par défaut les groupes globaux administrateur et système ont le contrôle total, les autres uniquement Lire et Exécution.

• La base de registre :

Les clés de registres ont des propriétaires et des valeurs de permissions :

Il existe 2 jeux de permissions définis pour les clés du registre.

• Lire : combinaison des permissions Retrouver la valeur, Enumérer les sous clés, Notifier et Lecture du contrôle. L’utilisateur a la possibilité de parcours et de consulter le registre sans bénéficier de droits d’écriture et de suppression.
• Contrôle total

Ensemble des permissions disponibles

Il est possible de modifier les permissions d’accès aux clés de registre par utilisateur

Le type d’accès peuvent être Lire, Contrôle Total, Accès spécial

Liste d ’utilisateurs et de groupes ayant des permissions d ’accès à un objet.

Contrôle d ’Accès Discrétionnaire plus souple.

• Permet d ’accéder ou de refuser l ’accès à un utilisateur ou un groupe donné
• Commandes : chacl et lsacl :

Position des droits standard : chmod puis chacl

Une ACL est en faite une liste d’utilisateurs et de groupes qui ont des permissions d’accès à un objet. Chaque objet a une ACL qui lui est propre. Les propriétaires des objets peuvent créer des entrées dans l'ACL par des outils tels que le Gestionnaire de fichiers ou en définissant les propriétés des fichiers et des dossiers.

Les utilisateurs peuvent avoir plusieurs entrées dans une ACL d’un objet, ce qui leur confère différents niveaux d’accès. Par exemple un utilisateur peut avoir une permission de lire un fichier en fonction de son compte utilisateur et une permission d’écrire/ exécuter associée à son appartenance à un groupe. Chacune de ces permissions apparaît dans une entrée séparée de l’ACL.

Quand un utilisateur tente d’accéder à un objet, il a en général un accès de base tel que lire ou lire/ écrire. Pour accorder ou refuser l’accès, le Moniteur de Sécurité (SRM) compare l’information du jeton d’accès des utilisateurs aux entrées de l’ACL. Le jeton d’accès contient des identifiants et la liste des groupes auquel l’utilisateur appartient. Le SRM va comparer cette information à une ou plusieurs entrées de l’ACL jusqu'à trouver les permissions suffisantes pour octroyer les accès souhaités. S’il ne trouve pas les permissions suffisantes, l’accès est refusé.

Si le SRM trouve plusieurs entrées pour l’utilisateur, il regarde si une entrée ou une combinaison d’entrées peut accorder à l’utilisateur la permission d’utiliser cet objet.

Certaine entrées de l’ACL peuvent interdire l’accès à un objet plutôt que de l’autoriser. Par exemple la permission Aucun accès supprime tous les accès à un objet même si l’accès est rendu possible par d’autre entrée de l’ACL.

Audit de sécurité : mécanisme permettant de détecter et d’enregistrer tous les événements ou opérations importants liés à la sécurité ;

Le principal problème d’un système d’audit est de maîtriser le volume de données générées et à trouver le temps nécessaire pour examiner sérieusement les données de l’audit.

Les entités à auditer sont :

• Les objets du système : les objets sont constitués par le système de fichier
• Les événements survenus sur le système :

C’est de loin l’audit de permissions du système de fichiers qui est le plus important car il détermine la robustesse globale du système. Il permet de vérifier que la base de confiance sur laquelle repose la sécurité du système n’est pas corrompue

L’audit de base est effectué avec la commande find. Elle permet de balayer la totalité du système de fichiers et d’y rechercher des informations de manière sélective

• Recherche des fichiers SUID et SGID
• Recherche des fichiers et répertoires inscriptibles par tous
• Recherche des fichiers ayant un UID ou un GID fantôme : Lorsqu'un utilisateur est supprimé des tables systèmes, il est indispensable de supprimer les fichiers qui lui appartenaient.
• Règles sur les permissions et les répertoires

• Enregistrement des login
• Enregistrement des su
• Messages système enregistrés par le démon syslog

La comptabilité du système est un mécanisme du noyau UNIX qui enregistre l’information permettant d’effectuer la facturation des ressources consommées par chaque utilisateur du système. Les ressources prises en compte sont :

• Le temps CPU des processus
• Les temps de connexion
• L’espace disque occupé
• Les pages imprimées

Le format de fichier de comptabilité est décrit par le fichier

/usr/include/sys/acct.h

Les commandes permettant d ‘examiner les processus et les utilisateurs connectés sont ps et who

Ce sont les fonctions d’audit minimales, sur certain UNIX elles sont beaucoup plus complètes et veulent atteindre le niveau C2 avec :

• Le déport des mots de passe dans le fichier privé passwd.adjunct situé dans le répertoire /etc/security qui contient aussi les informations d’audit
• La mise ne place d’un système d’audit complet

La raison principale pour laquelle les systèmes UNIX standard sont placés dans la classification du livre Orange au niveau C1 provient de l ‘absence d’un système d’audit plus complet que celui délivré par syslogd.

Le passage en mode en mode C2 est effectué par la procédure C2conv, il est possible de revenir au mode normal par la procédure C2unconv.

Le démon d’audit appelé auditd est lancé avec les privilèges de l’utilisateur audit de manière à permettre à cet utilisateur, qui ne possède pas de privilèges particuliers, d’examiner les fichiers d’audit. Un système de fichiers est affecté aux données d’audit qui se trouve dans le répertoire /etc/security/audit.

Les données examinées avec la commande praudit concerne 8 catégories. Pour chaque utilisateur on audite une combinaison de ces 8 catégories.

• Lecture de fichiers
• L’écriture de fichiers
• La création de fichiers
• Le changement de date et d ‘accès d’un fichier
• Les opérations de login et de logout
• Les opérations d’administration
• Les opérations privilèges mineures
• Les opérations privilèges majeures

Elles sont indiquées dans le fichier passwd.adjunct, + et – indique une réussite ou un échec.

Le paramétrage peut être statique (fichier /etc/security/audit/audit_control) ou dynamique (commande audit).

Ce système collecte les informations sur la façon dont les objets sont utilisés, les stocke dans des journaux et permet de gérer les événements afin d’identifier les brèches de sécurité. Si une telle faille est découverte, les journaux d’audit vous aideront à déterminer l’étendue du dommage afin de restaurer votre système et de vous prémunir contre des intrusions futures.

Trop d’audit risque de ralentir le système et de consommer beaucoup d’espace disque. Il faut évaluer avec soin la quantité d’audit souhaitée. Quand des activités non autorisées sont suspectées, la meilleure approche est d’auditer les évènements suivants.

• Échecs de tentatives de connexions
• Tentatives d’accès à des données confidentielles
• Modification des paramètres de sécurité

L’Observateur d’évènements peut permettre de détecter les évènements relatifs à la sécurité suivants :

• Evènements de gestion des utilisateurs et des groupes, comme la création d’un nouvel utilisateur ou la modification d’une propriété d’un groupe
• Détection d’activité de la part d’utilisateurs, comme le démarrage d’un programme ou l’accès à des objets.
• Evènements de connexion et de déconnexion sur le système local ou au niveau réseau
• Tentatives réussies ou non d’accès aux objets
• Modifications des stratégies de sécurité, tels que les modifications des privilèges et des capacités de connexion
• Tentatives d’utilisation de privilèges
• Evènements système qui affectent l’intégralité du système ou du journal d ‘évènements

Le système d’audit détecte les évènements selon 2 identifiants :

• L’identifiant d’utilisateur
• L’identifiant d’usurpation d’identité

Ceci permet d’identifier les utilisateurs dont l’identité pourrait être usurpée par certains processus du système. Un mécanisme de détection de processus permet aussi d’intercepter les nouveaux processus au moment de leur création et de fournir de l’information à la fois sur le compte utilisateur qui réalise une action et sur le programme utilisé pour mener cette action.

Le système d’audit a un inconvénient ( courant dans la plus part des systèmes) il peut renseigner sur le compte qui était utilisé lors d’une certaine opération, mais il ne peut pas avoir l'assurance que le compte était utilisé par le propriétaire d’origine c'est à dire que

Windows NT n’est capable que de noter le nom de l’utilisateur à l’origine de l’action, grâce à l’identificateur d’ouverture de session qui lui est associé.

Si on effectue un bilan de l'audit de Windows N, l'audit est en 4 points :

• Audit Evénement Système :
• Ouverture et fermeture de session
• Accès aux objets et fichiers
• Utilisation des droits utilisateurs (réussite et échecs)
• Gestion des utilisateurs et groupes (composition)
• Modifications des stratégies (droits des utilisateurs et groupes)
• Redémarrage
• Suivi de processus
• Audit de Gestion de Fichier :
• Lecture des données, attributs, propriétaire
• Modification de fichier, répertoire
• Suppression de fichier, répertoire
• Modifications des permissions, du propriétaire
• Exécution d'un programme
• Audit de la Base de Registre :

• Audit Imprimante :
• Impressions
• Annulation
• Modifications des permissions
• Audit des Accès à distance

Ce sont les événements qui peuvent arriver. Elles sont de 2 natures différentes :

Les menaces matérielles et les menaces immatérielles.

Ce que l'on nomme les menaces matérielles correspond aux pannes et aux divers incidents susceptibles de mettre en cause la bonne marche de la machine.

Les menaces logicielles regroupent toutes les possibilités d'attaque et d'altération que peuvent subir les données, les programmes ou le système d'exploitation.

Elles proviennent

• Soit de l’extérieur : des individus ou des systèmes distants qui se tentent de d’introduire par hasard ou pour des raisons précises dans votre système
• Soit à l’intérieur : Certains utilisateurs malveillants ou trop curieux essaient d’effectuer des opérations qui leurs sont interdites (espionnage industriel).

Les virus sont des programmes qui pénètrent dans d’autres programmes, déjà présent sur le système, produisant des effets indésirables lorsque l’hôte l’exécute.

C’est une suite d’instructions introduite dans un programme de manière à réaliser, en plus des actions néfastes précédentes, une fonction de reproduction dans d’autres objets du système de manière à rendre l’éradication la plus difficile possible.

Ce type de virus infecte le master boot record d’un ordinateur en écrasant le programme d’amorçage d’origine et en le remplaçant par un programme infecté. Il se propage au disque dur lorsque la machine a été démarrée à partir d’une disquette infectée

Ce virus infecte les fichiers du disque, le plus souvent les fichiers exécutables. Les fichiers du système d’exploitation sont aussi visés. Des variations dans la taille des fichiers sont souvent le signe d’une infection. Le programme d’origine est souvent remplacé par un programme infecté.

Ce type de virus change d’aspect pour éviter d’être détecté par un logiciel anti-virus. Le virus se chiffre lui-même avec un algorithme spécial qui change chaque fois qu ‘une infection a lieu.

Ceci est un virus qui tente de se cacher du système d’exploitation et des logiciels anti-virus. Les virus furtifs restent en mémoire pour intercepter les tentatives d’utilisation du système d’exploitation qui sont faites, et masquent les modifications faites à la taille des fichiers. Ces virus doivent être détectés lorsqu’ils sont en mémoire.

Ce type de virus infecte aussi bien les secteurs d’amorçage que les fichiers exécutables. Ils constituent la ruse et le polymorphisme pour éviter d’être détectés.

Ce sont des programmes exécutables qui se rattachent à des documents Word, Excel, Access. Le virus s’exécute et provoque des dégâts lorsque la macro est exécutés.

Le vers est similaire au virus mais sa fonction de reproduction est capable de se propager à travers les réseaux auxquels la machine est connectée. (comme par exemple I love You par la messagerie électronique).

C’est un programme permettant de profiter des droits donnés par l’utilisateur pour consulter, copier, modifier ou altérer des données auxquelles il n’est pas censé accéder.

Ce programme peut porter le même nom que le programme répertorié sur le système. Il est exécuté par une victime en lui donnant l’impression que c’est l’original qui s’exécute. Le but du cheval de Troie est de mettre en place une faille dans le système en faisant en sorte qu’il soit exécuté par un utilisateur possédant plus de privilèges que la personne qui l’introduit dans le système.

C’est un programme ou une altération d’un programme original qui va se déclencher de manière différée. Généralement de tels programmes se déclenchent en lisant l’heure du système, en incrémentant un compteur interne ou enfin sur l’arrivée d’un événement quelconque. Le temps de déclenchement peut être élevé de sorte qu’il soit difficile de remonter dans le temps pour trouver l’origine de l’infection.

Le programme ne manipule pas de données de l’utilisateur mais simplement enregistre ses paramètres d’appels (les utilisateurs à qui vous envoyez du courrier par exemple).

Le problème du confinement est donc de vous protéger contre ce type d’extraction d’informations.

• Quelles sont les ressources à protéger ? Quels sont les biens de valeurs qui pourraient être perdus ?
• Contre qui faut-il les protéger ? Quelles sont les sommes qui ont été investies pour leur mise en œuvre et quelles sommes doit-on consacrer à leur sécurité ?
• Evaluer les menaces possibles
• Prévenir les incidents
• Traiter les incidents
• Recherches et Evaluation des besoins de sécurité
• Perte des données, pertes de matériel, pertes d’activité
• Sécurité et Convivialité sont à l’opposé. Le confort d’utilisation est inversement proportionnel au niveau de sécurité du système. Il faut trouver les meilleurs compromis qui correspondent le mieux à la situation. (Facile de sécuriser des ordinateurs autonomes mais cela peut poser des problèmes si on veut échanger des données) .

L'objectif d'une politique de sécurité est de maintenir un système dans des conditions de sécurité, de disponibilité et financières conformes aux exigences que doit attendre l'entreprise.

Pour disposer de politiques de sécurités efficaces, il faut disposer de

• Moyens humains (sensibilisation des utilisateurs, administrateurs)
• Moyens matériels (logiciels et machines)
• Moyens financiers (audit, mises à jours fréquentes des composants sensibles)

Quelque soit le niveau de sécurité que l'on souhaite, il faut obligatoirement pouvoir faire face à quelques situations élémentaires.

Il faut être capable de savoir définir avec précision ce qui est sensible et ce qu'il faut protéger.

Vouloir trop protéger un système peut conduire à des incompatibilités avec certaines applications ainsi qu'à des pertes de performances.

Une politique de sécurité efficace repose sur des scénarios éprouvés et des opérations quotidiennes, souvent ennuyeuses et fastidieuses, en prévention des menaces et des désastres potentiels. Dans tous les cas il vaut mieux prévenir que de guérir.

Les stratégies de sécurité concernent les règles d’utilisation des comptes ainsi que les transactions admises sur les données

Les mesures de sécurité concernent les activités d’administration. Elles font l’objet de révisions et de mises à jour régulières, voir de reprise après sinistre.

Les stratégies les plus efficaces sont toujours lues, comprises et acceptées par les utilisateurs (charte).

• Appartenance du compte (interdit à tous les autres utilisateurs, ils ne doivent pas y avoir accès).
• Condition de définition et d’utilisation de mot de passe (confidentialité et unicité des informations). Pas de divulgation des mots de passe.
• Gestion des comptes notamment les suppressions des comptes d’utilisateur lors d’un départ, d’une utilisation momentanée…
• Autorisation de surveillance de l’activité des comptes par les administrateurs système selon les besoins liés à la sécurité, aux performances, à la configuration générale et à l’administration des comptes….

Elles permettent d’évaluer l’efficacité générale du système.

• Règles d’accès aux ordinateurs : liste des utilisateurs, privilèges et interdictions définis pour les comptes. Cette opération permet de déterminer l’étendue des actions admises pour les différents groupes d’utilisateurs.
• Durée de vie et restriction des mots de passe, réutilisation de comptes existants…
• Surveillance du système (fréquence, modalité)
• Audit du système (fréquence, étendue)
• Règles et stratégies de gestion et de réparation après une brèche de sécurité
• Mise à jour périodique

Utilisation de plusieurs antivirus avec mise à jour quotidienne pour recevoir les dernières versions et les être tenu informé des nouvelles menaces potentielles.

Cette partie n'est pas complète, le nombre de faiblesses et de failles étant importantes sur les 2 systèmes. Les points cités ne sont que quelques exemples.

Il existe une faille de sécurité matérielle si les mécanismes de protection existants peuvent être contournés.

• Utiliser par un contournement les instructions réservées au mode superviseur
• Modifier le déroulement d’un autre processus sans y être autorisé par le superviseur
• Augmenter ses privilèges sans l’autorisation du superviseur
• Communiquer ouvertement ou secrètement avec d’autres processus sans l’autorisation du superviseur

Les listes de contrôle d’accès réglementent les transactions sur les fichiers. Les ressources ne sont pas répertoriées dans aucunes ACL accessibles. Sauf pour Windows NT3.51 si un utilisateur supprime la liste de contrôle d’accès d’un fichier n’importe qui peut effacer ce dernier.

L’interface utilisateur Windows NT offre des possibilités évoluées d’exploration des ressources partagées. (fichiers, imprimantes réseau). Les connexions anonymes permettent à n’importe quel utilisateur de consulter le contenu des systèmes distants sans devoir fournir d’informations d’authentifications (nom et mot de passe). Inconvénient majeur : un utilisateur mal intentionné peut recueillir des informations essentielles relatives à un système distant particulier, comme le nom de compte d’administrateur, les noms de fichiers partagés (y compris ceux des partages cachés) et les paramètres du registre local.

Windows NT propose de nombreux utilitaires facilitant le déboggage et la mise au point du noyau. Ces outils sont disponibles à partir d’un compte d’utilisateur ordinaire alors qu’ils devraient être réservés uniquement à l’administrateur et à certains utilisateurs. En l’absence de contrôle de l’adresse de retour il est aisé de récupérer des informations système, puis d’ajouter son nom au groupe Administrateurs.

Utilisation de l’outil Rollback fournit en standard. Cet outil permet aux constructeurs d’ordinateurs de préinstaller l’OS, et aux administrateurs de modifier les configurations de base. L’utilisation de cet outil de façon peu scrupuleuse endommage les fichiers systèmes, obligeant une restauration ou une réinstallation complète.

Les chemins de recherche permettent de spécifier les emplacements des exécutables de commandes, soulevant par-là un sérieux problèmes de sécurité. Un utilisateur peut alors les remplacer par les siens, rendant les commandes et les utilisateurs inopérants. D’où Cheval de Troie :

Placer les répertoires systèmes avec les répertoires applicatifs

Répertoires de commandes doivent être accessibles en écriture qu’aux administrateurs

Répertoires modifiables que par leurs propriétaires respectifs.

Les contenus des répertoires partagés seront régulièrement vérifiés, à la recherche de fichiers exécutables suspect.

Cet OS est utilisé dans des environnements qui nécessitent une haute disponibilité et une sécurité maximale

• Assurer le suivi et les évolutions des différents correctifs sortis afin de les analyser et les tester pour intégrer les différents environnements de travail (service pack et hotfixs).
• Fournir un guide des différentes étapes de sécurisation des postes de travail
• Recenser les différentes failles présentes lors de l'installation de l'OS ainsi que les méthodes pour y remédier en appliquant un minimum de règles de sécurité.
• Droits des utilisateurs

Règles au niveau des mots de passe : attribuer une longueur minimale, une durée d'utilisation et également tenir compte d'un historique afin que les utilisateurs ne puissent pas choisir plusieurs fois de suite le même mot de passe.

Possibilité de renommer sous NT le compte Administrateur, désactiver le compte Invité.

Et le sortir de tous les groupes afin d'être sûr de ne pas être utilisé, lui créer un mot de passe car par défaut il en a pas. Il doit être rendu inefficace.

Seule l'administrateur doit être dans le compte Administrateurs. Possibilité de créer un compte Administrateur factif et désactivé.

Supprimer le compte tout le monde, et créer un nouveau ou toutes l’on retrouve tous les utilisateurs

• Sécurisation de la base de registre :

Il faut sécuriser les clefs les plus vulnérables afin que seul l'administrateur, le propriétaire et le système aient le contrôle total. Le reste des utilisateurs doit avoir un droit de lecture uniquement.

Sécurisation du système d'exploitation via la base de registre :

Certaines clefs doivent être changées afin de restreindre l'accès à certaines parties sensibles du système d'exploitation non sécurisées lors de son installation.

• Désactivation des partages par défaut
• Effacement du fichier de swap à chaque arrêt de la machine
• Restriction d'accès à l'observateur d'événements
• Désactivation de l'affichage du dernier utilisateur logué
• Restriction d'accès au lecteur de disquette et de CD-ROM
• Restriction d'installation d'une imprimante
• Filtrage des mots de passe
• Restriction de lancement de la commande AT
• Restriction de l'accès anonyme
• Désactivation du bouton d'arrêt dans la fenêtre de login
• Affichage d'un avertissement avant le login…
• Audit des événements :

1. Ouverture et fermeture de sessions
2. Gestion des utilisateurs et des groupes
3. Modification de la stratégie de sécurité
4. Redémarrage et arrêt du système.

• Partition NTFS :

Sécurité au niveau des fichiers et des répertoires

Audit sur des actions effectuées

Pas d'autres OS sur des PDC ou BDC

• C2config, se trouvant sur le Ressource Kit de Windows NT, permet de modifier certains paramètres de la configuration système.
• Cristal Reports Event Log Viewer est un outil d ‘édition de rapport permettant de visualiser, trier, regrouper, sauvegarder et imprimer des journaux d’évènements.

• COPS : permet à un non-spécialiste de contrôler les permissions des fichiers.

Utilitaires de comptabilité :

• Accton : active et désactive la comptabilité
• Lastcomm : affiche des informations à propos des dernières commandes
• Sa : résume les informations de comptabilité

• PGP : Pretty Good Privacy
• ATHENA
• Kerberos

• L'outil Syskey.exe permet de crypter de manière forte (128bit)la table de hachage des mots de passe.

• SecurID

Norton Antivirus Symantec

McAffe Antivirus MacAfee

InocuLAN Cheyenne

Utilisation des stratégies système : poledit

Audit de Sécurité n’est pas activé par défaut. Il faut mettre en place une stratégie d’audit en choisissant les opérations à surveiller, choix en général difficile.

• ISS SafeSuite Internet Scanner http://www.iss.com : Internet Scanner, RealSecure…
• SATAN
• Kane Security Analyst Intrusion Detection System
• DumpACL, DumpEvt, DumpReg http://www.somarsoft.com
• Cerberus Internet Scanner (NTinfoScan) : scanne une station NT ou UNIx et teste la sécurité http://www.cerberus-infosec.co.uk

Ntsyslogd : redirection des log NT vers Unix et vis et versa

• ScanNT développé par Midwestern Commerce
• LophtCrack craquages de mot de passe http://www.10pht.com/products.html

• Crack , gratuit
• PwDump, gratuit

Backdoor : Bockoriffice

UNIX est un système à réputation de faible sécurité mais dont cette dernière s’est améliorée avec le temps (système ouvert avec code source publié, système conçu pour les programmeurs).

L'importance est la confiance que place les concepteurs du système d’exploitation dans les utilisateurs : Windows NT n’anticipe ni ne prévoit le détournement potentiel des informations. Bien que plus des bogues, il s’agit de véritables faiblesses dans la structure du système. Il ne faut pas placer de confiance absolue dans les utilisateurs, il faut élaborer une politique de sécurité rigoureuse.

De plus Windows NT est un système d'exploitation développé pour être plus convivial que sécurisé. Les politiques de Sécurité et de Sécurisation sont obligatoires.

Il faut sécuriser en appliquant des modifications :

• sur la base de registre
• sur les permissions sur les fichiers et les répertoires
• sur les comptes crées par défaut

Les systèmes UNIX et Windows NT ont obtenu le niveau de certification C1. Cependant il existe des UNIX C2 et il est possible d'amener NT à ce niveau.

L’obtention de niveaux de sécurité avancés est impossible sur des systèmes d’exploitation tels que MS-DOS, Windows, Macintosh, OS/2. Ils sont conçus pour que des utilisateurs accèdent aux ressources avec peu sinon pas de restriction. Ils ne sont pas conçus avec une structure objet.

Pour Windows NT2000, les objectifs de sécurité sont la certification C2. Il comprend toujours le Sous système de sécurité LSA, SAM, SRM, jeton d’accès, le mécanisme de contrôle d ‘accès aux objets, l'attribution de permissions sur les fichiers et dossiers, les ACL.

Cependant il est possible d'utiliser pour les authentifications (réseaux ou non) et la protection des objets, la technologie Kerberos et renforcé la sécurité avec les technologies RSA ou SecurID, les PKI, la gestion de certificats client et serveur.

En conclusion il est absolument impératif de rappeler que la sécurité absolue n'existe pas, sécuriser son système est obligatoire. Il faut être capable d'évaluer à quel est le degré de sécurisation à mettre en place, quels sont les points sensibles, quelles ressources matériels, humaines, financières dont on dispose, appliquer une politique de prévention auprès des utilisateurs. (90% des problèmes de sécurité sous UNIX dus aux utilisateurs).

• Guide Pratique de la Sécurité sous Windows NT Tom Sheldon VUIBERT (98)
• Guide de la Sécurité des Systèmes UNIX Christian Pélissier HERMES (93)
• Cours Système D.Revuz (98) Université de Marne la Vallée
• Les Bases de l’Administration Windows NT Aeleen Frisch Edition Française O’Reilly (98)
• Windows NT Programmation 32 bits Nabil Cherifi Armand Colin (94)
• 01 Réseaux Spécial Sécurité Mai (99)

• TSEC : Trusted Security Evaluation Criteria définissent les niveaux de sécurité américain :Orange Book et Red Book traitent les règles élémentaires de sécurité sur ordinateur

CNRS :

http://www.cnrs.fr/infosecu/revue.html

URC :

http://www.urec.fr/wnt

Microsoft :

http://www.microsoft.ocm/security/default.asp

http://www.securite.org/systeme

• Experlan – Security web-France

http://securityweb-France.com/

• Hervé Schauer Consultants

http://hsc.fr

http://www.mines.u-nancy.fr/~tisseran/i33-reseaux/windowsNT/architecture.html

CERT: Computer Emergency Response Team

http://www.cert.org

NCSA : National Computer Security Association

http://ww.ncsa.com

JSIINC

http://ww.jsiinc.com

NTSECURITY

http://ww.ntsecurity.net

NTBUGTRAQ

http://www.ntbugtraq.com

NTFAQ

http://ww.ntfaq.com

SYSINTERNAL

http://ww.sysinternals.com

Retour Sommaire