Parce que notre dépendance est de plus en plus prononcée vis à vis des ordinateurs puissants mis en réseau pour faire des affaires et garder des archives de nos informations personnelles, de nombreuses industries ont émergées dans le domaine de la sécurité réseau et informatique. Maintes entreprises ont recours aux services d'experts en sécurité afin qu'ils analysent leurs systèmes de manière adéquate et élaborent des solutions adaptées aux besoins opérationnels de la société. Parce que la plupart des sociétés sont dynamiques par nature, les employés accédant aux ressources IT localement et à distance, la nécessité de disposer d'environnements informatiques sécurisés est de plus en plus prononcée.
Regrettablement, la plupart des sociétés (et des utilisateurs individuels) voient la sécurité comme une considération après coup, un processus négligé au profit d'une puissance et productivité accrues et de considérations budgétaires. L'implémentation d'une sécurité appropriée a souvent lieu de manière rétrospective — par exemple, suite à une intrusion non autorisée. Les experts en sécurité reconnaissent que le fait de prendre les mesures appropriées avant même de connecter un site à un réseau qui n'est pas digne de confiance, tel que l'internet, représente la meilleure façon de contrer la plupart des tentatives d'intrusion.
La sécurité informatique est un terme général couvrant un vaste domaine du monde de l'informatique et du traitement d'informations. Les industries qui dépendent de systèmes informatiques et de réseaux pour effectuer des transactions commerciales quotidiennes et accéder à des informations d'une importance capitale considèrent leurs données comme une partie essentielle de leur actif. Nombreux sont les termes et métriques ayant fait leur apparition dans notre environnement de travail, tels que le coût total de la propriété (TCO) et la qualité de service (QoS). Avec ces métriques, différentes industries mesurent des aspects comme l'intégrité des données et la haute disponibilité qui font partie de leur planification et des coûts de gestion du processus. Dans certaines industries, comme le commerce électronique, la disponibilité et fiabilité des données peuvent représenter l'élément faisant la différence entre la réussite et l'échec.
Bien des lecteurs se rappelleront du film "WarGames" dans lequel Matthew Broderick joue le rôle d'un lycéen qui s'introduit dans le superordinateur du ministère de la défense américaine (Department of Defense ou DoD) et par inadvertance, engendre la menace d'une guerre nucléaire. Dans le film, Matthew Broderick utilise son modem pour entrer en communication avec l'ordinateur du ministère de la défense (appelé WOPR) et joue à des jeux avec l'intelligence artificielle que ce dernier possède sous forme de logiciel responsable du contrôle de tous les silos contenant les missiles nucléaires. Ce film, sorti pendant la "Guerre froide" entre l'ancienne Union Soviétique et les États-Unis, voit sa production théâtrale en 1983 remporter un succès considérable. La popularité du film inspire maints individus et groupes qui essaient alors d'utiliser certaines des méthodes employées par le jeune héros pour pénétrer dans des systèmes à accès limités, y compris une méthode appelée war dialing — consistant à rechercher des numéros de téléphone établissant des connexions à un modem analogue en fonction d'une combinaison indicatif et préfixe.
Plus de dix ans plus tard, après une poursuite multi-juridictionnelle de quatre ans à laquelle participent le Federal Bureau of Investigation (FBI) et des experts en informatique de tout le pays, Kevin Mitnick, l'infâme pirate informatique est arrêté et condamné pour 25 chefs d'accusation en relation avec des fraudes sur des ordinateurs et des dispositifs d'accès. Les pertes engendrées par ses activités malveillantes ont été à l'époque estimées à un montant de US$80 millions au niveau de la propriété intellectuelle et du code source de sociétés comme Nokia, NEC, Sun Microsystems, Novell, Fujitsu, et Motorola. À l'époque, le FBI a estimé cet incident unique comme étant l'infraction pénale la plus sérieuse en matière d'informatique dans l'histoire des États-Unis. Reconnu coupable et condamné à 68 mois de prison pour ses infractions, il sert 60 mois de sa peine avant d'être mis en liberté conditionnelle le 21 janvier 2000. Il lui est alors interdit d'utiliser tout ordinateur ou d'effectuer toute activité de conseil dans le domaine informatique jusqu'à 2003. Les investigateurs qualifient Mitnick d'expert en ingénierie sociale — utilisant les êtres humains pour s'octroyer l'accès à des mots de passe et des systèmes à l'aide de certificats d'identité falsifiés.
La sécurité des informations a évolué au cours des années en raison de l'utilisation croissante de réseaux publics pour fournir des informations personnelles, financières et toutes autres informations confidentielles. De nombreux incidents, comme les cas Mitnick et Vladimir Levin (reportez-vous à la Section 1.1.2 pour obtenir de plus amples informations), ont forcé les sociétés dans tous les secteurs industriels à repenser la manière dont elles effectuent la transmission et communication de données. La popularité de l'internet représente l'un des développements les plus importants ayant motivé un renforcement des efforts en matière de sécurité des données.
Un nombre croissant de personnes utilisent leur ordinateur personnel pour accéder aux ressources offertes par l'internet. De la recherche et la récupération d'informations à l'utilisation du courrier électronique et des transactions commerciales électroniques, l'internet est maintenant considéré comme l'un des développements les plus importants du 20ème siècle.
Néanmoins, l'internet et ses protocoles précédents ont été développés en tant que systèmes basés sur la confiance. C'est à dire que l'internet n'était pas conçu pour être en soi, sécurisé. Aucun standard de sécurité n'étant intégré dans les piles de communications TCP/IP, le réseau est ouvert à tout utilisateur ou processus potentiellement malveillant. Les développements récents ont certes rendu les communications Internet plus sûres, mais un certain nombre d'incidents ayant fait l'objet d'un intérêt national nous ont toutefois rappelés que rien n'est entièrement sûr.
De nombreux éléments clé ont contribué à la naissance et au développement de la sécurité informatique. Ci-dessous figure une liste de certains des évènements les plus importants ayant attiré l'attention sur la sécurité dans le domaine de l'informatique et de l'information et expliquant l'importance qu'elle revêt de nos jours.
Les étudiants du Massachusetts Institute of Technology (MIT) fondent le Tech Model Railroad Club (TMRC) et commencent à explorer et programmer l'unité centrale PDP-1 du système informatique de l'école. Le groupe finit par utiliser le terme "hacker" (ou pirate) dans le contexte actuel que l'on connaît.
Le Ministère de la Défense américaine (DoD) crée le réseau Advanced Research Projects Agency Network (ARPANet), qui acquiert de la popularité dans les milieux académiques et de recherche, comme un moyen d'échanger électroniquement des données et des informations. Ce dernier ouvre la voie vers la création d'un réseau porteur connu de nos jours sous le nom d'internet.
Ken Thompson développe alors le système d'exploitation UNIX, considéré par beaucoup comme étant le système d'exploitation le plus "susceptible d'être piraté" en raison d'une part, de ses outils pour développeurs et de ses compilateurs très accessibles et d'autre part, de son soutien parmi la communauté des utilisateurs. À peu près à la même époque, Dennis Ritchie met au point le langage de programmation C, indiscutablement le langage de piratage le plus populaire de toute l'histoire informatique.
Bolt, Beranek and Newman, une société de développement et de recherche informatique pour le gouvernement et le monde de l'industrie, met au point le protocole Telnet, une extension publique du réseau ARPANet. Ce développement ouvre les portes à l'utilisation par le public de réseaux de données qui étaient autrefois le privilège des entrepreneurs et des chercheurs du monde académique. Il convient néanmoins de préciser que, selon plusieurs chercheurs en matière de sécurité, Telnet est sans doute le protocole le moins sûr pour les réseaux publics.
Steve Jobs et Steve Wozniak fondent Apple Computer et commencent à commercialiser l'ordinateur personnel ou PC (de l'anglais 'Personal Computer). Le PC devient alors le tremplin pour l'apprentissage par des utilisateurs malintentionnés de l'art de s'introduire dans des systèmes à distance en utilisant du matériel de communication de PC courant tel que des modems analogues ou des logiciels dédiés (war dialers).
Jim Ellis et Tom Truscott créent USENET, un système de type messagerie pour la communication entre des utilisateurs très variés. USENET devient rapidement l'un des forums les plus populaires pour l'échange d'idées en matière de mise en réseau et évidemment, de craquage (ou cracking).
IBM met au point et commercialise des PC basés sur le microprocesseur Intel 8086, une architecture peu coûteuse permettant à l'informatique de passer d'une utilisation purement professionnelle à une utilisation personnelle. Grâce à ce développement, le PC devient un produit ménager de consommation courante non seulement abordable et puissant, mais également simple d'utilisation et contribue par là-même à la prolifération de tel matériel dans l'environnement professionnel et personnel d'utilisateurs malintentionnés.
Le protocole TCP ou Transmission Control Protocol, mis au point par Vint Cerf, se divise en deux parties distinctes. L'IP (ou Internet Protocol) trouve son origine dans cette division et de nos jours, la combinaison des protocoles TCP/IP est désormais la norme pour toute communication Internet.
En raison des progrès effectués dans le domaine du phreaking, ou plus précisément les techniques d'exploration et de piratage du système téléphonique, le magazine 2600 : The Hacker Quarterly voit le jour et lance vers une vaste audience, des discussions sur des thèmes tels que le piratage informatique et les réseaux informatiques.
Après une vague de piratage de neuf jours au cours desquels le 'Gang 414' (baptisé ainsi en référence à l'indicatif du lieu où ses membres habitaient et effectuaient leurs opérations de piratage) s'introduit dans des systèmes d'institutions ultra secrètes, tels qu'un centre de recherche en armement nucléaire ou encore le laboratoire de Los Alamos (Los Alamos National Laboratory), les autorités américaines font une rafle sur leur quartier général.
Legion of Doom et Chaos Computer Club sont deux groupes pionniers en matière de piratage qui commencent alors à exploiter les faiblesses des ordinateurs et des réseaux de données électroniques.
La loi américaine de 1986 sur la répression des fraudes et infractions dans le domaine informatique (Computer Fraud and Abuse Act) est passée par le congrès suite aux exploits de Ian Murphy, alias Captain Zap, qui réussissant à s'introduire dans des ordinateurs de l'armée, vole des informations dans les bases de données de commandes de diverses sociétés et utilise des standards téléphoniques gouvernementaux à accès limités pour effectuer des appels.
Grâce à cette nouvelle loi (Computer Fraud and Abuse Act), la justice est en mesure de condamner Robert Morris, un diplômé universitaire, pour l'introduction du vers portant son nom (Morris Worm) dans plus de 6000 ordinateurs vulnérables reliés à l'internet. Le cas suivant le plus célèbre ayant fait l'objet d'une condamnation en justice et celui de Herbert Zinn, un lycéen qui, après avoir abandonné ses études, s'introduit dans les systèmes informatiques appartenant à AT&T et au ministère de la défense américaine (DoD) et les utilise à des fins malveillantes.
Par crainte que le 'ver Morris' puisse être reproduit, l'équipe de réponse aux urgences informatiques (CERT, de l'anglais Computer Emergency Response) est créée afin d'avertir les utilisateurs d'ordinateurs contre les problèmes de sécurité réseau.
Clifford Stoll écrit le livre The Cuckoo's Egg, un récit de l'enquête de l'auteur sur les pirates exploitant son système.
Le réseau ARPANet est dé-commissionné et son trafic transféré sur l'internet.
Linus Torvalds développe le noyau Linux pour une utilisation avec le système d'exploitation GNU ; le développement et l'adoption très répandus de Linux sont en partie dûs à la collaboration des utilisateurs et des développeurs communiquant par le biais de l'internet. En raison de son enracinement dans Unix, Linux est le choix préféré des pirates malintentionnés et des administrateurs qui voient en lui, un moyen utile pour construire des alternatives sécurisées aux serveurs legacy utilisant des systèmes d'exploitation propriétaires (ou Closed Source et donc non-modifiables).
La navigateur Web graphique voit le jour et engendre une croissance exponentielle de la demande pour l'accès public à l'internet.
Vladimir Levin et ses complices transfèrent illégalement des fonds d'un montant de US$10 millions sur plusieurs comptes en s'introduisant dans la base de données centrale de la CityBank. Levin est plus tard arrêté par Interpol et presque la totalité de l'argent transféré est retrouvée.
Kevin Mitnick est vraisemblablement le plus célèbre de tous les pirates, suite à ses intrusions dans les systèmes de plusieurs grandes sociétés et au vol de toute sorte de données allant des informations personnelles de personnes célèbres à plus de 20.000 numéros de cartes de crédit en passant par des codes sources de logiciels propriétaires. Interpelé et condamné pour infraction par câble, il sert une peine de 5 ans de prison.
Kevin Poulsen et un complice non-identifié truquent les systèmes téléphoniques d'une station de radio afin de gagner des voitures et des prix en espèces. Poulsen qui est déclaré coupable pour des infractions par ordinateurs et câbles, est condamné à 5 ans de prison.
Les histoires de piratage et de 'phreaking' (piratage de systèmes téléphoniques) se transformant en légendes, plusieurs pirates potentiels décident de se réunir à une convention annuelle intitulée DefCon afin de fêter le piratage et l'échange d'idées entre passionnés du domaine.
Un étudiant israélien de 19ans est arrêté et condamné pour avoir coordonné plusieurs intrusions dans des systèmes du gouvernement américain pendant la Guerre du Golfe. Selon les sources officielles de l'armée américaine, ces infractions représentent "les attaques les plus organisées et systématiques" des systèmes informatiques du gouvernement dans toute l'histoire du pays.
Le ministre de la justice américaine, Attorney General Janet Reno, en réponse au nombre croissant des brèches de sécurité dans les systèmes du gouvernement fonde le centre de protection de l'infrastructure nationale (ou National Infrastructure Protection Center, NIPC).
Des pirates non-identifiés prennent le contrôle de satellites de communication britanniques et exigent une rançon. Après un certain temps le gouvernement britannique reprend contrôle de ses satellites.
En février 2000, une attaque de déni de service distribué (DDoS) est lancée contre plusieurs des sites Internet les plus sollicités. Suite à cette attaque, les sites yahoo.com, cnn.com, amazon.com, fbi.gov et bien d'autres sites ne peuvent être contactés par des utilisateurs normaux car des transferts de paquets ICMP à grande quantité d'octets (ce qu'on appelle aussi 'ping flood') monopolisent le routeur pendant plusieurs heures. Cette attaque est lancée par des assaillants utilisant des programmes en vente libre créés spécialement dans ce but, qui scannent des serveurs réseau vulnérables et installent des applications clientes appelées chevaux de Troie (ou trojans) sur le serveur et organisent une attaque au cours de laquelle tous les serveurs contaminés inondent le site de la victime et la mettent hors accès. Nombreux sont ceux qui rejettent la responsabilité de l'attaque sur les faiblesses fondamentales dans la structure des routeurs et protocoles utilisés acceptant toute donnée entrant, quelle que soit la destination ou le but des paquets envoyés.
Nous arrivons ensuite au nouveau millénaire, une époque où, selon les estimations, environ 400 millions de personnes dans le monde utilisent ou ont utilisé l'internet. Toujours selon des estimations :
Tous les jours, environ 225 cas majeurs de brèches de sécurité sont rapportés au Centre de Coordination du CERT à l'université de Carnegie Mellon [source : http://www.cert.org]
En 2002, le nombre d'infractions rapporté au CERT est monté à 82.094, par rapport à 52.658 en 2001. Depuis la publication de ces chiffres, le nombre d'infractions rapporté seulement pendant le premier trimestre de 2003 a atteint 42.586 [source : http://www.cert.org]
L'impact économique au niveau mondial des virus Internet les plus dangereux ayant surgi au cours des deux dernières années a atteint un montant total de US$13,2 milliards et continue d'augmenter [source : http://www.newsfactor.com/perl/story/16407.html]
La sécurité informatique fait désormais partie des dépenses non seulement quantifiables, mais justifiables incluses dans tout budget IT. Les sociétés nécessitant de l'intégrité et la haute disponibilité de données recourent aux capacités des administrateurs système, développeurs et ingénieurs pour assurer la fiabilité de leurs systèmes, services et informations 24 heures sur 24, 7 jours sur 7. La possibilité de devenir la victime d'attaques coordonnées, d'utilisateurs ou de processus malveillants représente une véritable menace au succès d'une société.
Malheureusement, la sécurité d'un système et d'un réseau peut être une proposition difficile, demandant une connaissance complexe de la valeur qu'une société attache à ses données, de la manière dont elle sont utilisées, manipulées et transmises. La compréhension de la manière dont une société (et l'ensemble des personnes la composant) fait des affaires est essentielle afin de pouvoir implémenter un plan de sécurité approprié.
Toute société, quel que soit son secteur d'activité, dépend de normes et de règles établies par des organismes de standardisation tels que l'American Medical Association (AMA) pour les médecins ou l'Institute of Electrical and Electronics Engineers (IEEE) pour les ingénieurs. Les mêmes idéaux s'appliquent à la sécurité des informations. Nombreux sont les consultants et revendeurs qui observent le modèle de sécurité standard connu sous l'acronyme CIA (de l'anglais Confidentiality, Integrity, and Availability pour confidentialité, intégrité et disponibilité). Ce modèle à trois niveaux est un élément généralement accepté pour évaluer les risques associés à des données sensibles et pour établir une politique de sécurité. Ci-après figurent des informations décrivant le modèle CIA de manière plus détaillée :
Confidentialité — Les informations confidentielles ne doivent être disponibles qu'à un nombre prédéfini de personnes. La transmission et l'utilisation non-autorisées d'informations devraient être restreintes au maximum. Par exemple, la confidentialité des données garantit que des informations personnelles ou financières ne soient accessibles par aucune personne non-autorisée et dotée d'intentions malveillantes, comme c'est le cas lors de l'appropriation d'identité ou des fraudes de cartes de crédit.
Intégrité — Des informations ne devraient être modifiées d'aucune manière les rendant incomplètes ou incorrectes. La possibilité pour tout utilisateur non-autorisé de modifier ou détruire des informations confidentielles devrait être limitée au maximum.
Disponibilité — Les utilisateurs autorisés devraient avoir accès aux informations lorsqu'ils en ont besoin. La disponibilité est la garantie que toute information peut être obtenue à une fréquence et opportunité établies préalablement. Ces valeurs sont généralement mesurées en termes de pourcentages et sont décidées de manière formelle dans les accords ou Service Level Agreements (SLA) utilisés par les fournisseurs de services réseau et leur clients.
Précédent | Sommaire | Suivant |
Introduction générale sur la sécurité | Niveau supérieur | Contrôles de sécurité |