Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

INTRODUCTION La bonne question à se poser, concernant les problèmes de sécurité

INTRODUCTION La bonne question à se poser, concernant les problèmes de sécurité n'est pas "Estce que j'ai des chances (grandes ou petites) de subir une attaque un jour ?» Mais : "Quand vaisje être la cible d'une attaque ?» Et la seule réponse pertinente à cette question est : "A tout moment. Peutêtre justement pendant à ce moment" Mon propos n'est certes pas d'affoler le lecteur, mais d'essayer de lui faire comprendre que les arguments du type : "Oh, moi, je n'ai rien d'intéressant sur ma machine et je ne vois pas pourquoi un pirate s'ennuierait à essayer d'y pénétrer..." Sont du même ordre que de croire que les accidents de voiture sont pour les autres, jamais pour soi. La sécurité informatique D'une manière générale, assurer la sécurité informatique dans une organisation consiste à faire en sorte que les ressources matérielles ou logicielles de celle ci soient uniquement utilisées dans le cadre où il est prévu qu'elles le soient. 1 1) Le dilemme de la sécurité : Le dilemme majeur de la sécurité des systèmes est qu'aucune garantie absolue ne peut être donnée quant à ces buts. La seule manière totalement efficace de protéger un système consiste à ne pas y concéder l'accès de quelque manière que ce soit. Toute manière d'accéder au système peut potentiellement devenir une porte d'accès non autorisée. Il est clair qu'un système auquel nul n'a accès n'est que peu d'utiliser. Toute la difficulté de la notion de sécurité consiste donc à autoriser l'accès à un système aux ayants droits de la manière la moins désagréable que possible, tout en empêchant l'accès aux personnes non autorisées de la manière la plus efficace possible. Les deux objectifs sont souvent antinomiques. Les dispositifs de sécurités vont en général à l'encontre de la convivialité et de la facilité d'accès à un système : on doit montrer patte blanche sans arrêt, on ne peut pas forcément facilement accéder aux données des ses propres collaborateurs, on peut ne pas avoir le droit d'installer ou même d'utiliser certaines applications, etc. En revanche, du point de vue de la personne responsable de la sécurité d'un système, tant au niveau de son ingénierie que de sa mise en œuvre quotidienne, toute action des utilisateurs est potentiellement dangereuse ou compromettante. Un bon système de sécurité est donc difficile et à concevoir et à gérer au quotidien. Dans cette présentation relativement succincte de la problématique de la sécurité, on considère le monde comme séparé en trois entités : • Les utilisateurs légitimes d'un système, qui on un droit et un besoin d'accès à celuici pour le travail, les loisirs, l'éducation, etc. ; • Les administrateurs d'un tel système, qui ont pour responsabilité la bonne marche de celuici ; • Les attaquants, « hackers », qui cherchent à s'introduire sur un système sur lequel ils n'ont aucun droit, et à l'exploiter pour la curiosité, le profit, l'espionnage ou pour leur propre amusement (rarement pour celui des utilisateurs légitimes), et le plus souvent de manière contraire à la loi. A noter l'existence de professionnels de la sécurité qui cherchent à trouver des failles dans les systèmes existants dans l'exercice de leur fonction. Leur but n'est pas de s'introduire illégitimement dans des systèmes, mais au contraire de mettre au grand jour les erreurs commises par les constructeurs de logiciel système afin qu'elles soient corrigées, et que la sécurité globale des systèmes soit augmentée. En première approximation, on ignore ces personnes, car elles se comportent comme des attaquants. 2) Les attaques possibles Une machine informatique est par défaut, d'une grande vulnérabilité, tout simplement, parce que l'informatique est passée des mains d'une poignée de spécialistes à une foule d'utilisateurs et qu'une certaine éthique de l'informaticien y a laissé ses plumes. 1 Les environnements informatiques n'ont pas été prévus pour être manipulés par des personnes sans scrupules qui cherchent à en exploiter tous les effets pervers. Je classerai les malfaisants dans trois catégories (c'est une opinion toute personnelle) : 1. Les amateurs de génocides 1 Ils utilisent des virus pour produire le plus de dégâts possible sans se soucier de savoir quelles sont les cibles qui seront touchées. Ce qui leur importe est la masse atteinte. Les meilleurs écrivent euxmêmes leurs virus, ce qui fait au moins la preuve de leur compétence technique, les pires exploitent des virus faits par d'autres, sans même savoir comment ils fonctionnent. 2. Les voyous du Net Bien connus sous le nom de "script kiddies", ceux là cherchent à pénétrer, le plus souvent pour faire de la casse, des hôtes connectés au Net en utilisant des recettes de cuisine élaborées par d'autres. Nous verrons plus loin de quoi il retourne. Peu leur importe la cible, leur amusement consiste à utiliser des méthodes toutes faites pour "ennuyer" leur monde. Ils s'attaquent à la première machine sur laquelle ils trouvent une faille, juste pour le plaisir. Mes loges sont pleins de petits comiques de ce genre, qui cherchent au hasard du Net, une machine qui serait infectée par un cheval de Troie, juste, sans doute, parce qu'ils ont trouvé quelque part le client qui sait s'y connecter. 3. Les Hackers: Les vrais, ceux qui ont des connaissances très étendues dans les systèmes et pour qui le jeu consiste à rechercher toujours de nouvelles failles. Ceux là sont de véritables techniciens et, même s'ils font parfois des dégâts, forcent plus ou moins le respect par leur grandes connaissances. Ce sont leurs découvertes qui, la plupart du temps, sont exploitées par les script kiddies et autres utilisateurs de virus. Ce sont également leurs découvertes qui contribuent à créer des systèmes de plus en plus solides et fiables. A priori, ce ne sont pas des pirates et leur objectif premier n'est pas de détruire, mais de comprendre. 3)Principes généraux de sécurité: D'une manière générale, on doit partir de l'hypothèse de base qu'aucun système n'est parfaitement sûr, du simple fait que quelqu'un doit l'utiliser, et que donc comme établi plus haut, l'accès illégitime à ce système ne peut être absolument garanti. Ce principe établi, on cherche à permettre aux utilisateurs légitimes d'un système l'accès aux ressources dont ils ont besoin, tout en empêchant tous les autres utilisateurs d'en profiter. Pour ce faire, on va chercher à séparer les utilisateurs légitimes des autres, il va donc falloir les identifier savoir qui ils sont, puis les authentifier leur demander de démontrer qu'ils sont bien ceux qu'ils prétendent. Une fois les utilisateurs légitimes authentifiés, le système leur permettra l'accès aux ressources du système dont ils ont besoin. C'est le principe de la division des privilèges. Il 1 peut y avoir plusieurs classes d'utilisateurs du système. Par exemple, dans un centre de calcul, on peut admettre l'existence de scientifiques qui cherchent à réaliser des simulations. Ceuxci auront besoin par exemple d'accès mémoire, de stocker leurs résultats sur disque, d'accès à l'unité centrale, à l'imprimante, et à certaines applications comme les compilateurs, mais ils ne sont pas chargés de leur maintenance. Certains travaillent ensemble et peuvent vouloir échanger des données entre eux, par exemple le groupe des météorologues. En revanche les physiciens qui font des simulations de mécanique quantique forment un autre groupe qui n'a nul besoin d'un accès aux données des météorologues, et viceversa. Un opérateur peut avoir, dans le cadre de son travail, besoin d'installer des nouvelles versions des applications (compilateurs, éditeurs, etc.), mais n'a a priori pas besoin d'accéder aux données ni des physiciens ni des météorologues, et ainsi de suite. On peut aussi concevoir l'existence d'un super utilisateur pour lequel tous les accès sont autorisés, mais ce n'est pas une nécessité. La division des privilèges permet de limiter les dégâts en cas d'intrusion. Au niveau des applications, certaines requièrent des privilèges particuliers, comme par exemple l'accès à une partie matérielle quelconque : imprimante, disque, mémoire, carte son, carte graphique, etc. La division des privilèges au niveau du noyau permet de réserver l'accès à toutes les ressources du système de manière granulaire, depuis le millième de seconde de calcul sur l'unité centrale jusqu'aux systèmes de sauvegarde. A noter que cet accès peut être mesuré et limité, au cas où il serait payant ou pour limiter les abus (impression en grande quantité). Ce système de quotas fait également partie des aspects sécurité d'un système. L'adéquation de l'utilisation des ressources aux besoins des utilisateurs est donc un des aspects les plus importants des systèmes d'exploitation, et également des plus complexes. La sécurité informatique couvre généralement ces principaux objectifs :  L’intégrité : permet de certifier que les données, les traitements ou les services n'ont pas été modifiés, altérés au détruits tant façon intentionnelle qu'accidentelle. Il convient de se prémunir contre l'altération des données en ayant la certitude qu'elles n'ont pas été modifiées lors de leur stockage ou de leur transfert. La disponibilité et l'intégrité sont à satisfaire pour atteindre un niveau de souhaite dans le fonctionnement d'application critiques.  La disponibilité : pour utilisateur, la disponibilité d'une ressource est la probabilité de pouvoir mener correctement à terme une session de travail. 1 La disponibilité d'une ressource est uploads/Science et Technologie/ teaser-3.pdf