Travail de fin d'études : Les firewalls

1. Introduction à la notion de sécurité

Tout au long de ce travail je vous parlerai d'adresse IP, c'est donc pourquoi j'ai décidé de commencer mon travail de fin d'étude en vous expliquant le fonctionnement du protocole TCP/IP.

Le protocole qui est à la base d'internet, qui permet de transmettre des données, est le protocole TCP/IP. Il est assez ingénieux, mais n'est pas très sur en termes de sécurité. Le protocole TCP (Transmission Control Protocol), lorsque vous voulez envoyer une information, va découper celle-ci en plusieurs petits paquets facilement transportable. Ensuite, le protocole IP (Internet Protocol), en prenant le chemin le plus court, va faire parvenir les paquets à la machine souhaitée. Chez le destinataire, TCP va reconstituer l'information de départ à partir des paquets reçus. Sur le réseau, chaque machine est identifiée par un numéro unique, l'adresse IP, composée de 12 chiffres maximum. Exemple : 80.201.172.236

Afin que les paquets ne soient envoyés que sur un seul et même ordinateur au final, ils comportent chacun des données de contrôle, telles que les adresses IP de l'expéditeur et du destinataire.

Maintenant que vous en connaissez un peu plus sur le TCP/IP, nous pouvons commencer. Dans ce chapitre, je vous expliquerai les raisons qui poussent certaines personnes à pirater, pourquoi un système peut-être piraté et pour finir je vous dirai comment vous protéger.

1.1 Pourquoi pirater un système ?

Les principales raisons pour lesquelles des personnes attaquent des systèmes sont au nombre de trois. La première, la plus fréquente, est pour le fun, la deuxième est d'un point de vue politique. Et pour finir, la troisième, par vengeance.

1.1.1. Pour le fun, le défi :

Pirater pour le fun, pour le défi, est la première cause de piratage. Ce sont généralement des personnes âgées de moins de 25 ans qui s'y adonnent.

Lorsque vous piratez pour le fun, il ne faut pas nécessairement être un pro du piratage. Cela peut aller du piratage d'un simple site internet, au piratage d'un site internet gouvernemental. Vous pouvez aussi pirater l'ordinateur d'un ami, ou d'un ennemi.

Mais à quoi cela peut-il servir ? Les principales raisons sont les suivantes :

La première et la plus fréquente, pour montrer ce dont vous êtes capable, que vous savez bidouiller, rentrer dans des systèmes, les modifier. Par exemple, lorsque vous voulez épater vos amis en leur montrant que vous savez pirater des sites internet, même les leurs, ou leur voler des mots de passe.

La deuxième raison, lorsque vous n'acceptez pas certaines idées que revendique un site internet. Imaginez qu'un site web parle de choses complètement dénuées de sens, dangereuse, pédophile, etc. N'est-ce pas un beau défi utile ?

Ainsi certains pirates de haut niveau considèrent le hacking comme un jeu. Kevin Mitnick, après être sorti de prison disait dans une interview pourquoi il piratait des systèmes : "Pour échapper à la réalité, pour le fun".

1.1.2. En politique :

Les systèmes informatiques gouvernementaux ont beau être parmi les mieux protégés du monde, ce n'est pas pour cela qu'ils ne sont pas inviolables. Avec la politique du " zéro papier ", appliquée par beaucoup de sociétés et par les gouvernements, l'espionnage intergouvernemental est alors possible. Ainsi les gouvernements, alliés entre eux ou non, vont s'espionner, pour connaître des informations confidentielles.

Prenons un exemple concret, qui a eu lieu durant la dernière décennie aux Etats-Unis. Ceux-ci ont été la cible d'espionnage industriel et technologique. En 1997, l'ASIS (American Society for Industrial Security), a identifié plusieurs pays qui se livraient à de l'espionnage industriel aux Etats-Unis. Les pays principaux étaient les suivants : l'Allemagne, la France, Israël, la Chine et la Corée du Sud. A l'époque, quatre de ces pays étaient alliés des Etats-Unis.

Cela ne se passe pas qu'au niveau intergouvernemental mais aussi au sein des pays mêmes. Les sites web des partis politiques par exemple, peuvent être la cible des hackers. Ceux-ci peuvent en modifier le contenu. Une telle attaque s'évalue généralement en terme de perte d'image ou de crédibilité vis à vis des personnes qui verront cela. En effet, les hackers remplacent généralement les pages par des photos pornographiques ou changent certaines phrases ayant pour but de ridiculiser ces sites web.

1.1.3. Par vengeance :

Cette cause de piratage est assez rare.

Plusieurs situations peuvent illustrer cela. Par exemple, lorsqu'un de vos amis vous à fait un sale coup ou lorsque vous vous êtes fait licencier par votre patron.

Dans les boites d'haute technologie, afin d'éviter au maximum qu'un employé ne se venge, on lui apprend qu'il est licencié et qu'il doit quitter son bureau dans les minutes qui suivent, avec des personnes qui veilleront à ce qu'il ne fasse rien qui pourrait par la suite causer préjudice à l'entreprise. En effet, il pourrait détruire des fichiers, causer une faille dans le système pour l'exploiter plus tard, etc.

1.2. Comment se fait-il qu'un système puisse être piraté ?

Nous verrons dans cette partie pourquoi un système sait être piraté. Trois problèmes majeures sont expliqués : la mauvaise administration, les trous de sécurité, ainsi que les collaborateurs véreux.

1.2.1. Mauvaise administration :

C'est dans les petites entreprises, chez les indépendants et chez les privés qu'une mauvaise administration du système, due à la mauvaise connaissance (ou pas) de la sécurité informatique, se retrouve généralement. Ce problème se retrouve moins dans les grosses entreprises.

En effet, celles-ci doivent faire plus attention aux attaques, et engagent du personnel qualifié, rien que pour s'occuper de la sécurité de leur système ; ce que les indépendants et les petites entreprises ne font pas, faute de moyen.

Cependant, si ces derniers veulent tout de même protéger leur système, ils peuvent très bien demander à une personne travaillant déjà pour eux de s'occuper de la sécurité, mais en plus du travail qu'il fait déjà. Cela aura pour conséquence que la personne ne saura pas s'occuper de la sécurité du système à 100%, et elle ne sera probablement pas experte en sécurité.

Ces petites entreprises peuvent aussi avoir recours à une société externe. Mais cela peut engendrer certains problèmes.

Primo, cette société externe n'a pas une vision globale de l'entreprise. En effet, elle ne connaît pas l'entreprise à 100%

Secundo, des problèmes de communication peuvent exister entre cette société et vous. Notre entreprise, ne s'y connaissant pas trop en sécurité, demandera peut-être une solution qui n'offrira pas une protection optimale, oubliera de spécifier certains critères, certaines machines, à la société externe.

Tertio, des problèmes d'évolution, de réparations d'urgences, la prise en charge de la sécurité de l'entreprise par une nouvelle société peuvent aussi intervenir dans l'insécurité du système.

1.2.2. Les trous de sécurité ( Security Hole ) :
1.2.2.1. Hardware et logiciels :

Les trous de sécurité se présentent soit dans le hardware soit dans les logiciels existants. Pour les supprimer, dans le hardware, il y a possibilité de remplacer le firmware présent par un plus récent, de flasher les puces, etc. Pour les logiciels, des patchs et des mises à jour existent.

Tous les défauts qui ne sont pas encore connus ne possèdent pas de patchs ou de mises à jour. Il faudra attendre qu'une faille sois exploitée par un pirate ou que la société fabriquant ces moyens de protections la découvre pour qu'une mise à jour, un firmware, etc. soient mis au point.

1.2.2.2. Denial of services :

C'est une attaque qui consiste à faire planter le système distant. Cela est assez pratique pour les sites internet. En effet, ce genre d'attaque peut mettre hors service une page web, et donc les personnes ne peuvent plus y avoir accès.

1.2.2.3. Autres méthodes :

D'autres méthodes pour provoquer des trous de sécurité, comme l'overflow, le spoofing, ou d'autres attaques standards peuvent fonctionner et provoquer des trous de sécurité.

L'overflow est un débordement de capacité. Prenons l'exemple d'un serveur web comme Google qui est un moteur de recherche (http://www.google.com/). Ce site tourne donc sur une machine qui fait office de serveur web. Tout tourne en mémoire sur ce serveur (OS, site, ...). Lorsque vous vous rendez sur leur page, vous pouvez choisir des mots de recherche. Ce champ accepte donc des variables. Si on arrive à faire déborder ces variables pour les faire passer en code exécutable, le hacker peut s'emparer du système.

Le spoofing, ou usurpation d'identité, est une technique qui permet à une machine d'être authentifiée auprès d'une autre grâce à des paquets semblant provenir d'une adresse source approuvée. On peut donc soit dévier du trafic qui ne nous est pas destiné, ou prendre l'adresse IP d'un autre et s'en servir.

1.2.3. Collaborateurs véreux :

Ce cas se retrouve dans les petites ou les grandes entreprises. Les raisons peuvent être diverses. La principale est le fruit d'une vengeance suite à un licenciement.

Dans les grandes entreprises d'IT, il n'y a pas de préavis. La personne licenciée doit partir dans les minutes après qu'on le lui ai dit et est surveillée pour être sûr qu'elle ne fasse rien d'anormal (comme détruire certaines choses, mettre des backdoors, ...). En effet, la société pourrait perdre des millions.

1.3. Comment se protéger ?

Pour être protégé de manière optimale, plusieurs choses sont importantes.

La première se situe au niveau software. En effet, il vaut mieux avoir un antivirus et un firewall pour protéger votre système contre les virus et les intrusions.

La deuxième est au niveau des mises à jour de vos programmes. Non pas seulement de votre antivirus et de votre firewall, mais des programmes qui ont accès à la connexion internet. En effet, des failles de sécurité sont découvertes tout les jours dans vos programmes favoris tel que votre navigateur internet (Internet Explorer, Mozilla, Opera, ...) dans votre logiciel de messagerie (Outlook, Eudora, ...) et même dans votre OS (Operating system comme Windows, Linux, ...). Il faudra donc, pour supprimer ces failles, installer des patchs, des versions plus récentes des programmes utilisés, etc.

Evidemment, dans les grandes sociétés, cela n'est pas toujours facile car il faut bien vérifier que tout refonctionne comme avant. Le problème se pose moins chez les particuliers.

TFE : Les Firewalls

Autres