FI/2/00

La sécurité informatique à 90%, 95%, 99%,...

Martin.Ouwehand@epfl.ch, SIC

La notion de «sécurité informatique» est très difficile à définir ou à présenter abstraitement: ceci présupposerait une typologie des erreurs humaines, une taxonomie des bogues ou une mécanique des tartines beurrées en chute libre. Pourtant tout le monde comprend confusément de quoi il s'agit. La notion essentielle est celle de piratage: l'exécution d'instructions (programmes, processus, scripts, macros, etc.) sous le contrôle d'une personne malveillante et que celle-ci a réussi à déposer sur votre ordinateur, à distance, en passant d'une manière ou d'une autre par le réseau Internet.

Face à ces menaces, il y a de nombreuses précautions à prendre pour assurer la sécurité de votre ordinateur et de vos données, mais dans cet article, j'aimerais proposer un choix de mesures qui auraient permis d'éviter, d'après mon expérience, plus de 90% des problèmes liés à la sécurité informatique qui sont parvenus à ma connaissance sur le site de l'EPFL. Pour les mesures supplémentaires permettant de se prémunir à 95% (ou même, qui sait, à 99%) je renvoie à la page principale consacrée à ce sujet:

slwww.epfl.ch/SIC/SL/securite.html

Je vous invite à la visiter régulièrement pour vous tenir au courant des mesures additionnelles rendues nécessaires par de nouvelles menaces.

Utilisateurs Windows

Virus

Les virus sont votre problème numéro 1. Deux défenses indispensables:

  1. installer l'anti-virus VirusScan de McAffee, pour lequel L'EPFL a une licence de site. Il est impératif de suivre les instructions (pcline/pc/vir/home.htm) de mon éminent collègue Ch. Zufferey et de faire une installation complète qui inclut la mise à jour automatique des signatures de virus.
  2. contre les macro-virus (virus transmissibles par documents Word, Power Point, etc.), Ch. Zufferey a préparé un .reg ( pcline/pc/vir/disable%20macro%20in% 20word.reg) pour désactiver l'exécution automatique des macros. Chengi Jimmy Kuo a écrit un document très complet sur d'autres défenses possibles contre les macro-virus ( www.aub.dk/tempora/old/1999/wordmac.htm).

Courrier électronique avec attachments exécutables

Par principe, ne pas les exécuter, même s'il paraissent venir d'une personne que vous connaissez. Un nouveau type de virus est apparu récemment qui reprendra, pour endormir votre méfiance, votre nom et un Subject: qui vous paraîtra familier dans les données d'un de vos correspondants infecté et vous enverra un message provenant apparement de lui, avec une annexe (attachment en jargon anglo-informatique) qui, si elle est exécutée, permettra à ce virus d'infecter les personnes qu'il trouvera dans vos données.

Utilisateurs Macintosh

Vous devez faire face grosso modo aux mêmes menaces que les utilisateurs de Windows du point précédent:

Virus

Pour Macintosh, l'anti-virus recommandé est Virex (macline.epfl.ch/Virus.html). Il inclut une protection contre les macro-virus. Voir la page de mon éminent collègue F. Roulet documentant l'utilisation de cet anti-virus.

Administrateurs Unix

Exécutables setuid/setgid

Il s'agit de programmes qui s'exécutent avec les privilèges d'un autre user (souvent le compte administrateur, root) ou d'un autre groupe. Normalement, ils sont conçus pour permettre d'effectuer une tâche précise (par exemple changer son mot de passe dans le cas de la commande passwd), mais un pirate peut parfois exploiter une erreur de programmation dans un de ces programmes pour étendre ses privilèges (en particulier devenir root). Vous pouvez limiter ce risque en enlevant tous ces programmes setuid/setgid qui sont inutiles (p.ex. ceux qui servent à partager un modem alors que vous n'en avez pas). Pour trouver tous les programmes setuid/setgid de votre système, lancer, pour chaque partition locale partition, la commande:

find partition -xdev \( -perm -4000 -o -perm -2000 \) -print

(sous IRIX, remplacer -xdev par -mount, ces deux options évitent de parcourir les partitions NFS, cf. également l'option -local si elle existe sur votre système). Dans chaque cas, se documenter sur la commande et décider de son utilité. Invoquer quotidiennement ces commandes permet aussi de détecter si un pirate a laissé un shell setuid à root déguisé en commande anodine qui lui permet d'acquérir les privilèges administrateurs rapidement et confortablement.

Ports réseau ouverts

Par défaut, les machines Unix sont en général installées avec un nombre important de démons écoutant sur divers ports TCP/IP (ports réseau) et prêts à servir les requêtes en provenance de tout Internet. Un pirate peut parfois exploiter une erreur de programmation dans un de ces démons pour prendre le contrôle de la machine à distance. Vous pouvez limiter ce risque en ne lançant au démarrage de la machine que les démons qui sont vraiment utiles à vos utilisateurs. Voici comment procéder:

Administrateurs Linux

Une mauvaise nouvelle pour vous: depuis environ deux ans, Linux est la cible de choix des pirates (sans doute parce qu'ils ont accès au code source du système et, pour quelques centaines de francs, à un ordinateur sur lequel se faire la main) . La bonne nouvelle est que les fournisseurs de distributions Linux réagissent bien plus rapidement que les vendeurs des Unix traditionnels aux problèmes de sécurité: les versions corrigées des logiciels sont disponibles un ou deux jours après la découverte de problèmes de sécurité (au lieu de plusieurs semaines, voire mois) . Une encore meilleure nouvelle est que si vous avez installé la distribution officielle de l'EPFL http://linuxwww.epfl.ch/linux/) par kickstart (linuxwww/linux/Install/install.html) , l'utilitaire autorpm linuxwww/linux/Update/autorpm.html) vous avertira automatiquement de l'apparition de ces nouvelles versions corrigeant des trous de sécurité. Si vous n'utilisez pas la distribution officielle de l'EPFL, il est de votre devoir impératif de prendre les dispositions nécessaires pour être tenu au courant de ces mises à jour, p.ex. en visitant au moins une fois par semaine la page WWW où l'éditeur de votre distribution publie les correctifs de sécurité (p.ex. www.redhat.com/support/errata/ pour RedHat) .

Administrateurs de salle d'ordinateurs

Les salles d'ordinateurs à partir desquelles le réseau est accessible sans authentification (séquence de login) offrent des possibilités d'anonymat dont abusent certains étudiants pour faire des farces ou pirater des machines, à l'EPFL ou au dehors. Vous devez donc mettre en place un système permettant éventuellement de remonter aux auteurs de tels abus:

Ordinateurs Unix ou Windows NT

Les utilitaires venant par défaut avec ces systèmes devraient suffir. Vérifier que c'est bien le cas.

Ordinateurs Windows 9x

Les rattacher à un serveur Windows NT et utiliser le System Policy Editor (poledit.exe pour les intimes) pour forcer l'authentification des utilisateurs à travers ce serveur.

Ordinateurs Macintosh

Utiliser MacAdministrator (www.hi-resolution. com/MacAdministrator/) et activer la partie Access Control.

Administrateurs de serveur HTTP (Web)

CGI

Les scripts CGI (Common Gateway Interface) constituent un point sensible de votre serveur, puisque leur exécution peut être déclenchée à distance par n'importe qui, en particulier par des pirates qui peuvent introduire dans vos formulaires des données au format non prévu par vos scripts de traitement. Donc:

  1. Enlever les scripts CGI «de démonstration» venant par défaut à l'installation de votre serveur HTTP: par le passé, il y a eu plusieurs scripts du même genre mal écrits permettant aux pirates de prendre le contrôle du serveur.
  2. Ecrire vos propres scripts avec le plus grand soin. Les recommandations du Consortium W3 ( www.w3.org/Security/Faq/www-security-faq.html) ou de M. Van Biesbrouck ( www.csclub.uwaterloo.ca/u/mlvanbie/cgisec/) sont de bons points de départ en la matière. Le principe général est de contôler que tout input ne contient que des caractères permis (p.ex. lettres,
  3. tiret­ et apostrophe ' pour un nom de famille) et non pas d'essayer d'enlever les caractères interdits (on risque d'en oublier).

Quant au dernier pour cent, permettant d'être sûr à 100%, il est à jamais hors de portée si vous voulez vraiment vous servir de votre ordinateur et ne pas l'éteindre et l'enfermer dans un coffre-fort...


retour au sommaire du Flash informatique du mois de février 2000
retour à la page principale des Flash informatique
Vos commentaires
© FI-2-00 du 29 février 2000