Cette page est inspirée entre autre d'un article de Dorothy Denning qui s’appelle « Protection and defense of intrusion » et qui a valeur de référence dans le domaine de la sécurité des réseaux.

Qu’est que la sécurité ?

Faire de la sécurité sur un réseau consiste à s'assurer que celui qui modifie ou consulte des données du système en a l'autorisation et qu'il peut le faire correctement car le service est disponible.

Quelques chiffres

Après un test de 12 000 hôtes du Département de la défense américaine, on retient que 1 à 3% des hôtes ont des ouvertures exploitables et que 88% peuvent être pénétrés par les relations de confiance.
Notons que seules 4% de ces attaques sont détectés et que 5% de ces 4% sont rapportées.
Enfin, notons que le nombre de voleurs d’informations a augmenté de 250% en 5 ans, que 99% des grandes entreprises rapportent au moins un incident majeur et que les fraudes informatiques et de télécommunication ont totalisés 10 milliards de dollars pour seuls les Etats-Unis.
1290 des plus grandes entreprises rapportent une intrusion dans leur réseau interne et 2/3 d’entre elles à cause de virus.

Pourquoi les systèmes sont vulnérables ?

- La sécurité est cher et difficile. Les organisations n’ont pas de budget pour ça.
- La sécurité ne peut être sûr à 100%, elle est même souvent inefficace.
- La politique de sécurité est complexe et basée sur des jugements humains.
- Les organisations acceptent de courir le risque, la sécurité n’est pas une priorité.
- De nouvelles technologies (et donc vulnérabilités) émergent en permanence.
- Les systèmes de sécurité sont faits, gérés et configurés par des hommes (errare humanum est !).
- Il n’existe pas d’infrastructure pour les clefs et autres éléments de cryptographie.
- L’état interdit la cryptographie dans certains cas (exportation, par exemple) dans certains pays, ce qui empêche le cryptage systématique au niveau du système d’exploitation.

Pourquoi un système ne peut être sûr à 100%

Il est impossible de garantir la sécurité totale d’un système pour les raisons suivantes :
- Les bugs dans les programmes courants et les systèmes d’exploitation sont nombreux.
- La cryptographie a ses faiblesses : les mots de passe peuvent être cassés.
- Même un système fiable peut être attaqué par des personnes abusant de leurs droits.
- Plus les mécanismes de sécurité sont stricts, moins ils sont efficaces.
- On peut s’attaquer aux systèmes de sécurité eux-mêmes…

Méthodes utilisées pour les attaques

- La négligence interne des utilisateurs vis à vis des droits et autorisations d’accès.
- Se faire passer pour un ingénieur pour obtenir des infos comme le mot de passe.
- Beaucoup de mot de passe sont vulnérables à une attaque systématique.
- Les clefs de cryptographie trop courtes peuvent être cassées.
- L’attaquant se met à l’écoute sur le réseau et obtient des informations.
- IP spoofing : changer son adresse IP et passer pour quelqu’un de confiance.
- Injecter du code dans la cible comme des virus ou un cheval de Troie.
- Exploitation des faiblesses des systèmes d’exploitation, des protocoles ou des applications.

Outils des attaquants

- Programmes et scripts de tests de vulnérabilité et d’erreurs de configuration (satan).
- Injection de code pour obtenir l’accès à la machine de la victime (cheval de Troie).
- Echange de techniques d’attaques par forums et publications.
- Utilisation massive de ressources pour détruire des clefs par exemple.
- Les attaquant utilisent des outils pour se rendre anonyme et invisible sur le réseau.

Principales technologies de défense

- Authentification : vérifier la véracité des utilisateurs, du réseau et des documents.
- Cryptographie : pour la confidentialité des informations et la signature électronique.
- Contrôles d’accès aux ressources (physiquement aussi).
- Firewalls : filtrage des trames entre le réseau externe et le réseau interne.
- Audit : études des fichiers de log pour repérer des anomalies.
- Logiciels anti-virus (2/3 des attaques sont des virus).
- Programmes de tests de vulnérabilité et d’erreurs de configuration (satan).
- Détection d’intrusion : détection des comportements anormaux d’un utilisateur ou des attaques connues.