Logiciels Libres de sécurité informatique et Stratégie ... - Smsi.rnu.tn
Logiciels Libres de sécurité informatique et Stratégie ... - Smsi.rnu.tn
Logiciels Libres de sécurité informatique et Stratégie ... - Smsi.rnu.tn
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Logiciels</strong> <strong>Libres</strong> <strong>de</strong> sécurité <strong>informatique</strong><br />
<strong>et</strong><br />
Stratégie Nationale en matière <strong>de</strong> sécurisation <strong>de</strong>s SI<br />
Pr Nabil SAHLI<br />
Agence Nationale <strong>de</strong> la Sécurité Informatique<br />
Directeur Général<br />
Chargé <strong>de</strong> Mission auprès <strong>de</strong> Monsieur le Ministre<br />
1. Sécurité : Impacts <strong>et</strong> Enjeux<br />
E-mail : n.sahli@ansi.<strong>tn</strong><br />
2. Grands axes <strong>de</strong> la stratégie nationale dans le domaine <strong>de</strong> la sécurité<br />
3. Attraits que présente le LL pour la mise en oeuvre <strong>de</strong> c<strong>et</strong>te stratégie<br />
4. Meilleurs outils <strong>de</strong> sécurité du mo<strong>de</strong> du LL<br />
5. Taux d’utilisation <strong>de</strong>s outils open-source chez_nous<br />
6. Conclusion<br />
Plan<br />
(*) Toute utilisation <strong>de</strong> ce support est conditionnée par la simple notification à l’ANSI
Introduction :<br />
c’est quoi<br />
c<strong>et</strong>te sécurité ..
“Hackers”<br />
• Convoitise<br />
• Impunité<br />
INTRUS<br />
INTERNET<br />
SUCCES D’INTERNET<br />
S<br />
M<br />
I<br />
=Centre névralgique <strong>de</strong><br />
l’émergente SMI :<br />
ENJEUX CONSIDERABLES:<br />
•Economiques(Commerce<br />
electronique)<br />
•Scientifiques/Culturels<br />
•Sociaux/Politiques<br />
•Vi<strong>de</strong> Juridique (Intern<strong>et</strong>)/«Immatérialisme » <strong>de</strong>s Intrusions<br />
•Sophistication<br />
+ <strong>de</strong> Succès<br />
GENERALISATION<br />
RESEAUX PRIVES<br />
INTRANETs /Extran<strong>et</strong>s<br />
Monopole Technologique<br />
TCP/IP (Uniformité)<br />
ENRICHISSEMENT « Abusif »<br />
DES SERVICES TCP/IP<br />
-SECURITE<br />
+ Failles +<br />
E<br />
s<br />
s<br />
a<br />
+COMPLEXITE<br />
i<br />
S<br />
« S.M.Intrus »<br />
•Hackers(Challenge)<br />
• Criminalité (Métier)<br />
•Terrorisme (Warefare)<br />
•Espionnage<br />
COLLABORATION «ANONYME »
1 6 0 0 0 0<br />
1 4 0 0 0 0<br />
1 2 0 0 0 0<br />
1 0 0 0 0 0<br />
8 0 0 0 0<br />
6 0 0 0 0<br />
Statistiques du CERT<br />
Inci<strong>de</strong>nts déclarés<br />
+67 %<br />
1 3 7 5 2 9<br />
8 2 0 9 4<br />
5 2 6 5 8<br />
4 0 0 0 0<br />
2 0 0 0 0<br />
0<br />
2 5 2 4 0 6 7 7 3 1 3 3 4 2 3 4 2 4 1 2 2 5 7 3 2 1 3 4 3 7 3 4 9 8 5 9 2 1 7 5 6<br />
1 9 90<br />
1 9 91<br />
1 9 92<br />
1 9 93<br />
1 9 94<br />
1 9 95<br />
1 9 96<br />
1 9 97<br />
1 9 98<br />
1 9 99<br />
2 0 00<br />
2 0 01<br />
2 0 02<br />
2 0 03<br />
VULNERABILITES<br />
Année<br />
2000<br />
2001<br />
2002<br />
2003<br />
Failles Décelées<br />
1,090<br />
2,437<br />
4,129<br />
3,784
Dommages dus aux seuls virus<br />
• Le pourcentage <strong>de</strong>s E-mails virusés en 2004 a doublé par rapport<br />
à l'année <strong>de</strong>rnière ) 6.1% en 2004, contre 3% en 2003 <strong>et</strong> 0.5% en 2002(.<br />
• aux USA : Les dégâts dus aux virus en 2004 est estimé à 55<br />
millions $US (enquête FBI 2004)<br />
• Quelques chiffres sur les dégâts dus aux <strong>de</strong>rniers vers :<br />
Mydoom = 380 millions $US [2004]<br />
Blaster <strong>et</strong> Sobig = 2 Milliards $US [2003]<br />
SirCam = 1.15 Milliards $US [2001]<br />
Co<strong>de</strong> Red = 2.62 Millards $US [2001]<br />
(250 000 systèmes infectés en moins <strong>de</strong> 9 heures)
Selon une Enquête officielle du « DTI » (Department of<br />
Tra<strong>de</strong> and Industry) britannique ( 2004, 1 000 entreprises) :<br />
-68% <strong>de</strong>s gran<strong>de</strong>s entreprises ont été atteintes par <strong>de</strong>s vers<br />
<strong>et</strong> ont été suj<strong>et</strong>tes à <strong>de</strong>s attaques actives (DDos)<br />
- 83 % <strong>de</strong>s entreprises ont au moins une fois été confrontées<br />
à une affaire <strong>de</strong> criminalité <strong>informatique</strong>
Selon diverses Enquêtes <strong>de</strong> sécurité<br />
FBI, CSO Magazine, CERT, DTI, CSI, ISC2, …<br />
- Le coût <strong>de</strong>s pertes causées par « E-Crime » est estimé en 2003 à<br />
666 Million$ (USA)<br />
- L’impact <strong>de</strong> « E-Crime » : 56% Pertes opérationnelles 25% pertes<br />
financières (USA)<br />
- Moyenne <strong>de</strong>s pertes suite à un inci<strong>de</strong>nts cybernétique par entreprise<br />
en UK = 213 000 $US<br />
- Total <strong>de</strong>s pertes enregistrées suite à un inci<strong>de</strong>nts cybernétique en<br />
2004 en USA : 142 Million $<br />
- 38 % ont détecté <strong>de</strong>s essais d’intrusion importants<br />
- 48% ne dévoilent pas leurs attaques (40% en 2001)<br />
Parmi ceux qui ont accepté <strong>de</strong> dévoiler leurs attaques :<br />
70 % ont reporté <strong>de</strong>s essais <strong>de</strong> sabotage<br />
• 12 % ont reporté <strong>de</strong>s pertes <strong>de</strong> transactions<br />
• 6 % ont reporté l’occurrence <strong>de</strong> frau<strong>de</strong>s financières<br />
55 % ont reporté <strong>de</strong>s attaques <strong>de</strong> Déni <strong>de</strong> service (DDos)
: Site Web CIA<br />
Autres Types <strong>de</strong> pertes )… ,)Image <strong>de</strong> marque
… Mais, en plus
Principaux axes <strong>de</strong> la<br />
stratégie nationale dans<br />
le domaine <strong>de</strong> la<br />
sécurité
Renforcer la sécurité <strong>de</strong> nos SI<br />
Objectif : Perm<strong>et</strong>tre une ouverture <strong>et</strong> une<br />
intégration (sécurisées) <strong>de</strong> nos SI<br />
Institution <strong>de</strong> l’obligation <strong>de</strong> réalisation d’audits périodiques :<br />
s’assurer <strong>de</strong> l’efficacité <strong>de</strong>s démarches <strong>et</strong> <strong>de</strong>s solutions<br />
sécuritaires mises en œuvre pour la sécurisation <strong>de</strong> tous<br />
les SI<br />
Assurer la mise en oeuvre <strong>de</strong>s mesures sécuritaires<br />
optimales pour les gran<strong>de</strong>s applications nationales<br />
Regrouper les investissements lourds nécessités<br />
(Implantation d’infrastructures <strong>de</strong> continuité <strong>de</strong> fonctionnement)<br />
Veiller au développement d’un tissu industriel<br />
riche <strong>et</strong> diversifié, apte à satisfaire à nos besoins<br />
en la matière (<strong>et</strong> assurer le ROI: export <strong>et</strong> emploi)
Renforcement <strong>de</strong> la protection du cyberespace<br />
national, face aux menaces cybernétiques<br />
Objectif : Garantir un usage élargi <strong>de</strong> nos infrastructures<br />
<strong>de</strong> communication <strong>et</strong> une interconnexion confiante<br />
- Développement :<br />
-<strong>de</strong> mécanismes <strong>de</strong> détection précoce <strong>de</strong>s menaces,<br />
-<strong>de</strong> moyens efficaces d’alerte,<br />
- <strong>de</strong> plans <strong>de</strong> réaction appropriés<br />
- Renforcer les moyens <strong>de</strong> coordination <strong>et</strong> <strong>de</strong> coopération, en cas <strong>de</strong><br />
menace sur notre espace cybernétique<br />
-Fournir l’assistance nécessaire aux RSSI <strong>et</strong> aux usagers<br />
pour parer aux Menaces<br />
(Computer Emergency Response Team / Tunisian Coordiantor Center )
Garantir l’autonomie technologique<br />
Objectif : Développer l'expertise scientifique <strong>et</strong> technique dans<br />
tous les domaines <strong>de</strong> la sécurité <strong>de</strong>s SI<br />
- Encourager l’émergence <strong>et</strong> la consommation <strong>de</strong> solutions<br />
Tunisiennes<br />
-Développer une activité <strong>de</strong> R&D “réactive” à nos besoins<br />
Basée sur l’approche Open-Source<br />
- Motiver la recherche scientifique sur les aspects <strong>de</strong> base .<br />
- Assurer la veille technologique dans le domaine <strong>de</strong> la sécurité
Mise à niveau <strong>de</strong>s aspects réglementaires <strong>et</strong><br />
juridiques<br />
Objectif : Œuvrer pour la complétu<strong>de</strong> <strong>de</strong> la réglementation<br />
relative aux<br />
aspects sécuritaires <strong>de</strong> nos SI<br />
- Enrichir le répertoire national <strong>de</strong> normalisation, certification <strong>et</strong><br />
homologation dans le domaine <strong>de</strong> la sécurité.<br />
- Réglementer le domaine (stratégique) <strong>de</strong> l’audit sécurité<br />
( certification <strong>de</strong>s auditeurs).<br />
- Harmoniser le rôle <strong>de</strong>s régulateurs publics <strong>et</strong> garantir la souplesse <strong>de</strong>s procédures.<br />
Renforcer le cadre juridique (crimes cybernétiques)<br />
<strong>et</strong> adhérer aux conventions internationales<br />
(propriété intellectuelle, usages prohibés, …).
Consoli<strong>de</strong>r la Formation <strong>et</strong> la sensibilisation<br />
Objectif : Garantir la disponibilité <strong>de</strong> ressources spécialisées<br />
Et l’usage averti <strong>de</strong>s TI<br />
- Lancement <strong>de</strong> formations spécialisées <strong>et</strong> certifiantes dans le<br />
domaine <strong>de</strong> la sécurité <strong>informatique</strong> <strong>et</strong> motiver le renforcement <strong>de</strong><br />
l’enseignement <strong>de</strong> la sécurité dans les cursus universitaires <strong>de</strong> base.<br />
- Assurer la formation <strong>de</strong> formateurs.<br />
- Encourager le recyclage <strong>et</strong> la certification <strong>de</strong>s professionnels.<br />
-Entr<strong>et</strong>enir l’information <strong>et</strong> la sensibilisation <strong>de</strong>s utilisateurs.<br />
-Motiver la création d’associations professionnelles<br />
- Elargir la sensibilisation au grand public.
Des décisions avant guardistes<br />
Décisions prises lors du CMR du 31 Janvier 2003<br />
Création d’une Agence Nationale<br />
(Instrument <strong>de</strong> mise en oeuvre <strong>de</strong> la stratégie nationale)<br />
Institution <strong>de</strong> l’obligation d’audit périodique<br />
(Base importante <strong>de</strong> notre stratégie)<br />
Création d’un corps d’auditeurs certifiés<br />
Lancement <strong>de</strong> formations universitaires <strong>de</strong> haut niveau<br />
-Loi sur la sécurité <strong>informatique</strong> (N°5/2004 publiée le 03-02-2004)<br />
- Création <strong>de</strong> l’ANSI<br />
- Réglementation <strong>de</strong> l’audit sécurité : Décr<strong>et</strong>s d’applications N°1248/2004,<br />
1249/2004 <strong>et</strong> 1250/2004.<br />
- Lancement <strong>de</strong> plusieurs DESS (ISI-Sup’Com, ENSI, 2 universités<br />
libres).<br />
-Lancement d’un CERT-TCC
Rôles <strong>de</strong><br />
Se charger <strong>de</strong> la réglementation dans le domaine <strong>de</strong> la sécurité<br />
<strong>informatique</strong> <strong>et</strong> veiller à sa diffusion.<br />
L’Agence Nationale <strong>de</strong> Sécurité Informatique<br />
Veiller à l’application <strong>de</strong>s orientations nationales <strong>et</strong> à la mise<br />
en œuvre <strong>de</strong> la stratégie nationale dans le domaine <strong>de</strong> la<br />
sécurité <strong>de</strong>s systèmes <strong>informatique</strong>s <strong>et</strong> <strong>de</strong>s réseaux.<br />
Suivi <strong>de</strong> l’exécution <strong>de</strong>s plans <strong>et</strong> <strong>de</strong>s programmes , en relation<br />
avec la sécurité <strong>informatique</strong> dans le secteur public<br />
(exclusion faite <strong>de</strong> quelques ministères <strong>de</strong> souverain<strong>et</strong>é)<br />
<strong>et</strong><br />
la coordination entre les intervenants dans ce domaine.<br />
Assurer la Veille Technologique
Encourager <strong>et</strong> Promouvoir <strong>de</strong>s Solutions Nationales<br />
dans le domaine <strong>de</strong> la sécurité <strong>informatique</strong>, en relation<br />
avec les priorités <strong>et</strong> les programmes qui seront définis<br />
par l’agence.<br />
Importance <strong>de</strong> l’Open-Source<br />
Participation dans le renforcement <strong>de</strong> la formation <strong>et</strong> du<br />
recyclage dans le domaine <strong>de</strong> la sécurité <strong>informatique</strong>.<br />
Veiller à l’application <strong>de</strong>s mesures qui concernent<br />
l’obligation <strong>de</strong> l’Audit périodique.
Attraits que présente le<br />
Logiciel libre<br />
dans c<strong>et</strong>te stratégie
Un “grand séducteur” :<br />
• Co<strong>de</strong>s sources disponibles auditables<br />
• Usage libre<br />
• Adaptables & Evolutifs<br />
• Pérennes<br />
+ Respect <strong>de</strong>s principaux standards (IETF ).<br />
+ Documentation assez fournie <strong>et</strong> assistance communautaire<br />
disponible sur le N<strong>et</strong><br />
+ Étui mature <strong>et</strong> sécuritairement sain (Unix).
co<strong>de</strong> source disponible<br />
Pas <strong>de</strong> sécurité sans CONFIANCE dans les outils<br />
(font ce qu’il disent, vivront)<br />
Open-source :<br />
On peut vérifier : Tout ce que fait l’outil/ Comment il le fait<br />
(sans gran<strong>de</strong> difficulté, la plupart du temps)<br />
Pérennité prouvée pour les “musts”
Evolutifs/ Adaptables<br />
Pas <strong>de</strong> sécurité sans autonomie <strong>de</strong>s moyens<br />
(limitations à l’export <strong>de</strong>s fonctions <strong>de</strong> chiffrement )<br />
On peut adapter <strong>et</strong> faire évoluer (sans gran<strong>de</strong> difficulté)<br />
Tout ce que fait l’outil/ Comment il le fait<br />
SI<br />
Existence d’une réelle activité <strong>de</strong> R&D,<br />
apte à assurer :<br />
- Adaptation / Simplification <strong>de</strong> l’usage ( GUIs)<br />
- Enrichissement <strong>et</strong> Distribution
<strong>Libres</strong> d’usage<br />
La sécurité est intégrale ou elle ne l’est pas<br />
Besoins Budgétaires énormes (licenses, ..)<br />
En complément <strong>de</strong>s solutions commerciales<br />
Assurer la Complétu<strong>de</strong> Cardinale <strong>et</strong> qualitative<br />
nécessitées<br />
SI<br />
Existence <strong>de</strong> compétences, aptes à assurer :<br />
- Le Déploiement / La formation<br />
- Le Maintenance / L’Assistance
Outils <strong>de</strong> sécurité<br />
du Mon<strong>de</strong> du Logiciel Libre<br />
<strong>et</strong> <strong>de</strong> l’Open Source :<br />
Les « Musts »
Outils Open-source<br />
: Firewall<br />
N<strong>et</strong>filter, ,IP-Filter<br />
: Chiffrement<br />
OpenSSL, OpenSSH, Free S/Wan<br />
,(ssltunnel), PGP<br />
: Authentification forte<br />
OpenLdap, FreeRadius, S/Key<br />
Antivirus :<br />
Amavis, clamav<br />
Honey-Pots<br />
Honeyd , HoneyN<strong>et</strong>, Deception<br />
Toolkit, Specter<br />
....<br />
: Détection d’intrusion<br />
Snort , Prelu<strong>de</strong>, Ntop, Shadow<br />
: Scanner <strong>de</strong>s vulnérabilités<br />
Nessus, Dsniff, Nmap, Sara,<br />
Whisker, Nikto, ,THC-Amap,<br />
… ,Hping2<br />
: PKI<br />
Open_PKI, EuPKI<br />
: Anti-Spam<br />
(Spam Assassin (solution serveur<br />
solution client)SamSpa<strong>de</strong>)<br />
: Détecteur <strong>de</strong> sniffeurs<br />
Neped , Sentinel, Cpm
N<strong>et</strong>filter<br />
Firewalls<br />
N<strong>et</strong>Filter (Linux 2.4),<br />
- Pack<strong>et</strong> Filter (OpenBSD)<br />
- IP-Filter (FreeBSD, N<strong>et</strong>BSD, Solaris, HP-UX, IRIX),<br />
• Firewall “stateful inspection” (<strong>et</strong> Stateless pack<strong>et</strong> filtering pour IPv6)<br />
• Utilise le NAT <strong>et</strong> le PAT pour partager l’accés à Intern<strong>et</strong><br />
• Notion <strong>de</strong> ‘transparent proxies’<br />
• Perm<strong>et</strong> <strong>de</strong> m<strong>et</strong>tre en place <strong>de</strong>s QOS sophistiqués<br />
– Un bon nombre <strong>de</strong> plugins/modules maintenu en dépôt 'patch-o-matic‘<br />
http://www.n<strong>et</strong>filter.org/
Détecteurs d’intrusion Réseau<br />
<br />
Snort<br />
– Analyse <strong>et</strong> journalise toutes tentatives d’attaque réseau.<br />
– Détection d'intrusion par analyse du trafic réseau <strong>et</strong> l'utilisation <strong>de</strong> signatures d'évènements hostiles<br />
– Langage <strong>de</strong> règles flexible pour la <strong>de</strong>scription <strong>de</strong> nouvelles attaques.<br />
– Capable aussi <strong>de</strong> bloquer les attaques réseau en temps réel (Plug-In).<br />
http://www.snort.org<br />
• Prelu<strong>de</strong> :<br />
La détection d'intrusion se base aussi par l'analyse en continue <strong>de</strong> fichiers <strong>de</strong> journalisation.<br />
- Architecture modulaire ( peut intégrer ou développer <strong>de</strong> nouvelles fonctionnalités<br />
grâce à <strong>de</strong>s plugins),<br />
-distribué (les son<strong>de</strong>s <strong>et</strong> les managers) <strong>et</strong> sécurisé (utilisation du support SSL pour l'authentification<br />
<strong>et</strong> le chiffrement <strong>de</strong>s communications).<br />
http://www.prelu<strong>de</strong>-ids.org
Anti-virus<br />
<br />
Clamav<br />
- s'intégre avec <strong>de</strong>s serveurs <strong>de</strong> messagerie (scan <strong>de</strong>s pièces jointes).<br />
- Disponible aussi sous windows sous la forme d'un scanner (ne supprime pas les virus<br />
trouvés <strong>et</strong> ne possè<strong>de</strong> aucun module <strong>de</strong> protection résidant en mémoire)<br />
– fournit la mise à jour automatique <strong>de</strong>s signatures, via intern<strong>et</strong><br />
– Détecte les tentatives <strong>de</strong> phishing les plus connues.<br />
http://www.clamav.n<strong>et</strong>/<br />
• Amavis<br />
Propose 2 versions (anciennement amavis-perl) : amavisd <strong>et</strong> amavisd-new .<br />
- Amavisd : démon lancé une fois pour toute.<br />
- Amavisd-new est une évolution <strong>de</strong> amavis (qui consommait pas mal <strong>de</strong> ressources<br />
car il faut démarrer une programme perl pour chaque message à traiter),<br />
qui offre <strong>de</strong> riches fonctionnalités (possibilité <strong>de</strong> coupler un antispam à l’antivirus, …).<br />
http://www.amavis.org
Anti-Spam<br />
SpamAssassin<br />
– Perm<strong>et</strong> le filtrage <strong>et</strong> l’analyse <strong>de</strong>s messages <strong>de</strong> SPAM :<br />
– Par listes d’exlusions (Utilisation <strong>de</strong> listes noires DNS <strong>et</strong> <strong>de</strong> catalogues <strong>de</strong><br />
spam)<br />
– Par analyse comportementale ( associe à chaque test un certain nombre <strong>de</strong><br />
points, quand le nombre <strong>de</strong> points dépasse une certaine limite le message est considéré<br />
comme un spam)<br />
http://spamassassin.org/
Outils <strong>de</strong> contrôle <strong>de</strong> l’intégrite <strong>de</strong>s<br />
systèmes<br />
Tripwire<br />
– Vérifie l’intégrité du système <strong>et</strong> surveille les principaux fichiers sensibles : Perm<strong>et</strong> le repérage<br />
<strong>et</strong> la correction rapi<strong>de</strong> <strong>de</strong>s changements intervenus (détecte les modifications acci<strong>de</strong>ntelles ou<br />
malveillantes) : Utilisé pour détecter les eff<strong>et</strong>s d’une intrusion : découvrir les modifications <strong>de</strong><br />
configurations, les fichiers altérés, …<br />
– effectue l'audit du système <strong>et</strong> perm<strong>et</strong>tre le respect <strong>de</strong>s politiques en vigueur sur le réseau.<br />
http://www.tripwire.org/<br />
AIDE<br />
– Même chose que Tripwire(tm) + :<br />
– crée une base à partir <strong>de</strong> règle d’expressions régulières <strong>et</strong> utilise<br />
plusieurs algorithmes <strong>de</strong> hashage pour la vérification <strong>de</strong> l’intégrité<br />
(md5, sha1, rmd160, tiger, haval, <strong>et</strong>c.)<br />
– Tous les attributs <strong>de</strong>s fichiers peuvent être vérifier pour <strong>de</strong>s éventuelles<br />
inconsistances.<br />
http://www.cs.tut.fi/~rammer/ai<strong>de</strong>.html
Outils d’authentification <strong>et</strong> Relais HTTP<br />
OpenLDAP<br />
– Serveur LDAP (sur plateformes Unix)<br />
– LDAP perm<strong>et</strong> à n'importe quelle application fonctionnant sur<br />
n'importe quelle plateforme d'ordinateur d’ obtenir l'information<br />
d'annuaire, telle que <strong>de</strong>s adresses d'email <strong>et</strong> <strong>de</strong>s clefs publiques.<br />
http://www.openldap.org<br />
Relais HTTP : SQUID<br />
Serveur proxy-cache très performant, supportant divers outils<br />
d’authentification, dont Open-LDAP.<br />
http://www.squid-cache.org
Outils d’audit <strong>de</strong> vulnérabilité<br />
Nessus vulnerability scanner<br />
– Scanner <strong>de</strong> vulnérabilité très compl<strong>et</strong><br />
– Trés rapi<strong>de</strong>, fiable <strong>et</strong> propose <strong>de</strong>s batteries <strong>de</strong> tests<br />
modulaire<br />
http://www.nessus.org<br />
Satan<br />
Autre Scanner <strong>de</strong> vulnérabilité très compl<strong>et</strong><br />
http://www.porcupine.org/satan/
scanner <strong>de</strong> serveur web<br />
Nikto<br />
– Réalise <strong>de</strong>s tests très compl<strong>et</strong>s sur les failles <strong>de</strong>s applications<br />
web, (incluant une liste <strong>de</strong> plus que 2600 CGI qui sont potentiellement dangereux <strong>et</strong> plus<br />
que 625 versions <strong>de</strong> serveurs )<br />
– Liste <strong>de</strong>s failles réguliérement mise à jour.<br />
http://www.cirt.n<strong>et</strong>/co<strong>de</strong>/nikto.shtml
Outils <strong>de</strong> scan manuels<br />
•OS fingerprint à distance<br />
•Test <strong>de</strong> firewall<br />
•Scan <strong>de</strong> port trés avancé<br />
•Test <strong>de</strong> réseau utilisant : différents protocoles, TOS <strong>et</strong> la fragmentation<br />
•Découverte manuelle <strong>de</strong> route MTU<br />
•Traceroute avancé (supportant tous les protocoles)<br />
•Exécution <strong>de</strong> uptime à distance<br />
•Audit <strong>de</strong> pile TCP/IP<br />
<br />
NMap<br />
– Scanner “stealth”, perm<strong>et</strong>tant d’outrepasser certains firewalls.<br />
<br />
HPing2<br />
http://www.insecure.org<br />
– Perm<strong>et</strong> <strong>de</strong> forger <strong>de</strong>s paqu<strong>et</strong>s TCP/IP<br />
– L'interface est inspirée <strong>de</strong> la comman<strong>de</strong> Unix ping(8), mais le Hping n’envoi pas seulement <strong>de</strong>s paqu<strong>et</strong>s ICMP echo, il<br />
supporte en plus les protocole TCP, UDP, ICMP <strong>et</strong> RAW-IP.<br />
http://www.hping.org<br />
+ Plein, plein d’autres ……………….
Outils d’analyse <strong>de</strong> l’interception<br />
<strong>de</strong>s données<br />
Dsniff<br />
– Collection d'outils d’interception passifs.<br />
– arpspoof, dnsspoof <strong>et</strong> macof perm<strong>et</strong>tent <strong>de</strong> tester la résistance du réseau contre<br />
l’interception experte <strong>de</strong>s données.<br />
– Filesnarf, mailsnarf, msgsnarf, urlsnarf <strong>et</strong> webspy perm<strong>et</strong>tent <strong>de</strong> capturer <strong>de</strong>s mot <strong>de</strong><br />
passe, emails, fichiers, urls accédées…<br />
– Sshmitm <strong>et</strong> webmitm m<strong>et</strong>tent en application <strong>de</strong>s attaques active <strong>de</strong> type man-in-themiddle<br />
contre <strong>de</strong>s sessions rédirigées SSH ou HTTPS en exploitant la faiblesse dans<br />
l’attachement PKI ad-hoc.<br />
http://monkey.org/~dugsong/dsniff/<br />
<br />
Sentinel<br />
– Perm<strong>et</strong> d’i<strong>de</strong>ntifier les machines qui tournent <strong>de</strong>s sniffers sur un réseau local<br />
http://www.pack<strong>et</strong>factory.n<strong>et</strong>/Projects/sentinel/<br />
<br />
Ethereal<br />
– Analyseur <strong>de</strong> protocole réseau pour plateforme Unix <strong>et</strong> Windows.<br />
(518 protocoles supportés)<br />
- Perm<strong>et</strong> d‘intercepter <strong>et</strong> d’analyser les données transitant sur le réseau, via :<br />
– Visualisation interactive <strong>de</strong>s données capturées,<br />
– Application <strong>de</strong> filtres sur les capture<br />
http://www.<strong>et</strong>hereal.com
Outils d’administration<br />
WebMin<br />
– Perm<strong>et</strong> <strong>de</strong> gérer à distance <strong>et</strong> <strong>de</strong> maniére centralisée une multitu<strong>de</strong> d’outils <strong>de</strong><br />
sécurité Open-source : SQUID, Snort, N<strong>et</strong>filter, …<br />
– Basé sur une interface Web conviviale <strong>et</strong> simple d’usage.<br />
http://www.webmin.org<br />
• Swatch<br />
- Surveille les logs en temps réel <strong>et</strong> déclenche une action prédéfinie (alerte, …)<br />
lorsqu’un événement spécifiques (trigger) se déclenche<br />
http://swatch.sourceforge.n<strong>et</strong>/<br />
Autres : Logsurfer, XML-logs, New Syslog, Modular Syslog, Syslog-NG, ……<br />
• Ai<strong>de</strong> à la configuration <strong>de</strong>s Firewalls (régles)<br />
Firewall Buil<strong>de</strong>r, SmoothWall, PHP Firewall Generator, GFCC, Easy Firewall,<br />
Mason, N<strong>et</strong>work streams, Filterrules
Honey-Pots<br />
HoneyN<strong>et</strong><br />
– Perm<strong>et</strong> <strong>de</strong> son<strong>de</strong>r les essais d’attaques <strong>et</strong> aussi <strong>de</strong> les détourner<br />
– Perm<strong>et</strong> <strong>de</strong> créer sur un seul poste <strong>de</strong>s réseaux virtuels (adresses IP multiples<br />
pour la simulation d’un réseau).<br />
– Les postes peuvent être configurés pour ouvrir <strong>de</strong>s services virtuels, <strong>et</strong><br />
leur apparence peut être adaptée <strong>de</strong> sorte qu'ils semblent exécuter <strong>de</strong>s<br />
types virtuels <strong>de</strong> systèmes d'exploitation.<br />
http://www.honeyd.org/
Kits <strong>de</strong> sécurisation <strong>de</strong>s<br />
communications<br />
OpenSSL<br />
– Outil qui implémente le Secure Sock<strong>et</strong>s Layer (SSL<br />
v2/v3) <strong>et</strong> le Transport Layer Security (TLS v1) protocols<br />
http://www.openssl.org<br />
<br />
GN Privacy Guard (GPG)<br />
– Un outil gratuit qui remplace le PGP suite (Outil <strong>de</strong> cryptographie). Il est publié sous la licence<br />
<strong>de</strong> GNU General Public License. Il est initialement dévéloppé par Werner Koch <strong>et</strong> supporté par la<br />
suite par le gouvernoument Allemand.<br />
http://www.gnupg.org/
Qcqs Adresses utiles<br />
http://www.linux-sec.n<strong>et</strong>/<br />
http://sourceforge.n<strong>et</strong><br />
http://www.insecure.org/tools.html<br />
http://www.linuxsecurity.com
Aperçu sur un recensement <strong>de</strong><br />
nos besoins en outils Opensource<br />
Résultats d’une enquête (70 entreprises stratégiques) sur la<br />
sécurité <strong>de</strong>s SI –2003-
Catégories <strong>de</strong>s produits Open Source<br />
sollicitées<br />
Majorité <strong>de</strong>s environnements = MS<br />
Solutions pour le réseau<br />
(en attendant une plus gran<strong>de</strong> popularité <strong>de</strong> l’usage d’unix)<br />
25,00%<br />
22,92% 22,92%<br />
18,75%<br />
12,50%<br />
Firewall IDS AUDIT Chiffrement PKI<br />
(Vœux <strong>de</strong> formation, , extrait <strong>de</strong>s résultats <strong>de</strong> l’enquête 2003)
Taux d’utilisation d’outils open-source :<br />
Firewalls :<br />
100%<br />
6%<br />
Firewall Open<br />
source<br />
Firewall<br />
Commercial<br />
Détecteurs d'intrusions :<br />
Types d'IDS utilisés pour la protection du LAN<br />
80%<br />
20%<br />
IDS Commercial<br />
IDS Open source
Outils d’audit <strong>de</strong> vulnérabilité :<br />
62%<br />
85%<br />
Chiffrement<br />
Solution Open<br />
source<br />
Solution<br />
Commerciale<br />
80%<br />
20%<br />
Solution <strong>de</strong><br />
chiffrement<br />
Commerciale<br />
Solution <strong>de</strong><br />
chiffrement<br />
Open Source
Quelques Utilisations Nationales Importantes :<br />
•Squid, SpamAssassin (Enseignement Supérieur, El Khawarizmi)<br />
•SLIS (Education, INBMI)<br />
•Apache (FSIs)<br />
+ + + +
Conclusion<br />
Intérêt Certain Et Besoins Stratégiques <strong>et</strong> Urgents<br />
Appel à Contribution :<br />
Sensibilisation.<br />
Logistique d’Assistance <strong>et</strong> <strong>de</strong> Formation <strong>de</strong>s<br />
utilisateurs.<br />
Initier une activité d’adaptation <strong>et</strong> <strong>de</strong><br />
développement, basée sur l’Open-Source.
Merci pour votre attention<br />
Inscrivez vous à la Mailing List <strong>de</strong><br />
l’ANSI:<br />
Cert-Tcc@ansi.<strong>tn</strong>