NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - Aper�u sur la s�curit�
Parce que notre d�pendance est de plus en plus prononc�e vis � vis des ordinateurs puissants mis en r�seau pour faire des affaires et garder des archives de nos informations personnelles, de nombreuses industries ont �merg�es dans le domaine de la s�curit� r�seau et informatique. Maintes entreprises ont recours aux services d'experts en s�curit� afin qu'ils analysent leurs syst�mes de mani�re ad�quate et �laborent des solutions adapt�es aux besoins op�rationnels de la soci�t�. Parce que la plupart des soci�t�s sont dynamiques par nature, les employ�s acc�dant aux ressources IT localement et � distance, la n�cessit� de disposer d'environnements informatiques s�curis�s est de plus en plus prononc�e.
Regrettablement, la plupart des soci�t�s (et des utilisateurs individuels) voient la s�curit� comme une consid�ration apr�s coup, un processus n�glig� au profit d'une puissance et productivit� accrues et de consid�rations budg�taires. L'impl�mentation d'une s�curit� appropri�e a souvent lieu de mani�re r�trospective — par exemple, suite � une intrusion non autoris�e. Les experts en s�curit� reconnaissent que le fait de prendre les mesures appropri�es avant m�me de connecter un site � un r�seau qui n'est pas digne de confiance, tel que l'internet, repr�sente la meilleure fa�on de contrer la plupart des tentatives d'intrusion.
1.1. Qu'est-ce que la s�curit� informatique�?
La s�curit� informatique est un terme g�n�ral couvrant un vaste domaine du monde de l'informatique et du traitement d'informations. Les industries qui d�pendent de syst�mes informatiques et de r�seaux pour effectuer des transactions commerciales quotidiennes et acc�der � des informations d'une importance capitale consid�rent leurs donn�es comme une partie essentielle de leur actif. Nombreux sont les termes et m�triques ayant fait leur apparition dans notre environnement de travail, tels que le co�t total de la propri�t� (TCO) et la qualit� de service (QoS). Avec ces m�triques, diff�rentes industries mesurent des aspects comme l'int�grit� des donn�es et la haute disponibilit� qui font partie de leur planification et des co�ts de gestion du processus. Dans certaines industries, comme le commerce �lectronique, la disponibilit� et fiabilit� des donn�es peuvent repr�senter l'�l�ment faisant la diff�rence entre la r�ussite et l'�chec.
1.1.1. Quelles sont les origines de la s�curit� informatique�?
Bien des lecteurs se rappelleront du film ��WarGames�� dans lequel Matthew Broderick joue le r�le d'un lyc�en qui s'introduit dans le superordinateur du minist�re de la d�fense am�ricaine (Department of Defense ou DoD) et par inadvertance, engendre la menace d'une guerre nucl�aire. Dans le film, Matthew Broderick utilise son modem pour entrer en communication avec l'ordinateur du minist�re de la d�fense (appel� WOPR) et joue � des jeux avec l'intelligence artificielle que ce dernier poss�de sous forme de logiciel responsable du contr�le de tous les silos contenant les missiles nucl�aires. Ce film, sorti pendant la ��Guerre froide�� entre l'ancienne Union Sovi�tique et les �tats-Unis, voit sa production th��trale en 1983 remporter un succ�s consid�rable. La popularit� du film inspire maints individus et groupes qui essaient alors d'utiliser certaines des m�thodes employ�es par le jeune h�ros pour p�n�trer dans des syst�mes � acc�s limit�s, y compris une m�thode appel�e war dialing — consistant � rechercher des num�ros de t�l�phone �tablissant des connexions � un modem analogue en fonction d'une combinaison indicatif et pr�fixe.
Plus de dix ans plus tard, apr�s une poursuite multi-juridictionnelle de quatre ans � laquelle participent le FBI (Federal Bureau of Investigation) et des experts en informatique de tout le pays, Kevin Mitnick, l'inf�me pirate informatique est arr�t� et condamn� pour 25 chefs d'accusation en relation avec des fraudes sur des ordinateurs et des dispositifs d'acc�s. Les pertes engendr�es par ses activit�s malveillantes ont �t� � l'�poque estim�es � un montant de US$80 millions au niveau de la propri�t� intellectuelle et du code source de soci�t�s comme Nokia, NEC, Sun Microsystems, Novell, Fujitsu et Motorola. � l'�poque, le FBI a estim� cet incident unique comme �tant l'infraction p�nale la plus s�rieuse en mati�re d'informatique dans l'histoire des �tats-Unis. Reconnu coupable et condamn� � 68 mois de prison pour ses infractions, il sert 60 mois de sa peine avant d'�tre mis en libert� conditionnelle le 21 janvier 2000. Il lui est alors interdit d'utiliser tout ordinateur ou d'effectuer toute activit� de conseil dans le domaine informatique jusqu'en 2003. Les investigateurs qualifient Mitnick d'expert en ing�nierie sociale — utilisant les �tres humains pour s'octroyer l'acc�s � des mots de passe et des syst�mes � l'aide de certificats d'identit� falsifi�s.
La s�curit� des informations a �volu� au cours des ann�es en raison de l'utilisation croissante de r�seaux publics pour fournir des informations personnelles, financi�res et toutes autres informations confidentielles. De nombreux incidents, comme les cas Mitnick et Vladimir Levin (reportez-vous � la Section 1.1.2 pour obtenir de plus amples informations), ont forc� les soci�t�s dans tous les secteurs industriels � repenser la mani�re dont elles effectuent la transmission et communication de donn�es. La popularit� de l'internet repr�sente l'un des d�veloppements les plus importants ayant motiv� un renforcement des efforts en mati�re de s�curit� des donn�es.
Un nombre croissant de personnes utilisent leur ordinateur personnel pour acc�der aux ressources offertes par l'internet. De la recherche et la r�cup�ration d'informations � l'utilisation du courrier �lectronique et des transactions commerciales �lectroniques, l'internet est maintenant consid�r� comme l'un des d�veloppements les plus importants du 20�me si�cle.
N�anmoins, l'internet et ses protocoles pr�c�dents ont �t� d�velopp�s en tant que syst�mes bas�s sur la confiance. C'est � dire que l'internet n'�tait pas con�u pour �tre en soi, s�curis�. Aucun standard de s�curit� n'�tant int�gr� dans les piles de communications TCP/IP, le r�seau est ouvert � tout utilisateur ou processus potentiellement malveillant. Les d�veloppements r�cents ont certes rendu les communications Internet plus s�res, mais un certain nombre d'incidents ayant fait l'objet d'un int�r�t national nous ont toutefois rappel�s que rien n'est enti�rement s�r.
1.1.2. Chronologie de la s�curit� informatique
De nombreux �l�ments cl� ont contribu� � la naissance et au d�veloppement de la s�curit� informatique. Ci-dessous figure une liste de certains des �v�nements les plus importants ayant attir� l'attention sur la s�curit� dans le domaine de l'informatique et de l'information et expliquant l'importance qu'elle rev�t de nos jours.
1.1.2.1. Les ann�es 30 et 40
Les cryptographes polonais inventent la machine Enigma en 1918, un dispositif �lectrom�canique de cryptage par rotor qui convertit les messages en texte clair en messages crypt�s. D�velopp�e � l'origine pour s�curiser les communications banquaires, l'arm�e allemande trouve le dispositif des plus utiles pour s�curiser les communications durant la deuxi�me guerre mondiale. Alan Turing, un brillant math�maticien, d�veloppe alors une m�thode pour briser les codes d'Enigma, permettant alors aux forces alli�es de d�velopper Colossus, une machine souvent accr�dit�e de la fin de la guerre une ann�e plus t�t.
1.1.2.2. Les ann�es 60
Les �tudiants du Massachusetts Institute of Technology (MIT) fondent le Tech Model Railroad Club (TMRC) et commencent � explorer et programmer l'unit� centrale PDP-1 du syst�me informatique de l'�cole. Le groupe finit par utiliser le terme ��hacker�� (ou pirate) dans le contexte actuel que l'on conna�t.
Le Minist�re de la D�fense am�ricaine (DoD) cr�e le r�seau Advanced Research Projects Agency Network (ARPANet), qui acquiert de la popularit� dans les milieux acad�miques et de recherche, comme un moyen d'�changer �lectroniquement des donn�es et des informations. Ce dernier ouvre la voie vers la cr�ation d'un r�seau porteur connu de nos jours sous le nom d'internet.
Ken Thompson d�veloppe alors le syst�me d'exploitation UNIX, consid�r� par beaucoup comme �tant le syst�me d'exploitation le plus ��susceptible d'�tre pirat頻 en raison d'une part, de ses outils pour d�veloppeurs et de ses compilateurs tr�s accessibles et d'autre part, de son soutien parmi la communaut� des utilisateurs. � peu pr�s � la m�me �poque, Dennis Ritchie met au point le langage de programmation C, indiscutablement le langage de piratage le plus populaire de toute l'histoire informatique.
1.1.2.3. Les ann�es 70
Bolt, Beranek and Newman, une soci�t� de d�veloppement et de recherche informatique pour le gouvernement et le monde de l'industrie, met au point le protocole Telnet, une extension publique du r�seau ARPANet. Ce d�veloppement ouvre les portes � l'utilisation par le public de r�seaux de donn�es qui �taient autrefois le privil�ge des entrepreneurs et des chercheurs du monde acad�mique. Il convient n�anmoins de pr�ciser que, selon plusieurs chercheurs en mati�re de s�curit�, Telnet est sans doute le protocole le moins s�r pour les r�seaux publics.
Steve Jobs et Steve Wozniak fondent Apple Computer et commencent � commercialiser l'ordinateur personnel ou PC (de l'anglais Personal Computer). Le PC devient alors le tremplin pour l'apprentissage par des utilisateurs malintentionn�s de l'art de s'introduire dans des syst�mes � distance en utilisant du mat�riel de communication de PC courant tel que des modems analogues ou des logiciels d�di�s (war dialers).
Jim Ellis et Tom Truscott cr�ent USENET, un syst�me de type messagerie pour la communication �lectronique entre des utilisateurs tr�s vari�s. USENET devient rapidement l'un des forums les plus populaires pour l'�change d'id�es en mati�re d'informatique, de mise en r�seau et, �videmment, de craquage (ou cracking).
1.1.2.4. Les ann�es 80
IBM met au point et commercialise des PC bas�s sur le microprocesseur Intel 8086, une architecture peu co�teuse permettant � l'informatique de passer d'une utilisation purement professionnelle � une utilisation personnelle. Gr�ce � ce d�veloppement, le PC devient un produit m�nager de consommation courante non seulement abordable et puissant, mais �galement simple d'utilisation et contribue par l�-m�me � la prolif�ration de tel mat�riel dans l'environnement professionnel et personnel d'utilisateurs malintentionn�s.
Le protocole TCP ou Transmission Control Protocol, mis au point par Vint Cerf, se divise en deux parties distinctes. L'IP (ou Internet Protocol) trouve son origine dans cette division et de nos jours, la combinaison des protocoles TCP/IP est d�sormais la norme pour toute communication Internet.
En raison des progr�s effectu�s dans le domaine du phreaking, ou plus pr�cis�ment les techniques d'exploration et de piratage du syst�me t�l�phonique, le magazine 2600�: The Hacker Quarterly voit le jour et lance vers une vaste audience, des discussions sur des th�mes tels que le piratage informatique et les r�seaux informatiques.
Apr�s une vague de piratage de neuf jours au cours desquels le ��Gang 414�� (baptis� ainsi en r�f�rence � l'indicatif du lieu o� ses membres habitaient et effectuaient leurs op�rations de piratage) s'introduit dans des syst�mes d'institutions ultra secr�tes, tels qu'un centre de recherche en armement nucl�aire ou encore le laboratoire de Los Alamos (Los Alamos National Laboratory), les autorit�s am�ricaines font une rafle sur leur quartier g�n�ral.
Legion of Doom et Chaos Computer Club sont deux groupes pionniers en mati�re de piratage qui commencent alors � exploiter les faiblesses des ordinateurs et des r�seaux de donn�es �lectroniques.
La loi am�ricaine de 1986 sur la r�pression des fraudes et infractions dans le domaine informatique (Computer Fraud and Abuse Act) est pass�e par le congr�s suite aux exploits de Ian Murphy, alias Captain Zap, qui r�ussissant � s'introduire dans des ordinateurs de l'arm�e, vole des informations dans les bases de donn�es de commandes de diverses soci�t�s et utilise des standards t�l�phoniques gouvernementaux � acc�s limit�s pour effectuer des appels.
Gr�ce � cette nouvelle loi (Computer Fraud and Abuse Act), la justice est en mesure de condamner Robert Morris, un dipl�m� universitaire, pour l'introduction du vers portant son nom (Morris Worm) dans plus de 6000 ordinateurs vuln�rables reli�s � l'internet. Le cas suivant le plus c�l�bre ayant fait l'objet d'une condamnation en justice est celui de Herbert Zinn, un lyc�en qui, apr�s avoir abandonn� ses �tudes, s'introduit dans les syst�mes informatiques appartenant � AT&T et au minist�re de la d�fense am�ricaine (DoD) et les utilise � des fins malveillantes.
Par crainte que le ��ver Morris�� puisse �tre reproduit, l'�quipe de r�ponse aux urgences informatiques (CERT, de l'anglais Computer Emergency Response) est cr��e afin d'avertir les utilisateurs d'ordinateurs contre les probl�mes de s�curit� r�seau.
Clifford Stoll �crit le livre The Cuckoo's Egg, un r�cit de l'enqu�te de l'auteur sur les pirates exploitant son syst�me.
1.1.2.5. Les ann�es 90
Le r�seau ARPANet est d�-commissionn� et son trafic transf�r� sur l'internet.
Linus Torvalds d�veloppe le noyau Linux pour une utilisation avec le syst�me d'exploitation GNU�; le d�veloppement et l'adoption tr�s r�pandus de Linux sont en partie d�s � la collaboration des utilisateurs et des d�veloppeurs communiquant par le biais de l'internet. En raison de son enracinement dans Unix, Linux est le choix pr�f�r� des pirates malintentionn�s et des administrateurs qui voient en lui, un moyen utile pour construire des alternatives s�curis�es aux serveurs legacy utilisant des syst�mes d'exploitation propri�taires (ou Closed Source et donc non-modifiables).
La navigateur Web graphique voit le jour et engendre une croissance exponentielle de la demande pour l'acc�s public � l'internet.
Vladimir Levin et ses complices transf�rent ill�galement des fonds d'un montant de US$10 millions sur plusieurs comptes en s'introduisant dans la base de donn�es centrale de la CityBank. Levin est plus tard arr�t� par Interpol et presque la totalit� de l'argent transf�r� est retrouv�e.
Kevin Mitnick est vraisemblablement le plus c�l�bre de tous les pirates, suite � ses intrusions dans les syst�mes de plusieurs grandes soci�t�s et au vol de toute sorte de donn�es allant des informations personnelles de personnes c�l�bres � plus de 20.000 num�ros de cartes de cr�dit en passant par des codes sources de logiciels propri�taires. Interpel� et condamn� pour infraction par c�ble, il sert une peine de 5 ans de prison.
Kevin Poulsen et un complice non-identifi� truquent les syst�mes t�l�phoniques d'une station de radio afin de gagner des voitures et des prix en esp�ces. Poulsen qui est d�clar� coupable pour des infractions par ordinateurs et c�bles, est condamn� � 5 ans de prison.
Les histoires de piratage et de ��phreaking�� (piratage de syst�mes t�l�phoniques) se transformant en l�gendes, plusieurs pirates potentiels d�cident de se r�unir � une convention annuelle intitul�e DefCon afin de f�ter le piratage et l'�change d'id�es entre passionn�s du domaine.
Un �tudiant isra�lien de 19ans est arr�t� et condamn� pour avoir coordonn� plusieurs intrusions dans des syst�mes du gouvernement am�ricain pendant la Guerre du Golfe. Selon les sources officielles de l'arm�e am�ricaine, ces infractions repr�sentent ��les attaques les plus organis�es et syst�matiques�� des syst�mes informatiques du gouvernement dans toute l'histoire du pays.
Le ministre de la justice am�ricaine, Attorney General Janet Reno, en r�ponse au nombre croissant des br�ches de s�curit� dans les syst�mes du gouvernement fonde le centre de protection de l'infrastructure nationale (ou National Infrastructure Protection Center, NIPC).
Des pirates non-identifi�s prennent le contr�le de satellites de communication britanniques et exigent une ran�on. Apr�s un certain temps le gouvernement britannique reprend contr�le de ses satellites.
1.1.3. La s�curit� de nos jours
En f�vrier 2000, une attaque par d�ni de service distribu� (DDoS) est lanc�e contre plusieurs des sites Internet les plus sollicit�s. Suite � cette attaque, les sites yahoo.com, cnn.com, amazon.com, fbi.gov et bien d'autres sites ne peuvent �tre contact�s par des utilisateurs normaux car des transferts de paquets ICMP � grande quantit� d'octets (ce qu'on appelle aussi ��ping flood��) monopolisent le routeur pendant plusieurs heures. Cette attaque est lanc�e par des assaillants utilisant des programmes en vente libre cr��s sp�cialement dans ce but, qui scannent des serveurs r�seau vuln�rables et installent des applications clientes appel�es chevaux de Troie (ou trojans) sur le serveur et organisent une attaque au cours de laquelle tous les serveurs contamin�s inondent le site de la victime et la mettent hors acc�s. Nombreux sont ceux qui rejettent la responsabilit� de l'attaque sur les faiblesses fondamentales dans la structure des routeurs et protocoles utilis�s acceptant toute donn�e entrant, quelle que soit la destination ou le but des paquets envoy�s.
Nous arrivons ensuite au nouveau mill�naire, une �poque o�, selon les estimations, environ 945 millions de personnes dans le monde utilisent ou ont utilis� l'internet (d'apr�s Computer Industry Almanac, 2004). Toujours selon des estimations�:
Tous les jours, environ 225 cas majeurs de br�ches de s�curit� sont rapport�s au Centre de Coordination du CERT � l'universit� de Carnegie Mellon.[1]
En 2003, le nombre d'infractions rapport� au CERT est mont� � 137.529, par rapport � 82.094 en 2002 et par rapport � 52.658 en 2001.[2]
L'impact �conomique au niveau mondial des trois virus Internet les plus dangereux ayant surgi au cours des trois derni�res ann�es a atteint un montant total de US$13,2 milliards.[3]
La s�curit� informatique fait d�sormais partie des d�penses non seulement quantifiables, mais justifiables incluses dans tout budget IT. Les soci�t�s n�cessitant de l'int�grit� et la haute disponibilit� de donn�es recourent aux capacit�s des administrateurs syst�me, d�veloppeurs et ing�nieurs pour assurer la fiabilit� de leurs syst�mes, services et informations 24 heures sur 24, 7 jours sur 7. La possibilit� de devenir la victime d'attaques coordonn�es, d'utilisateurs ou de processus malveillants repr�sente une v�ritable menace au succ�s d'une soci�t�.
Malheureusement, la s�curit� d'un syst�me et d'un r�seau peut �tre une proposition difficile, demandant une connaissance complexe de la valeur qu'une soci�t� attache � ses donn�es, de la mani�re dont elles sont utilis�es, manipul�es et transmises. La compr�hension de la mani�re dont une soci�t� (et l'ensemble des personnes la composant) fait des affaires est essentielle afin de pouvoir impl�menter un plan de s�curit� appropri�.
1.1.4. Standardisation de la s�curit�
Toute soci�t�, quel que soit son secteur d'activit�, d�pend de normes et de r�gles �tablies par des organismes de standardisation tels que l'American Medical Association (AMA) pour les m�decins ou l'Institute of Electrical and Electronics Engineers (IEEE) pour les ing�nieurs. Les m�mes id�aux s'appliquent � la s�curit� des informations. Nombreux sont les consultants et revendeurs qui observent le mod�le de s�curit� standard connu sous l'acronyme CIA (de l'anglais Confidentiality, Integrity, and Availability pour confidentialit�, int�grit� et disponibilit�). Ce mod�le � trois niveaux est un �l�ment g�n�ralement accept� pour �valuer les risques associ�s � des donn�es confidentielles et pour �tablir une politique de s�curit�. Ci-apr�s figurent des informations d�crivant le mod�le CIA de mani�re plus d�taill�e�:
Confidentialit� — Les informations confidentielles ne doivent �tre disponibles qu'� un nombre pr�d�fini de personnes. La transmission et l'utilisation non-autoris�es d'informations devraient �tre restreintes au maximum. Par exemple, la confidentialit� des donn�es garantit que des informations personnelles ou financi�res ne soient accessibles par aucune personne non-autoris�e et dot�e d'intentions malveillantes, comme c'est le cas lors de l'appropriation d'identit� ou des fraudes de cartes de cr�dit.
Int�grit� — Les informations ne devraient �tre modifi�es d'aucune mani�re les rendant incompl�tes ou incorrectes. La possibilit� pour tout utilisateur non-autoris� de modifier ou d�truire des informations confidentielles devrait �tre limit�e au maximum.
Disponibilit� — Les utilisateurs autoris�s devraient avoir acc�s aux informations lorsqu'ils en ont besoin. La disponibilit� est la garantie que toute information peut �tre obtenue � une fr�quence et opportunit� �tablies pr�alablement. Ces valeurs sont g�n�ralement mesur�es en termes de pourcentages et sont d�cid�es de mani�re formelle dans les accords ou Service Level Agreements (SLA) utilis�s par les fournisseurs de services r�seau et leur clients.