SlideShare une entreprise Scribd logo
République Tunisienne
Ministère de l’enseignement Supérieur de la Recherche Scientifique et de la
Technologie
Année Universitaire 2013/2014
INSTITUT DES HAUTES ETUDES DE SOUSSE
Département Technologies de L’informatique
RAPPORT DE STAGE DE FIN D’ÉtuDes
En vue de l’obtention de Licence Appliquée en
Technologies des Réseaux Informatiques
Thème
LA SECURITE INFORMATIQUE
Réalisé par : CAMARA Cheick Ahmed
Encadré par : Mr. MARRAKCHI Hosni
Société d’accueil : CYBER PARC (TUNISIE TELECOM)
.
La sécurité informatique
Table des matières
INTRODUCTION GENERALE................................................................................................ 5
CHAPITRE I: Présentation de l’entreprise d’accueil................................................................. 6
Introduction ................................................................................................................................ 7
I. Présentation de Tunisie Telecom .................................................................................... 7
1. Fiche d’identité............................................................................................................ 7
2. Logo et identité visuelle .............................................................................................. 8
3. Objectifs et orientations stratégiques........................................................................... 9
II. Présentation du Cyber Parc........................................................................................ 10
CONCLUSION ........................................................................................................................ 11
CHAPITRE II : La Sécurité Informatique ............................................................................... 12
I. Présentation ................................................................................................................... 13
II. Les Principes de la sécurité informatique.................................................................. 14
III. Protections ................................................................................................................. 18
1. Formation des utilisateurs.......................................................................................... 18
2. Poste de travail........................................................................................................... 18
3. Antivirus.................................................................................................................... 19
4. Pare-Feu (Firewall) ou garde barrière ....................................................................... 20
5. Authentification et cryptage ...................................................................................... 21
6. Des outils de sécurité Open Source à tester............................................................... 23
7. Détection d’intrusion ................................................................................................. 25
IV. Les différents enjeux et risques ................................................................................. 27
CONCLUSION ........................................................................................................................ 31
CHAPITRE III : Cas pratique de l’évaluation de la sécurité ................................................... 32
Introduction .............................................................................................................................. 33
I. Questions et utilités de l’étude ...................................................................................... 33
II. Le système d’exploitation Windows ......................................................................... 36
1. Concept et mécanisme de sécurité............................................................................. 39
2. Forces et faiblesses de Windows............................................................................... 43
III. Le système d’exploitation Mac OS ........................................................................... 44
1. Concept et mécanisme de sécurité............................................................................. 45
2. Forces et faiblesses de Mac OS ................................................................................. 46
IV. Le système d’exploitation Linux ............................................................................... 47
1. Concept et mécanisme de sécurité............................................................................. 48
2. Forces et faiblesses .................................................................................................... 51
CONCLUSION ........................................................................................................................ 52
CHAPITRE IV : Enquête de sécurité informatique................................................................. 53
Introduction .............................................................................................................................. 54
I. Le questionnaire ............................................................................................................ 55
1. Définition................................................................................................................... 55
2. Présentation du questionnaire.................................................................................... 55
3. Présentation de la population..................................................................................... 56
II. Résultats de l’enquête de sécurité informatique........................................................ 56
1. Les Tableaux croisés ................................................................................................. 57
2. Diagrammes et histogrammes du questionnaire........................................................ 70
CONCLUSION ........................................................................................................................ 72
CONCLUSION GENERALE.................................................................................................. 74
ANNEXE ................................................................................................................................. 76
BIBLIOGRAPHIE ................................................................................................................... 77
WEBOGRAPHIE..................................................................................................................... 77
Table des figures
Figure 1 : 1er
Logo de la société TUNISIE TELECOM............................................................. 8
Figure 2 : Logo de la société TUNISIE TELECOM à partir de Septembre 2010 ..................... 9
Figure 3 : Architecture classique.............................................................................................. 20
Figure 4 : Architecture concentré............................................................................................. 21
Figure 5: Logos Windows évolution........................................................................................ 36
Figure 6 : L'arbre généalogique des systèmes d’exploitation de chez Windows..................... 38
Figure 7: Aperçu de Windows Defender.................................................................................. 41
Figure 8: Logos Mac OS évolution.......................................................................................... 44
Figure 9: Aperçu de la procédure de défense du Mac OS........................................................ 46
Figure 10 : Logo de Linux........................................................................................................ 47
Figure 11: Architecture des systèmes Linux ............................................................................ 49
Figure 12 : Histogramme de la satisfaction des utilisateurs..................................................... 57
Figure 13: Histogramme de la satisfaction en fonction du désir de changement de système
d’exploitation ........................................................................................................................... 58
Figure 14: Diagramme de différentes utilisations des systèmes d’exploitation (OS) .............. 65
Figure 15: Histogramme de la satisfaction des utilisateurs en fonction des systèmes
d’exploitation ........................................................................................................................... 66
Figure 16: Notes attribuées aux systèmes d’exploitation par les utilisateurs........................... 67
Figure 17 : Aperçu du questionnaire de l’enquête ................................................................... 76
Table des tableaux
Tableau 1 : La satisfaction et la note de sécurité...................................................................... 57
Tableau 2 : La satisfaction et le désir de changement de système d’exploitation.................... 58
Tableau 3 : Systèmes d’exploitation ayant des antivirus ou pas .............................................. 59
Tableau 4 : Problèmes et divers dégâts en généralité............................................................... 60
Tableau 5 : Problèmes et désir de changer de système d’exploitation..................................... 60
Tableau 6 : Désir de changement d’OS en fonction des différents dégâts............................... 61
Tableau 7 : Comparaison du nombre de désirs de changement de système d’exploitation..... 62
Tableau 8 : Système d’exploitation et Antivirus...................................................................... 62
Tableau 9 : Utilisateur d’un système pour le développement .................................................. 63
Tableau 10 : Utilisateur d’un système pour le travail .............................................................. 63
Tableau 11 : Utilisateur d’un système pour l’éducation .......................................................... 64
Tableau 12 : Utilisateur d’un système pour la détente............................................................. 64
Tableau 13 : Utilisateur d’un système pour d’autres activités ................................................. 65
Tableau 14 : Utilisateurs satisfait ou pas de leur système d’exploitation ................................ 66
Tableau 15 : Notes attribuées aux systèmes d’exploitation ..................................................... 67
Tableau 16 : Appréciation de sécurité d’un système d’exploitation sans antivirus ................. 67
Tableau 17 : Utilisateurs ayant eu des problèmes ou pas......................................................... 68
Tableau 18 : Nouveau système choisi pour remplacer le précédent ........................................ 69
1
INTRODUCTION
GENERALE
2
INTRODUCTION GENERALE
L’institut des Haute Etude de Sousse est un institut qui fournit une formation complète en
pratique comme en théorie.
Un des aspects de cette démarche se transmet à travers les stages et les projets professionnels
effectués à la fin de la troisième année d’étude. Ce projet qui mettra un terme à ma formation
et par la suite du quel j’obtiendrai le diplôme de licencié en Technologie des Réseaux
Informatiques, ce projet qui s’inscrit dans le cadre professionnel est une initiation à ma future
vie professionnelle. Ce projet a été effectué au sein de la société TUNISIE TELECOM, avec
toutes les conditions requises pour sa réalisation tant au plan matériel, logiciel, que sur le plan
de l’encadrement. Si la notion de sécurité des systèmes informatiques et des données qu'on
traite n'est pas nouvelle, il est évident que le développement extraordinaire des logiciels, des
réseaux et singulièrement de l'Internet en a fait une priorité absolue pour les utilisateurs
particuliers et surtout pour les entreprises. Il ne se passe pas un mois sans que les médias
évoquent des cas de piratages informatiques commis par les désormais célèbres crackers.
L'objectif de ce rapport est de situer clairement la place que doit occuper la sécurité
informatique dans les entreprises, les utilisations personnelles et de présenter les différentes
solutions existantes.
Ce rapport se terminera avec bien entendu une conclusion qui récapitulera les activités
réalisées et les avantages de ma solution. J’évoquerais bien entendu les failles de sécurité qui
se retrouvent dans les systèmes d’exploitation, l’évaluation et la perception des risques, le
pilotage et le contrôle des systèmes d’exploitation.
Ces thèmes permettent de mettre en évidence une perception de la sécurité souvent réduite au
seul domaine informatique, et manquant d’une stratégie globale au niveau de l’entreprise.
3
CHAPITRE I:
Présentation de
l’entreprise d’accueil
4
Introduction
La présentation de la société TUNISIE TELECOM est essentielle dans l’élaboration de notre
projet de fin d’étude d’où la présentation générale de celle-ci.
I. Présentation de Tunisie Telecom
1. Fiche d’identité
Tunisie Telecom, opérateur historique des télécommunications en Tunisie, est issu de l’Office
tunisien des postes et des Télégraphes, administré directement par le Ministère chargé des
Télécommunications jusqu’en 1995. Les activités des postes et des télécommunications ont
été dissociées par une loi numéro 95-36 en date du 17 avril 1995, laquelle a créé l’Office
National des Télécommunications sous la forme d’établissement public à caractère industriel
et commercial doté de la personnalité civile et de l’autonomie financière. A partir de 1995 et
jusqu’en 2004, date de la transformation de l’Office National des Télécommunications en
société anonyme par la loi 2004-30 du 5 avril 2004, l’Office National des
Télécommunications avait une mission de service public et bénéficiait de certaines
prorogatives réservées à l’Etat. La loi 2004-30 du 5 avril 2004 ayant conduit à la
transformation de l’Office National des Télécommunications en société anonyme de droit
tunisien dénommée « Société Nationale des Télécommunications » identifiée sous le nom
commercial « Tunisie Telecom » précise que Tunisie Telecom est soumise, en tant
qu’entreprise publique, à la législation et réglementation applicables aux entreprises
publiques, (notamment la loi numéro 89-9 du 1er février 1989 relative aux participations,
entreprises et établissements publics) et à la législation commerciale (le Code des sociétés
commerciales). Le capital de Tunisie Telecom a été fixé par la loi numéro 2004-30 en date du
5 avril 2004 à 1.400.000.000 TND constitué par un apport en nature égal à la valeur de
l’ensemble du patrimoine apporté par l’Etat à l’Office National des Télécommunications en
application de la loi numéro 95-36 en date du 17 avril 1995 et un apport en numéraire. Le
détail des actifs et passifs apportés à Tunisie Telecom est exposé dans le rapport du
commissaire aux apports qui a fixé l’apport net en nature à la somme de 1.399.999.490 TND
résultant de la différence positive entre un actif évalué à 2.696.763.000 TND et un passif
évalué à 1.296.763.510 TND. En 2006, dans le cadre de la libéralisation du secteur, Tunisie
5
Telecom a fait l’objet d’une privatisation partielle avec l’entrée dans son capital à hauteur de
35% du consortium formé par DIG (Dubai Investment Group) et TECOM, consortium
aujourd’hui dénommé EIT (Emirates International Telecommunications (Tunisie)).
Le groupe Tunisie Télécom est constitué de :
- La Société Mauritano-Tunisienne de Télécom (Mattel)
- La Société Tunisienne d’Entreprises de Télécommunications
- L’Agence Tunisienne de l’Internet
- Le Technopôle de Sfax
- La Société d’investissement DIVA Sicar
- La Société Sousse TechnoCity
- Le Fournisseur d’Accès Internet TOPNET
2. Logo et identité visuelle
Figure 1 : 1er
Logo de la société TUNISIE TELECOM
6
Figure 2 : Logo de la société TUNISIE TELECOM à partir de Septembre 2010
3. Objectifs et orientations stratégiques
Depuis sa création, Tunisie Telecom a œuvré à consolider l’infrastructure des
télécommunications en Tunisie, à maintenir et à améliorer le taux de couverture, de son
réseau fixe et de son réseau mobile. La société songe à aligner les acteurs tunisiens sur une
vision globale pour aider à cadrer les objectifs stratégiques nationaux communs à tous les
acteurs (avancées technologiques, gains économiques et sociétales, attractivité de la Tunisie);
identifier les objectifs à atteindre (en termes d'émergence et de réalisation de projets
pertinents, d'implication des contributeurs et de ressources humaines et matérielles
nécessaires). Par la suite, la société TUNISIE TELECOM procède à l’identification des axes
de développement appropriés pour la Tunisie.
Pour orienter les efforts, ces axes doivent être en nombre limité (pas plus de cinq),
économiquement faisables, techniquement réalisables, flexibles et adaptés aux spécificités
Tunisiennes. Au sujet du renforcement du travail collaboratif public-privé la société effectue
premièrement une mise en place d’un écosystème collaboratif permettant d’aller au-delà de la
recherche fondamentale et capable de proposer une matière exploitable pour l’économique et
le sociétale. Ensuite elle procède à la mise en place d’un modèle de gouvernance participatif
avec des instances de sélection, d'orientation, d'arbitrage, d’accompagnement et de suivi.
Tunisie Telecom est aujourd’hui organisé autour de deux pôles d’activité :
- Le 1er
pôle « Détail » regroupe les services de téléphonie mobile, de téléphonie fixe,
d’Internet (destinés au grand public et aux entreprises) et les services data ou de transmission
7
de données (destinés exclusivement aux entreprises). Tunisie Telecom est aujourd’hui un
acteur majeur sur le marché de la téléphonie mobile (avec une part de marché des abonnés
actifs de 42,6% au 30 septembre 2010) et bénéficie d’une situation de leadership incontestée
sur les marchés de la téléphonie fixe, de l’Internet et de la transmission de données. Le
nombre de clients du pôle détail est en constante augmentation depuis le 31 décembre 2007.
- Le 2e
pôle « Opérateurs et International » regroupe les services d’interconnexion nationale,
de terminaison et de transit et les services de roaming-in.
Tunisie Telecom est ainsi l’opérateur incontournable en Tunisie, proposant aux opérateurs
nationaux et internationaux des services de capacité et d’acheminement de trafic entrant et
sortant à grande échelle. Le chiffre d’affaires de ce pôle est en constante augmentation depuis
l’exercice clos le 31 décembre 2007.
II. Présentation du Cyber Parc
Les Cyber-Parcs représentent un des programmes de soutien et d’appui de la création des
entreprises en Tunisie, et notamment des start-ups spécialisés dans le TIC. Ils sont liés
administrativement au pôle El Ghazala des Technologies de la Communication.
Tunisie Télécom se charge du fonctionnement de 4 Cyber-Parcs : Monastir, Kasserine,
Seliana et Sousse.
Les Cyber-parcs régionaux offrent des espaces fonctionnels avec des équipements et des
réseaux de communications modernes et spécialisés pour accueillir les promoteurs qui
désirent monter des projets de services basés sur les nouvelles technologies de l'Information et
de la Communication.
Le cyber parc est un espace équipé de réseaux modernes d'information et de communication.
L'objectif des Cyber-parcs est d'offrir des espaces fonctionnels avec des équipements et des
réseaux de communications modernes et spécialisés pour accueillir les promoteurs qui
désirent monter des projets de services basées sur les nouvelles technologies de l'information
et de la communication .
Ces services sont orientés vers les organismes économiques et administratifs implantés dans
la région ou dans d'autres endroits du pays ou à l'étranger sous forme de services à distance.
Les cybers parcs sont des espaces réservés à des activités en rapport avec les TIC, il s'agit de:
8
- Centres d'appels.
 Développements des logiciels.
 Développements et mise à jour des sites web.
 Services à distance en relation avec le TIC.
 Hébergement pépinières d’entreprises.
La stratégie nationale consiste en la mise en place d'un cyber-parc dans chaque région du
pays.
Le Cyber-parc régional de Sousse :
o Création : 1/10/2008
o Adresse: avenue Charles de Gaulle, Hammam Sousse.
o Superficie couverte: 1000 m²
o Superficie des bureaux : 558 m²
o Nombre de bureaux : 26
o Services Communs : Salle de réunion, service d’accueil et bureau d’ordre.
o Nombre d’entreprises hébergées: 18
o Nombre d'emploi créés: 68
CONCLUSION
Au sein de la société, il au sein de la société, il s’est posé une problématique au niveau de la
sécurité informatique su réseau et des machines, ce qui nous conduira au second chapitre de
notre travail qui s’intitule « La Sécurité Informatique ». Il s’agira de présenter la sécurité
informatique tout en énonçant se différents outils utilisés, enjeux et risques.
9
CHAPITRE II : La Sécurité
Informatique
10
I. Présentation
Les utilisateurs d’ordinateurs sont de plus en plus nombreux et ces ordinateurs sont
généralement connectés entre eux, à des disques amovibles ou à des réseaux, en particulier à
l’internet. Si ces utilisateurs ne prennent pas un minimum de précautions, leurs ordinateurs
peuvent être facilement attaqués.
La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour
protéger les ordinateurs et les données qui y sont stockées. Si elles sont élaborées par des
spécialistes, les plus simples doivent être connues et mises en œuvre par tous les utilisateurs.
C’est l’objectif de cette présentation de la sécurité informatique d’information qui propose des
fiches pratiques et des conseils destinés à tous les publics (particuliers, professionnels, PME).
Il comporte également des actualités et avertit de menaces nouvellement rencontrées qui
appellent une action rapide des utilisateurs pour en limiter les effets.
Ce chapitre aidera à décoder le jargon des spécialistes de la sécurité informatique et permettra
ensuite d’être capable de percer le mystère à des fiches techniques pour compléter
l’information de l’utilisateur sur les chevaux de Troie, le filoutage (phishing), l’importance
des mises à jour, etc.
Si l’on souhaite entrer plus avant dans la connaissance de la sécurité informatique,
des modules d’autoformation sont proposés sur les thèmes des mots de passe, ou encore de
l’importance d’avoir une politique de sécurité.
Les utilisateurs d’un ordinateur personnel sont exposés à des risques et à des menaces dont il
faut se protéger. Dans cette perspective, ils peuvent utiliser le logiciel de sensibilisation et
d’aide développé par des compagnies de sécurité informatique dont quelques exemples seront
énoncés dans la partie suivante.
11
II. Les Principes de la sécurité informatique
1. Exigences fondamentales
La sécurité informatique comme étant l’ensemble des moyens mis en œuvre pour réduire la
vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles, se convient
d'identifier les exigences fondamentales en sécurité informatique. Elles caractérisent ce à quoi
s'attendent les utilisateurs de systèmes informatiques en regard de la sécurité.
Du point de vue de la sécurité informatique, une menace est une violation potentielle de la
sécurité. Cette menace peut-être accidentelle, intentionnelle (attaque), active ou passive.
2. Étude des risques
Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité le sont aussi.
Il est nécessaire de réaliser une analyse de risque en prenant soin d'identifier les problèmes
potentiels avec les solutions avec les coûts associés. L'ensemble des solutions retenues doit
être organisé sous forme d'une politique de sécurité cohérente, fonction du niveau de tolérance
au risque. On obtient ainsi la liste de ce qui doit être protégé.
Il faut cependant prendre conscience que les principaux risques restent : « câble arraché »,
« Coupure secteur », « crash disque », « mauvais profil utilisateur », « test du dernier CD
Bonux »…
Voici quelques éléments pouvant servir de base à une étude de risque:
Quelle est la valeur des équipements, des logiciels et surtout des informations ?
Quel est le coût et le délai de remplacement ?
Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau
(programmes d'analyse des paquets, logs…).
Quel serait l’impact sur la clientèle d'une information publique concernant des intrusions
sur les ordinateurs de la société ?
12
3. Établissement d’une politique de sécurité
Suite à l’étude des risques et avant de mettre en place des mécanismes de protection, il faut
préparer une politique à l'égard de la sécurité. C’est elle qui fixe les principaux paramètres,
notamment les niveaux de tolérance et les coûts acceptables. Voici quelques éléments pouvant
aider à définir une politique :
Quels furent les coûts des incidents informatiques passés ?
Quel degré de confiance pouvez-vous avoir envers vos utilisateurs internes ?
Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?
Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement forte qu’elle
devient contraignante ?
Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de
l’externe ?
Quelle est la configuration du réseau et va-t-il avoir des services accessibles de l’extérieur ?
Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la
confidentialité des informations (ex: loi « informatique et liberté », archives comptables…) ?
4. Éléments d’une politique de sécurité
Il ne faut pas perdre de vue que la sécurité est comme une chaîne, guère plus solide que son
maillon le plus faible. En plus de la formation et de la sensibilisation permanente des
utilisateurs, la politique de sécurité peut être découpée en plusieurs parties :
 Défaillance matérielle :
Tout équipement physique est sujet à défaillance (usure,
vieillissement, défaut…) L'achat d'équipements de qualité et standard accompagnés d'une
bonne garantie avec support technique est essentiel pour minimiser les délais de remise en
fonction. Seule une forme de sauvegarde peut cependant protéger les données.
 Défaillance logicielle :
Tout programme informatique contient des bugs. La seule façon de se protéger efficacement
contre ceux-ci est de faire des copies de l'information à risque. Une mise à jour régulière des
logiciels et la visite des sites consacrés à ce type de problèmes peuvent contribuer à en
diminuer la fréquence.
13
 Accidents (pannes, incendies, inondations…) :
Une sauvegarde est indispensable pour protéger efficacement les données contre ces
problèmes. Cette procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des
échelles de temps différentes :
réseau (quotidienne)
La disposition et l’infrastructure des locaux peuvent aussi fournir une protection intéressante.
Pour des sites particulièrement importants (site informatique central d’une banque…) il sera
nécessaire de prévoir la possibilité de basculer totalement et rapidement vers un site de
secours (éventuellement assuré par un sous-traitant spécialisé). Ce site devra donc contenir
une copie de tous les logiciels et matériels spécifiques à l’activité de la société.
 Erreur humaine :
Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce
problème.
 Vol via des dispositifs physiques (disques et bandes) :
Contrôler l'accès à ces équipements : ne mettre des unités de disquette, bandes… que sur
les ordinateurs où c’est essentiel. Mettre en place des dispositifs de surveillances.
 Virus provenant de disquettes :
Ce risque peut-être réduit en limitant le nombre de lecteur de disquettes en service.
L’installation de programmes antivirus peut s’avérer une protection efficace mais elle est
coûteuse, diminue la productivité, et nécessite de fréquentes mises à jour.
 Piratage et virus réseau :
Cette problématique est plus complexe et l’omniprésence des réseaux, notamment
l’Internet, lui confère une importance particulière. Les problèmes
14
5. Principaux défauts de sécurité
Les défauts de sécurité d’un système d’information les plus souvent constatés sont :
Installation des logiciels et matériels par défaut.
Mises à jour non effectuées.
Mots de passe inexistants ou par défaut.
Services inutiles conservés (Netbios…).
Traces inexploitées.
Pas de séparation des flux opérationnels des flux d’administration des systèmes.
Procédures de sécurité obsolètes.
Eléments et outils de test laissés en place dans les configurations en production.
Authentification faible.
Télémaintenance sans contrôle fort.
6. Éléments de droits
Intrusions informatiques : Loi « Godfrain » de l’Etat De La Jurisprudence Française du 05
Janvier 1988.
 Article 323-1.
Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de
traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 €
d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données
contenues dans le système, soit une altération du fonctionnement de ce système, la peine est
de deux ans d’emprisonnement et de 30 000 € d’amende.
 Article 323-2.
Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de
données est puni de trois ans d’emprisonnement et de 45 000 € d’amende.
 Article 323-3.
Le fait d’introduire frauduleusement des données dans un système de traitement automatisé,
ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de trois
ans d’emprisonnement et de 45 000 € d’amende.
Loi 78/17 du 6/01/78 relative à l’informatique, aux fichiers et aux libertés
 Article 29.
15
Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage
de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de
préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés.
III. Protections
1. Formation des utilisateurs
On considère généralement que la majorité des problèmes de sécurité sont situés entre la
chaise et le clavier, c’est à dire l’utilisateur de la machine en question.
 Discrétion : la sensibilisation des utilisateurs à la faible sécurité des outils
de communication et à l’importance de la non divulgation d’informations par ces moyens
est indispensable. En effet il est souvent trop facile d’obtenir des mots de passe par
téléphone ou par e-mail en se faisant passer pour un membre important de la société.
 Virus : plusieurs études récentes (2012) montrent que 1/3 des utilisateurs
ouvriraient encore une pièce jointe d’un courrier nommée « i love you » en 2001 et
que la moitié ouvriraient une pièce nommée « ouvrez-ça » ou similaire… L’information
régulière du personnel est nécessaire, attention toutefois aux rumeurs (hoax).
 Charte : l’intérêt principal d’une charte d’entreprise est d’obliger les employés à lire
et signer un document précisant leurs droits et devoirs et par la même de leur faire
prendre conscience de leur responsabilité individuelle.
2. Poste de travail
Le poste de travail reste un maillon faible de la sécurité. Le projet TCPA (Trusted Computing
Platform Alliance) a pour but d’améliorer sa sécurité en dotant le PC d’une puce dédiée à la
sécurité. Elle sera chargée de vérifier l’intégrité du BIOS, du chargement de l’OS, de
sauvegarder les clés et certificats (PKI) et connaîtra les protocoles de cryptage (RSA, DES…).
 Plusieurs cartes mères possèdent un cavalier interdisant la reprogrammation du BIOS
(flashage), vérifier et mettre en place ce cavalier sur tous les postes !
 Lecteur de disquette : Interdire le Boot disquette (BIOS) voir inhiber complètement le
fonctionnement du lecteur.
16
 Lecteur de CD-ROM : les virus de Boot sont très rares sur CD, mais avec la
généralisation des graveurs et la simplification des logiciels de gravure…
 Backup régulier et sécurisé des informations essentielles.
 Multiboot : à éviter au maximum car la sécurité globale du poste est celle de l’OS le
plus fragile et de plus il existe des logiciels permettant de lire sous un OS les autres
partitions en ignorant alors les sécurités (exemple : lecture de fichiers NTFS sans tenir
compte des droits).
3. Antivirus
Principale cause de désagrément dans une entreprise, les virus peuvent être combattus à
plusieurs niveaux. La plupart des antivirus sont basés sur l’analyse de signature des fichiers,
la base des signatures doit être très régulièrement mise à jour sur le site de l’éditeur (des
procédures automatiques sont généralement possibles).
Il existe deux modes de protections :
 Généralisation de l’antivirus sur toutes la machines, il faut absolument prévoir une
mise à jour automatique de tous les postes via le réseau.
 Mise en place d’antivirus sur les points d’entrée/sortie de données du réseau après
avoir parfaitement identifiés tous ces points. La rigueur de tout le personnel pour les
procédures doit être acquise.
La plupart des virus actuels utilisent la messagerie comme un vecteur de transmission.
Les vers s’installent et s’exécutent sans l’intervention de l’utilisateur (exécutable ouvert
automatiquement, exploitation d’une faille du logiciel de messagerie…). La protection contre
les virus en provenance de la messagerie doit être effectuée, non pas au niveau du poste de
travail, mais du serveur. Ainsi certains antivirus agissent au niveau du coupe- feu, les deux
outils coopérant via le protocole CVP (Content Vectoring Protocol) qui normalise leur
communication. Les clients de messagerie de Microsoft sont victimes de leurs
enrichissements en recourant à Word ou au HTML pour éditer le message, ils rendent
possible l’exécution de macrovirus. La parade la plus simple consiste à n’utiliser ces
clients de messagerie qu’en mode texte.
Il faut aussi préciser que la mise en place d’un antivirus sur le firewall n’est d’aucun secours
en cas de fichiers cryptés.
17
4. Pare-Feu (Firewall) ou garde barrière
C’est une machine dédiée au routage entre LAN et Internet. Le trafic est analysé au niveau
des datagrammes IP (adresse, utilisateur, contenu…). Un datagramme non autorisé sera
simplement détruit, IP sachant gérer la perte d’information. Une translation d’adresse pourra
éventuellement être effectuée pour plus de sécurité (protocole NAT : Network Address
Translation). Néanmoins, il faut faire très attention car un firewall est inefficace contre les
attaques ou les bévues situées du coté intérieur et qui représentent 70% des problèmes de
sécurités.
a. Architecture classique
Figure 3 : Architecture classique
18
b. Architecture concentré
Figure 4 : Architecture concentré
5. Authentification et cryptage
L’authentification est basée sur les 3 principes :
Savoir : login, mot de passe…
Être : biométrie (empreintes…)
Avoir : clés USB, carte à puce, « token ».
Une authentification est dite forte lorsqu’elle utilise deux mécanismes différents (carte à
puce avec mot de passe par exemple).
"Nom + mot de passe + date" sont cryptés avec des clés publiques et privées (RFC 1510). Le
cryptage de la date évite la réutilisation éventuelle du message par un pirate. Par le
cryptage on peut identifier de manière sûre l'utilisateur connecté. Pour éviter l’espionnage, la
modification du contenu, l’ajout de message... on pourra utiliser la signature électronique
(CRC crypté en fin de message) ou crypter toute l’information.
Les infrastructures PKI (Public Key Infrastructure) devraient se développer. Pour l’instant,
19
le protocole SSL (Secure Socket Layer) domine toujours largement le marché
de l’authentification sur les sites marchands. Radius, Tacacs ou IPSec (qui comporte un
processus d’authentification dans son en-tête) constituent encore la solution retenue par la
majorité des entreprises.
a. Cryptage symétrique
Une même clé est utilisée pour crypter et décrypter le message, très efficace et assez
économe en ressources CPU cette technique pose le problème de la distribution des clés dans
un réseau étendu (exemple DES, triple DES ou le récent AES).
b. Cryptage asymétrique
Chaque utilisateur dispose d’un jeu unique de clés, dont l’une est privée (secrète) et
l’autre publique (exemple RSA). Pour recevoir des documents protégés, le détenteur d'un jeu
de clés envoie sa clé publique à ses interlocuteurs, qui l’utilisent pour chiffrer les données
avant de les lui envoyer. Seul le destinataire et détenteur des clés peut lire les informations
en associant sa clé privée à sa clé publique. Cette technique nécessite des clés plus longues
pour une sécurité équivalente.
c. Protocoles courants
SSL (Secure Socket Layer) de Netscape est le protocole le plus répandu pour établir une
connexion sécurisée entre client et serveur. Il situé entre les couches TCP et HTTP. Ce
protocole public utilise une clé 40 bits (version d’exportation) avec l’algorithme RSA pour
chiffrer toute la transaction. Ce protocole ne peut garantir l’identité de l’interlocuteur.
SET (Secure Electronic Transaction) : est la convergence des deux procédures de sécurisation
STT (Secure Transaction Technology) de Visa et Microsoft et SEPP (Secure Electronic
Payment Protocol) de Mastercard, IBM et Netscape. Il permet de sécuriser les transactions par
cartes bancaires (chiffrement par clés publiques/privées et authentification des parties).
C-SET (Chip Secure Electronic Transaction) : est l’adaptation du protocole SET à la carte à
puce française.
S/MIME (Secure Multipurpose Internet Mail Extension) est le protocole le mieux accepté
pour la sécurisation des courriers électroniques.
20
d. PKI (Public Key Infrastructure)
L'infrastructure PKI repose sur la notion de chiffrement asymétrique. Pour s’authentifier, en
revanche, le détenteur des clés utilise un certificat, sorte de document électronique faisant
office de carte d’identité électronique. Inséré dans un message, lors d'un paiement sur
Internet par exemple, ce certificat joue le rôle de signature numérique. Il contient des
informations relatives à l’identité du détenteur, son champ d’application (date de validité,
types d’applications, etc.) et la clé publique. Un tiers de confiance garantit l’association ente
un individu et les données contenues dans le certificat.
La gestion des certificats en interne implique des infrastructures lourdes afin d’enregistrer les
demandes, de vérifier la validité des certificats, de gérer les pertes ou les vols (risques
d'autant plus importants lorsque le certificat est inclus dans un support physique tel qu’une
carte à puce). Il faudra, de plus, assurer la protection des serveurs contre le piratage.
Difficile en interne, la gestion des infrastructures PKI peut être confiée à des prestataires
spécialisés, tels que Certplus (en France) et Verisign (aux États-Unis), ou encore
auprès d'une banque. Typiquement, un Français, client d'une banque française jouant le
rôle de tiers certificateur, qui achète sur un site américain, aura du mal à imposer son
certificat si son organisme bancaire n’est pas reconnu aux États-Unis comme un prestataire
digne de confiance.
6. Des outils de sécurité Open Source à tester
La sécurité des données est toujours en tête des problématiques traitée par les DSI et les RSSI,
et dès lors qu'il s'agit de trouver les bons outils, les difficultés s'accumulent. Des solutions
Open Sources répondent à certaines de ces problématiques. Nous avons décidé de mettre
l'accent sur cinq d'entre elles.
Si les menaces exploitant les vulnérabilités du réseau et des logiciels augmentent à un rythme
effréné, de bons outils de sécurité peuvent constituer une bonne défense contre la plupart des
menaces qui trainent sur Internet. Voici une petite sélection de cinq solutions de sécurité Open
Source.
21
 PacketFence : contrôle d’accès des réseaux filaires et sans fils développé par la société
canadienne Inverse, PacketFence est un outil de contrôle d’accès réseau ((NAC ou
Network Access Control) pour réseaux filaires et sans fil. Administrable à distance, il
travaille de concert avec le système de détection d'intrusions Snort et le scanner de
vulnérabilités Nessus. Les principales caractéristiques comprennent le support de la VoIP,
du 802.1X, l'isolement des dispositifs menaçants et une interface de gestion basée sur le
web.
 SmoothWall, un firewall complet Open Source ou appliance. Ce projet Open Source a
commencé en l’an 2000 sous l’appellation SmoothWall Express, SmoothWall est un pare-
feu fourni avec son propre système d’exploitation Linux et une interface d’administration
web. Il peut être téléchargé sous la forme d’une image ISO pour la plateforme X86. Le
produit propose l’ensemble des fonctionnalités standards d’un pare-feu et assure la qualité
de service (QoS), les statiques de trafic, la fonction de proxy web et la fourniture de
graphiques en temps réel. La compagnie qui développe ce produit en Open Source offre
un support commercial et vend ces propres appliances.
 ModSecurity est un pare-feu pour Apache qui a été développé par la société américaine
Trustwave. ModSecurity est un pare-feu web Open Source (WAF) développé pour le
serveur Apache. Il possède son propre langage de programmation pour se prémunir contre
les menaces web. Installés en tant que module Apache, ModSecurity surveille et analyse
en temps réelle trafic http, les logs et les tentatives d’intrusion. Comme il est exécuté dans
Apache, ModSecurity suit les évolutions du célèbre serveur web. Ce firewall serait
déployé sur environ 10 000 serveurs dans le monde.
 Untangle, une distribution spéciale de sécurité. Livrée sous la forme d’une image ISO,
Untangle est une distribution Linux de sécurité multi-usages. Elle s’exécute sur un
appliance ou dans une machine virtuelle. La distribution Untangle inclut des outils de
sécurité gratuites incluent un filtre web/Anti-Phishing, un antivirus, un anti-spam, un anti-
spyware, un pare-feu, des outils de reporting et un VPN. Différents niveaux de support
commercial sont proposés en fonction des besoins.
 TrueCrypt est un moyen de cryptage en temps réel. Le chiffrement est une brique
fondamentale pour assurer la sécurité des données. Le projet Open Source TrueCrypt a
pour but de faciliter cette question. Reposant sur un disque virtuel crypté, TrueCrypt est
capable de chiffrer une partition ou l’intégralité d’un disque dur interne, une clé USB ou
un périphérique de stockage externe. Assuré en temps réel, le cryptage serait transparent
22
pour l’utilisateur. Pour travailler plus vite, cet outil prend également en charge
l’accélération de cryptage matérielle disponible sur les derniers processeurs.
7. Détection d’intrusion
Même si l’intrus parvient à franchir les barrières de protection (coupe-feu, système
d'authentification, etc.), il est encore possible de l’arrêter avant qu'il n’attaque. Placés
sur le réseau de l’entreprise, les outils de détection d'intrusion décèlent tout comportement
anormal ou trafic suspect.
Malgré la mise en place de solutions d’authentification, chargées de filtrer et de contrôler
les accès au réseau, il arrive que des intrus y pénètrent. C’est même le propre des pirates que
de contourner les serveurs d’authentification, coupe-feu et autres barrières de protection des
systèmes. Une fois entrés, plus rien ne les empêche de saboter, de voler et d’endommager les
applications. Interviennent alors les systèmes de détection d'intrusion. En auscultant en
permanence le trafic, ils repèrent le hacker et alertent aussitôt l’administrateur.
Protégeant l’entreprise des attaques externes, ces systèmes sont également capables de
détecter le pirate interne qui représente encore entre 70 à 80% des actes de malveillance
auxquels sont confrontées les sociétés. Il existe deux catégories d’outils sur le marché : la
première analyse le trafic réseau, la seconde étudie le comportement des utilisateurs au niveau
d’un système ou d’une application. Dans tous les cas, des ressources humaines devront être
affectées à la supervision des systèmes de détection d’intrusion pour gérer les alertes, mais
aussi pour détecter ce que les outils n’auront peut-être pas vu. Coûteuses, ces ressources
freineraient aujourd'hui les entreprises dans l’adoption de ces solutions.
a. Surveillance du trafic réseau
Baptisés sondes ou encore sniffer, ce sont des outils de détection d’intrusion qui s’installent à
un point stratégique du réseau. Ils analysent en permanence le trafic à la recherche d’une
signature connue de piratage dans les trames. Ces systèmes ne repèrent que les attaques qui
figurent déjà dans leur base de signatures. Ces sondes doivent être :
- Puissantes (débits des réseaux élevés) pour analyser toutes les trames.
- Capables de conserver un historique (actes de malveillance divisés sur plusieurs
23
trames).
- Fiable, c’est à dire tolérante aux pannes (retour à l’état initial après une interruption).
b. Analyse du comportement de l’utilisateur
Installée sur les OS ou sur les applications, l’analyse du comportement scrute les fichiers
d’événements et non plus le trafic. Cette technique est encore trop coûteuse car trop de
compétences sont nécessaires.
Des agents sont placés sur le système ou l’application supervisés. Ces agents autonomes
disposent de capacité d’apprentissage. Leur mission consiste à repérer tout abus (personne
qui cherche à outrepasser ses droits et à atteindre des applications auxquelles elle n’a pas
accès) ou comportement suspect (personne qui, par exemple, scanne toute une base de
données alors qu’en temps normal, elle n’effectue que deux à trois requêtes par jour). De
même, le transfert de certains courriers peut être bloqué lorsque ces documents comportent
certains mots (préalablement déterminés par l’administrateur) pouvant indiquer la fuite
d’informations. Pour être efficaces, ces solutions doivent bénéficier d’une puissance
suffisante afin d’analyser tous les événements en temps réel, mais aussi de mécanismes qui
les protègent des attaques.
c. Site « pot de miel »
Ces sites « honey pot » sont sensés détourner les pirates des zones sensibles en leur
donnant l’impression qu’ils sont entrés au cœur du site de l’entreprise visée.
L’efficacité reste à démontrer, il semblerait que ce soit suffisant pour se protéger des amateurs
qui sont les plus nombreux.
24
IV. Les différents enjeux et risques
Plusieurs types d'enjeux doivent être maitrisés :
- L'intégrité : Les données doivent être celles que l'on s'attend à ce qu'elles soient, et ne
doivent pas être altérées de façon fortuite ou volontaire.
- La confidentialité : Seule les personnes autorisées ont accès aux informations qui leur sont
destinées. Tout accès indésirable doit être empêché.
- La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation
prévues, garantir l'accès aux services et ressources installées avec le temps de réponse
attendu.
- La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les
opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit
pouvoir s'attribuer les actions d'un autre utilisateur.
- L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux
espaces de travail pertinents et maintenir la confiance dans les relations d'échange.
La sécurité informatique est un défi d'ensemble qui concerne une chaine d'éléments : Les
infrastructures matérielles de traitement ou de communication, les logiciels (systèmes
d'exploitation ou applicatifs), les données, le comportement des utilisateurs. Le niveau global
de sécurité étant défini par le niveau de sécurité du maillon le plus faible, les précautions et
contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte
auquel le système d'information est censé apporter service et appui.
On distingue trois types de sécurité :
- Sécurité humaine
Un centre regroupant un ou plusieurs serveurs hébergeant les informations sensibles d’une
entreprise est une cible de choix pour des êtres mal intentionnés. C’est pourquoi la sécurité
des accès doit être surveillée au mieux. Pour une sécurité des informations maximale, la
présence humaine continue (gardiennage 24/24) peut être renforcée par un système de vidéo
surveillance, de régulation d’entrées/sorties par badges et d’alerte anti -intrusion déployé dans
l’ensemble de ce bâtiment.
25
- Sécurité physique et matérielle
Pour éviter la destruction des informations en cas de destruction d’un serveur, les
équipements déclarés comme sensibles doivent être systématiquement redondés, c’est -à-dire
dupliqués en un ou plusieurs endroits. Il existe aujourd’hui des systèmes et des techniques de
sauvegarde de données régulières afin d’éviter les pertes de données imprévues (par exemple
le fonctionnement de deux disques miroirs via RAID1 (Redundant Array of Independent
Disks) ou l’utilisation de scripts de sauvegarde automatique). Pour résister à une coupure
(criminelle ou non) de ressources, un centre de serveurs se doit aussi de bénéficier d’une
autonomie électrique régulièrement testée en cas de coupure électrique. Il peut aussi
bénéficier d’un système de sécurité incendie ainsi que d’un groupe de refroidissement
autonome adapté pour réguler au mieux la température des serveurs et en protéger le matériel,
même en cas de coupure d’eau.
- Sécurité logicielle
Pour bien protéger son système d’information, il est nécessaire de protéger son système de
toutes les attaques logicielles.
Il existe trois catégories d’attaques :
- les attaques qui permettent d’obtenir des informations ou des privilèges pour mener un autre
type d’attaque. On parle d’attaque par rebond.
- les attaques simultanées par collusion : technique qui consiste à déclencher de nombreuses
attaques de manière coordonnée. Cette technique est notamment utilisée pour l’analyse de
cryptogramme.
- les attaques simultanées par coordination sur une cible unique : il s’agit de coordonner une
attaque utilisant de très nombreux systèmes pour saturer la cible.
Voici les principales attaques logicielles connues à ce jour. Cette liste n’est bien sûr pas
exhaustive :
- Brouillage : attaque de haut niveau utilisant les rayonnements électromagnétiques qui
rendent le SI inopérant.
- Écoute : sauvegarde des informations qui transitent sur un réseau informatique ou de
télécommunication.
26
- Cryptanalyse : attaque d’un chiffre. Pour assurer cette attaque, d’excellentes connaissances
en mathématiques et une forte puissance de calcul sont requises.
- Mystification : simulation de la part de l’attaquant du comportement d’une machine pour
tromper un utilisateur. Par exemple, un terminal de paiement invitant à entrer ses données
bancaires confidentielles
- Trappe (ou Backdoor) : point d’entrée dans une application placée par un développeur.
- Asynchronisme : exploitation du fonctionnement asynchrone de certaines parties ou
commandes du système d’exploitation.
- Souterrain : type d’attaque qui évite de s’attaquer directement à une protection mais qui
tente de s’en prendre à un élément qui la supporte.
- Salami : acquisition imperceptible de données parcellaires d’un SI en vue de les rassembler
et d’obtenir un tout exploitable.
- Balayage (scanning) : cette technique consiste à envoyer au SI un ensemble de requêtes de
natures diverses afin d’examiner les réponses du système. En automatisant ces sollicitations
du SI, le pirate pourra facilement trouver le nom de certains utilisateurs et pourquoi pas leur
mot de passe.
- Exploitation d’un défaut (bug) : De nombreuses failles sont présentes dans les logiciels
commerciaux. Ces failles sont exploitées à des fins malveillantes par les pirates.
- Logiciel espion (spyware) : logiciel malveillant infectant un ordinateur dans le but de
collecter et de transmettre, de manière invisible, des informations de l’environnement sur
lequel il est installé.
- Canal caché : Attaque de très haut niveau permettant de récupérer des informations en
violant la politique de sécurité. Il existe 4 canaux cachés :
● Les canaux de stockage pour le transfert/la récupération d’informations
● Les canaux temporels pour étudier les temps de réponse du SI
● Les canaux de raisonnement qui permettent à un processus de déduire de l’information à
laquelle il n’a pas normalement accès
● Les canaux dits de “fabrication” qui créent de l’information fausse.
27
- Réseau de robots logiciels (botnet) : Réseau de robots logiciels (bots) installés sur
énormément de machines. Ces robots se connectent sur des serveurs IRC (Internet
Relay Chat) à partir desquels ils reçoivent des instructions de type : envoi de spam, vol
d’informations, participation à des attaques de saturation…
- Perturbation : L’agresseur va essayer de fausser le comportement du SI ou de l’empêcher de
fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des erreurs.
L’agresseur veut désorganiser, affaiblir ou ralentir le système cible.
- Saturation : technique consistant à remplir une zone de stockage ou un canal de
communication jusqu’à ce que l’on ne puisse plus l’utiliser.
- Pourriel (spam) : courrier électronique indésirable transmis à une multitude de destinataires
envoyés sans que l’émetteur ne soit au courant. Le spam contribue à la pollution voir à la
saturation des boîtes aux lettres électroniques.
- Canular (hoax) : rumeur propagée, souvent par courrier électronique, comme quoi un
virus catastrophique circule sur la toile, virus imaginaire bien évidement. Ce n’est pas une
réelle attaque mais cela contribue à la désinformation générale.
- Hameçonnage ou filoutage (phishing) : Technique simple qui permet d’obtenir des
informations confidentielles telles que les mots de passe en se faisant passer auprès des
victimes pour quelqu’un digne de confiance. Par exemple, une banque qui demande des codes
confidentiels...
- Les virus : Un virus informatique est un logiciel malveillant conçu pour se propager à
d’autres ordinateurs en s’insérant dans des programmes légitimes appelés « hôtes ». Il peut
perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté.
- Les vers : Un ver, contrairement à un virus informatique, n’a pas besoin d’un programme
hôte pour se reproduire. Il exploite les différentes ressources de l’ordinateur qui l’héberge
pour assurer sa reproduction et a habituellement un objectif malfaisant.
- Les chevaux de Troie : logiciel d’apparence légitime, conçu pour exécuter des actions à
l’insu de l’utilisateur.
Cet arsenal d’attaques représente une partie des menaces potentielles pour un système. Un
système doit donc nécessairement se prémunir contre ces différentes attaques.
28
CONCLUSION
Les techniques de protection contre les attaques directes et celles sur Internet permettent de
réaliser les bases de la sécurité : confidentialité, intégrité, authentification, disponibilité.
Mais malgré toutes ces techniques utilisées pour empêcher toutes ces attaques, un système
n’est jamais totalement sûr. Le cryptage a ses faiblesses : une clé de chiffrement pour chiffrer
des données peut être cassée.
Il est aussi important de maintenir son antivirus à jour pour pouvoir détecter les nouveaux,
ainsi que les systèmes de détection d’intrusion pour qu’ils tiennent compte des nouveaux
types d’attaque. Il faut aussi vérifier que le système est bien configuré avec des logiciels de
détection d’erreurs de configuration telle que ceux dont nous avons cité ci-dessus, avant que
des personnes malveillantes ne le fassent.
C’est pourquoi nous avons un Chapitre 3 intitulé « Cas pratique de l’évaluation de la
sécurité », pour une mise en évidence des qualités des systèmes d’exploitation que nous
utilisons quotidiennement, ainsi que de leurs mécanismes de fonctionnement et failles qu’ils
ont en commun ou individuellement.
29
CHAPITRE III : Cas
pratique de l’évaluation de
la sécurité
30
Introduction
Le système d'exploitation (SE, en anglais Operating System ou OS) est un ensemble de
programmes responsables de la liaison entre les ressources matérielles d'un ordinateur et les
applications de l'utilisateur (traitement de texte, jeu vidéo, …). Il fournit aux programmes
applicatifs des points d'entrée génériques pour les périphériques. Il existe plusieurs systèmes
d’exploitation, mais dans le cadre de notre étude, il est mieux de travailler avec les systèmes
d’exploitation les plus utilisés (Windows, Mac OS et Linux).
I. Questions et utilités de l’étude
Pourquoi les systèmes sont vulnérables ?
La sécurité est chère et difficile à acquérir car la majorité des organisations n’ont pas un
budget assez élevé pour effectuer un projet fixe. Les politiques et systèmes de sécurité
informatique sont complexes, et comme étant basée sur des jugements humains, la sécurité
informatique ne peut être sûre à 100% parfois même inefficace face aux différents problèmes
vu la permanente émergence de la technologie. Cependant, il n’existe pas de d’infrastructure
pour les clefs et autres éléments de cryptographie en plus du fait que certains états interdisent
de la cryptographie dans certains cas spécifiques (Exportation, par exemple), ce qui empêche
le cryptage systématique au niveau du système d’exploitation.
Pourquoi un système ne peut être sûr à 100% ?
Il est impossible de garantir la sécurité totale d’un système pour les raisons suivantes :
- Les bugs dans les programmes courants et les systèmes d’exploitation sont nombreux.
- La cryptographie a ses faiblesses : les mots de passe peuvent être cassés.
- Même un système fiable peut être attaqué par des personnes abusant de leurs droits
- Plus les mécanismes de sécurités sont stricts, moins ils sont efficaces
- On peut s’attaquer aux systèmes de sécurité eux même
Méthodes utilisées pour les attaques.
- La négligence interne des utilisateurs vis-à-vis des droits et des autorisations d’accès.
- Se faire passer pour un ingénieur pour obtenir des informations comme le mot de
passe.
31
- Plusieurs mots de passe sont vulnérables à une attaque systématique.
- Les clefs de cryptographie trop courtes peuvent être cassées.
- L’attaquant se met à l’écoute sur le réseau et obtiens des informations capitales.
- IP Spoofing : changer son adresse IP et se faire passer pour quelqu’un de confiance.
- Injecter du code dans la cible comme des virus ou un cheval de Troie.
- Exploitation des faiblesses du système d’exploitation, des protocoles ou des
applications (Logiciels…)
Outils des attaquants.
- Programmes et scriptes de tests de vulnérabilité et d’erreurs de configuration
- Injection de code afin d’obtenir l’accès à la machine de la victime (Cheval de Troie).
- Echange de techniques d’attaques par forums et publications.
- Utilisation massive de ressources pour détruire des clefs.
- Les attaquants ou encore appelé « Hackers » utilisent des outils pour se rendre
anonymes et invisible sur le réseau.
Objectifs de la sécurité informatique.
Le système d’information est généralement défini par l’ensemble des données et des
ressources matérielles et logicielles de l’entreprise permettant de les stocker ou de les faire
circuler. Le système d’information représente un patrimoine essentiel de l’entreprise, qu’il
convient de protéger. La sécurité informatique, d’une manière générale, consiste à assurer que
les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le
cadre prévu. Elle vise généralement cinq principaux objectifs que nous connaissons déjà
(l’intégrité, la confidentialité, la disponibilité, la non répudiation et l’authentification)
Nécessité d'une approche globale.
La sécurité d’un système informatique fait souvent l’objet de métaphores. En effet, on la
compare régulièrement à une chaîne en expliquant que le niveau de sécurité d’un système est
caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est
inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité
doit être abordée dans un contexte global et notamment prendre en compte les aspects
suivants :
La sensibilisation des utilisateurs aux problèmes de sécurité
32
 La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les
données de l'entreprise, les applications ou encore les systèmes d'exploitation.
 La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise,
réseaux d'accès, etc.
 La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles
sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail
des personnels, etc.
Pourquoi un firewall.
De nos jours, toutes les entreprises possédant un réseau local possèdent aussi un accès à
Internet, afin d'accéder à la manne d'information disponible sur le réseau des réseaux, et de
pouvoir communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable... et
dangereuse en même temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place
ouverte aux étrangers pour essayer de pénétrer le réseau local de l'entreprise, et y accomplir
des actions douteuses, parfois gratuites, de destruction, vol d'informations confidentielles, ...
Les mobiles sont nombreux et dangereux. Pour parer à ces attaques, une architecture sécurisée
est nécessaire. Pour cela, le cœur d'une telle architecture est basé sur un firewall. Cet outil a
pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives
d'intrusion et d'y parer au mieux possible. Cela représente une sécurité supplémentaire rendant
le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre
l'accès interne vers l'extérieur. En effet, des employés peuvent s'adonner à des activités que
l'entreprise ne cautionne pas, le meilleur exemple étant le jeu en ligne. Elle plaçant un firewall
limitant ou interdisant l’accès à ces services, l’entreprise ou l’utilisateur personnel peut avoir
un contrôle sur les activités se déroulant dans son enceinte.
Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet
d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour
laquelle il a été prévu et sans l'encombrer avec des activités inutiles, et d'empêcher une
personne sans autorisation d'accéder à ce réseau de donnée.
33
II. Le système d’exploitation Windows
Le terme « Windows » qui signifie ‘’Fenêtres’’ en français, décrit collectivement chacune des
générations de Microsoft des produits de système d'exploitation. Ces produits sont
généralement catégorisés en plusieurs groupes ou plusieurs dérivées.
Figure 5: Logos Windows évolution
L'histoire de Windows date de septembre 1981, quand l'Évêque de Poursuite, un
informaticien, a conçu le premier modèle d'un dispositif électronique et d'un projet "le
Directeur d'Interface" a été commencé. Il a été annoncé en novembre 1983 avant le Macintosh
sous le nom " Windows", mais la première version de Windows appelé « Windows 1.0 » n'a
pas été sortie jusqu'à novembre 1985. Windows 1.0 devaient rivaliser avec le système
d'exploitation d'Apple, mais a réalisé peu de popularité car il n’était pas un système
d'exploitation complet; plutôt il étend MS-DOS. Le Shell de Windows 1.0 est un programme
connu comme le cadre MS-DOS. Les composants ont inclus la Calculatrice, le Calendrier, le
34
Fichier, le téléspectateur de Presse-papiers, l'Horloge, le Panneau de configuration, le Bloc-
notes, la Peinture, Reversi, le Terminal et Écrire. Windows 1.0 ne permettent pas de
chevaucher des fenêtres. Au lieu de cela toutes les fenêtres sont carrelées. Seulement des
boîtes de dialogue modales peuvent apparaître sur d'autres fenêtres.
La version majeure suivante de Windows, Windows XP, a été sortie le 25 octobre 2001.
L'introduction de Windows XP a eu pour but d'unifier les Windows consuméristes 9x la série
avec l'architecture présentée par le Windows NT, un changement que Microsoft promis
fournirait à la meilleure performance sur ses prédécesseurs DOS-based. Windows XP
présenterait aussi une interface utilisateur reconçue (incluant un Menu Démarrer mis à jour et
un Explorateur de Windows "axé sur tâche"), a rationalisé le multimédia et mettant en réseau
des fonctions, Internet Explorer 6, l'intégration avec les services de Passeport .NET.
Le support Courant pour Windows XP a fini le 14 avril 2009. Support Prolongé est fini depuis
le 8 avril 2014.
Le 22 juillet 2009, Windows 7 et le Windows Server 2008 R2 a été sorti comme RTM (la
sortie à la fabrication) tandis que l'ancien a été sorti au public 3 mois plus tard le 22 octobre
2009. Contrairement à son prédécesseur, Windows vista, qu'a présenté un grand nombre de
nouvelles fonctions, Windows 7 a été destiné pour être une mise à jour plus concentrée,
progressive à la ligne de Windows, avec le but d'être compatible avec des applications et le
matériel avec lequel Windows Vista était déjà compatible. Windows 7 a le support de multi-
contact, le programme Shell de Windows reconçue avec une barre de tâche mise à jour, un
système domestique de réseau appelé HomeGroup, et des améliorations de performance.
Windows 8, le successeur de Windows 7, ont été sorties généralement le 28 octobre 2012. Un
certain nombre de changements significatifs ont été faits sur des Windows 8, y compris
l'introduction d'une interface utilisateur basée autour de la langue de conception de Métro de
Microsoft avec des optimisations pour des dispositifs à base de contact comme des comprimés
et des PC tout-en-un.
35
Chronologie de Windows : Histogramme
Figure 6 : L'arbre généalogique des systèmes d’exploitation de chez Windows
36
1. Concept et mécanisme de sécurité
Les versions grand public de Windows ont été à l'origine conçues pour la facilité d'utilisation
sur un PC à utilisateur unique sans un rapport de réseau et n'ont pas fait encastrer de fonctions
de sécurité depuis le début. Cependant, le Windows NT et ses successeurs sont conçus pour la
sécurité (incluant sur un réseau) et des PC multipostes, mais n'ont pas été initialement conçus
avec la sécurité Internet en mémoire. Depuis, quand il a été d'abord développé au début des
années 1990, l'utilisation de l’internet était moins répandue.
Ces questions de design combinées avec la programmation d'erreurs (par exemple
l'amortisseur déborde) et la popularité de Windows, signifie que c'est une cible fréquente de
ver informatique et des auteurs viraux. En juin 2005, le Couvre-pieds de Bruce Schneier
Internet Security a rapporté qu'il avait vu plus de 1,000 nouveaux virus et des vers dans les six
mois précédents. En 2005, Kaspersky Laboratoire a trouvé autour de 11,000 virus de
programmes malveillants, Troyens, portes de derrière et exploits écrits pour Windows.
Microsoft sort des patches de sécurité par son service de Mise à jour de Windows
approximativement une fois par mois (d'habitude le deuxième mardi du mois), bien que des
mises à jour critiques soient rendues disponible aux intervalles plus courts quand nécessaire.
Dans les versions de Windows après et incluant Windows 2000 SP3 et Windows XP, les
mises à jour peuvent être automatiquement téléchargées et installées si l'utilisateur choisit
pour faire ainsi. En conséquence, le Service Pack 2 pour Windows XP, aussi bien que le
Service Pack 1 pour le Windows Server 2003, a été installé par des utilisateurs plus
rapidement que cela pourrait autrement avoir été.
Tandis que les Windows 9x la série a offert l'option d'avoir des profils pour des utilisateurs
multiples, ils n'avaient aucun concept de privilèges d'accès et n'ont pas permis l'accès
simultané; et n'étaient pas si de vrais systèmes multipostes d'exploitation. De plus, ils ont mis
en œuvre seulement la protection de mémoire partielle. Ils ont été en conséquence largement
critiqués en l'absence de la sécurité.
Quoique Windows XP ait vraiment des comptes limités, la majorité d'utilisateurs domestiques
n'a pas changé à une nature de compte avec moins de droits, partiellement en raison du
nombre des programmes qui ont inutilement exigé des droits d'administrateur. Et donc les
utilisateurs les plus domestiques ont fonctionné comme l'administrateur tout le temps.
Windows Vista se change en présentant un système d'élévation de privilège appelé le
Contrôle de Compte d'utilisateur. En connectant comme un utilisateur standard, une session
de connexion est créé et un signe contenant seulement les privilèges les plus de base sont
37
assignés. De cette façon, la nouvelle session de connexion est incapable de faire les
changements qui affecteraient le système entier. En connectant comme un utilisateur dans le
groupe d'Administrateurs, deux signes séparés sont assignés. Le premier signe contient tous
les privilèges typiquement attribués à un administrateur et le deuxième est un signe limité
semblable à ce qu'un utilisateur standard recevrait. Les applications d'utilisateur, y compris les
Windows Shell, sont alors commencées par le signe limité, aboutissant à un environnement de
privilège réduit même sous un compte d'Administrateur. Quand une application demande des
privilèges plus hauts ou "Exécuté comme l'administrateur" est cliqué, UAC incitera pour la
confirmation et, si on donne le consentement (incluant des références d'administrateur si le
compte demandant l'élévation est membre pas du groupe d'administrateurs), le début le
processus utilisant le signe sans restriction.
a. Permissions de fichier
Toutes les versions suivant du Windows NT 3 ont été basées sur un système de permission de
système de fichiers mentionné comme AGLP, Globaux(Mondiaux), Locaux, des Permissions)
AGDLP qu'en substance où les permissions de fichier(dossier) sont appliquées aux
fichiers/dossiers en forme de un groupe local qui a alors d'autre les groupes mondiaux comme
membres. Ces groupes mondiaux tiennent alors d'autres groupes ou des utilisateurs selon des
versions de Windows différentes utilisées. Ce système varie d'autres produits de vendeur
comme Linux et le Netware en raison de l'attribution statique de permission étant un
répertoire appliqué aux fichiers ou aux dossiers. Cependant l'utilisation de ce processus
d'AGLP/AGDLP/AGUDLP permet à un petit nombre de permissions statiques d'être
appliqués et tient compte de changements faciles aux groupes locaux sans s'adresser de
nouveau les permissions de fichier sur les fichiers et les dossiers.
38
b. Windows Defender
Le 6 janvier 2005, Microsoft a sorti une Version bêta d’Antispyware de Microsoft, basé sur le
Giant Antispyware précédemment sorti. Le 14 février 2006, l’Antispyware de Microsoft est
devenu Windows Defender avec la sortie de 2 Bêta. Windows Defender est un programme de
logiciel public conçu pour protéger contre les logiciels espions et d'autres logiciels
indésirables. Windows XP et Windows Server 2003, utilisateurs qui ont les copies véritables
de Microsoft Windows peuvent librement télécharger le programme du site Web de Microsoft
et Windows Defender expédie dans le cadre de Windows Vista et Windows 7. Dans Windows
8, Windows Defender et Microsoft Security Essentials ont été combinés dans un simple
programme, nommé Windows Defender. Il est basé sur Microsoft Security Essentials,
empruntant ses fonctions et interface utilisateur. Bien que l'on le permette par défaut, il peut
être éteint pour utiliser une autre solution antivirale. Windows Malicious Software Removal
Tool (Les fenêtres l'Outil de Déplacement Logiciel Malveillant) et Microsoft Safety Scanner
(le Scanner de Sécurité facultatif de Microsoft) sont deux autres produits de sécurité gratuits
offerts par Microsoft.
Figure 7: Aperçu de Windows Defender
39
c. Analyse tierce
Dans un article basé sur un rapport par Symantec, internetnews.com a décrit Microsoft
Windows comme une entreprise ayant "le moins de nombre de patches et de temps de
développement de patch moyen, le plus court des cinq systèmes d'exploitation qu'il a
contrôlés dans les six derniers mois de 2006."
Une étude conduite par Kevin Mitnick et la société de communications marketing Avantgarde
en 2004 ont trouvés qu'un système de Windows XP non protégé et non corrigé avec le Service
Pack 1 a duré seulement 4 minutes sur Internet avant qu'il ne soit compromis et un Windows
Server 2003 non protégé et aussi non corrigé a été compromis après sa connexion à Internet
pendant 8 heures. Cette étude ne s'applique pas aux systèmes de Windows XP exécutant le
Service Pack 2 mise à jour (sorti à la fin de 2004), qui a énormément amélioré la sécurité de
Windows XP. Un ordinateur qui exécutait le Service Pack 2 de Windows XP n'a pas été
compromis. AOL l'Alliance de Sécurité Cyber nationale d'Étude En ligne de Sécurité
d'octobre 2004 a décidé que 80 % d'utilisateurs de Windows ont été infectés par au moins un
spyware. Plusieurs documentations montrent comment augmenter la sécurité des produits de
Microsoft. Des suggestions typiques incluent Microsoft de déploiement derrière un matériel
ou un pare-feu logiciel, d'antivirus solide et de logiciel d'Antispywares et des patches
d'installation facilement disponibles par la Mise à jour de Windows.
40
2. Forces et faiblesses de Windows
a. Les forces de Windows
Windows nous offre de nombreux styles d’évolution au fil des années et c’est ce qui rend la
marque Microsoft prestigieuse. Tout dernièrement, il nous présente un nouveau style de
système qui est qualifié de multiplateforme avec le Windows 8. Microsoft offre donc un
écosystème bien intégré, tout particulièrement entre les ordinateurs, les téléphones portables
et les tablettes électroniques.
Pour une application Windows 8 achetée sur votre tablette fonctionne également sur votre
ordinateur. Par ailleurs, tous les appareils qui utilisent un système d’exploitation de Microsoft
(ordinateurs, tablettes, téléphones Windows Phone 8, Xbox) présentent une interface unifiée.
Si l’intégration avec les téléphones Windows Phone 8 demande encore à être peaufinée, celle
entre les ordinateurs et les tablettes est franchement réussie. Elle s’avère même supérieure à
celles d’Apple et de Google. Par exemple, les interfaces d’un ordinateur et d’une tablette
Windows sont exactement les mêmes.
Nous pouvons aussi noté que Windows, dans son élan contre ces concurrents, a établi une
nouvelle sécurité sur les machines délivrées avec le Windows 8 consistant à empêcher
l'installation de système d’exploitation alternatif tout en réduisant la durée de validité d’un
logiciel de dernière génération qui a été cracker sur la machine.
b. Les faiblesses de Windows
Comme nous le savons, la science de l’informatique étant toujours en évolution, il y a
toujours des faiblesses et des failles à dénoncer. Et l’une des plus grandes faiblesses de
Windows est d’être le système d’exploitation le plus mis à l’épreuve du monde. Ainsi, pour
chacun de ses systèmes d’exploitation, ils y a des failles qui sont découvertes et révélées au
publique, et cela malgré c’est nombreuses mises à jours presque mensuelles et le travail
acharné de ses chercheur pour rendre le niveau de sécurité très élevé avec des logiciels
infranchissables. Ces facteurs rendent ainsi l’image de Windows incertaines sur le plan
sécurité bien qu’il apporte toujours des innovations graphiques, matériels et logiciels avec de
courts intervalles de temps.
41
III. Le système d’exploitation Mac OS
Mac OS (pour Macintosh Operating System) est le nom du système d'exploitation d'Apple
pour ses ordinateurs Macintosh. Il est surtout connu pour être un des premiers systèmes grand
public ayant une interface graphique, inspiré de Xerox Alto, et basée sur les fenêtres, icônes,
menus et souris (modèle WIMP).
Le Mac OS est une série d'utilisateur graphique des systèmes à base d'interface d'exploitation
développés par Apple Inc. pour leur ligne de Macintosh de systèmes informatiques. La
version originale était le logiciel de système intégral et anonyme d'abord présenté en 1984
avec l'original le Macintosh et a mentionné simplement comme le logiciel "System". Le
logiciel du système de Macintosh a gagné un nom officiel en 1996, quand Apple marque la
version 7.6 comme le Mac OS dans le cadre de leur Macintosh multiplie le programme. Le
Macintosh, spécifiquement son logiciel de système, est crédité avec la popularisation du
concept d'interface utilisateur graphique.
Le Macintosh Operating System a été sorti dans deux séries majeures. Jusqu'à la révision
majeure 9, de 1984 à 2000, on le connaît historiquement comme le Mac Classique OS. La
révision majeure 10, de 2001 pour présenter, est le Mac de marque OS X (maintenant
seulement mentionnée comme OS X). Des révisions majeures du Macintosh OS sont
maintenant publiées comme les révisions de pointe, c'est-à-dire 10.2 considérablement
diffèrent du 10.5. Tant la série partage un design d'interface général, que quelques cadres
partagés d'application pour la compatibilité, mais a aussi des architectures profondément
différentes.
Figure 8: Logos Mac OS évolution
42
1. Concept et mécanisme de sécurité
Le concept original d'Apple pour le Macintosh de délibérément cherché à minimiser la
conscience conceptuelle de l'utilisateur du système d'exploitation. Les tâches qui ont exigé la
connaissance de système plus d'exploitation sur d'autres systèmes seraient accomplies par des
gestes de souris et des contrôles graphiques sur un Macintosh. Ceci le différencierait de
systèmes alors actuels, comme le MS-DOS, qui a utilisé une interface de ligne de commande
consistant de commandes textuelles laconiquement abrégées.
Le cœur du logiciel de système a été tenu dans ROM, avec des mises à jour à l'origine
fournies sur la disquette ou le CD, librement copiable aux négociants de d'Apple. La
participation de l'utilisateur dans une mise à jour du système d'exploitation a été aussi
minimisée à la direction d'un installateur, ou le remplacement de fichiers de système utilisant
le gestionnaire de fichiers. Cette simplicité a signifié que les libérations anticipées ont manqué
de n'importe quels contrôles d'accès, en réalité donnant ses privilèges de racine d'utilisateur
simples à tout moment. Contrairement à ses prédécesseurs, Mac OS X fait partie de la famille
des systèmes d'exploitation UNIX, fondé sur les technologies développées par NeXT depuis
le milieu des années 1980 jusqu'au rachat de la société par Apple en 1997.
Ce qui met Mac OS X à l'abri des menaces Windows pour une simple et bonne raison
d'architecture. Mac OS est actuellement à l'abri d'attaque à grande échelle, mais peut être
victime de trojans ou de sites illégitimes qui tirent profit de la naïveté des utilisateurs (la
fameuse « interface chaise clavier »).
Le système propose également plusieurs défenses contre les codes malveillants. La première
est l'exécution d'applications dans un bac à sable (sandboxing), ce qui permet de limiter leur
accès à certaines données. Snow Leopard utilise cette technique pour la plupart des processus
ayant recours à l'accès réseau, ainsi qu'à certaines applications ou codecs susceptibles de
communiquer avec des fichiers aux sources potentiellement dangereuses. C'est notamment le
cas de QuickLook, la visionneuse rapide de fichiers, et notamment de PDF, ou du codec H264
utilisé par QuickTime.
43
Figure 9: Aperçu de la procédure de défense du Mac OS
2. Forces et faiblesses de Mac OS
a. Les Forces de Mac OS
- Sa capacité d’innovation arrive en première position, puisque c’est le principal levier
d’Apple depuis ces dernières années. Son succès démesuré est en grande partie dû à sa
capacité de constamment innover, de constamment développer de nouveau besoins pour le
consommateur. Chaque mise à jour du produit est le fruit de puissants investissements en
Recherche & Développement.
- La seconde force que l’on peut développer est sans nul doute la très forte image du système
Mac OS. En effet, la « culture Apple » atteint des sommets depuis ces dernières années,
donnant l’image d’une marque en constante évolution avec son temps de par sa
communication sans précédent dans le monde du multimédia.
44
b. Les Faiblesses de Mac OS
- Le prix requis pour l’utilisation d’un des Mac OS est élevés et cela forment une faiblesse
récurrente chez Apple qui profite de marges très fortes et explique ses prix par la qualité de
ses produits, le constant renouvellement de ses gammes et de ses logiciels,
- L’écosystème du système d’exploitation Mac Os est limité, laissant peu de place à la «
customisation » de ses paramètres. On ne peut l’installer que sur les ordinateurs de chez
Apple, pas sur d’autre a moins d’être installé sur une machine virtuelle.
IV. Le système d’exploitation Linux
Linux est le nom couramment donné à tout système d'exploitation libre fonctionnant avec le
noyau Linux. C'est une implémentation libre du système UNIX respectant les spécifications
POSIX. Ce système est né de la rencontre entre le mouvement du logiciel libre et le modèle
de développement collaboratif et décentralisé via Internet. Son nom vient du créateur du
noyau Linux, Linus Torvalds.
Les systèmes basés sur Linux sont majoritaires pour les super-ordinateurs et les smartphones.
Sur les serveurs informatiques, le marché est partagé avec les autres Unix et Windows. Il est
largement utilisé comme système embarqué dans les appareils électroniques : télévision,
modem, GPS, etc. Il reste en revanche utilisé par 1 % des ordinateurs personnels de bureau, sa
plate-forme d'origine.
D'un point de vue purement technique, Linux est simplement une variante d'Unix. Ce qui fait
qu'il est unique est lié à des considérations non techniques.
Figure 10 : Logo de Linux
45
Un logiciel libre n’est pas nécessairement gratuit, et inversement un logiciel gratuit n’est pas
forcément libre. Ce ne sont pas non plus des logiciels libres de droits : c’est en vertu de leurs
droits d’auteurs que les contributeurs d’un logiciel libre accordent les quatre libertés, qui sont
d’utiliser le logiciel sans restriction, d’étudier le logiciel, de le modifier pour l’adapter à ses
besoins et de le redistribuer sous certaines conditions précises, leur non-respect pouvant
conduire à des condamnations.
Certaines licences sont fondées sur le principe du copyleft, c’est-à-dire sur le principe de
réciprocité : une œuvre dérivée d’un logiciel sous copyleft doit à son tour être libre. C’est le
cas de la licence libre la plus utilisée, notamment par le noyau Linux lui-même.
1. Concept et mécanisme de sécurité
Le concept de Linux permet d'avoir un composant unique réalisant une action, utilisable en
ligne de commande et donc scriptable, et une ou plusieurs interfaces graphiques pour ce
composant. De plus, le modèle Linux permet de séparer clairement l'interface graphique du
traitement qu'elle permet de réaliser. La stabilité en est d'autant plus accrue.
Bon nombre d'applications pour XWindow sont libres, ou utilisables librement à des fins non
commerciales (dans ce cas, on a le droit de les utiliser tant que ce n'est pas pour réaliser un
travail qu'on revendra). On peut donc considérer qu'il est actuellement possible, avec Linux,
d'avoir un environnement logiciel complet, fiable et performant pour un prix de revient
minime.
Un système Linux est structuré de la manière suivante :
 le noyau Linux ;
 les programmes en ligne de commande et le shell ;
 le serveur XWindow ;
 le gestionnaire de fenêtres et le gestionnaire de bureau ;
 les applications XWindow.
La figure suivante vous présente comment ces différentes couches logicielles s'agencent les
unes par rapport aux autres.
46
Figure 11: Architecture des systèmes Linux
Cette architecture est, comme on peut le voir, très avantageuse :
 les systèmes Unix, donc Linux, sont très structurés, donc plus simples à utiliser, à
configurer, à maintenir et à développer ;
 ils sont très stables, car les composants de haut niveau n'interfèrent pas sur les composants
de bas niveau ;
 ils sont faciles à personnaliser, puisque l'utilisateur a le choix des outils à chaque niveau ;
 Linux a de plus la particularité d'être parfaitement modifiable, puisque si l'on sait
programmer, on peut personnaliser les composants du système ou en rajouter à tous les
niveaux ;
 et il n'est pas propriétaire, c'est-à-dire que l'on n'est pas dépendant d'un éditeur de logiciel
pour résoudre un problème donné.
À l'heure où la sécurité devient un enjeu majeur en raison de l'importance des menaces virales
et autres attaques contre les systèmes informatiques et leurs utilisateurs, les systèmes Unix
tels que Linux, bien que de conception très ancienne, apparaissent comme avant-gardistes et
parfaitement en phase avec le marché.
La sécurité est à présent considérée comme une fonctionnalité essentielle du système
d'exploitation, et devient de plus en plus incontournable.
Les systèmes Linux, depuis leurs origines, ont toujours pris en compte les problèmes de
sécurité. En particulier, les développeurs d'application Unix ont toujours fait attention à ce
que leurs logiciels se comportent relativement bien en termes de sécurité. En pratique, bien
que la sécurité des programmes soit loin d'être parfaite, surtout pour les plus anciens, des
principes de base ont toujours été respectés, ce qui fait que les applications Unix ne font pas,
en règle générale, n'importe quoi avec le système.
47
Ainsi, il est beaucoup plus faciles de faire fonctionner une application Unix dans un contexte
de sécurité restreint qu'une application Windows, car les développeurs de ces dernières ont
longtemps été habitués à une très grande liberté et ont donc réalisé des applications qui ne
peuvent pas être utilisées si elles n'ont pas les pleins pouvoirs. Les applications Unix qui se
comportent mal sont donc très rares, ce qui fait que les systèmes Linux peuvent faire peu de
cas d'elles et n'ont pas à maintenir une compatibilité ascendante avec elles. Les systèmes
Linux ont donc un modèle de sécurité beaucoup plus simple et strict, et n'ont pas à
s'embarasser avec des techniques complexes et des circonvolutions insensées telles que la
virtualisation de l'ensemble du système pour les applications afin d'assurer un semblant de
sécurité tout en permettant la compatibilité ascendante.
Par ailleurs, la sécurité permet de protéger non seulement le système, mais aussi l'utilisateur
de ses propres erreurs. En effet, le système est capable de se protéger contre les fausses
manipulations de l'utilisateur. Cela peut être extrêmement utile avec les débutants, puisqu'ils
peuvent expérimenter à loisir tout en étant sûrs qu'ils ne feront pas de bêtise irrémédiable.
Ainsi, ils seront plus sereins et n'auront pas « peur de faire une bêtise ». Mais cela est très
utile même pour les utilisateurs chevronnés, car tout le monde peut effectivement faire une
erreur.
La sécurité permet également de protéger les données de chaque utilisateur vis à vis des
autres. En effet, par défaut, les données d'un utilisateur ne peuvent pas être modifiées par un
autre utilisateur. Vous n'aurez donc aucune crainte qu’un individu puisse effacer ou détruire
par mégarde votre correspondance professionnelle ou l'ensemble de vos données.
Enfin, ayant été prise en compte dès le départ, la sécurité sait se rendre très discrète sur les
systèmes Linux, et bien que parfaitement fonctionnelle, elle n'ennuie pas l'utilisateur et reste
facilement configurable. Ces deux aspects sont fondamentaux, car du coup, l'utilisateur n'a
pas la tentation - ni le besoin - de tout désactiver pour faire fonctionner ses applications.
En résumé, la sécurité sous Linux, c'est :
 une fonctionnalité à part entière, qui est parfaitement intégrée dans le système ;
 un moyen de se protéger contre ses propres erreurs ainsi que celles des autres
utilisateurs ;
 une facilité d'utilisation et une transparence qui la rendent utilisable en pratique sans
perturber le travail de l'utilisateur.
48
2. Forces et faiblesses
a. Les Forces de Linux
Le système d’exploitation Linux a de nombreuses particularités, qui constituent une force
majeure pour lui. Pour commencer à énumérer ces forces, nous pouvons énoncer l’ouverture
du code source, l’un des quatre critères correspondant à la notion de logiciel libre, comme la
correction rapide des bugs, et notamment la correction des failles de sécurité. C’est le refus du
principe de sécurité par l’obscurité. Linux est souvent promu par son aspect « gratuit », bien
que dans la pratique, aucune organisation n'installe le logiciel sans assistance technique. Que
cette assistance soit assurée par des constructeurs réputés ou par le premier détaillant venu, il
est très probable que Linux sera utilisé par beaucoup d'entreprises avec ce type garantie. Il
faut préciser, Linux ne sera jamais une solution totalement gratuite. Cependant, pour peu
qu'une organisation prenne en compte le coût des licences, particulièrement dans le cas
d'utilisateurs et d'ordinateurs multiples, elle pourrait être agréablement surprise en découvrant
que Linux dégage malgré tout une économie substantielle.
Autre avantage souvent avancé pour Linux est que les utilisateurs peuvent facilement
modifier le logiciel pour qu'il satisfasse à leurs exigences. Il y a deux raisons à cela. La
première est que si la grande majorité des logiciels commerciaux sont uniquement distribués
sous forme binaire, le code source de Linux est lui disponible, ce qui rend matériellement
possible toute modification et recompilation. La seconde est que la Licence Générale Publique
GNU permet expressément à n'importe qui de modifier et de redistribuer le logiciel de façon
tout à fait légale.
On prétexte souvent que la raison pour laquelle Linux plante rarement tient au fait que l'on
exige de lui beaucoup moins que ce que l'on exige d'autres systèmes d'exploitation
b. Les Faiblesses de Linux
Linux n'est certainement pas un système d'exploitation parfait, et tout le monde a pu entendre
parler des faiblesses qui lui ont été un jour ou l'autre reprochées. Etant donné que personne ne
choisit les systèmes d'exploitation pour leur intérêt intrinsèque. Ce sont les applications qu'ils
permettent d'utiliser qui retiennent l'intérêt, mais Linux n’offre pas autant de choix
d’application par rapport à ses concurrents. Linux est un système d'exploitation relativement
49
nouveau développé en grande partie par des programmeurs volontaires. Ces développeurs
n'ont qu'un accès limité aux matériels évolués, donc onéreux (bien que beaucoup de
constructeurs les mettent maintenant fréquemment à leur disposition). Ainsi Linux n'a pas à
son actif aujourd'hui assez d’heure de programmation sur le matériel dernier cri. En
conséquence, il se positionne comme un système d'exploitation destiné à des gammes
moyennes ou basses, des catégories où ses performances sont très bonnes.
Beaucoup d'utilisateurs s'inquiètent de la pérennité de Linux. Ils craignent qu'en cas d'inflation
des masses à traiter, ils soient contraints de changer leur matériel et par là même d'abandonner
Linux. De plus lorsqu'une entreprise choisit un logiciel, elle doit être certaine que quelqu'un
peut être tenu pour responsable en cas de problème, et qui, dans le pire des cas, peut être
poursuivi pour une éventuelle perte liée à l'utilisation du logiciel.
Linux, comme tout autre logiciel libre, ne fournit absolument aucune garantie de ce type.
Vous ne pouvez pas poursuivre Linus Torvalds, ni Red Hat, ni Compaq si votre serveur Linux
en production a d'une façon ou d'une autre perdu toute raison et a du même coup détruit vos
précieuses données. A notre liste de faiblesses, nous pouvons aussi ajouter que Linux se
développe sur le media anarchique qu'est l'Internet, et il n'existe aucune entreprise solide qui
puisse fournir les futurs axes de développement des années à venir ce qui atteint l’image de la
marque du système d’exploitation.
CONCLUSION
Ce chapitre avait pour objet de montrer comment certains des mécanismes proposés par les
différents systèmes d’exploitation utilisés par les entreprises et les utilisateurs personnels
possédaient des faiblesses intrinsèques en termes de sécurité. Ces faiblesses ne se situent pas
dans l’implémentation des composants en tant que tels, mais dans leur spécifications. Il est
donc potentiellement possible pour un éventuel attaquant en éffectuant des opérations
atomiques légitimes, documentées et conformes aux spécifications de réaliser une action
contraire aux spécifications ou plus généralement non conformes au comportement attendu
des composants. Ceci est particulièrement inquiétant dans la mesure où les systèmes
d’exploitation reposent sur les spécifications des composants matériels pour élaborer et faire
respecter leur politique de sécurité. Aussi, la capacité d’un système d’exploitation à
cloisonner l’espace utilisateur de l’espace noyau ne reste vraie que dès lors que le modèle de
cloisonnement mémoire proposé par le processeur qui repose sur les mécanismes propres aux
modes protégés.
50
CHAPITRE IV :
Enquête de sécurité
informatique
51
Introduction
Pour obtenir des réponses, rien n’est plus naturel que de poser des questions. L’enquête par
questionnaires est, à ce titre, un moyen pratique pour collecter rapidement des informations et
un outil efficace d’aide à la décision. Même s’il n’y a pas de recette miracle pour réaliser une
bonne enquête et obtenir à tous les coups des résultats pertinents, il existe des règles
incontournables à respecter à chaque étape.
Les 10 commandements pour une enquête de qualité :
- Etablir par écrit des objectifs clairs, précis et opérationnels à l’enquête puis les faire
valider par les personnes concernées,
- Identifier précisément la cible de l’enquête (population-mère) et choisir un échantillon
représentatif,
- Choisir un nombre restreint de quotas et avoir recours à des quotas simples plutôt
qu’à des quotas croisés,
- Concentrer les questions posées sur le seul objectif de l’enquête et ne pas ajouter des
questions inutiles, même si elles sont intéressantes par ailleurs,
- Organiser le questionnaire en parties claires en partant du général au particulier et des
questions neutres aux questions engageantes,
- Ne pas multiplier les questions ouvertes qui apportent beaucoup moins d’informations
que des questions fermées bien posées,
- Utiliser un langage clair, simple et compréhensible par tous,
- Soigner la présentation du questionnaire et indiquer clairement les consignes et les
informations nécessaires aux enquêteurs et/ou répondants
- Insister auprès de tous les intervenants en général et des enquêteurs et du personnel de
saisie en particulier sur la nécessité d’une grande rigueur,
- Etre prudent dans l’interprétation et la restitution des résultats en étant bien conscient
des marges d’erreur.
52
I. Le questionnaire
1. Définition
Les questionnaires sont un des outils de recherche pour les sciences humaines et sociales, en
particulier la psychologie, la sociologie, le marketing, l’informatique et la géographie. C’est
précisément la raison pour laquelle nous l’avons utilisée pour notre projet de fin d’étude.
Les étapes de confections des questionnaires sont divisées en sept parties. En premier lieu,
nous avons la détermination du problème à l’étude et du sujet traité. En second, la
construction de la banque d'item. Troisièmement, la construction de l'échelle de réponse du
questionnaire. Quatrièmement, l’évaluation du bassin initial d'items. En cinquième position,
nous avons l’étape de l’élaboration du mode de présentation du questionnaire. Sixièmement, il
y a la création d'un échantillon pour tester la version pilote de l'instrument. Et en septième
position, on compte l’étape de l’analyse d'item.
Après l’étape de confection du questionnaire, nous avons une partie essentielle qui est la
traduction du questionnaire qui consiste à déterminer la clarté des consignes et des items
traduits, classé les informations recueillit par groupe ou par ensemble de réponses.
2. Présentation du questionnaire
Les questionnaires sont des outils d'évaluation proches des tests. Alors que ces derniers visent
à mettre en évidence des aptitudes, les questionnaires s'étendent à une utilisation plus générale
qui comprend notamment l'évaluation des attitudes et des habitudes quotidiennes d’un ou
plusieurs individus. Dans le cadre de notre projet de fin d’étude nous avons utilisé GOOGLE
DRIVE pour la confection de notre questionnaire.
Voir l’annexe… (Figure 17)
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique
La sécurité informatique

Contenu connexe

Tendances

Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Raoua Bennasr
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
Leandre Cof's Yeboue
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Nawres Farhat
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
BayeOusseynouFall
 
Rapport de projet de fin d'année
Rapport de projet de fin d'année Rapport de projet de fin d'année
Rapport de projet de fin d'année
kaies Labiedh
 
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_webRapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Salma Gouia
 
RapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITRapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRIT
Lina Meddeb
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANMise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Ghassen Chaieb
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 
présentation de soutenance PFE
présentation de soutenance PFEprésentation de soutenance PFE
présentation de soutenance PFE
Karim Labidi
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
Sylvain Maret
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFE
Donia Hammami
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
MortadhaBouallagui
 

Tendances (20)

Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
 
Rapport de projet de fin d'année
Rapport de projet de fin d'année Rapport de projet de fin d'année
Rapport de projet de fin d'année
 
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_webRapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
 
RapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITRapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRIT
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANMise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
présentation de soutenance PFE
présentation de soutenance PFEprésentation de soutenance PFE
présentation de soutenance PFE
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFE
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 

Similaire à La sécurité informatique

Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Conception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelConception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM Nortel
Tidiane Sylla
 
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
yosra fraiji
 
Rapport Stage ingénieur
Rapport Stage ingénieurRapport Stage ingénieur
Rapport Stage ingénieur
Mhamdi Imed
 
Technocles2010 2
Technocles2010 2Technocles2010 2
Technocles2010 2
Cyril Durand
 
Technocles2010 1
Technocles2010 1Technocles2010 1
Technocles2010 1
Cyril Durand
 
Deploy automatic in the cloud
Deploy automatic in the cloudDeploy automatic in the cloud
Deploy automatic in the cloud
Abdelhalim KADDOUR GUETTAOUI
 
Introduction aux réseaux informatiques
Introduction aux réseaux informatiquesIntroduction aux réseaux informatiques
Introduction aux réseaux informatiques
lmodadam
 
Automatisation d'une maison intelligente via une application android
Automatisation d'une maison intelligente via une application androidAutomatisation d'une maison intelligente via une application android
Automatisation d'une maison intelligente via une application android
Abderrahim Bouharaoua
 
Projet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par  ameny Khedhira & Arij MekkiProjet réalisé par  ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij Mekki
Ameny Khedhira
 
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Mohamed Amine Mahmoudi
 
Mémoire Parallélisation d'algorithmes de graphes avec MapReduce sur un cluste...
Mémoire Parallélisation d'algorithmes de graphes avec MapReduce sur un cluste...Mémoire Parallélisation d'algorithmes de graphes avec MapReduce sur un cluste...
Mémoire Parallélisation d'algorithmes de graphes avec MapReduce sur un cluste...
Hadjer BENHADJ DJILALI
 
La génération numérique en france. usages d'internet et comportements face au...
La génération numérique en france. usages d'internet et comportements face au...La génération numérique en france. usages d'internet et comportements face au...
La génération numérique en france. usages d'internet et comportements face au...
sophie mateo
 
Manuel en Français LT 4000 series Hmi Hybride, écran Tactile pour affichage e...
Manuel en Français LT 4000 series Hmi Hybride, écran Tactile pour affichage e...Manuel en Français LT 4000 series Hmi Hybride, écran Tactile pour affichage e...
Manuel en Français LT 4000 series Hmi Hybride, écran Tactile pour affichage e...
Pro-Face by Schneider Electric France
 
Fourth year internship report
Fourth year internship reportFourth year internship report
Fourth year internship report
Slimane Akaliâ , سليمان أقليع
 
Mémoire Kenmoe Kevin - Alignement Stratégique d'un SI
Mémoire Kenmoe Kevin - Alignement Stratégique d'un SIMémoire Kenmoe Kevin - Alignement Stratégique d'un SI
Mémoire Kenmoe Kevin - Alignement Stratégique d'un SI
Kenmoe Kevin
 
Etude bibliographique sur les algorithmes de compression sans perte
Etude bibliographique sur les algorithmes de compression sans perteEtude bibliographique sur les algorithmes de compression sans perte
Etude bibliographique sur les algorithmes de compression sans perte
IbtihejHamdi
 

Similaire à La sécurité informatique (20)

Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
 
Conception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelConception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM Nortel
 
B1
B1B1
B1
 
siem.pdf
siem.pdfsiem.pdf
siem.pdf
 
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
 
Rapport Stage ingénieur
Rapport Stage ingénieurRapport Stage ingénieur
Rapport Stage ingénieur
 
Technocles2010 2
Technocles2010 2Technocles2010 2
Technocles2010 2
 
Rapport pfev7
Rapport pfev7Rapport pfev7
Rapport pfev7
 
Technocles2010 1
Technocles2010 1Technocles2010 1
Technocles2010 1
 
Deploy automatic in the cloud
Deploy automatic in the cloudDeploy automatic in the cloud
Deploy automatic in the cloud
 
Introduction aux réseaux informatiques
Introduction aux réseaux informatiquesIntroduction aux réseaux informatiques
Introduction aux réseaux informatiques
 
Automatisation d'une maison intelligente via une application android
Automatisation d'une maison intelligente via une application androidAutomatisation d'une maison intelligente via une application android
Automatisation d'une maison intelligente via une application android
 
Projet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par  ameny Khedhira & Arij MekkiProjet réalisé par  ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij Mekki
 
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
 
Mémoire Parallélisation d'algorithmes de graphes avec MapReduce sur un cluste...
Mémoire Parallélisation d'algorithmes de graphes avec MapReduce sur un cluste...Mémoire Parallélisation d'algorithmes de graphes avec MapReduce sur un cluste...
Mémoire Parallélisation d'algorithmes de graphes avec MapReduce sur un cluste...
 
La génération numérique en france. usages d'internet et comportements face au...
La génération numérique en france. usages d'internet et comportements face au...La génération numérique en france. usages d'internet et comportements face au...
La génération numérique en france. usages d'internet et comportements face au...
 
Manuel en Français LT 4000 series Hmi Hybride, écran Tactile pour affichage e...
Manuel en Français LT 4000 series Hmi Hybride, écran Tactile pour affichage e...Manuel en Français LT 4000 series Hmi Hybride, écran Tactile pour affichage e...
Manuel en Français LT 4000 series Hmi Hybride, écran Tactile pour affichage e...
 
Fourth year internship report
Fourth year internship reportFourth year internship report
Fourth year internship report
 
Mémoire Kenmoe Kevin - Alignement Stratégique d'un SI
Mémoire Kenmoe Kevin - Alignement Stratégique d'un SIMémoire Kenmoe Kevin - Alignement Stratégique d'un SI
Mémoire Kenmoe Kevin - Alignement Stratégique d'un SI
 
Etude bibliographique sur les algorithmes de compression sans perte
Etude bibliographique sur les algorithmes de compression sans perteEtude bibliographique sur les algorithmes de compression sans perte
Etude bibliographique sur les algorithmes de compression sans perte
 

La sécurité informatique

  • 1. République Tunisienne Ministère de l’enseignement Supérieur de la Recherche Scientifique et de la Technologie Année Universitaire 2013/2014 INSTITUT DES HAUTES ETUDES DE SOUSSE Département Technologies de L’informatique RAPPORT DE STAGE DE FIN D’ÉtuDes En vue de l’obtention de Licence Appliquée en Technologies des Réseaux Informatiques Thème LA SECURITE INFORMATIQUE Réalisé par : CAMARA Cheick Ahmed Encadré par : Mr. MARRAKCHI Hosni Société d’accueil : CYBER PARC (TUNISIE TELECOM)
  • 2. .
  • 4. Table des matières INTRODUCTION GENERALE................................................................................................ 5 CHAPITRE I: Présentation de l’entreprise d’accueil................................................................. 6 Introduction ................................................................................................................................ 7 I. Présentation de Tunisie Telecom .................................................................................... 7 1. Fiche d’identité............................................................................................................ 7 2. Logo et identité visuelle .............................................................................................. 8 3. Objectifs et orientations stratégiques........................................................................... 9 II. Présentation du Cyber Parc........................................................................................ 10 CONCLUSION ........................................................................................................................ 11 CHAPITRE II : La Sécurité Informatique ............................................................................... 12 I. Présentation ................................................................................................................... 13 II. Les Principes de la sécurité informatique.................................................................. 14 III. Protections ................................................................................................................. 18 1. Formation des utilisateurs.......................................................................................... 18 2. Poste de travail........................................................................................................... 18 3. Antivirus.................................................................................................................... 19 4. Pare-Feu (Firewall) ou garde barrière ....................................................................... 20 5. Authentification et cryptage ...................................................................................... 21 6. Des outils de sécurité Open Source à tester............................................................... 23 7. Détection d’intrusion ................................................................................................. 25 IV. Les différents enjeux et risques ................................................................................. 27 CONCLUSION ........................................................................................................................ 31 CHAPITRE III : Cas pratique de l’évaluation de la sécurité ................................................... 32 Introduction .............................................................................................................................. 33 I. Questions et utilités de l’étude ...................................................................................... 33 II. Le système d’exploitation Windows ......................................................................... 36 1. Concept et mécanisme de sécurité............................................................................. 39 2. Forces et faiblesses de Windows............................................................................... 43 III. Le système d’exploitation Mac OS ........................................................................... 44 1. Concept et mécanisme de sécurité............................................................................. 45 2. Forces et faiblesses de Mac OS ................................................................................. 46 IV. Le système d’exploitation Linux ............................................................................... 47 1. Concept et mécanisme de sécurité............................................................................. 48
  • 5. 2. Forces et faiblesses .................................................................................................... 51 CONCLUSION ........................................................................................................................ 52 CHAPITRE IV : Enquête de sécurité informatique................................................................. 53 Introduction .............................................................................................................................. 54 I. Le questionnaire ............................................................................................................ 55 1. Définition................................................................................................................... 55 2. Présentation du questionnaire.................................................................................... 55 3. Présentation de la population..................................................................................... 56 II. Résultats de l’enquête de sécurité informatique........................................................ 56 1. Les Tableaux croisés ................................................................................................. 57 2. Diagrammes et histogrammes du questionnaire........................................................ 70 CONCLUSION ........................................................................................................................ 72 CONCLUSION GENERALE.................................................................................................. 74 ANNEXE ................................................................................................................................. 76 BIBLIOGRAPHIE ................................................................................................................... 77 WEBOGRAPHIE..................................................................................................................... 77
  • 6. Table des figures Figure 1 : 1er Logo de la société TUNISIE TELECOM............................................................. 8 Figure 2 : Logo de la société TUNISIE TELECOM à partir de Septembre 2010 ..................... 9 Figure 3 : Architecture classique.............................................................................................. 20 Figure 4 : Architecture concentré............................................................................................. 21 Figure 5: Logos Windows évolution........................................................................................ 36 Figure 6 : L'arbre généalogique des systèmes d’exploitation de chez Windows..................... 38 Figure 7: Aperçu de Windows Defender.................................................................................. 41 Figure 8: Logos Mac OS évolution.......................................................................................... 44 Figure 9: Aperçu de la procédure de défense du Mac OS........................................................ 46 Figure 10 : Logo de Linux........................................................................................................ 47 Figure 11: Architecture des systèmes Linux ............................................................................ 49 Figure 12 : Histogramme de la satisfaction des utilisateurs..................................................... 57 Figure 13: Histogramme de la satisfaction en fonction du désir de changement de système d’exploitation ........................................................................................................................... 58 Figure 14: Diagramme de différentes utilisations des systèmes d’exploitation (OS) .............. 65 Figure 15: Histogramme de la satisfaction des utilisateurs en fonction des systèmes d’exploitation ........................................................................................................................... 66 Figure 16: Notes attribuées aux systèmes d’exploitation par les utilisateurs........................... 67 Figure 17 : Aperçu du questionnaire de l’enquête ................................................................... 76 Table des tableaux Tableau 1 : La satisfaction et la note de sécurité...................................................................... 57 Tableau 2 : La satisfaction et le désir de changement de système d’exploitation.................... 58 Tableau 3 : Systèmes d’exploitation ayant des antivirus ou pas .............................................. 59 Tableau 4 : Problèmes et divers dégâts en généralité............................................................... 60 Tableau 5 : Problèmes et désir de changer de système d’exploitation..................................... 60 Tableau 6 : Désir de changement d’OS en fonction des différents dégâts............................... 61 Tableau 7 : Comparaison du nombre de désirs de changement de système d’exploitation..... 62 Tableau 8 : Système d’exploitation et Antivirus...................................................................... 62 Tableau 9 : Utilisateur d’un système pour le développement .................................................. 63 Tableau 10 : Utilisateur d’un système pour le travail .............................................................. 63 Tableau 11 : Utilisateur d’un système pour l’éducation .......................................................... 64 Tableau 12 : Utilisateur d’un système pour la détente............................................................. 64 Tableau 13 : Utilisateur d’un système pour d’autres activités ................................................. 65 Tableau 14 : Utilisateurs satisfait ou pas de leur système d’exploitation ................................ 66 Tableau 15 : Notes attribuées aux systèmes d’exploitation ..................................................... 67 Tableau 16 : Appréciation de sécurité d’un système d’exploitation sans antivirus ................. 67 Tableau 17 : Utilisateurs ayant eu des problèmes ou pas......................................................... 68 Tableau 18 : Nouveau système choisi pour remplacer le précédent ........................................ 69
  • 8. 2 INTRODUCTION GENERALE L’institut des Haute Etude de Sousse est un institut qui fournit une formation complète en pratique comme en théorie. Un des aspects de cette démarche se transmet à travers les stages et les projets professionnels effectués à la fin de la troisième année d’étude. Ce projet qui mettra un terme à ma formation et par la suite du quel j’obtiendrai le diplôme de licencié en Technologie des Réseaux Informatiques, ce projet qui s’inscrit dans le cadre professionnel est une initiation à ma future vie professionnelle. Ce projet a été effectué au sein de la société TUNISIE TELECOM, avec toutes les conditions requises pour sa réalisation tant au plan matériel, logiciel, que sur le plan de l’encadrement. Si la notion de sécurité des systèmes informatiques et des données qu'on traite n'est pas nouvelle, il est évident que le développement extraordinaire des logiciels, des réseaux et singulièrement de l'Internet en a fait une priorité absolue pour les utilisateurs particuliers et surtout pour les entreprises. Il ne se passe pas un mois sans que les médias évoquent des cas de piratages informatiques commis par les désormais célèbres crackers. L'objectif de ce rapport est de situer clairement la place que doit occuper la sécurité informatique dans les entreprises, les utilisations personnelles et de présenter les différentes solutions existantes. Ce rapport se terminera avec bien entendu une conclusion qui récapitulera les activités réalisées et les avantages de ma solution. J’évoquerais bien entendu les failles de sécurité qui se retrouvent dans les systèmes d’exploitation, l’évaluation et la perception des risques, le pilotage et le contrôle des systèmes d’exploitation. Ces thèmes permettent de mettre en évidence une perception de la sécurité souvent réduite au seul domaine informatique, et manquant d’une stratégie globale au niveau de l’entreprise.
  • 10. 4 Introduction La présentation de la société TUNISIE TELECOM est essentielle dans l’élaboration de notre projet de fin d’étude d’où la présentation générale de celle-ci. I. Présentation de Tunisie Telecom 1. Fiche d’identité Tunisie Telecom, opérateur historique des télécommunications en Tunisie, est issu de l’Office tunisien des postes et des Télégraphes, administré directement par le Ministère chargé des Télécommunications jusqu’en 1995. Les activités des postes et des télécommunications ont été dissociées par une loi numéro 95-36 en date du 17 avril 1995, laquelle a créé l’Office National des Télécommunications sous la forme d’établissement public à caractère industriel et commercial doté de la personnalité civile et de l’autonomie financière. A partir de 1995 et jusqu’en 2004, date de la transformation de l’Office National des Télécommunications en société anonyme par la loi 2004-30 du 5 avril 2004, l’Office National des Télécommunications avait une mission de service public et bénéficiait de certaines prorogatives réservées à l’Etat. La loi 2004-30 du 5 avril 2004 ayant conduit à la transformation de l’Office National des Télécommunications en société anonyme de droit tunisien dénommée « Société Nationale des Télécommunications » identifiée sous le nom commercial « Tunisie Telecom » précise que Tunisie Telecom est soumise, en tant qu’entreprise publique, à la législation et réglementation applicables aux entreprises publiques, (notamment la loi numéro 89-9 du 1er février 1989 relative aux participations, entreprises et établissements publics) et à la législation commerciale (le Code des sociétés commerciales). Le capital de Tunisie Telecom a été fixé par la loi numéro 2004-30 en date du 5 avril 2004 à 1.400.000.000 TND constitué par un apport en nature égal à la valeur de l’ensemble du patrimoine apporté par l’Etat à l’Office National des Télécommunications en application de la loi numéro 95-36 en date du 17 avril 1995 et un apport en numéraire. Le détail des actifs et passifs apportés à Tunisie Telecom est exposé dans le rapport du commissaire aux apports qui a fixé l’apport net en nature à la somme de 1.399.999.490 TND résultant de la différence positive entre un actif évalué à 2.696.763.000 TND et un passif évalué à 1.296.763.510 TND. En 2006, dans le cadre de la libéralisation du secteur, Tunisie
  • 11. 5 Telecom a fait l’objet d’une privatisation partielle avec l’entrée dans son capital à hauteur de 35% du consortium formé par DIG (Dubai Investment Group) et TECOM, consortium aujourd’hui dénommé EIT (Emirates International Telecommunications (Tunisie)). Le groupe Tunisie Télécom est constitué de : - La Société Mauritano-Tunisienne de Télécom (Mattel) - La Société Tunisienne d’Entreprises de Télécommunications - L’Agence Tunisienne de l’Internet - Le Technopôle de Sfax - La Société d’investissement DIVA Sicar - La Société Sousse TechnoCity - Le Fournisseur d’Accès Internet TOPNET 2. Logo et identité visuelle Figure 1 : 1er Logo de la société TUNISIE TELECOM
  • 12. 6 Figure 2 : Logo de la société TUNISIE TELECOM à partir de Septembre 2010 3. Objectifs et orientations stratégiques Depuis sa création, Tunisie Telecom a œuvré à consolider l’infrastructure des télécommunications en Tunisie, à maintenir et à améliorer le taux de couverture, de son réseau fixe et de son réseau mobile. La société songe à aligner les acteurs tunisiens sur une vision globale pour aider à cadrer les objectifs stratégiques nationaux communs à tous les acteurs (avancées technologiques, gains économiques et sociétales, attractivité de la Tunisie); identifier les objectifs à atteindre (en termes d'émergence et de réalisation de projets pertinents, d'implication des contributeurs et de ressources humaines et matérielles nécessaires). Par la suite, la société TUNISIE TELECOM procède à l’identification des axes de développement appropriés pour la Tunisie. Pour orienter les efforts, ces axes doivent être en nombre limité (pas plus de cinq), économiquement faisables, techniquement réalisables, flexibles et adaptés aux spécificités Tunisiennes. Au sujet du renforcement du travail collaboratif public-privé la société effectue premièrement une mise en place d’un écosystème collaboratif permettant d’aller au-delà de la recherche fondamentale et capable de proposer une matière exploitable pour l’économique et le sociétale. Ensuite elle procède à la mise en place d’un modèle de gouvernance participatif avec des instances de sélection, d'orientation, d'arbitrage, d’accompagnement et de suivi. Tunisie Telecom est aujourd’hui organisé autour de deux pôles d’activité : - Le 1er pôle « Détail » regroupe les services de téléphonie mobile, de téléphonie fixe, d’Internet (destinés au grand public et aux entreprises) et les services data ou de transmission
  • 13. 7 de données (destinés exclusivement aux entreprises). Tunisie Telecom est aujourd’hui un acteur majeur sur le marché de la téléphonie mobile (avec une part de marché des abonnés actifs de 42,6% au 30 septembre 2010) et bénéficie d’une situation de leadership incontestée sur les marchés de la téléphonie fixe, de l’Internet et de la transmission de données. Le nombre de clients du pôle détail est en constante augmentation depuis le 31 décembre 2007. - Le 2e pôle « Opérateurs et International » regroupe les services d’interconnexion nationale, de terminaison et de transit et les services de roaming-in. Tunisie Telecom est ainsi l’opérateur incontournable en Tunisie, proposant aux opérateurs nationaux et internationaux des services de capacité et d’acheminement de trafic entrant et sortant à grande échelle. Le chiffre d’affaires de ce pôle est en constante augmentation depuis l’exercice clos le 31 décembre 2007. II. Présentation du Cyber Parc Les Cyber-Parcs représentent un des programmes de soutien et d’appui de la création des entreprises en Tunisie, et notamment des start-ups spécialisés dans le TIC. Ils sont liés administrativement au pôle El Ghazala des Technologies de la Communication. Tunisie Télécom se charge du fonctionnement de 4 Cyber-Parcs : Monastir, Kasserine, Seliana et Sousse. Les Cyber-parcs régionaux offrent des espaces fonctionnels avec des équipements et des réseaux de communications modernes et spécialisés pour accueillir les promoteurs qui désirent monter des projets de services basés sur les nouvelles technologies de l'Information et de la Communication. Le cyber parc est un espace équipé de réseaux modernes d'information et de communication. L'objectif des Cyber-parcs est d'offrir des espaces fonctionnels avec des équipements et des réseaux de communications modernes et spécialisés pour accueillir les promoteurs qui désirent monter des projets de services basées sur les nouvelles technologies de l'information et de la communication . Ces services sont orientés vers les organismes économiques et administratifs implantés dans la région ou dans d'autres endroits du pays ou à l'étranger sous forme de services à distance. Les cybers parcs sont des espaces réservés à des activités en rapport avec les TIC, il s'agit de:
  • 14. 8 - Centres d'appels.  Développements des logiciels.  Développements et mise à jour des sites web.  Services à distance en relation avec le TIC.  Hébergement pépinières d’entreprises. La stratégie nationale consiste en la mise en place d'un cyber-parc dans chaque région du pays. Le Cyber-parc régional de Sousse : o Création : 1/10/2008 o Adresse: avenue Charles de Gaulle, Hammam Sousse. o Superficie couverte: 1000 m² o Superficie des bureaux : 558 m² o Nombre de bureaux : 26 o Services Communs : Salle de réunion, service d’accueil et bureau d’ordre. o Nombre d’entreprises hébergées: 18 o Nombre d'emploi créés: 68 CONCLUSION Au sein de la société, il au sein de la société, il s’est posé une problématique au niveau de la sécurité informatique su réseau et des machines, ce qui nous conduira au second chapitre de notre travail qui s’intitule « La Sécurité Informatique ». Il s’agira de présenter la sécurité informatique tout en énonçant se différents outils utilisés, enjeux et risques.
  • 15. 9 CHAPITRE II : La Sécurité Informatique
  • 16. 10 I. Présentation Les utilisateurs d’ordinateurs sont de plus en plus nombreux et ces ordinateurs sont généralement connectés entre eux, à des disques amovibles ou à des réseaux, en particulier à l’internet. Si ces utilisateurs ne prennent pas un minimum de précautions, leurs ordinateurs peuvent être facilement attaqués. La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger les ordinateurs et les données qui y sont stockées. Si elles sont élaborées par des spécialistes, les plus simples doivent être connues et mises en œuvre par tous les utilisateurs. C’est l’objectif de cette présentation de la sécurité informatique d’information qui propose des fiches pratiques et des conseils destinés à tous les publics (particuliers, professionnels, PME). Il comporte également des actualités et avertit de menaces nouvellement rencontrées qui appellent une action rapide des utilisateurs pour en limiter les effets. Ce chapitre aidera à décoder le jargon des spécialistes de la sécurité informatique et permettra ensuite d’être capable de percer le mystère à des fiches techniques pour compléter l’information de l’utilisateur sur les chevaux de Troie, le filoutage (phishing), l’importance des mises à jour, etc. Si l’on souhaite entrer plus avant dans la connaissance de la sécurité informatique, des modules d’autoformation sont proposés sur les thèmes des mots de passe, ou encore de l’importance d’avoir une politique de sécurité. Les utilisateurs d’un ordinateur personnel sont exposés à des risques et à des menaces dont il faut se protéger. Dans cette perspective, ils peuvent utiliser le logiciel de sensibilisation et d’aide développé par des compagnies de sécurité informatique dont quelques exemples seront énoncés dans la partie suivante.
  • 17. 11 II. Les Principes de la sécurité informatique 1. Exigences fondamentales La sécurité informatique comme étant l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles, se convient d'identifier les exigences fondamentales en sécurité informatique. Elles caractérisent ce à quoi s'attendent les utilisateurs de systèmes informatiques en regard de la sécurité. Du point de vue de la sécurité informatique, une menace est une violation potentielle de la sécurité. Cette menace peut-être accidentelle, intentionnelle (attaque), active ou passive. 2. Étude des risques Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité le sont aussi. Il est nécessaire de réaliser une analyse de risque en prenant soin d'identifier les problèmes potentiels avec les solutions avec les coûts associés. L'ensemble des solutions retenues doit être organisé sous forme d'une politique de sécurité cohérente, fonction du niveau de tolérance au risque. On obtient ainsi la liste de ce qui doit être protégé. Il faut cependant prendre conscience que les principaux risques restent : « câble arraché », « Coupure secteur », « crash disque », « mauvais profil utilisateur », « test du dernier CD Bonux »… Voici quelques éléments pouvant servir de base à une étude de risque: Quelle est la valeur des équipements, des logiciels et surtout des informations ? Quel est le coût et le délai de remplacement ? Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d'analyse des paquets, logs…). Quel serait l’impact sur la clientèle d'une information publique concernant des intrusions sur les ordinateurs de la société ?
  • 18. 12 3. Établissement d’une politique de sécurité Suite à l’étude des risques et avant de mettre en place des mécanismes de protection, il faut préparer une politique à l'égard de la sécurité. C’est elle qui fixe les principaux paramètres, notamment les niveaux de tolérance et les coûts acceptables. Voici quelques éléments pouvant aider à définir une politique : Quels furent les coûts des incidents informatiques passés ? Quel degré de confiance pouvez-vous avoir envers vos utilisateurs internes ? Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ? Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement forte qu’elle devient contraignante ? Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de l’externe ? Quelle est la configuration du réseau et va-t-il avoir des services accessibles de l’extérieur ? Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la confidentialité des informations (ex: loi « informatique et liberté », archives comptables…) ? 4. Éléments d’une politique de sécurité Il ne faut pas perdre de vue que la sécurité est comme une chaîne, guère plus solide que son maillon le plus faible. En plus de la formation et de la sensibilisation permanente des utilisateurs, la politique de sécurité peut être découpée en plusieurs parties :  Défaillance matérielle : Tout équipement physique est sujet à défaillance (usure, vieillissement, défaut…) L'achat d'équipements de qualité et standard accompagnés d'une bonne garantie avec support technique est essentiel pour minimiser les délais de remise en fonction. Seule une forme de sauvegarde peut cependant protéger les données.  Défaillance logicielle : Tout programme informatique contient des bugs. La seule façon de se protéger efficacement contre ceux-ci est de faire des copies de l'information à risque. Une mise à jour régulière des logiciels et la visite des sites consacrés à ce type de problèmes peuvent contribuer à en diminuer la fréquence.
  • 19. 13  Accidents (pannes, incendies, inondations…) : Une sauvegarde est indispensable pour protéger efficacement les données contre ces problèmes. Cette procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des échelles de temps différentes : réseau (quotidienne) La disposition et l’infrastructure des locaux peuvent aussi fournir une protection intéressante. Pour des sites particulièrement importants (site informatique central d’une banque…) il sera nécessaire de prévoir la possibilité de basculer totalement et rapidement vers un site de secours (éventuellement assuré par un sous-traitant spécialisé). Ce site devra donc contenir une copie de tous les logiciels et matériels spécifiques à l’activité de la société.  Erreur humaine : Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce problème.  Vol via des dispositifs physiques (disques et bandes) : Contrôler l'accès à ces équipements : ne mettre des unités de disquette, bandes… que sur les ordinateurs où c’est essentiel. Mettre en place des dispositifs de surveillances.  Virus provenant de disquettes : Ce risque peut-être réduit en limitant le nombre de lecteur de disquettes en service. L’installation de programmes antivirus peut s’avérer une protection efficace mais elle est coûteuse, diminue la productivité, et nécessite de fréquentes mises à jour.  Piratage et virus réseau : Cette problématique est plus complexe et l’omniprésence des réseaux, notamment l’Internet, lui confère une importance particulière. Les problèmes
  • 20. 14 5. Principaux défauts de sécurité Les défauts de sécurité d’un système d’information les plus souvent constatés sont : Installation des logiciels et matériels par défaut. Mises à jour non effectuées. Mots de passe inexistants ou par défaut. Services inutiles conservés (Netbios…). Traces inexploitées. Pas de séparation des flux opérationnels des flux d’administration des systèmes. Procédures de sécurité obsolètes. Eléments et outils de test laissés en place dans les configurations en production. Authentification faible. Télémaintenance sans contrôle fort. 6. Éléments de droits Intrusions informatiques : Loi « Godfrain » de l’Etat De La Jurisprudence Française du 05 Janvier 1988.  Article 323-1. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 € d’amende.  Article 323-2. Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 45 000 € d’amende.  Article 323-3. Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Loi 78/17 du 6/01/78 relative à l’informatique, aux fichiers et aux libertés  Article 29.
  • 21. 15 Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. III. Protections 1. Formation des utilisateurs On considère généralement que la majorité des problèmes de sécurité sont situés entre la chaise et le clavier, c’est à dire l’utilisateur de la machine en question.  Discrétion : la sensibilisation des utilisateurs à la faible sécurité des outils de communication et à l’importance de la non divulgation d’informations par ces moyens est indispensable. En effet il est souvent trop facile d’obtenir des mots de passe par téléphone ou par e-mail en se faisant passer pour un membre important de la société.  Virus : plusieurs études récentes (2012) montrent que 1/3 des utilisateurs ouvriraient encore une pièce jointe d’un courrier nommée « i love you » en 2001 et que la moitié ouvriraient une pièce nommée « ouvrez-ça » ou similaire… L’information régulière du personnel est nécessaire, attention toutefois aux rumeurs (hoax).  Charte : l’intérêt principal d’une charte d’entreprise est d’obliger les employés à lire et signer un document précisant leurs droits et devoirs et par la même de leur faire prendre conscience de leur responsabilité individuelle. 2. Poste de travail Le poste de travail reste un maillon faible de la sécurité. Le projet TCPA (Trusted Computing Platform Alliance) a pour but d’améliorer sa sécurité en dotant le PC d’une puce dédiée à la sécurité. Elle sera chargée de vérifier l’intégrité du BIOS, du chargement de l’OS, de sauvegarder les clés et certificats (PKI) et connaîtra les protocoles de cryptage (RSA, DES…).  Plusieurs cartes mères possèdent un cavalier interdisant la reprogrammation du BIOS (flashage), vérifier et mettre en place ce cavalier sur tous les postes !  Lecteur de disquette : Interdire le Boot disquette (BIOS) voir inhiber complètement le fonctionnement du lecteur.
  • 22. 16  Lecteur de CD-ROM : les virus de Boot sont très rares sur CD, mais avec la généralisation des graveurs et la simplification des logiciels de gravure…  Backup régulier et sécurisé des informations essentielles.  Multiboot : à éviter au maximum car la sécurité globale du poste est celle de l’OS le plus fragile et de plus il existe des logiciels permettant de lire sous un OS les autres partitions en ignorant alors les sécurités (exemple : lecture de fichiers NTFS sans tenir compte des droits). 3. Antivirus Principale cause de désagrément dans une entreprise, les virus peuvent être combattus à plusieurs niveaux. La plupart des antivirus sont basés sur l’analyse de signature des fichiers, la base des signatures doit être très régulièrement mise à jour sur le site de l’éditeur (des procédures automatiques sont généralement possibles). Il existe deux modes de protections :  Généralisation de l’antivirus sur toutes la machines, il faut absolument prévoir une mise à jour automatique de tous les postes via le réseau.  Mise en place d’antivirus sur les points d’entrée/sortie de données du réseau après avoir parfaitement identifiés tous ces points. La rigueur de tout le personnel pour les procédures doit être acquise. La plupart des virus actuels utilisent la messagerie comme un vecteur de transmission. Les vers s’installent et s’exécutent sans l’intervention de l’utilisateur (exécutable ouvert automatiquement, exploitation d’une faille du logiciel de messagerie…). La protection contre les virus en provenance de la messagerie doit être effectuée, non pas au niveau du poste de travail, mais du serveur. Ainsi certains antivirus agissent au niveau du coupe- feu, les deux outils coopérant via le protocole CVP (Content Vectoring Protocol) qui normalise leur communication. Les clients de messagerie de Microsoft sont victimes de leurs enrichissements en recourant à Word ou au HTML pour éditer le message, ils rendent possible l’exécution de macrovirus. La parade la plus simple consiste à n’utiliser ces clients de messagerie qu’en mode texte. Il faut aussi préciser que la mise en place d’un antivirus sur le firewall n’est d’aucun secours en cas de fichiers cryptés.
  • 23. 17 4. Pare-Feu (Firewall) ou garde barrière C’est une machine dédiée au routage entre LAN et Internet. Le trafic est analysé au niveau des datagrammes IP (adresse, utilisateur, contenu…). Un datagramme non autorisé sera simplement détruit, IP sachant gérer la perte d’information. Une translation d’adresse pourra éventuellement être effectuée pour plus de sécurité (protocole NAT : Network Address Translation). Néanmoins, il faut faire très attention car un firewall est inefficace contre les attaques ou les bévues situées du coté intérieur et qui représentent 70% des problèmes de sécurités. a. Architecture classique Figure 3 : Architecture classique
  • 24. 18 b. Architecture concentré Figure 4 : Architecture concentré 5. Authentification et cryptage L’authentification est basée sur les 3 principes : Savoir : login, mot de passe… Être : biométrie (empreintes…) Avoir : clés USB, carte à puce, « token ». Une authentification est dite forte lorsqu’elle utilise deux mécanismes différents (carte à puce avec mot de passe par exemple). "Nom + mot de passe + date" sont cryptés avec des clés publiques et privées (RFC 1510). Le cryptage de la date évite la réutilisation éventuelle du message par un pirate. Par le cryptage on peut identifier de manière sûre l'utilisateur connecté. Pour éviter l’espionnage, la modification du contenu, l’ajout de message... on pourra utiliser la signature électronique (CRC crypté en fin de message) ou crypter toute l’information. Les infrastructures PKI (Public Key Infrastructure) devraient se développer. Pour l’instant,
  • 25. 19 le protocole SSL (Secure Socket Layer) domine toujours largement le marché de l’authentification sur les sites marchands. Radius, Tacacs ou IPSec (qui comporte un processus d’authentification dans son en-tête) constituent encore la solution retenue par la majorité des entreprises. a. Cryptage symétrique Une même clé est utilisée pour crypter et décrypter le message, très efficace et assez économe en ressources CPU cette technique pose le problème de la distribution des clés dans un réseau étendu (exemple DES, triple DES ou le récent AES). b. Cryptage asymétrique Chaque utilisateur dispose d’un jeu unique de clés, dont l’une est privée (secrète) et l’autre publique (exemple RSA). Pour recevoir des documents protégés, le détenteur d'un jeu de clés envoie sa clé publique à ses interlocuteurs, qui l’utilisent pour chiffrer les données avant de les lui envoyer. Seul le destinataire et détenteur des clés peut lire les informations en associant sa clé privée à sa clé publique. Cette technique nécessite des clés plus longues pour une sécurité équivalente. c. Protocoles courants SSL (Secure Socket Layer) de Netscape est le protocole le plus répandu pour établir une connexion sécurisée entre client et serveur. Il situé entre les couches TCP et HTTP. Ce protocole public utilise une clé 40 bits (version d’exportation) avec l’algorithme RSA pour chiffrer toute la transaction. Ce protocole ne peut garantir l’identité de l’interlocuteur. SET (Secure Electronic Transaction) : est la convergence des deux procédures de sécurisation STT (Secure Transaction Technology) de Visa et Microsoft et SEPP (Secure Electronic Payment Protocol) de Mastercard, IBM et Netscape. Il permet de sécuriser les transactions par cartes bancaires (chiffrement par clés publiques/privées et authentification des parties). C-SET (Chip Secure Electronic Transaction) : est l’adaptation du protocole SET à la carte à puce française. S/MIME (Secure Multipurpose Internet Mail Extension) est le protocole le mieux accepté pour la sécurisation des courriers électroniques.
  • 26. 20 d. PKI (Public Key Infrastructure) L'infrastructure PKI repose sur la notion de chiffrement asymétrique. Pour s’authentifier, en revanche, le détenteur des clés utilise un certificat, sorte de document électronique faisant office de carte d’identité électronique. Inséré dans un message, lors d'un paiement sur Internet par exemple, ce certificat joue le rôle de signature numérique. Il contient des informations relatives à l’identité du détenteur, son champ d’application (date de validité, types d’applications, etc.) et la clé publique. Un tiers de confiance garantit l’association ente un individu et les données contenues dans le certificat. La gestion des certificats en interne implique des infrastructures lourdes afin d’enregistrer les demandes, de vérifier la validité des certificats, de gérer les pertes ou les vols (risques d'autant plus importants lorsque le certificat est inclus dans un support physique tel qu’une carte à puce). Il faudra, de plus, assurer la protection des serveurs contre le piratage. Difficile en interne, la gestion des infrastructures PKI peut être confiée à des prestataires spécialisés, tels que Certplus (en France) et Verisign (aux États-Unis), ou encore auprès d'une banque. Typiquement, un Français, client d'une banque française jouant le rôle de tiers certificateur, qui achète sur un site américain, aura du mal à imposer son certificat si son organisme bancaire n’est pas reconnu aux États-Unis comme un prestataire digne de confiance. 6. Des outils de sécurité Open Source à tester La sécurité des données est toujours en tête des problématiques traitée par les DSI et les RSSI, et dès lors qu'il s'agit de trouver les bons outils, les difficultés s'accumulent. Des solutions Open Sources répondent à certaines de ces problématiques. Nous avons décidé de mettre l'accent sur cinq d'entre elles. Si les menaces exploitant les vulnérabilités du réseau et des logiciels augmentent à un rythme effréné, de bons outils de sécurité peuvent constituer une bonne défense contre la plupart des menaces qui trainent sur Internet. Voici une petite sélection de cinq solutions de sécurité Open Source.
  • 27. 21  PacketFence : contrôle d’accès des réseaux filaires et sans fils développé par la société canadienne Inverse, PacketFence est un outil de contrôle d’accès réseau ((NAC ou Network Access Control) pour réseaux filaires et sans fil. Administrable à distance, il travaille de concert avec le système de détection d'intrusions Snort et le scanner de vulnérabilités Nessus. Les principales caractéristiques comprennent le support de la VoIP, du 802.1X, l'isolement des dispositifs menaçants et une interface de gestion basée sur le web.  SmoothWall, un firewall complet Open Source ou appliance. Ce projet Open Source a commencé en l’an 2000 sous l’appellation SmoothWall Express, SmoothWall est un pare- feu fourni avec son propre système d’exploitation Linux et une interface d’administration web. Il peut être téléchargé sous la forme d’une image ISO pour la plateforme X86. Le produit propose l’ensemble des fonctionnalités standards d’un pare-feu et assure la qualité de service (QoS), les statiques de trafic, la fonction de proxy web et la fourniture de graphiques en temps réel. La compagnie qui développe ce produit en Open Source offre un support commercial et vend ces propres appliances.  ModSecurity est un pare-feu pour Apache qui a été développé par la société américaine Trustwave. ModSecurity est un pare-feu web Open Source (WAF) développé pour le serveur Apache. Il possède son propre langage de programmation pour se prémunir contre les menaces web. Installés en tant que module Apache, ModSecurity surveille et analyse en temps réelle trafic http, les logs et les tentatives d’intrusion. Comme il est exécuté dans Apache, ModSecurity suit les évolutions du célèbre serveur web. Ce firewall serait déployé sur environ 10 000 serveurs dans le monde.  Untangle, une distribution spéciale de sécurité. Livrée sous la forme d’une image ISO, Untangle est une distribution Linux de sécurité multi-usages. Elle s’exécute sur un appliance ou dans une machine virtuelle. La distribution Untangle inclut des outils de sécurité gratuites incluent un filtre web/Anti-Phishing, un antivirus, un anti-spam, un anti- spyware, un pare-feu, des outils de reporting et un VPN. Différents niveaux de support commercial sont proposés en fonction des besoins.  TrueCrypt est un moyen de cryptage en temps réel. Le chiffrement est une brique fondamentale pour assurer la sécurité des données. Le projet Open Source TrueCrypt a pour but de faciliter cette question. Reposant sur un disque virtuel crypté, TrueCrypt est capable de chiffrer une partition ou l’intégralité d’un disque dur interne, une clé USB ou un périphérique de stockage externe. Assuré en temps réel, le cryptage serait transparent
  • 28. 22 pour l’utilisateur. Pour travailler plus vite, cet outil prend également en charge l’accélération de cryptage matérielle disponible sur les derniers processeurs. 7. Détection d’intrusion Même si l’intrus parvient à franchir les barrières de protection (coupe-feu, système d'authentification, etc.), il est encore possible de l’arrêter avant qu'il n’attaque. Placés sur le réseau de l’entreprise, les outils de détection d'intrusion décèlent tout comportement anormal ou trafic suspect. Malgré la mise en place de solutions d’authentification, chargées de filtrer et de contrôler les accès au réseau, il arrive que des intrus y pénètrent. C’est même le propre des pirates que de contourner les serveurs d’authentification, coupe-feu et autres barrières de protection des systèmes. Une fois entrés, plus rien ne les empêche de saboter, de voler et d’endommager les applications. Interviennent alors les systèmes de détection d'intrusion. En auscultant en permanence le trafic, ils repèrent le hacker et alertent aussitôt l’administrateur. Protégeant l’entreprise des attaques externes, ces systèmes sont également capables de détecter le pirate interne qui représente encore entre 70 à 80% des actes de malveillance auxquels sont confrontées les sociétés. Il existe deux catégories d’outils sur le marché : la première analyse le trafic réseau, la seconde étudie le comportement des utilisateurs au niveau d’un système ou d’une application. Dans tous les cas, des ressources humaines devront être affectées à la supervision des systèmes de détection d’intrusion pour gérer les alertes, mais aussi pour détecter ce que les outils n’auront peut-être pas vu. Coûteuses, ces ressources freineraient aujourd'hui les entreprises dans l’adoption de ces solutions. a. Surveillance du trafic réseau Baptisés sondes ou encore sniffer, ce sont des outils de détection d’intrusion qui s’installent à un point stratégique du réseau. Ils analysent en permanence le trafic à la recherche d’une signature connue de piratage dans les trames. Ces systèmes ne repèrent que les attaques qui figurent déjà dans leur base de signatures. Ces sondes doivent être : - Puissantes (débits des réseaux élevés) pour analyser toutes les trames. - Capables de conserver un historique (actes de malveillance divisés sur plusieurs
  • 29. 23 trames). - Fiable, c’est à dire tolérante aux pannes (retour à l’état initial après une interruption). b. Analyse du comportement de l’utilisateur Installée sur les OS ou sur les applications, l’analyse du comportement scrute les fichiers d’événements et non plus le trafic. Cette technique est encore trop coûteuse car trop de compétences sont nécessaires. Des agents sont placés sur le système ou l’application supervisés. Ces agents autonomes disposent de capacité d’apprentissage. Leur mission consiste à repérer tout abus (personne qui cherche à outrepasser ses droits et à atteindre des applications auxquelles elle n’a pas accès) ou comportement suspect (personne qui, par exemple, scanne toute une base de données alors qu’en temps normal, elle n’effectue que deux à trois requêtes par jour). De même, le transfert de certains courriers peut être bloqué lorsque ces documents comportent certains mots (préalablement déterminés par l’administrateur) pouvant indiquer la fuite d’informations. Pour être efficaces, ces solutions doivent bénéficier d’une puissance suffisante afin d’analyser tous les événements en temps réel, mais aussi de mécanismes qui les protègent des attaques. c. Site « pot de miel » Ces sites « honey pot » sont sensés détourner les pirates des zones sensibles en leur donnant l’impression qu’ils sont entrés au cœur du site de l’entreprise visée. L’efficacité reste à démontrer, il semblerait que ce soit suffisant pour se protéger des amateurs qui sont les plus nombreux.
  • 30. 24 IV. Les différents enjeux et risques Plusieurs types d'enjeux doivent être maitrisés : - L'intégrité : Les données doivent être celles que l'on s'attend à ce qu'elles soient, et ne doivent pas être altérées de façon fortuite ou volontaire. - La confidentialité : Seule les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché. - La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation prévues, garantir l'accès aux services et ressources installées avec le temps de réponse attendu. - La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur. - L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange. La sécurité informatique est un défi d'ensemble qui concerne une chaine d'éléments : Les infrastructures matérielles de traitement ou de communication, les logiciels (systèmes d'exploitation ou applicatifs), les données, le comportement des utilisateurs. Le niveau global de sécurité étant défini par le niveau de sécurité du maillon le plus faible, les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d'information est censé apporter service et appui. On distingue trois types de sécurité : - Sécurité humaine Un centre regroupant un ou plusieurs serveurs hébergeant les informations sensibles d’une entreprise est une cible de choix pour des êtres mal intentionnés. C’est pourquoi la sécurité des accès doit être surveillée au mieux. Pour une sécurité des informations maximale, la présence humaine continue (gardiennage 24/24) peut être renforcée par un système de vidéo surveillance, de régulation d’entrées/sorties par badges et d’alerte anti -intrusion déployé dans l’ensemble de ce bâtiment.
  • 31. 25 - Sécurité physique et matérielle Pour éviter la destruction des informations en cas de destruction d’un serveur, les équipements déclarés comme sensibles doivent être systématiquement redondés, c’est -à-dire dupliqués en un ou plusieurs endroits. Il existe aujourd’hui des systèmes et des techniques de sauvegarde de données régulières afin d’éviter les pertes de données imprévues (par exemple le fonctionnement de deux disques miroirs via RAID1 (Redundant Array of Independent Disks) ou l’utilisation de scripts de sauvegarde automatique). Pour résister à une coupure (criminelle ou non) de ressources, un centre de serveurs se doit aussi de bénéficier d’une autonomie électrique régulièrement testée en cas de coupure électrique. Il peut aussi bénéficier d’un système de sécurité incendie ainsi que d’un groupe de refroidissement autonome adapté pour réguler au mieux la température des serveurs et en protéger le matériel, même en cas de coupure d’eau. - Sécurité logicielle Pour bien protéger son système d’information, il est nécessaire de protéger son système de toutes les attaques logicielles. Il existe trois catégories d’attaques : - les attaques qui permettent d’obtenir des informations ou des privilèges pour mener un autre type d’attaque. On parle d’attaque par rebond. - les attaques simultanées par collusion : technique qui consiste à déclencher de nombreuses attaques de manière coordonnée. Cette technique est notamment utilisée pour l’analyse de cryptogramme. - les attaques simultanées par coordination sur une cible unique : il s’agit de coordonner une attaque utilisant de très nombreux systèmes pour saturer la cible. Voici les principales attaques logicielles connues à ce jour. Cette liste n’est bien sûr pas exhaustive : - Brouillage : attaque de haut niveau utilisant les rayonnements électromagnétiques qui rendent le SI inopérant. - Écoute : sauvegarde des informations qui transitent sur un réseau informatique ou de télécommunication.
  • 32. 26 - Cryptanalyse : attaque d’un chiffre. Pour assurer cette attaque, d’excellentes connaissances en mathématiques et une forte puissance de calcul sont requises. - Mystification : simulation de la part de l’attaquant du comportement d’une machine pour tromper un utilisateur. Par exemple, un terminal de paiement invitant à entrer ses données bancaires confidentielles - Trappe (ou Backdoor) : point d’entrée dans une application placée par un développeur. - Asynchronisme : exploitation du fonctionnement asynchrone de certaines parties ou commandes du système d’exploitation. - Souterrain : type d’attaque qui évite de s’attaquer directement à une protection mais qui tente de s’en prendre à un élément qui la supporte. - Salami : acquisition imperceptible de données parcellaires d’un SI en vue de les rassembler et d’obtenir un tout exploitable. - Balayage (scanning) : cette technique consiste à envoyer au SI un ensemble de requêtes de natures diverses afin d’examiner les réponses du système. En automatisant ces sollicitations du SI, le pirate pourra facilement trouver le nom de certains utilisateurs et pourquoi pas leur mot de passe. - Exploitation d’un défaut (bug) : De nombreuses failles sont présentes dans les logiciels commerciaux. Ces failles sont exploitées à des fins malveillantes par les pirates. - Logiciel espion (spyware) : logiciel malveillant infectant un ordinateur dans le but de collecter et de transmettre, de manière invisible, des informations de l’environnement sur lequel il est installé. - Canal caché : Attaque de très haut niveau permettant de récupérer des informations en violant la politique de sécurité. Il existe 4 canaux cachés : ● Les canaux de stockage pour le transfert/la récupération d’informations ● Les canaux temporels pour étudier les temps de réponse du SI ● Les canaux de raisonnement qui permettent à un processus de déduire de l’information à laquelle il n’a pas normalement accès ● Les canaux dits de “fabrication” qui créent de l’information fausse.
  • 33. 27 - Réseau de robots logiciels (botnet) : Réseau de robots logiciels (bots) installés sur énormément de machines. Ces robots se connectent sur des serveurs IRC (Internet Relay Chat) à partir desquels ils reçoivent des instructions de type : envoi de spam, vol d’informations, participation à des attaques de saturation… - Perturbation : L’agresseur va essayer de fausser le comportement du SI ou de l’empêcher de fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des erreurs. L’agresseur veut désorganiser, affaiblir ou ralentir le système cible. - Saturation : technique consistant à remplir une zone de stockage ou un canal de communication jusqu’à ce que l’on ne puisse plus l’utiliser. - Pourriel (spam) : courrier électronique indésirable transmis à une multitude de destinataires envoyés sans que l’émetteur ne soit au courant. Le spam contribue à la pollution voir à la saturation des boîtes aux lettres électroniques. - Canular (hoax) : rumeur propagée, souvent par courrier électronique, comme quoi un virus catastrophique circule sur la toile, virus imaginaire bien évidement. Ce n’est pas une réelle attaque mais cela contribue à la désinformation générale. - Hameçonnage ou filoutage (phishing) : Technique simple qui permet d’obtenir des informations confidentielles telles que les mots de passe en se faisant passer auprès des victimes pour quelqu’un digne de confiance. Par exemple, une banque qui demande des codes confidentiels... - Les virus : Un virus informatique est un logiciel malveillant conçu pour se propager à d’autres ordinateurs en s’insérant dans des programmes légitimes appelés « hôtes ». Il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. - Les vers : Un ver, contrairement à un virus informatique, n’a pas besoin d’un programme hôte pour se reproduire. Il exploite les différentes ressources de l’ordinateur qui l’héberge pour assurer sa reproduction et a habituellement un objectif malfaisant. - Les chevaux de Troie : logiciel d’apparence légitime, conçu pour exécuter des actions à l’insu de l’utilisateur. Cet arsenal d’attaques représente une partie des menaces potentielles pour un système. Un système doit donc nécessairement se prémunir contre ces différentes attaques.
  • 34. 28 CONCLUSION Les techniques de protection contre les attaques directes et celles sur Internet permettent de réaliser les bases de la sécurité : confidentialité, intégrité, authentification, disponibilité. Mais malgré toutes ces techniques utilisées pour empêcher toutes ces attaques, un système n’est jamais totalement sûr. Le cryptage a ses faiblesses : une clé de chiffrement pour chiffrer des données peut être cassée. Il est aussi important de maintenir son antivirus à jour pour pouvoir détecter les nouveaux, ainsi que les systèmes de détection d’intrusion pour qu’ils tiennent compte des nouveaux types d’attaque. Il faut aussi vérifier que le système est bien configuré avec des logiciels de détection d’erreurs de configuration telle que ceux dont nous avons cité ci-dessus, avant que des personnes malveillantes ne le fassent. C’est pourquoi nous avons un Chapitre 3 intitulé « Cas pratique de l’évaluation de la sécurité », pour une mise en évidence des qualités des systèmes d’exploitation que nous utilisons quotidiennement, ainsi que de leurs mécanismes de fonctionnement et failles qu’ils ont en commun ou individuellement.
  • 35. 29 CHAPITRE III : Cas pratique de l’évaluation de la sécurité
  • 36. 30 Introduction Le système d'exploitation (SE, en anglais Operating System ou OS) est un ensemble de programmes responsables de la liaison entre les ressources matérielles d'un ordinateur et les applications de l'utilisateur (traitement de texte, jeu vidéo, …). Il fournit aux programmes applicatifs des points d'entrée génériques pour les périphériques. Il existe plusieurs systèmes d’exploitation, mais dans le cadre de notre étude, il est mieux de travailler avec les systèmes d’exploitation les plus utilisés (Windows, Mac OS et Linux). I. Questions et utilités de l’étude Pourquoi les systèmes sont vulnérables ? La sécurité est chère et difficile à acquérir car la majorité des organisations n’ont pas un budget assez élevé pour effectuer un projet fixe. Les politiques et systèmes de sécurité informatique sont complexes, et comme étant basée sur des jugements humains, la sécurité informatique ne peut être sûre à 100% parfois même inefficace face aux différents problèmes vu la permanente émergence de la technologie. Cependant, il n’existe pas de d’infrastructure pour les clefs et autres éléments de cryptographie en plus du fait que certains états interdisent de la cryptographie dans certains cas spécifiques (Exportation, par exemple), ce qui empêche le cryptage systématique au niveau du système d’exploitation. Pourquoi un système ne peut être sûr à 100% ? Il est impossible de garantir la sécurité totale d’un système pour les raisons suivantes : - Les bugs dans les programmes courants et les systèmes d’exploitation sont nombreux. - La cryptographie a ses faiblesses : les mots de passe peuvent être cassés. - Même un système fiable peut être attaqué par des personnes abusant de leurs droits - Plus les mécanismes de sécurités sont stricts, moins ils sont efficaces - On peut s’attaquer aux systèmes de sécurité eux même Méthodes utilisées pour les attaques. - La négligence interne des utilisateurs vis-à-vis des droits et des autorisations d’accès. - Se faire passer pour un ingénieur pour obtenir des informations comme le mot de passe.
  • 37. 31 - Plusieurs mots de passe sont vulnérables à une attaque systématique. - Les clefs de cryptographie trop courtes peuvent être cassées. - L’attaquant se met à l’écoute sur le réseau et obtiens des informations capitales. - IP Spoofing : changer son adresse IP et se faire passer pour quelqu’un de confiance. - Injecter du code dans la cible comme des virus ou un cheval de Troie. - Exploitation des faiblesses du système d’exploitation, des protocoles ou des applications (Logiciels…) Outils des attaquants. - Programmes et scriptes de tests de vulnérabilité et d’erreurs de configuration - Injection de code afin d’obtenir l’accès à la machine de la victime (Cheval de Troie). - Echange de techniques d’attaques par forums et publications. - Utilisation massive de ressources pour détruire des clefs. - Les attaquants ou encore appelé « Hackers » utilisent des outils pour se rendre anonymes et invisible sur le réseau. Objectifs de la sécurité informatique. Le système d’information est généralement défini par l’ensemble des données et des ressources matérielles et logicielles de l’entreprise permettant de les stocker ou de les faire circuler. Le système d’information représente un patrimoine essentiel de l’entreprise, qu’il convient de protéger. La sécurité informatique, d’une manière générale, consiste à assurer que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu. Elle vise généralement cinq principaux objectifs que nous connaissons déjà (l’intégrité, la confidentialité, la disponibilité, la non répudiation et l’authentification) Nécessité d'une approche globale. La sécurité d’un système informatique fait souvent l’objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d’un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants : La sensibilisation des utilisateurs aux problèmes de sécurité
  • 38. 32  La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation.  La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc.  La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc. Pourquoi un firewall. De nos jours, toutes les entreprises possédant un réseau local possèdent aussi un accès à Internet, afin d'accéder à la manne d'information disponible sur le réseau des réseaux, et de pouvoir communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable... et dangereuse en même temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place ouverte aux étrangers pour essayer de pénétrer le réseau local de l'entreprise, et y accomplir des actions douteuses, parfois gratuites, de destruction, vol d'informations confidentielles, ... Les mobiles sont nombreux et dangereux. Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le cœur d'une telle architecture est basé sur un firewall. Cet outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela représente une sécurité supplémentaire rendant le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre l'accès interne vers l'extérieur. En effet, des employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, le meilleur exemple étant le jeu en ligne. Elle plaçant un firewall limitant ou interdisant l’accès à ces services, l’entreprise ou l’utilisateur personnel peut avoir un contrôle sur les activités se déroulant dans son enceinte. Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu et sans l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de donnée.
  • 39. 33 II. Le système d’exploitation Windows Le terme « Windows » qui signifie ‘’Fenêtres’’ en français, décrit collectivement chacune des générations de Microsoft des produits de système d'exploitation. Ces produits sont généralement catégorisés en plusieurs groupes ou plusieurs dérivées. Figure 5: Logos Windows évolution L'histoire de Windows date de septembre 1981, quand l'Évêque de Poursuite, un informaticien, a conçu le premier modèle d'un dispositif électronique et d'un projet "le Directeur d'Interface" a été commencé. Il a été annoncé en novembre 1983 avant le Macintosh sous le nom " Windows", mais la première version de Windows appelé « Windows 1.0 » n'a pas été sortie jusqu'à novembre 1985. Windows 1.0 devaient rivaliser avec le système d'exploitation d'Apple, mais a réalisé peu de popularité car il n’était pas un système d'exploitation complet; plutôt il étend MS-DOS. Le Shell de Windows 1.0 est un programme connu comme le cadre MS-DOS. Les composants ont inclus la Calculatrice, le Calendrier, le
  • 40. 34 Fichier, le téléspectateur de Presse-papiers, l'Horloge, le Panneau de configuration, le Bloc- notes, la Peinture, Reversi, le Terminal et Écrire. Windows 1.0 ne permettent pas de chevaucher des fenêtres. Au lieu de cela toutes les fenêtres sont carrelées. Seulement des boîtes de dialogue modales peuvent apparaître sur d'autres fenêtres. La version majeure suivante de Windows, Windows XP, a été sortie le 25 octobre 2001. L'introduction de Windows XP a eu pour but d'unifier les Windows consuméristes 9x la série avec l'architecture présentée par le Windows NT, un changement que Microsoft promis fournirait à la meilleure performance sur ses prédécesseurs DOS-based. Windows XP présenterait aussi une interface utilisateur reconçue (incluant un Menu Démarrer mis à jour et un Explorateur de Windows "axé sur tâche"), a rationalisé le multimédia et mettant en réseau des fonctions, Internet Explorer 6, l'intégration avec les services de Passeport .NET. Le support Courant pour Windows XP a fini le 14 avril 2009. Support Prolongé est fini depuis le 8 avril 2014. Le 22 juillet 2009, Windows 7 et le Windows Server 2008 R2 a été sorti comme RTM (la sortie à la fabrication) tandis que l'ancien a été sorti au public 3 mois plus tard le 22 octobre 2009. Contrairement à son prédécesseur, Windows vista, qu'a présenté un grand nombre de nouvelles fonctions, Windows 7 a été destiné pour être une mise à jour plus concentrée, progressive à la ligne de Windows, avec le but d'être compatible avec des applications et le matériel avec lequel Windows Vista était déjà compatible. Windows 7 a le support de multi- contact, le programme Shell de Windows reconçue avec une barre de tâche mise à jour, un système domestique de réseau appelé HomeGroup, et des améliorations de performance. Windows 8, le successeur de Windows 7, ont été sorties généralement le 28 octobre 2012. Un certain nombre de changements significatifs ont été faits sur des Windows 8, y compris l'introduction d'une interface utilisateur basée autour de la langue de conception de Métro de Microsoft avec des optimisations pour des dispositifs à base de contact comme des comprimés et des PC tout-en-un.
  • 41. 35 Chronologie de Windows : Histogramme Figure 6 : L'arbre généalogique des systèmes d’exploitation de chez Windows
  • 42. 36 1. Concept et mécanisme de sécurité Les versions grand public de Windows ont été à l'origine conçues pour la facilité d'utilisation sur un PC à utilisateur unique sans un rapport de réseau et n'ont pas fait encastrer de fonctions de sécurité depuis le début. Cependant, le Windows NT et ses successeurs sont conçus pour la sécurité (incluant sur un réseau) et des PC multipostes, mais n'ont pas été initialement conçus avec la sécurité Internet en mémoire. Depuis, quand il a été d'abord développé au début des années 1990, l'utilisation de l’internet était moins répandue. Ces questions de design combinées avec la programmation d'erreurs (par exemple l'amortisseur déborde) et la popularité de Windows, signifie que c'est une cible fréquente de ver informatique et des auteurs viraux. En juin 2005, le Couvre-pieds de Bruce Schneier Internet Security a rapporté qu'il avait vu plus de 1,000 nouveaux virus et des vers dans les six mois précédents. En 2005, Kaspersky Laboratoire a trouvé autour de 11,000 virus de programmes malveillants, Troyens, portes de derrière et exploits écrits pour Windows. Microsoft sort des patches de sécurité par son service de Mise à jour de Windows approximativement une fois par mois (d'habitude le deuxième mardi du mois), bien que des mises à jour critiques soient rendues disponible aux intervalles plus courts quand nécessaire. Dans les versions de Windows après et incluant Windows 2000 SP3 et Windows XP, les mises à jour peuvent être automatiquement téléchargées et installées si l'utilisateur choisit pour faire ainsi. En conséquence, le Service Pack 2 pour Windows XP, aussi bien que le Service Pack 1 pour le Windows Server 2003, a été installé par des utilisateurs plus rapidement que cela pourrait autrement avoir été. Tandis que les Windows 9x la série a offert l'option d'avoir des profils pour des utilisateurs multiples, ils n'avaient aucun concept de privilèges d'accès et n'ont pas permis l'accès simultané; et n'étaient pas si de vrais systèmes multipostes d'exploitation. De plus, ils ont mis en œuvre seulement la protection de mémoire partielle. Ils ont été en conséquence largement critiqués en l'absence de la sécurité. Quoique Windows XP ait vraiment des comptes limités, la majorité d'utilisateurs domestiques n'a pas changé à une nature de compte avec moins de droits, partiellement en raison du nombre des programmes qui ont inutilement exigé des droits d'administrateur. Et donc les utilisateurs les plus domestiques ont fonctionné comme l'administrateur tout le temps. Windows Vista se change en présentant un système d'élévation de privilège appelé le Contrôle de Compte d'utilisateur. En connectant comme un utilisateur standard, une session de connexion est créé et un signe contenant seulement les privilèges les plus de base sont
  • 43. 37 assignés. De cette façon, la nouvelle session de connexion est incapable de faire les changements qui affecteraient le système entier. En connectant comme un utilisateur dans le groupe d'Administrateurs, deux signes séparés sont assignés. Le premier signe contient tous les privilèges typiquement attribués à un administrateur et le deuxième est un signe limité semblable à ce qu'un utilisateur standard recevrait. Les applications d'utilisateur, y compris les Windows Shell, sont alors commencées par le signe limité, aboutissant à un environnement de privilège réduit même sous un compte d'Administrateur. Quand une application demande des privilèges plus hauts ou "Exécuté comme l'administrateur" est cliqué, UAC incitera pour la confirmation et, si on donne le consentement (incluant des références d'administrateur si le compte demandant l'élévation est membre pas du groupe d'administrateurs), le début le processus utilisant le signe sans restriction. a. Permissions de fichier Toutes les versions suivant du Windows NT 3 ont été basées sur un système de permission de système de fichiers mentionné comme AGLP, Globaux(Mondiaux), Locaux, des Permissions) AGDLP qu'en substance où les permissions de fichier(dossier) sont appliquées aux fichiers/dossiers en forme de un groupe local qui a alors d'autre les groupes mondiaux comme membres. Ces groupes mondiaux tiennent alors d'autres groupes ou des utilisateurs selon des versions de Windows différentes utilisées. Ce système varie d'autres produits de vendeur comme Linux et le Netware en raison de l'attribution statique de permission étant un répertoire appliqué aux fichiers ou aux dossiers. Cependant l'utilisation de ce processus d'AGLP/AGDLP/AGUDLP permet à un petit nombre de permissions statiques d'être appliqués et tient compte de changements faciles aux groupes locaux sans s'adresser de nouveau les permissions de fichier sur les fichiers et les dossiers.
  • 44. 38 b. Windows Defender Le 6 janvier 2005, Microsoft a sorti une Version bêta d’Antispyware de Microsoft, basé sur le Giant Antispyware précédemment sorti. Le 14 février 2006, l’Antispyware de Microsoft est devenu Windows Defender avec la sortie de 2 Bêta. Windows Defender est un programme de logiciel public conçu pour protéger contre les logiciels espions et d'autres logiciels indésirables. Windows XP et Windows Server 2003, utilisateurs qui ont les copies véritables de Microsoft Windows peuvent librement télécharger le programme du site Web de Microsoft et Windows Defender expédie dans le cadre de Windows Vista et Windows 7. Dans Windows 8, Windows Defender et Microsoft Security Essentials ont été combinés dans un simple programme, nommé Windows Defender. Il est basé sur Microsoft Security Essentials, empruntant ses fonctions et interface utilisateur. Bien que l'on le permette par défaut, il peut être éteint pour utiliser une autre solution antivirale. Windows Malicious Software Removal Tool (Les fenêtres l'Outil de Déplacement Logiciel Malveillant) et Microsoft Safety Scanner (le Scanner de Sécurité facultatif de Microsoft) sont deux autres produits de sécurité gratuits offerts par Microsoft. Figure 7: Aperçu de Windows Defender
  • 45. 39 c. Analyse tierce Dans un article basé sur un rapport par Symantec, internetnews.com a décrit Microsoft Windows comme une entreprise ayant "le moins de nombre de patches et de temps de développement de patch moyen, le plus court des cinq systèmes d'exploitation qu'il a contrôlés dans les six derniers mois de 2006." Une étude conduite par Kevin Mitnick et la société de communications marketing Avantgarde en 2004 ont trouvés qu'un système de Windows XP non protégé et non corrigé avec le Service Pack 1 a duré seulement 4 minutes sur Internet avant qu'il ne soit compromis et un Windows Server 2003 non protégé et aussi non corrigé a été compromis après sa connexion à Internet pendant 8 heures. Cette étude ne s'applique pas aux systèmes de Windows XP exécutant le Service Pack 2 mise à jour (sorti à la fin de 2004), qui a énormément amélioré la sécurité de Windows XP. Un ordinateur qui exécutait le Service Pack 2 de Windows XP n'a pas été compromis. AOL l'Alliance de Sécurité Cyber nationale d'Étude En ligne de Sécurité d'octobre 2004 a décidé que 80 % d'utilisateurs de Windows ont été infectés par au moins un spyware. Plusieurs documentations montrent comment augmenter la sécurité des produits de Microsoft. Des suggestions typiques incluent Microsoft de déploiement derrière un matériel ou un pare-feu logiciel, d'antivirus solide et de logiciel d'Antispywares et des patches d'installation facilement disponibles par la Mise à jour de Windows.
  • 46. 40 2. Forces et faiblesses de Windows a. Les forces de Windows Windows nous offre de nombreux styles d’évolution au fil des années et c’est ce qui rend la marque Microsoft prestigieuse. Tout dernièrement, il nous présente un nouveau style de système qui est qualifié de multiplateforme avec le Windows 8. Microsoft offre donc un écosystème bien intégré, tout particulièrement entre les ordinateurs, les téléphones portables et les tablettes électroniques. Pour une application Windows 8 achetée sur votre tablette fonctionne également sur votre ordinateur. Par ailleurs, tous les appareils qui utilisent un système d’exploitation de Microsoft (ordinateurs, tablettes, téléphones Windows Phone 8, Xbox) présentent une interface unifiée. Si l’intégration avec les téléphones Windows Phone 8 demande encore à être peaufinée, celle entre les ordinateurs et les tablettes est franchement réussie. Elle s’avère même supérieure à celles d’Apple et de Google. Par exemple, les interfaces d’un ordinateur et d’une tablette Windows sont exactement les mêmes. Nous pouvons aussi noté que Windows, dans son élan contre ces concurrents, a établi une nouvelle sécurité sur les machines délivrées avec le Windows 8 consistant à empêcher l'installation de système d’exploitation alternatif tout en réduisant la durée de validité d’un logiciel de dernière génération qui a été cracker sur la machine. b. Les faiblesses de Windows Comme nous le savons, la science de l’informatique étant toujours en évolution, il y a toujours des faiblesses et des failles à dénoncer. Et l’une des plus grandes faiblesses de Windows est d’être le système d’exploitation le plus mis à l’épreuve du monde. Ainsi, pour chacun de ses systèmes d’exploitation, ils y a des failles qui sont découvertes et révélées au publique, et cela malgré c’est nombreuses mises à jours presque mensuelles et le travail acharné de ses chercheur pour rendre le niveau de sécurité très élevé avec des logiciels infranchissables. Ces facteurs rendent ainsi l’image de Windows incertaines sur le plan sécurité bien qu’il apporte toujours des innovations graphiques, matériels et logiciels avec de courts intervalles de temps.
  • 47. 41 III. Le système d’exploitation Mac OS Mac OS (pour Macintosh Operating System) est le nom du système d'exploitation d'Apple pour ses ordinateurs Macintosh. Il est surtout connu pour être un des premiers systèmes grand public ayant une interface graphique, inspiré de Xerox Alto, et basée sur les fenêtres, icônes, menus et souris (modèle WIMP). Le Mac OS est une série d'utilisateur graphique des systèmes à base d'interface d'exploitation développés par Apple Inc. pour leur ligne de Macintosh de systèmes informatiques. La version originale était le logiciel de système intégral et anonyme d'abord présenté en 1984 avec l'original le Macintosh et a mentionné simplement comme le logiciel "System". Le logiciel du système de Macintosh a gagné un nom officiel en 1996, quand Apple marque la version 7.6 comme le Mac OS dans le cadre de leur Macintosh multiplie le programme. Le Macintosh, spécifiquement son logiciel de système, est crédité avec la popularisation du concept d'interface utilisateur graphique. Le Macintosh Operating System a été sorti dans deux séries majeures. Jusqu'à la révision majeure 9, de 1984 à 2000, on le connaît historiquement comme le Mac Classique OS. La révision majeure 10, de 2001 pour présenter, est le Mac de marque OS X (maintenant seulement mentionnée comme OS X). Des révisions majeures du Macintosh OS sont maintenant publiées comme les révisions de pointe, c'est-à-dire 10.2 considérablement diffèrent du 10.5. Tant la série partage un design d'interface général, que quelques cadres partagés d'application pour la compatibilité, mais a aussi des architectures profondément différentes. Figure 8: Logos Mac OS évolution
  • 48. 42 1. Concept et mécanisme de sécurité Le concept original d'Apple pour le Macintosh de délibérément cherché à minimiser la conscience conceptuelle de l'utilisateur du système d'exploitation. Les tâches qui ont exigé la connaissance de système plus d'exploitation sur d'autres systèmes seraient accomplies par des gestes de souris et des contrôles graphiques sur un Macintosh. Ceci le différencierait de systèmes alors actuels, comme le MS-DOS, qui a utilisé une interface de ligne de commande consistant de commandes textuelles laconiquement abrégées. Le cœur du logiciel de système a été tenu dans ROM, avec des mises à jour à l'origine fournies sur la disquette ou le CD, librement copiable aux négociants de d'Apple. La participation de l'utilisateur dans une mise à jour du système d'exploitation a été aussi minimisée à la direction d'un installateur, ou le remplacement de fichiers de système utilisant le gestionnaire de fichiers. Cette simplicité a signifié que les libérations anticipées ont manqué de n'importe quels contrôles d'accès, en réalité donnant ses privilèges de racine d'utilisateur simples à tout moment. Contrairement à ses prédécesseurs, Mac OS X fait partie de la famille des systèmes d'exploitation UNIX, fondé sur les technologies développées par NeXT depuis le milieu des années 1980 jusqu'au rachat de la société par Apple en 1997. Ce qui met Mac OS X à l'abri des menaces Windows pour une simple et bonne raison d'architecture. Mac OS est actuellement à l'abri d'attaque à grande échelle, mais peut être victime de trojans ou de sites illégitimes qui tirent profit de la naïveté des utilisateurs (la fameuse « interface chaise clavier »). Le système propose également plusieurs défenses contre les codes malveillants. La première est l'exécution d'applications dans un bac à sable (sandboxing), ce qui permet de limiter leur accès à certaines données. Snow Leopard utilise cette technique pour la plupart des processus ayant recours à l'accès réseau, ainsi qu'à certaines applications ou codecs susceptibles de communiquer avec des fichiers aux sources potentiellement dangereuses. C'est notamment le cas de QuickLook, la visionneuse rapide de fichiers, et notamment de PDF, ou du codec H264 utilisé par QuickTime.
  • 49. 43 Figure 9: Aperçu de la procédure de défense du Mac OS 2. Forces et faiblesses de Mac OS a. Les Forces de Mac OS - Sa capacité d’innovation arrive en première position, puisque c’est le principal levier d’Apple depuis ces dernières années. Son succès démesuré est en grande partie dû à sa capacité de constamment innover, de constamment développer de nouveau besoins pour le consommateur. Chaque mise à jour du produit est le fruit de puissants investissements en Recherche & Développement. - La seconde force que l’on peut développer est sans nul doute la très forte image du système Mac OS. En effet, la « culture Apple » atteint des sommets depuis ces dernières années, donnant l’image d’une marque en constante évolution avec son temps de par sa communication sans précédent dans le monde du multimédia.
  • 50. 44 b. Les Faiblesses de Mac OS - Le prix requis pour l’utilisation d’un des Mac OS est élevés et cela forment une faiblesse récurrente chez Apple qui profite de marges très fortes et explique ses prix par la qualité de ses produits, le constant renouvellement de ses gammes et de ses logiciels, - L’écosystème du système d’exploitation Mac Os est limité, laissant peu de place à la « customisation » de ses paramètres. On ne peut l’installer que sur les ordinateurs de chez Apple, pas sur d’autre a moins d’être installé sur une machine virtuelle. IV. Le système d’exploitation Linux Linux est le nom couramment donné à tout système d'exploitation libre fonctionnant avec le noyau Linux. C'est une implémentation libre du système UNIX respectant les spécifications POSIX. Ce système est né de la rencontre entre le mouvement du logiciel libre et le modèle de développement collaboratif et décentralisé via Internet. Son nom vient du créateur du noyau Linux, Linus Torvalds. Les systèmes basés sur Linux sont majoritaires pour les super-ordinateurs et les smartphones. Sur les serveurs informatiques, le marché est partagé avec les autres Unix et Windows. Il est largement utilisé comme système embarqué dans les appareils électroniques : télévision, modem, GPS, etc. Il reste en revanche utilisé par 1 % des ordinateurs personnels de bureau, sa plate-forme d'origine. D'un point de vue purement technique, Linux est simplement une variante d'Unix. Ce qui fait qu'il est unique est lié à des considérations non techniques. Figure 10 : Logo de Linux
  • 51. 45 Un logiciel libre n’est pas nécessairement gratuit, et inversement un logiciel gratuit n’est pas forcément libre. Ce ne sont pas non plus des logiciels libres de droits : c’est en vertu de leurs droits d’auteurs que les contributeurs d’un logiciel libre accordent les quatre libertés, qui sont d’utiliser le logiciel sans restriction, d’étudier le logiciel, de le modifier pour l’adapter à ses besoins et de le redistribuer sous certaines conditions précises, leur non-respect pouvant conduire à des condamnations. Certaines licences sont fondées sur le principe du copyleft, c’est-à-dire sur le principe de réciprocité : une œuvre dérivée d’un logiciel sous copyleft doit à son tour être libre. C’est le cas de la licence libre la plus utilisée, notamment par le noyau Linux lui-même. 1. Concept et mécanisme de sécurité Le concept de Linux permet d'avoir un composant unique réalisant une action, utilisable en ligne de commande et donc scriptable, et une ou plusieurs interfaces graphiques pour ce composant. De plus, le modèle Linux permet de séparer clairement l'interface graphique du traitement qu'elle permet de réaliser. La stabilité en est d'autant plus accrue. Bon nombre d'applications pour XWindow sont libres, ou utilisables librement à des fins non commerciales (dans ce cas, on a le droit de les utiliser tant que ce n'est pas pour réaliser un travail qu'on revendra). On peut donc considérer qu'il est actuellement possible, avec Linux, d'avoir un environnement logiciel complet, fiable et performant pour un prix de revient minime. Un système Linux est structuré de la manière suivante :  le noyau Linux ;  les programmes en ligne de commande et le shell ;  le serveur XWindow ;  le gestionnaire de fenêtres et le gestionnaire de bureau ;  les applications XWindow. La figure suivante vous présente comment ces différentes couches logicielles s'agencent les unes par rapport aux autres.
  • 52. 46 Figure 11: Architecture des systèmes Linux Cette architecture est, comme on peut le voir, très avantageuse :  les systèmes Unix, donc Linux, sont très structurés, donc plus simples à utiliser, à configurer, à maintenir et à développer ;  ils sont très stables, car les composants de haut niveau n'interfèrent pas sur les composants de bas niveau ;  ils sont faciles à personnaliser, puisque l'utilisateur a le choix des outils à chaque niveau ;  Linux a de plus la particularité d'être parfaitement modifiable, puisque si l'on sait programmer, on peut personnaliser les composants du système ou en rajouter à tous les niveaux ;  et il n'est pas propriétaire, c'est-à-dire que l'on n'est pas dépendant d'un éditeur de logiciel pour résoudre un problème donné. À l'heure où la sécurité devient un enjeu majeur en raison de l'importance des menaces virales et autres attaques contre les systèmes informatiques et leurs utilisateurs, les systèmes Unix tels que Linux, bien que de conception très ancienne, apparaissent comme avant-gardistes et parfaitement en phase avec le marché. La sécurité est à présent considérée comme une fonctionnalité essentielle du système d'exploitation, et devient de plus en plus incontournable. Les systèmes Linux, depuis leurs origines, ont toujours pris en compte les problèmes de sécurité. En particulier, les développeurs d'application Unix ont toujours fait attention à ce que leurs logiciels se comportent relativement bien en termes de sécurité. En pratique, bien que la sécurité des programmes soit loin d'être parfaite, surtout pour les plus anciens, des principes de base ont toujours été respectés, ce qui fait que les applications Unix ne font pas, en règle générale, n'importe quoi avec le système.
  • 53. 47 Ainsi, il est beaucoup plus faciles de faire fonctionner une application Unix dans un contexte de sécurité restreint qu'une application Windows, car les développeurs de ces dernières ont longtemps été habitués à une très grande liberté et ont donc réalisé des applications qui ne peuvent pas être utilisées si elles n'ont pas les pleins pouvoirs. Les applications Unix qui se comportent mal sont donc très rares, ce qui fait que les systèmes Linux peuvent faire peu de cas d'elles et n'ont pas à maintenir une compatibilité ascendante avec elles. Les systèmes Linux ont donc un modèle de sécurité beaucoup plus simple et strict, et n'ont pas à s'embarasser avec des techniques complexes et des circonvolutions insensées telles que la virtualisation de l'ensemble du système pour les applications afin d'assurer un semblant de sécurité tout en permettant la compatibilité ascendante. Par ailleurs, la sécurité permet de protéger non seulement le système, mais aussi l'utilisateur de ses propres erreurs. En effet, le système est capable de se protéger contre les fausses manipulations de l'utilisateur. Cela peut être extrêmement utile avec les débutants, puisqu'ils peuvent expérimenter à loisir tout en étant sûrs qu'ils ne feront pas de bêtise irrémédiable. Ainsi, ils seront plus sereins et n'auront pas « peur de faire une bêtise ». Mais cela est très utile même pour les utilisateurs chevronnés, car tout le monde peut effectivement faire une erreur. La sécurité permet également de protéger les données de chaque utilisateur vis à vis des autres. En effet, par défaut, les données d'un utilisateur ne peuvent pas être modifiées par un autre utilisateur. Vous n'aurez donc aucune crainte qu’un individu puisse effacer ou détruire par mégarde votre correspondance professionnelle ou l'ensemble de vos données. Enfin, ayant été prise en compte dès le départ, la sécurité sait se rendre très discrète sur les systèmes Linux, et bien que parfaitement fonctionnelle, elle n'ennuie pas l'utilisateur et reste facilement configurable. Ces deux aspects sont fondamentaux, car du coup, l'utilisateur n'a pas la tentation - ni le besoin - de tout désactiver pour faire fonctionner ses applications. En résumé, la sécurité sous Linux, c'est :  une fonctionnalité à part entière, qui est parfaitement intégrée dans le système ;  un moyen de se protéger contre ses propres erreurs ainsi que celles des autres utilisateurs ;  une facilité d'utilisation et une transparence qui la rendent utilisable en pratique sans perturber le travail de l'utilisateur.
  • 54. 48 2. Forces et faiblesses a. Les Forces de Linux Le système d’exploitation Linux a de nombreuses particularités, qui constituent une force majeure pour lui. Pour commencer à énumérer ces forces, nous pouvons énoncer l’ouverture du code source, l’un des quatre critères correspondant à la notion de logiciel libre, comme la correction rapide des bugs, et notamment la correction des failles de sécurité. C’est le refus du principe de sécurité par l’obscurité. Linux est souvent promu par son aspect « gratuit », bien que dans la pratique, aucune organisation n'installe le logiciel sans assistance technique. Que cette assistance soit assurée par des constructeurs réputés ou par le premier détaillant venu, il est très probable que Linux sera utilisé par beaucoup d'entreprises avec ce type garantie. Il faut préciser, Linux ne sera jamais une solution totalement gratuite. Cependant, pour peu qu'une organisation prenne en compte le coût des licences, particulièrement dans le cas d'utilisateurs et d'ordinateurs multiples, elle pourrait être agréablement surprise en découvrant que Linux dégage malgré tout une économie substantielle. Autre avantage souvent avancé pour Linux est que les utilisateurs peuvent facilement modifier le logiciel pour qu'il satisfasse à leurs exigences. Il y a deux raisons à cela. La première est que si la grande majorité des logiciels commerciaux sont uniquement distribués sous forme binaire, le code source de Linux est lui disponible, ce qui rend matériellement possible toute modification et recompilation. La seconde est que la Licence Générale Publique GNU permet expressément à n'importe qui de modifier et de redistribuer le logiciel de façon tout à fait légale. On prétexte souvent que la raison pour laquelle Linux plante rarement tient au fait que l'on exige de lui beaucoup moins que ce que l'on exige d'autres systèmes d'exploitation b. Les Faiblesses de Linux Linux n'est certainement pas un système d'exploitation parfait, et tout le monde a pu entendre parler des faiblesses qui lui ont été un jour ou l'autre reprochées. Etant donné que personne ne choisit les systèmes d'exploitation pour leur intérêt intrinsèque. Ce sont les applications qu'ils permettent d'utiliser qui retiennent l'intérêt, mais Linux n’offre pas autant de choix d’application par rapport à ses concurrents. Linux est un système d'exploitation relativement
  • 55. 49 nouveau développé en grande partie par des programmeurs volontaires. Ces développeurs n'ont qu'un accès limité aux matériels évolués, donc onéreux (bien que beaucoup de constructeurs les mettent maintenant fréquemment à leur disposition). Ainsi Linux n'a pas à son actif aujourd'hui assez d’heure de programmation sur le matériel dernier cri. En conséquence, il se positionne comme un système d'exploitation destiné à des gammes moyennes ou basses, des catégories où ses performances sont très bonnes. Beaucoup d'utilisateurs s'inquiètent de la pérennité de Linux. Ils craignent qu'en cas d'inflation des masses à traiter, ils soient contraints de changer leur matériel et par là même d'abandonner Linux. De plus lorsqu'une entreprise choisit un logiciel, elle doit être certaine que quelqu'un peut être tenu pour responsable en cas de problème, et qui, dans le pire des cas, peut être poursuivi pour une éventuelle perte liée à l'utilisation du logiciel. Linux, comme tout autre logiciel libre, ne fournit absolument aucune garantie de ce type. Vous ne pouvez pas poursuivre Linus Torvalds, ni Red Hat, ni Compaq si votre serveur Linux en production a d'une façon ou d'une autre perdu toute raison et a du même coup détruit vos précieuses données. A notre liste de faiblesses, nous pouvons aussi ajouter que Linux se développe sur le media anarchique qu'est l'Internet, et il n'existe aucune entreprise solide qui puisse fournir les futurs axes de développement des années à venir ce qui atteint l’image de la marque du système d’exploitation. CONCLUSION Ce chapitre avait pour objet de montrer comment certains des mécanismes proposés par les différents systèmes d’exploitation utilisés par les entreprises et les utilisateurs personnels possédaient des faiblesses intrinsèques en termes de sécurité. Ces faiblesses ne se situent pas dans l’implémentation des composants en tant que tels, mais dans leur spécifications. Il est donc potentiellement possible pour un éventuel attaquant en éffectuant des opérations atomiques légitimes, documentées et conformes aux spécifications de réaliser une action contraire aux spécifications ou plus généralement non conformes au comportement attendu des composants. Ceci est particulièrement inquiétant dans la mesure où les systèmes d’exploitation reposent sur les spécifications des composants matériels pour élaborer et faire respecter leur politique de sécurité. Aussi, la capacité d’un système d’exploitation à cloisonner l’espace utilisateur de l’espace noyau ne reste vraie que dès lors que le modèle de cloisonnement mémoire proposé par le processeur qui repose sur les mécanismes propres aux modes protégés.
  • 56. 50 CHAPITRE IV : Enquête de sécurité informatique
  • 57. 51 Introduction Pour obtenir des réponses, rien n’est plus naturel que de poser des questions. L’enquête par questionnaires est, à ce titre, un moyen pratique pour collecter rapidement des informations et un outil efficace d’aide à la décision. Même s’il n’y a pas de recette miracle pour réaliser une bonne enquête et obtenir à tous les coups des résultats pertinents, il existe des règles incontournables à respecter à chaque étape. Les 10 commandements pour une enquête de qualité : - Etablir par écrit des objectifs clairs, précis et opérationnels à l’enquête puis les faire valider par les personnes concernées, - Identifier précisément la cible de l’enquête (population-mère) et choisir un échantillon représentatif, - Choisir un nombre restreint de quotas et avoir recours à des quotas simples plutôt qu’à des quotas croisés, - Concentrer les questions posées sur le seul objectif de l’enquête et ne pas ajouter des questions inutiles, même si elles sont intéressantes par ailleurs, - Organiser le questionnaire en parties claires en partant du général au particulier et des questions neutres aux questions engageantes, - Ne pas multiplier les questions ouvertes qui apportent beaucoup moins d’informations que des questions fermées bien posées, - Utiliser un langage clair, simple et compréhensible par tous, - Soigner la présentation du questionnaire et indiquer clairement les consignes et les informations nécessaires aux enquêteurs et/ou répondants - Insister auprès de tous les intervenants en général et des enquêteurs et du personnel de saisie en particulier sur la nécessité d’une grande rigueur, - Etre prudent dans l’interprétation et la restitution des résultats en étant bien conscient des marges d’erreur.
  • 58. 52 I. Le questionnaire 1. Définition Les questionnaires sont un des outils de recherche pour les sciences humaines et sociales, en particulier la psychologie, la sociologie, le marketing, l’informatique et la géographie. C’est précisément la raison pour laquelle nous l’avons utilisée pour notre projet de fin d’étude. Les étapes de confections des questionnaires sont divisées en sept parties. En premier lieu, nous avons la détermination du problème à l’étude et du sujet traité. En second, la construction de la banque d'item. Troisièmement, la construction de l'échelle de réponse du questionnaire. Quatrièmement, l’évaluation du bassin initial d'items. En cinquième position, nous avons l’étape de l’élaboration du mode de présentation du questionnaire. Sixièmement, il y a la création d'un échantillon pour tester la version pilote de l'instrument. Et en septième position, on compte l’étape de l’analyse d'item. Après l’étape de confection du questionnaire, nous avons une partie essentielle qui est la traduction du questionnaire qui consiste à déterminer la clarté des consignes et des items traduits, classé les informations recueillit par groupe ou par ensemble de réponses. 2. Présentation du questionnaire Les questionnaires sont des outils d'évaluation proches des tests. Alors que ces derniers visent à mettre en évidence des aptitudes, les questionnaires s'étendent à une utilisation plus générale qui comprend notamment l'évaluation des attitudes et des habitudes quotidiennes d’un ou plusieurs individus. Dans le cadre de notre projet de fin d’étude nous avons utilisé GOOGLE DRIVE pour la confection de notre questionnaire. Voir l’annexe… (Figure 17)