Discussion :

[Jean-Philippe Dubé]

Suite à tout ce qu'on a dit, nouveau plan:
---------------------------------------------------
Présentation de la FAQ
Equipe
Introduction
- Quels sont les divers volets de la sécurité? <-- Graf
- Pourquoi la sécurité est-elle importante? <-- Graf
Partie 1 - La planification de la fonction sécurité
- Quel est le positionnement de la fonction sécurité?
- Comment planifie-t-on la sécurité?
Partie 2 - Le developpement et le changement des applications
- Comment ecrire des programmes sécurisés?
- Qu'est-ce que le principe "fail-safe"?
- Quelles sont les differentes attaques possibles?
- Qu'est-ce que le Le stack overflow?
- Qu'est-ce que le Le heap overflow?
- Qu'est-ce qu'une SQL Injection?
- Qu'est-ce que le Cross-site scripting?
References à utiliser: "Ecrire du code sécurisé" de MS, "Smashing the stack for fun and profit" pour
les buffer overflow, et le Wikipedia anglais bien evidemment.
- Qu'est-ce que le suivi de changement des versions? <-- Graf


Partie 3 - Le controle des accès
--> De loin la plus grosse partie je pense, j'ai pas encore l'idée

Partie 4 - La sécurité des operations IT
- Sauvegardes
- Planification des tâches
- Gestion des incidents
Partie 5 - La reprise d'activité
- Qu'est-ce qu'un PRA (Plan de Reprise d'Activité)? <-- Graf
- ...
----------------------------

Maintenant, il faut que d'autres personnes soient motivées...
Par exemple, la partie 2 concernant les developpement sécurisés (autres que le suivi des versions) peut être écrite entièrement ou presque avec le bouquin de MS et le Wiki, il faut juste en avoir le temps et l'envie. Je peux faire une relecture finale des partie pas trop techniques (i.e. ne faisant pas appel à un langage en particulier), mais c'est tout...
Les parties 1 et 5, je m'en charge par contre.

A priori aucune objection n'a été émise contre cette organisation. Si c'était le cas on verra ça dans un autre topic, les infos sont données ici à titre indicatif.

Postez vos Q/R à la suite...

Pour vous aider à trouver des bonnes idées :

http://www.w3.org/Security/Faq/
http://guides.ovh.net/contenu.html#20
http://www.orafaq.com/faqdbase.htm
http://www.sqlsecurity.com/
http://www.dslreports.com/faq/security
http://users.swing.be/michel.hoffmann/faq.htm

[gangsoleil]

Qu'est-ce que la RAID ?

[Q/R Intégrée dans la FAQ]


Le RAID, acronyme de Redundant array of inexpensive disks, est une technologie utilisée au niveau des disques durs.
En fonction du RAID utilisé, on peut souhaiter privilégier la lecture, l'écriture, ou bien la sauvegarde des données.

Le fait d'avoir des disques en RAID ne dispense pas de faire des sauvegardes, les crashs disques étant plus fréquents qu'on ne le pense. Par ailleurs, un système RAID met en oeuvre plus de disques (minimum 2, pas de maximum), rendant ainsi la probabilité de crash d'un ou plusieurs disques plus élevée pour une machine donnée.

Source : Wikipedia

RAID 0 (stripping) :
Accélère le temps d'écriture des données.
Niveau de sécurité : 0.

Chaque octet est découpé en autant de fragment qu'il existe de disques.

Par exemple, si on souhaite écrire 10110011 sur du RAID 0 en utilisant 4 disques, on aura
10 sur le disque 0
11 sur le disque 1
00 sur le disque 2
11 sur le disque 3


RAID 1 (mirroring) :
Ralentissement de l'écriture.
Niveau de sécurité : élevé

En RAID 1, la totalité des informations sont dupliquées sur chaque disque. Le temps d'écriture est donc un peu augmenté, mais la fiabilité est fortement augmenté, puisque sur N disques, il en suffit d'un seul pour récupérer l'intégralité des données.
En revanche, c'est solution très gourmande en disques durs.

RAID 2 (Obsolète) :
Performances assez décevantes
Niveau de sécurité assez élevé

Le RAID 2 se base sur le RAID 0, amis consiste à stocker une information supplémentaire basée sur le code de Hamming des données.
Cette technologie est obsolète depuis que le code de Hamming est directement intégré dans les disques durs depuis maintenant quelques temps.

RAID 3 :
Niveau de sécurité relativement élevé.

Encore une fois, ce RAID est basé sur le RAID 0.
La différence principale réside dans le fait que l'un des disques va être réservé à écrire le bit de parité

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
    disque 0  | disque 1 | disque 2 | disque 3
octets    1       |    2     |       3  |  parité 1+2+3
octets    4       |    5     |       6  |  parité 4+5+6
octets    7       |    8     |       9  |  parité 7+8+9

Le gros point faible de cette technologioe est que le disque contenant les bits de parité est sollicité de manière presque continue, et doit donc être d'extrèmement bonne qulité, sous réserve de crash fréquent (vous remarquerez que si ce disque crash, on retrouve un RAID 0 classique).

RAID 4 :
Identique au RAID 3, sauf qu'il travaille par bloc de données et non plus par octets. Il souffre du même problème que le RAID 3, à savoir une trop grande sollicitation du disque de parité.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
    disque 0  | disque 1 | disque 2 | disque 3
blocs     1       |    2     |       3  |  parité 1+2+3
blocs    4       |    5     |       6  |  parité 4+5+6
blocs    7       |    8     |       9  |  parité 7+8+9

RAID 5 :
Niveau de sécurité : élevé
Il s'agit d'une technologie utilisant à la fois le stripping et l'utilisation d'un bit de parité sur les blocs, et se rapproche donc beaucoup du RAID 4.

La principale différence est que le bit de parité n'est pas toujours écrit sur le même disque :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
      |   disque 0     |     disque 1     |     disque 2     |     disque 3
-----------------------------------------------------------------------------
blocs |       1        |         2        |         3        |  parité 1+2+3
blocs |  parité 4+5+6  |         4        |         5        |         6
blocs |       7        |    parité 7+8+9  |         8        |         9
blocs |       10       |        11        | parité 10+11+12  |        12

Le RAID 5 permet d'avoir des performances très proches du RAID 0, tout en ayant un niveau de sécurité très amélioré.

RAID 6 :
Niveau de sécurité : très élevé

Même système que le RAID 5, mais en utilisant 2 calculs de parité, permettant ainsi de perdre 2 disques au lieu d'un seul dans le cas du RAID 5.
Ce système nécessite toutefois plus de disques que le RAID 5 (minimum 4), et c'est là son principal problème, outre le temps d'écriture qui est également diminué.

RAID 7 :
Exactement la même chose que le RAID 3, mais avec des écritures asynchrones.
Complexe à mettre en place, c'est surtout une solution propriétaire (Storage Computer Corporation)

RAID 0 + 1 :
Niveau de sécurité : élevé

Combinaison du mirroring et du stripping : les disques sont divisés en deux groupes, chaque groupe implémentant du RAID 0, et les groupes étant chacun le miroir de l'autre (RAID 1).
En cas de défaillance d'un groupe, c'est l'autre qui prends le relai, permettant ainsi de continuer à travailler.

Nécessite deux fois plus de disques que le RAID 0 ou 1 (donc minimum 4 disques).

RAID 10 (aussi nommé RAID 1+0) :
Ici, on a le'inverse du RAID 0+1 : n groupes de 2 disques montés en RAID 1, les groupes étant en RAID 0.

Pour une perte totale des données, il faut donc que les deux disques d'un même groupe lâchent, ce qui est peu probable. Ici encore, un minimum de 4 disques est nécessaire.

RAID 50 :
Niveau de sécurité : élevé

N groupes d'au moins 3 disques montés en RAID 5, les groupes étant en RAID 0.

Probabelement un des meilleurs compromis lorsque l'on cherche à disposer d'une bonne rapidité avec une fiabilité accrue.

[grafikm_fr]

[Intégrée]

Comment planifie-t-on la sécurité?

On distingue, comme pour l'ensemble de la fonction informatique, trois volets de planification de la sécurité:

1) Le niveau strategique (planification à 3 ans et plus).
Ce volet couvre la définition de nouveaux besoins en termes de sécurité (e.g. installation d'un système IDS ou d'un système de gestion des vulnerabilités) et la mise en place de nouveaux equipements correspondants, ainsi que les nouveaux recrutements eventuels .

Il doit etre codifié dans le schéma directeur informatique de l'entreprise, qui doit imperativement integrer un volet sécurité (sauf si aucune évolution majeure n'est prévue dans la structure de la fonction sécurité de l'entreprise), voire meme, pour une structure suffisamment importante, faire l'objet d'une schéma directeur sécurité dédié.

Cette étape doit idéalement etre validée à la fois au niveau technique est budgétaire à un comité de pilotage réunissant la direction générale, la direction financière et la direction informatique.

Cette partie, concernant la redaction du schéma directeur informatique et/ou sécurité, est souvent sous-traitée, totalement ou partiellement, à une société externe (SSII ou cabinet de conseil).

2) Le niveau de planification (planification sur 6 mois à 1 an)

Ce niveau concerne la mise en place et le pilotage des chantiers majeurs au sein de l'organisation.

Par exemple, la définitions des plans de sauvegarde et la gestion des projets informatiques font partie de ce niveau de planifications.

La validation et la gestion d'une telle pphase est fortement dependante de la taille de la structure et du ou des projets engagés. Un projet important sera généralement validé et piloté par la diréction générale, des projets moins importants seront gérés au sein de la DSI.

3) Le niveau operationnel (planification sur 1 mois et moins)

Le niveau operationel concerne la planification immediate des diverses tâches et traitements liés à la sécurité. Par exemple, la programmation des scripts de sauvegarde et des batches se situe à un niveau operationnel.
Bien entendu, ce raisonnement n'est valable que pour une structure d'une taille suffisamment importante.

Néanmoins il s'agit d'un schéma vers lequel il convient de tendre même pour les petites structures.

[cchatelain]

Je vous remercie d'avance de vos contributions et insiste sur le fait que nous inétgrerons vos contribution à condition de ne pas en trouver des parfaitement identiques sur google

En résumé : nous devons nous prémunir contre les attaques pour plagiat.

[Skyounet]

Qu'est-ce que le phishing.

[Q/R Intégrée dans la FAQ]

Le phishing est une technique utilisée par les pirates informatiques, pour récuperer les informations bancaires des internautes.
Cette méthode n'a rien de technique en elle-même, elle fait simplement appel au Social Engineering.
Pour ce faire, les pirates usurpent l'identité d'un organisme de confiance (type banque), et envoient des mail aux victimes en pretextant tels ou tels problemes, et demandant de remplir un formulaire avec les coordonnées bancaires.
D'autres techniques plus evolués que le formulaire par mail, existent, comme l'usurpation de site web.
Les pirates créent un site web, identique en tout point avec le site web officiel, ainsi qu'une URL ressemblant à l'officielle (par exemple www.develloppez.com)
Le mail demande simplement de cliquer sur un lien hypertexte, redirigeant sur ce fameux site, où on demande donc à l'internaute de saisir ses coordonnées bancaires.

Comment se proteger du phishing.

[Q/R Intégrée dans la FAQ]

Tout d'abord il faut savoir qu'aucune banque ne demande d'informations par mail.
Ensuite ne jamais cliquer sur un lien dans un mail, saisir soit-meme l'adresse dans la barre d'adresse.
Lors de la saisie d'informations bancaires, veillez à vérifier que le protocole utilisé est https, et vérifiez aussi le certificat.
Certaines toolbars pour navigateurs Internet existent, pour se proteger du phishing (notamment en vérifiant les URL).

[Skyounet]

Bien choisir son mot de passe

[Q/R Intégrée dans la FAQ]

Pour bien choisir son mot de passe, il faut respecter quelques règles.
Tout d'abord dans la longueur du mot de passe, je préconise un minimum de 6 caractères.
Ensuite, il faut eviter les mots de passe type login, les dates de naissances...
Il faut aussi combiner lettres et chiffres.
Pour une securite maximum, on peut aussi insérer des caractères speciaux, type $, @, et les majuscules, miniscules ($KyRunn3r).
On doit, par ailleurs, changer son mot de passe de temps en temps.
Une autre technique existe pour choisir son mot passe, cette dernière consiste à prendre les premières lettres, d'une phrase facile à retenir.
Exemple : J'aime aller pêcher le dimanche avec mes amis
Cette phrase donne comme mot de passe : Jaapldama
On peut aussi dans cette phrase remplacer un ou plusieurs 'a' par des @
J@apldam@

Ce mot de passe est pratiquement incassable, ce dernier intégrant, majuscules, minuscules et caractères spéciaux.

[Skyounet]

J'ai trouvé quelques (beaucoup?) de fautes d'orthographes dans la nouvelle FAQ Securite.

http://securite.developpez.com/faq/?...sk_social_engi
l'organnisme -> l'organisme

[Skyounet]

Comment sécurisé son réseau Wifi.

Il existe quelques méthodes pour sécuriser son réseau sans fil, mais avant tout sachez que même en appliquant ses méthodes aucun réseau sans-fil n'est inviolable.

Certaines des ces manipulations, ne seront peut-être pas possible avec votre routeur Wifi

Premierement, utiliser un cryptage de type WPA avec une clé de votre choix, la passphrase peut avoir une taille entre 8 et 63 caractères, tous les caractères sont libres.

Deuxièmement, modifier et cacher votre ESSID (SSID) (voir dans la configuration de votre routeur).

Troisièmement, changer votre plage d'adresse IP, et désactiver le DHCP. En effet il vaut mieux choisir une plage d'adresse IP type 10.0.0.0, peu commune donc plus difficile à trouver. De plus si sur votre réseau se trouve 4 ordinateurs par exemple, autant restreindre la plage d'adresse IP à 4 adresses + 1 pour le routeur (10.0.0.1 à 10.0.0.5). Ensuite il vous faudra donc configurer les adresses IP de vos ordinateurs à la main.

[Webman]

Je viens de faire une liste de Q/R qu'il serait bien d'intégrer dans la FAQ, je sais que dès fois il est plus difficile de trouver une question que de la faire... Voilà quelques idées, donc vous génez pas pour piocher dans le tas, bien au contraire , il y en aura pour tout le monde .

Qu'est-ce que l'authentification ?
Qu'est-ce qu'une fonction de hachage ?
Que signifie "signer numériquement" un document ?
Qu'est-ce que la gestion des risques ?
Qu'est-ce qu'un spam ? (fait)
Qu'est-ce que le flood ? (fait)
Pourquoi sécuriser un réseau informatique ?
Qu'est-ce qu'une Access Control List (ACL) ?
Qu'est-ce qu'une backdoor ? (fait)
Comment se protéger des virus ?
Comment protéger ses données sensibles ?
Quel outils employer pour encrypter des données ?
Qu'est-ce qu'un "honeypot" ou "pot de miel" ? (fait)
Qu'est un plan de continuité d'activité ?
Quels sont les principaux risques en sécurité informatique ?
Qu'est-ce que la biométrie ?
Qu'est-ce qu'une "infrastructure à clés publiques" (PKI) ?
Qu'est-ce qu'un certificat électronique ?
Qu'est-ce le protocole IPSec ?
Qu'est que WEP / WPA ?
Qu'est-ce qu'un "contrôle de redondance cyclique" (CRC) ?
Qu'est-ce que le protocole TSL ?
Qu'est-ce que le relai de messagerie ?
Qu'est-ce qu'un "réseau privé virtuel" (VPN) ? (fait)

Une fois que Q/R est prête, merci de la poster à la suite de ce thread .

[Yogui]

Question : Qu'est-ce qu'une backdoor ?
Auteur : Yogui
Date : 21/05/2006
Mots clefs : backdoor, sécurité

[Intégrée]

Une backdoor est une porte cachée, une porte permettant d'entrer par l'arrière de la maison.
Elle peut être utile aux administrateurs (tous les systèmes d'exploitation récents offrent une possibilité d'administration à distance) mais aussi aux pirates.

Généralement, une backdoor laisse ouvert un port de la machine afin que quelqu'un puisse entrer dans un système. Si la backdoor est officielle (le détenteur de la machine en a connaissance), alors c'est relativement simple à mettre en place. Si la backdoor n'est pas officielle, elle se doit d'être particulièrement discrète afin de ne pas être détectée : c'est ce qui fait qu'elle est dangereuse.

IBM a créé un programme (dont j'ai oublié le nom) qui permet de cacher l'existence d'un programme au système (il s'agit de Windows) : une fois ce programme configuré pour cacher la backdoor, il vous sera impossible de détecter le fait que la backdoor soit un programme en cours d'exécution et donc également d'en arrêter l'exécution.
C'est le danger d'une backdoor : si vous ne détectez pas sa présence, vous êtes vulnérable.

Une backdoor offre à l'intrus un moyen d'entrer dans votre système. Cela consiste généralement en l'ouverture d'un port de la machine permettant ensuite de discuter avec la backdoor (elle se chargera d'exécuter vos ordres), de gagner l'accès à une console de commandes ou bien d'obtenir une session administrateur (bureau à distance).

Le besoin d'intégrer une telle console d'administration dans les systèmes d'exploitation s'est fait sentir par l'apparition de programmes tels que Back Orifice.
Windows dispose des services Terminal Server en standard depuis Windows 2000 dans sa version Advanced Server. Aujourd'hui, toutes les versions de Windows XP les proposent.
Linux dispose ajourd'hui d'une interface similaire permettant d'utiliser les services d'administration de divers systèmes (dont les services Terminal Server).
SSH est un protocole utilisé pour l'administration à distance de certains systèmes. On pourrait l'assimiler à une backdoor (mais elle n'est pas cachée, pour le coup).


Comment une backdoor peut-elle s'introduire sur votre système ?
--> Comme n'importe quel programme intrus : par la boîte mail, par une faille de sécurité du système qui n'a pas été corrigée, etc.

Quels sont les moyens pour s'en protéger ?
--> Tenir son système à jour. Utiliser un antivirus et un firewall est une démarche qui porte pas mal de fruits.

[Xo]

On s'endort, là, les jeunes ! Bon, moi aussi ... donc je relance d'une FAQ

(j'ai vérifié, celle-ci n'existe pas encore ... )

Question : Qu'est-ce qu'une signature numérique ?
Auteur : Xo
Date : 31/05/2006
Mots-clés : sécurité, chiffrement, clé

[Intégrée]

La signature numérique d'un document éléctronique a pour vocation de répondre aux mêmes exigences que la signature manuscrite d'un document papier :
- permettre d'authentifier l'auteur d'un document,
- garantir qu'une fois signé, le document ne sera plus modifié (falsifié),
- donner une valeur juridique (sous certaines conditions, voir ci-dessous) au document.

En pratique, une signature numérique est nettement plus fiable qu'une signature manuscrite, puisque cette technologie utilise la technique du chiffrement asymétrique : vous signez numériquement un document à l'aide de votre clé privée, et la lecture du document se fait par l'intérmédiaire de la clé publique correspondante, en général transmise avec le document puisque contrairement au chiffrement classique, le but n'est pas de rendre secret le contenu du message.

Vos clés font partie de ce qu'on appelle un certificat d'authentification : la valeur juridique du document n'est reconue que si votre certificat d'authentification vous a été fourni par un organisme certifié et agréé (et bien entendu payant). Il existe des logiciels gratuits pour vous permettre de signer numériquement vos document (le plus connu étant PGP), mais vos documents n'auront donc pas de valeur légale.

Sources :

- http://fr.wikipedia.org/wiki/Signature_num%C3%A9rique
(ou http://fr.wikipedia.org/wiki/Signature_numérique)
- http://www.formation.ssi.gouv.fr/aut...u3Modules.html

[ArHacKnIdE]

[Q/R Intégrée dans la FAQ]

Introduction au Wardriving


Le Wardriving est une nouvelle forme de piratage, qui fait ses preuves actuellement et dont le but est là recherche de réseaux sans fils, détectables sur la voie publique.

Ainsi, un Wardriver s'équipe d'un terminal mobile, avec une antenne et éventuellement un mobile GPS. Il n'a alors plus qu'à se balader en ville pour capter les réseaux sans fils existants à proximitée et les répertoriers.

On peut alors trouver deux sortes d'attaques :

- Détournement d'une connexion réseau à l'avantage du pirate qui pourra ainsi surfer gratuitement...

- Scanner ce qui se passe sur le réseau pour voler des informations...

Les Wardrivers utilisent les vulnérabilités du chiffrement de clés WEP (Wired Equivalent Privacy) ainsi que la verbosité naturelle des protocoles mis en oeuvre dans 802.11b.

Dans ce même registre on trouve le terme Warshalking désignant, quant à lui le fait de " tagger " les lieux où des réseaux WiFi ont été découverts par wardriving.

[thewho]

Bonjour,

RAID 6 :
Niveau de sécurité : très élevé

Même système que le RAID 5, mais en utilisant 2 calculs de parité, permettant ainsi de perdre 2 disques au lieu d'un seul dans le cas du RAID 5.
Ce système nécessite toutefois plus de disques que le RAID 5 (minimum 4), et c'est là son principal problème, outre le temps d'écriture qui est également diminué.

Ce serait plutôt augmenté, sinon ce serait bien.

[annedeblois]

Bonjour,
Pour faire une sorte de complément au spam, est-ce que ce serait pertinent d'ajouter une Q/R sur les hoax (fausses alertes au virus, faux appels à l'aide, etc.)?

Je préfère vous le demander avant de commencer quelque texte que ce soit sur le sujet. Merci!

[Webman]

Bonjour,
Pour faire une sorte de complément au spam, est-ce que ce serait pertinent d'ajouter une Q/R sur les hoax (fausses alertes au virus, faux appels à l'aide, etc.)?

Je préfère vous le demander avant de commencer quelque texte que ce soit sur le sujet. Merci!

Oui, ce serait une très bonne chose ! Si tu es volontaire, c'est avec plaisir !

[annedeblois]

D'ac! Alors, dès que j'aurai un peu de temps je m'en chargerai. Je vais essayer de vous revenir là-dessus aussitôt que possible.

Merci!

[LaChips]

Le spoofing est une technique qui consiste à usurper l'adresse IP d'une machine afin d'en récupérer des informations qui sont normalement destinées à la machine dont on spoofe l'adresse IP.

Est-ce clair?

[annedeblois]

[Q/R Intégrée dans la FAQ]

Qu'est-ce qu'un hoax?
C'est un message dont le contenu est une alerte au virus non fondée, un appel à l'aide bidon pour un enfant malade ou perdu, une chaîne de lettre, une offre de téléphones portables gratuits en échange de l'envoi de l'annonce à 20 contacts, une lettre soi-disant d'un riche qui décide de distribuer toute sa fortune, etc. Ce genre de message incite les gens à le transmettre à tous leurs contacts, et les internautes - interpelés par le contenu mais ne prenant pas le temps d'en vérifier la véracité - poursuivent la chaîne en l'acheminant souvent à tout leur carnet d'adresses.

Bien qu'à la base ce ne soit pas du spam - parce que les gens envoient ce genre de message uniquement aux gens qu'ils connaissent - les hoax sont du courrier tout aussi indésirable parce qu'ils génèrent du trafic inutile sur le Net, et encombrent les boîtes aux lettres des internautes qui doivent les traiter comme ils traitent le spam.

Que faire si vous recevez un message de ce genre?

• Vérifiez la validité du message - soit en en transmettant une copie à un copain informaticien ou qui connaît très bien la technologie, ou en visitant les sites Internet spécialisés (secuser.com, hoaxbuster.com, hoaxkiller.fr), ou même en interrogeant Google
• N'envoyez jamais ce message à vos contacts, afin de stopper éventuellement sa transmission et d'éviter de polluer inutilement leurs boîtes aux lettres
• Avertissez l'expéditeur du message et exhortez-le à vérifier, lui aussi, la validité d'une telle information
• Visitez régulièrement des sites Internet spécialisés en sécurité et protection contre les virus/intrusions/etc. pour obtenir de l'information sur les VRAIS virus

La traduction française proposée pour hoax est canular, du moins au Canada, mais je ne suis pas sûre que ce soit le terme le plus exact. Enfin!...

J'espère que mon texte résume bien le tout.

(Les petits caractères, maintenant: Je tiens à préciser que c'est du texte de mon crû à 100%, et que si des tournures de phrases vous semblent du copier-coller, c'est une coïncidence. )

[Webman]

Merci beaucoup Anne pour ta contribution à la FAQ , elle sera intégrée dès que possible .

[annedeblois]

Tout le plaisir est pour moi