Le poste de travail: talon d'Achille du SI !!!...

Publié le 17 septembre 2007 par Lionelschwartz

Un de mes méls, vendredi soir dernier: Thierry S, un ami de longue date RSI dans une entreprise logistique de 120 personnes, vient d'être mis à pied: depuis 48 heures le système d'information de son entreprise est totalement inopérant, l'activité et toute la gestion des flux sont paralysées. Les investigations sont pour l'instant restées vaines, mais Thierry soupçonne une malveillance interne...

En effet, parmi les sources importantes de vulnérabilité du Système d'Information, le poste de travail est bien souvent décrit comme le maillon faible.
Profitant de cette nouvelle malencontreuse et confronté comme tout informaticien à cette problématique, je vous propose quelques règles, souvent de bon sens, qui permettent de se prémunir contre les dangers classiques.

Accès au poste - login automatique

L'auto-login, permettant de s'affranchir de l'authentification (login - mot de passe) au démarrage du système doit être formellement empêché.
Cette mesure est encore plus à respecter dans le cas où l'entreprise dispose d'une flotte importante de portables: un appareil ainsi configuré serait totalement exposé en cas de vol ou de perte et pourrait permettre un accès à distance sur le réseau de l'entreprise.

Accès au poste - Profil

Les utilisateurs ne doivent pas pouvoir accéder à leur poste de travail avec le profil Administrateur, cet accès étant réservé à l'équipe informatique. Le paramétrage doit s'accompagner d'une communication adaptée auprès de l'usager: il doit être responsabilisé et connaître ses obligations (charte informatique).
De manière générale, les droits sur un poste (et les accès applicatifs) doivent être adaptés aux besoins Métier de l'utilisateur en répondant au "juste nécessaire".

Accès au poste - Mot de passe

La stratégie la plus fréquente pour prendre possession d’un système consiste d’abord à usurper l’identité d’un utilisateur puis, dans un deuxième temps, à utiliser les failles connues du système pour devenir administrateur sur une machine.
généralement, une fois la première étape d’usurpation réussie, plus rien ne peut arrêter le malveillant tant qu’il n’est pas détecté.
Le système d’authentification par mot de passe est efficace seulement si chaque collaborateur a conscience que cette information est secrête. Les principes fondamentaux du mot de passe sont donc les suivants:

Solide tu le choisiras
La technique la plus courante pour casser un mot de passe consiste à faire des essais systématiques à partir de dictionnaires: à partir de l’algorithme connu de codage des mots de passe, il suffit de l’appliquer à des dictionnaires choisis sur internet et de comparer le résultat aux valeurs contenues dans le fichier système contenant les mots de passe (celui-ci ayant été extrait soit au préalable, soit en début d'intrusion).
Un bon mot de passe doit donc rendre cette technique inefficace et obéir aux principes suivants:
- Ne pas pouvoir être trouvé dans un dictionnaire
- Etre composé d'un mélange de caractères alphanumériques et de caractères spéciaux
- Contenir au minimum 8 caractères

Jamais tu ne le communiqueras
Un mot de passe est un secret entre l'utilisateur et sa machine, il ne doit pas être partagé. S'il est confié à quelqu'un, la sécurité du système est mise en danger et toutes les autres mesures deviennent inutiles.
Un mot de passe, idéalement, ne doit pas être écrit sur un support. A fortiori près de la machine, sur des post-its sous le clavier ou le tapis de souris...
Lors d'une absence (congés, maladie, ...) il ne doit pas être communiqué à un tiers.

Souvent tu le changeras
Les mots de passe circulent souvent en clair sur les réseaux. Il est donc parfaitement possible de capturer le couple (login, mot de passe) à l’insu des utilisateurs et administrateurs.
C’est pourquoi, même robuste, un mot de passe doit être modifié régulièrement - au moins tous les trois mois -, voire moins si l'activité de l'entreprise le nécessite.
Par contre, cette contrainte pose le problème de la mémorisation du mot de passe qui devient rapidement insurmontable si plusieurs doivent être mémorisés, tous devant, bien sûr, être différents ...
Un mot de passe ne peut donc pas être complétement aléatoire et on utilisera plutôt une règle mnémotechnique pour le construire. Il en existe pas mal, je vous en propose trois ci-dessous:

La phrase clé
On suppose que la phrase clé est "Je blogue sur Regionsjob.com".
En prenant la première lettre de chaque mot, j'obtiens: "JbsR"(respect des majuscules!), et les mots sont respectivement constitués de 2, 6, 3 et 14 lettres. En concaténant les deux informations, j'obtiens comme mot de passe: JbsR26314. Pour renforcer la solidité du mot de passe, je le fais ensuite débuter par "." (le point de .com) et terminer par # (dièse) pour obtenir au final: . JbsR26314#
Je peux encore renforcet sa solidité en alternant chiffres et lettres, etc... les combinaisons sont multiples.

Suppression des doublons
Il faut trouver un mot assez long et supprimer dans ce mot toutes les occurrences multiples de la même lettre.
Ainsi, la clé "Regionsjob.com" fournit le mot de passe "Reginsjb.cm" après suppression des lettres en double. On rajoute ensuite des chiffres et/ou caractères spéciaux. Par exemple, on peut ajouter le nombre de lettres du mot clé original, et " Regionsjob.com" devient Reginsjb.cm14

Méthode par substitution
On apprend par coeur une chaîne de caractères spéciaux, par exemple #+$/? On prend ensuite un nom facile à rentenir (ex. : moderateur) et on remplace les voyelles par les caractères successifs de la chaîne.
On met une majuscule à chaque bout du mot et, si nécessaire, on complète avec le reste de la chaîne.
Ici le résultat sera: M#d+r$t/?R

Accès au poste - périphériques bootables

Les utilisateurs ne doivent pas être autorisés (blocage technique et logiciel) à effectuer le démarrage (boot) d'un ordinateur à partir d'un CDrom, d'une clé USB ou autre support amovible. Le risque serait de permettre à un utilisateur (ou un malveillant) de disposer des droits Administrateur et de contourner les restrictions en place.

Accès au poste - Accès distant

Il ne doit pas être possible de se connecter à une machine depuis un poste extérieur (son domicile, par exemple) via Internet et un logiciel d'accès distant type GoToMyPC.
Si l'organisation de l'entreprise nécessite ce mode d'accès , un lien VPN (Virtual Private Network - réseau privé virtuel) sécurisé est à privilégier.

Accès au poste - Base de registre

La manipulation de la base de registres sous Windows doit être réservé impérativement à l'équipe informatique et l'utilisateur ne doit pas y avoir accès. Il pourrait générer des pannes et un virus contaminant le poste pourrait, par exemple, se charger automatiquement au démarrage.

Applications - Mise à jour

Les application système doivent faire l'objet de mise jour régulières. Dans le cas de Windows, la mise à jour automatique ne doit pas être désactivée, cette opération rendant forcément le poste vulnérable.
L'antivirus, indispensable, doit être mis à jour régulièrement et ne doit jamais être désactivé par l'utilisateur. Exceptionnellement et temporairement il peut être mis en pause. Si les performance sont réduites par le fonctionnement de l'antivirus en tâche de fond, une solution plus économe en ressources doit être recherchée.

Un dispositif de filtrage (firewall) doit équiper tous les postes de travail et notamment les portables. Les règles de filtrage mises en place doivent cependant permettre un travail normal.

Même si cela est chronophage ou que les applications donnent déjà satisfaction aux utilisateurs, les procédures de mise à jour doivent être mises en place et suivies . Ce n'est pas parce que les outils fonctionnent que la sécurité est respectée.

Données - sauvegarde

Les données doivent être régulièrement sauvegardées, y compris celles se trouvant en local sur les disques durs. Si l'entreprise le permet, les utilsateurs auront intérêt à privilégier les dossiers partagés du réseau pour y stocker leur données, ces données étant généralement sauvegardées quotidiennement de manière centralisée.

================================================

Comme vous le voyez, ces quelques règles (liste non exhaustive que je vous invite à compléter par le biais des commentaires) sont relativement simples à mettre en oeuvre.
Bien entendu, elles ne sont pas suffisantes pour garantir une totale perméabilité du système. La mise en place de la politique de sécurité des systèmes d'information (SSI) est du ressort du responsable des SSI (RSSI) de l'entreprise.

En complément
Le blog de Bertrand, Expert Systèmes et SSI.
Un article (qui date un peu...) de MagSecurs sur le sujet.
Un article de 01Net
Des solutions Firewall pour TPE/PME