Dossier sécurité

La sécurité nécessite de se tenir au courant très régulièrement, car les types de menaces évoluent sans arrêt. Je recommande les deux sites suivants pour leur qualité.

• Le CERT/CC (Computer Emergency Response Team / Coordination Center) recense les principaux incidents et vulnérabilités dès qu'ils sont connus, ainsi que les mises à jour et correctifs des éditeurs de logiciel (éditeurs de systèmes d'exploitation, de logiciels anti-virus, d'équipements réseaux, ...). On peut s'abonner à la mailing list du CERT/CC pour recevoir les avis d'incidents et de vulnérabilités. Envoyer un mail contenant la ligne subscribe technical-alerts à majordomo@us-cert.gov.
  On peut presque dire que toute personne ayant la responsabilité d'au moins un ordinateur connecté à Internet (du simple particulier à l'administrateur système d'un gros réseau d'entreprise) se doit de se tenir au courant des avis du CERT/CC. Il s'agit d'un minimum vital, le CERT/CC traitant les menaces les plus importantes et les plus courantes (virus à large diffusion, vulnérabilités graves et/ou exploitées de manière systématique , etc...).
• L'institut SANS (System Administration and Network Security) propose des informations quotidiennes sur les problèmes de sécurité. Ce site peut sembler faire double emploi avec celui du CERT/CC, mais il a en général des temps de réaction plus court face aux nouveaux virus, vers, etc...

Les deux précédents sites étant en anglais, on pourra aussi consulter quelques sites en français, malheureusement beaucoup moins riches en informations et surtout beaucoup moins réactifs.

• Voir par exemple news.secuser.com qui propose des dossiers "permanents" sur la sécurité assorti d'informations quotidiennes diverses ayant plus ou moins de rapport avec la sécurité et provenant d'agences de presse.
• Les trois CERT français :
  • CERT-IST (Industrie services tertiaire),
  • CERTA (Administrations),
  • CERT-RENATER (Réseau National de Télécommunications pour la Technologie, l'Enseignement et la Recherche)
  Ces sites se contentent la plupart du temps de fournir des traductions françaises des annonces du CERT/CC, et ce avec un certain retard par rapport à l'original.

En fait, il devient difficile de distinguer strictement les virus des vers et autres programmes malveillants (cas de NIMDA qui emprunte aux deux catégories). De plus, ces logiciels malveillant ne touche plus seulement les OS de Microsoft (qui restent la cible favorite) mais aussi les Unix comme Linux. L'usage d'un logiciel anti-virus s'impose donc dans tous les cas. On peut d'ailleurs envisager une utilisation cross-plateforme : par exemple, un anti-virus sur un serveur Linux surveillant les fichiers Windows présents sur ses répertoires partagés par SAMBA.

• claymania.com tient à jour des informations sur les nouveaux virus et les mises à jour de logiciels anti-virus.
• L'éditeur islandais FRISK est le seul à diffuser un logiciel anti-virus (un scanner de fichiers) qui soit à la fois de bonne qualité, c'est à dire sachant détecter un grand nombre de virus, et gratuit dans ses versions MS-DOS et Linux. De plus, les signatures de virus et le logiciel lui-même sont mis à jour très régulièrement, souvent dans les 24 heures qui suivent la découverte du virus. La version Windows est elle payante.
• Sur le site francophone news.secuser.com déjà cité ci-dessus, on pourra consulter la page consacrée aux alertes virales, qui signale les virus les plus courants et les moyens de s'en protéger.
• De nombreux éditeurs de logiciels anti-virus mettent en ligne leur bases de données de virus connus. Celles-ci peuvent être utiles en cas d'infection pour s'informer sur un virus (son mode de propagation, sa "charge" éventuelle, et comment s'en débarasser). Citons pour l'exemple les bases de données de F-Secure et de Symantec.

Pour s'informer plus spécifiquement sur les problèmes de sécurité liés à cette classe de systèmes d'exploitation :

• On pourra commencer par le hors-série numéro 8 (été 2001) de Linux Magazine France, qui présente un panorama des questions de sécurité liées à Linux (introduction à la sécurité et à la cryptographie, sécurité des applications et des données, sécurité réseau).
• Consulter régulièrement les sites des vendeurs de distribution, comme par exemple celui de la société Red Hat : la page dédiée aux alertes de sécurité propose des correctifs et des patch à télécharger. Les patchs et autres correctifs peuvent être téléchargés directement sur updates.redhat.com ou sur les mirroirs indiqués ici.

  Attention ! Depuis le 30 Avril 2004, Red Hat n'assure plus de support officiel des anciennes distributions (Red Hat Linux 7.X, 8.0 et 9.0). C'est le projet Fedora Legacy qui a pris le relai. L'objectif de ce projet est d'assurer le support des anciennes distributions Red Hat en publiant les mises à jours indispensables à la sécurité de ces produits.
  Une mailing list permet de recevoir les annonces de sécurité. Pour s'y abonner, s'inscrire sur la page Fedora-legacy-announce.

• Linux Security est plus généraliste, mais n'est pas très réactif vis à vis des alertes de sécurité. Ce site est plus intéréssant pour sa section documentation qui propose des FAQ et des HOWTO variés.
• Le magazine en ligne Linux Weekly News maintient une page reprenant la totalité des alertes de sécurité publiées par une quinzaine d'éditeurs de distribution. Cette page est extrêmement utile lorsqu'on doit assurer la sécurité d'un parc de machines équipées de différentes distributions.

Pour entreprendre de sécuriser un système Linux, on pourra consulter les deux ouvrages suivants, en anglais :

• titre : Linux System Security
  auteur : Scott Mann, Ellen Mitchell
  éditeur : Prentice-Hall

  Ouvrage très complet qui traite tous les aspects de la sécurité : sécurité des utilisateurs, sécurité réseau, outils de vérification d'intégrité, murs pare-feux, etc...

• titre : Securing and Optimizing Linux
  auteur : Gerhard Mourani
  éditeur : Open NA
  

  Ce livre est librement téléchargeable. Il s'agit plutôt d'un ensemble de "recettes de cuisine" à appliquer directement sur son système pour le sécuriser. Attention toutefois, cet ouvrage est très peu pédagogique, il convient donc de savoir ce que l'on fait en appliquant les "recettes de cuisine". Il ne dispense donc absolument pas de la lecture du premier ouvrage.

Parmi les outils de sécurité disponibles, on trouve les murs pare-feux. Avec la version 2.4 du kernel, Linux dispose de netfilter, un filtre pour paquets IP/ICMP/UDP/TCP particulièrement efficace et pratique à utiliser.

• Les dernières versions et la documentation se trouvent sur le site www.netfilter.org. Les HOWTOs de Rusty Russel (auteur de netfilter) expliquent en détail la mise en oeuvre de netfilter avec l'utilitaire iptables, et ceci aussi bien pour les fonctions de filtrage que pour d'autres fonctions comme le routage NAT.
• Un exemple de configuration netfilter, à adapter suivant les besoins et la topologie du réseau à protéger.

Précisons toutefois que l'usage de murs pare-feux n'est pas une panacée, il s'agit d'un outil parmi d'autres, et il serait illusoire de baser toute la sécurité d'un réseau sur ce seul outil.

Tout ce qui ne peut être classé ailleurs...

• Le projet Honeynet étudie les intrusions réseaux au moyen de pots de miel, c'est à dire des ordinateurs standards (installé avec la configuration par défaut du constructeur ou de l'éditeur du système d'exploitation) qui sont volontairement livrés en pâture aux individus malveillants. Des systèmes de détection et d'observation permettent de suivre l'activité des pirates et ainsi de mieux comprendre leurs méthodes de travail et leurs motivations.
  Ce site est extrêmement instructif : il permet de se faire une petite idée de ce à quoi est exposé tout ordinateur connecté à Internet. A lire absolument si l'on se débrouille un minimum en anglais.
• Le site de GRC (Gibson Research Corporation), éditeur de produits de sécurité pour Windows, permet de tester sommairement la sécurité d'un système. Le serveur de GRC scanne les ports ouverts sur le système à tester, et produit un rapport indiquant les vulnérabilités potentielles ainsi detectées. Ce test est très sommaire, seuls les services TCP/IP et netbios les plus courants étant testés. Il ne doit donc pas être utilisé comme un véritable audit de sécurité, mais plus comme une prise de conscience, préalablement à toute démarche sécurité.