Archives juin 2017

Stratégie des Mots de passe

Rédigé par administrateur - 06 juin 2017 -

Note technique

Recommandations de sécurité relatives aux mots de passe

1 Préambule

Malgré le développement de mécanismes d’authentification intrinsèquement plus robustes, l’usage des mots de passe est encore relativement répandu, notamment pour l’authentification sur Internet.

L’ANSSI ( Agence nationale de la sécurité des systèmes d'information ) recommande très fortement, dans tous les cas où cela est possible, l’utilisation de technologies d’authentification forte (utilisation de certificats d’authentification sur carte à puce, utilisation de schéma d’authentification à plusieurs facteurs etc.). Cependant, l’utilisateur n’est pas toujours maître des choix qui s’offrent à lui en matière d’authentification. L’objet de ce document est donc de guider l’utilisateur dans le choix de mots de passe adéquats.

2 De quoi dépend la robustesse d’un mot de passe?

Les préconisations que l’on peut retrouver dans les guides de bonne pratique en matière de robustesse de mots de passe sont parfois contradictoires. Certaines recommandations préconisent le choix de mots de passe de 12 caractères alphanumériques, d’autres de 16 lettres, etc.

En réalité, il n’existe pas de règle universelle. La robustesse d’un mot de passe dépend en pratique :

– de la force intrinsèque du mot de passe, c’est à dire sa complexité intrinsèque^{^[1]};

– du mécanisme mis en œuvre pour vérifier le mot de passe et de ses caractéristiques techniques (temps de vérification, mécanisme cryptographique sous-jacent notamment);

– du modèle d’attaquant considéré. La résistance contre tous les types d’attaquants imaginables est intrinsèquement plus difficile à atteindre que la simple résistance aux attaques opportunistes par lesquelles l’attaquant va essayer les mots de passe les plus triviaux les uns après les autres sans connaissance a priori du système cible;

– éventuellement, en fonction des mécanismes techniques mis en œuvre et du modèle d’attaquant, du nombre d’authentification ratées autorisées avant blocage d’un compte protégé par le mot de passe;

– des mécanismes d’alerte éventuels. Certains systèmes permettent à l’utilisateur de prendre connaissance de manière sûre du nombre d’échecs d’authentification infructueux. D’autres lèveront une alerte à destination d’un administrateur ou bloqueront le compte de l’utilisateur concerné.

3 Les recommandations minimales à respecter!

A minima, l’ANSSI estime que les 8 recommandations suivantes doivent s’appliquer indépendamment de tout contexte. Lorsque les systèmes d’information utilisés le permettent, certaines doivent être imposées techniquement.

R1	Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts. En particulier, l’utilisation d’un même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle est à proscrire impérativement.

R2	Choisissez un mot de passe qui n’est pas lié à votre identité (mot de passe composé d’un nom de société, d’une date de naissance, etc.).

R3	Ne demandez jamais à un tiers de créer pour vous un mot de passe.

R4	Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent.

R5	Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles.

R6	Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement accessible.

R7	Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle.

R8	Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se "souviennent" pas des mots de passe choisis.

4 Introduction

L’utilisation de mots de passe forts est l’une des briques de base dans la sécurisation d’un système d’information. Malheureusement cette première étape est souvent absente dans la politique de sécurité. Il est par conséquent assez fréquent de trouver des comptes avec des mots de passe triviaux, sans mot de passe ou avec des mots de passe par défaut.

Cette note a pour but :

– de sensibiliser les utilisateurs de système d’information sur l’intérêt d’avoir des mots de passe forts;

– de sensibiliser les administrateurs sur l’intérêt de mettre en place un contrôle systématique de la qualité des mots de passe;

– de sensibiliser les concepteurs d’application sur l’importance d’une politique complète et cohérente concernant l’utilisation et la gestion des mots de passe;

– de préciser les limites de la sécurité apportée par les mots de passe.

5 Comment créer un bon mot de passe?

Un bon mot de passe est avant tout un mot de passe fort, c’est à dire difficile à retrouver même à l’aide d’outils automatisés. La force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant. En effet, un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules.

Néanmoins, un bon mot de passe doit être facile à retenir pour rester fort. En effet, si un mot de passe est trop compliqué à retenir, l’utilisateur trouvera différentes astuces comme, par exemple, l’inscription du mot de passe sur un papier collé sur l’écran ou sous le clavier lui permettant de s’authentifier. Pour ne pas mettre bêtement en danger la sécurité du SI, il existe différents moyens mnémotechniques pour fabriquer et retenir des mots de passe forts.

5.1 Méthode phonétique

Cette méthode consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir.

Par exemple la phrase « J’ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am.

5.2 Méthode des premières lettres

Cette méthode consiste à garder les premières lettres d’une phrase (citation, paroles de chanson...) en veillant à ne pas utiliser que des minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

6 Pourquoi et comment bien gérer les mots de passe?

6.1 Politique de gestion des mots de passe

Les mots de passe sont souvent la seule protection d’une station de travail. Il est donc indispensable de mettre en œuvre une politique de gestion des mots de passe intégrée à la politique de sécurité du système d’information.

Cette politique de gestion de mots de passe devra être à la fois technique et organisationnelle. Les éléments suivants pourront, entre autres, y être inscrits.

6.1.1 Sensibilisation à l’utilisation de mots de passe forts

Les utilisateurs d’un système d’information doivent être sensibilisés à l’utilisation de mots de passe forts afin de comprendre pourquoi le risque d’utiliser des mots de passe faibles peut entraîner une vulnérabilité sur le système d’information dans son ensemble et non pas sur leur poste uniquement.

6.1.2 Mot de passe initial

Le mot de passe initial doit être de préférence fourni sur un canal sûr. Lorsque ce mot de passe initial est fourni par l’administrateur du système ou lorsqu’il est communiqué sur un canal non confidentiel, il doit être changé dès la première connexion de l’utilisateur.

L’administrateur qui a fourni un mot de passe sur un canal non sûr doit avoir une vigilance plus soutenue afin de s’assurer que le mot de passe n’est pas utilisé par un tiers.

6.1.3 Renouvellement des mots de passe

Les mots de passe doivent avoir une date de validité maximale. A partir de cette date l’utilisateur ne doit plus pouvoir s’authentifier sur le système si le mot de passe n’a pas été changé. Ceci permet de s’assurer qu’un mot de passe découvert par un utilisateur mal intentionné, ne sera pas utilisable indéfiniment dans le temps.

6.1.4 Les critères prédéfinis pour les mots de passe

Plusieurs critères peuvent être définis et mis en œuvre dans de nombreux systèmes pour s’assurer de la qualité des mots de passe. Ces critères sont, par exemple :

– une longueur minimale obligatoire prédéfinie;

– l’impossibilité de réutiliser les n derniers mots de passe;

– le nombre de tentatives possibles avant verrouillage de compte;

– la manière de déverrouiller un compte qui a été bloqué. Pour éviter les dénis de service liés au blocage de tous les comptes sur un système d’information, il peut être intéressant que le déblocage des comptes se fasse de manière automatique après un certain délai;

– la mise en place d’une veille automatique avec un déblocage par saisie du mot de passe.

6.1.5 Confidentialité du mot de passe

Un mot de passe sert à s’authentifier sur un système. Dans ce but, il est important de veiller à ne pas divulguer son mot de passe. Un mot de passe ne doit jamais être partagé ni stocké dans un fichier ni sur papier sans protection adaptée. Ainsi, il est possible que la politique de sécurité demande aux utilisateurs d’un système d’information de stocker les mots de passe sur papier dans un lieu sûr (enveloppe cachetée dans un coffre ignifugé) pour le cas où un problème surviendrait.

6.1.6 Configuration des logiciels

Une large majorité de logiciels comme par exemple les logiciels de navigation Internet proposent d’enregistrer les mots de passe, par le biais d’une petite case à cocher « retenir le mot de passe », pour éviter à l’utilisateur la peine d’avoir à les ressaisir. Ceci pose plusieurs problèmes de sécurité notamment lorsqu’une personne mal intentionnée prend le contrôle de l’ordinateur d’un utilisateur, il lui suffit de récupérer le fichier contenant la liste des mots de passe enregistrés pour pouvoir se connecter sur des sites à accès protégé.

6.2 Utilisation de mots de passe différents

Il est important de garder à l’esprit qu’un mot de passe n’est pas inviolable dans le temps. C’est pour cette raison qu’il est nécessaire de changer régulièrement son mot de passe et qu’il est important de ne pas utiliser le même mot de passe pour tous les services vers lesquels on se connecte.

En effet, si le poste de travail est compromis et qu’un renifleur de clavier est installé, un utilisateur mal intentionné peut récupérer tous les mots de passe entrés au clavier durant la période pendant laquelle le renifleur de clavier était installé (même si ces mots de passe sont forts) et accéder à l’ensemble des services nécessitant ces mots de passe. Tant que les mots de passe capturés n’ont pas été changés, des accès malveillants sont possibles, l’impact de l’attaque est durable.

C’est pourquoi changer régulièrement de mots de passe, à partir de machines saines, permet de diminuer la durée de l’impact de l’attaque.

6.3 Utilisation de mots de passe non rejouables (One Time Password)

Il est possible d’utiliser des solutions permettant de s’authentifier à un système par le biais d’un mot de passe ne pouvant être utilisé qu’une seule fois. Cette solution présente l’avantage que lorsqu’un mot de passe est découvert, il ne peut pas être réutilisé. Cette technique reste toutefois vulnérable aux attaques de l’intercepteur (man in the middle).

6.4 Mettre en place un contrôle systématique des mots de passe

Pour s’assurer de l’absence de mots de passe faibles, il peut être intéressant pour un administrateur, s’il y est autorisé, de réaliser des tests sur la robustesse des mots de passe utilisés sur son système d’information. Des outils commerciaux ou gratuits sont disponibles sur l’Internet. Le choix de l’outil le plus adapté dépend du type de mots de passe que l’on désire analyser. Une telle démarche peut être très utile à des fins de sensibilisation des utilisateurs.

[1] . Voir sur le site www.securite-informatique.gouv.fr les fiches techniques "Mot de passe" et "Calculer la force d’un mot de passe".

Les Virus informatiques

Rédigé par administrateur - 06 juin 2017 -

Les Virus informatiques :

Définition

Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé. La définition d'un virus pourrait être la suivante :

« Tout programme d'ordinateur capable d'infecter un autre programme 
d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se reproduire. »

Le véritable nom donné aux virus est CPA soit Code Auto-Propageable, mais par analogie avec le domaine médical, le nom de "virus" leur a été donné.

Les virus résidents (appelés TSR en anglais pour Terminate and stay resident) se chargent dans la mémoire vive de l'ordinateur afin d'infecter les fichiers exécutables lancés par l'utilisateur. Les virus non résidants infectent les programmes présents sur le disque dur dès leur exécution.

Le champ d'application des virus va de la simple balle de ping-pong qui traverse l'écran au virus destructeur de données, ce dernier étant la forme de virus la plus dangereuse. Ainsi, étant donné qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variées, les virus ne sont pas classés selon leurs dégâts mais selon leur mode de propagation et d'infection.

On distingue ainsi différents types de virus :

Les vers sont des virus capables de se propager à travers un réseau
Les chevaux de Troie (troyens) sont des virus permettant de créer une faille dans un système (généralement pour permettre à son concepteur de s'introduire dans le système infecté afin d'en prendre le contrôle)
Les bombes logiques sont des virus capables de se déclencher suite à un événement particulier (date système, activation distante, ...)

Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax), c'est-à-dire des annonces reçues par mail (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation.

Antivirus

Un antivirus est un programme capable de détecter la présence de virus sur un ordinateur et, dans la mesure du possible, de désinfecter ce dernier. On parle ainsi d'éradication de virus pour désigner la procédure de nettoyage de l'ordinateur.

Il existe plusieurs méthodes d'éradication :

La suppression du code correspondant au virus dans le fichier infecté ;
La suppression du fichier infecté ;
La mise en quarantaine du fichier infecté, consistant à le déplacer dans un emplacement où il ne pourra pas être exécuté.

Protéger vos Mobiles et Tablettes :

Détection des virus

Les virus se reproduisent en infectant des « applications hôtes », c'est-à-dire en copiant une portion de code exécutable au sein d'un programme existant. Or, afin de ne pas avoir un fonctionnement chaotique, les virus sont programmés pour ne pas infecter plusieurs fois un même fichier. Ils intègrent ainsi dans l'application infectée une suite d'octets leur permettant de vérifier si le programme a préalablement été infecté : il s'agit de la signature virale.

Les antivirus s'appuient ainsi sur cette signature propre à chaque virus pour les détecter. Il s'agit de la méthode de recherche de signature (scanning), la plus ancienne méthode utilisée par les antivirus.
Cette méthode n'est fiable que si l'antivirus possède une base virale à jour, c'est-à-dire comportant les signatures de tous les virus connus. Toutefois cette méthode ne permet pas la détection des virus n'ayant pas encore été répertoriés par les éditeurs d'antivirus. De plus, les programmeurs de virus les ont désormais dotés de capacités de camouflage, de manière à rendre leur signature difficile à détecter, voire indétectable : il s'agit de "virus polymorphes".

Certains antivirus utilisent un contrôleur d'intégrité pour vérifier si les fichiers ont été modifiés. Ainsi le contrôleur d'intégrité construit une base de données contenant des informations sur les fichiers exécutables du système (date de modification, taille et éventuellement une somme de contrôle). Ainsi, lorsqu'un fichier exécutable change de caractéristiques, l'antivirus prévient l'utilisateur de la machine.

La méthode heuristique consiste à analyser le comportement des applications afin de détecter une activité proche de celle d'un virus connu. Ce type d'antivirus peut ainsi détecter des virus même lorsque la base antivirale n'a pas été mise à jour. En contrepartie, ils sont susceptibles de déclencher de fausses alertes.

Types de virus

Virus mutants

En réalité, la plupart des virus sont des clones, ou plus exactement des «virus mutants», c'est-à-dire des virus ayant été réécrits par d'autres utilisateurs afin d'en modifier leur comportement ou leur signature.

Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même virus le rend d'autant plus difficile à repérer dans la mesure où les éditeurs d'antivirus doivent ajouter ces nouvelles signatures à leurs bases de données.

Virus polymorphes

Dans la mesure où les antivirus détectent notamment les virus grâce à leur signature (la succession de bits qui les identifie), certains créateurs de virus ont pensé à leur donner la possibilité de modifier automatiquement leur apparence, tel un caméléon, en dotant les virus de fonction de chiffrement et de déchiffrement de leur signature, de façon à ce que seuls ces virus soient capables de reconnaître leur propre signature. Ce type de virus est appelé «virus polymorphe» (mot provenant du grec signifiant «qui peut prendre plusieurs formes»).

Rétrovirus

On appelle « rétrovirus » ou « virus flibustier » (en anglais bounty hunter) un virus ayant la capacité de modifier les signatures des antivirus afin de les rendre inopérants.

Virus de secteur d'amorçage

On appelle « virus de secteur d'amorçage » (ou virus de boot), un virus capable d'infecter le secteur de démarrage d'un disque dur (MBR, soit master boot record), c'est-à-dire un secteur du disque copié dans la mémoire au démarrage de l'ordinateur, puis exécuté afin d'amorcer le démarrage du système d'exploitation.

Virus trans-applicatifs (virus macros)

Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de script commun pouvant être inséré dans la plupart des documents pouvant contenir des macros, il s'agit de VBScript, un sous-ensemble de Visual Basic. Ces virus arrivent actuellement à infecter les macros des documents Microsoft Office, c'est-à-dire qu'un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).

Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc être imaginables sur de nombreuses autres applications supportant le VBScript.
Le début du troisième millénaire a été marqué par l'apparition à grande fréquence de scripts Visual Basic diffusés par mail en fichier attaché (repérables grâce à leur extension .VBS) avec un titre de mail poussant à ouvrir le cadeau empoisonné.

Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accéder à l'ensemble du carnet d'adresse et de s'autodiffuser par le réseau. Ce type de virus est appelé ver (ou worm en anglais).