Institut numerique

III.5 Espionnage

III.5.1 L’homme du milieu

Lorsqu’un pirate, prenant le contrôle d’un équipement du réseau, se place au milieu d’une communication il peut écouter ou modifier celle-ci. On parle alors de « l’homme du milieu » (man in the middle). Les point sensibles permettant cette technique sont :

• DHCP : ce protocole n’est pas sécurisé et un pirate peut fournir à une victimes des paramètres réseau qu’il contrôle. Solution : IP fixe.
• ARP : si le pirate est dans le même sous réseau que la victime et le serveur (même si commutateur), il peut envoyer régulièrement des paquets ARP signalant un changement d’adresse MAC aux deux extrémités. Solution : ARP statique.
• ICMP : Un routeur peut émettre un ICMP-redirect pour signaler un raccourci, le pirate peut alors demander de passer par lui. Solution : refuser ICMP-redirect ou seulement vers des routeurs identifiés.
• RIP : Le pirate envoie une table de routage à un routeur indiquant un chemin à moindre coût et passant par un routeur dont il a le contrôle. Solution : nouvelle version de RIP qui intègre une identification des routeurs de confiance.
• DNS : par « ID spoofing » un pirate peut répondre le premier à la requête de la victime et par « cache poisoning » il corrompt le cache d’un serveur DNS.
Solution : proxy dans un réseau différent des clients, désactivation de la récursivité, vidage du cache DNS régulier.
• Proxy HTTP : Par définition un proxy est en situation d’homme du milieu. Une confiance dans son administrateur est nécessaire de même qu’un contrôle du proxy lors de son départ !
• Virus : un virus, éventuellement spécifique à la victime et donc indétectable, peut écrire dans le fichier « hosts »… Solution : bloquer les .vbs et .exe

III.5.2 Espiogiciels

Ces logiciels espions sont aussi appelés « spyware ». Ils ne posent pas, à priori, de problème de sécurité mais plutôt celui du respect de la vie privée. Plusieurs logiciels connus se permettent de renvoyer vers l’éditeur des informations concernant l’usage du logiciel mais aussi sur les habitudes ou la configuration de l’utilisateur, et ceci au mépris de la loi « informatique et liberté ». Il s’agit souvent de « freewares » qui trouvent ainsi une source de revenus mais pas toujours !

Exemples : Real Networks (requête vers l’éditeur à chaque insertion de CD-audio avec n° GUID, adresse mail…), Cute FTP… Une liste des programmes suspects et un outil gratuit (Ad-Aware) est disponible sur www.lavasoft.com.

Logiciel pour supprimer des espions recensés : optout.exe sur //grc.com

III.5.3 Cookies

Un « cookie » est une chaîne de caractère qu’un serveur dépose sur votre disque dur, via votre navigateur, afin normalement d’accélérer ou d’autoriser votre prochaine visite. On trouvera des infos sur les cookies à www.epic.org/privacy/internet/cookies

Des logiciels permettant le tri des cookies sont disponibles : « cookie crusher » sur www.thelimitsoft.com et « cache & cookiewasher » sur www.webroot.com

Page suivante : III.6 Protections

Retour au menu : LA SECURISATION DES SERVEURS DES DONNEES DE L’ENTREPRISE SOUS ISA SERVEUR 2006