SECURISATION DU SYSTEME INTEGRE DE LA GESTION DES FINANCES PUBLIQUES CAS DU MEFB

Télécharger le fichier pdf d’un mémoire de fin d’études

Détournement de flux :

Les techniques de détournement de flux servent à rediriger le flux réseau vers un client, vers un serveur, ou vers une autre machine.
ARP-Poisoning :
Toute carte réseau possède une adresse physique MAC. C’est cette adresse qui lui permet de recevoir les paquets qui lui sont destinés sur le réseau local. Cette adresse physique est associée à l’adresse IP grâce au protocole ARP. La table de correspondance entre les adresses IP et les adresses physiques est contenue dans le cache ARP. Lorsqu’un échange doit s’établir entre 2 machines du réseau local, ces deux machines envoient des requêtes ARP avec l’adresse IP du récepteur, associée à un champ vide pour son adress physique. Ce récepteur va renvoyer son adresse physique dans une réponse ARP.
Si un attaquant envoie un message de réponse ARP avec son adresse physique correspondant à l’adresse IP du récepteur, tout le flux IP dirigé ersv le récepteur sera redirigé vers l’attaquant. On dit qu’il a empoisonné le cache ARP du récepteur.
Fouille :
La fouille informatique, par analogie avec la fouille physique, consiste à étudier méthodiquement l’ensemble des fichiers et des variables d’un SI pour un retirer des données de valeur.
Cette recherche systématique d’informations est engénéral grandement facilitée par la mauvaise gestion des protections classiques qu’il est possible d’attribuer à un fichier. Quand on se déplace dans les divers répertoires d’un système informatique, il est courant de constater que des fichiers et des répertoires ont des protections insuffisantes contre des agresseurs potentiels, uniquement par manque de connaissance, dû le plus souvent à l’insuffisance de formation de l’utilisateur. Ainsi, est-il bien utile de donner un droit de lecture à s es fichiers pour l’ensemble des utilisateurs du système ?
Si l’attaquant est quelque peu entraîné, il aura recours à une attaque plus subtile. Pour s’emparer de certaines informations il va lire la mémoire centrale ou secondaire, ou les supports de données libérés par les autres utilisateurs. Une parade efficace consiste à effacer physiquement toute portion de mémoire ou tout support libéré. En contrepartie, les performances du SI seront moindres.
Canal caché :
Ca type d’attaque est de très haut niveau et fait appel à l’intelligence de l’attaquant. Il permet de faire fuir des informations en violant la politique de sécurité. On propose de classer les canaux cachés en quatre catégories:
Les canaux de stockage qui permettent de transférerde l’information par le biais d’objets écrits en toute légalité par un processus et lus en toute légalité par un autre.
Les canaux temporels qui permettent à un processus d’envoyer un message à un autre en modulant l’utilisation de ses ressources systèmes afin que esl variations des temps de réponse puissent être observées .
Les canaux de raisonnement qui permettent à un proc essus de déduire de l’information à laquelle il n’a pas normalement accès .
Les canaux dits de « fabrication » qui permettent de créer de l’information en formant des agrégats qui ne peuvent être obtenus directement.
Ces attaques peuvent être réalisées dans le systèmeou les bases de données à plusieurs niveaux de confidentialité.
Déguisement (masquerading) :
Forme d’accès illégitime, il s’agit d’une attaquenformatique qui consiste à se faire passer pour quelqu’un d’autre et obtenir les privilèges ou desdroits de celui dont on usurpe l’identité.
Un utilisateur est caractérisé par ce qu’il est, (empreintes, digitales ou palmaires, rétiniennes, vocales, ou toute autre authentifiant biométrique), ce qu’il possède (un badge, une carte magnétique, à puce, un jeton, un bracelet…) et ce qu’il sait (un mot de passe, sa date de naissance, le prénom de ses parents…). Pour se faire passerpour lui, un agresseur doit donc s’emparer d’un ou plusieurs éléments propres à l’utilisateur. Si le ontrôlec d’accès au SI se fait par mot de passe, l’attaquant tentera de le lire quand l’utilisateur le rentrera au clavier ou quand il le transmettra par le réseau. Si le contrôle d’accès se fait avec unecarte à puce, l’attaquant cherchera à en dérober ou en reproduire une. Si le contrôle d’accès est biométrique, la tâche de l’attaquant sera plus difficile mais pas impossible comme le montre ce cas où un dirigeant d’entreprise a été enlevé par des malfaiteurs qui lui ont sectionné un doigt afin detromper un système de contrôle d’accès.
Sans arriver à des solutions lourdes et coûteuses, le défenseur pourra combiner des méthodes d’identification et d’authentification comme carteet mot de passe pour renforcer sa sécurité.
Mystification:
Dans ce cas, l’attaquant va simuler le comportement d’une machine pour tromper un utilisateur légitime et s’empare de son nom et de son mot de passe. Un exemple type est la simulation de terminal et le comportement d’une machine pour tromper un utilisateur légitime et s’emparer de son nom et de son mot de passe. Un exemple type est la simulation de terminal.

Man in The Middle attack:

Man-in-the-Middle signifie l’homme du milieu. Cette attaque fait intervenir trois protagonistes : le client, le serveur et l’attaquant. Le but de l’attaquant est de se faire passer pour le client auprès du serveur et se faire passer pour le serveur auprès du client. Il devient ainsi l’homme du milieu. Cela permet de surveiller tout le trafic réseau entre leclient et le serveur, et de le modifier à sa guise pour l’obtention d’informations (mots de passe, accès système, etc.).

Rejeu (replay) :

Le rejeu et une variante du déguisement qui permet à un attaquant de pénétrer dans un SI en envoyant une séquence de connexion effectuée par unutilisateur légitime et préalablement enregistrée à son insu.

Substitution :

Ce type d’attaque est réalisable sur un réseau ouurs un SI comportant des terminaux distants. L’agresseur écoute une ligne et intercepte la demande de déconnexion d’un utilisateur travaillant sur une machine distante. Il peut alors se substituer à ce dernier et continuer une session normale sans que le système note un changement d’utilisateur.
Un cas bien connu est celui des ordinateurs sur un réseau local qui ne sont déclarés que par leur adresse Internet. Un attaquant peut alors attendre qu’une machine soit arrêtée pour se faire passer pour elle en usurpant l’adresse de la machine éteinte.

Faufilement :

Par analogie avec le faufilement physique où une personne non autorisée franchit un contrôle d’accès en même temps qu’une personne autorisée, ondira qu’il y a faufilement électronique quand, dans le cas où des terminaux ou des ordinateurs ne peuvent être authentifiés par un SI, un attaquant se fait passer pour le propriétaire de l’ordinateur ou du terminal.

Saturation (Denial of Service DoS):

Cette attaque contre la disponibilité consiste à remplir une zone de stockage ou un canal de communication jusqu’à ce que l’on ne puisse plus l’utiliser. Il en résultera un déni de service.

Cheval de Troie (Trojan horse) :

En informatique un cheval de Troie est un programme qui comporte une fonctionnalité cachée connue de l’attaquant seul. Elle lui permet de contourner des contrôles de sécurité en vigueur. Cependant un cheval de Troie doit d’abord être installé et ceci n’est possible que si les mesures de sécurité sont incomplètes, inefficaces ou si l’agresseur bénéficie d’une complicité.
Un cheval de Troie doit être attirant (nom évocateur) pour être utilisé, posséder l’apparence d’un authentique programme (un utilitaire par exemple) pour inspirer confiance et enfin ne pas laisser de traces pour ne pas être détecté. La simulatione dterminal, dont le but est de s’emparer du mot de passe d’un utilisateur, est un cheval de Troie.
En conséquence, identifier la présence d’un chevalde Troie n’est pas aisée et une bonne connaissance du système et des applications installées est nécessaire.

Salami :

La technique du salami permet à un attaquant de ret irer des informations parcellaires d’un SI afin de les rassembler progressivement et de les augmenter de façon imperceptible. Cette technique est utilisée par de nombreux fraudeurs pour détourner ubrepticements des sommes d’argent soit en s’appropriant de faibles sommes sur de nombreux comptes, soit en faisant transiter d’importantes valeurs sur des périodes courtes mais sur des comptes rémunérés leur appartenant.

Trappe (backdoor) :

Une trappe est un point d’entrée dans une application généralement placé par un développeur pour faciliter la mise au point des programmes. Les programmeurs peuvent ainsi interrompre le déroulement normal de l’application, effectuer destests particuliers et modifier dynamiquement certains paramètres pour changer le comportement original. Il arrive quelquefois que ces points d’entrée n’en soient pas enlevés lors de la commercialisation des produits et qu’il soit possible de les utiliser pour contourner les mesures de sécurité.

Bombe :

Une bombe est un programme en attente d’un événement spécifique déterminé par le programmeur et qui se déclenche quand celui-ci se produit. Ce code malicieux attend généralement une date particulière pour entrer en action. Les conséquence peuvent être bénignes comme l’affichage d’un message, d’une image ou d’un logo mais aussi dommageables, comme la destruction de données et plus rarement la destruction du matériel.

Virus :

Nommé ainsi parce qu’il possède de nombreuses simitudesl avec ceux qui attaquent le corps humain, un virus est un programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le SI : on parle d’infection. Le virus dispose de fonctions qui lui permettent de tester s’il a déjà contaminé un programme, de se propager en se recopiant sur un programme et de se déclencher comme une bombe logique quand un événement se produit.
Ses actions ont généralement comme conséquence la ertep d’intégrité des informations d’un SI et/ou une dégradation ou une interruption du service fourni.

Ver (worm) :

Un ver est un programme malicieux qui a la facultéde se déplacer à travers un réseau qu’il cherche
à perturber en le rendant indisponible. Cette techn ique de propagation peut aussi être utilisée pour acquérir des informations par sondage.
. Générateur de nombres aléatoires:
Il s’agit des cartes à puces qui générent périodiquement (~ tous les 30 ou 60 secs) des nombres différents servant à identifier le détenteur de la carte. La génération se fait à partir d’une clé secrète présente sur la carte et connue du système.
Le générateur de nombres aléatoires le plus connuste SecureId fabriquée par Security Dynamics, qui génère un nombre à 6-digits valables pour 60 secondes. La carte a été adopté par des nombreuses banques (dont le Crédit Suisse) comme support d’authentification du tele-banking sur Internet.
Comme le OTP, le générateur de nombres aléatoiresste également exposé aupre-play attack mais le délai pour rejouer le password se limite à la fréquence de changement (30 ou 60 sec).
.Authentification forte.
Contrairement à l’authentification faible, le secre t permettant de corroborer l’identité n’est pas révélé explicitement mais, plutôt, l’utilisateur fournit au système d’authentification une preuve de possession de ce secret.
Le protocole d’authentification forte utilise les techniques de la cryptograhie.
Authentification à transfert nul de connaissance (z ero-knowledge protocol) :
Ce sont des protocoles d’authentification forte qui ont en plus la caractéristique de prouver l’identité de l’utilisateur sans dévoiler aucune information (ni même une piste…) sur le secret lui même. En d’autres mots, il s’agit de donner une preuve d’une assertion sans en révéler le moindre détail.

Principe de contrôle d’accès

Le contrôle d’accès fournit un service de sécuritévisant à vérifier la légitimité de l’accès d’une entité aux ressources du SI. L’autorisation d’accéder à un élément du SI dépend principalement de ce contrôle d’accès [32]. Par exemple, les listes de contrôle d’accès permettent à un hôte d’accéder à une section du réseau tout en empêchant un autrehôte d’avoir accès à la même section. Le contrôle d’accès peut être implémenté sous plusieurformes telles que le ACL ou liste de contrôle d’accès, listes de capacités, tables d’autorisation. Le contrôle d’accès peut être catégoriser en deux grandes familles : le contrôle d’accès basé sur l’identité de l’utilisateur et celui basé sur le rôle. Mais il existe des méthodes d’implémentation dérivées de la combinaison de ces modèles, comme le mur de chine, visant à affiner et adapter au mie ux le contrôle d’accès logique suivant l’activité de l’organisation.
Présentation générale du contrôle d’accès logique.
Le contrôle d’accès ou CA est réalisé par un ‘moniteur de référence’ ou ‘arbitre de référence’ qui accepte ou refuse chaque tentative d’accès aux éléments du SI par une entité i.e. utilisateur ou les programmes exécutés sur demande de l’utilisateur, fina que l’on puisse restreindre leurs actions vis-à-vis de leurs privilèges. L’arbitre de référence consulte une base de données de privilèges de chaque entité afin de vérifier la légitimité d’unetntative d’accès. Cette base de données a été conçue suivant les mécanismes de contrôle d’accès qui est dicté par la politique de sécurité de l’organisation. On note que le contrôle d’accès co nsidère que l’identité de l’utilisateur a été préalablement vérifiée avant d’appliquer le contrôle d’accès via un moniteur de référence.

Matrice des contrôles d’accès :

La matrice des droits d’accès est une représentatio conceptuelle des autorisations d’un système. Il s’agit d’un tableau représentant les droits et modes d’accès des entités aux ressources du système. On remarquera que la possession d’une ressource est considérée comme un droit.

Sécurité au niveau de la couche Internet :

Le principal avantage de placer le mécanisme de sécurité au niveau de la couche Internet est qu’il est transparent pour les utilisateurs et les applications [28, 40]. Cependant, la sécurité de cette couche nécessite le changement du système d’exploitation qui l’intègre. En outre, il est nécessaire que chaque hôte en communication emploie la même version du logiciel de sécurité utilisé au niveau de cette couche Internet. La mise à jour es t alors très coûteuse et demande beaucoup de temps. De plus, si ces logiciels usités ne sont pas bien configurés, ils peuvent dégrader énormément le QoS du SI. Par exemple, si le cryptage est utilisé par défaut alors que l’application n’en a pas besoin, alors le temps de traitement est alourdi inutilement. Par addition, les mêmes paramètres de sécurité sont utilisés pour chaque nnexionco (i.e. les clefs de chiffrement basées sur l’hôte), qui offre une sécurité plus faible que cele offerte lorsque les paramètres de sécurité sont négociés de bout en bout (i.e. entre utilisateurs uo applications).

Sécurité de la couche application :

La sécurité de la couche application n’implique pasle changement du système d’exploitation qui l’intègre. Les mécanismes de sécurité offrent alors une meilleure protection de bout en bout car la configuration et le chiffrement ne dépendent pas dusystème d’exploitation. La gestion des clefs se fait au niveau de la couche d’application. Dans ce cas, les données ne sont pas exposées aux attaques liées aux faiblesses du système d’exploitation. De plus, le fonctionnement de la sécurité peut être configuré pour répondre exactement aux soinsbe de chaque application. Ainsi, les fonctionnements inutiles sont évités (par exemple el chiffrement de tout le trafic). Cependant, la négociation et la configuration entre les procédures communicantes peuvent être très complexes. Un autre inconvénient est que les applications sécurisées sont installées par des utilisateurs non expérimentés, ce qui rend les risques de présence esd codes malicieuses assez potentielles. Par exemple, le vol de mots de passe ou d’autres informations sensibles par la présentation d’un page de type formulaire simulé semblant être la page orig nelle (spoofing).

La sécurité de la couche transport :

La sécurité au niveau de la couche de transport [27] se place entre la couche application et la couche Internet (ex TLS). On peut la percevoir comme étant une interface sécurisée pour la couche de transport. D’une part, toutes les applications doivent utiliser les fonctions de sécurité correspondantes, d’autre part, la bibliothèque de sécurité de la couche de transport peut être installée et maintenue par le sysadmin alors toutes les applications installées sur les machines hôtes peuvent l’utiliser. Dans les réseaux virtuels privés (VPN), l’approche de tunnelage peut être utilisée. Les applications tournant au sein de la machine hôte ne sont pas conscientes de la présence de la sécurité implémentée par le VPN. pendant,Ce quand ces applications essaient d’établir une connexion vers une autre hôte au dehors de l’intranet mais appartenant au VPN, la passerelle de sécurité emploie le tunnel du VPN pour l’envoie des données de ces applications par le moyen du protocole de sécurité de la couche deransport.

L’architecture de sécurité pour IP : l’IPSec

IPSec est l’extension du protocole IP. Il est spécialement conçu pour offrir une architecture de sécurité basée sur la cryptographie, de haute qualité et compatible avec IPv4 et IPv6. Il offre un ensemble de services de sécurité tels que :
· Le contrôle d’accès.
· Connectionless integrity.
· Authentification de l’origine des données.
· Protection contre les rejeux (replaying).
· Confidentialité.
Ces services de sécurité sont offerts au niveau dela couche 3 (couche Internet), pour protéger le protocole IP et les protocoles de plus haut niveau. a. Architecture d’IPSec :
Les parties fondamentales de l’IPSec sont : Les protocoles de sécurités AH, ESP Algorithmes d’authentification et de chiffrement.
Le gestionnaire de clef (IKE).
Les associations de sécurité (SA associations security).
Les protocoles de sécurité AH (Authentication Header) et ESP (Encapsulating Security Payload) sont conçus pour protéger les contenus des paquets IP. Quand ces protocoles de sécurité sont correctement implémentés et déployés, ils deviennent transparents pour les utilisateurs, les machines hôtes ou d’autres composants de l’Internet qui ne les utilisent pas pour la protection de leur trafic de communication.
En outre, ces protocoles de sécurité sont conçus pour être indépendants des algorithmes de cryptographie et d’authentification qu’ils utiliser ont. Cette modularité permet la sélection de différents algorithmes sans affectée leur implémentation. Cependant, un ensemble de configurations standardisées par défaut de ces algorithmes a été spécifié pour une raison d’interopérabilité.
De même, différents systèmes de gestion de clefs peuvent être utilisés comme Kerberos, mais le gestionnaire de clefs automatique utilisé par défaut est l’IKE (Internet Key Exchange). Le principal rôle de IKE est l’établissement et la maintenance des associations de sécurité (Security association SA).
Une association de sécurité SA est une connexion réseau unidirectionnelle qui applique certains services de sécurité sur le trafic qu’elle circule. Il définit l’échange des clés et des paramètresed sécurité. Il rassemble ainsi l’ensemble des informations sur le traitement à appliquer aux paquets IP(les protocoles AH et/ou ESP, mode tunnel ou transport, les algorithmes de sécurité utilisés par les protocoles, les clés utilisées,…). L’ossature habituelle pour négocier, modifier ou supprimer une SA est le ISAKMP (Internet Security Association and Key Management Protocol). On remarque que l’échange des clefs peut se faire manuellement, ou avec le protocole d’échange IKE, qui permet aux deux parties (peers) de s’entendre sur les SA à utiliser.
Dans le SA, seul un protocole de sécurité (AH ou ESP) est appliqué au trafic. Si les deux protocoles sont nécessaires, on créerait deux SA pour chacun des protocoles. De même, pour une connexion bidirectionnelle, deux SAs différentes sont utiles. Ainsi, on peut choisir librement les attributs de sécurité (algorithmes de chiffrement,..) que l’on désire implémenter afin de pouvoir offrir différents services de sécurité, différentedirection de la connexion.

Table des matières

PARTIE I APPROCHE THÉORIQUE DE LA SECURITE DES SI
CHAPITRE I INTRODUCTION A LA SECURITE
1.1. Notion de la sécurité
1.1.1. Introduction – pourquoi la sécurité est-elle primordiale ?
1.1.2. Menaces existantes pour le SI
1.1.2.1. Introduction
1.1.2.3. Catégories de menace
1.1.2.4. Attaquants
1.1.3. Les méthodes d’attaques
1.1.3.1. Attaques physiques
1.1.3.2. Attaques logiques
1.1.4. Les services de sécurité
1.1.4.1. La politique de sécurité
1.1.4.2. Authentification
1.1.4.3. Confidentialité
1.1.4.4. Non répudiation
1.1.4.5. Intégrité des données
1.1.4.6. Disponibilité des informations
1.1.4.7. Non duplication
1.1.4.8. Anonymat (d’entité ou d’origine de données)
1.1.5. Dangers et attaques menaçant les services de sécurité
1.1.6. Mécanisme de sécurité
1.1.6.1. Méthodes digitales de sécurité
PARTIE II SECURISATION DU SYSTEME INTEGRE DE LA GESTION DES FINANCES PUBLIQUES CAS DU MEFB
CHAPITRE I METHODOLOGIE
1.1 Expression des Besoins et Identification des Objectifs de Sécurité
1.1.1. Élaboration de politiques de sécurité des systèmes d’information
CHAPITRE II ANALYSES ET RESULTATS
2.1. Analyse des besoins et identifications des objectifs de sécurité
2.1.1. Etudes du contexte
2.1.1.1. Etudes de l’organisme
2.1.1.2. Etude du système cible
2.1.1.3. Elaboration de la politique de sécurité
2.2. Synthèses et solutions proposées
2.2.1. La sécurité physique
2.2.2. Le contrôle d’accès logique
2.2.2.1. La gestion des mots de passe
2.2.3. Sécurité des réseaux et de la communication
2.2.3.1. Architecture proposée
2.2.3.2. Configuration du réseau privé virtuel VPN
2.2.4. Gestion des contrôles d’accès
2.2.4.1. Développement de l’annuaire électronique pour la gestion centralisée des ressources du MEFB
2.2.4.1.6. Configuration de access.conf (annexe)
CONCLUSION
ANNEXE A – ORGANIGRAMME DU MEFB
ANNEXE B – PROCEDURE D’EXECUTION DES DEPENSES AU NIVEAU DE L ORDONNATEUR
ANNEXE C – EXECUTION DES DEPENSES AU NIVEAU DES COMPTABLES PUBLICS
ANNEXE D – EXEMPLE D’ALGORITHME UTILISE POUR LA SIGNATURE ELECTRONIQUE
BIBLIOGRAPHIE

Télécharger le rapport complet