Utilisation d'une liste blanche des applications
Utilisation d'une liste blanche des applications
Utilisation d'une liste blanche des applications
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
NON CLASSIFIÉ<br />
<strong>Utilisation</strong> d’une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong><br />
Conseils à l’intention du gouvernement du Canada<br />
ITSB-95<br />
Janvier 2013<br />
Introduction<br />
L’utilisation d’une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong> figure parmi les quatre mesures les plus importantes dans la <strong>liste</strong> <strong>des</strong><br />
35 mesures d'atténuation les plus efficaces du CSTC (ITSB-89A). La mise en œuvre simultanée de ces quatre mesures<br />
permettrait de prévenir la grande majorité <strong>des</strong> intrusions auxquelles le CSTC doit intervenir à l’heure actuelle.<br />
Le présent document propose <strong>des</strong> lignes directrices de haut niveau expliquant en quoi consiste une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong><br />
<strong>applications</strong>, ce qui ne constitue pas une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong> et la mise en œuvre efficace d’une telle <strong>liste</strong><br />
dans un environnement Windows.<br />
Pourquoi faut-il mettre en œuvre une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong>?<br />
Une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong> est conçue spécifiquement pour empêcher l’exécution de programmes malveillants et<br />
non autorisés. Elle permet de s’assurer que seuls les programmes (fichiers exécutables ou EXE) et les bibliothèques de<br />
logiciels (DLL) spécifiquement sélectionnés peuvent être lancés, ce qui bloque l’exécution de tous les autres<br />
programmes et bibliothèques.<br />
Bien qu’elle vise principalement à réduire au minimum l’exécution et la diffusion de programmes malveillants (ou<br />
maliciels), une <strong>liste</strong> <strong>blanche</strong> peut également prévenir l’installation ou l’utilisation de logiciels non autorisés.<br />
La mise en œuvre d’une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong> à l’échelle d’un organisme peut représenter une tâche difficile.<br />
L’organisme peut toutefois commencer par les systèmes d’employés de premier plan et souvent ciblés, notamment :<br />
<br />
<br />
<br />
<br />
<br />
les cadres supérieurs et leurs adjoints;<br />
le personnel <strong>des</strong> services de soutien, les administrateurs système et les utilisateurs qui ont <strong>des</strong> privilèges<br />
d’administrateur ou <strong>des</strong> privilèges d’accès;<br />
les utilisateurs qui ont accès à l’information sensible;<br />
les utilisateurs qui ont l’accès à distance;<br />
les utilisateurs qui, dans le cadre de leurs fonctions, doivent traiter <strong>des</strong> courriels non sollicités de la part du<br />
public et d’autres utilisateurs inconnus du Web (p. ex. le personnel <strong>des</strong> ressources humaines qui est<br />
fréquemment appelé à ouvrir <strong>des</strong> fichiers joints à <strong>des</strong> courriels de candidature).<br />
De plus, les services ministériels de premier plan, comme les principaux serveurs d’<strong>applications</strong> (contrôleurs de<br />
domaines, l’annuaire principal Active Directory, serveurs de bases de données) pourraient également faire partie du<br />
déploiement initial d’une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong>.<br />
En quoi consiste une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong>?<br />
La mise en œuvre d’une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong> comprend les étapes techniques suivantes :<br />
cerner les exécutables et bibliothèques de logiciels dont l’exécution doit être permise sur un système donné;<br />
empêcher l’exécution de tout autre exécutable ou bibliothèque de logiciels sur ce système;<br />
empêcher les utilisateurs de modifier la <strong>liste</strong> <strong>blanche</strong>.<br />
Une approche intermédiaire et moins difficile consiste à spécifier plutôt les répertoires dans lesquels les utilisateurs sont<br />
autorisés à exécuter <strong>des</strong> programmes, par exemple C:\Windows, C:\Program Files ou même C:\Program<br />
Files\Application spécifique. Cette approche assure un certain degré de protection contre l’exécution d’<strong>applications</strong> hors<br />
<strong>des</strong> répertoires spécifiés, toutefois elle ne tient pas compte de nombreux scénarios potentiels de compromission. Si<br />
aucune <strong>liste</strong> <strong>blanche</strong> n’est utilisée, cette approche intermédiaire est préférable. Néanmoins, il est recommandé<br />
1
NON CLASSIFIÉ<br />
d’appliquer sans délai une approche plus exhaustive, par exemple lors de la prochaine actualisation de l’environnement<br />
d’exploitation standard.<br />
Qu’est-ce qui ne constitue pas une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong>?<br />
Un portail ou tout autre moyen similaire d’installation d’une <strong>liste</strong> restreinte de logiciels approuvés (comme le fait iTunes,<br />
par exemple) ne constitue pas une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong>. Cette méthode n’empêche pas les utilisateurs<br />
d’exécuter <strong>des</strong> logiciels ne figurant pas dans le portail et n’empêche pas non plus les maliciels de s’exécuter et de<br />
compromettre un système.<br />
Une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong> ne signifie pas qu’il faut simplement empêcher les utilisateurs de modifier le<br />
contenu de répertoires tels que C:\Windows ou C:\Program Files. Bien que cette approche puisse bloquer l’installation<br />
de certains logiciels, elle n’empêche pas l’exécution de logiciels enregistrés dans <strong>des</strong> emplacements tels que le bureau<br />
de l’utilisateur ou <strong>des</strong> répertoires temporaires. Les maliciels utilisent souvent ces emplacements pour infecter les postes<br />
de travail.<br />
Comment mettre en œuvre une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong>?<br />
En règle générale, une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong> est mise en œuvre en combinant, d’une part, un produit logiciel<br />
permettant de sélectionner et d’approuver les exécutables et bibliothèques de logiciels nécessaires, et d’autre part, <strong>des</strong><br />
<strong>liste</strong>s de contrôle d’accès permettant d’empêcher les utilisateurs de modifier les fichiers approuvés. Il existe sur le<br />
marché plusieurs programmes de création de <strong>liste</strong>s <strong>blanche</strong>s, appelés également programmes de contrôle<br />
d’<strong>applications</strong>. Par exemple, certains produits antivirus sont en mesure de créer une <strong>liste</strong> <strong>blanche</strong> d'<strong>applications</strong> basée<br />
sur les hachages cryptographiques. Les versions récentes de Microsoft Windows comportent aussi <strong>des</strong> fonctions<br />
gratuites de <strong>liste</strong>s <strong>blanche</strong>s d’<strong>applications</strong>.<br />
Le logiciel et la configuration sélectionnés doivent impérativement couvrir à la fois les exécutables et les bibliothèques<br />
de logiciels, puisque l’omission de l’un de ces types d’application annulerait la protection offerte par la <strong>liste</strong> <strong>blanche</strong>. Il<br />
faut examiner les différents produits disponibles afin de déterminer celui qui sera le plus efficace en fonction de la mise<br />
en œuvre recherchée et <strong>des</strong> évaluations disponibles <strong>des</strong> produits.<br />
Avant la mise en œuvre du produit choisi, il peut s’avérer utile de réaliser <strong>des</strong> activités de planification et de<br />
prédéploiement. Par exemple, il est recommandé de rédiger une politique énonçant les <strong>applications</strong> qui sont autorisées.<br />
De plus, il faut mettre en place <strong>des</strong> restrictions stipulant quels utilisateurs sont autorisés à exécuter certaines<br />
<strong>applications</strong> précises. Ces restrictions doivent être fondées sur les besoins associés au rôle et aux responsabilités de<br />
chaque utilisateur au sein de l’organisme.<br />
L’aspect le plus difficile de l’établissement d’une <strong>liste</strong> <strong>blanche</strong> a lieu généralement au début du projet, à savoir<br />
déterminer les <strong>applications</strong> essentielles aux activités de l’organisme. Toutefois, le logiciel de <strong>liste</strong> <strong>blanche</strong> ne devrait pas<br />
nécessiter une grande maintenance après la configuration initiale, laquelle peut être modifiée au besoin.<br />
Les règles d’une <strong>liste</strong> <strong>blanche</strong> sont modifiables et peuvent être adaptées en fonction <strong>des</strong> besoins de l’organisme. Elles<br />
peuvent être générées automatiquement par le produit ou créées manuellement. Il est cependant préférable de tester<br />
d’abord les règles sur un poste de travail réservé à cet effet, puis de les appliquer à un groupe d’utilisateurs pilote. Par<br />
ailleurs, il est tout aussi important d’utiliser <strong>des</strong> métho<strong>des</strong> autres que la simple identification du nom de fichier ou de<br />
l’emplacement du répertoire pour identifier les exécutables faisant partie de la <strong>liste</strong> <strong>blanche</strong>, de manière à cerner les<br />
maliciels qui se font passer pour <strong>des</strong> logiciels légitimes.<br />
Pour faciliter la mise en œuvre, il pourrait être avantageux de tester initialement la <strong>liste</strong> <strong>blanche</strong> en mode Vérification<br />
seulement. Dans ce mode, les événements que la <strong>liste</strong> <strong>blanche</strong> aurait bloqués si elle avait été activée sont journalisés.<br />
Ainsi, les résultats peuvent être analysés afin de déterminer si la configuration proposée pour la <strong>liste</strong> <strong>blanche</strong> est<br />
efficace. Le journal <strong>des</strong> événements contient de l’information utile (empreintes digitales <strong>des</strong> <strong>applications</strong>) en cas<br />
d’incident et pendant la phase de rétablissement.<br />
Une <strong>liste</strong> <strong>blanche</strong> <strong>des</strong> <strong>applications</strong> limite les activités <strong>des</strong> utilisateurs dans l’environnement informatique. Il est donc<br />
important d’expliquer aux utilisateurs les raisons de sécurité ayant motivé les modifications et de leur offrir le soutien<br />
nécessaire afin qu’ils puissent s’adapter à leur nouvel environnement de travail. Il faut également donner au personnel<br />
de soutien les directives nécessaires sur la façon d’aider les utilisateurs et de répondre à leurs deman<strong>des</strong> et<br />
préoccupations.<br />
2
NON CLASSIFIÉ<br />
Comme l’environnement informatique évolue au fil du temps, il importe de mettre à jour régulièrement les règles de la<br />
<strong>liste</strong> <strong>blanche</strong> pour veiller à ce que le programme de contrôle d’<strong>applications</strong> demeure efficace.<br />
Renseignements additionnels<br />
La <strong>liste</strong> complète <strong>des</strong> 35 mesures d’atténuation les plus efficaces du CSTC ainsi que <strong>des</strong> conseils additionnels se<br />
trouvent à l’adresse http://www.cse-cst.gc.ca/its-sti/publications/index-fra.html. Pour les questions d’ordre général au sujet<br />
du présent document, veuillez envoyer un courriel à itsclientservices@cse-cst.gc.ca.<br />
3