Logiciels Libres de sécurité informatique et Stratégie ... - Smsi.rnu.tn

Logiciels Libres de sécurité informatique
et
Stratégie Nationale en matière de sécurisation des SI
Pr Nabil SAHLI
Agence Nationale de la Sécurité Informatique
Directeur Général
Chargé de Mission auprès de Monsieur le Ministre
1. Sécurité : Impacts et Enjeux
E-mail : n.sahli@ansi.tn
2. Grands axes de la stratégie nationale dans le domaine de la sécurité
3. Attraits que présente le LL pour la mise en oeuvre de cette stratégie
4. Meilleurs outils de sécurité du mode du LL
5. Taux d’utilisation des outils open-source chez_nous
6. Conclusion
Plan
(*) Toute utilisation de ce support est conditionnée par la simple notification à l’ANSI

Introduction :
c’est quoi
cette sécurité ..

“Hackers”
• Convoitise
• Impunité
INTRUS
INTERNET
SUCCES D’INTERNET
S
M
I
=Centre névralgique de
l’émergente SMI :
ENJEUX CONSIDERABLES:
•Economiques(Commerce
electronique)
•Scientifiques/Culturels
•Sociaux/Politiques
•Vide Juridique (Internet)/«Immatérialisme » des Intrusions
•Sophistication
+ de Succès
GENERALISATION
RESEAUX PRIVES
INTRANETs /Extranets
Monopole Technologique
TCP/IP (Uniformité)
ENRICHISSEMENT « Abusif »
DES SERVICES TCP/IP
-SECURITE
+ Failles +
E
s
s
a
+COMPLEXITE
i
S
« S.M.Intrus »
•Hackers(Challenge)
• Criminalité (Métier)
•Terrorisme (Warefare)
•Espionnage
COLLABORATION «ANONYME »

1 6 0 0 0 0
1 4 0 0 0 0
1 2 0 0 0 0
1 0 0 0 0 0
8 0 0 0 0
6 0 0 0 0
Statistiques du CERT
Incidents déclarés
+67 %
1 3 7 5 2 9
8 2 0 9 4
5 2 6 5 8
4 0 0 0 0
2 0 0 0 0
0
2 5 2 4 0 6 7 7 3 1 3 3 4 2 3 4 2 4 1 2 2 5 7 3 2 1 3 4 3 7 3 4 9 8 5 9 2 1 7 5 6
1 9 90
1 9 91
1 9 92
1 9 93
1 9 94
1 9 95
1 9 96
1 9 97
1 9 98
1 9 99
2 0 00
2 0 01
2 0 02
2 0 03
VULNERABILITES
Année
2000
2001
2002
2003
Failles Décelées
1,090
2,437
4,129
3,784

Dommages dus aux seuls virus
• Le pourcentage des E-mails virusés en 2004 a doublé par rapport
à l'année dernière ) 6.1% en 2004, contre 3% en 2003 et 0.5% en 2002(.
• aux USA : Les dégâts dus aux virus en 2004 est estimé à 55
millions $US (enquête FBI 2004)
• Quelques chiffres sur les dégâts dus aux derniers vers :
Mydoom = 380 millions $US [2004]
Blaster et Sobig = 2 Milliards $US [2003]
SirCam = 1.15 Milliards $US [2001]
Code Red = 2.62 Millards $US [2001]
(250 000 systèmes infectés en moins de 9 heures)

Selon une Enquête officielle du « DTI » (Department of
Trade and Industry) britannique ( 2004, 1 000 entreprises) :
-68% des grandes entreprises ont été atteintes par des vers
et ont été sujettes à des attaques actives (DDos)
- 83 % des entreprises ont au moins une fois été confrontées
à une affaire de criminalité informatique

Selon diverses Enquêtes de sécurité
FBI, CSO Magazine, CERT, DTI, CSI, ISC2, …
- Le coût des pertes causées par « E-Crime » est estimé en 2003 à
666 Million$ (USA)
- L’impact de « E-Crime » : 56% Pertes opérationnelles 25% pertes
financières (USA)
- Moyenne des pertes suite à un incidents cybernétique par entreprise
en UK = 213 000 $US
- Total des pertes enregistrées suite à un incidents cybernétique en
2004 en USA : 142 Million $
- 38 % ont détecté des essais d’intrusion importants
- 48% ne dévoilent pas leurs attaques (40% en 2001)
Parmi ceux qui ont accepté de dévoiler leurs attaques :
70 % ont reporté des essais de sabotage
• 12 % ont reporté des pertes de transactions
• 6 % ont reporté l’occurrence de fraudes financières
55 % ont reporté des attaques de Déni de service (DDos)

: Site Web CIA
Autres Types de pertes )… ,)Image de marque

… Mais, en plus

Principaux axes de la
stratégie nationale dans
le domaine de la
sécurité

Renforcer la sécurité de nos SI
Objectif : Permettre une ouverture et une
intégration (sécurisées) de nos SI
Institution de l’obligation de réalisation d’audits périodiques :
s’assurer de l’efficacité des démarches et des solutions
sécuritaires mises en œuvre pour la sécurisation de tous
les SI
Assurer la mise en oeuvre des mesures sécuritaires
optimales pour les grandes applications nationales
Regrouper les investissements lourds nécessités
(Implantation d’infrastructures de continuité de fonctionnement)
Veiller au développement d’un tissu industriel
riche et diversifié, apte à satisfaire à nos besoins
en la matière (et assurer le ROI: export et emploi)

Renforcement de la protection du cyberespace
national, face aux menaces cybernétiques
Objectif : Garantir un usage élargi de nos infrastructures
de communication et une interconnexion confiante
- Développement :
-de mécanismes de détection précoce des menaces,
-de moyens efficaces d’alerte,
- de plans de réaction appropriés
- Renforcer les moyens de coordination et de coopération, en cas de
menace sur notre espace cybernétique
-Fournir l’assistance nécessaire aux RSSI et aux usagers
pour parer aux Menaces
(Computer Emergency Response Team / Tunisian Coordiantor Center )

Garantir l’autonomie technologique
Objectif : Développer l'expertise scientifique et technique dans
tous les domaines de la sécurité des SI
- Encourager l’émergence et la consommation de solutions
Tunisiennes
-Développer une activité de R&D “réactive” à nos besoins
Basée sur l’approche Open-Source
- Motiver la recherche scientifique sur les aspects de base .
- Assurer la veille technologique dans le domaine de la sécurité

Mise à niveau des aspects réglementaires et
juridiques
Objectif : Œuvrer pour la complétude de la réglementation
relative aux
aspects sécuritaires de nos SI
- Enrichir le répertoire national de normalisation, certification et
homologation dans le domaine de la sécurité.
- Réglementer le domaine (stratégique) de l’audit sécurité
( certification des auditeurs).
- Harmoniser le rôle des régulateurs publics et garantir la souplesse des procédures.
Renforcer le cadre juridique (crimes cybernétiques)
et adhérer aux conventions internationales
(propriété intellectuelle, usages prohibés, …).

Consolider la Formation et la sensibilisation
Objectif : Garantir la disponibilité de ressources spécialisées
Et l’usage averti des TI
- Lancement de formations spécialisées et certifiantes dans le
domaine de la sécurité informatique et motiver le renforcement de
l’enseignement de la sécurité dans les cursus universitaires de base.
- Assurer la formation de formateurs.
- Encourager le recyclage et la certification des professionnels.
-Entretenir l’information et la sensibilisation des utilisateurs.
-Motiver la création d’associations professionnelles
- Elargir la sensibilisation au grand public.

Des décisions avant guardistes
Décisions prises lors du CMR du 31 Janvier 2003
Création d’une Agence Nationale
(Instrument de mise en oeuvre de la stratégie nationale)
Institution de l’obligation d’audit périodique
(Base importante de notre stratégie)
Création d’un corps d’auditeurs certifiés
Lancement de formations universitaires de haut niveau
-Loi sur la sécurité informatique (N°5/2004 publiée le 03-02-2004)
- Création de l’ANSI
- Réglementation de l’audit sécurité : Décrets d’applications N°1248/2004,
1249/2004 et 1250/2004.
- Lancement de plusieurs DESS (ISI-Sup’Com, ENSI, 2 universités
libres).
-Lancement d’un CERT-TCC

Rôles de
Se charger de la réglementation dans le domaine de la sécurité
informatique et veiller à sa diffusion.
L’Agence Nationale de Sécurité Informatique
Veiller à l’application des orientations nationales et à la mise
en œuvre de la stratégie nationale dans le domaine de la
sécurité des systèmes informatiques et des réseaux.
Suivi de l’exécution des plans et des programmes , en relation
avec la sécurité informatique dans le secteur public
(exclusion faite de quelques ministères de souveraineté)
et
la coordination entre les intervenants dans ce domaine.
Assurer la Veille Technologique

Encourager et Promouvoir des Solutions Nationales
dans le domaine de la sécurité informatique, en relation
avec les priorités et les programmes qui seront définis
par l’agence.
Importance de l’Open-Source
Participation dans le renforcement de la formation et du
recyclage dans le domaine de la sécurité informatique.
Veiller à l’application des mesures qui concernent
l’obligation de l’Audit périodique.

Attraits que présente le
Logiciel libre
dans cette stratégie

Un “grand séducteur” :
• Codes sources disponibles auditables
• Usage libre
• Adaptables & Evolutifs
• Pérennes
+ Respect des principaux standards (IETF ).
+ Documentation assez fournie et assistance communautaire
disponible sur le Net
+ Étui mature et sécuritairement sain (Unix).

code source disponible
Pas de sécurité sans CONFIANCE dans les outils
(font ce qu’il disent, vivront)
Open-source :
On peut vérifier : Tout ce que fait l’outil/ Comment il le fait
(sans grande difficulté, la plupart du temps)
Pérennité prouvée pour les “musts”

Evolutifs/ Adaptables
Pas de sécurité sans autonomie des moyens
(limitations à l’export des fonctions de chiffrement )
On peut adapter et faire évoluer (sans grande difficulté)
Tout ce que fait l’outil/ Comment il le fait
SI
Existence d’une réelle activité de R&D,
apte à assurer :
- Adaptation / Simplification de l’usage ( GUIs)
- Enrichissement et Distribution

Libres d’usage
La sécurité est intégrale ou elle ne l’est pas
Besoins Budgétaires énormes (licenses, ..)
En complément des solutions commerciales
Assurer la Complétude Cardinale et qualitative
nécessitées
SI
Existence de compétences, aptes à assurer :
- Le Déploiement / La formation
- Le Maintenance / L’Assistance

Outils de sécurité
du Monde du Logiciel Libre
et de l’Open Source :
Les « Musts »

Outils Open-source
: Firewall
Netfilter, ,IP-Filter
: Chiffrement
OpenSSL, OpenSSH, Free S/Wan
,(ssltunnel), PGP
: Authentification forte
OpenLdap, FreeRadius, S/Key
Antivirus :
Amavis, clamav
Honey-Pots
Honeyd , HoneyNet, Deception
Toolkit, Specter
....
: Détection d’intrusion
Snort , Prelude, Ntop, Shadow
: Scanner des vulnérabilités
Nessus, Dsniff, Nmap, Sara,
Whisker, Nikto, ,THC-Amap,
… ,Hping2
: PKI
Open_PKI, EuPKI
: Anti-Spam
(Spam Assassin (solution serveur
solution client)SamSpade)
: Détecteur de sniffeurs
Neped , Sentinel, Cpm

Netfilter
Firewalls
NetFilter (Linux 2.4),
- Packet Filter (OpenBSD)
- IP-Filter (FreeBSD, NetBSD, Solaris, HP-UX, IRIX),
• Firewall “stateful inspection” (et Stateless packet filtering pour IPv6)
• Utilise le NAT et le PAT pour partager l’accés à Internet
• Notion de ‘transparent proxies’
• Permet de mettre en place des QOS sophistiqués
– Un bon nombre de plugins/modules maintenu en dépôt 'patch-o-matic‘
http://www.netfilter.org/

Détecteurs d’intrusion Réseau
Snort
– Analyse et journalise toutes tentatives d’attaque réseau.
– Détection d'intrusion par analyse du trafic réseau et l'utilisation de signatures d'évènements hostiles
– Langage de règles flexible pour la description de nouvelles attaques.
– Capable aussi de bloquer les attaques réseau en temps réel (Plug-In).
http://www.snort.org
• Prelude :
La détection d'intrusion se base aussi par l'analyse en continue de fichiers de journalisation.
- Architecture modulaire ( peut intégrer ou développer de nouvelles fonctionnalités
grâce à des plugins),
-distribué (les sondes et les managers) et sécurisé (utilisation du support SSL pour l'authentification
et le chiffrement des communications).
http://www.prelude-ids.org

Anti-virus
Clamav
- s'intégre avec des serveurs de messagerie (scan des pièces jointes).
- Disponible aussi sous windows sous la forme d'un scanner (ne supprime pas les virus
trouvés et ne possède aucun module de protection résidant en mémoire)
– fournit la mise à jour automatique des signatures, via internet
– Détecte les tentatives de phishing les plus connues.
http://www.clamav.net/
• Amavis
Propose 2 versions (anciennement amavis-perl) : amavisd et amavisd-new .
- Amavisd : démon lancé une fois pour toute.
- Amavisd-new est une évolution de amavis (qui consommait pas mal de ressources
car il faut démarrer une programme perl pour chaque message à traiter),
qui offre de riches fonctionnalités (possibilité de coupler un antispam à l’antivirus, …).
http://www.amavis.org

Anti-Spam
SpamAssassin
– Permet le filtrage et l’analyse des messages de SPAM :
– Par listes d’exlusions (Utilisation de listes noires DNS et de catalogues de
spam)
– Par analyse comportementale ( associe à chaque test un certain nombre de
points, quand le nombre de points dépasse une certaine limite le message est considéré
comme un spam)
http://spamassassin.org/

Outils de contrôle de l’intégrite des
systèmes
Tripwire
– Vérifie l’intégrité du système et surveille les principaux fichiers sensibles : Permet le repérage
et la correction rapide des changements intervenus (détecte les modifications accidentelles ou
malveillantes) : Utilisé pour détecter les effets d’une intrusion : découvrir les modifications de
configurations, les fichiers altérés, …
– effectue l'audit du système et permettre le respect des politiques en vigueur sur le réseau.
http://www.tripwire.org/
AIDE
– Même chose que Tripwire(tm) + :
– crée une base à partir de règle d’expressions régulières et utilise
plusieurs algorithmes de hashage pour la vérification de l’intégrité
(md5, sha1, rmd160, tiger, haval, etc.)
– Tous les attributs des fichiers peuvent être vérifier pour des éventuelles
inconsistances.
http://www.cs.tut.fi/~rammer/aide.html

Outils d’authentification et Relais HTTP
OpenLDAP
– Serveur LDAP (sur plateformes Unix)
– LDAP permet à n'importe quelle application fonctionnant sur
n'importe quelle plateforme d'ordinateur d’ obtenir l'information
d'annuaire, telle que des adresses d'email et des clefs publiques.
http://www.openldap.org
Relais HTTP : SQUID
Serveur proxy-cache très performant, supportant divers outils
d’authentification, dont Open-LDAP.
http://www.squid-cache.org

Outils d’audit de vulnérabilité
Nessus vulnerability scanner
– Scanner de vulnérabilité très complet
– Trés rapide, fiable et propose des batteries de tests
modulaire
http://www.nessus.org
Satan
Autre Scanner de vulnérabilité très complet
http://www.porcupine.org/satan/

scanner de serveur web
Nikto
– Réalise des tests très complets sur les failles des applications
web, (incluant une liste de plus que 2600 CGI qui sont potentiellement dangereux et plus
que 625 versions de serveurs )
– Liste des failles réguliérement mise à jour.
http://www.cirt.net/code/nikto.shtml

Outils de scan manuels
•OS fingerprint à distance
•Test de firewall
•Scan de port trés avancé
•Test de réseau utilisant : différents protocoles, TOS et la fragmentation
•Découverte manuelle de route MTU
•Traceroute avancé (supportant tous les protocoles)
•Exécution de uptime à distance
•Audit de pile TCP/IP
NMap
– Scanner “stealth”, permettant d’outrepasser certains firewalls.
HPing2
http://www.insecure.org
– Permet de forger des paquets TCP/IP
– L'interface est inspirée de la commande Unix ping(8), mais le Hping n’envoi pas seulement des paquets ICMP echo, il
supporte en plus les protocole TCP, UDP, ICMP et RAW-IP.
http://www.hping.org
+ Plein, plein d’autres ……………….

Outils d’analyse de l’interception
des données
Dsniff
– Collection d'outils d’interception passifs.
– arpspoof, dnsspoof et macof permettent de tester la résistance du réseau contre
l’interception experte des données.
– Filesnarf, mailsnarf, msgsnarf, urlsnarf et webspy permettent de capturer des mot de
passe, emails, fichiers, urls accédées…
– Sshmitm et webmitm mettent en application des attaques active de type man-in-themiddle
contre des sessions rédirigées SSH ou HTTPS en exploitant la faiblesse dans
l’attachement PKI ad-hoc.
http://monkey.org/~dugsong/dsniff/
Sentinel
– Permet d’identifier les machines qui tournent des sniffers sur un réseau local
http://www.packetfactory.net/Projects/sentinel/
Ethereal
– Analyseur de protocole réseau pour plateforme Unix et Windows.
(518 protocoles supportés)
- Permet d‘intercepter et d’analyser les données transitant sur le réseau, via :
– Visualisation interactive des données capturées,
– Application de filtres sur les capture
http://www.ethereal.com

Outils d’administration
WebMin
– Permet de gérer à distance et de maniére centralisée une multitude d’outils de
sécurité Open-source : SQUID, Snort, Netfilter, …
– Basé sur une interface Web conviviale et simple d’usage.
http://www.webmin.org
• Swatch
- Surveille les logs en temps réel et déclenche une action prédéfinie (alerte, …)
lorsqu’un événement spécifiques (trigger) se déclenche
http://swatch.sourceforge.net/
Autres : Logsurfer, XML-logs, New Syslog, Modular Syslog, Syslog-NG, ……
• Aide à la configuration des Firewalls (régles)
Firewall Builder, SmoothWall, PHP Firewall Generator, GFCC, Easy Firewall,
Mason, Network streams, Filterrules

Honey-Pots
HoneyNet
– Permet de sonder les essais d’attaques et aussi de les détourner
– Permet de créer sur un seul poste des réseaux virtuels (adresses IP multiples
pour la simulation d’un réseau).
– Les postes peuvent être configurés pour ouvrir des services virtuels, et
leur apparence peut être adaptée de sorte qu'ils semblent exécuter des
types virtuels de systèmes d'exploitation.
http://www.honeyd.org/

Kits de sécurisation des
communications
OpenSSL
– Outil qui implémente le Secure Sockets Layer (SSL
v2/v3) et le Transport Layer Security (TLS v1) protocols
http://www.openssl.org
GN Privacy Guard (GPG)
– Un outil gratuit qui remplace le PGP suite (Outil de cryptographie). Il est publié sous la licence
de GNU General Public License. Il est initialement dévéloppé par Werner Koch et supporté par la
suite par le gouvernoument Allemand.
http://www.gnupg.org/

Qcqs Adresses utiles
http://www.linux-sec.net/
http://sourceforge.net
http://www.insecure.org/tools.html
http://www.linuxsecurity.com

Aperçu sur un recensement de
nos besoins en outils Opensource
Résultats d’une enquête (70 entreprises stratégiques) sur la
sécurité des SI –2003-

Catégories des produits Open Source
sollicitées
Majorité des environnements = MS
Solutions pour le réseau
(en attendant une plus grande popularité de l’usage d’unix)
25,00%
22,92% 22,92%
18,75%
12,50%
Firewall IDS AUDIT Chiffrement PKI
(Vœux de formation, , extrait des résultats de l’enquête 2003)

Taux d’utilisation d’outils open-source :
Firewalls :
100%
6%
Firewall Open
source
Firewall
Commercial
Détecteurs d'intrusions :
Types d'IDS utilisés pour la protection du LAN
80%
20%
IDS Commercial
IDS Open source

Outils d’audit de vulnérabilité :
62%
85%
Chiffrement
Solution Open
source
Solution
Commerciale
80%
20%
Solution de
chiffrement
Commerciale
Solution de
chiffrement
Open Source

Quelques Utilisations Nationales Importantes :
•Squid, SpamAssassin (Enseignement Supérieur, El Khawarizmi)
•SLIS (Education, INBMI)
•Apache (FSIs)
+ + + +

Conclusion
Intérêt Certain Et Besoins Stratégiques et Urgents
Appel à Contribution :
Sensibilisation.
Logistique d’Assistance et de Formation des
utilisateurs.
Initier une activité d’adaptation et de
développement, basée sur l’Open-Source.

Merci pour votre attention
Inscrivez vous à la Mailing List de
l’ANSI:
Cert-Tcc@ansi.tn