Le firewall, par le travers

« La machine la plus sécurisée au monde est celle qui n’est branchée qu’à une prise d’alimentation (et encore) », tel est l’un des adages de tout administrateur réseau soucieux de sécurité. Evidemment ce cas extrême n’est là que pour rappeler qu’il faut être prudent lorsque l’on désire protéger une machine contre d’indésirables intrusions. À partir du moment où vous êtes connectés, vous échangez des données et courez un risque. Plus vous êtes connectés longtemps, plus le risque est grand. Cela étant, les Macintosh ont toujours eu un oreiller d’avance à ce niveau là sur leurs cousins d’en face. Jusqu’à la version 9.x de Mac OS, le système ne permettait par exemple aucune prise de contrôle à distance si l’utilisateur ne la désirait pas (encore fallait-il se procurer des logiciels souvent coûteux). Depuis Mac OS X et son fondement Unix, le réseau est au coeur du système, et avec lui de nombreux outils et de nombreuses fonctionnalités, souvent inconnues des utilisateurs de systèmes précédents, sont apparus. L’une des conséquences est une plus grande sensibilité de nos Macintosh à une malveillance potentielle. D’où l’intérêt de s’équiper de logiciels de protection, les fameux firewall, dont il ne viendrait même pas à l’esprit des utilisateurs unixiens de se passer. Sur Macintosh, nous avons par exemple NetBarrier, d’Intego. Mais commençons par faire le tour de ce qu’est un pare-feu, et de son utilité.

Y’a-t-il le feu au lac ?

D’où vient le danger ?
Il convient tout d’abord de bien comprendre quelques points de la communication en réseau. Lorsque vous vous connectez à Internet, vous mettez votre ordinateur en situation d’échanger des données avec potentiellement tous les autres ordinateurs également connectés, ce que l’on résume basiquement, et d’une façon extrêmement dichotomique, en deux phrases qui sont les suivantes : « si ça peut entrer, ça peut sortir (et inversement) », et « il y a vous d’un côté, et les autres de l’autre »[[Les littéraires parmi vous pourront se référer au sartrisme « l’enfer, c’est les autres » qui, en ce qui concerne l’objet de cet article, s’applique au pied de la lettre, en tout cas davantage qu’une référence à la définition de notre identité.]]. Cette division est valable évidemment pour un réseau d’entreprise, qui est alors considéré comme une seule machine – souvenez-vous de vos cours de maths, quand vous dessiniez des patates au tableau, c’est un peu le même principe. Ce qui nous amène à la convention suivante, pour le présent article : lorsque nous parlerons d’un ordinateur et de l’Internet, cela sera valable également pour un réseau, que l’on considérera comme une seule machine, sauf mentions contraires.

Dans le cas où votre machine est connectée directement à Internet sans protection, elle est exposée. Si vous avez une connexion DSL notamment, et êtes constamment en ligne, alors vous êtes davantage vulnérables encore : plus vous restez longtemps en ligne, plus la probabilité d’être « trouvé » par un pirate est grande, surtout si votre adresse IP change moins d’une fois par semaine. Il est sans doute exact que les « vrais » pirates, c’est-à-dire ceux qui cassent des systèmes hautement sécurisés et sont aptes à relever ce genre de challenge, ne seront que peu intéressés par un réseau de PME, et encore moins par votre collection de photos personnelles. Ici le danger vient d’ailleurs. La croissance d’Internet est une bénédiction qui permet certes d’apporter à tout un chacun des facilités d’accès à la connaissance, mais ce même phénomène met également de plus en plus d’outils à la disposition des script kiddies, pirates en culotte courte qui s’amusent avec des programmes qu’ils auraient été bien incapables de concevoir, et qu’ils se procurent par simple téléchargement sur une page quelconque du réseau. Juste pour le plaisir d’être pénibles et se donner le sentiment illégitime de valoir finalement quelque chose, durant quelques instants, soyons clairs.

Que vous ayez accès à une foultitude d’information n’implique de toute façon pas que vous deviez partager l’intégralité de vos données. Mettre une protection entre vous et l’Internet est la troisième priorité de tout possesseur d’ordinateur ou d’administrateur réseau, après la sauvegarde et les anti-virus. Mais au fond, que risque vraiment votre ordinateur ?

Types d’attaque
Certaines données n’ont pas à se retrouver ailleurs que chez vous, ni à être consultées par d’autres que vous. Ces données confidentielles se trouvent quoi qu’il arrive à deux endroits :

• dans les câbles (ou ondes, de nos jours) qui leur permettent de transiter d’un ordinateur à l’autre au sein d’un réseau prvé,
• sur un disque dur ou tout autre média de stockage.

Le premier cas est vulnérable à cinq types d’attaque :

• sniffing des paquets réseau
• spoofing d’adresses IP
• casse de mot de passe
• distribution de données sensibles à des sources externes
• attaques de type man-in-the-middle

Les données transitent en série entre les ordinateurs, chaque ensemble étant divisé en plusieurs paquets de manière à pouvoir passer par les buffers des machines sans en excéder la limite. Et la plupart du temps elles transitent en clair, c’est-à-dire qu’elles ne sont pas cryptées et, par conséquent, sont aisément lisisbles par toute machine qui les intercepte. Ce qui inclut par exemple les identifiants et mots de passe ; partant du principe ensuite que les utilisateurs se servent quasiment toujours du même mot de passe pour l’ensemble de leurs applications[[Et ce malgré les appels à changer de mot de passe lancés pluriquotidiennement par les admins, dont on se demande si cette fonction n’est pas carrément inscrite en annexe de leur contrat de travail.]], la porte est grande ouverte. Les programmes de sniffing sont largement disponibles sur Internet et le nombre de gamins qui s’amusent avec est considérable.

Page suivante (2/5)

Logo © Vikas Shah, www.vikasshah.com