Par Julien
Mise à jour le 29-10-2010
Télécharger ce document
→ Téléchargement disponible après inscription
16,00/20
2 Avis > Donne ton avis
5046 téléchargements
Le secteur de l’aéronautique et de l’aérospatial est particulièrement sensible aux problématiques de la thermodynamique. Le milieu dans lequel évoluent les engins volants est le lieu de variations brutales de pressions, de température,… et la conception d’une aile d’avion ou d’un moteur fonctionnant à haute altitude par exemple, se doit d’être réalisé compte tenu des contraintes mécaniques et thermiques propres à ce milieu. L’objet de cette fiche sera de rappeler les éléments essentiels à retenir sur la discipline de la thermodynamique appliqué à l’aéronautique.
> Retrouvez également tous les cours d'informatique.
Plan du document :
Chapitre 1 : Principes de ma sécurité
I. Exigeances fondamentales
II. Etude des risques
III. Etablissement d'une politique de sécurité
IV. Elements d'une politique de sécurité
V. Principaux déféauts de sécurité
VI. Elements de droits
Chapitre 2 : Les solutions des failles de sécurité sur internet
I. Proposition des solutions des attaques sur internet
II. Principales attaques
III. Espionnage
I. Sensibilisation et formations des utilisateurs
II. Poste de travail
III. Anti virus
IV. Pare-feu ou garde barrière
VI. Messagerie
Tout au long de ce chapitre on va, tout d'abord, présenter le principe de la sécurité informatique vis à vis des exigences issues des études des risques informatiques,d 'une part. D'autre part, nous nous intéressons à la présentation des principes de l'établissement d'une politique de sécurité.
La sécurité information c'est l'ensemble des moyens mis en oeuvre pour réduire la vulnérabilité d'un système contre les menaces accidentelles ou intentionnelles. Il convient d'identifier les exigences fondamentales en sécurité informatique. Elles caractérisent ce à quoi s'attendent les utilisateurs de systèmes informatiques en regard de la sécurtié :
• Disponibilité : demande que l'information sur le système soit disponible aux personnes autorisées
• Confidentialité : demande que l'information sur le système ne puisse être lue que par les personnes autorisées
• Intégrité : demande que l'information sur le système ne puisse être modifiée que par les personnes autorisées.
La sécurité recouvre ainsi plusieurs aspects :
• Intégrité des informations (pas de modification ni destruction)
• Confidentialité (pas de divulgation à des tiers non autorisés)
• Authentification des interlocuteurs (signature)
• Respect de la vie privée (informatique et liberté)
Du point de vue de la sécurité informatique, une menace est une violation potentielle de la sécurité. Cette menace peut-être accidentelle, intentionnelle (attaque), active ou passive.
Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité le sont aussi. Il est nécessaire de rélaiser une analyse de risque en prenant soin d'identifier les problèmes potentiels avec les solutions avec les coûts associés. L'ensemble des solutions retenues doit être organisé sous forme d'une politique de sécurité cohérente, fonction du niveau de tolérance au risque. On obtient ainsi la liste de ce qui doit être protégé.
Il faut cependant prendre conscience que les principaux risques restent : « câble arraché » « coupure secteur », « crash disque », « mauvais profil utilisateur », « test du dernier CD Bonux »
Voici quelques éléments pouvant servir de base à une étude de risque :
• Quelle est la valeur des équipements, des logiciels et surtout des informations ?
• Quel est le coût et le delai de remplacement ?
Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d'analyse des paquets, logs ...)
Quel serait l'impact sur la clientèle d'une information publique concernant des intrusions sur les ordinateurs de la société ?
Suite à l'étude des risques et avant de mettre en place des mécanismes de protection, il faut préparer une politique à l'égard de la sécurité. C'est elle qui fixe les principaux paramètres, notamment les niveaux de tolérance et les coûts acceptables. Voici quelques éléments pouvant aider à définir une politique de sécurité :
• Quels furent les coûts des incidents informatiques passés ?
• Quel degré de confiance pouvez-vous avoir envers vos utilisateurs internes ?
• Qu'est-ce que les clients et les utilisateurs espèrent de la sécurité ?
• Quel sera l'impact sur la clientèle si la sécurité est insuffisante, ou tellement forte qu'elle devient contraignante ?
• Y-a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de l'externe ?
• Quelle est la configuration du réseau et y-a-t-il des services accessibles de l'extérieur ?
• Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la connfidentialité des informations ?
Il ne faut pas perdre de vue que la sécurité est comme une chaîne, guère plus solide que son maillon le plus faible. En plus de la formation et de la sensibilisation permanente des utilisateurs, la politique de sécurité peut être découpée en plusieurs parties :
Défaillance matérielle : Tout équipement physique est sujet à défaillance (usure, vieillissement, défaut...). L'achat d'équipements de qualité et standard accompagnés d'une bonne garantie avec support technique est essentiel pour minimiser les délais de remise en fonction. Seule une forme de sauvegarde peut cependant protéger les données.
Défaillance logicielle : Tout programme informatique contient des bugs. La seule façon de se protéger efficacement contre ceux-ci est de faire des copies de l'information à risque. Une mise à jour régulière des logiciels et la visite des istes consacrés à ce type de problèmes peut contribuer à en diminuer la fréquence.
Accidents (pannes, incendies, innondations...) : Une sauvegarde est indispensable pour protéger efficacement les données contre ces problèmes. Cette procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des échelles de temps différentes :
• Disques RAID pour maintenir la dispoinibilité des serveurs
• Copie de sécurité via le réseau (quotidienne)
• Copie de sécurité dans un autre bâtiment (hebdomadaire)
La disposition et infrastructure des locaux peut aussi fournir une protection intéressante.
Pour des sites particulièrement important (site informatique central d'une banque ...) il sera nécessaire de prévoir la possibilité de basculer totalement et rapidement vers un site de secours (éventuellement assuré par un sous-traitant spécialisé). Ce site devra donc contenir une copie de tous les logiciels et matériels spécifiques à l'activité de la société.
Erreur humaine : Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce problème.
Vol via des dispositifs physiques (disques et bandes) : Contrôler l'accès à ces équipements ; ne mettre des unités de disquette, bandes... Que sur les ordinateurs où c'est essentiel. Mettre en place des dispositifs de surveillances.
Virus provenant de disquettes : Ce risque peut-être réduit en limitant le nombre de lecteur de disquettes en service. L'installation de programmes antivirus peut s'avérer une protection efficace mais elle est coûteuse, diminue la productivité, et nécessite de fréquentes mises à jour.
Piratage et virus réseau : Cette problématique est plus complexe, et l'omniprésence des réseaux, notamment l'Internet, lui confére une importance particulière. Les problèmes Sécurité LESCOP Yves [V1.6] 5/21 Post BTS R2i de sécurité de cette catégorie sont particulièrement dommageables et font l'objet de l'étude qui suit.
→ Suite de cette partie sur le document à télécharger gratuitement
Intrusions informatiques : loi « Godfrain »du 05/01/88
• Art. 323-1. LE fait d'accéder ou de se maintenir frauduleusement dans tout ou partir d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15 000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30 000 euros d'amende.
• Article 323-2. Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni à trois ans d'emprissonnement et de 45 000 euros d'amende.
→ Suite de cette partie sur le document à télécharger gratuitement
Nous nous occupons, dans ce chapitre, de spécifier les failles de sécurités que peut rencontrer un utilisateur de Internet ainsi que d'y proposer les solutions adéquates par rapport à la technologie actuelle.
En entreprise, c'est le réseau local qui est connecté à Internet. Il est donc indispensable de contrôler les communications entre le réseau interne et l'extérieur. De plus une formation du personnel est indispensable (règles de sécurité, déontologie, attention aux participations aux forums qui sont archivées ...).
Les problèmes de sécurité qu'on peut rencontrer sur un réseau d'entreprise ou sur l'Internet relèvent d'abord de la responsabilité des victimes avant d'être imputables aux hackers. Une menace qui a sensiblement augmenté au cours de ces dernières années, nous indique la dernière étude du Computer Security Institute, un institut professionnel de San Francisco qui réalise chaque année un sondage auprès des entreprises en collaboration avec le FBI. Dans cette étude, plus de 40 % des sociétés interrogées ont déclaré que des intrus s'étaient introduits dans leurs systèmes depuis l'Internet, 38 % des sociétés ont détecté des attaques de type " déni de service «, et94 % ont été infectées par un virus en 2000.
D'autre part, votre sécurité peut dépendre d'autres entreprises dont vous pensez, parfois à tort, qu'elles ont assuré leur propre sécurité. Alors que le gouvernement et les forces de l'ordre cherchent à interpeller les intrus, les sociétés ne se préoccupent trop souvent que de relancer leurs réseaux après une attaque. " Le secteur privé ne cherche pas à savoir qui est responsable, tout ce qui intéresse les entreprises, c'est que l'attaque cesse. "
On propose donc des solutions aux différents types d'attaques qui peuvent avoir lieu en se connectant à Internet.
Une solution à l’attaque qui utilise l’IP spoofing qui est une Usurpation d'adresse IP est une bonne configuration du routeur d'entrée qui permet d'éviter qu'une machine extérieur puisse se faire passer pour une machine interne
Cette attaque qui a pour principe de pousser un serveur DNS à accepter l'intrusion a pour solution de séparer le DNS du LAN (Local Area Network) de celui de l'espace public.
Il consiste à envoyer des données inutiles en permanence pour rendre le réseau inutilisable Une bonne solution c'est le Raid massif de connexion non terminés.
Cette attaque a pour objectif d'envoyer un mail publicitaire en format HTML (même si l'apparence est normale) avec une image transparente gif d'un pixel par un lien du type :
- Si le courrier est ouvert pendant la connexion, la requête de téléchargement de l'image vient confirmer la lecture du message et la validité de votre adresse.
- Conseil : ne pas valider l'ouverture automatique du format HTML ou ne pas ouvrir ses courriers en ligne. Un utilitaire de détection de « web bug » BUGNOSIS est disponible sur.
Un « hoax » est une rumeur que l'on transmet par mail. Ces rumeurs colportent souvent des problèmes de sécurité soit disant découverts par des services officiels ou célèbre ... Elles peuvent causer un véritable préjudice à certaines sociétés et de toute façon encombrent le réseau.
Avant de transmettre un tel message il est prudent de vérifier son authenticité. www.hoaxbuster.com (site français) recense la plupart des messages bidons.
Le virus est un exécutable qui va exécuter des opérations plus ou moins destructrices sur votre machine. Les virus existent depuis que l'informatique est née et se propageaient initialement par disquettes de jeux ou logiciels divers ... Sur internet, les virus peuvent contaminer une machine de plusieurs manières.
• Téléchargement de logiciel puis exécution de celui-ci sans précautions
• Ouverture sans précautions de documents contenant des macros
• Pièce jointe de courrier électronique (exécutable, script type vbs ...)
• Ouverture d'un courrier au format HTML contenant du JavaScript exploitant une faille de sécurité du logiciel de courrier (normalement JAvaScript est sans danger).
• Exploitation d'un bug du logiciel de courrier (effectuer régulièrmeent les mises à jour)
Les virus peuvent être très virulent mais ils coûtent aussi beaucoup de temps en mise en place d'antivirus et dans la répartition des dégats causés. On peut malheureusement trouver facilement des logiciels capables de générer des virus et donc permettant à des« amateurs » ( aussi appelés crackers) d'étaler leur incompétence.
La meilleur parade est l'utilisation d'un antivirus à jour et d'effectuer les mises à jour de slogiciels (pour éviter l'exploitation des bugs).
Le but d'une telle attaque n'est pas de dérober des informations sur une machine distante, mais de paralyser un sevrice ou un réseau complet. Les utilisateurs ne peuvent plus alors accéderaux ressources. Les deux exemples principaux, sont le « ping flood » ou l'envoi massif de courrier électroniques pour saturer une boîte aux lettre (mailbombing). La meilleure parade est le firewall ou la répartition des serveurs sur un réseau sécurisé.
Il existe des logiciels qui, à l'image des analyseurs de réseau, permettent d'intercepter certaines informations qui transitent sur un réseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing). C'est l'une des raisons qui font que la topologie en étoile autour d'un hub n'est pas la plus sécurisée, puisque les trames qui sont émises en « broadcast» sur le réseau local peuvent être interceptées. De plus, l'utilisateur n'a aucun moyen de savoir qu'un pirate a mis son réseau en écoute. L'utilisation de switcher (commutateurs) réduit les possibilités d'écoute mais en inondant le commutateur, celui-ci peut se mettre en mode « HUB » par « sécurité » !
La meilleure parade est l'utilisation de mot de passe non rejouable, de carte à puce ou de calculette à mot de passe.
L'intrusion dans un système informatique a généralement pour but la réalisatiobn d'une menace et est donc une attaque. Les conséquences peuvent être catastrophiques : vol, fraude, incident diplomatique, chantage ...
Le principal moyen pour prévenir les intrusions est le coupe-feu ("firewall"). Il est efficace contre les fréquentes attaques de pirates amateurs, mais d'une efficacité toute relative contre des pirates expériementés et bien informés. Une politique de gestion efficace des accès, des mots de passe et l'éude des fichiers « log » (traces) est complémentaire.
L'image retenue de la mythologie est parlante; le pirate, avoir avoir accédé à votre système ou en utilisant votre crédulité, installe un logiciel qui va, à votre insu, lui transmettre par Internet les informations de vos disques durs. Un tel logiciel, aussi appelé troyen ou trojan, peut aussi être utilisé pour générer de nouvelles attaques sur d'autres serveurs en passant par le votre. Certains d'entre eux sont des « key logger » c'est-à-dire qu'ils enregistrent les frappes faites au clavier.
La première mesure de protection face aux attaques, et de sécuriser au maximum l'accès à votre machine et de mettre en service un antivirus régulièrement mis à jour. Un nettoyeur de troyens peut aussi s'avérer utile. Attention : sous Windows, un partage de fichiers actif et trop permissif offre les mêmes possibilités sans que le visiteur n'ai besoin d'installer un logiciel !
En utilisant les moyens usuels (téléphone, email...) et en usurpant une identité, un pirate cherche à obtenir des renseignements confidentiels auprès du personnel de l'entreprise en vue d'une intrusion future. Seule une formation du personnel permet de se protéger de cette attaque.
→ Cette partie est disponible sur le document à télécharger gratuitement
Dans le cadre de bien se protéger contre tous les risques et les failles des systèmes de sécurité informatique on doit suivre les principaux conseils suivant :
• Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés.
• Sécuriser les postes de travail.
• Adopter une politique de mot de passe rigoureuse.
• Concevoir une procédure de création et de suppression des comptes utilisateurs.
• Identifier précisément qui peut avoir accés aux fichiers.
• Veiller à la confidentialité des données vis-à-vis des prestataires.
• Sécuriser le réseau local.
• Sécuriser l'accès physique aux locaux.
• Anticiper le risque de perte ou de divulgation des données.
• Anticiper et formaliser une politique de sécurité du système d'informations.
On considère généralement que la majorité des problèmes de sécurité sont situés entre la chaise et le clavier :
Discrétion : la sensibilisation des utilisateurs à la faible sécurité des outils de communication et à l'importance de la non divulgation d'informations par ces moyens est indispensable. En effet il est souvent trop facile d'obtenir des mots de passe par téléphone ou par e-mail en se faisant passer pour un membre important de la société.
Virus : plusieurs études récentes (2007) montrent que 1/3 des utilisateurs ouvriraient encore une pièce jointe d'un courrier nommée « i love you »et que la moitié ouvriraient une pièce nommée « ouvrez-ça» ou similaire ! L'information régulière du personnel est nécessaire, attention toutefois aux rumeurs (hoax).
Charte : l'intérêt principal d'une charte d'entreprise est d'obliger les employés à lire et signer un document précisant leurs droits et devoirs et par la même de leur faire prendre conscience de leur responsabilité individuelle.
Le poste de travail reste un maillon faible de la sécurité. Le projet TCPA (Trusted Computing Platform Alliance) a pour but d'améliorer sa sécurité en dotant le PC d'une puce dédiée à la sécurité. Elle sera chargée de vérifier l'intégrité du BIOS, du chargement de l'OS, de sauvegarder les clés et certificats (PKI) et connaîtra les protocoles de cryptage (RSA, DES ...).
→ Suite de cette partie sur le document à télécharger gratuitement
Principale cause de désagrément en entreprise, les virus peuvent être combattus à plusieurs niveaux.
La plupart des antivirus sont basés sur l'analyse de signature des fichiers, la base des signatures doit donc être très régulièrement mise à jour sur le site de l'éditeur dans le but qu'il se charge de plus de signature pour qu'il soit capable de détecter plus des nouveaux virus (des procédures automatiques sont généralement possibles).
Deux modes de protection :
• Généralisation de l'antivirus sur toutes les machines, il faut absolument prévoir une mise à jour automatique de tous les postes via le réseau
• Mise en place d'un antivirus sur les points d'entrée/sortie des données du réseau après voir parfaitement identifiés tous ces points. La rigueur de tout le personnel pour les procédures doit être acquise.
Messagerie : la plupart des virus actuels utilisent ce vecteur de transmission. Les vers s'installent et s'exécutent sans l'intervention de l'utilisateur (exécutable ouvert automatiquement, exploitation d'une faille du logiciel de messagerie...). La protection contre les virus en provenance de la messagerie doit être effectuée, non pas au niveau du poste de travail, mais du serveur. Ainsi certains antivirus agissent au niveau du coupe-feu, les deux outils coopérant via le protocole CVP (Content Vectoring Protocol) qui normalise leur communication. Les clients de messagerie de Microsoft sont victimes de leurs enrichissements en recourant à Word ou au HTML pour éditer le message, ils rendent possible l'exécution de macrovirus. La parade la plus simple consiste à n'utiliser ces clients de messagerie qu'en mode texte.
Attention, la mise en place d'un antivirus sur le firewall n'est d'aucun secours en cas de fichiers cryptés !
C'est une machine dédiée au routage entre LAN et Internet. Consulter la RFC2196. Le trafic est analysé au niveau des datagrammes IP (adresse, utilisateur, contenu...). Un datagramme non autorisé sera simplement détruit, IP sachant gérer la perte d'information. Une translation d'adresse pourra éventuellement être effectuée pour plus de sécurité (protocole NAT Network Address Translation RFC 1631+2663). Attention : un firewall est inefficace contre les attaques ou les bévues situées du coté intérieur et qui représentent 70% des problèmes de sécurité.
→ Suite de cette partie sur le document à télécharger gratuitement
L'authentification est basée sur les 3 principes :
• Savoir : login, mot de passe ...
• Etre : biométrie (empreintes ...)
• Avoir : Clés USB , carte à puce, « token»
Une authentification est dite forte lorsqu'elle utilise deux mécanismes différents carte à puce avec mot de passe par exemple). "Nom + mot de passe + date" sont cryptés avec des clés publiques et privées (RFC 1510). Le cryptage de la date évite la réutilisation éventuelle du message par un pirate. Par le cryptage on peut identifier de manière sûre l'utilisateur connecté. Pour éviter l'espionnage, la modification du contenu, l'ajout de message... on pourra utiliser la signature électronique (CRC crypté en fin de message) ou crypter toute l'information.
Les infrastructures PKI (Public Key Infrastructure) devraient se développer. Pour l'instant, le protocole SSL (Secure Socket Layer) domine toujours largement le marché de l'authentification sur les sites marchands. Radius, Tacacs ou IPSec (qui comporte un processus d'authentification dans son en-tête) constituent encore la solution retenue par la majorité des entreprises.
Une même clé est utilisée pour crypter et décrypter le message, très efficade et assez économe en ressources CPU cette technique pose le problème de la distribution des clés dans un réseau étendu (exemple DES, triple DES ou le récent AES).
Chaque utilisateur dispose d'un jeu unique de clés, dont l'une est privée (secrète) et l'autre publique (exemple RSA). Pour recevoir des documents protégés, le détenteur d'un jeu de clés envoie sa clé publique à ses interlocuteurs, qui l'utilisent pour chiffrer les données avant de les lui envoyer. Seul le destinataire et détenteur des clés peut lire les informations en associant sa clé privée à sa clé publique. Cette technique nécessite des clés plus longues pour une sécurité équivalente.
→ Cette partie est disponible sur le document à télécharger gratuitement
L'infrastructure PKI repose sur la notion de chiffrement asymétrique. Pour s'authentifier, en revanche, le détenteur des clés utilise un certificat, sorte de document électronique faisant office de carte d'identité électronique. Inséré dans un message, lors d'un paiement sur Internet par exemple, ce certificat joue le rôle de signature numérique. Il contient des informations relatives à l'identité du détenteur, son champ d'application (date de validité, types d'applications, etc.) et la clé publique. Un tiers de confiance garantit l'association ente un individu et les données contenues dans certificat.
La gestion des certificats en interne implique des infrastructures lourdes afin d'enregistrer les demandes, de vérifier la validité des certificats, de gérer les pertes ou les vols (risques d'autant plus importants lorsque le certificat est inclus dans un support physique tel qu'une carte à puce). Il faudra, de plus, assurer la protection des serveurs contre le piratage.
Difficile en interne, la gestion des infrastructures PKI peut être confiée à des prestataires spécialisés, tels que Certplus (en France) et Verisign (aux Etats-Unis), ou encore auprès d'une banque. Typiquement, un Français, client d'une banque française jouant le rôle de tiers certificateur, qui achète sur un site américain, aura du mal à imposer son certificat si son organisme bancaire n'est pas reconnu aux Etats-Unis comme un prestataire digne de confiance.
Les messageries sont très utilisées et posent quelques problèmes de sécurité particuliers. De plus la majorité des virus utilisent actuellement ce vecteur.
→ Suite de cette partie sur le document à télécharger gratuitement
Le travail qui nous a été confié a été très enrichissant pour nous, puisqu’il nous a permis, non seulement de développer nos connaissances dans le domaine de la protection et la sécurité informatique ,mais aussi de mieux s’approfondir surtout en ce qui concerne un autre champ de notre spécialité, et le plus important pour nous, en tant que futur ingénieurs, est d’avoir une expérience sur l’explication des nouveaux concept dans le cadre d’une présentation ,les difficultés qu’on peut rencontrer en assimilant des nouvelles notions et l’importance de l’organisation et du travail en groupe dans le domaine informatique.
.
Télécharger ce document
Questions / Réponses
EN DIRECT DES FORUMS
16777673 messages 16778248 réponses