Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Mauro Israël, Le Netwizz : 10 mesures concrètes pour sécuriser votre informatique

 

Publié en janvier 2008  dans Global Security Mag

link

 

Contrairement aux grandes et moyennes entreprises, la PME, l’entrepreneur individuel, le commerçant et la profession libérale n’ont ni les moyens humains, ni le temps, ni les budgets pour procéder à une sécurisation de leur informatique. Les dirigeants se concentrent d’ailleurs sur leur métier, et considèrent l’informatique comme un outil pratique pour améliorer leur efficacité... sauf lorsque les ordinateurs ou la messagerie sont plantés par une attaque virale, ou que la connexion à Internet ne fonctionne plus. Alors "l’ex-outil pratique" déclenche des réactions d’énervement et des appels effrénés chez tous les fournisseurs, qui n’y peuvent rien car ils ont une vision partielle du système, ce qui augmente en général l’énervement jusqu’à parfois friser l’hystérie collective !

Ma longue expérience des PME et des TPE, commerçants, professions libérales, m’a permis de dresser une "check-list" pratico - pratique des actions à mener pour renforcer la sécurité de votre informatique sans dépenser des millions et sans perdre de temps. Cette liste est issue des nombreuses interventions "amicales" lors de dîners ou d’invitations, où, comme les médecins, je suis souvent amené à donner une consultation gratuite : "Au fait, comme tu t’y connais en informatique, peux-tu m’expliquer pourquoi j’ai vingt fenêtres qui s’ouvrent avec des pubs dans mon navigateur ?" ou bien "Depuis que j’ai mon abonnement Wi-Fi, je trouve que ma liaison à Internet est ultra lente surtout vers 16h30-17h".

Le premier est victime de "spywares", des "bestioles" qui espionnent le contenu du disque dur et transmettent ces infos à des régies publicitaires, voire à des pirates, ce qui déclenche l’ouverture inopinée de fenêtres publicitaires non désirées sur votre écran... Ces spywares sont rarement interceptés par un anti-virus, même à jour, et nécessitent donc un traitement adéquat, appelé anti-spyware...

Le deuxième a laissé son accès Wi-Fi configuré par défaut, et des étudiants à la sortie du collège à proximité en ont profité pour squatter depuis la rue avec leur portable la connexion ADSL de l’entreprise... En effet, les ondes radio se répandent aussi à l’extérieur des murs de l’entreprise ! La solution est la sécurisation de l’accès Wi-Fi. Ci-après vous avez donc, dix « maladies » classiques, et la manière de les résoudre. La plupart des "remèdes" ne coûtent rien et sont aisés à mettre en oeuvre avec un minimum de connaissances, sinon demandez à un "ami informaticien" !

Les problèmes sont scindés en 4 catégories : les éléments de sécurité que vous n’avez pas encore, ceux qu’il faut renforcer, les méthodes à améliorer et enfin la protection des données.

CE QUE VOUS N’AVEZ PEUT-ETRE PAS ENCORE :

1 - Anti-spyware

Vous allez surfer sur Internet et trouver un magnifique « screen saver » Aquarium et vous le téléchargez : http://www.clubaquatica.com/ … En fait, vous venez de télécharger un spyware (ou publiware dans ce cas), qui va s’installer sur votre ordinateur et déclencher des fenêtres publicitaires. Au bout de quelques mois de téléchargements de ce type, vous serez « infesté » de logiciels espions et votre ordinateur va devenir de plus en plus lent, voire ne va plus réussir à fonctionner correctement. On va devoir reformater toute la machine et tout réinstaller ! Le vrai remède est de lancer un anti-spyware et de décontaminer tout le disque dur. Mon record est de 8440 fichiers contaminés trouvés sur un ordinateur ! Le problème des spywares est que les anti-virus classiques ne les détectent pas et que dès qu’ils sont installés, même en les détruisant, ils vont se reconnecter au site contaminant pour se recharger et ainsi de suite… Il faut donc à la fois décontaminer le disque mais aussi empêcher des nouvelles contaminations avec un module de protection en temps réel. Prévenez dans la foulée les utilisateurs de ne pas télécharger n’importe quoi depuis Internet, en particulier les logiciels « gratuits », les musiques, les films, les économiseurs d’écrans. C’est comme cela que les spywares se répandent le plus efficacement. Ci-après les liens pour télécharger les anti-spywares les plus connus. A titre d’exemple « Ad Aware » a été téléchargé par plus de 125 millions de fois dans le monde ! A noter l’initiative de Microsoft qui vient de racheter une solution renommée d’anti-spyware et qui la met gracieusement à disposition des heureux possesseurs de Windows (2000, XP ou VISTA)… Une fois le logiciel téléchargé lancez-le et regardez le résultat. Combien de spywares aviez-vous sur votre disque ? Cela fait frémir… Enfin, maintenant vous êtes protégés.

2 - Firewall personnel

De la même manière qu’un anti-virus ne protège pas des spywares, il ne protège pas non plus des attaques des pirates… A travers votre connexion Internet, des pirates cherchent à avoir accès à votre ordinateur et à le transformer en « zombie », c’est-à-dire à prendre son contrôle à distance. Pourquoi ces gens-là iraient s’attaquer à ma PME de fabrication de chaussettes plutôt qu’au Pentagone ? En fait, les pirates « scannent » systématiquement toutes les machines connectées à Internet et ne savent pas s’il s’agit d’un site ultra confidentiel ou d’un site sans intérêt pour eux. Il se trouve que là c’est vous la cible et vous n’y pouvez rien. Depuis que vous avez votre connexion ADSL, vos ordinateurs sont connectés en permanence à Internet, ils sont donc davantage exposés que lorsque vous vous connectiez de temps en temps avec un modem. La solution est de mettre un logiciel « pare-feu » (ou firewall en anglais) qui va filtrer les accès à votre ordinateur depuis Internet. Une fois bien configuré, ce pare-feu va protéger votre machine en rejetant les tentatives illicites et en masquant votre système vis-à-vis de l’extérieur. Là encore, l’initiative sécurité de Microsoft qui a ajouté un firewall personnel dans sa mise à jour de Windows XP : service pack 2. L’autre intérêt est lorsque vous vous connecterez avec votre ordinateur portable depuis un hôtel ou un site externe, vous ne serez pas non plus une victime des attaques des pirates, et ne pourrez pas contaminer votre entreprise en rebranchant votre machine au réseau à votre retour.

CE QU’IL FAUT RENFORCER :

3 - Firewall sur la connexion ADSL

De la même manière que chaque ordinateur (notamment les portables) doit être protégé avec un firewall, le boîtier de connexion à l’ADSL de votre site dispose certainement d’un firewall. Encore faut-il l’activer ! Pour la Freebox par exemple, allez sur la console sur le site Free et activez la fonction « routeur » et ensuite activez le NAT (translation d’adresses). C’est le minimum de protection, qui ne fera plus apparaître vos machines « en direct » sur le net. Sur les routeurs ADSL du marché il y a toujours une fonction « firewall », et on accède à la console d’administration à l’aide d’un simple navigateur. Regardez la doc et activez le firewall !

4 - Anti-virus / anti-spam et webmail pour la messagerie

Le fait de disposer d’un webmail pour une TPE lui permet de consulter ses e-mails depuis n’importe quel endroit de la planète. Les dirigeants et les commerciaux des PME sont devenus de vrais nomades, allant d’hôtel en aéroport, et de gare en client. De plus, le e-mail est devenu l’application indispensable dans toute entreprise pour rester « au contact » du bureau. Un webmail (qui est un e-mail accessible depuis un navigateur) possède trois avantages : la possibilité d’accéder à ses e-mails avec un simple navigateur, donc depuis un cyber-café, un hôtel, un client, une aérogare etc.

Ce serveur webmail va pouvoir « ramasser » automatiquement les e-mails en provenance de plusieurs abonnements et les concentrer en un seul écran, Enfin, il va pouvoir décontaminer les pièces jointes et protéger l’utilisateur des failles inhérentes à un manque de mises à jours de sécurité de ses programmes, puisque seul le navigateur est concerné. Point non négligeable en sécurité, les échanges entre l’utilisateur et le serveur se feront en https, c’est-à-dire que personne ne pourra lire le contenu des échanges en interception…

Il existe pas mal de serveurs de webmail disponibles notamment avec un boîtier « tout en un ». Le mieux est de choisir un système simple d’installation et couplé avec le système de connexion à Internet de l’entreprise. Dans la mesure du possible, évitez d’utiliser les webmails des grands moteurs de recherche comme Yahoo ! ou Google, si vous avez des informations confidentielles à échanger, ceux-ci n’étant pas cryptés.

5 - Accès Wi-Fi

Depuis que les points d’accès sans fil ont fait leur apparition, un autre « sport » fait des ravages : le « war driving » ; Il s’agit de circuler en voiture muni d’un ordinateur Wi-Fi et de repérer tous les points d’accès qui n’ont pas de protection, puis d’en diffuser la carte sur Internet… A Paris, en 2004, plus de 30% des points d’accès n’avaient aucune protection et pouvaient être utilisés depuis la rue pour accéder à Internet ou bien aux ordinateurs que contient l’entreprise.

Que faire ? Changez avant tout la configuration par défaut : dans de nombreux cas, le login est « admin » et le mot de passe « password » !
- Changez immédiatement le mot de passe d’administration.
- Ensuite changez le nom (SSID) du boîtier en mettant un nom différent de « default » ou de par exemple « wanadoo_123456 ». Mettez le nom de votre entreprise et cochez « hidden » c’est-à-dire « caché ». Ceci permettra d’éviter que quelqu’un s’y connecte par hasard.
- Activez le cryptage WEP (ou si disponible WPA). Lors de la connexion au point d’accès Wi-Fi, l’utilisateur devra fournir un mot de passe que seul vous connaîtrez. Cela compliquera singulièrement la tâche des pirates.

RENFORCEMENT DES METHODES :

6 - Nom de domaine

Votre entreprise possède-t-elle bien son nom de domaine ? Par exemple, la société « Duchemin » dispose-t-elle de www.duchemin.com ?

Faisons un test : Allez dans « Google » (www.google.fr) et tapez le nom de votre entreprise. Si le nom est spécifique, vous allez trouver très peu de réponses, si vous vous appelez « Renault » ou « Ariane », ne rêvez pas le nom est déjà déposé ! Sur Internet cependant, le dépôt du nom est soumis à une règle historique : « premier arrivé, premier servi ». Autrement dit, le premier qui dépose le nom en a le bénéfice ; Après c’est à vous de prouver –à travers un procès- qu’il y a usurpation de la marque ou du nom de la société. Un exemple connu est celui de l’affaire « Milka contre Milka » : La société Kraft-Suchard n’avait pas déposé « milka.fr » et c’est un particulier dont le prénom est « Milka » qui l’avait déposé. Ce n’est qu’après un procès long et complexe que Kraft a récupéré son nom de domaine, mais a également « bénéficié » d’une image de marque chahutée ! (voir le lien en annexe).

Vous devez donc vérifier que votre nom n’est pas déposé sur Internet. Si vous n’avez pas votre ami informaticien sous la main, allez sur le serveur de Network Solutions (voir le lien en annexe) et tapez votre nom de domaine : par exemple, « duchemin.com ». Ne mettez pas le « www ». Si celui-ci est déjà déposé vous êtes très mal… Soit vous en inventez un autre approchant « tracteurs-duchemin.com », soit vous regardez à qui il appartient et essayez de lui racheter… Pour cela, vérifiez à qui appartient le domaine par « WHOIS » (voir lien en annexe). Par négligence, des sociétés très connues ont dû payer des fortunes pour récupérer leur nom de domaine, celui-ci ayant été régulièrement déposé par une entité homonyme. Par la même occasion, vérifiez les autres extensions : « .org » (normalement pour les associations), « .net » pour les gens qui travaillent sur Internet ou pour les entreprises informatiques. « .info » pour ceux qui sont dans la presse ou équivalent. Et dans votre cas « .fr » puisque vous êtes situé en France. Attention : le « .fr » n’est pas géré par NETSOL, mais par une entité du CNRS qui s’appelle l’AFNIC (lien en annexe). Munissez-vous de votre carte bancaire, et déposez tout ce que vous pouvez. Faites vite, car des « snipers » sont à l’affût de nouveaux noms à déposer !

7 - Sauvegardes et contrôle à distance

« Toutes les tuiles du toit de la maison ont toujours été posées lorsqu’il faisait soleil » (Proverbe Chinois).

C’est toujours après que le pépin soit arrivé que l’on regrette de n’avoir pas fait de sauvegardes ! Ou bien les cassettes de sauvegarde sont restées dans le serveur, ce qui revient au même… Prenez l’habitude de recopier vos données sur un ordinateur portable qui quitte régulièrement les locaux surtout le week-end, et doublez cette copie par une copie sur une clef mémoire USB que vous aurez toujours sur vous ou dans votre sacoche. (voir le paragraphe « protection des données » ci-dessous pour la sécurisation).

Le contrôle à distance permet également de sauvegarder des fichiers qu’on a oubliés au bureau et surtout de pouvoir travailler sur un poste de travail alors que l’on est à la maison ou ailleurs. Pour cela, il vous faut installer un couple « client-serveur » de prise de contrôle à distance, gratuit, comme par exemple Ultra-VNC. La mise en œuvre n’est pas très simple car il faudra paramétrer le routeur-firewall ADSL pour laisser passer le port 5900 et mettre la machine en question dans la DMZ… Alors, appelez votre « ami informaticien » !

8 - Administration : mots de passe sous enveloppe scellée

Voici une action simple, et qui ne nécessite aucune connaissance en informatique : la plupart des PME sont dépendantes de leur prestataire informatique, qui a disposé ça et là des mots de passe d’administration (souvent de son propre chef et de son propre cru…). Vous êtes en droit de les connaître, et cela vous sauvera le jour où vous déciderez de changer de prestataire !

En conséquent, demandez leur donc de vous consigner les mots de passe d’administration du réseau, du serveur, du routeur d’accès à l’ADSL, de l’abonnement ADSL, et en fait tous les mots de passe (bases de données, développement etc.) sur une feuille. Vous les testerez en leur présence. Ensuite vous mettez ces mots de passe dans une enveloppe cachetée, vous faites signer le prestataire et datez, puis vous déposez l’enveloppe dans votre coffre ou celui de votre banque. Ainsi le jour d’un « coup dur » vous disposerez des mots de passe et votre système informatique ne sera pas bloqué !

9 - Mise à jour de sécurité : les patches

La plupart des piratages proviennent de l’exploitation de failles de Windows ou d’Office ou d’Internet Explorer. Ces produits ne sont pas moins sécurisés que d’autres, mais ils sont diffusés à des millions d’exemplaires et constituent donc une cible de choix pour les pirates. La solution pour contrer ces attaques existe et elle fait appel à la mise à jour systématique de ces logiciels. Cette mise à jour s’effectue automatiquement par Internet grâce au module « Windows update ». Encore faut-il l’activer et accepter les mises à jour ! Allez dans toutes vos machines et vérifiez que vous avez activé « Windows Update ». Vérifiez également que vous avez téléchargé toutes les mises à jour de sécurité disponibles.

Afin d’évaluer votre niveau de sécurité, téléchargez « MBSA » Microsoft Baseline Security Analyzer et exécutez-le sur toutes vos machines. Deux remarques : Les mises à jour ne sont disponibles que pour Windows 2000 et Windows XP. Si vous avez encore Windows 95-98 ou Windows NT, changez d’urgence, ces logiciels ne sont pas du tout sécurisés et sont de véritables passoires. De même pour Office que vous aurez au minimum en version 2000 et Internet Explorer au minimum en version 5.5. Deuxième remarque : tous ces logiciels et mises à jour sont gratuits, pourquoi vous en priver ?

PROTECTION DES DONNEES :

10 - Protection des ordinateurs portables : Accès à la machine, mémoires USB, cryptage des données du disque et SSO.

Il est possible aujourd’hui de se doter de clefs USB avec reconnaissance d’empreintes digitales, ce qui va empêcher une personne qui aurait « récupéré » votre clef USB de lire les fichiers qu’elle contient. Si vous avez besoin de plus d’espace, il existe également des disques durs amovibles avec protection par empreinte digitale. Ces disques qui contiennent par exemple 40 Go vont vous permettre de sauvegarder la totalité du répertoire « Mes documents » et de le mettre en lieu sûr. Seuls vous et ceux qui auront « enrôlé » leurs empreintes pourrez avoir accès aux données. Cela permet d’expédier également des données confidentielles de type R&D ou Proposition Commerciale par messagerie rapide sans risquer de voir les données lues par un tiers. De plus, ces programmes permettent le chiffrement des données, ainsi en cas de perte de la clef USB ou du disque dur, les données qui sont contenues dessus ne pourront pas être déchiffrées par des tiers.

Un autre point essentiel est de pouvoir protéger sa machine, et notamment le portable, d’un accès frauduleux. La protection est aujourd’hui assez simple et efficace : il s’agit de votre empreinte digitale. Seuls vous et ceux qui auront « enrôlé » leurs empreintes (jusqu’à 8 différentes) pourrez avoir accès à cet ordinateur. De plus, cela simplifiera tous les accès à différents sites et programmes, puisque cette empreinte remplacera toutes les demandes de login et de mots de passe que ce soit sur le Web ou bien pour les programmes Windows, à commencer par l’authentification initiale le matin. J’utilise ce concept de SSO (Single Sign On) depuis plusieurs années et je ne sais plus ce que c’est de passer son temps à rentrer des mots de passe, tout en ayant amélioré la sécurité de mon portable : s’il est volé, les voleurs auront récupéré un bel ordinateur portable, mais ne pourront absolument pas prendre connaissance de ce qu’il contient… Et cela vaut mieux quand on travaille dans la sécurité, et que l’on détient des renseignements cruciaux sur des centaines d’entreprises !

Le dernier point consiste à protéger certaines données très confidentielles du disque même si l’ordinateur est allumé, du reste des autres données et d’un accès non autorisé à votre machine. La solution réside dans le concept de « e-coffre ». Il s’agit de choisir un répertoire qui sera crypté, et d’y déposer les données confidentielles dedans. Automatiquement ces données seront traitées et ne pourront être lues qu’après vérification de votre identité. En annexe vous trouverez les principaux fournisseurs de ce type de solution. Il vaut mieux éviter le cryptage de la totalité du disque dur car cela ralentit sensiblement la machine et lui préférer le cryptage d’un simple répertoire.

En Conclusion, voici le résumé des 10 actions simples et concrètes que vous devez effectuer :

1 – Installez un anti-spyware sur toutes vos machines.

2 – Installez un firewall personnel sur toutes vos machines.

3 – Activez le firewall de votre connexion ADSL.

4 – Installez un webmail.

5 – Protégez votre accès Wi-Fi.

6 – Protégez votre nom de domaine.

7 – Faites des sauvegardes, chiffrez-les et mettez-les en lieu sûr.

8 – Récupérez vos mots de passe et mettez-les sous enveloppe.

9 – Activez Windows Update.

10 – Protégez vos données avec vos empreintes.

Munis de ces conseils pratiques, nul doute que vous allez maintenant foncer renforcer votre sécurité informatique ! La plupart de ces logiciels ou de ces mesures ne coûtent rien, ou pas grand chose, ce qui correspond bien au budget des PME ! Pourquoi je vous indique ces éléments ? Parce que je suis persuadé que la sécurité globale sur Internet repose sur l’amélioration de la sécurité des maillons les plus faibles : en fait les particuliers et les petites entreprises. En renforçant votre sécurité, vous allez donc contribuer à un meilleur Internet pour tous, et ainsi j’y aurai contribué.

Le Netwizz : www.netwizz.com

Tag(s) : #Sécurité Informatique

Partager cet article

Repost 0