EXEMPLES D’I INCIDENTS
GET /ETC/PASSWD
CHOOSE GIRL
/BIN/LOGIN
MOT DE PASSE NVRAM (EEPROM)
TREMPLIN POUR HACKERS
UNE ECOLE DE HACKERS
LA SECURITE DANS NOTRE MONDE :GENERALITES SUR LA SECURITE
Les communications sont vitales pour l’Enseignement
et la Recherche
—> la sécurité ne doit pas être un frein
systématique
—> ouvrir quand c’est nécessaire
On ne peut pas ignorer la sécurité
Image de marque de l’université ou du labo !
Ca ne rapporte rien mais ça coûte
C’est toujours un compromis
C’est d’abord une affaire de Direction
Elle doit être vue globalement
STRUCTURES
Haut fonctionnaire de défense ENSRIP : M. Pioche
Universités
Un correspondant / Université ou Ecole
Nombre d’établissements : 130
Coordination CRU
CNRS
Fonctionnaire de défense : M. Schreiber
RSSI : Michel Dreyfus
CM « Sécurité informatique (réseaux) » 1/2 temp
Correspondant / DR
Correspondant technique / « gros labo »
Accord tacite de réciprocité » CNRS et Ens Sup
ACTIONS CNRS
Aide en cas d’incident de sécurité
Diffusion électronique -> correspondants techniques
—> CERT-CNRS
Diffusion fax -> correspondants DR
Cours – sensibilisation
Bulletin d’information —> Dir Labo
Cours sécurité Unix en réseaux
Journées de sensibilisation avec le SCSSI
Rubrique « Sécurité » dans le Microbulletin
ftp.urec.fr, gopher.urec.fr, www.urec.fr
Recommandations papiers
Tests de certains produits
Groupe sécurité SOSI
CHARTES
« de bon usage » ou « de sécurité »
Sensibilisation-responsabilisation des personnels
Par université ou laboratoire
Exemples : ftp.urec.fr:pub/securite/Chartes
Contenu
Utilisation des Systèmes d’Information
Qui est responsable de quoi
Ce qu’il ne faut pas faire
Recommandations (choix du mot de passe, …)
Rappel des lois et des peines encourues
Signée par tous (même les utilisateurs de passage)
CONCEPTS SECURITE RESEAUX
CONFIDENTI IALITE
Message compris uniquement par le destinataire
Mécanisme : chiffrement
INTEGRITE
Message reçu identique à celui émis
Mécanisme : scellement – signature
CONTROLE D’ACCES
Uniquement les émetteurs autorisés peuvent
envoyer des messages
Toutes les couches et étapes
Filtrage – ACL
NON RÉPUDI IATION
Sur l’émetteur
Sur le destinataire
Mécanisme : notarisation
CONCEPTS SECURITE RESEAUX
DISPONIBILITE
Matériels et logiciels doivent fonctionner
Maillage des liaisons, duplication des équipements
TRACES
Journalisation
Etre au courant d’un problème, comprendre et éviter la réédition
Problème du dépouillement
Problème du volume de données
ALARMES
AUDIT
Quel est le niveau de sécurité de ma machine, de mon réseau, de mon site ?
Sécurité réseaux (296 KO) (Cours PDF)