Cet article donnera un aperçu des principales techniques utilisées pour assurer la protection contre les menaces et attaques informatiques (sécurité informatique active et passive).
Fermer les portes
Parmi les solutions possibles à mettre en place pour éviter les attaques de malwares figure le Closing of the Doors. Les applications communiquent entre elles via l’utilisation de ports. Les ports 1 à 1023 sont connus et sont attribués par l’IANA pour normaliser les services exécutés avec les privilèges root. Par exemple, les serveurs Web écoutent sur le port 80 les demandes des clients. Les ports 1024 à 49151 sont utilisés par diverses applications avec des privilèges d’utilisateur. Les ports de 49151 sont utilisés dynamiquement par les applications. Par conséquent, il est recommandé de fermer les ports inutilisés car les attaquants peuvent utiliser les ports ouverts, en particulier ceux avec un nombre élevé, par exemple le Trojan Horsee Sub7 utilise le port 27374 par défaut et Netbus utilise le port 12345.
Antivirus
Une solution pour résoudre la prolifération des virus est fournie par les logiciels antivirus qui sont développés pour détecter la présence de logiciels malveillants, identifier leur nature, supprimer les logiciels malveillants et protéger l’hôte des infections futures.
L’une des fonctionnalités les plus simples du logiciel antivirus est l’analyse de fichiers qui compare les octets des fichiers avec des signatures connues ou des chaînes d’octets qui identifient le logiciel malveillant déjà connu du logiciel. Lorsqu’un nouveau logiciel malveillant est trouvé et capturé, il est ensuite analysé afin de former une signature qui le décrit afin d’étendre en permanence l’archive logicielle. Par la suite, la nouvelle signature est distribuée au logiciel antivirus sous forme de mise à jour. Cependant, la mise à jour n’est pas distribuée dès qu’un nouveau type de virus est détecté, car de nouvelles signatures prennent du temps à être développées et testées, de sorte que de nouveaux logiciels malveillants, dont le logiciel antivirus ne possède pas la signature, pourraient échapper à l’analyse.
Une approche complémentaire à celle présentée ci-dessus est le balayage basé sur le comportement ou la philosophie selon laquelle tout ce qui fait des choses dangereuses devient suspect. Cette approche surmonte les limites de l’analyse via les signatures car elle permet de détecter les logiciels malveillants en fonction de leur comportement sans recourir aux signatures, mais en pratique, il n’est pas si facile de mettre en œuvre cette approche. Tout d’abord, nous devons définir ce que l’on entend par comportement suspect ou, alternativement, définir ce qu’est un comportement normal. Lorsqu’une analyse révèle un comportement suspect, une enquête plus approfondie est nécessaire pour comprendre quelle est la menace. La capacité du logiciel malveillant à se déguiser en apparence peut induire en erreur l’analyse des fichiers.
De plus, le logiciel antivirus peut surveiller les événements du système, tels que l’accès au disque dur, afin de détecter les actions qui pourraient mettre en danger l’hôte. Les événements sont surveillés en interceptant les appels de fonction du système d’exploitation.
Connexions cryptées
Les connexions cryptées (connexions IPSEC, VPN ou SSL) créent un canal sécurisé sur un réseau non sécurisé, tel qu’Internet, sur lequel des données confidentielles peuvent être échangées.
IPSEC
Les paquets IP (Internet Protocol) n’ont pas de contrôles de sécurité. En fait, il n’est pas très difficile de falsifier les adresses IP des paquets, de modifier leur contenu et de visualiser le contenu des paquets en transit. Ainsi, il n’y a aucune garantie pour le destinataire qui a reçu des datagrammes :
- ont été envoyés par la personne prétendant être l’expéditeur
- contenir ce que l’expéditeur a réellement envoyé
- ont été vus par un intrus alors qu’ils étaient en route de l’expéditeur au destinataire
IPSEC est un protocole introduit pour la sécurité des communications IP qui est basé sur l’authentification et le cryptage de chaque paquet IP transmis.
VPN
Les connexions VPN sont largement utilisées pour l’échange d’informations entre bureaux distants car elles permettent aux deux extrémités de la connexion d’être connectées en toute sécurité via un réseau non dédié, à des coûts abordables. Un VPN (Virtual Private Network) permet de relier en toute sécurité les deux extrémités de la connexion à l’aide d’un moyen de transmission public, dans la plupart des cas identifiable à Internet. L’avantage d’utiliser un VPN est représenté par la connexion qui est publique et non dédiée, permettant ainsi de réduire les coûts en faveur à la fois des grandes entreprises avec des budgets considérables dédiés au secteur informatique et des petites entreprises.
Il s’agit en pratique d’un canal ou d’un tunnel virtuel qui relie deux réseaux, dans le cas le plus simple représenté par deux ordinateurs joignables via Internet.
Il est donc nécessaire qu’une connexion de ce type garantisse aux utilisateurs un haut degré de sécurité en ne permettant l’accès qu’aux seuls utilisateurs autorisés, en cryptant les données transitant sur le réseau public afin de minimiser les risques d’usurpation d’identité numérique et d’empêcher l’altération des données transmises.
SSL
SSL, acronyme de Secure Sockets Layer, est un protocole développé par netscape pour envoyer des données privées sur Internet. Ce protocole d’échange de données cryptées est basé sur la cryptographie à clés privées et publiques : un client SSL se connecte à un serveur SSL qui à son tour envoie au client un certificat avec la clé publique du serveur. Le client crée une clé privée symétrique aléatoire et utilise la clé publique du serveur pour chiffrer la clé privée générée et l’envoie au serveur qui la déchiffre. À ce stade, le client et le serveur connaissent tous deux la clé privée symétrique et sont donc en mesure d’échanger des données.
Vous cherchez des experts en sécurité informatique & cyber-protection en suisse, une seule adresse ; l’entreprise informatique secuserv
Articles récents
Catégories