• Développement
  • Présentation
  • Logiciel sur-mesure
  • Les étapes
  • Nos garanties
• Internet
  • Présentation
  • Site internet
  • Application en ligne
  • Hébergement
  • E-mail
  • Sécurité
• Nos références
  • France Télévision
  • EDF
  • Netiris - Captel
  • ABC Marketing
  • JVB Conseil
  • Arc-En-Ciel
  • Sites internet
• Dossiers
  • La sécurite
  • Le web

• Accueil
• Articles
• Sécurité
• Risques en sécurité informatique

Risques en sécurité informatique

Il existe de nombreux risques en sécurité informatique, qui évoluent d'année en année.

Mesure des risques

Il importe de mesurer ces risques, non seulement en fonction de la probabilité ou de la fréquence de leurs survenances, mais aussi en mesurant leurs effets possibles. Ces effets, selon les circonstances et le moment où ils se manifestent, peuvent avoir des conséquences négligeables ou catastrophiques. Parfois, le traitement informatique en cours échoue, il suffit de la relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ; parfois l'incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. Mais ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :

• données irrémédiablement perdues ou altérées ce qui les rend inexploitables,
• données ou traitements durablement indisponibles, pouvant entraîner l'arrêt d'une production ou d'un service,
• divulgation accidentelle d'informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l'image de l'entreprise,
• déclenchement d'actions pouvant provoquer des accidents physiques ou induire des drames humains.

A l'ère de la généralisation des traitements et des échanges en masse, on imagine par exemple assez bien l'impact que pourraient avoir des événements majeurs comme, par exemple, une panne électrique de grande ampleur ou la saturation du réseau Internet pendant plusieurs heures.

Hormis ces cas exceptionnels, beaucoup de risques peuvent être anticipés et il existe des parades pour la plupart d'entre eux. On peut citer en exemple les précautions prises peu avant l'an 2000 qui, même si la réalité du risque a parfois été et reste aujourd'hui controversée, ont peut-être évité de graves désagréments.

Chaque organisation, mais aussi chaque utilisateur particulier, a tout intérêt à évaluer, même grossièrement, les risques qu'il encourt et les protections raisonnables qu'elle ou il peut mettre en œuvre. Dans le monde professionnel, les risques et les moyens de prévention sont essentiellement évalués en raison de leurs coûts. Il est par exemple évident qu'une panne qui aurait pour conséquence l'arrêt de la production d'une usine pendant une journée mérite qu'on consacre pour la prévenir une somme égale, justement, à une fraction de la valeur de sa production quotidienne ; cette fraction sera d'autant plus importante que la probabilité et la fréquence d'une telle panne sont élevées.

Risques humains

Les risques humains sont les plus importants, même s'ils sont le plus souvent ignorés ou minimisés. Ils concernent les utilisateurs mais également les informaticiens eux-mêmes.

La maladresse :

comme en toute activité, les humains commettent des erreurs ; il leur arrive donc assez fréquemment d'exécuter un traitement non souhaité, d'effacer involontairement des données ou des programmes ...

L'inconscience et l'ignorance :

de nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. Des manipulations inconsidérées (autant avec des logiciels que physiques) sont aussi courantes.

La malveillance :

aujourd'hui, il serait quasiment inconcevable de prétexter l'ignorance des problèmes sus-cités, tant les médias ont pu parler des différents problèmes de virus et de vers ces dernières années (même s'ils ont tendance, en vulgarisant, à se tromper sur les causes et les problèmes). Ainsi, certains utilisateurs, pour des raisons très diverses, peuvent volontairement mettre en péril le système d'information, en y introduisant en connaissance de cause des virus (en connectant par exemple un ordinateur portable sur un réseau d'entreprise), ou en faisant exprès d'introduire de mauvaises informations dans une base de données. De même il est relativement aisé pour un informaticien d'ajouter délibérément des fonctions cachées leur permettant, directement ou avec l'aide de complices, de détourner à leur profit de l'information et particulièrement de l'argent.

L'ingénierie sociale :

l'ingénierie sociale (social engineering en anglais) est une méthode pour obtenir d'un système informatique des informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d'autres fins (publicitaires par exemple). Elle consiste à se faire passer pour quelqu’un que l’on est pas (en général un administrateur) et de demander des informations personnelles (nom de connexion, mot de passe, données confidentielles…) en inventant un quelconque motif (problème dans le réseau, modification de celui-ci, heure tardive …). Elle peut se faire soit au moyen d’une simple communication téléphonique, soit par mail, soit en se déplaçant directement sur place.

L'espionnage :

l'espionnage, notamment industriel, emploie les même moyens, ainsi que bien d'autres, pour obtenir des informations sur des activités concurrentes, procédés de fabrication, projets en cours, futurs produits, politique de prix, clients et prospects, etc.

Risques techniques

Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels. Ces incidents sont évidemment plus ou moins fréquents selon le soin apporté lors de la fabrication et des tests effectués avant que les ordinateurs et les programmes ne soient mis en service. Cependant les pannes ont parfois des causes indirectes, voire très indirectes, donc difficiles à prévoir.

Incidents liés au matériel :

si on peut le plus souvent négliger la probabilité d'une erreur d'exécution par un processeur (il y eut néanmoins une exception célèbre avec l'une des toutes premières générations du processeur Pentium d'Intel qui pouvait produire, dans certaines circonstances, des erreurs de calcul), la plupart des composants électroniques, produits en grandes séries, peuvent comporter des défauts et bien entendu finissent un jour ou l'autre par tomber en panne. Certaines de ces pannes sont assez difficiles à déceler car intermittentes ou rares.

Incidents liés au logiciel :

ils sont de très loin les plus fréquents; la complexité croissante des systèmes d'exploitation et des programmes nécessite l'effort conjoint de dizaines, de centaines, voire de milliers de programmeurs. Individuellement ou collectivement, ils font inévitablement des erreurs que les meilleures méthodes de travail et les meilleurs outils de contrôle ou de test ne peuvent pas éliminer en totalité.

Incidents liés à l'environnement :

les machines électroniques et les réseaux de communication sont sensibles aux variations de température ou d'humidité (tout particulièrement en cas d'incendie ou d'inondation) ainsi qu'aux champs électriques et magnétiques. Il n'est pas rare que des ordinateurs connaissent des pannes définitives ou intermittentes à cause de conditions climatiques inhabituelles ou par l'influence d'installations électriques notamment industrielles (et parfois celle des ordinateurs eux-mêmes !).

Pour s'en prémunir, on recourt généralement à des moyens simples bien que parfois onéreux :

Redondance des matériels :

la probabilité ou la fréquence de pannes d'un équipement est représentée par un nombre très faible (compris entre 0 et 1, exprimé sous la forme 10^-n) ; en doublant ou en triplant cet équipement, on multiplie leurs probabilités ou fréquences de panne respectives, le résultat est donc un nombre beaucoup plus faible ; autrement dit l'ensemble est beaucoup plus fiable (ce qui le plus souvent reporte le risque principal ailleurs).

Dispersion des sites :

pour les mêmes raisons un accident environnemental a très peu de chance de se produire simultanément en deux endroits distants.

Programmes ou procédures de contrôle indépendants :

ils permettent bien souvent de déceler les anomalies avant qu'elles ne produisent des effets dévastateurs.

Liste des risques

Les risques évoluent jour après jour. Cette liste présente une aperçu global des risques majeurs.

Programmes malveillants

Un logiciel malveillant est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants :

Le virus :

programme malveillant se dupliquant sur d'autres ordinateurs

Le ver(worm en anglais) :

exploite les ressources d'un ordinateur afin d'assurer sa reproduction

Le wabbit :

programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver)

Le cheval de Troie(trojan en anglais) :

programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur

La porte dérobée (backdoor en anglais) :

ouvreur d'un accès frauduleux sur un système informatique, à distance

Le logiciel espion (spywareen anglais) :

collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers

Le keylogger (enregistreur de touches) :

programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier.

L'exploit :

programme permettant d'exploiter une faille de sécurité d'un logiciel

Le rootkit :

ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d'effacer les traces laissées par l'opération dans les journaux système.

Techniques d'attaque par messagerie

En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci :

Le spam :

un courrier électronique non sollicité, la plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs destinataires

Le phishing (l'hameçonnage en français) :

un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles

Le canular informatique (hoaxen anglais) :

un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires. Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple). Le site www.hoaxbuster.com répertorie les hoax les plus courants, et permet de une recherche par mot clé.

Attaques sur le réseau

Voici les principales techniques d'attaques sur le réseau :

Le sniffing :

technique permettant de récupérer toutes les informations transitant sur un réseau (on utilise pour cela un logiciel sniffer).Elle est généralement utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas leurs communications, et pour identifier les machines qui communiquent sur le réseau.

La mystification (en Anglais spoofing) :

technique consistant à prendre l'identité d'une autre personne ou d'une autre machine. Elle est généralement utilisée pour récupérer des informations sensibles, que l'on ne pourrait pas avoir autrement.

Le déni de service (deny of service en Anglais) :

technique visant à générer des arrêts de service, et ainsi d’empêcher le bon fonctionnement d’un système.

Attaques sur les mots de passe

Les attaques sur les mots de passe peuvent consister à faire de nombreux essais jusqu’à trouver le bon mot de passe.

Dans ce cadre, notons les deux méthodes suivantes:

L'attaque par dictionnaire :

le mot testé est pris dans une liste prédéfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin, etc.). Ces listes sont généralement dans toutes les langues les plus utilisées, contiennent des mots existants, ou des diminutifs (comme par exemple “powa” pour “power”, ou “G0d” pour “god”).

Attaque par force brute :

toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution (par exemple de “aaaaaa” jusqu'à “ZZZZZZ” pour un mot de passe composé strictement de six caractères alphabétiques).

Source : Wikipédia - Risques en sécurité informatique - Auteur(s) - Cet article est sous licence GFDL