INTRODUCTION GNRALE

Au cours des premires annes de leur existence, les rseaux informatiques taient principalement utiliss soit par des chercheurs dans les universits, pour changer des courriers lectroniques, soit par des employs dans les entreprises, pour partager des imprimantes. Dans ces conditions, la scurit informatique navait aucune importance. Mais aujourdhui, alors que des millions de citoyens utilisent les rseaux pour faire des oprations bancaires ou du commerce lectronique, linformation devient une ressource critique, do limportance de sa protection. partir de l, la scurit informatique est devenue un grand souci et un besoin fondamental. En dpit de vulnrabilit de rseaux Internet, qui na pas t conu pour les transactions confidentielles. Le commerce lectronique, les banques en ligne ont continu se dvelopper 1. La scurit est donc un vaste sujet, qui relve de nombreux dangers. Sous la forme la plus simple, elle consiste viter que les curieux ne puissent lire ou modifier linformation. Notons bien que le secteur de la Scurit des Systmes dinformation (SSI) est en volution remarquable. Mais, il demeure insuffisant car lobjectif est davoir un systme dinformation entirement scuris. La scurit de linformation exige, donc, limplmentation dune multitude de procdures, de politiques de scurit, etc. Ces mesures doivent tre mises en place dans le but de garantir les objectifs de lentreprise, afin de prserver la confidentialit, lintgrit et la disponibilit de ses biens et services. Dans ce but, laudit de scurit commence tre une ncessit du moment o lentreprise exploite un systme dinformation connect un rseau. Laudit de scurit a pour objectif de mesurer les ressources critiques de lentreprise, ce qui est appel le primtre daudit. Dans ce contexte, se situe notre mission daudit qui consiste laborer un audit technique de scurit du Ministre des Technologies de la Communication (MTC), afin de
1

Les Hackers : Documentaire diffus sur National Geographic.

dterminer les vulnrabilits qui touchent ce systme informatique. La mission daudit est compose de six chapitres que nous prsenterons comme suit : Chapitre 1 : Prsentation et dmarche de la mission daudit. Il est rserv dcrire les fondements de la scurit, les lois Tunisiennes relatives la scurit, les diffrents types daudit et les normes et les standards. Chapitre 2 : tude de lexistant. Dans cette partie nous allons prsenter le MTC et dcrire larchitecture rseau et linventaire de systme dinformation. Chapitre 3 : Audit technique. Nous allons entamer la mission daudit physique laide des outils Open source et quelques outils commerciaux. Chapitre 4 : Constat gnral et recommandations techniques. Cest le sujet dune analyse approfondie des rsultats obtenus de troisime chapitre. Ainsi, nous allons prsenter des solutions possibles aux failles trouves. Chapitre 5 : Prsentation de Limesurvey : une plateforme web Open Source configure, afin de raliser le questionnaire daudit de scurit en ligne.

~2~

Chapitre 1

Prsentation et dmarche de la mission daudit

Laudit de scurit est une dmarche qui permet de vrifier ltat de scurit conformment aux rgles spcifies dans la politique de scurit. Une politique de scurit est un document formel et officiel qui prcise les droits daccs, les rgles respecter et les rgles de bon sens dutilisation de SI.

~3~

1.1

Dfinition

laudit, nom masculin, est une procdure consistant s'assurer du caractre complet, sincre et rgulier des comptes d'une entreprise, s'en porter garant auprs des divers partenaires intresss de la firme et, plus gnralement, porter un jugement sur la qualit et la rigueur de sa gestion. 2 Laudit de scurit est une procdure qui permet dtablir un tat des lieux. Cest une mission dvaluation de conformit par rapport : une politique de scurit, un ensemble des rgles de scurit.

1.2

Les enjeux de la scurit informatique

La scurit est un concept qui recouvre un ensemble des mthodes et des mcanismes chargs de protger le systme contre les menaces et les risques qui peuvent nuire et altrer son fonctionnement. La scurit vise gnralement cinq principales proprits :

l'intgrit : c'est--dire garantir que les donnes sont bien celles que nous

croyons tre,

la confidentialit : consiste rendre l'information accessible seules aux

personnes lgitimes et autorises,

la disponibilit : son objectif est de garantir l'accs un service ou des

ressources permettant de maintenir le bon fonctionnement du systme d'information,

la non-rpudiation : est la garantie qu'aucun des correspondants ne pourra nier

la transaction,

l'authentification : consiste assurer l'identit d'un utilisateur, c'est--dire de

garantir chacun des correspondants que son partenaire est bien celui qu'il croit tre (par exemple par le moyen d'un login et mot de passe). Ces proprits, en fonction de la valeur des ressources et de leur cycle de vie, doivent tre garanties par des mesures de scurit. Celles-ci, sont mises en uvre au travers d'outils
2

http://www.larousse.fr/dictionnaires/francais/audit (avril 2010)

~4~

particuliers, de procdures adaptes et des personnes. Elles sont gres et valides par des procdures de gestion et d'audit. La scurit repose donc sur un ensemble cohrent de mesures, procdures, personnes et outils. La mission de la scurit se rsume en cinq types d'actions gnriques. Elle consiste :

dfinir le primtre de la vulnrabilit li l'usage des technologies de offrir un niveau de protection adapt aux risques encourus par lentreprise. mettre en uvre et valider l'organisation, les mesures, les outils et les

l'information et de la communication,

procdures de scurit,

optimiser la performance du systme d'information en fonction du niveau de

scurit requis,

assurer les conditions d'volution du systme d'information et de sa scurit.

L'efficacit de la scurit d'un systme d'information ne repose pas uniquement sur les outils de scurit mais galement sur une stratgie, une organisation et des procdures cohrentes. Cela ncessite une structure de gestion adquate dont la mission est de grer, mettre en place, valider, contrler et faire comprendre l'ensemble des acteurs de l'entreprise l'importance de la scurit. Elle dtermine galement le comportement, les privilges, les responsabilits de chacun. Elle spcifie, en fonction de facteurs critiques de succs qui permettent d'atteindre les objectifs de l'entreprise, les mesures et directives scuritaires appropries. Ces dernires doivent tre cohrentes par rapport au plan d'entreprise et informatique. Pour cela, une vision stratgique de la scurit globale de l'entreprise est ncessaire. Le choix des mesures de scurit mettre en place au sein des organisations rsulte gnralement d'un compromis entre le cot du risque et celui de sa rduction. Il drive de l'analyse long, moyen et court termes des besoins et des moyens scuritaires.

1.3

Les composantes daudit de scurit

~5~

Lobjectif principal daudit est dlever de manire efficace le niveau de scurit du systme, en tenant compte des contraintes humaines et financires. Ainsi laudit permet didentifier et de combler les failles les plus dangereuses, qui ncessitent gnralement un peu deffort pour tre limines. Il permet aussi de sensibiliser le personnel et la Direction Gnrale sur les risques cachs. Les types daudit de scurit sont :

1.3.1

Audit organisationnel

Il sagit de vrifier lensemble des procdures de production. Autrement dit, l'audit l'organisationnel examine les mises jour des logs, les procdures darchivage et de backup et les procdures de recouvrement aprs un dsastre, etc. Cela touche aussi la vrification de lexistence de lensemble des postes fonctionnelles relatives la scurit. Donc il faut bien sassurer quil existe une structure responsable de la scurit qui est rattache la direction gnrale. la tte de cette structure un RSSI doit tre nomm. Dans notre mission le RSSI cest Monsieur LADJIMI Marouan.

1.3.2

Audit physique

Ce type daudit touche tout ce qui contrle daccs physique, titre dexemple : les brigades, le contrle daccs biomtrique aux locaux de lentreprise (lempreinte digitale), etc. Aussi, il permet de vrifier lensemble des procdures quil faut appliquer suite un incendie ou une inondation, galement a touche les quipements de vrification de ronde de gardien, etc.

1.3.3

Audit technique

Un audit technique est une analyse technique de la scurit de toutes les composantes du systme informatique et la ralisation de tests de leur rsistance face aux attaques ; avec une analyse et une valuation des dangers qui pourraient rsulter de lexploitation des failles dcouvertes suite lopration daudit []. 3 Laudit technique est donc compos de :

http://www.ansi.tn/fr/audit/faq.html#proceder (avril 2010)

~6~

Audit rseau : Laudit rseau permet de vrifier lensemble des quipements passifs et actifs

de rseau, c'est--dire lensemble des cbles et des quipements de routage et de commutation. Donc, nous pouvons vrifier dans laudit les configurations, ltat des quipements, etc. Audit systme : Cette partie concerne les serveurs de production, soit des serveurs spcifiques (dans le mtier de lentreprise) ou des serveurs logistiques tels que les serveurs mails, les serveurs dapplication, etc. Audit de larchitecture : Cette partie sintresse aux rgles de scurit mises en place. Elle va toucher la solution de scurit. Cette solution va toucher aux diffrentes composantes telles que les systmes antiviraux, les pare-feux, les systmes de dtection dintrusion et tout ce qui concerne le cryptage des donnes dans le rseau, Audit applicatif : L, il sagit de vrifier larchitecture des applications, est-ce quil sagit dune architecture client/serveur, 3-tiers, multi tiers ou client lger. Dans cette partie nous pouvons mme vrifier le code source des applications et les fonctionnalits qui sont supposes tre prsentes dans les applications.

Nous nallons pas effectuer ni laudit organisationnel ni laudit physique vu que notre mission se focalise seulement sur laudit technique. Pour cette raison, nous allons dtailler la partie de laudit technique.

1.3.4

Audit technique

~7~

1.3.4.1 Audit rseau Laudit rseau se fait sur des tapes comme suit : Dcouverte

La premire partie de laudit technique cest la dcouverte des ressources. Donc dans cette partie, Nous allons dcouvrir la topologie de rseau c'est--dire essayer de retrouver lensemble des ressources rseau qui sont prsentes et qui sont constituants de systme de SI. Cette partie peut tre ralise par linspection directe des lieux ou via des outils automatiss tels que Networkview par exemple. Nous allons ensuite rcuprer le plan dadressage et la stratgie de mise en ouvre (statique, DHCP ou NAT) ou un domaine. Nous allons vrifier aussi si les utilisateurs peuvent changer leurs mots de passe, ou encore avoir des privilges levs facilement. Nous allons aussi vrifier lemplacement de serveur DHCP, nous allons ensuite rcuprer les rgles de translation. Encore, nous allons essayer de rcuprer les informations SNMP et les connexions FSI.

Organisation et maintenance

Par la suite, nous procdons lexamen de lorganisation et la maintenance des quipements rseau, autrement dit nous allons contrler ltat des armoires, lemplacement des cbles, lexistence des panneaux de brassage et leurs dispositions (en srie ou en cascade). Nous devons vrifier la procdure de vrification des cbles, est-ce que cest priodique ou est-ce que lorsquon tombe en panne alors nous cherchons quel est le cble qui ne fonctionne pas. Tout ceci doit tre audit.

Analyse de trafic rseau

Lobjectif de cette analyse est rcuprer lensemble des protocoles et des paquets qui circulent sur le rseau. En posant les questions ncessaires, nous pouvons connaitre les protocoles qui sont supposs transiter sur le rseau. Par la suite nous allons comparer les rsultats danalyse avec la liste des protocoles qui doivent exister, et donc retrouver la source de ce trafic indsirable.

~8~

Audit des quipements de routage et de commutation

Il sagit de vrifier par quels moyens les quipements de routage et de commutation sont administrs (console dadministration, les requtes SNMP, Telnet ou SSH). Ensuite nous allons dterminer lensemble des vulnrabilits connues pour les logiciels de ces quipements (IOS). Puis, nous allons vrifier lensemble des ACL. Nous devons aussi contrler la segmentation de rseau.

Les tests intrusifs

Une autre action qui est ralise dans la mme partie, ce sont les tests intrusifs. Ils sont rpartis en deux catgories : tests intrusifs internes : c'est--dire des tentations dintrusions partir

de point qui sont lintrieur de rseau et non pas lextrieur, tests intrusifs externes : ces tests peuvent tre faits avec une

connaissance partielle ou totale de SI. Ces tests sont appels des tests intrusifs avec boite blanche : la personne qui va sintroduire dans le systme dinformation connat ce quil y a dedans ; contrairement aux tests intrusifs qui se font sans connaissance de systme dinformation, On dit que ces tests intrusifs sont avec boite noire , c'est--dire celui qui essaye de sintroduire ne connait rien au pralable de rseau de SI.

1.3.4.2 Audit systme : Ainsi laudit systme est ralis suivant les tapes suivantes : Dcouverte des services et leurs versions

Il sagit de dcouvrir les services et leur version, nous allons nous intresser aux serveurs donc aux services hbergs dans ces serveurs. La version des services importe beaucoup, puisquune nouvelle version rsout des problmes et donne de nouvelles fonctionnalits. Dans le cas o les responsables ont confiance en leur quipe, ils leur disent dans certains cas, comme cela sest pass dans notre cas nous sommes scuriss, alors montrez-nous ce que vous pouvez faire

Dcouverte des vulnrabilits

Cette tape est fondamentale. Elle aide trouver toutes les failles rseau et systmes. Cette phase est effectue via des analyseurs automatiss ou des scanners . Il y a plusieurs

~9~

scanners du domaine libre ou commercial. titre dexemple il y a le produit Nessus ou le produit GFI Languard .

Patchs manquants

Puisquun nouveau patch amne dautres fonctionnalits et corrige des bugs. Nous devons donc vrifier les patchs des services et les services pack installs sur les machines.

1.3.4.3 Audit de larchitecture Audit des pare-feux

Un pare-feu est une mtaphore utilise pour dsigner un logiciel et/ou un matriel, qui a pour fonction de faire respecter la politique de scurit du rseau, celle-ci dfinissant quels sont les types de communication autoriss ou interdits. 4 Nous devons donc vrifier le mode dadministration des pare-feux. Cest trs important de sassurer que nous pouvons exclusivement administrer un firewall dun seul endroit, puisquune personne non privilgie peut ouvrir une connexion sur un firewall peut ouvrir tous les ports et faire tout ce quelle veut. Bien sr, nous sommes tenus examiner les vulnrabilits et les rgles daccs et les comparer avec la politique de scurit.

Audit du systme de prvention dintrusion.

Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spcialistes en scurit des systmes d'information, similaire aux IDS, sauf que ce systme peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS actif, il dtecte un balayage automatis, l'IPS peut bloquer les ports automatiquement... 5 Donc, nous allons simuler des attaques sur le rseau et nous allons noter la raction des IPS.

Vrification du systme Antiviral

Aujourdhui une solution Antivirale est indispensable pour lentreprise, parce que les virus sont de plus en plus sophistiqus. Ils peuvent causer des dgts normes. Alors cest important de disposer un systme Antiviral. Nous devons donc rviser les procdures de mise jour de serveur Antiviral. Aussi il faut sassurer que tous les postes sont quips dun client Antiviral.
4 5

http://fr.wikipedia.org/wiki/Pare-feu_(informatique) (avril 2010) http://fr.wikipedia.org/wiki/Systme_de_prvention_dintrusion (avril 2010)

~ 10 ~

1.3.4.4 Audit applicatif

Cette partie concerne lanalyse de lapplication. Larchitecture de lapplication peut tre client/serveur, 3-tiers ou multi-tiers, etc. Bien videmment, le choix de larchitecture va influencer la manire dexploitation de ces applications. Notre mission daudit est de tester ces applications. Mais aprs recherches et inspections, nous avons constat quil vaut mieux poser des questions ncessaires sur les utilisateurs. Do nous pouvons dterminer les fonctionnalits qui sont supposes tre implmentes dans lapplication.

1.4

Lois et dcrets en Tunisie relatifs la scurit :

loi n 5 - 2004 : du 3 fvrier 2004, relative a la scurit informatique et portant sur lorganisation du domaine de la scurit informatique et fixant les rgles gnrales de protection des systmes informatiques et des rseaux,6 dcret n 1248 - 2004 du 25 mai 2004, fixant l'organisation administrative et financire et les modalits de fonctionnement de l'A.N.S.I, dcret n 1249 - 2004 du 25 mai 2004, fixant les conditions et les procdures de certification des experts dans le domaine de la scurit informatique, dcret n 1250 - 2004 du 25 mai 2004, fixant les systmes informatiques et les rseaux des organismes soumis a l'audit obligatoire priodique de la scurit informatique et les critres relatifs a la nature de l'audit et a sa priodicit et aux procdures de suivi de l'application des recommandations contenues dans le rapport d'audit.

1.5

Conclusion

Le premier chapitre a mis en uvre les enjeux de la scurit, les objectifs et la dmarche de laudit technique dune faon simple et gnrale, enfin les lois relatives la scurit en Tunisie. Le chapitre suivant tude de lexistant va prsenter le systme dinformation de MTC.

Journal Officiel de la Rpublique Tunisienne- 4 juin 2004

~ 11 ~

Chapitre 2
tude de lexistant

Avant dentamer le cycle de laudit, il est ncessaire de faire la reconnaissance de linfrastructure du systme dinformation de MTC ainsi que les moyens mis en uvre pour assurer sa scurit physique et logique.

~ 12 ~

2.1

P R S E N TAT IO N D E L O R G A N IS M E D A C C E U I L

2.1.1 Rles et attributions

Le ministre a pour mission la mise en place d'un cadre rglementaire qui organise le secteur, la planification, le contrle et la tutelle en vue de permettre au pays d'acqurir les nouvelles technologies. Il assure de mme le soutien du dveloppement, attire l'investissement et encourage les efforts d'exportation et la comptitivit des entreprises tunisiennes. Ladresse officielle du site du ministre est : http://www.mincom.tn

Figure 2.1 Portail officielle de MTC

cet effet, le ministre est charg notamment de :

~ 13 ~

coordonner entre les structures charges des tudes stratgiques dans le

domaine de la poste, des tlcommunications et de la technologie de l'information, laborer des normes techniques et encadrer les programmes de la recherche et les activits industrielles en vue de leur adaptation aux besoins du secteur,

laborer des plans et des tudes stratgiques dans les domaines des

tlcommunications et postal,

laborer les tudes de rentabilit tarifaires et les modalits de fixation

des tarifs des tlcommunications et des tarifs postaux,

fixer les conditions et les modalits relatives la mise en place et

l'exploitation des services valeur ajoute des tlcommunications,

suivre l'activit des entreprises sous tutelle du ministre du point de vue

technique et financier,

collecter et analyser des statistiques relatives au secteur et proposer des

programmes insrer dans les plans de dveloppement et en valuer les rsultats,

collecter et analyser et diffuser des statistiques relatives aux

activits du ministre,

participer l'laboration des tudes stratgiques et des plans de

dveloppement dans le domaine des communications,

valuer les rsultats des plans de dveloppement relatifs aux

domaines affrents aux attributions du ministre.

2.1.2 Organigramme :

2.1.2.1 Le cabinet :

le bureau d'ordre central, le bureau d'information, d'accueil et des relations publiques, le bureau de suivi des dcisions du conseil des ministres, des conseils

ministriels restreints et des conseils interministriels,

le

bureau

charg

du

systme

oprationnel

de

secours

de

communications et de la scurit et de la permanence,

le bureau des relations avec le citoyen, le bureau de veille technologique,

~ 14 ~

le bureau des affaires gnrales, le bureau de la coopration internationale, des relations extrieures et

du partenariat,

le bureau de l'encadrement des investisseurs et des agrments, le bureau de la gestion des documents et de la documentation, les comits consultatifs, l'inspection gnrale des communications.

2.1.2.2 Les services communs :

la direction des affaires administratives et financires, la direction des affaires juridiques et du contentieux, la direction de la formation et de l'action sociale et culturelle.

2.1.2.3 Les services spcifiques :

La direction gnrale des techniques des communications comprend :

la direction des techniques des tlcommunications, la direction des techniques postales, la direction des technologies de l'information.

La direction gnrale des entreprises, de la statistique et du dveloppement comprend :

la direction des entreprises, la direction des statistiques et du dveloppement.

Les services du secrtaire d'tat charg de l'Informatique et de l'Internet et des Logiciels Libres :

la direction gnrale de la stratgie et de la planification, la direction de suivi de l'informatisation, la direction de la coopration internationale et des projets innovants.

~ 15 ~

2.1.2.4 tablissements Sous Tutelle :

Tunisie Tlcom, La Poste Tunisienne, ATI, CNI, CERT, ANF, ONT, ANCE, ANSI, Elgazala'Com, SUP'Com, ISET'Com, CIFODE'Com.

2.1.3 Unit informatique :

Lunit informatique est charge de : lexcution du chemin directeur de linformation et sa mise jour, de

mme le dveloppement de lutilisation de linformatique au niveau de diffrents services du ministre, informatiques, la fixation de besoins en matire informatique et participation lexploitation et la maintenance des quipements et des programmes

llaboration des cahiers des charges des appels doffres pour lacquisition dquipements informatiques, recyclage, la participation llaboration des programmes de formation et de

~ 16 ~

le dveloppement des programmes informatiques concernant les

produits financiers, le suivi et lapplication des programmes de maintenance des

quipements informatiques au niveau rgional travers les ples rgionaux.

2.2

Identification des composantes du systme informatique de MTC :

Dans cette partie nous allons identifier tous les lments et les entits qui participent au fonctionnement du Systme informatique.

2.2.1 Inventaire des moyens informatiques :

Suite aux visites effectues aux bureaux, nous avons collect les

informations suivantes :

2.2.1.1 Inventaire des Micro-ordinateurs et serveurs :

le nombre des postes de travail est 250 pc, tous les ordinateurs sont de type pc, le nombre des serveurs en exploitation est 10 serveurs. Tableau 2.1 Les serveurs en exploitation Serveurs en Exploitation Serveur Sygec Serveur primaire messagerie Lotus notes Serveur Secondaire messagerie Lotus Messagerie Intranet Windows 2003 SP3 X.Y.Z.T/24 Messagerie Intranet Windows 2003 SP3 X.Y.Z.T/24 Applications Gestion et suivi des courriers Plateformes/SGBD Windows 2008/SQL server 2005 X.Y.Z.T/24 Adresses rseau

~ 17 ~

Serveur backup Mail Serveur Antivirus rseau Symantec Norton Serveur Mangement FW Serveur Sygec Serveur WSUS Serveur de Bibliothque virtuelle

Sauvegarde des mails

Windows XP SP2

X.Y.Z.T/24

Systme Antivirus Console dadministration de Pare-feux Application de Gestion des relations avec citoyens Mise jour Windows Application darchivage lectronique Gestion lectronique des Fax

Windows 2003 Server

X.Y.Z.T/24

Windows XP SP2

X.Y.Z.T/24

Windows NT 4 Windows 2008 Server Windows 2008 Server

X.Y.Z.T/24 X.Y.Z.T/24

X.Y.Z.T/24

Serveur Fax

Windows 2008 Server

X.Y.Z.T/24

2.2.1.2 Inventaire des Logiciels et systmes dexploitation : Les applications exploites par le Ministre sont dfinies comme suit :
Tableau 2.2 Inventaire des applications Dveloppement : Les applications Exploitations externe/interne Systme de gestion du courrier Sygec Le logiciel permet de grer les courriers Arriv / Dpart Application permet la gestion intgre des INSAF ressources humaines et de la paie du personnel de ltat RACHED Application pour lautomatisation des procdures relatives aux missions effectues ltranger par Externe Externe

Externe

~ 18 ~

les agents de ladministration Systme de gestion des requtes des citoyens SYGER Application qui assure la gestion et le suivi des requtes dposes par le citoyen dans les bureaux des relations avec le citoyen dans le ministre Externe

ADAB Gestion des biens mobiliers de ltat MANKOULET Gestion des stocks de lAdministration MAKHZOUN

Application daide la dcision Budgtaire

Externe

Application de gestion des stocks des produits tenus en stock dans les magasins du ministre

Externe

Application de gestion des stocks des produits tenus en stock dans les magasins du ministre

Externe

Lotus Domino

Est un produit IBM qui fournit une plateforme de messagerie lectronique Intranet Un logiciel client pour la gestion de messagerie lectronique en Intranet Application Web qui donne la possibilit aux employs daccder via un client web aux messageries lectroniques Une application web permettant la constitution

Externe

Lotus Notes

Externe

Lotus Domino Webmail

Externe

Bibliothque virtuelle

dune archive numrique des livres et des magasines exposs dans les bibliothques des organises sous tutelle Serveur ddi lenvoi et la rception des fax de Ministre.

Interne

Fax

Interne

2.2.1.3 Plan dadressage

~ 19 ~

Tous les htes du rseau utilisent des adresses IP prives de classe A (10.0.x.0/24) avec un masque rseau de classe C. Le rseau Interne est segment en 8 sous-rseaux : Tableau 2.3 Plan d'adressage de MTC Adresses Rseau Zones X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Z.Y.T/24 X.Y.Z.T/24 Postes utilisateurs zone DGTC Postes utilisateurs zone inspection Zone des serveurs en exploitation Postes utilisateurs zone DAAF Postes utilisateurs zone juridique Postes utilisateurs zone Btiment Postes utilisateurs zone cabinet Postes utilisateurs Rseau DI

2.2.1.4 Inventaire des quipements rseau :

Tableau 2.4 Equipements d'interconnexion de MTC Marque et Modle Plusieurs commutateurs de marque Dlink et de modle DGS 3100
Des Commutateurs Dlink et DGS 1216T Un routeur Cisco 2850 Un double de FW de marque Stonegate et de modle FW1050 24 ports Rj45, 4 ports FO 16 ports Rj45, 2 ports FO 2 interfaces Fast Ethernet et 8 interfaces sries Possdent 8 interfaces Fast Ethernet.

Interfaces

2.3

Architecture de rseau :

~ 20 ~

2.3.1 Synoptique
Toute linformatique est relie un rseau de type Ethernet, cest un rseau local moderne, 100% commut, avec des dbits levs (100/1000 Mb/s). La topologie du site est en toile tendue, le rseau interne est segment physiquement en 8 sous-rseaux, et chaque segment sous rseau est reli un nud central (Commutateur N3 de marque 3com et de modle Core Builder 3500) via des liaisons de type fibre optique. Le rseau interne est reli au rseau Internet travers une liaison de type LS avec un dbit 2 Mb/s. Dernirement, Ce dbit a t augment jusqu' 10Mb/s avec une liaison fibre optique. Le rseau est reli avec des sites distants (des sites des organismes sous tutelle tels que SEILL, ONT, OPT, CNI) via des liaisons permanentes hauts dbits (lignes spcialises avec un dbit qui varie entre 128 ko/s et 512 ko/s). Toute larchitecture du rseau est autour dun doublet de pare-feu (qui fonctionne en mode Clustering) ayant 8 interfaces Fast Ethernet :

une interface qui relie le rseau intranet, une interface qui relie la liaison internet, une interface qui relie les sites distants, une interface qui relie le segment de la zone cabinet, une interface qui relie la zone des serveurs.

~ 21 ~

Figure 2.2 Architecture de MTC

~ 22 ~

2.3.2 Configuration Rseau

Tous les htes du rseau utilisent des adresses IP Prives de classe A avec un masque de classe C ce qui nest pas conforme aux normes en vigueur. La configuration TCP/IP des htes est manuelle, les postes de travail occupent des adresses de plage 10.x.x.x/24 Les serveurs en exploitation occupent des adresses de plage 10.0.3.x/24. Pour laccs au rseau public Internet, une translation dadresse (NAT) est assure par le firewall

2.3.3 Aspects de scurit existante

Des mesures de scurit ont t prises pour assurer au mieux la scurit des infrastructures et des utilisateurs du rseau.

2.3.3.1 Scurit physique

Daprs les visites et les entretiens, nous avons constat les faits suivants : le service de nettoyage intervient de 8h 9h et de 13h 14h30, lexistence des agents daccueil qui contrlent laccs au primtre du site, lenregistrement des informations relatives chaque visiteur et fournir un badge pour accder lintrieur du local, la salle serveur est ferme clef, seules les personnes autorises et qui possdent la cl peuvent y accder, la climatisation est assure par (deux) climatiseurs domestiques installs dans la salle des serveurs, les prises de courant lectriques ne sont pas ondules, existence des onduleurs (3 de marque Infosec 5kva et 5 de marque APC 1kva) pour assurer la continuit de service des ressources critique en cas de problmes lectriques, seuls les machines et les composants rseau importance leve sont protgs par des onduleurs pour liminer les problmes dalimentation lectrique de courte dure, les extincteurs dincendies sont disponibles dans chaque couloir, absence des camras de surveillance pour les zones sensibles.

2.3.3.2 Scurit logique :

Pour la scurit logique, les moyens mis en place au sein du S.I sont :

~ 23 ~

 acquisition dune solution matrielle de sauvegarde de donnes Wooxo Security Box : qui comprend 2 disques (chacun est de capacit 512Gb), il est administrable via le web, il est scuris contre les risques majeurs tels que : le feu, linondation et le vol,

Figure 2.3 Wooxo Security Box des procdures de sauvegarde pour les des donnes sensibles sont appliques selon les frquences suivantes : pour la base de donnes de lapplication Sygec : une image sur disque est sauvegarde chaque jour, pour les Emails au niveau du serveur de messagerie : une sauvegarde est planifie tous les jours (fin de la journe) sur un poste de travail ddi pour backup Mail, pour la configuration du firewall : une sauvegarde chaque jour de la configuration, et une sauvegarde des logs est assure chaque mois, afin dassurer la continuit des services et viter larrt des services mme partiellement en cas des problmes (panne matrielle, crash disque..), une certaine redondance matrielle a t constat notamment au niveau des firewalls ainsi quau niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.

~ 24 ~

2.3.3.3 Scurit Rseau :

Le rseau est segment physiquement en des sous rseaux autour dun commutateur niveau 3 qui assure le routage. Les filtrages des accs depuis et vers les rseaux externes sont assurs par le Pare-feu de marque Stonegate. Pour laccs au rseau Internet, le mcanisme du NAT est assur par le doublet de pare-feu. Dans la zone des serveurs en exploitation, un systme de dtection des intrusions (IPS) est install afin de la protger contre les attaques. Rcemment cette solution a t tombe en panne.

Figure 2.4 Pare-feu Stonegate

2.3.3.4 Scurit des systmes

La scurit des systmes de MTC est dfinie comme suit :

La gestion de Mise jour :

lexistence dun serveur (Microsoft WSUS) ddi a la Mise jour qui contient les derniers correctifs en matire de scurit pour les systmes Windows, le systme Antivirus : le MTC adopte une solution antivirale Symantec Norton avec une licence rseau,

Cration des dfenses humaines :

En collaboration avec la direction de la formation, des formations techniques ont eu lieu au local du Ministre. Ces formations sadressant aux utilisateurs du rseau, afin de dvelopper leur conscience face aux menaces informatiques et dvelopper une culture de scurit. 2.4 Conclusion Ltude de lexistant nous a permis de dmasquer quelques vulnrabilits au niveau de larchitecture de MTC ainsi des systmes installs. Lanalyse de lexistant est donc notre point de dpart pour le chapitre suivant audit technique qui va divulguer les failles de scurit qui menacent la stabilit et la disponibilit de Systme dinformation de MTC.

~ 25 ~

Chapitre 3
Audit technique

Dans ce chapitre, nous aboutissons aux tests techniques. Ces tests sont dans le but dvaluer le niveau de scurit de MTC et dvoiler les dfaillances et les faiblesses de ce systme informatique. Pour cela, des outils open source et propritaires ont t utiliss.

~ 26 ~

3.1

tapes de laudit technique

Comme il est indiqu dans le premier chapitre Prsentation et dmarche de la mission daudit , des tapes ont t fixes. Ces tapes sont : audit rseau, audit de larchitecture du rseau, audit des systmes, audit des applications.

Aprs des runions avec notre encadreur, des outils ont t choisis pour effectuer la mission daudit. Ces outils seront mentionns dans les paragraphes suivants.

3.2

Audit rseau

Cette tape consiste dcouvrir le rseau cibl. En effet, laudit rseau est une tape primordiale. Elle consiste rcolter des informations panoramiques sur le rseau.

3.2.1

Dcouverte de rseau et rcolte des informations

Dans cette tape, nous avons utilis des outils de reconnaissances de rseau tels que Networkview, Autoscan et LanSurveyor :

Tableau 3. 5 Liste des outils de dcouvertes rseau Outils Description

Networkview est un outil compact de dcouverte et de gestion de

Logo

Networkview

rseau : en quelques minutes, il dcouvrira tous les nuds TCP/IP et dessinera une carte graphique (itinraires compris) en utilisant les informations DNS, SNMP et les ports TCP7

www.01net.com (Mai 2010)

~ 27 ~

Cest un outil capable de dtecter un rseau local (LAN ou WAN), LanSurveyor et fournit un diagramme trs facile visualiser, interprter et enregistrer en tant qu'image ou exporter vers Microsoft Visio.8

Autoscan est une application conue pour explorer et contrler

Autoscan

votre rseau. Ce programme vous permet de faire une recherche et de dcouvrir automatiquement votre rseau9

Retina Wifi Scanner permet de dtecter des rseaux sans fils Retina Wireless Security Scanner environnants. Le logiciel est galement prvu pour dterminer les vulnrabilits dun rseau dentreprise. Un rapport dtaill est gnr la fin de lexamen.10

Aprs balayage de Rseau de MTC voila la cartographie du rseau de MTC laide de Networkview :

Figure 3. 5 Cartographie de rseau de MTC

8 9

www.solarwinds.com (Mai 2010) www.clubic.com (Mai 2010) 10 www.01net.com (Mai 201)

~ 28 ~

D'ailleurs, cest la cartographie de segment des serveurs laide de mme logiciel. Voila le rsultat enregistr :

Figure 3. 6 Cartographie du segment des serveurs

En plus, une cartographie avec Autoscan de Segment DI a t ralise :

Figure 3. 7 Rsultat de Autoscan

~ 29 ~

Daprs cette figure, nous avons pu dterminer le systme dexploitation dune machine ainsi que ses ports ouverts. Nous pouvons mme avoir des informations sur des serveurs avec des requtes SNMP, tel que la dure de mise en marche de serveur :

Figure 3. 8 Rponse dune requte SNMP sur un serveur Nous constatons que la rcolte des informations est assez simple et facile. En effet la rcolte des informations via SNMP nous a permis de dterminer le nom de serveur, ainsi que sa dure de mise en marche. Dautre part, une dcouverte des rseaux sans fil WAN a t faite. Ci-dessous les rsultats dgags avec Retina Wireless Security Scanner.

Figure 3. 9 Rsultat d'analyse des rseaux WAN

~ 30 ~

Daprs la figure prcdente, nous constatons que tous les rseaux WiFi sont verrouills avec la cl de type WEP Aprs une runion avec le RSSI, nous avons t inform que : pour des raisons de scurit, la stratgie de plan dadressage est statique il ny a pas un document formel de politique de scurit, les utilisateurs ne peuvent pas changer leurs mots de passe de compte il ny pas un domaine.

(pas de serveur DHCP),

administrateur,

3.2.2

Analyse de trafic rseau

Cette phase est importante. Elle sert dterminer lensemble des protocoles qui circulent sur le rseau. Pour cela, un outil a t employ: Tableau 3. 6 Outils d'analyse de trafic rseau
Outil Description Logo

Wireshark est l'analyseur rseau le plus populaire du monde. Cet outil

Wireshark extrmement puissant fournit des informations sur des protocoles

rseau et applicatifs partir de donnes captures sur un rseau.11

Lanalyse de trafic a t effectue entre 11h:30 12h:30 et avec un rgime dutilisation normale. Les rsultats sont comme suit : Tableau 3. 7 Statistique de capture
Nom
Nombre total des octets Nombre total des paquets Nombre total des paquets de diffusion (Broadcast)

Valeur
218,324009 58,071 11,877

11

www.openmaniak.com (Mai 2010)

~ 31 ~

Daprs ce tableau, nous notons la transition de 208,21 Mo sur notre console de test.

Figure 3. 10 Octets par seconde

Figure 3. 11 Procololes TCP

~ 32 ~

Figure 3. 12 Protocoles UDP Daprs ces deux graphes, nous remarquons la transition des protocoles HTTP, HTTPS, netbios-ns. Dautres protocoles ont t trouvs et qui doivent tre vrifis par le RSSI. A titre dexemple les protocoles SSDP et XFER.

3.2.3

Audit des quipements rseau

Dans cette partie, nous commenons effectuer les tests des quipements rseau tels que les quipements de routage et de commutation. Bien entendu, ces tests doivent tre assists par un ladministrateur rseau pour nous viter de commettre des erreurs. Ces erreurs peuvent ventuellement rendre les serveurs indisponibles.

~ 33 ~

Pour raliser ces tests, nous avons utilis des outils open source et commerciaux que nous prsenterons ci-dessous : Tableau 3.8 Liste des outils de scan rseau Outils Description
GFI Languard Network Security Scanner permet de

Logo

GFI Languard

dtecter les failles de scurit et les intrusions dun rseau afin de pouvoir les corriger.12

Nmap ( Network Mapper ) est un outil open Nmap source d'exploration rseau et d'audit de scurit. Il a t conu pour scanner rapidement de grands rseaux.
Nessus est un outil de scurit informatique. Il signale

Nessus

les faiblesses potentielles ou avres sur les machines testes. Nessus permet aussi de lancer des attaques.13

En premier lieu, nous allons dterminer les systmes dexploitation de ces serveurs ainsi que les ports ouverts sur ces serveurs. Les rsultats des tests ont confirm que les postes utilisent Windows. Ceci qui valide notre partie prcdente ltude de lexistant . De mme, nous notons lexistence des systmes dexploitation Linux (Debian et Ubuntu) qui sont installs sur des serveurs. Ce type de test nous aide vrifier les mises jour et les services packs installs sur la machine.

12 13

www.clubic.com (mai 2010) www.wikipedia.fr (mai 2010)

~ 34 ~

Pour des raisons dergonomie, nous avons choisi de lancer la dtection de systme dexploitation laide de Zenmap (Nmap graphique sous Backtrack).Voil les rsultats dun serveur :

Figure 3. 13 Identification des OS de deux serveurs

Daprs cette figure, nous avons constat que la version de certains serveurs nest pas jour ou encore mise niveau.

3.2.4 Test intrusif

laide de Telnet, nous avons dcouvert que lun des commutateurs de type Dlink est mal configur. En effet, le mot de passe dadministrateur tait le mot de passe par dfaut de constructeur14

Figure 3. 14 Intrusion au commutateur

14

www.routerpasswords.com (mais 2010)

~ 35 ~

Cet accs permet une personne mal intentionne davoir des privilges plus levs. Donc, elle peut faire tout ce quelle veut. titre dexemple ce pirate peut modifier le mot de passe ou mme uploader un trojan dans la mmoire.

Figure 3. 15 Accs non autoris au commutateur

3.3

Audit systme

3.3.1 Dcouverte des services et leurs versions

Cette phase consiste manipuler des scanners automatiss et lancer des scans dans le but de dterminer tous les services autoriss. Dans ce cas, les serveurs qui ont t balays sont : le serveur de FAX et le serveur de sauvegarde Wooxo.

~ 36 ~

3.3.1.1 Dcouverte des services de serveur Fax

Avec loutil GFI Languard, nous avons rcolt les informations suivantes :

Figure 3. 17 Dcouverte des services de serveur de FAX

Figure 3. 16 Dcouverte des services de serveur Wooxo

~ 37 ~

Nous remarquons une grande existence des services autoriss. Il faut donc vrifier lutilit de ses services, et poser la question suivante : est-ce que nous avons besoin de tous ces services ? O cas o nous navons pas besoin dun tel service, nous devons le dsactiver. En effet, cela peut nous mettre devant dventuelles attaques qui engendrent un dni de service (DoS) ou mme un accs non lgitime ou une exploitation. Dans notre cas, le protocole FTP est autoris sur le serveur Wooxo.

3.3.1.2 Dcouverte des vulnrabilits

Dans cette partie, nous avons mis en vidence les diffrentes vulnrabilits et les failles. Dans ce test, Nessus et GFI Languard ont t utiliss. Limprim-cran suivant illustre le niveau de vulnrabilit gnrale de MTC

Figure 3. 18 Niveau de scurit gnrale de MTC En effet, voil le rsultat de scan de la console dadministration des deux pare-feux :

Figure 3. 19 Rsultat de scan de pare-feu avec GFI

~ 38 ~

Daprs la figure prcdente, nous remarquons clairement que le compte dadministrateur de console dadministration de pare-feux est sans mot de passe. Cest impratif de dfinir un mot de passe du compte dadministrateur. Ainsi, nous devons dsactiver le compte invit.

Aprs, nous procdons un test de serveur Mail Domino Lotus laide de Nessus :

Figure 3. 20 Analyse de serveur de Mail Les rsultats indiquent six vulnrabilits critiques. Parmi ces vulnrabilits nous avons: le protocole IMAP est activ sur le serveur. Un attaquant peut utiliser Telnet

sur le serveur. Il est possible pour d'excuter un code malveillant qui entrane un dni de service de type Buffer Overflow,15 la version de Lotus Domino installe sur le serveur semble tre plus vieille que 7.0.2. Selon IBM, cette version peut tre affecte par plusieurs problmes de scurit,16

3.3.1.3 Patchs manquants

15 16

http://www-01.ibm.com/support/docview.wss?uid=swg21270623 (mai 2010) http://www-01.ibm.com/support/docview.wss?uid=swg27009808 (mai 2010)

~ 39 ~

Daprs les visites effectues aux bureaux des employs, nous avons remarqu que la plupart des machines tournent sous Windows XP Service Pack 2.Donc, il faut effectuer les mises jour de service pack 3.

3.4

Audit de larchitecture

3.4.1 Audit des pare-feux

Nous arrivons au stade o nous allons analyser le nud le plus important dans la scurit de rseau de MTC : cest le pare-feu. Sa marque est Stonegate. Nmap et Nessus seront utiliss dans laudit. Le systme dexploitation install est Debian 4 avec un noyau Linux 2.6. Voil les rsultats avec Nmap :

Figure 3. 21 Ports ouverts sur le pare-feu Des ports ont t dcouverts. Donc il faut les vrifi avec le RSSI. Avec Nessus, nous avons obtenu les rsultats suivants :

Figure 3. 22 Vulnrabilits au niveau de pare-feu Daprs la figure prcdente, nous avons dtect deux failles critiques. Ils sont :

~ 40 ~

daprs le site de Debian17, La version de Debian (4.2) nest plus

supporte. Nous devons mettre niveau le systme dexploitation vers la version la plus rcente (5.0), le mot de passe daccs SSH vers le pare-feu est root . Cest le mot de passe par dfaut de systme dexploitation Linux. En principe, elle devait tre change. En utilisant loutil Putty (mulateur de terminal), nous avons russi accder au compte root du pare-feu, voil les imprims-crans :

Figure 3. 23 Accs total au pare-feu

17

http://www.debian.org/releases/ (mai 2010)

~ 41 ~

3.4.2 Vrification du systme Antiviral

Une solution antivirale de type Symantec Norton a t adopte par le Ministre. En utilisant le freeware PC Security 2010, nous avons pu tester les performances de cet antivirus. Voila ls imprims-cran des rsultats de ce test :

La note attribue lantivirus par ce logiciel est 75 %. Cette note incomplte est due labsence dun antispyware et dun pare-feu personnel intgrs dans lantivirus.

~ 42 ~

3.5

Audit applicatif

Dans cette partie nous allons inspecter les applications implmentes par le Ministre. Larchitecture de MTC est une architecture client /serveur. Tableau 3.9 Outils daudit applicatif
Outils Description W3af ou bien encore Web Application Attack and Audit Framework, Logo

W3af

est un Framework permettant dautomatiser laudit ainsi que les attaques lencontre des applications web.18

SQL Manager for SQL Server

EMS SQL Manager for SQL Server est un outil puissant dadministration et de dveloppement de base de donnes de serveur Microsoft SQL Server.19

Nous avons pris laccord de RSSI pour auditer linterface web de commutateur 3COM laide de loutils W3af. Les rsultats sont les suivants :

Figure 3. 24 Audit de l'interface web de 3COM

18 19

www.regis-senet.fr (mai 2010) www.sqlmanager.net (mai 2010)

~ 43 ~

Nous constatons lexistence dune vulnrabilit de type Cross Site Tracing (XST). Cette vulnrabilit permet d'excuter des scripts de type JavaScript sur le site web (Par exemple : rcuprer les cookies). Nous avons examin le serveur SQL de lapplication Sygec avec loutil SQL Manager. Mais nous navons pas pu accder la base. En effet le mot de passe administrateur sa a t chang. Voil la capture :

Figure 3. 25 Audit de serveur SQL [Remarque] : Nous navons pas pu auditer lIPS car il est tomb en panne. Ladministrateur rseau nous a informs quune autre solution IPS va tre implmente dans les plus prs dlais.

3.6

Conclusion

travers cette mission daudit technique, nos objectifs ont consist identifier les problmes et les vulnrabilits, valuer la scurit de systme dinformation du Ministre. Les tests effectus taient juste des sondages de diffrents aspects techniques de SI. Mais nous devons tre conscients et prudents dans le but dliminer rellement toutes les attaques ventuelles.

~ 44 ~

Chapitre 4

Constat gnral et recommandations techniques

Aprs le chapitre daudit technique qui nous aid dcouvrir les failles menaantes la scurit de MTC. Il est temps de rcapituler toutes les informations et bien les prsenter. De ce principe, ce chapitre prsente un rsum des oprations daudit ralises. galement, ce chapitre dvoile les solutions possibles pour protger la scurit de MTC.

~ 45 ~

4.1 Constat Gnral

Cette partie, sintresse rsumer et organiser tous les rsultats rcolts lors de la mission daudit technique. En effet, nous allons lister toutes les vulnrabilits et les dfaillances techniques. Vu les contraintes de taille, nous navons pas divulgu toutes les failles de rseau dans ce rapport. Un autre rapport complet a t remis ladministrateur de la DI. Ci-dessous nous voyons le niveau de scurit gnrale laide de Gfi Languard :

Figure 4.26 Niveau de scurit gnrale de MTC Ce graphe nous illustre bien videmment le niveau de scurit lev allant jusqu' 10% et. Ce faible pourcentage ne signifie pas suffisamment les risques affronts par le Ministre. Ainsi voil notre constat technique : une politique formelle de scurit absente, larchitecture client/serveur non rpondant aux exigences de Ministre. le partage rseau est ouvert sur la majorit des machines, les comptes administrateurs des certaines machines sont sans mots de passe, ou avec un mot de passe faible. plusieurs trojans sont installs sur des machines, les services pack installs sur les machines ne sont pas jour, des connexions SNMP sont autorises sur des serveurs, des ports FTP et Telnet sont ouverts sur des serveurs, labsence dune implmentation dune solution vlan, labsence dun nom de domaine,

~ 46 ~

linexistence dun serveur log, lIPS est hors service, le trafic rseau important qui circulent sur le rseau, des comptes utilisateurs non utiliss, labsence dune solution de monitoring, labsence des cameras de surveillance dans la salle serveur, le site web de MTC est obsolte (depuis 2004), lIOS install sur les deux pare-feux est prim et non plus support, la version installe sur le serveur mail lotus comprend une faille critique, des mots de passe par dfaut ne sont pas encore changs sur certains serveurs, le client antiviral adopt par le ministre ne comprend ni un antispyware ni un parefeu personnel.

le masque dadresse rseau est de type C. Pourtant les adresses sont de la forme : 10.Y.Z.T,

labsence de mise niveau des OS de certains serveurs. LIOS install sur le Switch 3Com Core Builder est vieux. En plus, le Switch nas plus de mise jour, cela pose un danger de panne.

Enfin, Ci-dessous une figure gnre avec Gfi Languard qui illustre les types de vulnrabilits :

~ 47 ~

Figure 4.27 Types des vulnrabilits

4.2 Recommandations technique

Vu les vulnrabilits dgags dans la phase de laudit technique et face aux risque tudis, ces recommandations sont fournis aux responsables de Ministre constituant une base pour la correction et lamlioration de niveau de scurit au sein Ministre, et pour rpondre aux besoins urgents en matire de scurit technique de leurs systmes dinformations. Donc, les recommandions techniques seront comme suit :

il faut isoler les cbles rseaux lectriques qui passent par terre dans certains bureaux, laborer une politique de scurit formelle et la faire passer tous les employs, penser implmenter une architecture SOA qui centralise linformation, donc la protge, dsactiver le partage, et ne jamais partager des donnes confidentielles sur le rseau, dans linstallation de systmes dexploitation, il ne faut pas laisser le champ de mot de passe dadministrateur vide, penser changer lantivirus implment avec un autre qui offre un antispyware et un pare-feu personnel, assurer les mises jour des services packs de Windows sur les postes de Ministre,

~ 48 ~

 dsactiver le protocole SNMP v1 et le remplacer avec SNMP v3, dsactiver le port FTP sur certains serveurs, cration des VLANs pour assurer une segmentation logique, crer un contrleur de domaine pour faciliter ladministration du rseau, implmenter un serveur log qui enregistre toutes les activits rseaux, changer LIPS dans les dlais les plus prs, contrler les types des protocoles qui circulent sur le rseau, penser avoir une solution de monitoring pour surveillez toute activit malveillante, implmenter des camras de surveillance dans la salle des serveurs, redvelopper un nouveau site web de MTC qui rpond aux nouvelles technologies de web 2.0, faire la mise jour de lIOS install sur les deux pare-feu, faire la mise jour de la version Lotus installe sur le serveur mail, changer les mots de passe par dfauts des quipements rseau, liminer le Switch 3COM et le remplacer par solution pare-feu qui autorise le routage, corriger le masque rseau adopt par le Ministre, protger les machines critiques par des mots de passe au niveau de BIOS. Il faut changer le Switch 3Com Core Builder. Le premier pare-feu est libre. Il pourra faire laffaire.

~ 49 ~

4.3 Proposition dune nouvelle architecture rseau :

Figure 28 Architecture propose

~ 50 ~

Chapitre 5
Prsentation de Limesurvey
Le mtier daudit de scurit est un mtier spcialis et ponctuel. Pourtant elle

demande une trs grande connaissance dans tous les domaines informatiques. En effet tre un auditeur comptent demande beaucoup de rflexion et surtout beaucoup de temps, surtout dans la phase o nous devons faire le Questionnaire de Scurit de Systme dInformation (QSSI). Pour cela, nous avons conu une solution pour effectuer le QSSI en ligne. En effet, on va prsenter et configurer une plateforme Open Source complte et riche qui sappelle Limesurvey.

~ 51 ~

5.1

Prsentation de Limesurvey

5.1.1 Dfinition
LimeSurvey (anciennement PHPSurveyor) est un logiciel libre de sondage en ligne crit en PHP bas sur une base de donnes MySQL, PostgreSQL ou Microsoft SQL Server. Il permet aux utilisateurs sans connaissance en dveloppement de publier un sondage et d'en collecter les rponses. 20 Effectuer un questionnaire en ligne facilite beaucoup lopration de laudit chez lauditeur et chez lemploy aussi. Il suffit dactiver le questionnaire et faire passer le lien de questionnaire. Donc LimeSurvey est un outil en ligne qui va nous aider raliser des questionnaires ou des inventaires. En plus, il va nous permettre de collecter les rponses et calculer les pourcentages. LimeSurvey peut aussi dresser des graphes et des figures. Non seulement cela, mais il existe de centaines des fonctionnalits que LimeSurvey puisse offrir, parmi ces fonctionnalits :

nombre illimit de questionnaires en mme temps, cration d'une version imprimable d'un questionnaire, nombre illimit de groupes de questions dans un questionnaire, nombre illimit de questions dans un groupe/questionnaire, 20 types de questions diffrentes et d'autres venir, possibilit de dfinir des conditions dpendant des rponses prcdentes (branchement dans le questionnaire), rutilisation des jeux de rponses personnalisables, questions importables pr dfini, questionnaires d'valuation, nombre illimit de participants un questionnaire, questionnaires anonymes ou publics ainsi que questionnaires accs restreint, enregistrement public pour les questionnaires, envoi d'invitations et de rappels par mail,

20

www.wikipedia.com (mai 2010)

~ 52 ~

possibilit pour un participant de conserver ses rponses pour continuer le questionnaire plus tard, questionnaires bass sur des cookies ou des sessions, diteur de modles pour crer votre propre reprsentation de vos questionnaires, interface d'administration simple et complte, possibilit de saisie directe de donnes, dates de dbut et de fin de validit des questionnaires, fonctionnalits pousses d'importation et d'exportation au format texte, CSV, PDF, SPSS, queXML et MS Excel, analyse simple et graphique avec possibilit d'exportation.

5.2

Installation

Linstallation de Limesurvey na pas t facile vu la multitude des paramtres existante. En bref, voil les tapes suivre pour installer LimeSurvey : tlchargez LimeSurvey sur le site LimeSurvey, dployer le dans la racine de votre espace d'hbergement, l'installation de LimeSurvey ncessite a priori peu de configuration, il faut avoir accs une base de donnes autorisant php4 et php5, (SQL le plus souvent), priori, un script de LimeSurvey cre une nouvelle base de donnes avec les tables ncessaires, si vous n'avez pas les droits suffisants pour crer une base de donnes MySQL sur le serveur il faudra contacter votre administrateur afin qu'il crer cette nouvelle base de donnes pour vous en vous donnant les droits requis, ensuite, il vous faut le nom d'utilisateur et le mot de passe de cette base de donnes pour diter et configurer le fichier config.php situ la racine du rpertoire contenant LimeSurvey.

~ 53 ~

5.3

Les premiers pas avec Limesurvey :

Si toutes les tapes prcdentes ce sont bien droul, nous allons avoir cet cran

louverture de linterface dadministration :

Figure 5.29 Page dadministration de LimeSurvey

Figure 5.30 Les niveaux ddition Cet icne permet de crer le questionnaire qui en principe est compos de trois niveaux renseigner: un nom de sondage (Survey), un groupe de questions (groups) et des questions.

Figure 5.31 Les outils d'dition

~ 54 ~

Le premier niveau des outils comporte des lments relatifs au questionnaire luimme. Le deuxime niveau permet d'diter le groupe de question. Le troisime niveau est pour diter les questions.

5.4

Linventaire et le questionnaire QSSI raliss :

Dans notre projet, Nous avons hberg un site web sur un espace dhbergement

gratuit (www.000webhost.com) en attendant son hbergement chez lATI. Ladresse de site est : http://www.qssi.herobo.com/. Voila limprim cran de linventaire ralis dernirement :

Figure 5.32 Interface de linventaire informatique en ligne

~ 55 ~

Dans une autre partie, nous avons ralis le questionnaire daudit de scurit. Un imprim cran de la partie politique de scurit a t captur :

Figure 5.33 Laccueil du questionnaire Nous avons essay des rponses arbitraires pour avoir les graphes. Voil les rsultats obtenus :

Figure 34.7 Echantillon du questionnaire

~ 56 ~

Figure 5.35 Les graphes gnrs

5.5 Conclusion :
Dans ce dernier chapitre nous avons prsent une nouvelle moyenne qui va nous aider dans laudit de scurit de nimporte quelle entreprise. Bien entendu, ce questionnaire reste valide tout le temps.

~ 57 ~

CONCLUSION GNRALE

ce stade-l, notre mission daudit technique a pris sa fin. Durant les trois mois de stage dans le Ministre, nous avons essay de mettre en valeur les vulnrabilits humaines ou matrielles qui menacent la scurit de MTC. Dans un premier lieu, nous avons dfini notre mission et nos objectifs. Par la suite, nous avons prsent la dmarche daudit technique. Autrement dit, nous avons dtaill toutes les tapes de laudit technique, ainsi que les objectifs. Dans un deuxime lieu, nous avons prsent lentreprise daccueil. Ensuite, nous avons prcis les serveurs et les applications qui fonctionnent dans le MTC. Dans le troisime chapitre, laudit technique a t effectu. En effet, cette phase a lev le voile sur les failles techniques. Donc grce aux rsultats de cet audit, nous avons pu rdiger les recommandations ncessaires. Enfin, nous avons install et paramtr la plateforme LimeSurvey. Cette dernire tape va aider normment lauditeur dans son travail. Aprs tout, nous devons noter que lide quun systme puisse tre entirement scuris est une fausse ide. Pour conclure, nous esprons que nos recommandations taient utiles, mais encore adopt par le Ministre des Technologies de la Communication.

~ 58 ~