Mon compte Devenir membre Newsletters

Sécurisation et cryptographie : comment protéger son site et ses communications

Publié le par

Le développement du piratage et des attaques sur le réseau ont brusquement rappelé le fait que les systèmes d'exploitation les plus courants étaient très vulnérables aux agressions externes. Avoir des protections élaborées est une condition de survie d'un site marchand. Voici un éventail de quelques-unes d'entre elles.

AXIDIA - www.axidia.fr


Le logiciel Real Secure ISF distribué par l'intégrateur Axidia, est un outil de détection d'intrusion sur le site. Complémentaire des protections habituelles, il cherche à combler les lacunes d'un pare-feu. Il peut notamment détecter les attaques masquées dans des documents en http, acceptés par tous les pare-feu. Le logiciel s'installe sur un serveur indépendant, un PC sous Windows NT ou une machine Unix-Solaris. Ce poste servira de sonde, chargée de surveiller le trafic entre le réseau et le site qu'elle protège. Séparée du réseau, la sonde n'engendre aucun trafic supplémentaire. Dès la détection d'une signature d'attaque dans le flux, le logiciel reconfigure le pare-feu pour interdire l'accès depuis la source d'attaque et envoie une alerte à l'administrateur du serveur. La base de données des signatures d'attaques est régulièrement remise à jour par téléchargement, exactement comme les BDD des antivirus. Ce logiciel est destiné à la protection des sites marchands - on estime chez Axidia qu'il serait capable de contrer les attaques comme celles subies récemment par Yahoo et E-bay. En France, Real Secure compte parmi ses clients plusieurs sites de la grande distribution, des ministères et des banques. Le coût de sa licence est d'environ 40 000 francs.

CHECKPOINT - www.checkpoint.com 3


Leader mondial de la sécurité sur Internet, Check Point Software Technologies développe une architecture SVN (Secure Virtual Network) qui fournit l'infrastructure nécessaire aux communications Internet sécurisées et fiables. Cette architecture SVN assure la sécurité des communications Business to Business en fédérant les réseaux, les systèmes, les applications et les utilisateurs dans le cadre d'Internet, Intranet et Extranet. Les solutions fournies par la société sont soit sous forme de logiciels, soit sous forme de boîtiers qui gèrent et administrent le système d'informations du client. Les deux offres principales de la société sont Firewall-1 et VPN-1, cette dernière incluant les fonctionnalités de la première. Les cibles privilégiées de Check Point sont les moyennes entreprises et les grands comptes, auxquels elle destine des solutions plutôt haut de gamme, variant de 25 000 francs à 140 000 francs selon la taille du réseau à sécuriser. Pour les petites entreprises l'offre de Check Point démarre autour des 3 000 francs. Dans le cadre de "l'OPSEC Appliance Initiative", les clients peuvent choisir parmi une grande diversité de solutions de sécurité celle qui correspond le mieux à leurs besoins informatiques uniques en matière de commerce électronique.

CYRANO - www.cyrano.com


La solution E-secure de Cyrano permet de tester la vulnérabilité d'un site de commerce électronique en soumettant ses protections à une série de tests dits "de pénétration", c'est-à-dire en simulant une attaque venant de l'extérieur. Elle est destinée au contrôle de sécurité de tout site possédant une base de données sensibles. Son module E-secure Firewall teste le "pare-feu", cette cloison qui sépare l'Intranet de l'entreprise de son site Internet. Le produit est composé d'une partie extérieure, appelée la console, qui servira à lancer les attaques, et d'une sonde qui s'installe sur le réseau de l'entreprise. Lors du test la console envoie des paquets d'informations simulant les attaques extérieures, pendant que la sonde surveille et comptabilise le passage réussi de ces paquets. L'ensemble permet d'apprécier et d'améliorer la qualité des règles de filtrage d'informations définies par l'administrateur du système. Le deuxième module, baptisé E-Secure Network, permet de tester la vulnérabilité des machines en réseau Intranet ou Extranet contre une attaque lancée cette fois-ci en interne. Ce programme analyse la sécurité de chaque machine, une par une ou bien par groupe, des systèmes d'exploitation aux applications installées, en recherchant des points faibles suivant sa propre base de données de vulnérabilité. Le prix de la licence E-Secure se situe entre 10 000 et 50 000 francs en fonction du nombre de postes.

MATRANET - www.matranet.com 3


L'application M-Tunnel de Matranet est destinée au chiffrement pour les communications entre le site du commerce électronique, ses fournisseurs et ses clients professionnels. Elle s'adresse aux entreprises du commerce électronique qui gèrent plusieurs sites physiques, comme par exemple Wstore. Ses quatre sites en Grande-Bretagne, en Allemagne, en Suisse et en France communiquent en chiffre grâce au module M-Tunnel Gateway. Equipés de modules logiciels clients, les fournisseurs de l'entreprise peuvent mener des négociations de prix et de promotions de façon confidentielle. Le logiciel permet de générer des certificats d'authentification sans passer par un prestataire externe et d'authentifier les documents transmis en clair pour la non-répudiation des commandes. M-Tunnel utilise le chiffrement en DES et Triple DES avec une clé de 168 bits. L'échange des clés est chiffré avec la méthode RSA à 1 024 bits. Le logiciel fonctionne sous Windows NT, Solaris, Unix. Son coût est de 30 000 francs pour le module Gateway et de 15 000 francs pour le pack de 25 modules clients.

NETSECURE - www.netsecuresoftware.com


Netsecure Crypt est destiné aux entreprises qui cherchent à sécuriser l'accès à leur serveur. Il assure le chiffrement de tous types de flux TCP, comme par exemple des pages Web au format HTTP. Cet outil est surtout intéressant pour les flux d'informations FTP et Telnet, qui ne sont pas pris en charge par le chiffrement SSL des logiciels de navigation. Le produit utilise une clé RSA asymétrique à 1 024 bits. La clé privée est installée sur le poste, et la clé publique incluse dans le certificat. Une cession de travail commence par l'échange des certificats et des clés, la communication sécurisée n'étant ouverte qu'après cette première étape. Le même outil peut servir pour sécuriser l'accès au courrier électronique sur Internet. Dans ce cas, on ne chiffre pas le message mais seulement l'accès à la messagerie, grâce à Netsecure Crypt. L'utilisation du langage Java pour le développement rend cette solution facilement adaptable sur tous types de plate-forme. Dans la nouvelle version, la clé privée sera cachée dans une clé physique protégée avec un mot de passe et que l'on connectera au port USB de l'ordinateur. Netsecure Crypt coûte de 110 000 francs pour la partie serveur à 235 et 700 francs pour chaque poste suivant leur nombre.

SAFELOGIC - www.safelogic.com 3


Lastwall de Safe Logic est un détecteur d'intrusion destiné aux serveurs Web. Lors de son installation sur le serveur marchand, on lui indique la liste des fichiers et des répertoires à surveiller. Dès ce moment, il crée et stocke dans un fichier crypté des empreintes numériques de tous les documents à protéger. Par la suite, le détecteur va comparer régulièrement l'empreinte avec l'original et enverra une alerte en cas d'anomalie. Sa programmation permet de déclencher l'arrêt immédiat du service en cas de détection d'une attaque. La fréquence de vérification sera définie de façon à ne pas consommer trop de puissance du serveur et de ne pas altérer son fonctionnement opérationnel. Pour plus de sécurité, il est possible d'installer Lastwall sur une station de travail cliente, avec un module de transmission sur le serveur principal. Dans ce cas, le calcul de comparaison est effectué sur le poste client, le détecteur fonctionnant quasiment en permanence. Lastwall est particulièrement adapté pour protéger un serveur contre la prise de contrôle à distance de façon invisible avec des outils d'attaque comme Back Orifice ou son alter ego sous Unix baptisé Tool Kit. Ce détecteur est d'ores et déjà utilisé par le Comité des Régions de la Commission Européenne. Le coût d'achat de licence pour un poste monoserveur est situé entre 10 000 et 15 000 francs. En version client-serveur, il est proche de 80 000 francs. Il existe aussi une formule de licence mensuelle.

SOLSOFT - www.solsoft.fr


Net Partitioner de la société Solsoft permet de gérer de façon automatique des politiques complexes de sécurité des accès réseau, le développement et la mise en oeuvre des listes d'accès et des filtres IP sur les routeurs, et les pare-feu. Par un simple clic de souris, l'administrateur réseau trace les flux de service IP, tandis que le compilateur de filtres IP génère les filtres et les listes d'accès. Après une vérification automatique de la cohérence de la configuration et des accès nécessaires à l'administration des routeurs, le module de téléchargement permet de déployer automatiquement la politique de sécurité sur le réseau. Net Partitioner fonctionne sur Windows NT, Windows 95/98, Sun Solaris, Unix et Linux. Il est utilisé par le groupe audiovisuel CLT-UFA (RTL) et par Thomson-CSF Detexis.

UBIZEN - www.ubizen.com 3


Multisecure d'Ubizen est un serveur de sécurité qui s'installe entre le client et les bases de données. Il est destiné aux sites de banque électronique, de bourse en ligne et de commerce interentreprises. Son avantage est d'offrir une gestion centralisée des règles de sécurité, du niveau de chiffrement requis entre l'application et le client, et de l'authentification. Aujourd'hui ces fonctions sont le plus souvent gérées par l'application elle-même, ce qui présente un inconvénient majeur pour la protection d'un serveur multi-application car son niveau de sécurité est alors égal au niveau de sécurité du plus faible de ses éléments. Multisecure permet d'y remédier en déportant la tâche sur un serveur spécialisé, derrière lequel on peut abriter plusieurs applications des différents éditeurs. Une requête de l'utilisateur est interprétée par Multisecure qui renvoie au client un programme Java contenant les clés de chiffrement en triple DES. La conversation passe alors en mode crypté. Selon les besoins, le logiciel peut demander au client de valider la transaction avec sa signature électronique, afin d'assurer la non-répudiation. Cette fonction est particulièrement utile pour la bourse en ligne. Multisecure est par exemple utilisé par la banque d'affaires américaine J.P. Morgan et par le groupe de banque et assurances belge Fortis. Son coût varie de 39 000 à 91 000 euros, suivant le nombre de postes.