Protection accrue des ressources critiques

Depuis deux ans, AUTHENTIC a sensiblement amélioré la sécurité du réseau de l'UNIL, surtout face aux menaces venant d'Internet. Afin de répondre au besoin d'une protection plus poussée des ressources critiques, le Ci va prochainement introduire des modifications à ce système. Les améliorations prévues sont les suivantes:

• cryptage des données confidentielles lors de leur transit sur le réseau;
• protection accrue des serveurs critiques vis-à-vis des risques externes et internes;
• le tout en gardant l'esprit de convivialité d'AUTHENTIC.

Pourquoi pas VPN ?

Dès le début de nos réflexions, nous nous sommes demandé si la technologie VPN (plus précisément IPSec) utilisée largement par la communauté universitaire suisse répondait à nos besoins. Très vite, nous avons relevé un certain nombre de faiblesses. En effet, il faut installer un logiciel "lourd" sur le poste client. L'installation nécessite les droits d'administrateur, ce qui exclut l'utilisation d'une machine dont on n'est pas le propriétaire. En déplacement, on est donc obligé d'emporter avec soi son propre portable. En outre, un tel logiciel peut entrer en conflit avec le système d'exploitation et les programmes d'applications existants. L'interopérabilité entre fabricants constitue une autre source de soucis, car certains d'entre eux (et non les moins connus) adoptent une voie plutôt propriétaire.

Si la technologie VPN apporte une réponse au problème de cryptage, elle ne permet pas une protection efficace des serveurs. En effet, elle se base sur le modèle de confiance entre les réseaux local et distant (on cherche même à en faire un réseau unique). Si le réseau distant, qui accède souvent à Internet par ses propres moyens, est mal sécurisé et se trouve infecté, il peut facilement infecter involontairement le réseau local. En effet, les programmes sur le poste client peuvent intervenir directement sur le serveur. L'affaire du vers MSBlast en est une preuve plus que réelle.

La solution préconisée par l'UNIL

Chacun de nous a probablement eu l'occasion d'apprécier la facilité d'accéder en toute sécurité via un navigateur web (https://...) à son compte bancaire ou de faire ses achats dans un magasin en ligne. C'est précisément la direction adoptée par l'Unil.

Pour commencer, on va prochainement (MISE A JOUR: cette meure est effective depuis le 11.10.2004) protéger le nom/mot de passe durant la phase d'authentification qui permet d'ouvrir la porte d'entrée de l'Unil (plus précisément l'accès à la liste orange). L'utilisateur externe devra se connecter au préalable à la page d'accès au réseau sécurisé. On ne pourra plus se servir de ftp ou de telnet (qui fonctionnent en clair) pour s'authentifier. En réalité, ce procédé a déjà été introduit avec succès pour le réseau sans fil.

Pour les communications à caractère confidentiel, la sécurisation se passe de la manière suivante (cf. illustration ci-dessous): l'utilisateur distant se connecte à la page https://crypto.unil.ch de la boîte baptisée Crypto. Une fois la connexion réussie, un tunnel de cryptage est créé pour protéger l'accès aux différents serveurs à partir de cette page. Cette disposition protège efficacement là où le risque s'avère le plus important et où l'Unil n'a aucun pouvoir de contrôle: les premiers mètres à partir du poste client (surtout si ce dernier est sur du sans-fil où le risque d'espionnage est plus élevé) et le chemin à travers Internet jusqu'à l'entrée de l'Unil.

La page d'authentification de Crypto

• Applications de type web: Les applications récentes sont la plupart du temps basées sur le web. Et c'est bien le cas de l'informatique administrative de l'UNIL. Cerise sur le gâteau : si les serveurs d'application utilisent la même base de données existante des utilisateurs de l'Unil, on ne doit s'authentifier qu'une seule fois, c'est-à-dire lors de la connexion à Crypto.
  
  
• Transfert de fichiers : Il arrive qu'on ait besoin de récupérer un fichier confidentiel d'un serveur (qui peut être sa propre machine de bureau). L'interface web de Crypto facilite ce travail et on bénéficie aussi du mécanisme d'authentification unique.
  
  
• Applets: Certaines applications de type client-serveur même traditionnel peuvent se réaliser avec un programme de taille modeste appelé applet qui est téléchargé automatiquement sur le poste client. L'applet provient soit du serveur, soit de la boîte Crypto. Comme exemple, on peut citer l'application telnet.Une telle application d'habitude réputée peu sûre car fonctionnant en clair, bénéficie ainsi du cryptage par Crypto. Le mécanisme des applets permet encore de mettre en oeuvre un concept nouveau de sécurité: ne permettre qu'à des logiciels de confiance (ceux qui proviennent du serveur ou de Crypto) d'accéder au serveur.
  
  
• Applications locales: Il existe des cas où l'on a recours à une application cliente disponible sous forme d'un logiciel installé d'une manière classique sur le poste client (par exemple le client SAP, l'outil VNC ou le produit Apple Mail). Une telle application locale peut aussi bénéficier du service de cryptage de Crypto grâce au téléchargement automatique d'un logiciel spécialisé. Evidemment dans ce cas, on retrouve les mêmes défauts que la solution VPN. Pourtant, on peut minimiser les effets néfastes en limitant la liste des applications (et des serveurs) utilisables par cette méthode.

L'utilisateur distant se connecte à la boîte baptisée Crypto. Une fois la connexion réussie, un tunnel de cryptage est créé pour protéger l'accès aux différents serveurs à partir de cette page

Une meilleure protection des serveurs

En s'intégrant dans AUTHENTIC comme service de cryptage, Crypto permet encore de mieux défendre les serveurs grâce à la création de la nouvelle liste orange-s (ou orange-sanguine). L'enregistrement à cette liste se fait de manière self-service : l'administrateur du serveur configure son filtrage pour n'accepter de dialoguer qu'avec Crypto. Il peut aussi tenir compte de la localisation de la source cliente : externe (risque externe), interne (risque interne) ou les deux. En dehors du cas des applications locales, on évite ainsi le contact direct entre le serveur et les postes clients. Même si ces derniers sont infectés, le risque de contagion de la liste orange-s diminue fortement. En combinaison avec le concept de logiciels de confiance, les serveurs sont ainsi mieux protégés vis-à-vis des risques à la fois internes et externes.

Conclusions

Cette protection accrue n'est pas imposée d'une manière généralisée. Vu la structure fortement décentralisée de l'informatique à l'Unil, on préfère laisser le choix à l'utilisateur et à l'administrateur de serveur. Car eux seuls connaissent exactement le degré de confidentialité des données et de contrôle d'accessibilité requis.

Comme pour toute nouvelle technologie, on doit s'attendre à des différences de degré de disponibilité suivant le genre de système d'exploitation du poste client. Concernant les applications de type web et le service de transfert de fichier qui constituent la majorité des utilisations, on n'a besoin que des fonctionnalités de base d'un navigateur web. Ainsi, même depuis n'importe quel cybercafé, on pourra accéder en toute sécurité aux données SAP de l'Unil. Quant aux autres possibilités, les machines Windows sont actuellement les mieux servies (pour des raisons de part de marché) par les produits disponibles, et on constate encore un certain retard pour les autres plateformes (Mac, Linux). Le Ci ne manquera pas de vous tenir au courant à travers des annonces et des séances d'information et de formation.