Sensibilisation des utilisateurs
Gestion des accès des administrateurs
L’administrateur de l’appliance firewall-VPN ou du serveur SMC est responsable de la formation des utilisateurs quant à la sécurité du réseau, des équipements qui le composent et des informations qui y transitent.
En effet, la plupart des utilisateurs d’un réseau sont néophytes en informatique et à fortiori en sécurité des réseaux. Il incombe donc à l’administrateur ou au responsable de la sécurité du réseau de mettre en place des sessions de formation ou tout du moins des campagnes de sensibilisation à la sécurité des réseaux.
Lors de ces sessions, il est important d’insister sur la gestion des mots de passe de l’utilisateur et de son environnement de travail et la gestion de leurs accès aux ressources de l’entreprise, comme indiqué dans la section suivante.
Première connexion au boîtier ou au serveur SMC
La première connexion au boîtier ou au serveur SMC nécessite une procédure de sécurisation si celle-ci s'effectue au travers d'un réseau qui ne soit pas de confiance. Cette opération n'est pas nécessaire si la station d'administration est branchée directement au produit.
L'accès au portail d'administration est sécurisé via le protocole SSL/TLS. Cette protection permet d'authentifier le portail via un certificat, assurant ainsi à l'administrateur qu'il est bien connecté au boîtier désiré ou au serveur SMC désiré. Ce certificat peut être le certificat par défaut du boîtier ou celui renseigné dans sa configuration (Authentification > Portail captif).
Le certificat par défaut du boîtier a comme nom (CN) le numéro de série du boîtier et il est signé par deux autorités dont les noms sont NETASQ - Secure Internet Connectivity ("O") / NETASQ Firewall Certification Authority ("OU") et Stormshield ("O") / Cloud Services ("OU").
Pour valider un accès sécurisé, le navigateur doit faire confiance à l’autorité de certification qui a signé le certificat utilisé, et appartenant à la liste des autorités de certification de confiance du navigateur. Ainsi pour valider l'intégrité du boîtier, il faut donc avant la première connexion, ajouter les autorités NETASQ et Stormshield à la liste des autorités de confiance du navigateur. Ces autorités sont disponibles sur les liens http://pki.stormshieldcs.eu/netasq/root.crt et http://pki.stormshieldcs.eu/products/root.crt. Si le boîtier a configuré un certificat signé par une autre autorité, il faut y ajouter cette autorité à la place de celles de NETASQ et Stormshield.
En conséquence, la connexion initiale au boîtier ne déclenchera plus d'avertissement du navigateur relatif à l'autorité de confiance. En revanche, un message avertit toujours que le certificat n'est pas valide. En effet, le certificat définit le firewall par son numéro de série, et non par son adresse IP. Pour éviter ce dernier avertissement, il faut spécifier au serveur DNS l'association entre le numéro de série et l'IP du firewall.
NOTE
Le mot de passe par défaut de l'utilisateur 'admin' (super administrateur) doit être modifié lors de la première utilisation du produit dans l’interface d’administration web via le module Administrateur (menu Système), onglet Compte Admin.
Ce mot de passe doit être défini selon les bonnes pratiques décrites dans la section suivante, partie Gestion des mots de passe de l’utilisateur.
Ce mot de passe ne doit être en aucun cas sauvegardé dans le navigateur Web.
Gestion des mots de passe de l’utilisateur
Au cours de l’évolution des technologies de l’information, de nombreux mécanismes d’authentification ont été inventés et mis en place afin de garantir une meilleure sécurité des systèmes d’information des entreprises. Cette multiplication des mécanismes a entraîné une complexité qui contribue aujourd’hui à détériorer la sécurité des réseaux d’entreprises.
Les utilisateurs (néophytes et non formés) choisissent des mots de passe "simplistes", tirés généralement de leur vie courante et la plupart du temps correspondant à un mot contenu dans un dictionnaire. Ces comportements entraînent, bien entendu, une dégradation notable de sécurité du système d’information.
Il faut prendre conscience que l’attaque par dictionnaire est un "outil" plus que performant. Une étude de 1993 montre déjà cet état de fait. La référence de cette étude est la suivante : (http://www.klein.com/dvk/publications/). Ce qui est le plus frappant dans cette étude est sûrement le tableau présenté ci-dessous (basé sur un mot de passe de 8 caractères) :
Type de mot de passe | Nombre de caractères | Nombre de mots de passe | Temps de Cracking |
Lexique anglais 8 caract. et + | spécial | 250000 | < 1 seconde |
casse minuscule uniquement | 26 | 208827064576 | 9 heures |
casse minuscule + 1 majuscule | 26/spécial | 1670616516608 | 3 jours |
minuscules et majuscules | 52 | 53459728531456 | 96 jours |
Lettres + chiffres | 62 | 218340105584896 | 1 an |
Caractères imprimables | 95 | 6634204312890620 | 30 ans |
Jeu de caractères ASCII 7 bits | 128 | 72057594037927900 | 350 ans |
On peut citer aussi un état de fait qui tend à se résorber mais qui est encore d’actualité : les fameux post-its collés à l’arrière des claviers.
L’administrateur doit mettre en place des actions (formation, sensibilisation, …) dans le but de modifier et de corriger ces "habitudes".
- Incitez vos utilisateurs à choisir des mots de passe de longueur supérieure à 7 caractères,
- Demandez-leur d’utiliser des chiffres et des majuscules,
- De changer souvent de mots de passe,
- Et surtout de ne noter en aucun cas le mot de passe qu’ils auront finalement choisi.
L’une des méthodes classiques pour trouver un bon mot de passe est de choisir une phrase que l’on connaît par cœur (vers d’une poésie, parole d’une chanson) et d’en tirer les premières lettres de chaque mot. Cette suite de caractères peut alors être utilisée comme mot de passe.
EXEMPLE
" Stormshield Network, 1er constructeur français de boîtiers FIREWALL et VPN…"
Le mot de passe pourrait être le suivant : SN1cfdbFeV.
L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) propose à ce titre un ensemble de recommandations permettant de définir des mots de passe suffisamment robustes.
L’authentification d’utilisateurs via le portail captif s’effectue par défaut, par un accès SSL/TLS utilisant un certificat signé par deux autorités non reconnues par les navigateurs. Il est donc nécessaire de déployer ces autorités de certification utilisées par une GPO sur les navigateurs des utilisateurs. Par défaut, ces autorité sont la CA NETASQ et la CA Stormshield, disponibles sur les liens suivants:
Pour plus de détails, consultez la section précédente Gestion des administrateurs, partie Première connexion au boîtier.
Environnement de travail
L’espace de travail est souvent un lieu de passage, un croisement pour de nombreuses personnes internes et extérieures à l’entreprise. Il s’agit donc de sensibiliser les utilisateurs au fait que certaines personnes (fournisseurs, clients, ouvriers, …) peuvent accéder à leur espace de travail et de ce fait recueillir des informations sur l’activité de l’entreprise.
Il est important de faire prendre conscience à l’utilisateur qu’il ne faut pas qu’il divulgue son mot de passe aussi bien par téléphone que par Email (social engineering) et qu’il faut qu’il tape son mot de passe à l’abri des regards indiscrets.
Gestion des accès d’utilisateurs
Pour compléter cette section sur la sensibilisation des utilisateurs à la sécurité des réseaux, l’administrateur doit aborder la gestion des accès utilisateur. En effet le mécanisme d’authentification d’un appliance firewall-VPN Stormshield Network ou d'un serveur SMC (comme beaucoup d’autres systèmes) basé sur un système de login/mot de passe n’implique pas forcément de déloguage à la fermeture de l’application à l’origine de cette authentification (crédit de temps d’authentification). Cet état de fait n’est pas forcément évident pour l’utilisateur néophyte. Ainsi, bien qu'il ait fermé l’application en question, l’utilisateur (qui pense ne plus être connecté) reste authentifié. S’il quitte son poste une personne malintentionnée peut alors usurper son identité et accéder aux informations contenues dans l’application.
Enfin incitez les utilisateurs à verrouiller leurs sessions lorsqu’ils se déplacent et laissent leur poste de travail sans surveillance. Cette tâche qui se révèle parfois fastidieuse peut être facilitée par des mécanismes d’authentification qui automatise le verrouillage (token USB par exemple).