Access Granted

Le firewall,votre meilleur ennemi ou « Vous avez vu passer Nimda ? »

Un soir d’abrutissement télévisuel ordinaire, vous êtes peut-être tombé sur un de ces moments de moins en moins rares qui font désespérer de l’humain en général et de l’humain motorisé en particulier. La scène se situait dans le couloir sinistre d’une gendarmerie de banlieue où un sombre abruti, la tronche grossièrement mosaïquée, se lamentait sur le funeste sort qui l’avait conduit là. Ce sinistre personnage ayant participé à sa modeste manière à l’holocauste routinier d’une toussaint ordinaire soutenait mordicus l’incompatibilité du statut de criminel autoroutier avec celui d’assuré tout-risque. Son leitmotiv d’une incommensurable imbécillité résonne encore à mes oreilles « Je ne suis pas un assassin, je suis assuré ». Et bien chaque fois que j’entends un directeur informatique affirmer que son réseau ne craint rien parce qu’il interpose un firewall (prononcez fier-oualle) entre le cyber-monde cruel et l’information vitale de son entreprise, je ne peux m’empêcher de repenser à cet abruti. « Je ne peux pas être piraté, j’ai le firewall »

Combien sont-ils, ces faux naïfs, persuadés qu’au prix où ils ont casqué leur cyber coupe-vent, le Jean-Kevin mal intentionné peut aller rhabiller sa turgescente envie de pénétrer le réseau de l’entreprise adorée ? Beaucoup. Oui, ils sont beaucoup à vivre dans l’illusion que, puisqu’ils l’ont payé la peau des genoux, leur fier-oualle est l’assurance tout risque anti-piratage. Illusion qu’ils finiront fatalement par se mettre sur l’oreille le jour où une invasion sournoise à la code red aura mis leur informatique par terre et, dans les sociétés bien gérées, leur pomme au chômage.

Sachez-le, Monsieur le Directeur Informatique, Le firewall protège autant votre réseau qu’une capote trouée vous met à l’abri des soucis vénériens quand vous vérifiez la bonne volonté de votre assistante Mademoiselle Morel à remplir ses objectifs trimestriels. Le firewall est un simple barrage filtrant sur l’autoroute qui conduit du PC du script kiddy à votre fichier clients. Et non seulement le trou (épeler port 80) qui le traverse permet à un nombre impressionnant de babioles hostiles de se ruer sur vos brins ethernet mais les chemins de contournement du pauvre Garde-Barrière One sont plus nombreux que les chemins muletiers entre la grotte sweet grotte d’Oussama et un refuge pakistanais. Quand il ne suffit pas de sauter avec agilité et à pieds joints, et hop, au-dessus du port 1024 pour accéder à votre réseau ! Combien de any-to-any au-delà des well-known ports dûs aux administrateurs laxistes ou fatigués ? Votre ingénieur réseau vous a intoxiqué à coups de DMZ, de NAT, de VPN et de reverse proxy mais il vous a caché l’essentiel : votre réseau tel un titanic on the rocks prend l’eau de partout. Tenez, le VPN, protocole magique qui permet à vos troupes serviles de continuer leur labeur à la maison comme si elles bossaient bien au chaud dans leur cubicle (Inspection du travail, les 35 heures ? Tiens fume). La perversité des « vendeurs de solution » vous a conduit à l’intime conviction que c’était l’ultime outil de votre sécurité : cryptage, tunelling, bla bla bla, ipsec, pptp, pki, bla bla bla… N’en jetez plus. Ce qu’ils ont oublié de vous dire et pas oublié d’omettre, c’est que Maurice Kerduglandu, ingénieur en chef, connecté par la grâce conjuguée de Saint Noos et du Vénérable Netissimo transforme via le très sécurisant VPN son modeste Dell domestique en routeur permanent de l’extérieur criminogène vers votre réseau soigneusement natté en 10. Et vous vous demandez encore par où Nimda est entré ?

Pire, avez-vous pensé à cette amusante facétie du destin : vous avez dépensé une fortune à esssayer de protéger votre réseau, vous payez grassement des ingénieurs à s’insulter à longueur de journée sur fr.comp.securite, mais la moitié de votre parc, à base de Toshibas flambant neufs sort tous les soirs de vos locaux pour revenir se connecter tranquillement le lendemain. Et qu’ont-ils fait de 19 heures et demi du soir et 9 heures moins 15 du matin sur ces beaux portables en tout début d’amortissement ? Heing ? Ils ont browsé à domicile sur des sites divers et avariés, se sont rassasiés d’hypertrophies mammaires, gavés d’épisodes frisottés et subséquemment ont ramassé des cochonneries javascriptées, fait le plein de trojans et provision de back orifices. En un mot comme en cent, ils vous ont tiré les vers du net. Et dès le lendemain ils vont reconnecter leur laptop plus vérolé qu’une tâcheronne de parking à routiers sur votre beau réseau tout joli, tout propre et déverser ce trop plein de saloperies au nez et à la barbe du firewall qui joue la dame pipi à l’entrée de votre DMZ balisée comme la frontière franco-suisse. Et vous vous demandez encore par où Nimda est entré ?

Je ne vous parlerais même pas du RAS (Remote Access Sévices), numéro d’appel direct vers votre ERP. « Vous avez demandé un accès à nos données financières, ne quittez-pas, nous recherchons votre correspondant ». Je ne veux pas rajouter à vos angoisses mais le pire est à venir : le wireless, le wifi ! 802.11. Souvenez-vous de ce protocole. Vous mettrez au moins un chiffre sur vos malheurs à venir. Le moindre curieux équipé d’une carte à 1000 balles pourra se connecter directement à votre réseau tranquillement installé au volant de sa twingo garée juste en face de votre hall d’entrée !

Pour assurer un minimum de sécurité à votre système d’information, le firewall est loin d'être le remède universel. Très loin. La seule façon d’assurer ce minimum sécuritaire vital est de contrôler les flux réseau non seulement à votre accès internet, l’entrée principale du réseau, mais aussi sur l’ensemble de vos segments, de lever des alertes dès qu’une activité anormale est détectée et de prévoir des mécanismes d’isolation des machines et des sous-réseaux. Ce n’est pas un pauvre firewall entre votre infrastructure et l’extérieur qui vous protégera. Seule l’installation de coupe-feu interne (bridge ipf) et de détecteurs d’intrusion sur l’ENSEMBLE du réseau peut ramener un peu de sérénité dans votre infrastructure perturbée. Mais tout ça nécessite un suivi permanent et une vision globale de votre problématique sécuritaire : internet, VPN, wireless, isolation, détection (j’écris comme un consultant pour que vous saisissiez l’importance du propos). Tant que vous resterez persuadé que ce cher, très cher firewall vous assure une sécurité totale vis-à-vis des délinquants du net, vous serez à la merci d’un nimda lancé à fond de caisse vers vos pauvres IIS.

Source: ZiPiZ -- J'ai retrouvé un texte qui m'avait bien fait rigoler la première fois que je l'ai lu... Il est tiré de ZiPiZ et était paru dans un numéro de MISC, un magazine sur la sécurité informatique que je n'ai acheté que 2 fois parce que ça vole trop haut pour moi et que 7,50€ pour un mag, je trouve ça trop cher (d'ailleur login: à 6.40€ je trouve ça cher aussi :/ ).

Ecrit par Tetram9, le Jeudi 2 Octobre 2003, 11:28 dans la rubrique "Internet".

Repondre a cet article