Pour un vrai contrôle bout en bout de la sécurité

Voici un article publié dans le site Web Securisa.com le 26 avril 2006 et dans le bulletin « La sécurité simplifiée », vol. 2, no. 18 (2002/11/04):

Aujourd’hui, la notion de périmètre de sécurité est obsolète, le  » pourtour  » du réseau a été contourné depuis longtemps. Pourquoi s’acharner à faire un périmètre de sécurité si quiconque (ou presque) peut brancher n’importe quoi sur le réseau local ? Parlant de ce qui est branché justement, a-t-on le moyen de contrôler que ce qui est branché est effectivement ce qui a été autorisé? Les gestionnaires sont habitués à gérer les  » adresses IP « , ces fameux numéros séparés par des points (i.e 10.1.2.4).

Cette adresse, enregistrée au démarrage par votre ordinateur est comme une adresse postale : elle vous identifie et vous permet d’atteindre les services réseaux autorisés par l’organisation (NDLR : Dans les organisations, on peut habituellement retracer à qui appartient une adresse IP, même si celle-ci est dynamique).

Mais voilà, quelqu’un qui veut devenir invisible s’arrange pour avoir une fausse adresse IP ou mieux, ne pas en avoir du tout ! Comment savoir alors s’il est branché?

De la même façons que l’on exige à un utilisateur de fournir son code d’identité et son mot de passe pour accéder aux ressources de l’organisation, il est possible d’exiger d’un poste de travail de fournir une « information unique » pour s’assurer qu’il s’agit bien d’un poste qui a été autorisé.

L’authentification du matériel n’est pas nouvelle et plusieurs moyens existent déjà pour la supporter, même de façon rudimentaire, que se soit les commutateurs de réseau local qui peuvent forcer un ordinateur à utiliser telle ou telle prise murale ou les serveurs DHCP qui peuvent restreindre leur distribution d’adresses IP à des postes de travail déterminés à l’avance.

Dès son entrée en fonction, un individu devrait enregistrer son ordinateur, fournir  » l’information unique  » qui servira à identifier formellement son matériel. Celle-ci fera partie de son profil corporatif. Souvent, il s’agit de l’adresse physique de l’interface réseau Ethernet (la fameuse  » adresse MAC  » en jargon technique) mais d’autres produits comme Windows XP vont plus loin et peuvent contrôler jusqu’à dix caractéristiques uniques provenant de tous les recoins du matériel.

Mais voilà : gérer l’identification du matériel est une tâche complexe pour la plupart des organisations. Elle ne sont tout simplement pas organisées pour suivre à la trace les équipements et savoir en tout temps qu’est-ce qui est branché et à quel endroit. Dans les processus de demande d’accès et de création de codes d’identité, on ne tient tout simplement pas compte du matériel.

L’adressage physique du poste n’est en fait qu’une autre caractéristique individuelle au même titre que le code d’identité et le mot de passe. Avec la centralisation des outils d’administration de réseau (adresses IP, gestion des noms DNS, etc.) et la flexibilité de connexité qu’offre les réseaux virtuels commutés (VLAN), intégrer cette donnée nouvelle aux processus existants est tout à fait envisageable.

Il va sans dire que l’authentification physique seule d’un poste a ses limites. Certains savent comment modifier logiquement l’adresse physique de l’interface réseau pourtant littéralement encastrée dans le matériel! Des mesures supplémentaires comme le confinement à une prise réseau spécifique (fonction incluse dans la plupart des commutateurs de réseau supportant les VLAN) est tout aussi important.