Sécurité

Ubuntu est un système relativement sûr¹⁾, mais cela ne doit pas vous empêcher d'être vigilant et de suivre quelques recommandations. Voici comment protéger efficacement vos données personnelles.

Si vous êtes débutant ou simple utilisateur, voici comment accéder au guide pour apprendre à utiliser Ubuntu en toute sécurité.

Exécutez le lanceur d'application (raccourci clavier ALT+F2) et copiez-collez-y

gnome-help file:///usr/share/gnome/help/keeping-safe/fr/keeping-safe.xml

puis cliquez sur le bouton Lancer.

Parce que vos informations personnelles sont enregistrées à l'intérieur, sans sécurisation il est facile d'accéder à toutes vos données à distance et encore plus facilement physiquement.

Pour le particulier, l'enjeu est plutôt la tranquillité et la stabilité du système. Cela signifie un pare-feu convenablement configuré (voir ci-dessous), afin d'éviter les intrusions malveillantes, et éventuellement un disque dur chiffré, afin d'éviter le vol d'informations et de protéger les données personnelles en cas de vol de la machine.

On ne le répétera jamais assez, surtout aux PME/PMI : la sécurité est un enjeu majeur d'une politique économique ! L'époque du capitalisme à la bonne franquette est révolue, nous sommes entrés dans l'ère d'un capitalisme sauvage, où tous les coups sont permis pour semer et/ou abattre la concurrence. Et, avec le développement des moyens de communication numériques dans l'entreprise, un nombre colossal d'informations, y compris vitales, deviennent accessibles par le réseau. Ainsi voit-on se développer les « Officines d'intelligence économique », i.e. des boîtes d'espionnage, pour parler sans euphémismes, tenues par des anciens de la DGSE ou de la PJ, et avec elles les intrusions dans les réseaux, les vols de matériel… Quand le cracker travaille pour EDF, ça la met mal !

À ce propos, la DCRI organise régulièrement des stages de sensibilisation à la sécurité informatique, avec des difficultés certaines, étant donné l'ignorance totale des patrons à l'égard de cette menace.

La sécurité dans les entreprises passe donc :

• par la limitation de l'accès au matériel (zones réservées, restrictions…) ;
• par la sécurisation physique du matériel (antivols, armoires fortes…) ;
• par la sécurisation virtuelle du matériel, des données et informations (lecteurs biométriques, disques chiffrés…) ;
• par la sécurisation des réseaux et des communications (formats de transfert cryptés : SSH…) ;
• par la formation du personnel aux risques.

Pour aller plus loin :

• interview d'un responsable de la DST ;
• sécurisation des données ;
• sécurisation des systèmes d'informations ;
• portail gouvernemental de sécurité informatique ;
• http://www.spyworld-actu.com/ ;
• blog spécialisé Défense et IE ;
• et bien sûr, Google reste votre ami…

La sécurité en informatique est un terme très large. Voici quelques liens particulièrement intéressants :

• sécurité des systèmes d'informations ;
• risques en sécurité informatique.

Ces articles sont assez complets et permettent d'entrevoir les problématiques liées à la sécurité informatique. Entre autres notions de base expliquées dans les liens ci-dessus, voici les points les plus importants :

• la sécurité comporte un aspect psychologique et un aspect objectif ;
• l'approche objective de la sécurité s'intéresse aux causes (anglais : security) et aux effets (anglais : safety) ;
• la notion de sécurité met en relation les milieux technique et humain : elle touche directement la formation des personnes ;
• la sécurité augmente avec la connaissance et diminue avec l'ignorance : tout ce que je ne sais pas mais que les autres savent est un danger potentiel (paranoïa) ;
• la sécurité d'un système d'informations est égale à celle de son maillon le plus faible ;
• il convient d'adapter les mesures de protection aux risques encourus.

Si votre ordinateur est connecté à Internet ou à un réseau :

Mettez votre système régulièrement à jour afin de profiter des derniers correctifs de sécurité. Par défaut, Ubuntu recherche les mises à jour tout seul, mais si vous souhaitez vérifier manuellement cliquez ici.

Voir la page concernant les Pare-feu.

Voici une liste non exhaustive des principaux outils pare-feu :

• ufw : est un utilitaire pour régler facilement le firewall
  • gufw : est l'application graphique de ufw
• iptables - Iptables, le firewall en ligne de commande pour Linux.
• tuxguardian : un firewall applicatif
• bastille : script offrant un pas-à-pas guidé pour configurer iptables facilement et d'autres options très intéressantes
• shorewall : un outil pour configurer plus facilement Netfilter.
• fail2ban : bloque les tentatives de connexions
• snort : détection d'intrusions par règles
• Hosts : Blocage d'adresse dangereuse.
• Moblock : Blocage d'adresse dangereuse - chargement des listes peerguardian sur internet automatiquement.
• denyhosts : bloque aussi les tentatives de connexions
• Lire - Analyseur des fichiers log
• picviz - Analyseur des fichiers log sous forme de graphique

• Noscript : NoScript ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix (p.ex. le site de votre banque). Détecte et empêche le crossitescripting, et améliore la sécurité des greffons flash, java (attention ce sont des greffons propriétaires)…

Un programme n'est pas à l'abri de failles de sécurité. Si une faille est présente, et que le programme est lancé en tant qu'utilisateur normal, dans le pire des cas, ce seront vos données personnelles qui seront endommagées. Par contre, si le programme est lancé en tant que super-utilisateur, une faille pourrait éventuellement permettre d'effectuer toutes les actions permises aux super-utilisateur (suppressions de fichiers systèmes, installation de programmes…).

Un autre risque est celui d'une erreur humaine. Par exemple, si vous lancez Nautilus en super-utilisateur, vous pouvez supprimer des fichiers systèmes, modifier n'importe quel fichier…

Ainsi, il est recommandé d'éviter de lancer les programmes graphiques en tant que super-utilisateur, quand cela peut être évité. À plus large échelle, il est fortement recommandé de ne jamais démarrer un environnement de bureau (gnome, kde…) en tant que super-utilisateur.

Le "Bureau à distance" est une fonctionnalité permettant de contrôler graphiquement votre ordinateur de l'extérieur. Avoir cette fonctionnalité activée peut être dangereux, surtout si le mot de passe utilisé n'est pas suffisamment efficace. Un utilisateur malicieux pourrait alors prendre le contrôle de votre ordinateur (avec les droits d'utilisateur normal), et accéder à vos fichiers… Ainsi, il est conseillé de le désactiver lorsqu'il ne vous est pas utile.

Voir la page Bureau à distance.

Voir la page wifi.

• Les antivirus sous Ubuntu, consulter "la page antivirus".

• SSH : SSH permet de connecter une console distante sécurisée sur une autre machine.
• Openvpn : Installation du client OpenVPN (tunneling sécurisé sur IP)
  • Installation d'Openvpn : Tutoriel complet sur les possibilités de OpenVPN.
• vpnc- Installation du client VPNC (compatible Cisco System)
• PPTP : Installation de pptp dans le NetworkManager
• nessus : Logiciel pour scanner les réseaux et les failles des terminaux présents sur le réseaux
• netdiscover : Outil actif/passif de découverte d'adresses réseaux utilisant des requètes ARP. Son paquet est disponible dans les dépots.

Voir aussi la page Réseau.

• Ce logiciel nikto contient des scripts déjà écrits et prêts à l'emploi (ce qui fait gagner un temps précieux), ainsi vous pourrez tester les failles de sécurité de votre site web.

Voir le portail Serveur.

Explication: Sans cette méthode, votre ordinateur a une adresse IP qui est directement accessible depuis internet ce qui facilite amplement les attaques et vous rend vulnérable à celles les plus élaborées (notamment sous linux).

Cette méthode est simple et consiste à créer un réseau privé qui isole en partie (via des ports) vos ordinateurs par rapport à internet et pour l'appliquer, il s'appuie sur les box ADSL. En effet ces derniers comportent un mode routeur qui sépare en quelque sorte internet de votre propre réseau en vous attribuant des IP privés (192.168.0.0/16, 172.16.0.0/12 ou 10.0.0.0/8). En gros toutes les requêtes provenant d'internet sont interceptées par votre box ADSL qui agit comme un tampon entre internet et vos ordinateurs. Il suffit ensuite d'autoriser la redirection (forward) de ports pour certains logiciels (p2p, bittorent, …) tel que aMule, bitTorrent ou Transmission.

• Freebox Adsl

Voir freebox pour savoir ouvrir des ports de connections

Cette rubrique concerne les droits d'accès à vos données ou aux données de tiers.

• Explication sur les droits sous les systèmes Linux

Définitions:

• Glossaire : Accès et permissions
• Glossaire : Propriétaire
• Glossaire : Groupes
• Glossaire : Octale

Quelques outils :

• Sudo : Qu'est-ce que sudo ? Comment avoir des privilèges sans être root ?
• apparmor : un outil qui permet de verrouiller les applications en limitant strictement leur accès aux seules ressources auxquelles elles ont droit sans perturber leur fonctionnement. Installation facile sur ubuntu, et mis à jour par canonical.
• selinux :qui permet de définir une politique de contrôle d'accès obligatoire aux éléments d'un système basé sur Linux.

Le chiffrement (la cryptographie) est une façon efficace de conserver et d'échanger des données sans que quiconque ne puisse les interpréter.

• Créer une partition chiffrée
  • Partition chiffrée avec cryptoloop.
• Truecrypt: logiciel libre de chiffrement à la volée, fonctionnant sur Windows, Mac OS X et Linux. Il permet de créer un disque virtuel chiffré contenu dans un fichier et de le monter comme un disque physique réel. Il peut aussi chiffrer une zone d'une partition ou une partition entière ou un périphérique, comme une disquette ou une clé USB.
• un tutoriel pour chiffrer son disque en utilisant DM-crypt et LVM

• encfs : Chiffrer des répertoires avec EncFS
• Créer un dossier privé et chiffré dans le /home avec Ecryptfs.
• Cryptsetup.
• Truecrypt

• GnuPG : logiciel de chiffrement très utilisé pour les communications sécurisées
• Enigmail : logiciel de chiffrement et signature numérique de courriel pour Thunderbird

• shred : Détruire un fichier pour qu'il ne soit pas récupérable. Pour détruire un dossier, utiliser wipe.

La sécurité de vos données passe aussi par leur sauvegarde, car vous n'êtes pas à l'abri de divers problèmes (suppression par erreur, mise à zéro,…)

Pour plus d'informations, consulter le portail sauvegarde.

• keepassx : génération, gestion et stockage sécurisé de mots de passe et autres données personnelles.
• keepass2 Un gestionnaire de mots de passe.
• pwgen : générer des mots de passe pour vos sessions
• revelation : Un gestionnaire de mots de passe.

• Un bon mot de passe contient au moins 8 caractères alphanumériques. Il utilise le plus de chaos possible, c'est-à-dire majuscules, minuscules, symboles, chiffres et caractères spéciaux. Le mot ne doit pas apparaître dans un dictionnaire.

→ Déconseillé : Alice (nom) - Voiture (mot) - 12345 (combinaison "basique") - 12091990 (date de naissance)

→ Conseillé : ?ce5ght67! (variation lettres/chiffres/symboles) - gHnvKKpm (variation majuscules/minuscules)

• Il est recommandé de changer de mot de passe régulièrement.
• De ne pas l'écrire autre part que dans son cerveau.
• De ne pas utiliser le même mot de passe pour s'authentifier en des lieux différents.

• Pour se souvenir d'un mot de passe complexe on peut utiliser les premières lettres de chaque mot d'une poésie, d'un texte…

→ « Lsldvdl'a. » : « Les sanglots longs des violons de l'automne. »

→ « L,jmscdbh. » : « Longtemps, je me suis couché de bonne heure. »

→ « Tlm,jmlà8h. » : « Tous les matins, je me lève à 8 heures. »

• Pour créer un mot de passe complexe facilement ( Pour le forum Ubuntu par exemple )

- Prenez votre prénom : Frédéric
- Supprimer les e : Frdric
- Ajouter des chiffres ( "c" est la 3ème lettre dans l'alphabet, puis 4 pour suivre ) : Frdri34
- Ajouter un caractère spécial ( le fµ pour forum Ubuntu ) : Frdri34fµ

Résultat : Quelques milliards d'années pour craquer ce mot de passe facile à retenir et à s'en souvenir.

Pour mieux diversifier ses mots de passe et s'en souvenir facilement, on peut avoir recours à la technique des « bases ». Par principe, chacune de ces bases sera utilisée selon le contexte d'identification : une pour votre OS, une pour verrouiller le matériel (BIOS), une autre pour le web et comptes messageries instantanées ou non, un dernier pour allonger le tout ou l'utiliser en dépannage.

Le but et l'avantage étant de pouvoir ensuite cumuler les bases pour obtenir une super passe-phrase, donc plus de sécurité si nécessaire. La mémorisation de petites sections est d'autant plus facile qu'on les utilise indépendamment et couramment.

Pour être encore plus sûr, tout en étant facilement mémorisable, on ajoute des variables et des séparateurs : un séparateur sera inséré entre chaque base et sa variable s'il y en a. Ainsi vous avez des repères logiques et des contextes où appliquer ces mots de passe, fluctuants, mais bien structurés pour vous.

Par exemple :

Base 1 [moi] : 8-12 caractères. C'est votre mot de passe courant par exemple une citation ou un acronyme comme expliqué plus haut.

+ séparateur(s) (dièse, arobase, astérisque, virgule, parenthèse, point d'interrogation, etc.)

Base 2 [mon matos] : 4-6 caractères. C'est le mot de passe bref pour, par exemple, votre BIOS. Choisissez-le bien : on y va rarement tous les jours, à moins de verrouiller le poste. Dans ce cas, ce ne doit pas être le même…

+ séparateur

Base 3 [les tiers] : 6-8 caractères. Votre mot de passe web (plus variantes : voir plus bas).

+ séparateur

Base 4 [pré carré] : 6-10 caractères ou plus. Un mot de passe numérique, facile à retenir, mais avec l'insertion de séparateurs (exemple : date de naissance « 13:06:1924:8h », date historique « Marignan:1515 »). Cette base est uniquement destinée à allonger les trois autres en passe-phrases, mais ne doit jamais être utilisée seule sans variables.

Cas de la base 3 Méfiez vous des sites web qui, à la souscription, vous confirment par mail l'ouverture de votre compte et y indique votre mot de passe en clair. Il vaut mieux éviter d'utiliser toujours le même… ou mieux, d'en donner un simple genre 12345678 puis de changer cela ensuite.

Il est recommandé d'ajouter une sécurité supplémentaire à cette base 3 : par exemple des caractères extraits du nom de domaine du site (invariant). Un mot de passe sur un compte du forum.ubuntu-fr.org peut devenir monpasseweb%FURO. Ainsi les mots de passe sont faciles à mémoriser et toujours différents…

Pour le changement de mot de passe, on peut choisir de lire à l'envers monpasseweb%ORUF ou n'utiliser que les consonnes, etc.

• Vous pouvez utiliser couramment base1.
• Vous pouvez utiliser base1 + séparateur + base2 comme super mot de passe (compte administrateur).
• Vous pouvez utiliser Base3 et une variable comme mot de passe avec les tiers.
• Vous pouvez utiliser la Base4 et une variable comme mot de passe confié ponctuellement à une connaissance.
• Vous pouvez utiliser l'ensemble des bases avec leur séparateur pour une passe-phrase de plus de 40 caractères.

Évitez de changer plus d'une base à la fois ainsi que de modifier les séparateurs, ils sont structurants. Si vous avez un doute sur la confidentialité d'une base, ajoutez seulement le séparateur suivant et si vous voulez, la base suivante !

Bien entendu il faut personnaliser tout cela et que cela corresponde à votre logique. Gardez seulement le principe des bases, des séparateurs et des variantes. Le tout bien structuré et chaque partie mémorisée et contextualisée empêchera tout voyeur de faire comme dans les films : craquer votre login en vingt secondes avec le nom du chien.

Risque: il est possible de supprimer tout mot de passe sur un compte utilisateur, en

• cochant l'option "connexion automatique" dans le cas d'un utilisateur unique
• ou dans le cas d'utilisateurs multiples en éditant le fichier /etc/passwd et supprimer le deuxième champ dans les lignes pour les utilisateurs concernés, afin que les lignes commencent par l'identifiant, puis :: (sans rien entre les 2 deux points). Pour se connecter il suffira d'appuyer sur entrée à la demande du mot de passe (mot de passe vide). Ceci peut être pratique par exemple dans le cas d'un système multi-utilisateur lorsque ceux ci ne veulent pas se connecter avec un mot de passe.

Solution: ne pas supprimer le mot de passe sur un compte utilisateur.

Solution alternative: si vous avez un compte utilisateur sans mot de passe, attention à supprimer tout accès à distance à la machine pour limiter les risques d'intrusions, et empêcher tout intrus d'avoir un accès physique à la machine.

Pour empêcher un intrus de vider la mémoire du BIOS (et donc la protection par mot de passe) en ouvrant l'unité centrale, puis booter sur un live-CD ou live-USB (ce qui lui confère un équivalent des droits root sur la machine), il faut :

• soit empêcher l'accès physique à la machine (salle fermée et surveillée par exemple pour une entreprise)
• soit empêcher les intrus d'ouvrir la machine (cadenas sur l'unité centrale par exemple)

Pour empêcher un intrus de changer l'ordre de boot pour démarrer sur un live-CD ou live-USB par exemple (ce qui lui confère un équivalent des droits root sur la machine), il suffit de mettre un mot de passe au BIOS. Pour cela, il faut trouver "Administrator password" ou "password" dans le menu du BIOS (l'interface change suivant les cartes-mères) et définir un mot de passe.

Remarque : Il faudra aussi empêcher les intrus d'ouvrir la machine car la majorité des cartes-mères sont équipées d'un petit cavalier, en général à coté de la pile du BIOS, qui permet d'annuler tout ce qui a été paramétré au niveau du BIOS, y compris le mot de passe. Parfois, le simple fait de retirer la pile du BIOS pendant plusieurs secondes provoque le même résultat.

Risque:

Par défaut, le logiciel chargeur de système Grub inclut dans la liste des choix de système Ubuntu en Recovery mode. sur un ordinateur seul (connexion directe à internet). Il suffit de choisir cette option pour profiter des droits root sur la machine, sans avoir à montrer patte blanche (pas de nécessité de mot de passe pour accéder aux droits administrateurs) !

Solution: empêcher un intrus de démarrer votre ordinateur en mode recovery.

Pour cela, éditer le fichier « /boot/grub/menu.lst », au choix:

Mettre un mot de passe à Grub pour les opérations de modification d'une entrée:

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
#      password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
password --md5 "md5 de votre mot ou phrase de passe"

ou

password "votre mot de passe"

pour obtenir le md5 d'un mot de passe utilisez la commande :

grub-md5-crypt

Enlever la création automatique d'une entrée recovery

## altoption boot targets option 
## multiple altoptions lines are allowed
## e.g. altoptions=(extra menu suffix) extra boot options
##      altoptions=(recovery mode) single
# altoptions=

ou

faire que ces entrées soient protégées par mot de passe.

## should update-grub lock alternative automagic boot options
## e.g. lockalternative=true
##      lockalternative=false
# lockalternative=true

puis, mettre à jour Grub :

sudo update-grub

La deuxième méthode consiste à mettre un mot de passe au compte superutilisateur, veuillez pour cela vous référer à la section 2 de la page root.

http://library.gnome.org/admin/gdm/stable/configuration.html.fr#securitysection

Voir la page Bluetooth.

Si vous utilisez la connexion automatique, et que vous craignez de vous faire voler votre ordinateur, il peut être intéressant d'utiliser le logiciel Pombo qui vous aidera à récupérer votre ordinateur en cas de vol.

Voir aussi le logiciel Prey qui propose la même chose sans avoir a installer de serveur

• Zoneminder, Camserv : solutions opensource de vidéo-surveillance
• Motion : détecteur de mouvements
• Camorama : permet de prendre une photo toutes les x minutes
• Voir cette discussion

Voir videosurveillance

• contrôle parental: Restreindre l'accès au WEB pour certains thèmes

• Les restrictions horaires sous Linux: empêcher des utilisateurs de se connecter à leur session à des horaires choisis.

• Proxy : connexion anonyme à Internet par serveur mandataire
• TOR : connexion anonyme à Internet

• Off-the-Record (OTR) Messaging : permet d'avoir des conversations privées sur de multiples protocoles (XMPP/Jabber, IRC, MSN, …)

Afin de boucler la boucle (feedback/système) vous pouvez tester la sécurité en place, ou que vous désirez mettre en place, et décider en conséquence.

Pour cela vous pouvez utiliser ces outils :

• Réseau :
  • nessus
  • openvas
  • nmap
• Les outils de la distribution backtrack 4, compatible avec ubuntu.

• Discussion sur le forum ubuntu-fr : "Sécuriser mon PC"
• Notifications de sécurités pour Ubuntu : "Les « Ubuntu Security Notices » en français"

Contributeurs : Reneca.