Menaces fréquentes pour la sécurité dans l’informatique moderne
Rubrique Dernière modification : 2013-09-10
Étant donné que Lync Server 2013 est un système de communication de classe entreprise, vous devez être conscient des attaques de sécurité courantes qui pourraient affecter son infrastructure et ses communications.
Attaques par clé compromise
Une clé est un code ou un nombre secret utilisé pour chiffrer, déchiffrer ou valider des informations confidentielles. Deux clés de l’infrastructure à clé publique (PKI) sont particulièrement sensibles :
la clé privée que possède chaque détenteur de certificat ;
la clé de session, utilisée après l’identification et l’échange de clé de session entre les partenaires communiquant entre eux.
Une attaque par clé compromise se produit lorsqu’un intrus parvient à identifier la clé privée ou la clé de session. Lorsque l’intrus parvient à déterminer la clé, il s’en sert pour déchiffrer des données chiffrées, à l’insu de l’expéditeur des données.
Lync Server 2013 utilise les fonctionnalités PKI du système d’exploitation Windows Server pour protéger les données clés utilisées pour le chiffrement pour les connexions TLS (Transport Layer Security). Les clés utilisées pour le chiffrement multimédia sont échangées via des connexions TLS.
Attaque réseau par déni de service
Une attaque par déni de service se produit lorsqu’une personne malveillante empêche des utilisateurs valides de travailler et d’utiliser le réseau normalement. Pour ce faire, elle inonde le service avec des demandes légitimes qui submergent l’utilisation du service par les utilisateurs légitimes. Lors d’une attaque de ce type, la personne malveillante peut :
envoyer des données non valides à des applications et des services exécutés sur le réseau faisant l’objet de l’attaque, afin de perturber leur exécution normale ;
envoyer un volume de trafic important, de manière à surcharger le système jusqu’à ce que celui-ci cesse de fonctionner ou nécessite beaucoup de temps pour répondre aux demandes légitimes ;
masquer les signes d’attaque ;
empêcher les utilisateurs d’accéder aux ressources réseau.
Attaque par écoute (Eavesdropping)
Une attaque par écoute peut se produire lorsqu’une personne malveillante parvient à accéder au chemin d’accès des données d’un réseau et qu’elle peut ainsi surveiller et lire le trafic. Cette attaque est également appelée reniflage (« sniffing ») ou surveillance (« snooping »). Si le trafic consiste en du texte simple, l’intrus peut lire le trafic lorsqu’il accède au chemin d’accès des données. Par exemple, une attaque peut être lancée en contrôlant un routeur sur le chemin de données.
La recommandation et le paramètre par défaut pour le trafic dans Microsoft Lync Server 2013 consiste à utiliser le protocole TLS (MTLS) mutuel entre les serveurs approuvés et le protocole TLS du client au serveur. Cette mesure de protection rend ce type d’attaque difficile, voire impossible, durant le laps de temps pendant lequel une conversation donnée peut être attaquée. Le protocole TLS authentifie toutes les parties et chiffre le trafic. Ceci n’empêche pas les attaques par écoute, mais l’intrus ne peut pas lire le trafic à moins que le chiffrement ne soit rompu.
Le protocole TURN (Traversal Using Relay NAT) n’impose pas le chiffrement du trafic et les informations qu’il envoie sont protégées par l’intégrité des messages. Bien qu’elle soit ouverte à l’écoute clandestine, les informations qu’elle envoie (autrement dit, les adresses IP et le port) peuvent être extraites directement en examinant simplement les adresses source et de destination des paquets. Le service Edge A/V garantit que les données sont valides en vérifiant l’intégrité du message à l’aide de la clé dérivée de quelques éléments, y compris un mot de passe TURN, qui n’est jamais envoyé en texte clair. Si le protocole SRTP (Secure Real Time Protocol) est utilisé, le trafic multimédia est également chiffré.
Usurpation d’identité (usurpation d’adresse IP)
On parle d’usurpation d’identité lorsqu’une personne malveillante parvient à déterminer et à utiliser l’adresse IP d’un réseau, d’un ordinateur ou d’un composant réseau, sans y avoir été autorisée. Si l’attaque réussit, l’intrus peut opérer comme s’il était l’utilisateur habituellement identifié par l’adresse IP. Dans le contexte de Microsoft Lync Server 2013, cette situation n’entre en jeu que si un administrateur a effectué les deux opérations suivantes :
configuré des connexions qui prennent uniquement en charge le protocole TCP (Transmission Control Protocol), ce qui n’est pas recommandé car les communications TCP ne sont pas chiffrées ;
marqué les adresses IP de ces connexions en tant qu’hôtes approuvés.
Ce problème est moins grave pour les connexions TLS (Transport Layer Security), car TLS authentifie toutes les parties et chiffre le trafic. L’utilisation du protocole TLS empêche une personne malveillante d’usurper une adresse IP sur une connexion spécifique (par exemple, les connexions Mutual TLS). Toutefois, un attaquant peut toujours usurper l’adresse du serveur DNS utilisé par Lync Server 2013. Toutefois, étant donné que l’authentification dans Lync est effectuée avec des certificats, un attaquant ne disposerait pas d’un certificat valide requis pour usurper l’une des parties à la communication.
Attaque de l'homme du milieu
Une attaque de l’intercepteur se produit lorsqu’une personne malveillante redirige les communications entre deux utilisateurs via son propre ordinateur, à l’insu des deux participants. L’intrus peut surveiller et lire le trafic avant de l’acheminer vers le destinataire concerné. Chacun des utilisateurs envoie et reçoit du trafic vers/de l’intrus, alors qu’il pense communiquer avec l’utilisateur concerné uniquement. Cela peut se produire si une personne malveillante modifie les services de domaine Active Directory pour ajouter son serveur en tant que serveur approuvé, ou si elle modifie DNS (Domain Name System) pour faire en sorte que les clients se connectent au serveur via l’ordinateur de l’intrus à l’origine de l’attaque. Une attaque de l’intercepteur peut également affecter le trafic multimédia entre deux clients. Toutefois, dans microsoft Lync Server 2013, le partage audio, vidéo et d’application point à point, les flux sont chiffrés avec SRTP, à l’aide de clés de chiffrement négociées entre les homologues qui utilisent le protocole SIP (Session Initiation Protocol) sur TLS. Les serveurs tels que le serveur de conversation de groupe utilisent le protocole HTTPS pour sécuriser le trafic.
Attaque par relecture RTP
Une attaque par relecture se produit lorsqu’une transmission multimédia valide entre deux parties est interceptée et retransmise à des fins malveillantes. SRTP utilisé dans le cadre d’un protocole de signalisation sécurisé protège les transmissions contre les attaques par relecture en permettant au récepteur de maintenir un index de paquets RTP déjà reçus et de comparer chaque nouveau paquet avec ceux déjà répertoriés dans l’index.
Messages instantanés indésirables (Spim)
Spim est des messages instantanés commerciaux non sollicités ou des demandes d’abonnement de présence. Bien qu’elle ne soit pas isolée du réseau, elle est agaçante au moins, peut réduire la disponibilité des ressources et la production, et peut entraîner la compromission du réseau. Par exemple, les utilisateurs se font du spimming mutuellement en envoyant des demandes. Les utilisateurs peuvent se bloquer pour empêcher cela, mais avec la fédération, si une attaque de spim coordonné est établie, cela peut être difficile à surmonter, sauf si vous désactivez la fédération pour le partenaire.
Virus et vers
Un virus est une unité de code dont l’objectif est de reproduire des unités de code supplémentaires similaires. Pour fonctionner, un virus a besoin d’un hôte, par exemple un fichier, un e-mail ou un programme. Un ver est une unité de code dont l’objectif est de reproduire des unités de code supplémentaires similaires, mais il n’a pas besoin d’un hôte. Les virus et les vers apparaissent principalement lors des transferts de fichiers entre clients ou lorsque des URL sont envoyées par d’autres utilisateurs. Si vous avez un virus sur votre ordinateur, il peut, par exemple, utiliser votre identité et envoyer des messages instantanés en votre nom.
Informations d’identification personnelle
Microsoft Lync Server 2013 peut divulguer des informations sur un réseau public pouvant être lié à une personne. Ces informations appartiennent à deux catégories :
Données de présence améliorées Les données de présence améliorées sont des informations qu’un utilisateur peut choisir de partager ou de ne pas partager via un lien vers un partenaire fédéré ou avec des contacts au sein d’une organisation. Elles ne sont pas partagées avec les utilisateurs d’un réseau public de messagerie instantanée. Selon les stratégies de groupe en vigueur et la configuration du client, l’administrateur système peut contrôler ces informations. Dans Lync Server 2013, le mode de confidentialité de présence amélioré peut être configuré pour un utilisateur individuel afin d’empêcher les utilisateurs Lync qui ne figurent pas dans la liste des contacts de l’utilisateur de voir les informations de présence de l’utilisateur. Le mode de confidentialité de présence enrichie n’empêche pas les utilisateurs de Microsoft Office Communicator 2007 et Microsoft Office Communicator 2007 R2 de voir les informations de présence d’un utilisateur. Pour plus d’informations, consultez les nouveautés de Lync Server 2013 dans la documentation Prise en main et la configuration du mode de confidentialité de présence amélioré dans Lync Server 2013 dans la documentation de déploiement.
Données obligatoires Les données obligatoires sont requises pour le bon fonctionnement du serveur ou du client et ne sont PAS sous le contrôle du client ou de l’administration système. Il s’agit d’informations nécessaires au niveau d’un serveur ou d’un réseau pour le routage, la maintenance de l’état et la signalisation.
Les tableaux suivants répertorient les données exposées sur un réseau public.
Données de présence enrichie
Données divulguées | Paramètres possibles |
---|---|
Données personnelles |
Nom, Fonction, Société, Adresse électronique, Fuseau horaire |
Numéros de téléphone |
Bureau, Mobile, Domicile |
Informations de calendrier |
Libre/Occupé(e), notification d’absence du bureau, détails de réunion (pour les personnes ayant accès à votre calendrier) |
Statut de présence |
Absent(e), Disponible, Occupé(e), Ne pas déranger, Hors connexion |
Données obligatoires
Données divulguées | Exemples d’informations |
---|---|
Adresse IP |
Adresse réelle de l’ordinateur ou adresse traduite via NAT |
URI SIP |
jeremylos@litwareinc.com |